Intel暗号鍵に危険度「高」の脆弱性、ファームウェア更新で対処
Intel MEの暗号鍵に関連する脆弱性が発見された。重要な情報の改ざんや流出の可能性が指摘されている。
米IntelのCPU上で、データ保護に使われている暗号化の仕組みに脆弱性が発見され、Intelが9月11日付で緩和パッチを公開して対処した。
この問題を発見したセキュリティ企業Positive Technologiesによると、Intel ME(Management Engine)でデータの保存に使われているMFSファイルのセキュリティの仕組みに脆弱性が見つかった。悪用されればMFSの状態を操作され、重要な情報を抜き取られる恐れがあるとしている。
Positive Technologiesの研究者は、MFSで使われている4種類の暗号鍵のうち、2種類を入手できる方法を発見したと報告し、MFSのセキュリティ対策をかわしてファイルの追加や削除、改ざんができてしまうことが分かったと伝えていた。問題の暗号鍵は、AMT(Active Management Technology)パスワードの暗号化などにも使われているという。
Intelは9月11日、この問題の緩和策として、「CSME(Converged Security and Manageability Engine)」と「Server Platform Services」、および「Trusted Execution Engine(TXE)」のファームウェアのアップデートを公開した。いずれもメーカーを通じて配信される。
危険度は「高」と評価され、脆弱性評価システム(CVSS)のベーススコアは7.3(最大値は10.0)。脆弱性を悪用されれば、認証されていないユーザーが、物理的なアクセスを通じて情報を改ざんしたり、流出させたりすることができてしまう恐れがあると指摘している。
関連記事
- Intel CPUの「SGX」機能に新たな脆弱性、仮想マシンなどにも影響
脆弱性はIntelのSGX機能をサポートしているプロセッサが影響を受けるほか、他のOSやシステム管理モード(SMM)、仮想化ソフトウェア(VMM)などに影響を及ぼす可能性のある脆弱性も見つかった。 - 「Spectre」関連の新たな脆弱性、米研究チームが発表
今回の脆弱性は、これまでの「Spectre」のような分岐予測ユニットではなく、リターンアドレスの予測に使われる「Return Stack Buffer(RSB)」という機能に存在するという。 - 「Spectre」関連の脆弱性、また新たに発覚 IntelやARMのプロセッサに影響
Intelなどのプロセッサに搭載されている投機的実行という機能に関連して、マサチューセッツ工科大学(MIT)などの研究者が新たな脆弱性を報告した。 - プロセッサ脆弱性「Meltdown」と「Spectre」のまとめサイト開設
Intelが「他社のプロセッサも影響する」と発表したプロセッサの重大な脆弱性「Meltdown」と「Spectre」についての情報がまとまったWebサイトを、これらの脆弱性を発見したグラーツ工科大学が開設した。
関連リンク
Copyright © ITmedia, Inc. All Rights Reserved.