■ このスレッドは過去ログ倉庫に格納されています
【CPU】AMD、CTS-Labsが公表したチップ脆弱性を修正へ--悪用には「管理者権限」が必要【公式発表】
- 1 :へっぽこ立て子@エリオット ★:2018/03/22(木) 13:23:30.24 ID:CAP_USER.net
- AMDは、イスラエル拠点のセキュリティ企業CTS-Labsが3月に入って指摘していたバグについて、同社のチップにこのバグに対する脆弱性があることを認めた。
AMDのプロセッサに脆弱性、セキュリティ企業が情報公開--懐疑的な見方も
https://japan.cnet.com/article/35116106/
AMDは、米国時間3月20日の声明で、CTS-Labsが明らかにした同社のチップ「Ryzen」「Epyc」に関して指摘されたセキュリティ上の問題点についてファームウェアとBIOSのアップデートの開発に着手したと述べた。これらの脆弱性は、3月13日にAMDに通知されてからわずか24時間後に、CTS-Labsにより公表されていた。
今回のケースでは、脆弱性公表の手法が通常とは異なるとして、無名のセキュリティ企業であるCTS-Labsが研究者や開発者から批判されている。Linuxを開発したLinus Torvalds氏は、CTS-Labsのセキュリティ勧告と情報拡散のためのウェブサイトを評して、「株価操作のように見える」と述べた。
https://japan.cnet.com/article/35116259/
発表は急だったかもしれないが、CTS-Labsが発見した脆弱性は、米国のセキュリティ企業Trail of Bitsによって存在が裏付けられた。Trail of Bitsはイスラエルのアンチウイルス企業であるCheck Pointとともに、CTS-Labsが見つけた脆弱性の検証を依頼されていた。
https://blog.trailofbits.com/2018/03/15/amd-flaws-technical-summary/
https://research.checkpoint.com/check-point-responds-amd-flaws/
AMDは今回の脆弱性を「Masterkey」「RyzenfallおよびFallout」「Chimera」の3つのカテゴリーに分類しており、「数週間以内」にリリースされるファームウェアとBIOSの更新で修正するとしている。
別の脆弱性「Spectre」が明らかになった際には、一時的な対策のためにチップ性能にオーバーヘッドが生じたが、AMDによると、CTS-Labsが発見した今回のバグに対するファームウェア更新は、チップの性能には影響しない見込みだ。
https://community.amd.com/community/amd-corporate/blog/2018/03/21/initial-amd-technical-assessment-of-cts-labs-research
AMDによると、この3種類の脆弱性が悪用されるおそれがあるのは、システムがすでに攻撃者によって乗っ取られている場合に限られるという。
また、3種類の脆弱性はいずれも、攻撃者が悪用するには管理者権限が必要になるとしている。
2018年03月22日 10時39分
CNET Japan
https://japan.cnet.com/article/35116485/
- 2 :名刺は切らしておりまして:2018/03/22(木) 13:24:18.32 ID:jDdzqN1G.net
- インテル漏らしてる
- 3 :名刺は切らしておりまして:2018/03/22(木) 13:30:09.47 ID:6WnQVt9t.net
- 管理者権限を取られたらセキュリティーホールもクソも無いだろ
- 4 :名刺は切らしておりまして:2018/03/22(木) 13:34:23.83 ID:4SotLylx.net
- >>これらの脆弱性は、3月13日にAMDに通知されてからわずか24時間後に、CTS-Labsにより公表されていた
インテル急ぎすぎやろw
ようやく脆弱性を見付けて大喜びで公表したんだろなw
- 5 :名刺は切らしておりまして:2018/03/22(木) 13:39:58.44 ID:XHsPH1Yb.net
- 「この家は泥棒に入られることがわかった。但し泥棒に入るには鍵が必要である」
- 6 :名刺は切らしておりまして:2018/03/22(木) 13:47:28.09 ID:D3QhYAOT.net
- ただの難癖
インテル最悪
- 7 :名刺は切らしておりまして:2018/03/22(木) 14:21:41.97 ID:q2C3c/Ol.net
- まぁ、色々難癖じみた部分があったけど…
とりあえず、AMDが早急な対応したという点は好感が持てる
- 8 :名刺は切らしておりまして:2018/03/22(木) 14:40:20.30 ID:f6QwDIPl.net
- ヘッジファンドの陰謀だったんだろう?
- 9 :名刺は切らしておりまして:2018/03/22(木) 14:52:55.74 ID:Mq670DFN.net
- このイスラエルの会社も急ごしらえの会社で
会社概要の写真なんかもフリー素材の背景使ってたのバレてたよな
インテルやる事が雑すぎる
- 10 :名刺は切らしておりまして:2018/03/22(木) 15:18:05.40 ID:Q7jA0S9g.net
- Intelの優位はプロセス技術だけ
- 11 :名刺は切らしておりまして:2018/03/22(木) 15:31:19.39 ID:1ZKat0ZI.net
- インテルとかMSとかコンピュータ関係産業界の老害だね
- 12 :名刺は切らしておりまして:2018/03/22(木) 15:43:32.52 ID:hAMpGghA.net
- 管理者権限を取られたら インテルもお陀仏
- 13 :名刺は切らしておりまして:2018/03/22(木) 15:51:27.67 ID:UWnDrUkt.net
- 管理者権限あれば俺だってハッキングできるよ
インテル必死すぎだろ
- 14 :名刺は切らしておりまして:2018/03/22(木) 15:55:40.29 ID:bm7i2j1o.net
- これは修正することによる性能低下のほうが
- 15 :名刺は切らしておりまして:2018/03/22(木) 16:06:26.31 ID:8fWe59HI.net
- この管理者権限ってソフトインストールする時にはい・いいえ押すあれだろ?
