Intelは5月14日(米国時間)、「INTEL-SA-00233 - Microarchitectural Data Sampling Advisory」において、同社のプロセッサに情報漏洩を引き起こすおそれがある脆弱性が存在すると発表した。同社はこの脆弱性の影響を軽減するためにマイクロコードのアップデートのリリースを行っている。
影響を受けると見られるプロセッサは、以下の資料で確認することができるとされている。
-
Microcode Revision Guidance - May 14, 2019 - Intel
Intelはこの脆弱性を「Microarchitectural Data Sampling(MDS)」と呼んでおり、次の4つの関連技術で構成される。
- CVE-2018-12126:Microarchitectural Store Buffer Data Sampling(MSBDS)
- CVE-2018-12127:Microarchitectural Load Port Data Sampling(MLPDS)
- CVE-2018-12130:Microarchitectural Fill Buffer Data Sampling(MFBDS
- CVE-2018-11091:Microarchitectural Data Sampling Uncacheable Memory(MDSUM)
上記のうち、CVE-2018-12130を突く攻撃は「ZombieLoad Attach」と呼ばれており、セキュリティ研究者が独立したWebサイトを立ち上げ、攻撃の仕組みなどをまとめている。
これまで、Intelプロセッサにおける情報漏洩を引き起こす脆弱性として「Meltdown」「Spectre」が発見されているが、これらの脆弱性と同様に、CPUの性能を最適化する技術「投機的実行」を悪用して、本来アクセスできないはずのデータにアクセスすることを可能にする。
Intelが公開してる資料からは利用しているプロセッサがこの脆弱性を抱えているかどうかを調べるのは簡単とはいえない。Betanewsに掲載された記事「How to check if your Windows or Linux system is vulnerable to Microarchitectural Data Sampling (MDS) attacks」では、「RIDL and Fallout: MDS attacks」で提供されているツールによって、利用しているプロダクトが該当するかどうかをチェックできるという。ツールはWindows版とLinux版が提供されているほか、ソースコードがGitHubで公開されている。
この脆弱性への対処としては、Intelが提供するマイクロコードのアップデートと、対応するOSおよびソフトウェアのアップデートを組み合わせる必要がある。
MicrosoftはWindows、Windows Server、SQL Server向けのパッチを提供しているほか、AppleはmacOS Mojave 10.14.5に対する緩和策をリリースしている。
また、クラウドサービスを提供しているMicrosoft、Google、Amazon Web Servicesはクラウドサービスを提供するインフラに対し、パッチを適用するなどMDSへの対処を取っていることを表明している。
Intelの最近のプロセッサのほとんどが影響を受けると見られており、今後もIntelや各ベンダーから提供されるセキュリティ情報に注目するとともに、アップデートが提供された場合には迅速に適用することが望まれる。
