AMDの欠陥について、発表しかたがなんかおかしい件
■ このスレッドは過去ログ倉庫に格納されています
AMDチップに見つかった一連の脆弱性は大きな波風を立てているが、それは事態が重大だからではない。自らの発見を公表した研究者らの、性急で一般うけを狙ったやり方のせいだ。
プロの撮影したビデオと広報担当者のいるバグなど見たことがあるだろうか ―― しかしAMDが警告を受けたのはわずか24時間前だ。欠陥は本物だとしてもこうしたやり方は不穏当だ。
問題の不具合を見つけたのはイスラエルのサイバーセキュリティー調査会社のCTS Labsで、欠陥にはRyzenfall、Masterkey、Fallout、Chimeraという派手な名前をつけ、
専用のロゴとウェブサイトも作り、詳しい内容を記載した白書まで用意した。
ここまではまだよい。Heartbleedや、MeltdownとSpectreといった大きなバグにも名前とロゴはあった。
違うのは、過去のケースでは当事者たち、すなわちIntelやOpenSSLチームやAMDは、欠陥について十分前もって密かに警告を受けていたことだ。
これが「責任ある開示」のコンセプトであり、公開前に開発者が問題の第一次対応を行う機会を与えるものだ。
大企業が自社にとって不都合な情報の開示について、どこまで統制力をもつべきかについては正当な議論があるが、一般に、ユーザー保護の観点から慣例は守られる傾向にある。
しかし今回のケースでCTS Labsは、AMDの欠陥について事前にほとんど警告することなく、完全な形で公表した。
チームが発見した欠陥は本物だが、一連のアクションを実行するためには管理者権限が必要だ。つまり欠陥を利用するためにはターゲットシステムを深いレベルでアクセスする必要がある。
調査報告書によると、バックドアは台湾企業のASmediaのチップに故意に仕掛けられたとしている。ASmediaは多くのメーカーと提携して部品を製造している。
この欠陥を利用するためには高度のアクセスが必要なことから、メモリー操作とアーキテクチャーレベルの欠陥を悪用したMeltdownとSpectreなどとくらべて問題ははるかに限定的だ。
たしかに深刻ではあるが、その公表方法ゆえウェブには疑惑がうずまいた。
http://jp.techcrunch.com/2018/03/14/2018-03-13-security-researchers-find-flaws-in-amd-chips-but-raise-eyebrows-with-rushed-disclosure/
続く >>1の続き
あの極端に専門性を排したビデオはなぜ背景素材にはめ込み合成されているのか? なぜAMDが軍で利用されていることを強調して恐怖を喚起する戦術をとってるのか?
なぜ一連のバグには重大問題の識別に使われる標準追跡方法であるCVE番号が振られていないのか?なぜ、AMDには対応する時間がほとんど与えられなかったのか?
なぜ、FAQにも書かれているように、数カ月のうちに修正できるのなら、少なくとも修正方法が用意できるまで公表を遅らせなかったか?
そして、CTSはAMDの「業績に関わる直接または間接的な経済的利益を有する可能性がある」という情報開示はいったいなんなのか?
これはこのような状況下で一般的に行われる情報開示内容ではない。
(私は欠陥の広報担当者[!]に連絡をとりいくつか質問をした)
AMDに対する何らかの悪意や恨みが背景にあるのではないかという疑念は拭いきれない。それが欠陥の深刻さを減じるものではないが、実に後味が悪い。
AMDは声明を発表し、「当社はついさきほど報告書を受け取り、発見された問題の手法と影響を解明すべく調査を続けている」と語った。これ以上1日に何かするのは困難だろう。
この種の大きなバグについはいつも言えることだが、真の影響範囲、実際にどれほど深刻なのか、ユーザーや企業は影響を受けるのか、
予防するために何ができるのかといった情報は、専門家たちが詳しく調べデータを検証して初めて明らかになる。 こんばんは
やっぱり朝鮮人を全員駆除した方が絶対いいと思うの 任天堂ハードにバックドア仕掛けられてない?大丈夫? イスラエルって時点でインテルの影響下にあると分かる >>9
ソニーゴキブリはソニーを心配しなよ
rootkitを仕込むような会社だ >>1
2017/6/25日ドメイン取ったりした準備している
この日は何か知っているか?