企業の専門家が全部管理しててロックしてるパソコンなら違うだろうけど
普通個人のパソコンでは買ったままの以外にもソフトインストールするもんだし何か仕込まれたソフトインストールしたら終わりじゃないか
しかもマルウェアみたいに検出できないそうだし
- 16 :名刺は切らしておりまして:2018/03/22(木) 16:12:13.18 ID:VTmBl7kp.net
- >>15
ちょっと違うかな
- 17 :名刺は切らしておりまして:2018/03/22(木) 16:13:36.22 ID:rZuKMuez.net
- 管理者権限あれば何だってできるやろ
- 18 :名刺は切らしておりまして:2018/03/22(木) 16:18:59.50 ID:8fWe59HI.net
- レノボみたいな会社がまたマルウェアもどきの作ったとして
そういうソフトインストールしたら見つからなくてそこで終わりというイメージとは違うのか?
それとも何か妖しい動きするたびにはい・いいえの画面が出てくるイメージなのか?
それでも次から省略みたいなの押したら終わるけど
- 19 :名刺は切らしておりまして:2018/03/22(木) 16:27:11.90 ID:miMakgAF.net
- 何も心配してなかったぜ
- 20 :名刺は切らしておりまして:2018/03/22(木) 16:28:00.07 ID:g1lO+n8U.net
- >>1
この修正はチップ性能に影響しないので、AMDのチップがより完成度の高い物になった。
I●●●●社のお陰だね!
- 21 :名刺は切らしておりまして:2018/03/22(木) 16:38:44.65 ID:8XIjyD5i.net
- 久しぶりにイベントビューアを見たらCPU関連の攻撃と思われるログが残ってる端末があったわ(笑)
アンチウィルスすり抜けてるしIDSも反応してなかったから、そろそろ本格的にやばそうになってきたな・・・
ESETはダメだ
- 22 :名刺は切らしておりまして:2018/03/22(木) 16:45:31.23 ID:pw76TikN.net
- >>4
それで詳細な再現ビデオまでついてたのか
- 23 :名刺は切らしておりまして:2018/03/22(木) 17:23:53.72 ID:M3dLfxF0.net
- >>10
プロセスも他がインテル抜いたらそこ使えばええだけだし
インテルは自社工場だからそんな乗り換えは出来ない
- 24 :名刺は切らしておりまして:2018/03/22(木) 17:26:14.27 ID:znSPKGxo.net
- 逆にIntelより全然早く対応終わっちゃって信頼性高まったけどどうすんのこれwwwwww
- 25 :名刺は切らしておりまして:2018/03/22(木) 18:02:43.77 ID:KzjU/4Fn.net
- 管理者権限取得されている時点で普通に乗っ取られている筈なんだがw
- 26 :名刺は切らしておりまして:2018/03/22(木) 19:11:02.39 ID:lZwiwHFS.net
- 情弱は管理者権限のユーザでログオンするからな
- 27 :名刺は切らしておりまして:2018/03/22(木) 19:53:49.84 ID:V086zB5B.net
- >>4
2017年6月Google
インテルにCPUの脆弱性を報告
2017年9月インテル
Coffee Lake(脆弱性あり)発表
2017年11月インテルCEO
大量のインテル株を売却
2018年1月
インテルメルトダウン騒動
- 28 :名刺は切らしておりまして:2018/03/22(木) 20:06:52.14 ID:V086zB5B.net
- 90日も掛らずにAMDは修正パッチを作る
それが分かっていたから24時間で公表した訳か
購入させないための圧力w
AMD、報告直後に公表されたRyzenなどの脆弱性にまもなく修正をリリース。
https://japanese.engadget.com/2018/03/21/amd-ryzen/
CTSは「AMDがパッチを用意するには何か月、
もしくは何年もの期間がかかるから
90日の猶予は意味をなさない。
むしろすぐに公開すればメーカーに対して
圧力をかけるとともに、
ユーザーがリスクある製品を購入する
リスクを判断できるようになる」
- 29 :名刺は切らしておりまして:2018/03/22(木) 20:13:18.29 ID:kdtISKsb.net
- AMDのサーバーCPUのシェアが1%から2%に増えて更に増えてるようだからな
- 30 :名刺は切らしておりまして:2018/03/22(木) 20:38:28.27 ID:g1lO+n8U.net
- むしろAMDの評価が高まった事件になった
- 31 :名刺は切らしておりまして:2018/03/22(木) 22:21:57.70 ID:PDTqUxE2.net
- イスラエル企業からの公表な時点でインテルの息が掛かってるとすぐに想像しちゃうよね。
- 32 :名刺は切らしておりまして:2018/03/23(金) 02:39:30.49 ID:OPGknHUi.net
- 大半のユーザーは領域も割らないし
ユーザーもシングル管理で割ってない
特にやすいエントリー製品だとメモリやハードの余裕が無いので
管理者権限と普段のユーザーなんて風に割って使わないので
いつもそのまま管理者権限でログインしてる奴が殆どだ
そんでパスワードが123とか自分の名前とかよく見かけるw
- 33 :名刺は切らしておりまして:2018/03/23(金) 02:49:03.03 ID:dj9SVn2y.net
- BIOSの更新はやったことあるけど
CPUのファームウェアの更新ってどうやるんだ?
