「Spectre」「Meltdown」と類似した脆弱性2件が判明 - 数週間以内に更新予定

投機的実行を行うプロセッサにおいて、キャッシュサイドチャネル攻撃が可能となる「Meltdown」「Spectre」と類似したあらたな脆弱性2件が存在することがわかった。

今回あらたに「Variant 3a」とされる脆弱性「CVE-2018-3640」、「Variant 4」とされる脆弱性「CVE-2018-3639」が明らかとなったもの。

投機的実行のシーケンスを利用し、キャッシュタイミングにおいてサイドチャネル攻撃が可能となるもので、プロセッサメーカーやセキュリティ機関がアナウンスを行った。

これまで「Spectre」の「Variant 1」として「CVE-2017-5753」、「Spectre」の「Variant 2」として「CVE-2017-5715」、「Meltdown（Variant 3）」として「CVE-2017-5754」が判明しているが、あらたな脆弱性はこれらと類似。「CVE-2018-3639」に関しては、「SpectreNG」という別名もついている。

（Security NEXT - 2018/05/22 ） ツイート

PR

関連記事

MS、6月の月例パッチをリリース - 脆弱性6件がすでに悪用
OTとIT環境のトラフィックや資産を可視化する新サービス
通販顧客のメールアドレスが流出 - 入浴剤通販サイト
サーバが攻撃の踏み台に、CMS導入ファイル狙われる - 茨大工学部同窓会
2017年に不正アクセス、日本語脅迫メール届き情報流出が発覚 - ユピテル
新幹線オフィスの実証実験、画面覗き見対策や会話の保護も
「エポスカード」を装うフィッシング攻撃 - 利用確認装う手口
電子たばこ通販サイトに不正アクセス - 偽決済フォーム設置される
KADOKAWAの海外子会社に不正アクセス - ランサムウェアか
職員アカウントが海外より不正アクセス、スパムの踏み台に - 尚絅学院大