Intelは、先月研究者によって発見されたSpoiler脆弱性に関するセキュリティアドバイザリを公開しました。この脆弱性を最初に公開した研究者によると、SpoilerはMeltdownと同様に、Intel CPUにのみ影響を与え、AMDやArm CPUには影響を与えないとのこと。
インテルCPU、駄目になった
Spoilerは、Intel Core CPUに影響を与える新たなセキュリティ脆弱性であり、攻撃者はこれを悪用して機密情報を窃取することができます。SpectreやMeltdownとは異なり、SpoilerはCPUの別の領域、つまりメモリオーダーバッファ(Memory Order Buffer)に影響を与えます。Memory Order Bufferはメモリ操作の管理に使用され、CPUのキャッシュシステムと連携しています。そのため、Spoiler攻撃はメモリベースのRowhammer攻撃やその他のキャッシュベースの攻撃を強力にする可能性があります。
Intelが修正を余儀なくされたSpectre攻撃は数多く発生しており、今後も発生が予想されますが、Spoilerは単なる投機的実行攻撃の延長ではありません。そのため、Intelが現在提供しているSpectreに対する緩和策はどれもSpoilerには効果がありません。Spoiler脆弱性の根本原因はIntel独自のメモリサブシステムにあるため、SpoilerはIntel製CPUにのみ影響し、AMDやArm製CPUには影響しません。
研究者らが初めて Spoiler 攻撃を明らかにしてから 1 か月以上が経過し、Intel はこれに独自の CVE (CVE-2019-0162) を割り当て、攻撃には認証が必要であり、ハードウェアへのローカル アクセスが必要となるため、攻撃のリスクは低い (10 点満点中 3.8 点) とする勧告を公開しました。
ハードウェア軽減策が必要
研究者らは、Spoiler脆弱性はソフトウェアでは緩和できず、新しいIntel CPUでは攻撃者によるこの脆弱性の悪用を防ぐためにハードウェアの変更が必要になると指摘している。しかし、ハードウェアによる緩和策はIntel CPUのパフォーマンスに悪影響を与える可能性が高いとも述べている。
ほとんどの CPU は Spectre の脆弱性の影響を受けますが、Spoiler、Meltdown、Foreshadow など、Intel CPU に特有の脆弱性は、同社がパフォーマンス面で競争相手より優位に立つためにセキュリティを優先しない姿勢を示していることがわかります。
Spoiler 軽減策に関しては、Intel は現在、サイドチャネルセーフなソフトウェア開発手法の使用を推奨するソフトウェア開発者に負担を委ねているようです。
Tom's Hardware の最高のニュースと詳細なレビューをあなたの受信箱に直接お届けします。
これは、Intel がメモリ サブシステムの修正の責任を負わなくて済むことを意味し、開発者が Spoiler からアプリを保護するためにソフトウェアに加える必要のある変更は、Intel ハードウェアだけでなく、AMD および Arm ハードウェアでもこれらのアプリの速度を低下させることになります。
