【インテル】2011年以降のほぼすべてのIntel製プロセッサに影響する脆弱性「MDS」の存在が明らかにat NEWSPLUS
【インテル】2011年以降のほぼすべてのIntel製プロセッサに影響する脆弱性「MDS」の存在が明らかに - 暇つぶし2ch1:ばーど ★
19/05/15 22:41:43.58 GeQ41T3f9.net
URLリンク(i.gzn.jp)
2019年5月14日、Intelが同社製のチップに複数の脆弱性が存在することを明らかにしました。Intelが公表した脆弱性は「Microarchitectural Data Sampling(MDS)」と呼ばれるもので、2011年以降に製造・販売されたIntel製プロセッサのほぼすべてに影響するものです。
Intel Side Channel Vulnerability MDS
URLリンク(www.intel.com)
Cyberus Technology - ZombieLoad: Cross Privilege-Boundary Data Leakage
URLリンク(www.cyberus-technology.de)
New secret-spilling flaw affects almost every Intel chip since 2011 | TechCrunch
URLリンク(techcrunch.com)
ZombieLoad attack lets hackers steal data from Intel chips - The Verge
URLリンク(www.theverge.com)
Intelによると、発見された脆弱性・MDSはソフトウェア面ではなくハードウェア面の問題に起因するものであるため、MDSを利用した攻撃はソフトウェアやオペレーティングシステム(OS)に関係なく実行される可能性があるとのこと。なお、MDSは4つの関連技術で構成されています。
Intelは影響を受けるCPUの一覧をPDF形式で公開していますが、2011年以降に製造・販売されたほぼすべてIntel製プロセッサに影響がある見通しです。IntelはMDSの影響があるチップに対して、マイクロコードアップデートを提供しています。
SA00233 Microcode Update Guidance - SA00233-microcode-update-guidance_05132019.pdf
Intelは海外メディアのTechCrunchに対して、マイクロコードアップデートがプロセッサのパフォーマンスに及ぼす影響について、「ほとんどの場合では目立った影響はないが、個人向けPCでは最悪の場合で3%、データセンターレベルの環境では9%パフォーマンスが低下する可能性がある」とコメントしています。
また、ドイツのグラーツ工科大学とベルギーのルーベン・カトリック大学のセキュリティ研究者グループらが、MDSを利用したサイドチャネル攻撃「ZombieLoad」を発表しました。
ZombieLoad攻撃を受けた場合、プロセッサがアクセスしたブラウザの履歴、ユーザーIDとパスワードなどの機密情報、ディスク暗号化キーなどのシステムレベルの情報などを盗み出される危険性があるとのこと。以下のムービーは、ZombieLoadの概念実証用に作成されたもの。ZombieLoadを受ければ、匿名性の高い「Torブラウザ」を使用している場合であっても、ユーザーがアクセスしているサイトのURLを抜き出すことが可能であることが一発でわかります。
ZombieLoadは仮想PC上のデータを盗み出すことが可能であるため、異なる顧客の仮想PCが同じサーバー上で動作しているクラウドサーバーがZombieLoadのターゲットにされてしまう場合、1度に多数の情報が流出する危険性があります。また、MDSを利用したサイドチャネル攻撃はZombieLoadの他にも「RIDL」「Fallout」が発表されています。
URLリンク(techcrunch.com)
・Microsoft
Windowsアップデートをリリース予定ですが、一部のユーザーはチップ・メーカーから直接マイクロコードを入手する必要があるかもしれないとのこと。Microsoftの公式ページから多数のマイクロコードのアップデートを発表しており、ZobmieLoadなどのMDSを悪用したサイドチャネル攻撃を防ぐ方法を説明する専用ページを公開中です。
・Apple
macOSに対してOSアップデートを発表しています。一部の端末ではパフォーマンスが40%低下する可能性もある模様。
・Google
Android端末の一部や、Chrome OSに向けてアップデートを配布済み。
・Mozilla
Firefoxに関する長期的な修正案を計画中。Firefox BetaとFirefox Nightlyに向けては修正パッチを配布済み。macOS向けのFirefoxにはAppleが推奨する緩和策を実施したそうですが、WindowsとLinux向けFirefoxには特に対策は必要ないとのこと。
・Amazon
Amazon Web Servicesに対して修正アップデートを適応済み。
2019年05月15日 12時15分
URLリンク(gigazine.net)
■他ソース
Intel製CPUに新たな脆弱性 ~“Microarchitectural Data Sampling(MDS)”が公表される
URLリンク(forest.watch.impress.co.jp)

レスを読む
最新レス表示
レスジャンプ
類似スレ一覧
スレッドの検索
話題のニュース
おまかせリスト
オプション
しおりを挟む
スレッドに書込
スレッドの一覧
暇つぶし2ch