2018年初頭から、Intel製CPUに内在する脆弱性「Spectre」「Meltdown」に関するニュースが取り沙汰されています。Meltdownクラスの脆弱性はIntel製CPUに特有の脆弱性ですが、Spectreクラスの脆弱性はIntel製CPUだけでなく、Intel・AMD・ARMなど全てのプロセッサに内在する可能性が指摘されており、今回新たに8つのSpectreクラスの脆弱性が指摘されました。
Spectre-NG: Intel-Prozessoren von neuen hochriskanten Sicherheitslücken betroffen, erste Reaktionen von AMD und Intel | heise Security
https://www.heise.de/security/meldung/Spectre-NG-Intel-Prozessoren-von-neuen-hochriskanten-Sicherheitsluecken-betroffen-4039302.html
8 New Spectre-Class Vulnerabilities (Spectre-NG) Found in Intel CPUs
https://thehackernews.com/2018/05/intel-spectre-vulnerability.html
ドイツのコンピューター雑誌「Heise」にリークされたこれらの脆弱性は、少数のAMDやARMのプロセッサにも影響を与えるとされており、ジャーナリストは8つの脆弱性のうち4つを「高い危険性」、残りの4つを「中程度の危険性」と評価しています。
新たに報告された脆弱性は、これまで報告された脆弱性の原因とされるIntel製CPUの設計上の欠陥と同じ欠陥に由来するとされています。今回発見された脆弱性のうち一つは、「仮想マシンにアクセスした攻撃者が容易にホストシステムを攻撃可能になる」とのことで、これまでに発見された脆弱性よりもさらに危険度が増す可能性があるとのこと。
さらに、「同じサーバー上で作動する他の顧客の仮想マシンを攻撃することも可能であり、データ転送のパスワードや秘密鍵がターゲットとなるかもしれません」とセキュリティ研究者のチームは述べており、AmazonやCloudflareなどのクラウドサービスプロバイダが影響を受けるだろうとしています。
Intelに対して新たに発見された脆弱性に関して質問したところ、「顧客のデータを保護し、製品のセキュリティを確保することが最優先事項です。潜在的な脅威について共有し、システムの改善に対する努力を続けていきます」と回答し、脆弱性についての具体的な言及はなかったとのこと。
リークされた情報によれば、Intelはすでに新しい脆弱性についての対応を始めており、第1弾のセキュリティパッチを5月に、第2弾のセキュリティパッチを8月にリリースする予定だそうです。
ソース
IntelのCPUに新たな8つの脆弱性が発見される、内4つは「高い危険性」との評価 - GIGAZINE
https://gigazine.net/news/20180507-intel-cpus-new-vulnerabilities-found/