[The Daily Star]セキュリティ研究者らは、インテル社、アドバンスト・マイクロ・デバイセズ社、ARMホールディングス社のチップを含む最新のコンピューティングデバイスのほとんどすべてから、機密情報を盗む可能性があるという一連のセキュリティ上の欠陥を明らかにした。
バグの1つはインテル固有のものだが、別のものはラップトップ、デスクトップコンピュータ、スマートフォン、タブレット、インターネットサーバーにも影響する。 インテルとARMは、この問題は設計上の欠陥ではないと主張していたが、パッチをダウンロードしてオペレーティングシステムを更新して修正する必要がある。
インテルのCEO、ブライアン・クルザニッチは、CNBCとのインタビューで、「電話、PC、あらゆるものが影響を及ぼしますが、製品によって異なります。
アルプハベト インクの研究者であるグーグレ プロジェクト ザーオは、いくつかの国の学術および産業界の研究者とともに、2つの欠陥を発見しました。
最初のメルトダウンと呼ばれるものは、インテルのチップに影響を及ぼし、ユーザーが実行するアプリケーションとコンピュータのメモリとの間のハードウェアの障壁をバイパスし、ハッカーがコンピュータのメモリを読み取ってパスワードを盗む可能性があります。 2番目のものは幽霊と呼ばれ、インテル、AMD、ARMのチップに影響を及ぼし、ハッカーは間違いなくエラーのないアプリケーションを潜在的に秘密の情報を放棄することを可能にします。
研究者らは、アップル社とマイクロソフトコーポレーションは、メルトダウンの影響を受けるデスクトップコンピュータのユーザーのための準備が整っていると言いました。 マイクロソフトはコメントすることを拒否し、林檎はすぐにコメントのリクエストを返さなかった。 グラーツ工科大学のメルトダウン氏を発見したダニエル・グラス氏は、ロイターとのインタビューで、これがおそらく最も深刻なCPUバグの1つであると言いました。
グルッス氏によると、メルトダウンは短期的にはより深刻な問題であったが、ソフトウェアのパッチによって決定的に停止する可能性がある。ほぼすべてのコンピューティングデバイスに適用されるより広範なバグである幽霊は、ハッカーがパッチを当てるのは難しいが、長期的にはより大きな問題になるだろう、と彼は述べた。
インテルのクルザニッヒ氏はCNBCとのインタビューで、グーグレの研究者らがインテルに「しばらく前にこの欠陥を報告し、チップを使用するデバイスメーカーが来週に向けてテストを進めているとテストしている」と述べた。問題が公開される前に、グーグレのブログによれば、インテルなどが1月9日にこの問題を明らかにする予定だという。グーグレは、影響を受けた企業に2017年6月1日の &クオト;幽霊&クオト;脆弱性について報告し、 &クオト;メルトダウン&クオト;最初の瑕疵だが、2017年7月28日まで。
この脆弱性は、最初にテクフ プブリカチオン トヘ レギスターによって報告された。また、問題を修正するためにインテルチップが5〜30%遅く動作する可能性があるとの報告もありました。
インテルは、このパッチがインテルチップをベースにしたコンピュータを駄目にするであろうことを否定した。
「インテルは、これらの悪用を軽減するためにソフトウェアとファームウェアのアップデートを提供し始めている」と、声明で発表した。 「一部のレポートとは異なり、パフォーマンスへの影響はすべてワークロードに依存し、平均的なコンピュータユーザーにとっては重要ではなく、時間の経過とともに軽減される」
ARMスポークスマンフィルヒューズによると、パッチはすでに多くのスマートフォンメーカーを含む同社のパートナーと共有されているという。
「この方法は、特定の種類の悪意のあるコードが既にデバイス上で実行されている場合にのみ機能し、最悪の場合、特権メモリから小さなデータがアクセスされる可能性がある」とヒューズ氏は電子メールで述べている。
AMDチップは、セキュリティ脆弱性の少なくとも1つの変種の影響を受けるが、ソフトウェアアップデートでパッチを当てることができる。同社は、現時点ではAMD製品に対するリスクはゼロに近いと考えていると語った。
グーグレは最新のセキュリティアップデートを搭載したアンドロイド携帯電話が保護されていること、最新のセキュリティアップデートを搭載したネクサスとピクセルの携帯電話もブログ記事で述べている。 グマイルユーザーは自分自身を守るために何か別の行動を取る必要はありませんが、クフロメブーク、クロムウェブブラウザ、および多くのグーグレ クルードサービスのユーザーは更新プログラムをインストールする必要があります。
企業が使用するクラウドコンピューティングサービスのアマゾン ウェブサービスは、インターネットサーバーのほとんどが既にパッチされており、残りはパッチ適用中であると語った。
Bangladesh News/The Daily Star 20180105
http://www.thedailystar.net/business/security-flaws-put-virtually-all-phones-computers-risk-1515310
関連
