Intel脆弱性3月号です。
しかも結構厄介な感じの脆弱性ですね。
内容
Intel製CPUの投機的実行プロセスを使って機密情報を取得されてしまうような脆弱性のようです。
前から公表されている「Spectre」や「Meltdown」と同様の箇所の脆弱性ですね。
投機的実行なんてやめてしまえ
影響
正直よくわかってないのですが、レジスタのキャッシュ領域へのアクセスが可能になる?んですかね?
Rowhammerおよびキャッシュ攻撃の危険性の増大と書いてあったので、おそらくメモリ領域の何がしを取得することができるようになるのではないかと思われます。
また、仮想サーバ上やサンドボックス上でもこの脆弱性は突けるようです。
仮想アドレスと物理アドレスのマッピングをハックできるとのことなので、仮想サーバ上でもホストサーバの物理メモリ領域にアクセスできるようになるんですかね?
よくわからん・・・・・英語読めない・・・・
あと、Javascriptからこの脆弱性を突けるってなんか書いてあったんですが、それが本当ならなかなかに怖い脆弱性ですね・・・。
Javascript無効にするか。
対策
なし!(ガチ)
というか、CPUの投機的実行が問題なので、それを止めてしまえばいいと思うのですが、それをソフトウェアレベルで操作することはできません。
MeltDownやSpectorと同じなのであれば、対策できるのでは?と思ったのですが、どうやら攻撃アプローチが違うためできないとのこと。
チップの設計レベルからの対策が必要なようで、すぐには対策できないでしょう。
まとめ
みんなAMDにしよう!
Ryzen2出ますし・・・。
参考
インテル製チップに新たな脆弱性「SPOILER」--修正は困難との指摘も
インテル製チップの投機的実行プロセスを悪用する新たな脆弱性「SPOILER」が見つかった。
japan.cnet.com
コメント