この記事はSupernova Reprintedによって承認され、Super Netによって再版された他のメディアは同意した
次週、テクノロジ業界で最も熱い議論は、インテルのプロセッサ設計上の欠陥に起因する一連の脆弱性の中で一連の「抜け穴」でした。
2018年の最初の大きなニュースとして、この時期に公開されたチップレベルの抜け穴は予期せず広がっていますが、Whirlpool Centerのインテルは、重要ではあるが扱いにくい役割を果たしています。
まず、 イベントの開始点は、市販のIntelプロセッサは、オリジナルの共通の手順になりますので、設計のギャップを破ったが、ユーザーのプライバシーとセキュリティ機器のために、間違いなく多くの年である、でも直接コアメモリアクセスデータのうち、これまでにない高い権限を持つことができています前例のない悪夢が来る。
まもなく、 脆弱性は急速にエスカレートし、研究者は、すべての充電開始のとげを解決するために、潜在的に有害な影響の広さを高カーネルレベルの権限を持っているだけでなく、「メルトダウン」(ヒューズ)と「スペクター」(ゴースト)と呼ばれますまだ だから、抜け穴の暴露は騒がしい騒ぎにしかならない。
事件と脆弱性の危険の原因:修理後の病気から回復したように、裸ヌードビーチとして修復されません
CVE-2017-5753およびCVE-2017-5715:昨年、GoogleのProject Zeroのチームは、いくつかのCPU(投機的実行)チップレベルの脆弱性が発生し、「スペクター」(変種1および変種2によって「予測実行」が見つかり)及び「メルトダウン3」(変異体:CVE-2017から5754)、3件の脆弱性は、アーキテクチャ設計上の欠陥の固有の性質であることが、非特権ユーザーが機密情報を読み取るためにシステムメモリへのアクセスを可能に起因します。
GoogleのProject Zeroの研究者は、1995年以降にリリースされたすべてのプロセッサが苦しむことに気付いた。
戻ってインテルにグーグル既にこの脆弱性、そして来週脆弱性レポートを公開する予定と言われますが、発酵が後にGoogleに、今、このような状況になった後の技術メディアは、登録は、他のメディアを通じて、先に第1月2日の脆弱性を公開しましたまた、ユーザーのセキュリティリスクを軽減するために、事前にレポートを公開することを選択します。
チップを再設計するだけでなく、ほぼ完全にリスクを排除する機会はありませんので、この脆弱性に注意を始めてすることは原則的に言うことです修復がパフォーマンスの低下を引き起こす可能性があります後、しかし、この対立は懸念の原因です。
しかし、専門家のデータマイニング一部の増加に伴い、プロセッサの影響はまた、インテルを含むことは、Windows、Linux、Macのいずれかを意味AMD、「ブラックリスト」にARMプロセッサを含むことに加えて、非常に広いことがわかりましたシステムまたはモバイルAndroid、潜在的なセキュリティ上の脅威があります。
原則として、この脆弱性は、これらの脆弱性により、ハッカーがユーザーアカウントパスワードなどのパーソナルコンピュータにアクセスする可能性のあるメモリ内のデータなど、コアメモリに格納された機密コンテンツに悪質なプログラムがアクセスする可能性があるため、アプリケーションファイル、ファイルキャッシングなど
しかし、インテルだけでは、公式のジャーナルでは、これらの脆弱性がデータを傷つけ、変更したり削除したりする可能性はないと言いました。
現在、一部のレポートでは、セキュリティパッチのインストールがパフォーマンス、特に一部の古いプロセッサに影響を与える可能性がある場合でも、このチップレベルのセキュリティ脆弱性のセキュリティ更新プログラムは完璧ではないと考えています。
インテルは私たちに説明する方法です:誰も深刻な想像して、修理する準備ができている
