Havebin

Vision

インテルチップのセキュリティ欠陥は依然として存在するとセキュリティ研究者が指摘c

Havebin
qlamk
0 Comments
インテルチップのセキュリティ欠陥は依然として存在するとセキュリティ研究者が指摘c
インテルチップのセキュリティ欠陥は依然として存在するとセキュリティ研究者が指摘c
インテルチップのセキュリティ欠陥は依然として

セキュリティ研究者によると、Intelチップのセキュリティ上の欠陥は、すべてのMac、Windows、Linuxマシンに影響を及ぼすが、チップメーカーは修正済みと主張しているにもかかわらず、依然として存在しているという。ARMプロセッサでも同様の欠陥が見つかり修正されたが、現時点ではARMプロセッサにさらなる問題が残っているという兆候はない。

昨年、IntelのCPUの「根本的な設計上の欠陥」が明らかになり、SpectreとMeltdownと呼ばれるセキュリティ脆弱性が発見されました。これらの脆弱性により、攻撃者はカーネルメモリ内のデータを閲覧することが可能となり、キャッシュされたドキュメントからパスワードに至るまで、あらゆるデータが盗み見られる可能性があります…

アップルとマイクロソフトはインテルの修正に基づいてパッチを出したが、セキュリティ研究者らは、チップメーカーが修正に6カ月を要した欠陥のさらなる亜種を特定したと述べており、未修正の脆弱性がさらに残っている。

ニューヨーク・タイムズ紙は、インテルが人々を誤解させているのではないかという懸念から、研究者らが情報を公表したと報じている。

昨年5月、インテルは、研究者らが同社のコンピュータープロセッサーで発見した一連のセキュリティ上の脆弱性に対するパッチをリリースした際、すべての問題が解決されたと示唆した。

しかし、脆弱性を発見し、2018年9月に初めてこのテクノロジー大手に報告したアムステルダム自由大学のオランダ人研究者によると、それは完全に真実ではなかった。プロセッサの問題を修正することを目的としたソフトウェアパッチは、研究者が発見した問題の一部にしか対処していなかったのだ[…]

インテルの公式発表は「すべて修正済み」だったと、アムステルダム自由大学のコンピュータサイエンス教授で、脆弱性を報告した研究者の一人であるクリスティアーノ・ジュフリーダ氏は述べた。「そして、それが正確ではないことは分かっていました。」

責任あるセキュリティ研究者は、まず関係企業に調査結果を非公開で開示し、通常は公表前に6ヶ月間の問題修正期間を設けます。この方法は通常、ハードウェアおよびソフトウェアのサプライヤーにパッチ作成の時間を与え、一般の人々にアップデートの必要性を周知することで、効果的に機能します。

しかしオランダの研究者らは、インテルがこのプロセスを悪用していると主張している […]火曜日にリリースされた新しいパッチでは、5月にインテルに提供した別の欠陥がまだ修正されていないと彼らは述べた。

インテルは、5月のパッチが研究者らが提出したすべての脆弱性を修正したわけではないことを認めた。火曜日のパッチも同様だ。しかし、攻撃のリスクは「大幅に軽減」されると、同社の広報担当者リー・ローゼンワルド氏は述べた。

研究者らによると、チームはできる限り長くインテルに協力したが、最終的には情報公開が必要だと判断した。第一に同社に恥をかかせて行動を起こさせるため、第二に欠陥の詳細がすでに漏れ始めており、悪意のある人物がエクスプロイトを作成できるようになるためである。

オランダ人研究者たちは、インテルが5月にリリースした修正プログラムの開発に取り組んでいた間、発見した問題について8ヶ月間沈黙を守っていた。その後、インテルは修正プログラムですべてが解決されていないことに気づき、さらに6ヶ月間沈黙を守るよう求めた。さらに、研究者たちがセキュリティ会議で発表する予定だった論文を修正し、修正プログラム未適用の脆弱性に関する記述を削除するよう要求したと研究者たちは述べている。研究者たちは、修正プログラムが公開されないまま欠陥が公開されることを望まなかったため、渋々ながらこれに同意したと述べている。

「世界が脆弱性を知らないように、その部分を隠すために論文を編集しなければならなかった」と、脆弱性を報告したグループの一員で、アムステルダム自由大学のコンピューターサイエンス教授カヴェ・ラザビ氏は述べた。

研究者らによると、火曜日のパッチリリースに先立ち、未修正の脆弱性についてインテルに通知したところ、インテルは研究者らに対し、次のパッチが公開されるまで沈黙を守るよう要請した。しかし、今回は研究者らは拒否した。

「インテルは今でもこの問題を解決していないということを世界に伝える時が来たと我々は考えている」と、アムステルダム自由大学のジュフリーダ氏とラザヴィ氏の同僚であるハーバート・ボス氏は述べた。

「誰でも(インテルチップのセキュリティ上の欠陥を)武器として利用できます。そして、実際に公表しなければ事態はさらに悪化します。なぜなら、実際には保護されていないユーザーに対して、これを悪用できる者が出てくるからです」とラザビ氏は述べた。

Intel チップのセキュリティ欠陥に関する最新章の全文は、読む価値があります。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。

Havebin

Havebin

This author has no bio yet.

You May Also Like