タグ SPECTRE
人気順 10 users 50 users 100 users 500 users 1000 usersCORB から ORB へ | blog.jxck.io
Intro CORB (Cross Origin Read Blocking) が Fetch の仕様から消え、後継の ORB (Opaque Response Blocking) が策定作業中である。 ここでどのような変更が起こっているのかを調査し、記録する。 CORB CORB はもともと、 Spectre に端を発する Site Isolation の走りとして始まった。 Spectre のサイドチャネル対策のた... 続きを読む
CPUの脆弱性「Spectre」に対応してAMDがリリースしたパッチに問題があることをIntelが発見
幅広いプロセッサに存在するハードウェアレベルの脆弱性「Spectre」は、2018年初頭に発見された際に「すべてのプロセッサが安全性と高速性を両立できない問題を抱える」と指摘され、IT業界全体が対応を迫られました。そんなSpectreの対応策としてAMDが2018年にリリースしたパッチの1つに問題があり、Spectreを悪用した攻... 続きを読む
Spectre の脅威とウェブサイトが設定すべきヘッダーについて
長い記事なので先に結論を書きます。 Spectre の登場で、ウェブサイトに必要とされるセキュリティ要件は増えました。具体的に必要な対策は下記の通りです。 すべてのリソースは Cross-Origin-Resource-Policy ヘッダーを使って cross-origin なドキュメントへの読み込みを制御する。 HTML ドキュメントには X-Frame-Opti... 続きを読む
Ryzen 5000などにSpectreに似た投機実行の脆弱性 - PC Watch
Google Developers Japan: Spectre の影響を受けないウェブを作るための概念実証について
.app 1 .dev 1 #11WeeksOfAndroid 13 #11WeeksOfAndroid Android TV 1 #Android11 3 #DevFest16 1 #DevFest17 1 #DevFest18 1 #DevFest19 1 #DevFest20 1 #hack4jp 3 11 weeks of Android 2 A/B Testing 1 A4A 4 Accelerator 3 Accessibility 1 Actions on Google 16 Activation Atlas 1 Addy Osmani 1 ADK 2 AdMob 32 A... 続きを読む
CPU脆弱性「Spectre」の概念実証と脆弱なエンドポイントを探す拡張機能「Spectroscope」をGoogleが公開 - GIGAZINE
2018年に発覚したCPUに内在する脆弱性「Spectre」の影響がどれほどのものなのか、実際にブラウザのメモリから情報を取り出せる概念実証(PoC)をGoogleが公開しました。 Google Online Security Blog: A Spectre proof-of-concept for a Spectre-proof web https://security.googleblog.com/2021/03/a-spectre-proof-of-co... 続きを読む
Site Isolation 及び Web のセキュリティモデルの更新 | blog.jxck.io
Intro Origin は Web におけるセキュリティモデルの一つとして、コンテンツ間の Communication に関する境界を定義し、リソースを保護してきた。 しかし、 Spectre の発覚以降、 Communication に関する制限だけではなく Isolation によるメモリレベルでのアクセス制御が必要となった。 そこで現在作業されているのが、 ... 続きを読む
Intel製CPUの「修正済み」脆弱性が実は修正不可能であったことが判明、特権によるコード実行やDRMの回避などが可能 - GIGAZINE
Intel製のCPUには、2018年に「Meltdown」や「Spectre」、2019年には「SPOILER」など、ここ数年多くの脆弱性が判明しています。そうした脆弱性のひとつとして、Intel製CPUのセキュリティシステムである「Intel CSME」に見つかった、「すでに修正パッチを配布済み」の脆弱性が、実は完全には修正不可能なものであることが... 続きを読む
