出版
この奇妙な脆弱性により、権限の昇格、サービス拒否、または情報漏洩攻撃が可能になる可能性がありました。
インテルは、一部のインテル製プロセッサに影響を与える潜在的な脆弱性に対する修正を公開しました。このセキュリティ上の欠陥「Reptar」は「非常に奇妙な動作」を引き起こすと、このバグを発見した研究者の一人であるGoogleのTavis Ormandy氏は述べています。
Reptarのバグを利用した攻撃は報告されていない。しかし、Ormandy氏は、このバグは潜在的に広範囲に及ぶ可能性があり、まだ完全には解明されていないと指摘した。「…権限昇格を達成できるほど正確に不正行為を制御できるかどうかは、まだ分からない」と、彼は自身のサイトでReptarの脆弱性について述べている。「可能だとは思うが、μop(マイクロ)実行をデバッグする方法がない!」
ジャンプ先:
- Reptar バグとは何ですか?
- インテルはさまざまなプロセッサにパッチを当てた
- インテルは今年初めにこのバグの可能性を認識していた
- Reptarの脆弱性から身を守る方法
Reptar バグとは何ですか?
簡単に言えば、Reptar はプロセッサの通常の動作に関するいくつかの基本ルールを破り、システム クラッシュ、権限昇格攻撃、サービス拒否攻撃、または望ましくない情報漏洩を引き起こす可能性があります。
問題は、x86アセンブリ言語を記述する際に命令を修飾するために使用されるプレフィックスにありました。プレフィックス「rex」は、高速ショートリピート移動と呼ばれる機能を備えたマシンでは予期せぬ動作を引き起こす可能性がありました。この機能はIntelのIce Lakeアーキテクチャで初めて導入されました。Ormandyはより技術的な説明をしています。
参照:Google Cloudは、セキュリティチームが2024年には多種多様な攻撃に注意するようアドバイスしました(TechRepublic)
オーマンディ氏とGoogleの同僚たちが発見した「奇妙な動作」には、予期せぬ場所への分岐、無条件分岐の無視、xsave命令やcall命令における命令ポインタの不正確な記録などが含まれていた。また、オーマンディ氏は、研究者たちがこの問題を調査しようとした際に、デバッガーが不可能な状態を返すことも発見した。
MITRE はこのバグを CVE-2023-23583 として追跡しています。
インテルはさまざまなプロセッサにパッチを当てた
11月14日、Intelは複数のプロセッサにおける潜在的な脆弱性を修正しました。Intelは以下の脆弱性を軽減しました。
- 第 12 世代 Intel Core プロセッサー。
- 第 4 世代 Intel Xeon プロセッサー。
- 第 13 世代 Intel Core プロセッサー。
Intel は以下のマイクロコード アップデートをリリースしました:
- 第 10 世代 Intel Core プロセッサー。
- 第 3 世代 Intel Xeon プロセッサー スケーラブル ファミリー プロセッサー。
- Intel Xeon D プロセッサー。
- デスクトップおよびモバイル向けの第 11 世代 Intel Core プロセッサー ファミリー。
- Intel サーバー プロセッサ。
インテルは今年初めにこのバグの可能性を認識していた
IntelはGoogleの研究者による対応以前からこのバグを認識しており、Intelの標準化されたIntel Platform Updateプロセスを通じてバグの修正を進めていた。ArsTechnicaの調査によると、Intelは3月に修正を予定していたが、Googleチームが権限昇格の可能性を発見したことで、このバグの優先度が上がったという。
TechRepublic に電子メールで提供されたインテルの声明では、「OEM や CSP などの顧客の要請により、このプロセス (インテル プラットフォーム アップデート プロセス) には通常、インテルがパッチが製品品質を満たしていると判断した後の検証、統合、展開の期間が含まれており、問題が公表されたときに、サポートされているすべてのインテル プラットフォーム上のすべての顧客が緩和策を利用できるようにするのに役立ちます」と述べられています。
Reptarの脆弱性から身を守る方法
Intelは、影響を受けるプロセッサを使用している組織に対し、最新バージョンへのアップデートを推奨しています。システム管理者は、BIOS、システムOS、およびドライバが最新であることを確認してください。システム管理者は、Intelのマイクロコード・リポジトリにアクセスしてマイクロコードをダウンロードできます。また、詳細については、IntelまたはOSベンダーにお問い合わせください。
この潜在的な脆弱性は、すべてのソフトウェアとハードウェアを最新の状態に保つことを思い出させてくれます。
こちらもご覧ください
- 2023年版 侵入テストツールとソフトウェアのおすすめ8選
- 2023年のサイバーセキュリティ認定資格ベスト6
- ジェネレーティブAIがクラウドセキュリティにもたらすゲームチェンジャー
- ネットワークセキュリティポリシー
- サイバーセキュリティ:さらに必読の記事
ミーガン・クラウス
メーガン・クラウスは、B2Bニュースおよび特集記事の執筆で10年の経験を有し、Manufacturing.netのライター、そして後に編集者として活躍しました。彼女のニュース記事や特集記事は、Military & Aerospace Electronics、Fierce Wireless、TechRepublic、eWeekに掲載されています。また、Security Intelligenceではサイバーセキュリティに関するニュースや特集記事の編集も担当しました。フェアリー・ディキンソン大学で英文学の学位を取得し、クリエイティブライティングを副専攻しました。
