Spectre の脅威とウェブサイトが設定すべきヘッダーについて

2021/11/01 499 users cross-origin ヘッダー リソース 脅威 結論

長い記事なので先に結論を書きます。 Spectre の登場で、ウェブサイトに必要とされるセキュリティ要件は増えました。具体的に必要な対策は下記の通りです。 すべてのリソースは Cross-Origin-Resource-Policy ヘッダーを使って cross-origin なドキュメントへの読み込みを制御する。 HTML ドキュメントには X-Frame-Opti... 続きを読む

Intel製CPUに見つかった新たな脆弱性「SPOILER」はまたもシリコンレベルでの再設計による修正が必要 - GIGAZINE

2019/03/06 111 users GIGAZINE spoiler meltdown シリコン

by Uwe Hermann 2018年に複数見つかった脆弱性に続いて、Intel製CPUに新たな脆弱性が見つかりました。「SPOILER」と名付けられたこの脆弱性は、2018年に見つかった脆弱性・「Meltdown」や「Spectre」と同様に「投機的実行」と呼ばれる処理を悪用するもので、シリコンレベルでの大幅な再設計なしには修正はできないものだ... 続きを読む

IntelのCPUで新たな脆弱性「Portsmash」が発見される、ハイパースレッディングに関する2つ目の脆弱性 - GIGAZINE

2018/11/05 193 users meltdown ハイパースレッディング プロセッサ 検出

2018年初めにIntelのCPUで発見された脆弱性の「Spectre」「Meltdown」や、同年8月に見つかった脆弱性「Foreshadow」などを悪意のあるアタッカーが利用すると、PCや一部のスマートフォンのプロセッサにアクセスし、パスワードや秘密鍵といった情報を盗み出すことが可能です。また、この攻撃は従来のセキュリティでは検出... 続きを読む

本当にわかる Spectre と Meltdown

2018/08/17 155 users meltdown hktechno 川田 ひろたか 裕貴

本当にわかる Spectre と Meltdown 1. 本当にわかる Spectre と Meltdown 川田裕貴 @hktechno 1 セキュリティ・キャンプ全国大会2018 講義資料 URL: https://goo.gl/uTwX2c 2. 自己紹介 @hktechno 川田 裕貴 (かわた ひろたか) ● LINE 株式会社 開発1センター LINE 開発1室 ○ メッセンジャープラットフォームの開発 ○ 主... 続きを読む

IntelのCPUに新たな8つの脆弱性が発見される、内4つは「高い危険性」との評価 - GIGAZINE

2018/05/07 108 users GIGAZINE meltdown Intel Spe CPU

by Nikolay Dik 2018年初頭から、Intel製CPUに内在する脆弱性「Spectre」「Meltdown」に関するニュースが 取り沙汰されています 。Meltdownクラスの脆弱性はIntel製CPUに特有の脆弱性ですが、Spectreクラスの脆弱性はIntel製CPUだけでなく、Intel・AMD・ARMなど全てのプロセッサに内在する可能性が指摘されており、今回新たに8つのSpe... 続きを読む

Intel、Core 2 Duoなど旧CPUの「Spectre」対策を中止 - PC Watch

2018/04/04 123 users マイクロコード Intel プロセッサ 中止 ガイダンス

Core 2 Duo 　 米Intel は2日(米国時間)、同社プロセッサのマイクロコードのアップデート計画についてのガイダンス「Microcode Revision Guidance」を更新し、一部の古いプロセッサ製品について、「Spectre」脆弱性対策のマイクロコード提供を行なわないことを明らかにした。 　Spectreは、投機実行機能を利用したプロセッサの脆弱性で、攻撃者に悪意あるコードを... 続きを読む

Spectreと同じ分岐予測を利用した新たなCPU脆弱性「BranchScope」 ～Haswell/Skylakeなどで実証に成功、Intel SGXを突破 - PC Watch

2018/03/28 102 users Haswell Skylake Skylake世代 CPU

SKylake世代のCore i7プロセッサのパッケージ 　ウィリアム・アンド・メアリー大学、カーネギーメロン大学、カリフォルニア大学リバーサイド校、ニューヨーク州立大学ビンガムトン校の研究者らは、CPUの分岐予測ユニットを利用した新たなサイドチャネル攻撃「BranchScope」を発表した。 　BranchScopeは、3月24～28日にかけて、米ウィリアムズバーグで開催された「ASPLOS 2... 続きを読む

図解でわかるSpectreとMeltdown // Speaker Deck

2018/02/17 216 users meltdown 図解 Speaker Deck

A brief explanation of spectre(variant 1) and Meltdown(variant 3) 続きを読む

Spectre/Meltdown脆弱性を利用したマルウェアが発見 - PC Watch

2018/02/02 170 users AV-TEST Meltdown脆弱性 出典 マルウェア 推移

1月7日～22日の期間で発見されたSpectre/Meltdown脆弱性を利用したマルウェアサンプル数の推移 出典: AV-TESTのツイート 　セキュリティソフト評価機関 AV-TEST は1日、Spectre/Meltdown脆弱性を利用したマルウェアサンプルが発見されたことを 報告 した。 　「Spectre (Branch Target Injection: CVE-2017-5715およ... 続きを読む

Intel CPU に隠された必殺技「アクセラレーション・ブースト」が発見される - Togetter

2018/01/16 280 users Togetter meltdown articles 必殺技

Meltdown/Spectreの日本のメディアでの扱いがひどいという日本の記事でのMeltdown/Spectreの解説がだいぶ雑というか『「アクセラレーション・ブースト」』どっから来た。 "米グーグルのハッカー集団を震撼させた「インテル問題」の深刻度" gendai.ismedia.jp/articles/-/541… 続きを読む

