Intelなどのプロセッサに発覚した「Spectre」「Meltdown」と呼ばれる脆弱性に関連して、また新たな脆弱性が報告され、Intelが8月14日、セキュリティ情報を公開した。悪用されればセンシティブな情報が流出する恐れがあり、危険度は「高」と位置付けている。

今回の脆弱性は、SpectreやMeltdownと同様に、現代のプロセッサが実装している「投機的実行」の仕組みに関連するもので、Intelでは「L1 Terminal Fault（L1TF）」と命名、この問題を発見した研究者は「Foreshadow」と命名している。

Intelのセキュリティ情報によると、今回の脆弱性は同社の「Software Guard Extensions（SGX）」という機能をサポートしているマイクロプロセッサ製品が影響を受ける。さらに同社で詳しく調べた結果、他のマイクロプロセッサやOS、システム管理モード（SMM）、仮想化ソフトウェア（VMM）に影響を及ぼす可能性のある脆弱性が、さらに2件見つかった。

Intelが公開したセキュリティ情報

それぞれの脆弱性は、SGX関連の「CVE-2018-3615」、OS/SMM関連の「CVE-2018-3620」、およびVMM関連の「CVE-2018-3646」に分類されている。共通脆弱性評価システム（CVSS）での評価値は、最も高いCVE-2018-3615が7.9（最高値は10.0）、残る2件は7.1となっている。

これらの脆弱性を突かれた場合、悪質なアプリケーションを利用して、OSメモリや他のアプリケーションのデータが流出する恐れがある。また、VMM関連の脆弱性では、悪質なゲストVMを使ってVMMのメモリや他のゲストVMのメモリデータを流出させることが可能とされる。

今回の脆弱性を発見した研究チームによると、IntelのCPUに搭載されているSGXの機能は本来、システムがたとえ攻撃者に制御された場合でも、ユーザーのデータを守るためにある。ところが、そのSGXのプライバシー機能が逆に事態を悪化させており、「たった1台のSGXマシンが制御されただけで、SGXのエコシステム全体の信頼が損なわれる」と解説している。

IntelはOSやハイパーバイザーソフトウェアのベンダーなどと協力して、この問題への対策を講じると説明している。

関連キーワード 脆弱性 | Intel | CPU



Copyright © ITmedia, Inc. All Rights Reserved.