|
一つは怖くない 恐ろしいのはすべてだ。 昨日、リトルブラックファッティがビッグニュース欄に衝撃的な記事を書きました。皆さんは気付いたでしょうか。 通常、脆弱性を悪用するために頻繁に公開される Windows などのオペレーティング システムの脆弱性 (WannaCry ウイルスはこの脆弱性を利用してファイルをロックし、ビットコインを脅迫しました) はよく知られていますが、このアプローチとは異なります。 しかし、今回の脆弱性はハードウェア レベルにあり、CPU のアーキテクチャ設計に問題があることを意味します。 さらに恐ろしいのは、核レベルのセキュリティ上の脆弱性が 2 つ同時に露呈したことです。 1 つの脆弱性は「Meltdown」と呼ばれ、もう 1 つは「Spectre」と呼ばれます。 Meltdown脆弱性はIntelシステムに特有のものです。この脆弱性により、通常のプログラムプロセスがセキュリティ保護を回避し、メモリ内のオペレーティングシステムカーネル情報にアクセスできるようになります。このカーネルは当初絶対的に安全であると考えられていたため、ユーザーパスワードなどの多くの機密情報が漏洩しました。 Meltdown の脆弱性により、通常のプログラムで大量の情報を入手することが可能になり、これはおそらくすべてのハッカーの夢です。 すべてのコンピュータの CPU を交換するのは明らかに非現実的です。唯一の選択肢は、ソフトウェアを使用して脆弱性を解消し、オペレーティング システムを通じて問題に対処することです。 そのため、携帯電話からコンピュータに至るまで、オペレーティング システム メーカーはそれぞれ独自のソリューションを立ち上げています。 しかし、これはもともとCPUが性能を追求した結果生じた地雷であり、この穴を埋めるには、もう少し性能を犠牲にするしかありません。 オペレーティング システムをアップデートするとコンピューターのパフォーマンスに影響があるかと聞かれれば、間違いなく低下すると断言できます。 オンラインテストによると、このパッチは 1995 年から 2013 年までの Intel プロセッサのパフォーマンスに大きな影響を与えますが、Skylake 世代以降ではその影響はほとんど感じられません。 平均的なユーザーの場合、オフィスワークやゲームでは通常CPUをフル稼働させる必要がないため、コンピューターに変化は見られません。ハッカーがこの脆弱性を悪用する前に、パッチをインストールするのが最善です。 最も深刻な打撃を受けているのはクラウドコンピューティングプロバイダーです。NVIDIAは数日前、ディープラーニング向けGeForceシリーズのグラフィックカードを無効化しました。つまり、Teslaグラフィックカードへの交換には多額の費用がかかる可能性が高いということです。そして今、このCPUアーキテクチャの問題が表面化しました。 クラウドコンピューティングにおいて、サーバーは高性能マシンです。各サーバーは、そのコンピューティング能力を小さなチャンクに分割し、異なるユーザーに販売します。各チャンクには、異なる仮想マシン(最も一般的なのはLinux)がインストールされます。 特定のメーカーの異なるクラウドサーバー 全員が別々になっているように見えますが、実際には 12 人以上が同じホストを使用している可能性があります。 マシン A と B が共有されており、この脆弱性が存在する場合、A はこれを悪用して、Web サイトのパスワードなど、カーネル上の B に関する情報を取得する可能性があります。 それは恐ろしいですね。 顧客データのセキュリティを確保するには、オペレーティングシステムをアップデートする必要があります。しかし、多くの人がサーバーをレンタルするのは主にデータベースなどのアプリケーションを実行するためであり、CPUパフォーマンスに大きく依存するため、20%のパフォーマンス低下はクラウドコンピューティングサービスプロバイダーにとって大きな打撃となる可能性があります。 Tencent Cloud がアップデートのアナウンスを発表しました。 もう 1 つのセキュリティ脆弱性は「Spectre」です。これはプロセッサの分岐予測機能を悪用し、 CPU を騙して本来実行すべきでないアクションを実行させたり、取得すべきでない情報を取得させたりする可能性があります。 プロセッサのパフォーマンスが大幅に向上したのは、主にこの予測テクノロジの使用によるものです。 アウトオブオーダー実行方式を採用し、多くの処理を事前に実行するため、スピード感を感じられます。 これは予測であるため、実行すべきでないコマンドが実行され、元々は機密であった情報が漏洩する可能性があります。 この脆弱性は重大であり、Intel、AMD、ARMのほぼすべてのCPUチップに影響を与えます。したがって、事実上すべての携帯電話、コンピューター、さらには組み込みデバイスも影響を受けます。 ARM Cortex-Aシリーズはすべて規定されました。 Androidスマートフォンへの影響について、Googleは昨年脆弱性を発見して以降、積極的に問題に対処しており、Androidを最新バージョンにアップデートすれば問題は解決すると述べた。 