616: Socket774 (アウアウカー Sa7b-e8Ze) 2018/03/14(水) 08:35:38.78 ID:QjjJR5m5a
AMDのプロセッサに脆弱性、セキュリティ企業が情報公開--懐疑的な見方も

AMDは、同社の複数のプロセッサに13件のセキュリティ脆弱性があるとする報告について調査している。  チップメーカーのAMDは米国時間3月13日の声明で、CTS Labsの調査結果について「調査と分析を鋭意進めている」と述べた。CTS Labsはあまり知られていないが、イスラエルのテルアビブに本社を置くサイバーセキュリティの新興企業だ。

AMDが声明を発表する数時間前に、CTS Labsは「RYZENFALL」「MASTER KEY」「FALLOUT」「CHIMERA」と名付けた13の脆弱性について説明するウェブサイト、研究論文、動画を公開した。攻撃者がそれらの脆弱性を利用すると、膨大な数の端末に搭載されているAMDの「Ryzen」および「EPYC」プロセッサから機密データを取得できる可能性があると主張している。

公開されたホワイトペーパーには、それらの脆弱性の具体的な内容が詳しく記述されていないことから、多くの人々が警戒心と疑念をもってこの問題を捉えている。  

明らかになっているのは、それらの脆弱性が簡単には悪用できないということだ。CTS Labsによると、多くの場合、攻撃者は最初に管理者権限を取得する必要がある。管理者権限を取得するには、マルウェアを使ってログイン中のユーザーの権限を引き上げなければならない。それだけのアクセス権があるとすれば、その端末は既に制御を奪われていることになる。  

これらの脆弱性の発見と公開は、セキュリティコミュニティーの多数の著名な人物らの怒りを買っている。脆弱性を発見した研究者が一般的にとる開示方法に則っていないためだ。  

その研究者らはAMDに対し、脆弱性を調査して回答するための時間として24時間未満の猶予しか与えずに、報告書を公開した。責任ある脆弱性の開示ならばほぼ必ず、脆弱性を修正するために少なくとも90日間の猶予が企業に与えられる。その期間は、発見者が同意し、一定の条件が満たされれば、延長することができる。  

調査結果が初めて公開されてから数時間後、セキュリティ研究者のDan Guido氏は、CTS Labsの研究チームにその調査結果の確認を求められたとして、バグは実際に存在するとツイートした。

ttps://japan.cnet.com/article/35116106/

590: Socket774 (オイコラミネオ MMb6-ae7N) 2018/03/14(水) 07:18:08.72 ID:yhp6KXa7M
AMD製CPUに「致命的」欠陥 悪用でPC乗っ取りも

【AFP=時事】イスラエルの情報セキュリティー企業CTSラボ(CTS Labs)は13日、米半導体大手アドバンスト・マイクロ・デバイス(AMD)の最新CPUやチップセットに、コンピューターやネットワークの乗っ取りに利用される恐れがある欠陥が見つかったと明らかにした。
https://headlines.yahoo.co.jp/hl?a=20180314-00000004-jij_afp-int

593: Socket774 (ワッチョイ 2667-rXRy) 2018/03/14(水) 07:27:16.41 ID:60XvoCxc0
>>590
ニュース記事見てこのスレにすっとんて来た。
まだ祭りにはなっていなかった。

596: Socket774 (ワッチョイ e648-hRqb) 2018/03/14(水) 07:37:26.84 ID:cwgaeXt/0
これが事実ならIntel買う。それだけだ、脆弱性が事実か否か知りたい

604: Socket774 (スプッッ Sd2a-ymMl) 2018/03/14(水) 08:03:21.66 ID:QowkpI6ld
イスラエル人が短期間で見つけられると思う幸せ回路持ちは流石にいないか

606: Socket774 (ワッチョイ 4aaf-uQtz) 2018/03/14(水) 08:05:07.36 ID:Sz3G70za0
しばらく様子を見れは真偽は分かること

609: Socket774 (ワッチョイ b7c2-l48d) 2018/03/14(水) 08:11:50.99 ID:FsZcB+Ra0
まあグーグルの発表待ちだな
そもそも信頼性皆無の企業が発表してもな回答期限24時間というのも怪しすぎる

619: Socket774 (アウアウカー Sa7b-tOw2) 2018/03/14(水) 08:56:08.79 ID:VmnFpvUJa
調査回答の為の90日の期間おかずに公開ってアウトなんやな
ていうか24時間もAMDに時間を与えずに公開って…

620: Socket774 (スプッッ Sd2a-maNF) 2018/03/14(水) 09:00:35.88 ID:KI4TVRred
VIAの時代きたな!

