intel_logo

266: Socket774 (ワッチョイ 7e81-9blg) 2020/03/11(水) 17:09:22.71 ID:N7Lq1lW40
Intel製CPUに新たな脆弱性「LVI」が判明、個人情報や企業の機密情報が流出する可能性も

Intel製CPUに証明書やパスワードといった機密情報を抜き取られる危険性をもつ脆弱性「Load Value Injection(LVI)」が判明しました。LVIは2018年以降たびたび報告されているCPUの「投機的実行」や「アウトオブオーダー実行」に関する脆弱性のひとつで、個人のコンピューターにおいては個人情報の漏洩、複数のサービスが1つのCPUで稼働しているデータセンターなどでは、権限の低い仮想環境のユーザーによって、権限の高い仮想環境にあるデータが盗まれる危険性が指摘されています。

LVI: Hijacking Transient Execution with Load Value Injection
https://lviattack.eu/
Intel CPUs vulnerable to new LVI attacks | ZDNet
https://www.zdnet.com/article/intel-cpus-vulnerable-to-new-lvi-attacks/
LVI Attacks: New Intel CPU Vulnerability Puts Data Centers At Risk
https://thehackernews.com/2020/03/intel-load-value-injection.html

今回の脆弱性「LVI」は、CPUの高速化を目的とした、条件分岐前に分岐後の処理を先読みして行う「投機的実行」や、処理が完了する前にその後の処理を先回りして行う「アウトオブオーダー実行」に関するもの。

01_m


(続きはこちら)
https://gigazine.net/news/20200311-lvi-vulnerability/
またか
262: Socket774 (ワッチョイ 025c-ijWZ) 2020/03/11(水) 08:54:48.25 ID:zJL2cMgk0
またSGX無効化したほうがいいですよレベルか
SGXも足引っ張りまくりだなぁ


263: Socket774 (ワッチョイ 0276-AXJv) 2020/03/11(水) 11:06:56.97 ID:aB0W4ki90
しかし、この問題でPCのBIOS更新・各種ドライバ・ソフトの更新をやってるPCなんて15%くらいか?
たいてい動いてたらほったらかしだろうw

264: Socket774 (ワッチョイ a263-FfQu) 2020/03/11(水) 12:37:39.19 ID:0lJXUsRm0
BIOS書き換えはBIOS吹っ飛ばすことがまれにあるからなあ

265: Socket774 (ブーイモ MM76-YgZJ) 2020/03/11(水) 13:45:30.78 ID:0NBE6HpGM
IntelのマイクロコードはWindows Updateに含まれてるからネット接続されてるPCならOS起動中はそれなりに適用されてるだろうけど、ドライバーはヤバいね

HP、Dell、Lenovoあたりは更新ドライバー配ってるけど、自作のマザボとか1年程度でサポート切ってくるから自分で集めるしかないけど一般には非公開なものとかあって限界がある

373: Socket774 (ワッチョイ 026e-FfQu) 2020/03/11(水) 16:44:32.33 ID:RB3PRZMK0
Web見るだけであうとなの?こえー

378: Socket774 (ワッチョイ 7e73-ZEhh) 2020/03/11(水) 17:41:41.44 ID:MV5fKtVe0
コア部分から出た脆弱性だからどうせその派生だろうと思ったけど今回のはちょっとやばそうだな
メイン機で仕事してるからオフラインにはできんし困ったな

267: Socket774 (アウアウクー MM51-Cr/u) 2020/03/11(水) 17:45:47.03 ID:zrKxF52LM
SGXすげーな

272: Socket774 (ワッチョイ 6ec0-YgZJ) 2020/03/11(水) 19:17:23.36 ID:0mnCrs4O0
脆弱性の宝庫

ME,SGX,HTT,P6

273: Socket774 (ワッチョイ 0211-drwQ) 2020/03/11(水) 19:22:03.13 ID:Azv0UCIr0
>>272
全部主役級ってのがまた凄い

274: Socket774 (ワッチョイ b99e-VXvJ) 2020/03/11(水) 19:38:34.07 ID:i2paVtIr0
>>272
TSXも忘れないであげてください

381: Socket774 (ワッチョイ c60c-I38D) 2020/03/11(水) 18:06:40.02 ID:P9xRjSJa0
脆弱性の宝石箱や~

275: Socket774 (ワッチョイ b9b1-ijWZ) 2020/03/11(水) 19:42:09.93 ID:5X7PabFE0
ソフトパッチによる対策が困難なCPU脆弱性“LVI” ~ルーバンKUなどの研究者が発表 - 窓の杜

  米Intelは3月10日(現地時間)、同社製品に関する月例の脆弱性情報を公開した。今月は合計9件のセキュリティアドバイザリがリリースされている。深刻度の最大評価は“HIGH”。特権昇格やサービス拒否(DoS)、情報漏洩につながる恐れがある。該当するソフトウェアやハードウェアを利用している場合は、できるだけ早いアップデートが望ましい。

    INTEL-SA-00354:Intel Smart Sound Technology(特権昇格、深刻度“HIGH”)
    INTEL-SA-00352:BlueZ(特権昇格、サービス拒否、深刻度“HIGH”)
    INTEL-SA-00349:Intel MAX 10 FPGA(情報漏洩、深刻度“MEDIUM”)
    INTEL-SA-00343:Intel NUC Firmware(特権昇格、深刻度“HIGH
    ”)
    INTEL-SA-00334:Intel Processors Load Value Injection(情報漏洩、サービス妨害、深刻度“MEDIUM”)
    INTEL-SA-00330:Snoop Assisted L1D Sampling(情報漏洩、深刻度“MEDIUM”)
    INTEL-SA-00326:Intel Optane DC Persistent Memory Module Management Software(特権昇格、サービス拒否、深刻度“MEDIUM”)
    INTEL-SA-00319:Intel FPGA Programmable Acceleration Card N3000(特権昇格、サービス拒否、深刻度“MEDIUM”)
    INTEL-SA-00315:Intel Graphics Drivers(特権昇格、サービス拒否、情報漏洩、深刻度“HIGH”)

(続きはこちら)
https://forest.watch.impress.co.jp/docs/news/1240115.html

278: Socket774 (ワッチョイ 228d-drwQ) 2020/03/11(水) 19:51:01.07 ID:jjL+3WuO0
とはいえ、攻撃成功のハードルが高いから適当な緩和パッチ提供で対策済み扱いになるんだろうな

282: Socket774 (ブーイモ MM8d-VXvJ) 2020/03/11(水) 21:02:26.22 ID:kUIz+WZoM
しれっと混ざってるけど
、またGPUドライバの権限昇格出てるのな

283: Socket774 (オッペケ Sr91-6+Cq) 2020/03/11(水) 23:37:18.20 ID:hgwxSveVr
これか

Windows向けIntel Graphics Driverに権限昇格などの脆弱性

  米Intelは10日(米国時間)、同社製プロセッサの内蔵GPU用ドライバ「Intel Graphics Driver」に関する複数の脆弱性を報告した。

 脆弱性の悪用により、権限昇格やサービス運用妨害(DoS)、情報漏えいなどの攻撃を受ける可能性がある。

(続きはこちら)
https://pc.watch.impress.co.jp/docs/news/1240/266/amp.index.html

270: Socket774 (ワッチョイ 06cb-drwQ) 2020/03/11(水) 18:55:36.36 ID:w289ztJ80
今月は大盤振る舞いだなw