汎用型自作PCまとめ

当ブログは5ちゃんねるから「自作PC」「ITニュース」「ガジェットネタ」関連の話題をまとめています。偶に「オーディオ」や「ゲーム」「プログラミング」などの雑談も。

    脆弱性

    コメント(8)  
    intel_logo

    295: Socket774 (オイコラミネオ MM49-nKBa) 2019/09/11(水) 16:15:53.73 ID:4gnpzOhzM
    Apollo Lakeが長期稼働で信号劣化し品質基準を満たさず。ステッピング変更へ

      Intelは9月3日(米国時間)、PCクライアント向けApollo Lakeプロセッサのステッピング変更を告知した。

     対象はCeleron N3350/J3355/J3455、およびPentium N4200で、9月3日の出荷分より、既存のB-1ステッピングから順次F-1ステッピングに置き換え、2020年2月28日までに完全にF-1へ置き換える。

     B-1ステッピングの上記プロセッサにおいては、Low Pin Count(LPC)、Real Time Clock(RTC)、およびSDカードインターフェイスに問題があり、長期稼働による劣化で、信号が品質基準を満たさなくなるという。このためF-1ステッピングへの置き換えを決定した。

    (続きはこちら)
    https://pc.watch.impress.co.jp/docs/news/1206703.html

    305: Socket774 (オッペケ Srf1-NiP7) 2019/09/11(水) 17:09:40.45 ID:ugbF30air
    >>295
    あちゃー

    画像の説明文

    コメント(5)  
    processor-580x358

    706: Socket774 (ワッチョイ ed65-7ShF) 2019/08/07(水) 10:11:14.19 ID:fNoJzfFx0
    ――――  以下、Google翻訳  ――――
    スペクター–投機的実行に起因するデータ漏洩サイドチャネルの脆弱性のファミリーで、昨年公開され、さまざまなベンダーのチップに影響を及ぼします–以前の緩和策をバイパスする新しい兄弟があります。

    CVE-2019-1125に指定され、深刻度の点で中程度と評価されたこの問題(主にWindowsを実行するIntel x86-64システムに限定)により、ローカルの攻撃者がカーネルアドレススペース分離などの保護を回避して、重要なカーネルメモリを読み取る可能性があります。Windowsを実行しているAMDの64ビットx86プロセッサも影響を受けますが、程度はそれほど大きくありません。

    全体として、これは、通常どおり、マルウェア、ブラウザー内の悪意のあるJavaScript、または脆弱なシステム上の悪意のあるユーザーが、パスワードや暗号化キーなどの秘密をRAMからスワイプする可能性があることを意味します。アプリケーションは他のアプリケーションをスヌーピングでき、仮想マシンのコードは他の仮想マシンをスパイできます。

    (中略)

    マイクロソフトは7月9日にWindowsオペレーティングシステムに静かにパッチを適用し、今週火曜日にその影響に関する勧告を公開しました。そのソフトウェアリビジョンは、CPUが投機的にメモリにアクセスする方法を制限します。

    「この脆弱性を悪用するには、攻撃者は影響を受けるシステムにログオンし、特別に細工されたアプリケーションを実行する必要があります」とマイクロソフトはその勧告で述べています。「この脆弱性により、攻撃者はユーザー権限を直接昇格することはできませんが、影響を受けるシステムをさらに侵害しようとするために使用できる情報を取得するために使用される可能性があります。」


    V1の亜種か

    710: Socket774 (ドコグロ MM93-5hGi) 2019/08/07(水) 12:05:05.58 ID:MnyhvkfIM
    8月号かな

    画像の説明文

    コメント(6)  
    Intel-logo

    980: Socket774 (ワッチョイ c3b1-zYa2) 2019/07/10(水) 15:58:50.19 ID:xG9Uthsj0
    ほい今月号