BIOS画面でできるのか?
それともWINDOWS上でやるのか?
- 34 :名刺は切らしておりまして:2018/03/23(金) 02:57:04.12 ID:0I7dhQ5Y.net
- 脆弱性というより、バグだよな。
- 35 :名刺は切らしておりまして:2018/03/23(金) 06:14:37.88 ID:ZcerwJrn.net
- >>5
わろた
- 36 :名刺は切らしておりまして:2018/03/23(金) 08:57:00.44 ID:937LIiEk.net
- >>33
BIOSあるいはOSのアップデートでCPUファームウェアも更新される
ファームウェアのロード自体はBIOSあるいはOS起動時に毎回行われる
(CPUにもともと備わっているファームウェアの代わりに使用される)
- 37 :名刺は切らしておりまして:2018/03/23(金) 10:58:21.36 ID:dj9SVn2y.net
- >>36
おお サンクス
- 38 :名刺は切らしておりまして:2018/03/23(金) 11:48:46.68 ID:1qSoMKkI.net
- 仮にファーム書き換えて管理者権限持ってこの脆弱性を使えても
本当の管理者は管理者権限でファーム上書きできるし
- 39 :名刺は切らしておりまして:2018/03/23(金) 11:59:28.44 ID:YEcpbbMp.net
- https://japan.zdnet.com/article/35116259/
>これはTorvalds氏によると、
>「私にはセキュリティアドバイザリというよりも株価操作に見える」
>という。
ワロタ
- 40 :名刺は切らしておりまして:2018/03/23(金) 12:13:14.88 ID:x8wrlCG3.net
- この脆弱性で悪意のあるプログラムを仕込まれたら検知できないって言うけど、
管理者権限を持ってるなら同じ脆弱性経由で改ざんのチェックや初期化ができるんだよな。
いざとなればそのためのツールも配布するだろうし。
- 41 :名刺は切らしておりまして:2018/03/23(金) 12:35:52.25 ID:E41F7b+6.net
- そもそも脆弱性じゃないよ
違法Bios使われたらどんなシステムでもアウトだよ、そんなのどうしようもない
それを今回違法Bios自体を使わせないようにすることで対策としただけ
Biosのバージョンチェックとかを厳しくして公式以外はじくようにした
- 42 :名刺は切らしておりまして:2018/03/23(金) 13:50:27.20 ID:SO9dr62x.net
- >>38
ファーム書換処理内で整合性・正当性のチェックってしてないのか?
- 43 :名刺は切らしておりまして:2018/03/23(金) 14:07:42.46 ID:E41F7b+6.net
- >>42
してるけど更に厳しくしたんだと思う
- 44 :名刺は切らしておりまして:2018/03/23(金) 14:10:41.49 ID:SO9dr62x.net
- >>43
多分メーカーの署名も入っているよね?
- 45 :名刺は切らしておりまして:2018/03/23(金) 14:18:49.85 ID:E41F7b+6.net
- CPUのセキュリティが固くて今回みたいなバカな脆弱性をでっち上げるしか無かったけど、それすら対応されてしまったな
もう何処にも脆弱性とか残ってないだろRyzenは
- 46 :名刺は切らしておりまして:2018/03/23(金) 14:35:57.19 ID:SO9dr62x.net
-
セキュリティ会社 「AMDのCPUは電源断で機能が停止してしまう脆弱性があります」
- 47 :名刺は切らしておりまして:2018/03/23(金) 15:29:50.90 ID:bmUdcukl.net
- >>46
DHMO並の難癖
- 48 :名刺は切らしておりまして:2018/03/23(金) 17:33:44.41 ID:4VvYSeot.net
- >>42
してるよ
アホみたいに堅い
- 49 :名刺は切らしておりまして:2018/03/23(金) 17:43:32.93 ID:E41F7b+6.net
- アホみたいに硬いけど、微粒子レベルで抜け穴があるかも知れないから今回それも潰したってことだろう
- 50 :名刺は切らしておりまして:2018/03/23(金) 19:29:04.48 ID:+htMp+IX.net
- >>49
まぁAMD担当部分はね
AMIとかあっちはどうだろう
あんま弄ると更新時の不具合増えるだろうし
総レス数 50
13 KB
掲示板に戻る
全部
前100
次100
最新50
read.cgi ver 2014.07.20.01.SC 2014/07/20 D ★