CPUのSMT機能に関連した脆弱性、SSL秘密鍵を盗む実証コードも公開

2018年11月7日 23:00

印刷

記事提供元:スラド

 悪用することで本来アクセスできないはずの情報を読み出せるという新たなCPUの脆弱性(CVE-2018-5407)が発見された。この脆弱性はIntel CPUでのHyper-Threadingなどの同時マルチスレッディング(SMT)が影響を受けるとのことで、Intel以外のCPUでも影響を受ける可能性があるようだ(窓の杜サイオス セキュリティブログPhoronix)。

 この脆弱性は「PortSmash」と名付けられており、実証コードでは管理者権限なしにOpenSSLの秘密鍵を盗み出すことに成功しているという。この脆弱性はCPUの投機実行機能には依存しないとのことで、先日大きな問題になったMeltdown/Spectre脆弱性などとは無関係だという。この脆弱性についてすでにIntelへの情報提供は行われているようだが、どのような対処が行われるかは不明。とりあえずHyperThreadingなどのSMT機能を無効にすることで対処は可能とのこと。

 スラドのコメントを読む | セキュリティセクション | セキュリティ

 関連ストーリー:
MeltdownやSpectre脆弱性を性能低下無しに回避する手法が考案される 2018年10月22日
Intelが新たに公開したCPUの脆弱性パッチ、ライセンスにベンチマーク結果の公表を禁止する条項が含まれており騒動に 2018年08月27日
Intel CPUに新たな脆弱性 2018年08月16日
VIA C3に隠し機能が見つかる。一般プロセスでも無制限でメモリやハードウェアへアクセス可能 2018年08月13日

※この記事はスラドから提供を受けて配信しています。

関連キーワード

関連記事