Intel製プロセッサでデータ漏えいを引き起こす可能性のある新種の脆弱性「CacheOut」が見つかった。これまでに明らかになった同様の脆弱性よりも進刻な攻撃につながる可能性があるという。何が危険なのか。
Intel製プロセッサの処理を高速化する「投機的実行」の仕組みに潜む新たな脆弱(ぜいじゃく)性が明らかになった。この脆弱性は「CacheOut」と呼ばれる。CacheOutを悪用した攻撃は、同じく投機的実行に潜む「Meltdown」「Spectre」「ZombieLoad」といった、これまでに見つかった脆弱性の対策では防げない可能性がある。CacheOut攻撃は、2018年第4四半期(10〜12月)より前に販売されたIntel製プロセッサでデータ漏えいを引き起こす恐れがある。
CacheOutより前に観測された、投機的実行に関する脆弱性に「Microarchitectural Data Sampling」(MDS)がある。攻撃者はMDSを悪用することで、プロセッサのバッファーにあるデータを不正に取得できるようになる。ただし、どのようなデータを取得するかについては、ほとんどコントロールできない。
IntelはMDSを悪用した攻撃への対策としてパッチを提供した。このパッチを適用すると、ハードウェアレベルのセキュリティ機構「Intel Software Guard Extensions」(Intel SGX)で利用する隔離領域「エンクレーブ」などのセキュアなメモリ領域が変更されるときにバッファーを上書きする。これにより攻撃者が盗み出そうとしたデータが危険にさらされることを防ぐ。
攻撃者がCacheOutを悪用すると、こうしたバッファーを上書きする対策を回避できるだけでなく、プロセッサからどのデータを不正に取得するかを「かなりコントロールできる」と研究チームは説明する。CacheOut攻撃は、「ほぼ全ての」Intelプロセッサにあるセキュアなメモリ領域を侵害するという。
Copyright © ITmedia, Inc. All Rights Reserved.
「テレワークでネットが遅い」の帯域幅じゃない“真犯人”はこれだ
ネットワークの問題は「帯域幅を増やせば解決する」と考えてはいないだろうか。こうした誤解をしているIT担当者は珍しくない。ネットワークを快適に利用するために、持つべき視点とは。
「サイト内検索」&「ライブチャット」売れ筋TOP5(2025年5月)
今週は、サイト内検索ツールとライブチャットの国内売れ筋TOP5をそれぞれ紹介します。
「ECプラットフォーム」売れ筋TOP10(2025年5月)
今週は、ECプラットフォーム製品(ECサイト構築ツール)の国内売れ筋TOP10を紹介します。
「パーソナライゼーション」&「A/Bテスト」ツール売れ筋TOP5(2025年5月)
今週は、パーソナライゼーション製品と「A/Bテスト」ツールの国内売れ筋各TOP5を紹介し...
ITmediaはアイティメディア株式会社の登録商標です。