GoogleはSpectreとMeltdownの対策を昨年6月に開始し12月には完了していた。性能低下の報告はなし

2018/01/14 121 users meltdown ARM AMD インテル CPU

GoogleはCPUの脆弱性「Spectre」「Meltdown」対策を6月に開始し12月には完了。性能低下の報告はないと インテルやAMD、ARMなど、現在使われているほぼすべてのCPUに影響する深刻な脆弱性「Spectre」と「Meltdown」が表面化した問題について、Googleはすでに半年以上前、2017年6月にこの脆弱性への対策を開始し、12月には完了していたことを明らかにしました。 ... 続きを読む

AWSもSpectreとMeltdownの対策完了を報告。対策後、Amazon EC2で性能の低下は見られないと － Publickey

2018/01/14 182 users meltdown Publickey 本件 AWS CPU

Amazon Web Services（AWS）は、「Spectre」および「Meltdown」と名付けられたCPUの脆弱性に関して同社の対応をまとめたWebページ「 Processor Speculative Execution Research Disclosure 」において、すでに脆弱性対策が済んだことを報告しています。 AWSがこうした特設ページを設けるのは珍しいことで、本件の重要性と緊... 続きを読む

MeltdownとかSpectreとか騒ぎがあったので、Amazon Aurora（MySQL互換）R4インスタンス再テスト（mysqlslap） - Qiita

2018/01/09 153 users meltdown Qiita MySQL互換 性能テスト 条件

MeltdownとかSpectreとか騒ぎがあったので、Amazon Aurora（MySQL互換）R4インスタンス再テスト（mysqlslap） 以前、R4インスタンスが使えるようになったときに mysqlslap で性能テストをしたので、今回、同じ条件で再度R4インスタンスだけ mysqlslap してみました。 Amazon AuroraでR4インスタンスを試してみる ※2017/10/30... 続きを読む

世間を騒がす「プロセッサ脆弱性」　何が本当の問題なのか (1/3) - ITmedia PC USER

2018/01/06 169 users USER meltdown プロセッサ脆弱性 世間 プロセッサ

2018年の年明け早々、新たに発見されたプロセッサの脆弱性「Meltdown」「Spectre」に関して、さまざまな情報が飛び交い、一部では誤解や混乱を招いている。この問題の概要、影響や対策についてまとめた。 2018年の年明け早々、新たに発見された「プロセッサの脆弱（ぜいじゃく）性」に関して、さまざまな情報が飛び交い、一部では誤解や混乱を招いている。 始まりは、英IT情報サイトのThe Regi... 続きを読む

Meltdown, Spectre で学ぶ高性能コンピュータアーキテクチャ - FPGA開発日記

2018/01/05 434 users meltdown アーキテクチャ CPU パク コンピュータ

2018 - 01 - 06 Meltdown, Spectre で学ぶ高性能コンピュータアーキテクチャ CPU 巷では Intel , AMD , ARMを巻き込んだCPUのバグ "Meltdown", "Spectre" が話題です。 これらの問題、内容を読み進めていくと、コンピュータ アーキテクチャ における重要な要素を多く含んでいることが分かって来ました。 つまり、このCPUのセキュリティ... 続きを読む

Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ - 4Gamer.net

2018/01/05 1171 users ゲーマー CPU 捧ぐ net 脆弱性

Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ ライター：米田 聡 一般メディアにもニュースとして取り上げられたので，2017年末からにわかに騒がれだした「CPUの脆弱性」については，4Gamer読者も多くが聞き及んでいるだろう。海外では，「 Spectre 」（スペクター）や「 Meltdown 」（メルトダウン）といったおどろおどろしい名前が... 続きを読む

Intel、プロセッサ脆弱性対策で「来週末までに過去5年に製造したプロセッサの9割に更新実行」 - ITmedia NEWS

2018/01/04 109 users プロセッサ Intel meltdown 来週末 大部分

米Intelは1月4日（現地時間）、 前日に影響を認めた プロセッサの脆弱性 「Meltdown」と「Spectre」 の対策の進捗について発表した。既に同社が過去5年以内に製造した大部分のプロセッサ製品の更新プログラムを発行しており、この作業は来週末までに90％達成する見込みという。 米Googleの Project Zero チームなど複数の研究者が発見したこれらの脆弱性は、プロセッサの“仕様... 続きを読む

CPUの脆弱性 MeltdownとSpectreについてまとめてみた - piyolog

2018/01/04 737 users piyolog meltdown CPU 名称 脆弱性

2018年1月3日にCPUに関連する3つの脆弱性情報が公開されました。報告者によるとこれらの脆弱性はMeltdown、Spectreと呼称されています。ここでは関連情報をまとめます。 脆弱性の概要 報告者が脆弱性情報を次の専用サイトで公開した。 Meltdown and Spectre ( またはこちら ) 3つの脆弱性の概要をまとめると次の通り。 脆弱性の名称 Meltdown Spectre ... 続きを読む

プロセッサの脆弱性「Meltdown」と「Spectre」についてまとめてみた ｜ Developers.IO

2018/01/04 353 users meltdown プロセッサ 続報 森永 セキュリティクラスタ

森永です。 新年早々大変な脆弱性が出てきてセキュリティクラスタがざわついてます。 内容によって2つの脆弱性に分かれていて、「 Meltdown 」と「 Spectre 」と名前がつけられています。 現在使用されているほぼ全てのCPUにおいて対象となりうる という相当影響範囲が広い脆弱性です。 まだ詳細が公開されていない部分もありますが、パッチで対処できる脆弱性ですので落ち着いて対応し、続報を待ちま... 続きを読む