googleがインテルにメルトダウンの情報を通知した日の翌日なんだぜ
この先を言うと俺も命が危ないかもしれんし何も言えんけどそう言うことだ AMDがあ管っていう事はだな。PS4も箱もダメってことなんだよな。 AMDがあかんっていう事はだな。PS4も箱もダメってことなんだよな。 >>9
ゲーム機にバックドアで見られては困ることないが
強いて言うなら、仕事もしないでゲームばかりやってる事がバレると同時に、寄生中の実家の自室ドアが親に破られる事かな パソコンなんて所詮そんなもんなのに
本気で使って文句言う馬鹿が増えた これって対象のPCにマルウェアしこんだBIOSを当てないと駄目だって聞いて何だそりゃって思ったわ >>9
ゲーム機においてはバックドアの存在が良い結果を招く
大抵の場合、バックドアには仕様・実装上の欠陥があって、ゲーム機の解析が趣味のハッカーが
ファームウェアなどの保護されている領域へアクセスするためのいい突破口になる じゃあ管理者権限を所有者の意図せず付与できるWindowsの脆弱性でもあればいいわけだ。
そんなのあったっけ?過去に。 セキュリティホールを突いてコンピュータシステムをサービス不能に陥れる、
DoS(Denial of Service)アタックと呼ばれるクラッキングが知られているが、
最近これと似て非なる「ドス・アタック」という危険な技があみ出された。
これは、「鉄砲玉」と呼ばれる命知らずが、対立サイトのサーバマシンの
フロッピー・ディスク・ドライブに MS-DOS のシステムディスクを突き刺し、
イジェクトボタンをむしり取ってからリセットボタンを押してくるという荒技で、
ターゲットにされたサーバは、MS-DOS 専用マシンになってしまうという。
最近この攻撃を受けたサーバ管理者のひとりは、
「PentiuIII Xeon で動く DOS は悪魔のように速かった……」と、
未だ茫然自失状態を脱していない。 簡単に説明すると悪意を持って攻撃してくるハッカーにPCを物理的に渡して管理者権限を与えてログインさせるとPCにバックドアを仕掛けられる
という事だよ。お前ら知らないハッカーにパソコン貸して管理者権限を与えちゃ絶対に駄目だぞ >>9
そんなの心配してないでお前はドアの外に出ろよ > チームが発見した欠陥は本物だが、一連のアクションを実行するためには管理者権限が必要だ。つまり欠陥を利用するためにはターゲットシステムを深いレベルでアクセスする必要がある。
管理者権限取れるとかじゃないんだなww イスラエルのサイバーセキュリティー調査会社
偶然だゾ 会社の削除済メールが入ってるフォルダにマルウェア入ってたわ。 ごちゃごちゃ能書き垂れたところで
欠陥CPUは欠陥CPUなんだよ
商売するなら責任とれってことだ
潰れようが知ったことじゃない
対策品開発→全品交換が最低条件だよね
商売なめんな 206番組の途中ですがアフィサイトへの転載は禁止です (アウアウカー Sa7b-iyli)2018/03/14(水) 08:45:42.72ID:6U0sk7UTa
これで無事なシステムなんて無いだろ
501 Socket774 sage 2018/03/14(水) 07:41:59.57 ID:paVnyERw
reddit行ってきた
下記のうちどれかが必要だそうで
Physical Access
A modified BIOS with injected malware to be flashed
Administrator-level user access
まあこの問題よっかこれを上げた会社が怪しすぎるわけなんだが >>43
新しいCPU買ったと思ったら欠陥修正で性能が1世代分下がった会社こそなめてませんか? チップセットのバグなんて定番だし
マイクロコードでフォローするだろうに
なんでCPUの欠陥にすり替えて大騒ぎしてるんだジューは インテルのバックドアがばれたから火消しに必死なんだろうw 6年くらい前のデュアル的なやつでデイトレしてますが大丈夫ですか? Intelのこういう政治的にどうこうしようとしてるうちは浮上の機会がないんだろうな >>47
なんて会社でしたっけ思い出せませんね
あー思い出せない Intelが裏工作するくらいAMDのcpuが優秀だと証明されたのか >>12
誰もソニーの話してないのに...こわいね こないだパソコン工房で来善五のpc買ったばかりなのに ミッションインポッシブルみたいに端末を直接操作されても
脆弱性と言われることになるぞ 管理者権限取れる前提なら
別に脆弱性使わなくとも
システム弄りたい放題なんじゃねえの? AMDの欠陥を見つけるとIntelから報酬でも貰えるんだろww 株で一儲けをもくろんだか?
目立ちたがりの報告者も結構いるんだよな。 を〜い淫さん、俺が空湖ちゃん℃な℃なしちゃったからって変なフェークニュース出すなよォ
http://youtu.be/UODiK7S0rLI 重大なケースって実は結構ソーシャルハッキングらしいけど
「物理的なアクセスが必要」では流石にな・・・ >>73
核開発施設に潜入してウイルス入りのUSBメモリをつなげてハッキングするくらいの一般家庭の重要施設を想定してるんだろうな SandyBridgeのi5から最近8世代のi5に買い替えたんだけど当たり前なんだけど別もんやな
十分だと思ってた >AMD買収のニュースが流れる→そしてCTSによる印象操作的なニュース
>なおCTS LABのドメインが作られたのは最近な模様、そしてCTSの会社の取締役はNYのヘッジファンドの社長と同一人物
>数え役満
今後もこの手の輩、どんどん増えるだろうね ナイフで直接刺されると死にます。人間の脆弱性です。 インテルはAMDを恐れている。自らが破綻の道を歩む方向を選択した。 明日インテルの株売るよ >>45
BIOSの改変が必須って、攻撃に使える気がしないんだが。。。
全然大した問題じゃないじゃん 下請けのチップ製造会社がバックドア仕掛けたって話??? >>74
あのUSBメモリ駐車場に落としてたんじゃないっけ 物理アクセス、BIOS改変、管理者権限www
これで無事なシステムってなんだ、馬鹿にしてんのか
FUDするならもっと真面目にやれ 物理的に攻撃されなきゃいいんだろ
PCメーカーが故意にそれを利用しなければ問題無いやろ
それとも中華の為に穴を用意したのかな 読んでもよくわからんが、こういうライバル企業下げをインテルは散々やってきてるので信用ならない そもそもAMDも今日初めて聞いたとなると本当にこの脆弱性が実在するのかも未確認なのでは むしろBIOS書き換えて管理者権限まで取得しないとバックドアが使えない程AMD製品が優秀だと証明されたな >>70
むしろそのためだけに設立された可能性が高いよな。
依頼主からせっつかれて、仕方なく出した精一杯がこれなのかも知れない。 >>92
金かけてディするのにこの程度だからな
AMDに本気で乗り換えるよう、上に進言しておくかな ライバル社がネガキャンするくらいだから、相当優秀なんだね。
メモリ高いからRyzen見送ってたけど、丁度サウンドの調子がおかしくなって来たからパーツ入れ替えるかな。 ■ このスレッドは過去ログ倉庫に格納されています
