研究者らは、攻撃者がインテルチップのデータ漏洩を引き起こす Spectre CPU の脆弱性を悪用する可能性のある新たな一連の方法を発見した。
ドイツの出版物 Heise は、専門家たちが Chipzilla のプロセッサにおけるサイドチャネル攻撃の欠陥を説明する少なくとも 8 件の新しい CVE リストの脆弱性レポートを公開する準備をしていると報じました。
「今のところ、Intelのプロセッサとパッチの計画に関する具体的な情報しかありません。しかし、少なくとも一部のARM CPUにも脆弱性があるという初期的な証拠があります」とユルゲン・シュミット氏は報告した。
インテルは分岐予測ユニットとSGXに対する「新たな」サイドチャネル攻撃を軽視している
続きを読む
「密接に関連する AMD プロセッサ アーキテクチャも個々の Spectre-NG ギャップの影響を受けるかどうか、またどの程度影響を受けるかについては、さらなる調査がすでに進行中です。」
報告書によれば、Intel は脆弱性の悪用方法について警告を受けているが、Chipzilla は今のところこの件について多くを語っていない。
「お客様のデータを保護し、製品のセキュリティを確保することは、当社にとって最優先事項です。当社は、お客様、パートナー、他のチップメーカー、研究者と緊密に連携し、特定された問題を理解し、軽減するために日々取り組んでいます。このプロセスの一環として、CVE番号のブロックを予約しています」と、製品保証およびセキュリティ担当エグゼクティブバイスプレジデント兼ゼネラルマネージャーのレスリー・カルバートソン氏は、The Registerへの声明で述べています。
「私たちは協調的な情報開示の価値を強く信じており、軽減策を最終決定した時点で、潜在的な問題について追加の詳細を共有します。」
Spectre を悪用する新たな手法の公開は、デバイスやPC上の悪意のあるソフトウェアがアクセスを許可されていないメモリからパスワードやその他の機密情報を抽出する可能性がありますが、この深刻な設計欠陥の性質と、チップ設計者にとって完全に対処することがいかに困難であるかを考えると、それほど驚くべきことではありません。数週間ごとに、専門家たちがこのバグに関連する新たな亜種や侵入ポイントを発見し、報告しており、チップメーカーが今年後半に再設計されたプロセッサを市場に投入するまで、新たな亜種が発見され続ける可能性が高いでしょう。
その間、Spectreとその類似脆弱性であるMeltdownの影響を受けるIntel、AMD、Armプロセッサ設計のリストを以下に示します。QualcommのスマートフォンチップにおけるArmコアの使用や、Arm搭載IoT機器を製造する多数のベンダーなど、この技術を製品に組み込んでいる企業も影響を受けます。®