     米Intelは7月9日(現地時間)、複数の同社製品に脆弱性が存在することを明らかにした。脆弱性対策情報ポータルサイト“JVN”も、セキュリティ情報(JVNVU#90203478)を公開して対応を呼び掛けている。

    image1

    INTEL-SA-00268:Intel Processor Diagnostic Tool(特権昇格、DoS、情報漏洩、深刻度“HIGH”)
    INTEL-SA-00267:Intel SSD DC S4500/S4600 Series(特権昇格、深刻度“MEDIUM”)

    Intel製品に複数の脆弱性、セキュリティアドバイザリが公開 - 窓の杜
    https://forest.watch.impress.co.jp/docs/news/1195285.html

    INTEL-SA-00267: Intel® SSD DC S4500/S4600 Series Advisory

        Intel® Solid State Drives (SSD) for Data Centers (DC) S4500 Series  
            SCV10150 より前のバージョン
        Intel® SSD DC S4600 Series
            SCV10150 より前のバージョン

    INTEL-SA-00268: Intel® Processor Diagnostic Tool Advisory

        Intel® Processor Diagnostic Tool for 32-bit
            4.1.2.24 より前のバージョン
        Intel® Processor Diagnostic Tool for 64-bit
            4.1.2.24 より前のバージョン

    対策方法
    アップデートする
    Intel および各ハードウェアベンダが提供する情報をもとに最新版へアップデートしてください。
    https://jvn.jp/vu/JVNVU90203478/

    982: Socket774 (スップ Sd1f-FfqC) 2019/07/10(水) 17:43:05.10 ID:yVs3UpMyd
    >>980
    月刊脆弱性来たね

    画像の説明文

    コメント(8)  
    nas-315

    236: 不明なデバイスさん 2019/06/25(火) 21:54:10.87 ID:SgHEBA4r0
    セキュリティに関する質問です。
    アイ・オー・データのNASを社内のネットワークに接続し、5年ぐらい使っていたのですが、
    最近になってセキュリティ対策チームから、次の脆弱性があるので使用しないように言われました。
    ・HTTP Debugging Methods (TRACE/TRACK) Enabled
    ・Missing `httpOnly` Cookie Attribute
    ・Apache HTTP Server httpOnly Cookie Information Disclosure Vulnerability
    Webサーバーとして公開しているなら問題かもしれませんが、通常は外部からアクセスできないところでファイルサーバーとして使っていても、懸念すべきリスクはあるのでしょうか?

    画像の説明文

    コメント(19)  
    Linus Benedict Torvalds

    707: Socket774 (ワッチョイ b6cf-8NQj) 2019/06/14(金) 17:00:51.18 ID:9ixO7Rr/0

    708: Socket774 (ワッチョイ 8bb1-YiLg) 2019/06/14(金) 17:07:53.36 ID:scPm/C+J0
    Macの40%低下よりヒドイな

    >Apple が 2019 年 5 月に実施したテストでは、マルチスレッド処理の負荷をかけたテストと公開ベンチマークの結果、パフォーマンスに最大 40 パーセントの低下が認められました。

    https://support.apple.com/ja-jp/HT210108

    画像の説明文

    コメント(18)  
    security-265130_960_720

    620: Socket774 (ワッチョイ 45fe-BAjW) 2019/06/12(水) 16:32:49.75 ID:ezVpQd8j0
    Intel製品に複数の脆弱性、セキュリティアドバイザリが公開

