[ETC] Intel CPUバグによる脆弱性について

 

年明け早々、厄介な脆弱性で盛り上がってます。:)

共通脆弱性識別子(CVE – Common Vulnerabilities and Exposures)として以下の脆弱性が公開されました。脆弱性の内容はCPUアーキテクチャ関連バグに関するものです。

 

CVE-2017-5753とCVE-2017-5715は別名”Spectre“、CVE-2017-5754は”Meltdown“という別名となっていて両方共に非常に深刻なバグのようです。

“Meltdown”は1995年以降リリースされたIntel CPUのすべての世代がバグの影響を受け、このバグによりカーメルメモリ情報が読み取れてしまうリスクがあるとのことです。カーネルメモリ情報に関連するため、アンチウィルスソフトアや暗号化でも防げないとのことです。(“Meltdown”はAMD社のCPUでは影響を受けないようです)

“Spectre”は任意のプログラムによりユーザプログラムのメモリ情報が読み取られてしまうバグとのことです。どっちも深刻ですが”Meltdown”の方がよりヤバそうです。

 

しかも上記2つのバグを修正するためのパッチが適用するとCPUのパフォーマンスが最大30%低下してしまう検証結果が報告され益々炎上しているようで、Intel社から本バグについて言及し’うちだけの問題じゃない、他社CPUでも起こりうる。修正パッチの影響もそんな大げさなことではない’としていますが事態は収まりそうもないようです。

 

リスクの対象が過去10年間リリースされたIntel CPUなため、その影響範囲は膨大でGoogle社やMicrosoft社、Amazon社、RedHat社などでは早速対応を公開しています。

 

VMware社も関連内容を公開し”Spectre”に対するパッチも公開しましたが”Meltdown”については以下のようなコメントのみ、パッチはありませんでした。

A third issue due to speculative execution, Rogue Data Cache Load (CVE-2017-5754), was disclosed along the other two issues. It does not affect ESXi, Workstation, and Fusion because ESXi does not run untrusted user mode code, and Workstation and Fusion rely on the protection that the underlying operating system provides.

ESXiは未信頼ユーザモードのコードを実行しないし、WorkstationとFusionはOSが提供する保護機能に依存しているため”Meltdown”の影響を受けないとのことみたいです。

 

一部では2014年OpenSSL関連バグで業界を騒がせた”Heartbleed“を凌ぐインパクトがあると言ってますので、しばらく注意深く各ベンダーの対応状況をチェックした方が良いかもしれません。

 

広告

コメントを残す

以下に詳細を記入するか、アイコンをクリックしてログインしてください。

WordPress.com ロゴ

WordPress.com アカウントを使ってコメントしています。 ログアウト /  変更 )

Google+ フォト

Google+ アカウントを使ってコメントしています。 ログアウト /  変更 )

Twitter 画像

Twitter アカウントを使ってコメントしています。 ログアウト /  変更 )

Facebook の写真

Facebook アカウントを使ってコメントしています。 ログアウト /  変更 )

%s と連携中

WordPress.com ホスティング. テーマ: Baskerville 2 by Anders Noren

ページ先頭へ ↑

%d人のブロガーが「いいね」をつけました。