637: Socket774 (ワッチョイ 7f3b-GKFL) 2018/03/14(水) 09:35:21.85 ID:ck3qIiuI0
はやりのフェイクニュースだったらあきれる

645: Socket774 (スップ Sd8a-Tw9y) 2018/03/14(水) 09:46:14.59 ID:lq51BLHid
ブーメランが戻ってきたと聞いて

646: Socket774 (ワッチョイ 6a6c-h1UU) 2018/03/14(水) 09:47:37.10 ID:zGrRLoro0
お前もかをいいにきました

649: Socket774 (ワッチョイ 1763-uQtz) 2018/03/14(水) 09:49:03.89 ID:m0QX5amS0
映像に写ってたオフィス風景が合成らしいな。

650: Socket774 (アウアウカー Sa7b-tOw2) 2018/03/14(水) 09:50:27.83 ID:9mt+l994a
650

これらしいな

657: Socket774 (ワッチョイ 7e63-bsPm) 2018/03/14(水) 09:58:47.92 ID:FR1b27fA0
>>650
わざわざ合成して映像を作るメリットは
登記はあっても実オフィスはないパターンしか思い浮かばんな

668: Socket774 (ワッチョイ ca1f-uQtz) 2018/03/14(水) 10:18:45.93 ID:gjRa9WbC0
これで値段下がったらうれしいな

692: Socket774 (ワッチョイ 2667-ir/N) 2018/03/14(水) 11:29:34.40 ID:7H7thxkQ0
https://japan.cnet.com/article/35116106/
AMDのプロセッサに脆弱性、セキュリティ企業が情報公開--懐疑的な見方も

>明らかになっているのは、それらの脆弱性が簡単には悪用できないということだ。CTS Labsによると、
>多くの場合、攻撃者は端末に物理的にアクセスして、最初に管理者権限を取得する必要がある。管理
>者権限を取得するには、マルウェアを使ってログイン中のユーザーの権限を引き上げなければならない。そ
>れだけのアクセス権があるとすれば、その端末は既に制御を奪われていることになる。
 
クソワロタwww

697: Socket774 (ワッチョイ 0bad-uQtz) 2018/03/14(水) 11:41:58.16 ID:dh7Fhe2P0
>>692
>更新(3月14日11時20分):原文から一部文言が削除されたため、これに対応しました。

どっか調子づいてフカシてて、本物の研究者に精査されるとマズイ文があったんかなこれ

708: Socket774 (ワッチョイ be56-mBnI) 2018/03/14(水) 12:22:55.60 ID:r2uY+T+60
Master Key
前提条件がBIOSの書き換え

Ryzenfall
前提条件が管理者権限で不正なプログラムを実行
デジタル署名されたドライバーを通じて乗っ取り

FALLOUT(Ryzenには無関係)
前提条件が管理者権限で不正なプログラムを実行
デジタル署名されたドライバーを通じて乗っ取り

CHIMERA
ASMedia製のマザーボードに組み込まれたバックドア
ファームウェアとASICにそれぞれ仕込まれてる

711: Socket774 (オッペケ Sr33-Eg4a) 2018/03/14(水) 12:25:34.98 ID:ssFiJB/Ur
>>708
最後、RyzenどころかAMDすら無関係じゃねーかw

引用元:http://egg.5ch.net/test/read.cgi/jisaku/1520550353/

457: Socket774 2018/03/14(水) 00:47:11.60 ID:MqfHVeGN
イスラエル発か~
なるほどね~

465: Socket774 2018/03/14(水) 01:33:10.33 ID:ivK5GWzn
世界中で足の引っ張り合い(エラー探し)した結果、超安全なCPUができあがりますた
てきな

474: Socket774 2018/03/14(水) 02:07:26.85 ID:mXrZj8sn
あいつも、あいつもあかんから!!

まぁ数日でGoogleやMSが検証してくれるんじゃね

478: Socket774 2018/03/14(水) 02:37:10.47 ID:atB6I/Qa
これが高度な情報戦ってやつですねわかります

495: Socket774 2018/03/14(水) 04:42:37.63 ID:9CcGdEv1
デバッキングするためのマンパワーがすごい掛かるのに、その大金はどこから・・

497: Socket774 2018/03/14(水) 05:36:18.16 ID:BmV8FgxG
AMDは逆境からつおい

498: Socket774 2018/03/14(水) 06:37:37.90 ID:RtVXbPqe
ネガティブ・キャンペーンが一番効果がある

513: Socket774 2018/03/14(水) 08:32:45.24 ID:zTX0Ucdr
CTS Labsさん、すごいなー
対策のめどが立たないうちに、通知して即発表とか
すごいなー

ぼくにはとてもできない

520: Socket774 2018/03/14(水) 08:51:45.06 ID:dM6jGpCZ
Ryzen効果か

532: Socket774 2018/03/14(水) 09:21:53.09 ID:3M26KODX
ていうかセキュリティ研究者を複数激怒させるような公開方法はいかんでしょ

551: Socket774 2018/03/14(水) 10:23:26.25 ID:zPdCvUwc
https://www.pcper.com/reviews/Editorial/CTS-Labs-Details-Potential-AMD-Security-Vulnerabilities

既に懐疑的な所が結構あるみたい
google翻訳でも十分意味が分かるから読んでみて欲しい
面白いから

AMD公式
CTS Labsという会社から、特定のプロセッサに関連する潜在的なセキュリティ上の脆弱性があるとの報告がありました。私たちは積極的にその調査結果を調査し、分析しています。この会社はかつてAMDには知られておらず、調査会社が調査結果を調査して解決するための合理的な時間を提供することなく、調査を報道機関に公開することは珍しいことです。AMDでは、セキュリティが最優先事項であり、新しいリスクが発生する可能性があるため、ユーザーの安全を確保するために継続的に取り組んでいます。ニュースが発展するにつれてこのブログを更新します。

引用元:http://egg.5ch.net/test/read.cgi/jisaku/1520498739/



スポンサード リンク