    image1

    米Intelは6月11日(現地時間)、複数の同社製品に脆弱性が存在することを明らかにした。以下の製品に対し、アップデートが提供されている。

    INTEL-SA-00264:Intel NUC Firmware(特権昇格、サービス拒否、情報漏洩、深刻度“HIGH”)
    INTEL-SA-00259:Intel RAID Web Console 3 for Windows*(特権昇格、深刻度“HIGH”)
    INTEL-SA-00257:Intel Omni-Path Fabric Manager GUI(特権昇格、深刻度“MEDIUM”)
    INTEL-SA-00248:Open Cloud Integrity Technology and OpenAttestation(情報漏洩、深刻度“MEDIUM”)
    INTEL-SA-00247:Partial Physical Address Leakage(情報漏洩、深刻度“LOW”)
    INTEL-SA-00243:Intel Turbo Boost Max Technology 3.0(特権昇格、深刻度“MEDIUM”)
    INTEL-SA-00235:Intel SGX for Linux(サービス拒否、深刻度“MEDIUM”)
    INTEL-SA-00232:Intel PROSet/Wireless WiFi Software(サービス拒否、深刻度“MEDIUM”)
    INTEL-SA-00226:Intel Accelerated Storage Manager in Intel Rapid Storage Technology Enterprise(特権昇格、サービス拒否、深刻度“HIGH”)
    INTEL-SA-00224:Intel Chipset Device Software (INF Update Utility)(特権昇格、深刻度“LOW”)
    INTEL-SA-00206:ITE Tech* Consumer Infrared Driver for Windows 10(特権昇格、深刻度“MEDIUM”)

    脆弱性対策情報ポータルサイト“JVN”もセキュリティ情報(JVNVU#95572531)を公開して、対応を呼び掛けている。

    https://forest.watch.impress.co.jp/docs/news/1189940.html

    627: Socket774 (スプッッ Sddb-DHjX) 2019/06/12(水) 18:30:04.20 ID:tmWgPbySd
    >>620
    やっぱり今月もキター(゚∀゚ 三 ゚∀゚)

    画像の説明文

    コメント(4)  
    Microarchitectural Data Sampling

    248: Socket774 (ササクッテロ Sp8b-tGT1) 2019/05/15(水) 10:16:01.40 ID:zkzivj97p
     Intelのチップにまたしても脆弱性が検出された。熟練したハッカーならば、マイクロプロセッサーから機密情報を引き出すことが可能だという。Intelと独立系のセキュリティ研究者らが米国時間5月14日に明らかにした。

     研究者らによると、マイクロプロセッサーの脆弱性は「Microarchitectural Data Sampling(MDS)」と総称され、4つの関連技術で構成されるという。悪用されると、コンピューターのその他の部分のセキュリティを担うパスワードなどの情報が奪われる可能性がある。この調査結果について先に報じていたWiredは、この脆弱性の影響を受けるPCは膨大な数になるとしている。

    (続きはこちら)
    https://japan.cnet.com/article/35136950/

    250: Socket774 (スプッッ Sd3f-Vuiq) 2019/05/15(水) 10:22:14.05 ID:D55Ml5Mad
    >>248
    月刊きたー

    画像の説明文

    コメント(21)  
    Intel

    702: Socket774 (ワッチョイ cb73-9gjM) 2019/03/31(日) 15:45:45.39 ID:GijRZ5TO0
    CPUだけでなくチップセットも全ての情報が取得できるインテルの脆弱性が来た。

    GoryachyとErmolovは、彼らの技術はコンピュータのマザーボードのハードウェア改造を必要とせず、実行するための特別な装置も必要としないと述べた。最も簡単な方法は、IntelのIntel-SA-00086セキュリティアドバイザリに詳述されている脆弱性を利用してIntel Management Engineを制御し、VISAを有効にすることです。

    「BlackHat Asiaで議論されたIntel VISAの問題は、2017年11月20日にINTEL-SA-00086で解決された物理アクセスと以前に緩和された脆弱性に依存している」とIntelの広報担当者は昨日ZDNetに語った。「これらの緩和策を適用したお客様は、既知のベクトルから保護されています。」
    しかし、ZDNetへの電子メールで、2人の研究者は、Intelファームウェアを攻撃者がIntel MEを引き継いでVISAを有効にすることができる脆弱なバージョンにダウングレードすることができるので、Intel-SA-00086修正は十分ではないと述べた。さらに、これらの脆弱性に依存しないでIntel VISAを有効にする方法は他にも3つあると述べています。これは、Black Hatの主催者がこのデュオのプレゼンテーションスライドを近日中に発表する予定です。
    「繰り返し述べてきたように、これらの修正はダミーです。デジタル署名されたファームウェアは以前のバージョンのいずれかにダウングレードできるため、何もしません。」

