ITmedia NEWS > セキュリティ >
セキュリティ・ホットトピックス

インテルCPUに新たな脆弱性「Downfall」 修正で「パフォーマンスに最大50%の影響」 対象は第6〜11世代

» 2023年08月10日 11時36分 公開
[ITmedia]

 米Intelは8月8日(現地時間)、同社製CPUに脆弱性(CVE-2022-40982)が見つかったと発表した。同社のメモリ最適化機能を悪用することで、CPU内部のレジスタファイルを意図せずソフトウェア側に提供できてしまうという。すでにIntelがアップデートを提供しているが、修正の適用により一部処理のパフォーマンス低下を招く可能性がある。

 メモリ内に散在するデータへのアクセスを高速化する命令「Gather」が引き起こす問題という。この脆弱性により、信頼できないソフトウェアが、通常はアクセスできないはずのデータにアクセスする可能性がある。脆弱性の影響を受けるのは第6世代Skylakeから第11世代Tiger LakeまでのCPU。

photophoto モギミ氏が公開した、脆弱性を悪用して情報を盗むテストの様子

 脆弱性を発見した米Googleの研究者ダニエル・モギミ氏は、脆弱性を悪用することで、同じコンピュータを共有する他ユーザーのパスワード、電子メールのメッセージ、銀行口座の詳細などを盗める可能性があると指摘している。クラウド環境でも同様に、他のユーザーからデータや資格情報を盗み取れる可能性があるという。モギミ氏はこの攻撃を「Downfall Attack」と呼称している。

 Intelは脆弱性の発見を受け、Gatherの指示をブロックするようなアップデートをリリース。ただし一部処理のパフォーマンス低下を招く可能性もあり「ほとんどのワークロードに対するパフォーマンスへの影響は最小限だが、特定のワークロードでは最大50%のパフォーマンスへの影響が見られる場合がある」という。

 モギミ氏はどんな処理のパフォーマンスが低下にするかについて「Gatherがプログラムにとってクリティカルな実行経路かによって左右される」としている。

Copyright © ITmedia, Inc. All Rights Reserved.