Intel製CPUから機密情報が漏洩するDownfall脆弱性の軽減策公開、Microsoft
2023年8月11日(現地時間)、Intel製の一部のCPUにおいて、機密情報の漏洩につながる脆弱性「CVE-2022-40982」の存在が公表された。この脆弱性は「Downfall」または「Gather Data Sampling(GDS)」という名称で呼ばれており、悪用に成功するとハードウェアの内部レジスタに不正にアクセスして情報を取得できる可能性があるという。Microsoftは8月24日、このDownfall脆弱性を軽減する方法、および安全な環境で軽減策を無効にする方法について明らかにした。
KB5029778: CVE-2022-40982 に関連する脆弱性を管理する方法 - Microsoft サポート
Downfallは、カリフォルニア大学のセキュリティ研究者Daniel Moghimi氏によって報告された脆弱性で、CVE-2022-40982として識別されている。原因は、Intel CPUに備わっている最適化機能が、ハードウェアの内部レジスタを意図せずソフトウェアに公開してしまうことだという。これによって、信頼できないソフトウェアが、他のプログラムによって保存されたデータに不正にアクセスできる可能性が生じる。悪用されると、パスワードや暗号化キーなどの機密情報、銀行口座の詳細、個人情報などが、攻撃者に盗み出される危険性がある。
Downfallに関する詳細は、次の各サイトを参照のこと。
Downfall - https://downfall.page/
INTEL-SA-00828 - Intel Security Center
CVE-2022-40982 - CVE
Microsoftは、この脆弱性の影響を軽減する方法として、Intelが公開した更新プログラムをインストールすることを挙げている。
intel/Intel-Linux-Processor-Microcode-Data-Files
この脆弱性の影響を受けとされているのは、「Skylake」(第6世代)から「Tiger Lake」(第11世代)までのプロセッサで、2014年以降に発売された最新モデルを除く多くのCPUが該当する。ただし、「Alder Lake」や「Raptor Lake」、「Sapphire Rapids」など一部の最新のCPUは、Downfallの影響を受けない。Microsoftは、影響を受けないCPUを搭載しているベアメタル環境で、軽減策を無効にして、パフォーマンスへの影響を避ける方法も解説されている。
Downfallは、カリフォルニア大学のセキュリティ研究者Daniel Moghimi氏によって報告された脆弱性で、CVE-2022-40982として識別されている。原因は、Intel CPUに備わっている最適化機能が、ハードウェアの内部レジスタを意図せずソフトウェアに公開してしまうことだという。これによって、信頼できないソフトウェアが、他のプログラムによって保存されたデータに不正にアクセスできる可能性が生じる。悪用されると、パスワードや暗号化キーなどの機密情報、銀行口座の詳細、個人情報などが、攻撃者に盗み出される危険性がある。
Downfallに関する詳細は、次の各サイトを参照のこと。
Downfall - https://downfall.page/
INTEL-SA-00828 - Intel Security Center
CVE-2022-40982 - CVE
Microsoftは、この脆弱性の影響を軽減する方法として、Intelが公開した更新プログラムをインストールすることを挙げている。
intel/Intel-Linux-Processor-Microcode-Data-Files
この脆弱性の影響を受けとされているのは、「Skylake」(第6世代)から「Tiger Lake」(第11世代)までのプロセッサで、2014年以降に発売された最新モデルを除く多くのCPUが該当する。ただし、「Alder Lake」や「Raptor Lake」、「Sapphire Rapids」など一部の最新のCPUは、Downfallの影響を受けない。Microsoftは、影響を受けないCPUを搭載しているベアメタル環境で、軽減策を無効にして、パフォーマンスへの影響を避ける方法も解説されている。
