YANO's digital garage

Copyright ©YANO All rights reserved. https://www.bravotouring.com/~yano/

Last-modified: 2024-03-09 (土)


[一語一絵/IT系]

Meltdown and Spectre / 2018-01-05 (金)

Meltdown and Spectre, Vulnerabilities in modern computers leak passwords and sensitive data.
[External]meltdownattack.comより

新年早々、[External]Google Online Security Blogで公表された[External]CPU vulnerability

[External]窓の杜の記事によると、

本脆弱性は“Meltdown(CVE-2017-5754)”“Spectre(CVE-2017-5753、CVE-2017-5715)”と呼ばれており、CPUの“投機的実行”機能に起因するという。“投機的実行(speculative execution)”とは、空いているリソースを活用して条件分岐の先をあらかじめ実行すること。CPUを高速化する手法の一つで、最近のCPUならばごく当たり前に実装されているものだが、サイドチャネル攻撃(物理的観察によりデータを盗み出す手法)により本来アクセスできないはずのデータを取得できてしまうという欠陥があるという。同一ホスト上の他の仮想マシンのデータへアクセスできる可能性があるため、仮想技術に依存するクラウド環境では特に深刻だ。

“Meltdown”の影響範囲は1995年以降のIntel製CPUとされているが、他社製CPUに影響する可能性も否定できない。また、“Spectre”はIntel/AMD/ARM製CPUで実証されており、スマートフォンを含む多くのシステムに影響が及ぶという。
という事で波紋が拡がっているが、既に対応策が公開されており、一般ユーザー観点で大騒ぎするほどの問題では無さそうだ。

【参照】
●窓の杜 https://forest.watch.impress.co.jp/
“投機的実行”機能を備えるCPUに脆弱性、Windows向けのセキュリティパッチが緊急公開 2017年1月5日
●PC Watch https://pc.watch.impress.co.jp/
Google、CPUの投機実行機能に脆弱性発見。業界をあげて対策へ 2017年1月5日
●Google Online Security Blog https://security.googleblog.com/
Today's CPU vulnerability: what you need to know 2017年1月3日
●インテル ニュースルーム https://newsroom.intel.co.jp/
インテル、セキュリティーに関する調査結果に対応 2017年1月5日
●BUSINESS INSIDER JAPAN https://www.businessinsider.jp/
インテルが「CPUに脆弱性」報道に反論、グーグルが解説した「原因」とは 2017年1月4日
●Qiita https://qiita.com/
MeltdownとSpectreの違いについて分かったこと 2018年1月4日
●Meltdown and Spectre https://meltdownattack.com/
●Wikipedia https://ja.wikipedia.org/wiki/
Meltdown
Spectre
インテル
Google