Security NEXTでは、最新の情報セキュリティに関するニュースを日刊でお届けしています。

主要メーカー「CPU」に脆弱性、データ漏洩のおそれ - クラウド含む幅広い環境へ影響

Intelをはじめ、主要メーカーが提供するプロセッサ「CPU」に脆弱性が存在し、多くの環境に影響を及ぼすことがわかった。根本的な解決にはCPUを交換する必要があるが、OSによる影響の緩和も可能とされており、必要に応じてアップデートを実施するよう呼びかけられている。

データを解読する「投機的実行サイドチャネル攻撃」によってメモリロケーションからデータを取得できる脆弱性が明らかになったもの。

2種類の脆弱性が指摘されており、「CVE-2017-5754」は「Meltdown」、「CVE-2017-5753」「CVE-2017-5715」については「Spectre」と命名されている。悪用は確認されていない。

いずれも、CPUにおけるアーキテクチャの設計に起因。脆弱性を悪用することでセキュリティ機能「KASLR(Kernel Address Space Layout Randomization)」なども回避し、ユーザー権限で動作するアプリケーションより本来アクセスできないメモリの内容を取得することが可能になる。

脆弱なCPUを搭載した端末であれば、パソコンはもちろん、モバイル端末やクラウドなど幅広い環境へ影響。また脆弱性の攻撃を受けた場合、ログファイルには痕跡が残らず、気が付くことが難しいという。

(Security NEXT - 2018/01/05 ) このエントリーをはてなブックマークに追加

PR

関連記事

「Chrome 90.0.4430.212」が公開、セキュリティ関連で19件の修正
IoT機器や制御機器に用いるRTOSなどにRCE脆弱性「BadAlloc」
「EC-CUBE」に脆弱性、クレカ情報流出被害も - 早急に更新や攻撃有無の確認を
「VMware vRealize Business for Cloud」に深刻なRCE脆弱性
MTAの「Exim」に21件の脆弱性 - 最新版へ更新を
2009年以降のDell製端末のドライバに脆弱性 - アップデートが順次公開、未提供の場合も削除を
VR空間プラットフォーム「Hubs Cloud」に認証情報流出のおそれ
「Firefox」にセキュリティ更新 - Android版のみ影響する深刻な脆弱性も
「Samba」にサービス拒否や共有ファイルを削除される脆弱性
VPN製品「Pulse Connect Secure」にアップデート - ゼロデイ脆弱性など修正