AMDは8月9日(現地時間)、同社のSMT(Simultaneous Multithreading)を採用したプロセッサでサイドチャネル脆弱(ぜいじゃく)性(CVE-2021-46778)が見つかったと報告した。実行ユニットのスケジューラーキューの競合レベルを測定することで、機密情報が漏えいする可能性があるとしている。
対象となっているのは、Zen 1(Zen)、Zen 2、Zen 3のマイクロアーキテクチャを使用する製品で、デスクトップやモバイル向けのRyzen 2000/3000/4000/5000シリーズ、ハイエンドデスクトップおよびワークステーション向けのThreadripper/Threadripper Pro、サーバ向けのEPYCなどが含まれる。
ユーザー側で対応できる脆弱性ではないが、AMDは緩和策として、一定時間アルゴリズムを含む既存のベストプラクティスを採用したり、必要に応じてシークレット依存のコントロールフローを避けたりすることをソフトウェア開発者に対して推奨している。
Copyright © ITmedia, Inc. All Rights Reserved.