    Ermolov氏が昨日述べたように、VISAはIntelチップセットの脆弱性ではなく、有用な機能が悪用されてユーザーを欺く可能性があるもう1つの方法です。VISAが悪用される可能性は低いです。これは、誰かがIntel-SA-00086の脆弱性を悪用してIntel MEを引き継ぐというトラブルを経験した場合、VISAに頼るのではなく、そのコンポーネントを使用して攻撃を実行する可能性が高いためです。ただし、この調査では、Intel製チップセットにおけるもう1つの潜在的な攻撃方法が明らかにされています。

    ちなみに、これはGoryachyとErmolovが昨年見つけた2番目の「製造モード」機能です。彼らはまた、Appleが誤って「製造モード」のままになっているIntel CPUを搭載したラップトップを出荷したことを発見しました。

    https://www.zdnet.com/article/researchers-discover-and-abuse-new-undocumented-feature-in-intel-chipsets/

    678: Socket774 (ワッチョイ ef11-9gjM) 2019/03/31(日) 12:12:58.91 ID:Mosl4/mG0
    本当に今月号きやがった

    画像の説明文

    コメント(4)  
    Programming-123

    1: 田杉山脈 ★ 2019/03/26(火) 23:09:23.80 ID:CAP_USER
    WhiteSource Softwareは3月19日(米国時間)、「Is One Programming Language More Secure Than The Rest?」において、過去の脆弱性情報を集計し、どのプログラミング言語がより多くの脆弱性とかかわりを持っていたのかについて伝えた。

    脆弱性情報が多い順にまとめたプログラミング言語ランキングとしては、以下が報告されている。

    C言語 (47%)
    PHP (17%)
    Java (12%)
    JavaScript (11%)
    Python (6%)
    C++ (6%)
    Ruby (5%)

    データソースはNVD (National Vulnerability Database)、各種セキュリティアドバイザリ、GitHub、そのほか人気の高いトラッキングシステムなどで集計された脆弱性情報など。対象のプログラミング言語は、過去数年間にオープンソースコミュニティで使われたプログラミング言語の中から特に人気の高いものが選択されている。

    (続きはこちら)
    https://news.mynavi.jp/article/20190326-795188/

    2: 名刺は切らしておりまして 2019/03/26(火) 23:12:44.25 ID:lDgvFqlu
    弱酸性に見えた俺は少し残業し過ぎかもしれない

    画像の説明文

    コメント(5)  
    Spoiler

    402: Socket774 (ササクッテロ Sp0b-oN7f) 2019/03/05(火) 18:37:14.77 ID:FnwniG+Fp
    AMDというキーワードも含まれるかなり危険性の高い脆弱性

    -以下Google翻訳-

    boffinsは、実行中のアプリケーションから秘密やその他のデータを盗むためにインテルのCPUに投機的実行を悪用する別の方法を発見しました。

    このセキュリティ上の弱点は、Webブラウザタブ内の悪意のあるJavaScript、システム上で実行されているマルウェア、または不正なログインユーザによって、パスワード、キー、およびその他のデータをメモリから抽出するために悪用される可能性があります。したがって、攻撃者はこれをやめるためにあなたのマシンにある種の足場を必要とします。この脆弱性は、シリコンレベルでの大幅な再設計作業なしには容易に修正または緩和することはできません。

