うっかり見逃していたけれど、ちょっと気になる――そんなニュースを週末に“一気読み”する本連載。世界中には、結構面白い話題があるものです。この記事で一気にチェックしましょう!
米CERT Coordination Center(CERT/CC)は2月28日(現地時間)、Windows 11の必要要件にもなっているTPM 2.0に2つのバッファオーバーフロー脆弱性(CVE-2023-1017、CVE-2023-1018)を発見したと発表した。この脆弱(ぜいじゃく)性を利用すると、攻撃者は機密データの読み取りや、TPMで保護されている暗号化キーなどの上書きが可能になるとのことだ。
この脆弱性は、セキュリティ関連企業「Quarkslab」の研究者らがTPM 2.0の参照ライブラリー仕様で見つけたもの。TPMコマンドの一部であるパラメーターの一部を処理する方法に2つの脆弱性があり、現在のセッションに含まれていないデータへの2バイトの読み取りアクセスが可能だった。また、現在のコマンドバッファの終端を越えて2バイトを書き込むことが可能であり、メモリの破壊を引き起こす可能性があったとのことだ。
攻撃者は巧妙に細工されたコマンドをTPMに送信することで、このバグをトリガーでき、意図した操作の一部ではないデータにアクセスできる可能性がある。OSはこれらの機能をTPMファームウェアに依存しているため、従来のホストベースのセキュリティ機能では、これらのアクセスを検出、または防止することは困難な場合があるとしている。
TPMの仕様を策定している「Trusted Computing Group」(TCG)は、既に本件についての仕様の修正と更新プログラムをリリースしている、ユーザーはサプライチェーンを通じて、ハードウェアおよびソフトウェアの製造元から提供された更新プログラムをできるだけ早く適用する必要があるとしている。
SalesforceとOpenAIは3月7日(現地時間)、Slack向けのChatGPTアプリを発表した。このアプリは、Slackの知識とChatGPTのインテリジェンスを組み合わせて、顧客が仕事をより迅速に進めるために必要な情報を提供できるとしている。
具体的には、以下のようなことが可能になる。
なお、アプリがアクセスしたデータは、ChatGPTの言語モデルトレーニングには使用されないとのことだ。
ChatGPT app for Slackは、現在β版として提供されており、順番待ちリストに登録すると順次利用可能になる。
Copyright © ITmedia, Inc. All Rights Reserved.