Intelが自社チップ内のより多くのSpectreスタイルの問題にパッチを当てようと取り組んでいることが判明した後、プロセッサのセキュリティホールを塞ぐパッチのさらなる波が進行中である。SpectreとMeltdownの大失敗を受けてセキュリティ研究者によって8つの新しい脆弱性が発見されたと言われている今年初めから。
複数の研究チームがインテルの CPU に 8 つの新たなセキュリティ上の欠陥を発見しました。レポートドイツの出版物だめだ。発見されたものはすべて同じ設計関連の問題によって引き起こされており、それぞれが Common Vulnerability Enumerator (CVE) ディレクトリに独自のリストを備えており、独自のパッチを必要としていると主張されています。
脆弱性ではよくあることですが、研究者らは問題をインテルに公開し、一般公開が行われる前にチップメーカーにパッチを作成する時間を与えました。検索会社の独自の研究チームであるGoogle Project Zeroは、90日間の開示期限を非常に厳格に守っていると言われており、欠陥の1つに関する最初の公式開示が早ければ5月7日に行われる可能性がある。
このレポートによると、Intel は問題を修正するために 2 つのパッチを計画しており、最初のパッチは 5 月に開始され、2 番目のパッチは 8 月中に予定されています。また、Microsoft はオプションの Windows アップデートとして提供される独自のパッチを準備しており、Linux カーネル開発者は独自の緩和策に取り組んでいるとも考えられています。
現在のすべての Mac シリーズが Intel プロセッサを使用していることを考えると、Apple が問題の影響を受けていないか、パッチを用意しているか、ソフトウェアの対抗策を作成中である可能性が非常に高くなります。
これらの脆弱性について知られていることから、Intel は 4 件を「高リスク」に分類し、その他は「中」リスクに分類しています。報告書は、そのうち 7 つの脆弱性について、リスクと潜在的な攻撃の構造が Spectre のものと類似していると主張しています。
8 番目の脆弱性は明らかに例外であり、攻撃者がホスト システムを攻撃する方法として仮想マシン (VM) でエクスプロイトを開始できる可能性があるため、Spectre 自体よりも大きな脅威となる可能性があります。 VM をプライベートで操作する一部の個人ユーザーだけでなく、企業にも大きな影響を及ぼしますが、この脆弱性は同じサーバー上の他の VM インスタンスを攻撃するために利用される可能性もあり、Intel の Software Guard Extensions (SGX) は「Spectre-safe」ではないため、また、VM インスタンス間で送信されるパスワードやキーを傍受する可能性もあります。
インテルは声明を発表した潜在的な開示に先立って、脆弱性の存在を効果的に確認します。同社は、「特定された問題を理解し、軽減する」ために定期的に他の関係者と協力しており、「調整された開示の価値」を強く信じており、システムを最新の状態に保つようユーザーに注意を喚起していると述べた。
1月に明らかになった、メルトダウンとスペクターIntel および ARM ベースのプロセッサのチップの欠陥により、そのコンポーネントを使用するシステムで多数のエクスプロイトが作成される可能性がありました。すべての Mac および iOSデバイスがこの問題の影響を受けることが判明しましたが、Apple は当時、現在のオペレーティング システム バージョンに対する緩和策をすでにリリースしており、他の修正プログラムの開発に取り組んでいることを示唆していました。
その後の数か月で、インテルは次のような問題の対象となりました。訴訟の数インテルの株価への影響を含む設計上の欠陥と、インテルが脆弱性を知らされた後、公表される前に最高経営責任者(CEO)のブライアン・クルザニッチが数百万ドル相当の株式を売却したとされる告発を巡って。
インテルも通知を怠ったことで批判された米国のサイバーセキュリティ当局者一般の人々がその存在を認識するまでは、欠陥を指摘しませんでした。
Isamu 
Isamu 
Isamu