    研究者達はまた、ArmとAMDのプロセッサコアを調べたが、それらは同様の挙動を示さないことを見出した。

    「ユーザー空間プロセスへの物理ページマッピングに関する重要な情報を明らかにする、新しいマイクロアーキテクチャーリークを発見しました」と研究者らは説明しています。

    「リークは、限られた命令セットによって悪用される可能性があります。これは、OSに関係なく、第1世代のIntel Coreプロセッサから始まるすべてのIntel世代で見られ、仮想マシンやサンドボックス環境でも機能します。」

    この問題はSpectreの脆弱性とは別のものであり、既存の緩和策では解決されていません。昇格した特権なしでユーザ空間から利用される可能性があります。

    https://www.theregister.co.uk/2019/03/05/spoiler_intel_flaw/

    424: Socket774 (ワッチョイ 9f11-W5e4) 2019/03/06(水) 04:43:22.95 ID:WF48bst/0
    今月号きたかw

    画像の説明文

    コメント(3)  
    intel-sgx

    873: Socket774 (ワッチョイ 07a1-zJOq) 2019/02/14(木) 21:30:31.39 ID:v4FBFW2B0
    Intel CPUのセキュリティ機構「SGX」にマルウェアを隠すことでセキュリティソフトで検出できない危険性、概念実証用のプログラムも公開済み

    Malware On Intel SGX Enclaves

    IntelはSkylake世代のCPUから、センシティブな情報を悪意ある者に読み取られないように隔離して実行するセキュリティ機構「SGX(Software Guard Extensions)」を取り入れました。しかしCPU内にデータと実行プロセスを隔離する「飛び地」を作るSGXにマルウェアを仕込ませることで、セキュリティソフトでさえ脅威を検出できない危険性があるとセキュリティ専門家が指摘しています。

    Practical Enclave Malware with Intel SGX
    (PDFファイル)https://arxiv.org/pdf/1902.03256.pdf

    Researchers hide malware in Intel SGX enclaves | ZDNet
    https://www.zdnet.com/article/researchers-hide-malware-in-intel-sgx-enclaves/

    Researchers Implant "Protected" Malware On Intel SGX Enclaves
    https://thehackernews.com/2019/02/intel-sgx-malware-hacking.html

    Intel第6世代Coreプロセッサ「Skylake」シリーズで初めて採用されたセキュリティ機構「Intel SGX」については、以下のムービーで解説されています。


    (続きはこちら)
    https://gigazine.net/news/20190214-intel-sgx-vulnerability/

    874: Socket774 (ワッチョイ 5f11-yQ/S) 2019/02/14(木) 22:18:09.41 ID:yuiwKqMi0
    今月号特盛すぎじゃね?

    画像の説明文

    コメント(3)  
    castle-979597_960_720

    1: 香味焙煎 ★ 2019/02/14(木) 06:48:52.18 ID:wu4gD8Ie9
    情報漏洩やサービス運用妨害(DoS)、権限昇格などにつながる恐れ

    米Intelは2月12日(現地時間)、複数の同社製品に脆弱性が存在することを明らかにした。以下の製品に対し、アップデートが提供されている。

    Intel PROSet Wireless Driver:INTEL-SA-00169(サービス拒否、深刻度“LOW”)
    Intel USB 3.0 eXtensible Host Controller Driver for Microsoft Windows 7:INTEL-SA-00200(権限昇格、深刻度“MEDIUM”)
    Intel Unite:INTEL-SA-00214(権限昇格、深刻度“CRITICAL”)
    Intel Data Center Manager SDK:INTEL-SA-00215(権限昇格・サービス拒否・情報漏洩、深刻度“HIGH”)
    Intel OpenVINO 2018 for Linux:INTEL-SA-00222(情報漏洩、深刻度“LOW”)

    (続きはこちら)
    https://forest.watch.impress.co.jp/docs/news/1169551.html

    4: 名無しさん@1周年 2019/02/14(木) 06:50:54.81 ID:7igFX0Yd0
    もうあきた

    画像の説明文