nabeshinによる
2008年08月13日 19時38分の掲載
修正されないままのマシンは残り続けそう部門より。
修正されないままのマシンは残り続けそう部門より。
Anonymous Coward 曰く、
Intel製CPUに脆弱性があり、2件の問題が修正され、12件がまだ残っているという記事が8月11日のComputerworldに掲載されている。この修正はOSに依存しない、Intelチップの構造的欠陥を利用した攻撃のときの記事を受けたものと思われ、今回の記事では、
とのこと。同氏は、2008年10月27日から30日にマレーシアで開催される予定のHITBSecConf2008において、この脆弱性を突いたPoCコードのデモンストレーションを行う予定であったが、業界関係者の要求に応じて、技術的詳細は明らかにするが、コードの重要な部分を公開しないことにしているそうだ。カスペルスキー氏は、Computerworld米国版の取材に対し、CPUの脆弱性について1カ月近く前からIntelと連絡を取り合っており、同氏が指摘した複数の脆弱性のうち、2件の重大な脆弱性を修正したと同社から報告を受けた
1ヶ月で直るってどういうことだ (スコア:3, すばらしい洞察)
Intelの Errata に書いてあるものを利用して攻撃して見せましょう、と言ってるんだから。
と言うことは、Errata上は「バグがあるのは判っている、直せない」になってたってことだ。
直すの自体はマイクロコードを更新するだけで済むだろうし、それなら Windows Update やら BIOS update やらで直せるんだろうが、ここまで外圧を食らってつつかれないと直そうとしないってのはどういうコスト・リスク分析の結果なのか、ちょっと白状しなさいと Intel に言いたくなる。
fjの教祖様
コメントを書く
Re:1ヶ月で直るってどういうことだ (スコア:2, 興味深い)
どうも根本的に何も判っていないようだね。経済論を振り回せばなんでも隠せると思ってはいけないよ!?
この手のバグは必ず『深刻度』を見積もる。
見積もって「大した事ないな」となったら対応しない。これは別に不思議ではない。
問題は「一般命令に存在するそのバグを駆使するだけで、特権モードでの実行権限が取得できる」類のバグをたいしたことがないと見積もった、そこの所だ。
.
何度も言うがこの障害は Errata に掲載されていたのだ。Errataに掲載されていた性質だけで特権権限を取得できる事が判ると言うことだ。
特権権限を取得できてしまうバグのどこをどう評価したら「大したことがない」になるのか!?
リスクに対する見積もり力の無さは、そのままセキュリティシステムに利用する事の危うさを意味する。と同時に、システムデザイン力の無さをも現す。
私の指摘しているのはそういうことだ。
fjの教祖様
コメントを書く
親コメント
Re:修正ってあーた (スコア:1, 参考になる)
CPUのマイクロコードはパッチ当てができる構造になっています。
主にBIOSがインテル提供のパッチを内蔵していて起動時にパッチします。
WindowsからでもドライバーでCPUパッチ可能だそうです。
コメントを書く
親コメント
マイクロコードを使った修正のOS対応状況 (スコア:2)
>IA-32 Microcode Update Driver: v1.14a
>microcode: CPU0 updated from revision 0x32 to 0x38, date = 09192007
マイクロコードのアップデートが行われているようです。
(実体はこれ /etc/init.d/microcode_ctl, /etc/firmware/microcode.dat)
microcodeの更新があった場合、WindowsではWindows update, Linuxなら
yum update等で更新出来るかと思いますが…
他のOSの対応状況はどうなってるんでしょうね? (調べたわけではありませんが、
全く対応なされてないのではと思ってます。)
コメントを書く
親コメント
Re:修正ってあーた (スコア:1)
>#なんか最近、そういうモノ多いよねぇ
客の方もとにかく早く安く出せと言うようになったからね。アップグレードサイクルも短くなって開発に長期間かけられないし。
要求に応えてるだけかと。
署名スパムがウザい?アカウント作って非表示に設定すればスッキリさ。
コメントを書く
親コメント
Re:修正ってあーた (スコア:1)
P6以降マイクロコードの修正はBIOS経由で出来るはずなので多分安心
#パッチに含まれてないとか言うことがない限り‥
コメントを書く
親コメント