Intelは11月14日(米国時間)、「INTEL-SA-00950」において、一部のIntelプロセッサに潜在的な脆弱性が存在すると発表した。この脆弱性が悪用されると、攻撃者によりローカルアクセスを介して権限の昇格や情報開示、サービス拒否が行われる可能性があるとしており注意が必要。
Intelはこの脆弱性を軽減するためのファームウェアアップデートをリリースしている。
この脆弱性の影響を受ける製品は次のとおり。
- 第10世代Intel Core Processorファミリ(CPU ID:706E5、Platform ID:80)
- 第3世代Intel Xeon Processorスケーラブルファミリ(CPU ID:606A6、Platform ID:87)
- Intel Xeon D Processor(CPU ID:606C1、Platform ID:10)
- 第11世代Intel Core Processorファミリ(CPU ID:A0671、Platform ID:02)
- 第11世代Intel Core Processorファミリ(CPU ID:806C1、Platform ID:80)
- 第11世代Intel Core Processorファミリ(CPU ID:806C2、Platform ID:C2)
- 第11世代Intel Core Processorファミリ(CPU ID:806D1、Platform ID:C2)
- Intel Server Processor(CPU ID:A0671、Platform ID:02)
この脆弱性の影響を受けるが、すでにリスクが軽減されている製品は次のとおり。
- 第12世代Intel Core Processorファミリ(CPU ID:906A4、Platform ID:80)
- 第4世代Intel Xeon Processorスケーラブルファミリ(CPU ID:806F8、Platform ID:87)
- 第13世代Intel Core Processorファミリ(CPU ID:B0671、Platform ID:01)
この脆弱性はCVE-2023-23583で追跡されており、深刻度は重要(Important)とされる。影響を受けるプロセッサの完全な一覧は「Affected Processors: Transient Execution Attacks & Related Security...」から確認することができる。
Intelによると、通常のソフトウェアがこの脆弱性の影響を受けることはなく、故意に悪用するコードを実行した場合に影響を受けるとのこと。また、限定的なシナリオにおいて権限が昇格する可能性があることは確認されている。
Intelはこの脆弱性を軽減するマイクロコードアップデートを提供しているが、この更新によるパフォーマンスへの影響はないと予想している。より詳細な脆弱性に関する技術的な情報は「Redundant Prefix Issue」から確認することができる。
Intelはこの脆弱性の影響を軽減するために、該当するプロセッサを利用しているユーザに対し、システムの製造元が提供する情報にもとづいてファームウェアを最新バージョンに更新することを推奨している。