インテルCPUセキュリティ問題(Meltdown&Spectreの脆弱性)の影響

Last Updated: 2019 年 11 月 24 日 4のコメント

最近のインテルは、中央処理装置(CPU)で重大なセキュリティ欠陥が発見され話題になりました。

これに関連して、セキュリティ会社のDefiant(Wordfenceの企業名が最近Defiantに変更)で  The Impact of Meltdown&Spectre Vulnerabilities(Meltdown&Spectreの脆弱性の影響)という文を公開しました。

GoogleのProject Zero(GPZ)は、最先端のセキュリティ研究者のシンクタンクとして画期的な研究結果を示しました。 昨日(1月3日)GPZは二種類の脆弱性を公開するCPUアーキテクチャの欠陥を発表しました。

たとえ年初だ2018年に最も重要で影響を与える脆弱性になることがあり、オペレーティングシステム(OS)やベンダーに関係なく、Intelのチップで実行されるすべてのソフトウェアが影響を受けます。 この脆弱性は、1995年以来、out-of-order実行を実装するすべてのIntelプロセッサ(Itaniumと2013年以前のAtomを除く)に影響を与えます。

この脆弱性は、University of Pennsylvania、University of Maryland、Graz University of Technology、Cyber​​us Technology、Rambus Cryptography Research Division、University of Adelaide、Data61の研究者とGPZ研究の共同研究で発見されました。

欠陥は2017年6月1日、Intel、AMDとARMなどのCPUメーカーに密かに初めて報告されました。 次の週まで報道制限(embargo)リクエストがあったが、問題を修正したカーネルパッチの推測が飛び交うと、2018年1月1日から関連研究者が、最終的に早期にほとんどの情報を公開しました。 昨日、1月3日、関連研究者がほとんどの情報を公開し、セキュリティ上の欠陥と関連した研究が Google Project Zeroのブログに投稿されました。

今回の欠陥は、Spectre&Meltdown(スペクターとメルトダウン)の欠陥で命名された。 Spectreの論文は、この ページ(PDF)で確認することができMeltdownの論文は、 このページ(PDF)で確認が可能です。 この記事を書く時に、おそらくトラフィック過剰のためか、両方のサイトダウンになってミラーサイトを提供しています: Spectre Mirror & Meltdown Mirror.

この二つの脆弱性は、すべてのCPUのパフォーマンスを最適化から来ている。 セキュリティパッチは、パフォーマンスに影響を与える可能性があります。 一部のニュースでは、 最大30%まで性能が低下するという主張しかし、より権威ある情報筋によれば、この数値が誇張されたことを示します。 インテルの公式声明によると、「一部の報道とは異なり、パフォーマンスへの影響は作業量によって異なり、平均的なコンピュータユーザーにとっては深刻ではなく、時間が経つにつれてその影響が減少する」と述べています。

インテルは、インテルCPUがどのような悪影響を受け取ったかどうかと、これらの脆弱性の負の影響について 今回の脆弱性の深刻さを縮小しているという非難を受けています.

ARMAMDと同様に、公式声明を発表しました。

Meltdownの脆弱性:

Meltdownは、GPZが公開したXNUMXつの脆弱性のうちの最初の脆弱性で、ランダムなカーネルメモリ位置を読み取る「非順次命令処理」というCPUパフォーマンスの最適化を悪用することです。 この攻撃はオペレーティングシステムとは無関係であり、いかなるソフトウェアの脆弱性にも依存しません。 つまり、実行しているオペレーティングシステムが何であれ、システムのソフトウェアに脆弱性があるかどうかにかかわらず、すべてのシステムで悪用される可能性があるチップハードウェアの脆弱性です。

...

Spectre:
Spectreは推測実行(speculative execution)と呼ばれる最新のCPUの性能向上機能を悪用する脆弱性です。 だからSpectreという名前がつけられました。

デフィアントの「The Impact of Meltdown&Spectre Vulnerabilities「Meltdown & Spectreの影響の詳細な分析を見ることができます。

メモ:


4のコメント

コメント

  1. この事件で最も大きく注目しなければならドゥェルジョムは、Googleプロジェクトゥゼロで欠陥の報告を受けた後、インテルCEOの大きジャーニックが保有株式をすべて売却したことにのです。

    今では株式が一つもない状態で、CEO職に座っています。 専門用語でパンなと言った。

    専門経営者体制の悪い点はすべて見せる事例ではないかと思います。 CES基調演説では業界が団結して問題をよくしたとし、流体脱離法まで詠唱したそうです。 ライブで、どのくらいオタクがなかったのか…

    応答
    • グーグルプロジェクトゥゼロで欠陥の報告を受けた後、インテルCEOの大きジャーニックが保有株式をすべて売却したことにのです。

      ==>このような場合、法的な問題が発生しないでしょうか?

      近いうちにノートパソコンを本当にひとつ購入しなければならないのに…(購入すると言っているだけです。

      応答
      • 今、米国では、インテルインサイドインテルインサイダー取引に社名を変えなら嘲笑しています。

        多数の技術企業(アマゾン、エピックゲームズetc)は、すでにインテルを相手に訴訟前入った状態と、米国防総省は、欠陥のあるCPUを全量交換すべきだ国に予算を要求しました。

        インテルとしては斜面秒カナ相違ない状況なのにあまりにも欠陥適用範囲が広く(1995年以降、現在までに生産された製品の全量)の補償を多ヘジュダいく会社が破産する局面とナモルララています。

        LGグラムやXPSシリーズをお勧めします。 インテルCPUの入ったものを使用いただいても構わない、またこの間に、モバイル用のIntelプロセッサに入るvProテクノロジに関するセキュリティ上の問題が裂けてモバイルプロセッサも問題が深刻な状況です。

        2 / 4四半期経過AMDプロセッサが適用されたライジェンノートパソコンや、クアルコムスナップドラゴンが適用されたARM Windowsのラップトップがあふれ出てくる予定ですので、もう少し待ってから購入いただいても構いませんです。 ^^

      • インテルインサイダートレーディング...適切な表現ですね。

        コンピュータに常に良い情報をいただきありがとうございます。