「メルトダウン」と「スペクター」は、アカウントにこれら三つの市場シェアを取って、大きな脅威をARM、IntelプロセッサとAMDさえを持っていますが、ほとんどすべての製品を免れることはできません。
技術的な観点から、「メルトダウン」は、ユーザプログラムでカーネルデータを取得するために、プロセッサ設計の実行特性を予測するために利用され、悪意のあるコードが直接敏感なメモリにアクセスすることができ、コア・メモリの直接的な保護を壊し、すべての混乱の使用に影響を及ぼしより多くのクラウドサービスプロバイダにカーネルメモリアドレスの脅威にアクセスするためにそれらを欺くためにIntelプロセッサの実行設計、他のプロセッサが実行順序には影響しません。他のアプリケーションのメモリを改ざんすることによって「スペクター」の脆弱性、大規模な。
ほぼ十年にリリースプロセッサは、脆弱性を所持しています
事件は、発酵を開始するために時間はかからなかった後にインテルは、これらの脆弱性は、「排他的なインテルのバイアスされていることを言って、公式声明を発行します、そしてAMDとARMプロセッサの両方が同じ問題を抱えていること。
インテルは、独自のAMD、ARM迅速かつ建設的な問題を解決するために、業界全体に適応するための方法を開発するために多くのテクノロジー企業を含めて、オペレーティング・システムのベンダーの数と密接に協力しています。そして、機器の性能の低下を感じるだろう実際に損失を感じるように決定、平均的なユーザーに応じて巨大な作業環境を想像していません。
インテル独自の声明から、それはIntelがより多くの何も表明しないしたいことがわかる「はしばらくの問題を、私たちは冷静に対処する」などのアイデアが、それはなかった、事件の後、インテルの株価は、7%以上下落したライバルのAMDは、最大8.8%でしたでも、NVIDIAはまた、6.3%の増加となりました。
これは、Googleが自分たちの問題Intelプロセッサの今年の通知になっていることを言及する価値がある、インテルのCEOブライアン・クラーザーニッチが長い(2017年11月の終わりについて)はかかりませんでした、今の手が保有する株式の数が多い(残りを販売します2500万株、雇用契約の最低要件)、株式価値2400万米ドル、今では、彼は本当に先見の明があるようだが、何の不思議は、CEOになることはできません。
インテルに対抗するAMDは宣言:私たちのようなものはほとんど問題ありません
AMDの公式声明は、Intel自身のやや不満に表示され、公式インテルは報復ではないずっと後に声明を発表したAMDの役人が異なるためチップのアーキテクチャ設計のため、危機前にAMDの製品の安全性とパフォーマンスの低下は、2つの質問を持っていると述べました多くの楽観主義。
最初の「スペクターのパフォーマンス上のソフトウェアやオペレーティングシステムのパッチ適用、ほとんど影響により行うことができ、かつ異なるためアーキテクチャを、「メルトダウン」はAMDプロセッサへの影響は、これが抜け穴を露出していると言うことができていません。 AMDはちょうど顔を打つよりむしろ、むすく。
3つの脆弱性のうち2つの脆弱性の攻撃原則は、AMDとほぼ同じであり、 AMDにとってはまったく役に立たず、セキュリティパッチで別の攻撃を修正することができ、AMDはパフォーマンスの最も重要な損失を最小限に抑えると語った。
もともとは、抜け穴がIntel独占であると考えていましたが、その後、このフォームがAMDのプロセッサに浸透して悪化し、この3つの脆弱性がARMのCortexファミリのプロセッサにも影響します。
影響を受けるCortexモデルは、現在および将来のARMプロセッサがパッチの更新を提供し、悪意のあるアプリケーションの攻撃を防ぐという、開発者のブログに掲載されています。
現在、インテル、AMD、ARM、マイクロソフト、アマゾン、グーグル、アップルは修正がパフォーマンスにあまり影響が発生することはありません表明しています。
クラウドサービスベンダーは、そう言って、パフォーマンスに影響を与え、修復パッチのかどうか?