Apple、2019年のベストアプリとゲームを発表! - iPhone Mania
Appleは、現地時間の12月2日に米ニューヨーク市でスペシャルイベントを開催し、2019年のベストアプリとゲームを発表しました。 ベストiPhoneアプリとなったのはAIカメラ Appleが選ぶ2019年のベストiPhoneアプリに輝いたのは、AIを使って見事な長時間露光を作成するiOSカメラアプリ「Spectreカメラ」です。 Spectreは人混... 続きを読む
インテルを悩ませるチップの脆弱性は、“パッチワーク対応”が続く限り終わらない|WIRED.jp
ILLUSTRATION: ELENA LACEY; GETTY IMAGES CPUの深刻な脆弱性として問題になった「Spectre」や「Meltdown」、そしてその変種を利用した攻撃は、チップのセキュリティ確保がいかに難しいかを過去2年にわたって証明してきた。これらの攻撃は、どれもさまざまなプロセッサーをだまし、機密データを吐き出させるものだ。 こ... 続きを読む
パスワードが盗まれる恐れも――IntelのCPUに重要情報流出につながる新たな脆弱性が発覚 - ITmedia エンタープライズ
「Meltdown」「Spectre」と同様、現代的な設計のプロセッサに含まれる投機的実行の仕組みが悪用され、パスワードやWebブラウザの閲覧履歴、暗号鍵といった重要な情報が流出する恐れがある。 Intelのプロセッサに、ユーザーのパスワードやWebブラウザの閲覧履歴といったセンシティブな情報を盗まれる恐れがある新たな脆弱... 続きを読む
インテル製チップに新たな脆弱性「SPOILER」--修正は困難との指摘も - CNET Japan
研究者らが、Intel製のすべてのチップに影響を及ぼす新たな脆弱性「SPOILER」を発見した。SPOILERは、CPUのパフォーマンス向上を図る投機的実行の方法に起因するものだ。 2018年1月に発覚した「Spectre」や「Meltdown」と同様に、SPOILERを悪用する攻撃では、Intel製チップの投機的実行プロセスを使って機密情報を読み取... 続きを読む
Intel製CPUに見つかった新たな脆弱性「SPOILER」はまたもシリコンレベルでの再設計による修正が必要 - GIGAZINE
by Uwe Hermann 2018年に複数見つかった脆弱性に続いて、Intel製CPUに新たな脆弱性が見つかりました。「SPOILER」と名付けられたこの脆弱性は、2018年に見つかった脆弱性・「Meltdown」や「Spectre」と同様に「投機的実行」と呼ばれる処理を悪用するもので、シリコンレベルでの大幅な再設計なしには修正はできないものだ... 続きを読む
Googleの研究者ら曰く、Spectre脆弱性の修正は難しい | スラド セキュリティ
あるAnonymous Coward曰く、昨年1月に「Spectre」などと呼ばれるCPUの脆弱性の存在が報じられた。その後、これらと同様の手法を使った攻撃手法が次々と見つかっているが、Googleの研究者らが2月15日付けで発表した論文によると、これらの脆弱性は修正が難しいという(I Programmer)。 論文では、Spectre脆弱性は投機実... 続きを読む
「Spectre」「Meltdown」関連で新たに7件の脆弱性 - ITmedia エンタープライズ
研究チームはSpectreとMeltdownに関連する一連の攻撃について体形的に検証し、7件の脆弱性を新たに発見。Intel、AMD、ARMの大手3社のプロセッサについて影響を確認した。 IntelなどのCPUに発覚した「Spectre」「Meltdown」と呼ばれる脆弱性に関連して、新たに見つかった7件の脆弱性に関する学術論文が11月13日に発表され... 続きを読む
IntelのCPUで新たな脆弱性「Portsmash」が発見される、ハイパースレッディングに関する2つ目の脆弱性 - GIGAZINE
2018年初めにIntelのCPUで発見された脆弱性の「Spectre」「Meltdown」や、同年8月に見つかった脆弱性「Foreshadow」などを悪意のあるアタッカーが利用すると、PCや一部のスマートフォンのプロセッサにアクセスし、パスワードや秘密鍵といった情報を盗み出すことが可能です。また、この攻撃は従来のセキュリティでは検出... 続きを読む
MITの研究チーム、「Meltdown」や「Spectre」の脆弱性に新しい対策を考案:キャッシュを複数のバケットに分割 - @IT
