記事本文(要約)
Intel、AMD、Armがそれぞれの製品で発見された脆弱性に関するセキュリティ勧告を発表しました。ETH Zurichの研究者が発見したCVE-2024-45332は、IntelのSpectre-BTI(Spectre v2)の緩和策を破る可能性があります。Intelは、情報漏洩の脆弱性としてCVE-2024-45332をマイクロコードの更新で対策するとしています。AMDのプロセッサはこの脆弱性の影響を受けません。
さらに、VU Amsterdamの研究者が発見した「Training Solo」という分析により、CVE-2024-28956とCVE-2025-24495という新しいハードウェアの欠陥が特定されました。これらの攻撃は、ドメイン分離を完全に破壊し、伝統的なSpectre-v2攻撃を可能にします。Intelはマイクロコードの更新と対策指導を行う予定です。AMDのCPUは影響を受けず、ArmのCPUは影響を受ける可能性があります。
Intelは、情報漏洩やDoS攻撃、権限昇格につながる数十の脆弱性に関する25の新しい勧告を発表。AMDも、権限昇格などにつながる高重大度脆弱性を含む新しい勧告を発表しました。
※この要約はChatGPTを使用して生成されました。
公開日: Wed, 14 May 2025 14:25:15 +0000
Original URL: https://www.securityweek.com/chipmaker-patch-tuesday-intel-amd-arm-respond-to-new-cpu-attacks/
詳細な技術情報
この文章では、Intel、AMD、Armが最近発見された製品の脆弱性に対応するため、Patch Tuesdayセキュリティアドバイザリを発表したことについて報告しています。この中で特に重要な脆弱性に関する情報を詳しく説明します。
CVE番号
- CVE-2024-45332: Branch privilege injection issueによるIntelのCPU脆弱性。
- CVE-2024-28956、およびCVE-2025-24495: VU Amsterdamの研究者により発見された、Intel CPUのSpectre v2に関連する新しいクラスの脆弱性。
脆弱性の仕組みと攻撃手法
- CVE-2024-45332: Branch privilege injectionという方法を利用し、従来のSpectre-BTI攻撃を再現する脆弱性が存在します。この攻撃はレースコンディションを利用し、IntelのCPUでIntelのSpectre v2の緩和策を突破する方法です。この脆弱性により攻撃者はメモリから暗号鍵やパスワードなどの機密情報を取得できる可能性があります。
- Training Soloによる新しいSpectre v2攻撃: VU Amsterdamの研究により、ドメイン隔離の限界を突く3つの新しい自己訓練型Spectre v2攻撃手法が見つかりました。これらの攻撃手法は、カーネルメモリを最大17 Kb/sの速度で漏洩させることができ、ドメイン隔離を完全に破り、ユーザ間やゲスト間、さらにはゲストとホスト間の伝統的なSpectre-v2攻撃を可能にします。
潜在的な影響
- 閲覧可能なメモリから機密情報(暗号鍵やパスワードなど)を盗むことができるため、システムのセキュリティに重大な影響を与える可能性があります。
- ドメイン隔離が破られることで、異なるコンピュータのプロセス間でのデータ流出が発生するリスクが高まります。
推奨される対策
- Intelの対応: IntelはCVE-2024-45332およびTraining Soloからの脆弱性を軽減するためのマイクロコードアップデートとガイダンスを提供しています。ユーザーはこれらのアップデートを適用することを推奨します。
- AMDの対応: AMDはこれらの脆弱性の影響を受けていないとしていますが、他の高優先度の脆弱性に関するパッチを提供しています。
- Armの対応: Armはセキュリティガイダンスを更新し、リスクをより明確にしています。ユーザーはガイダンスに従ってセキュリティ対策を強化するべきです。
その他の推奨事項
- 定期的なシステムとソフトウェアの更新を行い、メーカーから提供されるパッチを迅速に適用すること。
- 脆弱性の潜在的な影響を軽減するために、多層的なセキュリティアプローチを実施すること。
