　米Intelは8月8日（現地時間）、同社製CPUに脆弱性（CVE-2022-40982）が見つかったと発表した。同社のメモリ最適化機能を悪用することで、CPU内部のレジスタファイルを意図せずソフトウェア側に提供できてしまうという。すでにIntelがアップデートを提供しているが、修正の適用により一部処理のパフォーマンス低下を招く可能性がある。

　メモリ内に散在するデータへのアクセスを高速化する命令「Gather」が引き起こす問題という。この脆弱性により、信頼できないソフトウェアが、通常はアクセスできないはずのデータにアクセスする可能性がある。脆弱性の影響を受けるのは第6世代Skylakeから第11世代Tiger LakeまでのCPU。

モギミ氏が公開した、脆弱性を悪用して情報を盗むテストの様子

　脆弱性を発見した米Googleの研究者ダニエル・モギミ氏は、脆弱性を悪用することで、同じコンピュータを共有する他ユーザーのパスワード、電子メールのメッセージ、銀行口座の詳細などを盗める可能性があると指摘している。クラウド環境でも同様に、他のユーザーからデータや資格情報を盗み取れる可能性があるという。モギミ氏はこの攻撃を「Downfall Attack」と呼称している。

　Intelは脆弱性の発見を受け、Gatherの指示をブロックするようなアップデートをリリース。ただし一部処理のパフォーマンス低下を招く可能性もあり「ほとんどのワークロードに対するパフォーマンスへの影響は最小限だが、特定のワークロードでは最大50％のパフォーマンスへの影響が見られる場合がある」という。

　モギミ氏はどんな処理のパフォーマンスが低下にするかについて「Gatherがプログラムにとってクリティカルな実行経路かによって左右される」としている。

540万件のTwitter漏えいデータが公開される　1700万件以上の新たな流出の可能性も　米報道
米Twitter社から漏えいしたTwitterアカウントデータがハッカーフォーラムで公開されていると米メディアBleeping Computerが報じた。新たに1000万件規模の漏えいデータベースも確認したという。
身内に潜む敵？　実はリモートより怖いlocal攻撃
脅威が潜んでいるのはremoteに限らないのだ。
「MOVEit」に権限昇格につながる脆弱性「直ちに緩和策を」　米連邦機関に既に影響
Progressのファイル転送サービス「MOVEit」に権限昇格につながる脆弱性が発見された。米連邦政府当局は複数の機関がサイバー攻撃を受けたと発表。Progressはユーザーに「直ちに緩和策を」と強く勧めた。
スマホの指紋認証を解除する攻撃　専用機器と大量の指紋サンプルで連続アタック　中国チームが発表
中国のTencentと浙江大学に所属する研究者らは、市販のスマートフォンの指紋認証を解除する攻撃を提案した研究報告を発表した。