パソコン用のインテル製CPUに欠陥 サイバー攻撃のおそれ
コメント
選択しているユーザー
欠陥ではなく脆弱性です。もう少しだけちゃんと書いてほしいな…
・2011年以降に製造してきたほぼすべてのチップに影響します
・以前問題となった「スペクター」や「メルトダウン」といったセキュリティホールに似ています
・あらゆる種類の重要データが盗まれる可能性がありますが、実行も難しく被害報告はまだ無し
・説明しきれませんが、「投機的実行」に携わるCPUへの侵入に使われる可能性がある。
・全部で4つ
■ゾンビロード
侵入者がアプリケーションやクラウドベースのシステムから情報を盗める。
■リドル
チップのメモリを操作して機密情報を取り出せる
■フォールアウト
■ストア・ツー・リーク・フォワーディング
データを盗める。OSに侵入したりするために悪用される可能性がある
大事なのは、アマゾンやアップル、グーグルはすでにパッチをリリースしていることです。ちなみにiPhoneやiPadはそもそも非該当。
自身が利用しているコンピューターが最新版にアップデートされているかどうかはかならず確認して下さい。
インテルは脆弱性を1年前に発見していたみたいですが、パッチを開発するまでは公表できないですからね。私たちが怖がって、クラッカー達が喜ぶだけの情報になるので。
注目のコメント
詳細までは理解してないですが、アクセス権限を無視して別プロセスの情報を取得できる状態みたいですね。
ZombieLoadと呼ばれてるらしいです。
https://zombieloadattack.com
ただ欠陥はあるにせよ、攻撃を成立させるには対象のPC上でプログラムを実行しないといけないはずです。
こんな欠陥を気にするよりは、怪しいアプリはインストールしない、怪しいメールを開かない、OSのアップデートはちゃんと当てる、などのリテラシー強化に注力した方が生産的に思います。
(追記)
JPCERT/CCから出ている注意喚起はINTEL-SA-00213ですが、この記事で話題にしているのはINTEL-SA-00233ですね。
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00233.html
JPCERT/CCの内容にある「また、Intel からは本アドバイザリ以外にも複数のアドバイザリを同日に公開しています。詳細は Intel の情報を参照してください。」が罠になっているようです。
ちなみにintelは同日付で12本のアドバイザリを出してます。
https://www.intel.com/content/www/us/en/security-center/default.htmlまえにもIntelの方CPUで同様な脆弱性が明らかになっていた。
その時はメディアで先行してリークし、のちにIntelがしぶしぶ認めてMicrosoftなどが修正パッチをあてることで解決に至った、という経緯だったと記憶があります。
今回も同じような流れなのかな。
ただ、他の方もコメントされてますが、
このあたりについては一般ユーザーであれば、
ちゃんと配布される習性パッチをあてれば
おおきな問題には至らないのではないかと思います。