AMDのプロセッサに脆弱性、セキュリティ企業が情報公開--懐疑的な見方も

AMDは、同社の複数のプロセッサに13件のセキュリティ脆弱性があるとする報告について調査している。 チップメーカーのAMDは米国時間3月13日の声明で、CTS Labsの調査結果について「調査と分析を鋭意進めている」と述べた。CTS Labsはあまり知られていないが、イスラエルのテルアビブに本社を置くサイバーセキュリティの新興企業だ。 AMDが声明を発表する数時間前に、CTS Labsは「RYZENFALL」「MASTER KEY」「FALLOUT」「CHIMERA」と名付けた13の脆弱性について説明するウェブサイト、研究論文、動画を公開した。攻撃者がそれらの脆弱性を利用すると、膨大な数の端末に搭載されているAMDの「Ryzen」および「EPYC」プロセッサから機密データを取得できる可能性があると主張している。 公開されたホワイトペーパーには、それらの脆弱性の具体的な内容が詳しく記述されて

[CAX]

マスターキーを持って鍵のかかった玄関を内側から抜けて、わざわざ二階の窓からそのマスターキーを使って侵入するみたいな話？

[ka-ka_xyz]

「脆弱性発見！前提条件は管理権限を取得すること」ってなんじゃそら。追記: https://safefirmware.com/amdflaws_whitepaper.pdf 見てもやっぱ"Prerequisites for Exploitation A program running with local-machine elevated administrator privileges."って

[PrivateIntMain]

｢この金庫は札束を盗まれる恐れがあります」｢大変だ、詳しく聞かせて」｢まず何らかの手段で金庫の鍵を奪います」｢ちょっと待って」

[kotetsu306]

Intelに利する行為であるが、Intelの関与があったという証拠はない。新興セキュリティ会社のIntelに対する忖度である可能性もある

[himakao]

この話を見ると大分怪しいな

[minamishinji]

CNETの方が記事が丁寧だな。やっぱり違和感あるよなぁ、このニュース。

[timetrain]

最初に仕込んでいないとほぼ無理なパターン？イスラエルの新興セキュリティ会社ってのが時期柄ちょっと疑いたくなる。

[htnmiki]

AMDの株を空売りしてた奴は誰だっ

[whoge]

この記事はいいけど、深刻な、とか致命的な、と軽々しく使うな。よく読めば大したことないものの方が多いのに不必要に大騒ぎになるんだよ！

[igrep]

“管理者権限を取得するには、マルウェアを使ってログイン中のユーザーの権限を引き上げなければならない。”確かにその時点で十分やばい

[yumekanaeruzoo]

本気で

[takahiro_kihara]

ま、気をつけとこ。

[TakayukiN627]

これらの脆弱性の発見と公開は、セキュリティコミュニティーの多数の著名な人物らの怒りを買っている。脆弱性を発見した研究者が一般的にとる開示方法に則っていないためだ。

[amino_acid9]

怪文書が出そうな展開だ「攻撃者は最初に管理者権限を取得する必要がある」「脆弱性を調査して回答するための時間として24時間未満の猶予しか与えずに、報告書を公開」

[kamei_rio]

"CTS Labsによると、多くの場合、攻撃者は最初に管理者権限を取得する必要がある" なるほど懐疑的になるわけだ

[otherworld]

“ 明らかになっているのは、それらの脆弱性が簡単には悪用できないということだ。CTS Labsによると、多くの場合、攻撃者は最初に管理者権限を取得する必要がある。”

[yamuchagold]

イスラエル企業がIntelに忖度した説、嫌いじゃない。 実際のところはもう少し情報待ちかな。

[kmizushima]

やっぱり、怪しい話だったか。

[palm84]

うん？

[tetsuya_m]

この脆弱性を利用して攻撃するにはまず管理者権限の取得が必要…ええ？( •̀ㅁ•́;) これでIntelの脆弱性と同じって論調垂れ流してるの？違和感ありまくり

[watounai]

物理的なアクセスと管理者権限があるならこんなめんどくさいことする必要ないやろ。インテルの陰謀と言われても仕方ない

[yazuka08]

管理者権限が必要ってそれは脆弱性じゃなくてただのバグという奴じゃないか？

[tagomoris]

“CTS Labsによると、多くの場合、攻撃者は最初に管理者権限を取得する必要がある” / 「多くの場合」に該当しないケースがどんだけあるのかな

[rgfx]

「研究者らはAMDに対し、脆弱性を調査して回答するための時間として24時間未満の猶予しか与えずに、報告書を公開した」報復でIntelの石のゼロデイが公開される流れがワンチャン（泥沼）

[kz78]

"明らかになっているのは、それらの脆弱性が簡単には悪用できないということだ"

[razokulover]

こっちも読むとキナ臭すぎるな

[yooks]

こっちの記事見ると、裏がありそうだね

[launcher]

とりあえず大騒ぎしなくてよさそう

[iwanofsky]

へー、とりあえず静観。

[dynamicsoar]

“更新（3月14日11時20分）：原文から一部文言が削除されたため、これに対応しました。” 素晴らしい。//administrative privileges 必要、と//なるほど通常は90日間もembargoあるのね

[ad2217]

勘ぐるならば、「intelプロセッサの脆弱性（の一部）はAMDのプロセッサになかったことから、AMDにも脆弱性あるよと言い出した」

[hazy-moon]

CTS Labsというところが名前を売りたくて大騒ぎしてる、という話に見える

[Chiastolite]

脆弱性があるのは事実かもしれないけど、予め管理者権限取っておく必要があるって時点でなぁ…

[ikd9684]

“脆弱性を調査して回答するための時間として24時間未満の猶予しか与えずに、報告書を公開した。責任ある脆弱性の開示ならばほぼ必ず、脆弱性を修正するために少なくとも90日間の猶予が企業に与えられる。”