過去10年間に製造されたほとんどのPCおよびラップトップに電力を供給するチップに大きな欠陥が発見されました。
脆弱性、 「フォアシャドウ」という名前 は、2008年以来Intel製のコンピュータプロセッサ内にあることが研究者によって発見されました。
セキュリティの専門家は、このバグが私たちが使用するほとんどのコンピューターに影響を与える可能性があるだけでなく、理論的には、ハッカーがハードドライブ上のファイルにアクセスできるようになる可能性があると警告しています。
また、セキュリティホールにより、サイバー詐欺師がクラウドに保存されているファイルを危険にさらす可能性があることも警告しています。
Intelプロセッサは今のところMacBookとiMacに存在します
今朝のノエル・エドモンズ
米国のチップメーカーにとってひどい年であったことに貢献しているForeshadowは、今年、同社のプロセッサ内で発見された3番目の大きな欠陥です。 「Spectre」と「Meltdown」 、1月に発見されました。
バグは 研究者によって発見された ミシガン大学で、ベルギーの研究グループimec-Distrinet、Technion Israel Institute of Technology、アデレード大学、オーストラリアのデータサイエンス会社Data61とともに。
調査チームは実際に1月に欠陥を特定し、同時に他の2つの欠陥が話題になり、Intelに公表される前の良い時期を知らせました。
ジェレミー・ミークス クロエ・グリーン
これにより、Intelは脆弱性を調査する時間を与えられ、セキュリティホールがAmazonやMicrosoftなどのクラウドコンピューティングプロバイダーが単一の大型サーバー上に数千台の仮想PCを作成するために使用する可能性があるというより広い可能性を発見することになりました。
広告はますます奇妙になりました ((画像:RFカルチャー)
SGXとは何ですか?Foreshadowの仕組み
Foreshadowの脆弱性は、IntelのSoftware Guard Extensionsテクノロジ(またはSGX)に見られる欠陥です。
SGXは、「セキュアエンクレーブ」と呼ばれるプロセッサ内にデジタルロックボックスを作成する、コンピュータの中央処理装置(CPU)内の命令コードです。これにより、内部のデータとアプリケーションがコンピューターの他の部分から分離され、より安全になります。したがって、セキュリティの脆弱性がマシン全体を危険にさらしたとしても、SGXによって保護されたデータには、所有者以外のすべてのユーザーがアクセスできないままになります。データの。
英国の有能なダンサー
皮肉なことに、Intel CPUのSGXツール内の研究者によって発見されたセキュリティホールは、反対のことを可能にする可能性があります。
理論的には、サイドチャネル攻撃と呼ばれるものを使用して被害者のマシンにアクセスできるようにする可能性があります。これらの攻撃は、プロセッサがマシンのメモリにアクセスするのにかかる時間など、無害な情報のように見えるパターンを探すことによって、システムの内部動作に関する情報を推測します。
次に、この攻撃は、投機的実行と呼ばれる機能を悪用して、システムのプロセッサを混乱させます。最新のすべてのCPUで使用されている投機的実行は、プロセッサが次に何をするように求められるかを本質的に推測し、それに応じて計画できるようにすることで、処理を高速化します。
攻撃は、投機的実行を一連の誤った推測に導く誤った情報を送り込みます。故障したGPSを追跡しているドライバーのように、プロセッサーは絶望的に失われます。次に、この混乱を悪用して、被害者のマシンに機密情報を漏えいさせます。場合によっては、被害者のマシンの情報を変更することさえあり得る、と大学の研究者は語った。
Foreshadowは危険ですか?
警備会社の製品管理担当シニアディレクター、Ben Levine ラムバス フォアシャドウによってもたらされるリスクは、セキュリティホールの性質上、メルトダウンやスペクターのリスクを上回る可能性さえあると警告しています。
「Spectreと同様に、Foreshadowは投機的実行を使用して、悪意のある仮想マシンが他の仮想マシンのプライベートデータや情報を読み取れるようにします」とLevine氏は述べています。
'ただし、Foreshadowは、SGXなどのセキュリティ技術を使用している場合でも効果的です。
「このようなローカル情報開示の脆弱性は、プライマリCPUから物理的に分離され、この種の脆弱性によって悪用されないセキュアコアで機密性の高いセキュリティ機能を実行する新世代のデバイスの必要性を明確に示しています。」
ニール・ジョーンズアレックス・スコット
フォアシャドウから身を守る
欠陥が公表される前から、Intelは攻撃から保護するためのソフトウェアアップデートのリリースに取り組んできました。
個人レベルでは、2016年以降に製造されたIntel PCの所有者は、潜在的なハッカーからシステムを保護するためにシステムを更新する必要があります。
クラウドプロバイダーは、マシンを保護するために更新をインストールする必要があるようです。
ミシガン大学は、これらの更新の一部は自動的にインストールされますが、他の更新は手動でインストールする必要があります。これは、マシンの構成方法によって異なります。
ビクトリア シンクレア モデル マンチェスター
「SGX、仮想化環境、およびその他の同様のテクノロジーは、コンピューティングリソースを新しい方法で使用し、医療記録、暗号通貨、指紋などの生体情報などの非常に機密性の高いデータをクラウドに配置できるようにすることで、世界を変えています」と1人は述べています。研究の多くの著者、コンピュータサイエンス研究の学生、OfirWeisseの。
「これらは重要な目標ですが、このような脆弱性は、慎重に進めることがいかに重要であるかを示しています。」
[data-redesign-embed]'data-priority ='1'data-rec-type ='WhatsHot'data-source ='https://recommendations.data.tm-awx.com/fallback/mostReadChannel'data-count = '3' data-display ='list' data-numbered 最も読むお見逃しなく
