「Spectre」「Meltdown」関連で新たに7件の脆弱性
研究チームはSpectreとMeltdownに関連する一連の攻撃について体形的に検証し、7件の脆弱性を新たに発見。Intel、AMD、ARMの大手3社のプロセッサについて影響を確認した。
IntelなどのCPUに発覚した「Spectre」「Meltdown」と呼ばれる脆弱性に関連して、新たに見つかった7件の脆弱性に関する学術論文が11月13日に発表された。
SpectreとMeltdownは、現代のCPUが性能向上のために実装している仕組みの「弱点」として浮上したもので、攻撃者が本来はアクセスできないはずの情報にアクセスできてしまう恐れがある。2018年1月に発覚して以来、関連する脆弱性が相次いで発見され、Intelなど業界の各社が対策パッチを公開して対応している。
研究チームは今回、SpectreとMeltdownに関連する一連の攻撃を「Transient Execution Attack」(一時的実行攻撃)と命名し、体形的に検証した。その結果、7件の脆弱性が新たに見つかったという。
このうち2件はMeltdown関連の脆弱性、残る5件はSpectre関連の脆弱性に分類。それぞれIntel、AMD、ARMの大手3社のプロセッサについて、コンセプト実証を通じて影響を確認した。
3社にはそれぞれ今回の研究結果について連絡を取り、IntelとARMは指摘された内容を認めているという。
体系的検証を通じ、これまでに配信されたパッチによって緩和されたはずの攻撃を、依然として仕掛けることができてしまうことも分かったと研究チームは報告。論文ではSpectreとMeltdownのそれぞれについて、攻撃を防ぐための対策を提言している。
Copyright © ITmedia, Inc. All Rights Reserved.
関連記事
IntelのCPUに新たな脆弱性、研究チームが実証コード公開
脆弱性はIntelのCPU「Skylake」「Kaby Lake」で確認され、研究チームはこの問題を突いて、TLSサーバからOpenSSL秘密鍵を盗むことに成功したという。
「Spectre」関連の新たな脆弱性、米研究チームが発表
今回の脆弱性は、これまでの「Spectre」のような分岐予測ユニットではなく、リターンアドレスの予測に使われる「Return Stack Buffer(RSB)」という機能に存在するという。
「Spectre」関連の脆弱性、また新たに発覚 IntelやARMのプロセッサに影響
Intelなどのプロセッサに搭載されている投機的実行という機能に関連して、マサチューセッツ工科大学(MIT)などの研究者が新たな脆弱性を報告した。
「Spectre」「Meltdown」問題――今、情シスは何をすべきか?
年初に公表された「Spectre」と「Meltdown」により、IT業界全体が振り回されている。対策も二転三転する状況が続いているが、情シスはどのようにこの問題に向き合えばいいのだろうか。