先週、ドイツのコンピュータ雑誌Heise.deは、Intelのチップが「Spectre Next-Generation」(Spectre NG)と呼ばれる8つのSpectre脆弱性の影響を受ける可能性があることを明らかにしました。Heise.deによると、Intelは当初5月7日にパッチをリリースする予定でしたが、バグを発見した研究者にリリース期限の延長を要請したとのことです。
Spectre NGの欠陥
ハイズ氏によると、インテルはパッチを時間通りに準備するのに苦労したため、研究者に対し、Spectre NGのバグの第一波を14日間公表しないよう要請した。この第一波には、「中リスク」の脆弱性4件に対するパッチと、「高リスク」の脆弱性2件の公表が含まれる。ハイズ氏の情報筋によると、インテルはすでに7月10日までのさらなる延長を要請しているという。
高リスクの脆弱性を修正するパッチの第2波は、8月14日にリリースされる予定です。これらの高リスクCPU脆弱性は、Xeonシリーズを含むIntelのすべてのチップに影響します。一部の脆弱性は、攻撃者が仮想マシンだけでなく、他の仮想マシン内の仮想マシンをバイパスし、ホストマシンを攻撃する可能性があるため、最初のSpectreバグよりもさらに深刻であると考えられています。これらの脆弱性は、Signalメッセンジャーがユーザーの連絡先のプライバシーを保護するために使用しているIntelのSoftware Guard Extension(SGX)によって保証されているセキュリティさえも回避します。
Heise 氏によれば、これら 8 つの Spectre NG の脆弱性は、Core i および Xeon チップだけでなく、Atom ベースのスマートフォンやタブレット、さらには低価格のラップトップに搭載されている Atom ベースの Celeron や Pentium にも影響を及ぼすとのことです。
「セキュリティ第一」
最初のSpectre脆弱性が明らかになった後、Intelは今後「セキュリティを最優先」にすることを誓約しました。確かに、これらの新たなSpectre NG脆弱性は最初の脆弱性が公表されてからわずかの間に明らかになったため、Intelはアーキテクチャに重大な変更を加える時間がなかったはずです。しかし、将来、一般の人々がIntelにこの約束を守るよう求める可能性があり、そうなればIntelはアーキテクチャにさらに恒久的なハードウェア変更を加える必要が生じる可能性があります。
新たなバグからもわかるように、ソフトウェアによる修正は一時的なものに過ぎません。Spectreはソフトウェアで修正できる一般的なバグではなく、IntelのCPUの動作を規定するハードウェア設計上の欠陥だからです。ハイズ氏は、Intelとそのパートナーは今後数週間から数ヶ月以内にマイクロコードとOSのパッチを準備する予定だと述べましたが、これらがユーザー保護に永続的な効果をもたらすかどうかはまだ分かりません。
Intel は Spectre NG CPU の欠陥の存在をまだ確認していない。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
ルシアン・アルマスは、Tom's Hardware USの寄稿ライターです。ソフトウェア関連のニュースやプライバシーとセキュリティに関する問題を取り上げています。
