「Spectre」「Meltdown」と類似した脆弱性2件が判明 - 数週間以内に更新予定
Intelでは、「Spectre」「Meltdown」の判明以降、バグバウンティプログラムを拡張しており、SYSGOの研究者が「CVE-2018-3640」を報告。またGoogle Project ZeroやMicrosoftの研究者からそれぞれ「CVE-2018-3639」について報告を受けたという。
「CVE-2018-3640」では、タイミングサイドチャネル攻撃により、ローカルユーザーのアクセス権を持つ攻撃者によってシステムレジスタを読み取られ、取得されるおそれがある。
一方「CVE-2018-3639」は、投機的ストアをバイパスされる脆弱性で、アクセスに特権が必要となる任意のデータやシステムレジスタ値を読まれるおそれがある。
実際にブラウザで動作するコードは確認されていないが、ブラウザで動作するJavaScriptのようなランタイムで悪用される可能性があるという。
(Security NEXT - 2018/05/22 )
ツイート
関連リンク
PR
関連記事
関係者リストを誤送信、入力用様式と同一ファイル名で取り違え - 堺市
「WatchGuard Firebox」のVPN機能に深刻なRCE脆弱性
「PHP」にセキュリティ更新 - 複数の脆弱性を修正
防災メールサービスが迷惑メール送信に悪用 - 和歌山県
会合で患者の個人情報を示唆、職員を処分 - 佐賀県医療センター好生館
グループ会社に不正アクセス、業務関連情報が流出か - ABCテレビ
セイコーSOL製IoT向け一部ルータに脆弱性 - 修正予定なし
コンテナ管理ツール「Rancher」に脆弱性 - アップデートを公開
「NVIDIA Container Toolkit」に権限昇格の脆弱性 - 「GPU Operator」も影響
介護サービスの評価システムにサイバー攻撃 - システムを一時停止