キャッシュを複数のバケットに分割:MITの研究チーム、「Meltdown」や「Spectre」の脆弱性に新しい対策を考案 マサチューセッツ工科大学(MIT)のComputer Science and Artificial Intelligence Laboratory(CSAIL)の研究チームが、「Meltdown」や「Spectre」のような脆弱性を悪用しにくくする新しいアプローチ「DAWG(... 続きを読む
MeltdownやSpectre脆弱性を性能低下無しに回避する手法が考案される | スラド セキュリティ
今年1月に発見されたCPUの脆弱性「Meltdown」や「Spectre」では、対策を行うとCPUの演算性能が低下することが知られている(過去記事)。これに対し、米マサチューセッツ工科大学が演算性能の低下無しに脆弱性対策を行う手法を開発したという(PC Watch、TechCrunch)。 この手法はプログラムが別のプログラムによって使... 続きを読む
「Windows 10 19H1」、「Spectre Variant 2」対策にグーグルの「Retpoline」を採用へ - ZDNet Japan
Microsoftが「Spectre Variant 2」への対処にGoogleによる緩和策である「Retpoline」を取り入れ、「Windows 10」の次期大型アップデート「Windows 10 19H1」で実装するという。Spectre Variant 2は投機的実行機能を悪用したサイドチャネル攻撃を可能にする脆弱性だ。 「Meltdown」および「Spectre」のようなCPUの脆弱性... 続きを読む
MIT、プロセッサ性能を犠牲にせず「Meltdown/Spectre」脆弱性を解決する新手法 - PC Watch
「Intelの脆弱性情報の開示が遅すぎた」ことでLinux開発者が大変な目に遭っていたことが発覚 - GIGAZINE
2018年8月29日からアメリカで開催されている「Open Source Summit 2018」で、Linux開発者のグレッグ・クロー=ハートマン氏がIntel製CPUに存在した「Spectre」と「Meltdown」の脆弱性情報について、「Intelの開示があまりにも遅かったために、多くのLinux開発者が大変な思いをした」ことを明らかにしました。 Linux Kern... 続きを読む
本当にわかる Spectre と Meltdown
本当にわかる Spectre と Meltdown 1. 本当にわかる Spectre と Meltdown 川田裕貴 @hktechno 1 セキュリティ・キャンプ全国大会2018 講義資料 URL: https://goo.gl/uTwX2c 2. 自己紹介 @hktechno 川田 裕貴 (かわた ひろたか) ● LINE 株式会社 開発1センター LINE 開発1室 ○ メッセンジャープラットフォームの開発 ○ 主... 続きを読む
Intel CPUの「SGX」機能に新たな脆弱性、仮想マシンなどにも影響 - ITmedia エンタープライズ
脆弱性はIntelのSGX機能をサポートしているプロセッサが影響を受けるほか、他のOSやシステム管理モード(SMM)、仮想化ソフトウェア(VMM)などに影響を及ぼす可能性のある脆弱性も見つかった。 Intelなどのプロセッサに発覚した「Spectre」「Meltdown」と呼ばれる脆弱性に関連して、また新たな脆弱性が報告され、Intel... 続きを読む
Intel CPUの「SGX」機能に新たな脆弱性、仮想マシンなどにも影響 - ITmedia NEWS
脆弱性はIntelのSGX機能をサポートしているプロセッサが影響を受けるほか、他のOSやシステム管理モード(SMM)、仮想化ソフトウェア(VMM)などに影響を及ぼす可能性のある脆弱性も見つかった。 Intelなどのプロセッサに発覚した「Spectre」「Meltdown」と呼ばれる脆弱性に関連して、また新たな脆弱性が報告され、Intel... 続きを読む
2018年上半期に話題になったSpectreとその変異、Linuxカーネルでの対応まとめ:OSS脆弱性ウォッチ(8) - @IT
OSS脆弱性ウォッチ(8):2018年上半期に話題になったSpectreとその変異、Linuxカーネルでの対応まとめ 連載「OSS脆弱性ウォッチ」では、さまざまなオープンソースソフトウェアの脆弱性に関する情報を取り上げ、解説していく。2018年の上半期は、「Meltdown」「Spectre」とその変異(Variant)の脆弱性に悩まされた。今... 続きを読む