1月3日、ウェブサイトのリストにインテルの脆弱性CVE-2017から5715の影響を受けるすべてのプロセッサ、およびこのリストはさらに45nmのコアは8年前に問題を抱えているi7のことを示し、再び両方のIntelことを強調AMDとARMは、同様の問題を抱えています。
パフォーマンスは、プレイヤーが最も懸念している問題であり、報告書のほとんどは、それが修理後のプロセッサのパフォーマンスを低下させること、それは、このような活発な議論につながると述べています。
それは(別のアドレスにカーネル)カーネルを識別するための非特権ユーザーコードを防ぐことができますが、パフォーマンスにおけるLinuxのようなシステムは、仮想アドレスKPTIパッチので、修理後減少するが、プログラムは、コアスイッチに対処するために使用する必要がある場合インテルプロセッサーのパフォーマンスが低下する結果、パフォーマンスは約5%〜30%になりますが、一部のテストではパフォーマンスが50%低下します。
「メルトダウン」の、LinuxはKPTIは、上記のパッチをリリースしました、MacOSのも10.13.2から修復、Googleが最新バージョンに自分のAndroidとのChromebookデバイスにユーザを促し、Androidユーザーは、2018年1月をインストールする必要がありますセキュリティパッチ
ほとんどの人のWindowsシステムと同様に、マイクロソフトはWindows 10 / 8.1 / 7ユーザー用の緊急パッチKB4056892をリリースしました。 'Spectre'は問題の範囲を考慮して今までパッチを開発中です。また、大手のインテルは、さまざまなメーカーとのセキュリティパッチの立ち上げにも共謀しています。
インテルは、本日、2つのセキュリティーに関するアナウンスを発表しました。その1つは、エクスプロイトに対する最新の保護システムの導入です。次の週末までに、インテルは過去5年間で90%の製品アップデートを提供する予定です。 AmazonとGoogleのテスト結果によると、このアップデートはパフォーマンスに大きな影響を与えません。
国内メーカーもまた、こうした抜け穴の犠牲者である テンセントは、事件に対して声明を発表した、プラットフォームは、修理するためにホットアップグレードされた技術となります。 以下は、通知の全文を更新するTencentクラウドプラットフォームです:
00-05:「最近、インテル・プロセッサー・チップレベルではセキュリティ上の問題を解決するために、テンセント雲北京は午前01で2018年1月10日開催されます、深刻なセキュリティ問題をバースト00サーマルアップグレード技術とハードウェア・プラットフォームの仮想化により、修理のためのバックエンドプラットフォーム、顧客サービスは影響を受けません。
ホットサーバーのアップグレードの非常に少量がサポートされていないために、テンセントクラウド代替の配置は手動で修理時間を再起動し、サーバーテンセントクラウドセキュリティチームのこの部分は、別々の通知、相談アップグレード時間をさせて頂きます、予約された連絡先(電話、メール)の円滑な流れを確保することをお勧めします同時に、データバックアップ計画とビジネス保守計画を事前に準備する。
上記のTencentクラウドに加えて、この抜け道に直面して、 Huawei社は、アリ、Kingsoftの、マイクロソフト、Jingdongは、百度や他のサービスプロバイダ準備するか、修理には、このような脆弱性を促進するための緊急対策を発表しました。
消費者の声明:プライバシーとパフォーマンスの選択方法
前回のウイルス恐喝よりも事件の深刻さ、インテルは、是正措置を行うためにあらゆる努力を見て、だけでなく、私たちに、ユーザーのプライバシーを示したが、Intelの声明から、Intelプロセッサで、ほぼすべてのユーザーを含みますほとんどの保護、同様の事件の再発は、ハッカー成功し、その後の修復作業ハード、一度ユーザの関心を復元する場合。
かどうかに関係なくセキュリティ更新プログラムの、彼らは自分たちの利益が危険にさらされていることを信じているので、主要なフォーラムのサイトでは、インテルの態度に一部のユーザーは、相対的に負思える、一部の楽観的なユーザーが存在し、自分の上でこの脆弱性はなかったと思いますインパクト。
プロ原憲魚、後退ウェブのような:私たちは、後に行う方法?
あなたは独自のプライバシーにもっと注意を払う場合は、マイクロソフト、アップルやGoogleベンダーからのセキュリティおよびその他の更新をより良い正インストールのだ。受動的に更新を受け入れるに加えて、我々は彼らのPCの習慣に注意を払う必要があり、AMDのようにそれを入れていません未承諾の接続をクリックし、強力な暗号プロトコル、ネットワークセキュリティと定期的な使用のセキュリティソフトウェアの更新を行います。
現在の状況から、これらのAMDプロセッサの両方の脆弱性の良好なインテルの免疫よりも、彼らは最近、個人のプライバシーの重要性を設置する場合は、その後、AMDプロセッサを購入することも良い選択です。
私はこの事件の後、インテルのプロセッサの将来は、完全に抜け穴を埋め込む、アーキテクチャで再設計され、アンドロイドの携帯電話のユーザーは、最近更新されたメーカーにもっと注意を払う必要があります。
この抜け落ちはほんの始まりかもしれません。私たちはこの事件を追跡します。
非常に多くの言葉を見たくない場合は、次の図を参照して理解してください。
