Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

主要メーカー「CPU」に脆弱性、データ漏洩のおそれ - クラウド含む幅広い環境へ影響

Intelをはじめ、主要メーカーが提供するプロセッサ「CPU」に脆弱性が存在し、多くの環境に影響を及ぼすことがわかった。根本的な解決にはCPUを交換する必要があるが、OSによる影響の緩和も可能とされており、必要に応じてアップデートを実施するよう呼びかけられている。

データを解読する「投機的実行サイドチャネル攻撃」によってメモリロケーションからデータを取得できる脆弱性が明らかになったもの。

2種類の脆弱性が指摘されており、「CVE-2017-5754」は「Meltdown」、「CVE-2017-5753」「CVE-2017-5715」については「Spectre」と命名されている。悪用は確認されていない。

いずれも、CPUにおけるアーキテクチャの設計に起因。脆弱性を悪用することでセキュリティ機能「KASLR(Kernel Address Space Layout Randomization)」なども回避し、ユーザー権限で動作するアプリケーションより本来アクセスできないメモリの内容を取得することが可能になる。

脆弱なCPUを搭載した端末であれば、パソコンはもちろん、モバイル端末やクラウドなど幅広い環境へ影響。また脆弱性の攻撃を受けた場合、ログファイルには痕跡が残らず、気が付くことが難しいという。

(Security NEXT - 2018/01/05 ) このエントリーをはてなブックマークに追加

PR

関連記事

「VMware vCenter Server」の深刻な脆弱性 - 悪用リスク上昇
「VMware vCenter Server」に深刻な脆弱性 - 「VMware ESXi」の脆弱性も
Windows向け「Zscaler Client Connector」に権限昇格の脆弱性
「Cisco Application Services Engine」などに深刻な脆弱性
「Movable Type」にXSSの脆弱性 - アップデートが公開
「Firefox 86」が公開、Cookie対策強化 - 脆弱性12件を修正
SonicWall、VPN製品向けに追加アップデート - すぐに更新を
CiscoのWindows向けVPNクライアントに脆弱性 - 更新を
「Office for Mac」向けにセキュリティ更新 - 脆弱性2件を修正
「BIND 9」にリモートより悪用可能な脆弱性 - アップデートが公開