しかし、国内の大手携帯電話メーカーはOSを大幅にカスタマイズする傾向があるため、このAndroidアップデートが実際にHuaweiとXiaomiにいつ届くかは不明だ。 国産携帯を使っている人は、ちょっと静かに自分を憐れんでください。 これらのメーカーは今、心の中で呪っているのだろうか… もちろん、Apple ユーザーはあまり喜ぶべきではありません。Apple の CPU も ARM Cortex-A シリーズのアーキテクチャを使用しているため、同じ問題が発生するのです。 iOS のアップデートを辛抱強くお待ちください。 影響を受けていないデバイスはありますか?はい、あります!↓ ところで、AMD はこの脆弱性が自社製品に大きな影響を与えないと述べていますが、それが本当かどうかは疑問です。 インテルは株価の下落に不満を抱き、すぐに声明を発表した。 しかし、この発言は基本的に「私がうまくいっていないなら、あなたもうまくいっていない!」と言っているのです。 ある一節にはこう書かれています。 平たく言えば、チップはそういう設計になっているので、本質的に漏洩のリスクがあるということです。私の会社以外にも、関係するテクノロジー企業がいくつかあるので、いつも私だけをスケープゴートにしないでください。 しかし、実際には、最も大きなリスクをもたらし、ハッカーが悪用するのが最も容易な「メルトダウン」脆弱性は、ほぼ Intel 製品にのみ存在します (Intel には、この脆弱性の脅威を受けない製品もあります。2013 年以前にリリースされた Itanium シリーズと Atom 製品です)。 もう一つの脆弱性「Spectre」は、Intel、AMD、ARMプロセッサのすべてに影響しますが、ハッカーにとって悪用は非常に困難で、コストも高くなります。「Meltdown」ほど深刻ではありません。少しでも常識のあるハッカーなら、「Meltdown」の悪用を優先するでしょう。 さらに、声明の中でチップ設計上の欠陥がもたらすリスクについて謝罪するどころか、設計が正しく遵守されていたからこそ脆弱性が存在したと厚かましく主張している。何ですって? また、次の一節も含まれています。 ハハ、翻訳された意味は、Intel は、ハッカーがこの脆弱性を悪用してデータを破損、変更、または削除することはないと考えています。 あなたのパスワードを盗み、レポートを削除し、PowerPoint プレゼンテーションを変更したハッカーは誰ですか? インテルはまた、このニュースを報じたメディアに対しても不満を表明した。 つまり、Intelは責任感から、当初は来週に発表する予定でした。ところが、The Register(この件を最初に報じたメディア)が突然現れ、計画を台無しにしてしまったのです!今となっては、すべての責任は私に押し付けられ、私はもうこんなことはしません! おそらく事態を収拾し、ひっそりと声明を発表し、都合よくメーカー全員をスケープゴートに仕立て上げるつもりだったのでしょう。ところが、The Register紙が騒ぎを起こし、皆がそれを知り、株価が急落しました。 もちろん、インテルは声明の最後に注記を追加することを忘れなかった。 Intel は自社の製品が世界で最も安全であると信じており、パートナーとの連携を通じて、現在のソリューションは顧客にとって最も安全なものとなっています。 最も安全な解決策は、欠陥のあるCPUをすべてリコールし、欠陥のないバージョンに交換することではないでしょうか?あなたはそうする勇気がありますか? あなた方の混乱を一掃しなければならない大手オペレーティング システム メーカーには同情します。 もちろん、これはインテルの最も不快な動きではない。 昨年末、このニュースがメディアで報じられる前に、インテルのCEOであるブライアン・クルザニッチ氏は、雇用契約で義務付けられている最低限の25万株のみを保有し、約1,100万ドル相当のインテル株を売却した。 私が言う言葉は「卑劣」だけであり、それを言うのは一度だけです。 もちろん、クルザニッチ氏は本日早朝、株式の売却が脆弱性と関係しているという主張を否定した。 そんなことを信じるなんて馬鹿げている。Windowsは11月から社内パッチテストを開始する予定だ。つまり、正式発表が間近に迫っているということだ。 予想通り、この事件が起こった後、AMDの株価は上昇した。 農業企業は日々復活を遂げています… 大手クラウド コンピューティング サービス プロバイダーも、すべての卵を Intel に託さないように注意する必要があります。その木が倒れれば、すべてが終わってしまいます。 一番腹を立てているのは、私たちユーザーでしょう。何千ドルもかけて良いCPUを買ったのに、こんなことが起こるなんて。誰に苦情を言えばいいのでしょうか? 「信じられないでしょうが、押し出した歯磨き粉が吸い込まれてしまいます!」 元記事: http://tech.ifeng.com/a/20180105/44833699_0.shtml |
