AMD製CPU欠陥発見報道は誤りか、株価に影響

マネー


1: 2018/03/16(金) 00:47:18.71 ID:CAP_USER9
AMDのプロセッサに脆弱性、セキュリティ企業が情報公開–懐疑的な見方も

提供:Image: file photo https://japan.zdnet.com/storage/2018/03/14/62a03c1f1bd1b3fa0870201de17a345e/ryzen%201.jpg ZDNet Japan Zack Whittaker (ZDNet.com) 翻訳校正: 編集部 2018年03月14日 08時28分 https://japan.zdnet.com/article/35116106/

 AMDは、同社の複数のプロセッサに13件のセキュリティ脆弱性があるとする報告について調査している。

 チップメーカーのAMDは米国時間3月13日の声明で、CTS Labsの調査結果について「調査と分析を鋭意進めている」と述べた。CTS Labsはあまり知られていないが、イスラエルのテルアビブに本社を置くサイバーセキュリティの新興企業だ。

 AMDが声明を発表する数時間前に、CTS Labsは「RYZENFALL」「MASTER KEY」「FALLOUT」「CHIMERA」と名付けた13の脆弱性について説明するウェブサイト、研究論文、動画を公開した。攻撃者がそれらの脆弱性を利用すると、膨大な数の端末に搭載されているAMDの「Ryzen」および「EPYC」プロセッサから機密データを取得できる可能性があると主張している。

AMD Flaws Overview(問題のうそニュース)

 公開されたホワイトペーパーには、それらの脆弱性の具体的な内容が詳しく記述されていないことから、多くの人々が警戒心と疑念をもってこの問題を捉えている。

 明らかになっているのは、それらの脆弱性が簡単には悪用できないということだ。CTS Labsによると、多くの場合、攻撃者は最初に管理者権限を取得する必要がある。管理者権限を取得するには、マルウェアを使ってログイン中のユーザーの権限を引き上げなければならない。それだけのアクセス権があるとすれば、その端末は既に制御を奪われていることになる。

 これらの脆弱性の発見と公開は、セキュリティコミュニティーの多数の著名な人物らの怒りを買っている。脆弱性を発見した研究者が一般的にとる開示方法に則っていないためだ。

 その研究者らはAMDに対し、脆弱性を調査して回答するための時間として24時間未満の猶予しか与えずに、報告書を公開した。責任ある脆弱性の開示ならばほぼ必ず、脆弱性を修正するために少なくとも90日間の猶予が企業に与えられる。その期間は、発見者が同意し、一定の条件が満たされれば、延長することができる。

 調査結果が初めて公開されてから数時間後、セキュリティ研究者のDan Guido氏は、CTS Labsの研究チームにその調査結果の確認を求められたとして、バグは実際に存在するとツイートした。

 更新(3月14日11時20分):原文から一部文言が削除されたため、これに対応しました。

この記事は海外CBS Interactive発の記事を朝日インタラクティブが日本向けに編集したものです。



海外のフォーラム http://www.overclock.net/forum/26944545-post20.html コメント欄でイスラエルのセキュリティ企業の怪しさが暴露されててワロタw 3週間前からドメイン買って暴露サイト準備してたのかw そしてセキュリティ企業の公式サイトも7ヶ月前に取ったばかりとw

アメリカの情強な奴らがビデオに写ってた怪しいセキュリティ会社のオフィスが合成ってことを突き止めたらしい https://www.techpowerup.com/forums/attachments/a5e4acfe-84cc-4997-94ae-460a5c7c918f-jpeg.98286/

アメリカの日経なCNBCがニュースにしようとしたけど、怪しげで記事にしないらしい UPDATE: Story on AMD (AMD) Security Flaws Canceled at CNBC https://www.streetinsider.com/Short+Sales/UPDATE%3A+Story+on+AMD+%28AMD%29+Security+Flaws+Canceled+at+CNBC/13937861.html

この記事によるとViceroy Researchって株の空売りの仕手筋が動いてるんだってさ 疑惑出ておよそ3時間後に33枚の分析リポートをViceroy Researchが公表ってどう考えても繋がってるらしい Low-down On Bizarre AMD Security Exploit Saga – You Want To Read This https://wccftech.com/low-down-amd-security-exploit-saga-cts-labs/

関連 【IT】AMD製CPUに「致命的」欠陥 悪用でPC乗っ取りも https://asahi.5ch.net/test/read.cgi/newsplus/1520989318/

88: 名無しさん@1周年 2018/03/16(金) 06:38:58.90 ID:bvrSoj2g0
>>1
これ逮捕案件じゃないか

195: 名無しさん@1周年 2018/03/16(金) 16:55:55.60 ID:vy13ST9o0
>>1
>脆弱性を修正するために少なくとも90日間の猶予が企業に与えられる。
AMDもこれが無いということをコメントしていたよな。

https://pc.watch.impress.co.jp/docs/news/1111496.html
>AMDはこれに対し声明を発表。CTS LabsはこれまでAMDに知られておらず、
>今回の問題に対してAMDが対処する猶予を与えることなくして、
>報道機関にその研究結果を公開するのは一般的ではないとしている。
>AMDは今後、積極的にこの結果を調査/分析し、ユーザーの安全性を確保するため
>継続的に取り組むとしており、結果をブログで公開するとしている。

5: 名無しさん@1周年 2018/03/16(金) 00:51:35.04 ID:0K34ybkg0
Intelの後であまりにもタイムリーすぎ、出来すぎだったわ

6: 名無しさん@1周年 2018/03/16(金) 00:51:41.82 ID:fLFfE+pO0
安いけど発熱がな~最高ナンコワだっけ(笑)

122: 名無しさん@1周年 2018/03/16(金) 08:16:26.23 ID:TISVCa3m0
>>6
にゃんこあ

10: 名無しさん@1周年 2018/03/16(金) 00:56:36.40 ID:PXaeiJCX0
リコールしたくないからと言ってやり方が汚い
インテルはCPUを早くリコールしなさい

64: 名無しさん@1周年 2018/03/16(金) 03:39:39.84 ID:2cNV/8/00
>>10
リコールするにしてもCPUダイの修理なんて無理だし交換するしかない
修正版の製造が始まるまで半年とか一年とか必要になるじゃん
それまでインテルはCPUの製造ができなくなるわけだな
この鬼畜め もっとやれ

12: 名無しさん@1周年 2018/03/16(金) 00:57:00.42 ID:UMMrPKyt0
フェイクニュース確定でフォーラムの人が怒ってたな

スポンサーリンク

13: 名無しさん@1周年 2018/03/16(金) 00:57:15.39 ID:LTKyqPtj0
CPUみたいなガチの情強がいる業界でフェイクニュースは無理だろ

35: 名無しさん@1周年 2018/03/16(金) 01:44:43.78 ID:KnwLEbdO0
>>13
ターゲットは情弱だらけなデイトレ業界ですからw

14: 名無しさん@1周年 2018/03/16(金) 00:57:37.10 ID:Ev+vW9me0
昨日の段階で、情報を集めようとしたが見つからず
様子見をしていたら、こうなったでござる

16: 名無しさん@1周年 2018/03/16(金) 01:01:38.39 ID:5peD577J0
Intelのバグにしても確実に使えるかどうか分からね~話だからなぁ。
OSがページテーブルを分けてくれたらそれ以上対処したくねぇ~

19: 名無しさん@1周年 2018/03/16(金) 01:06:14.48 ID:9xOTA84u0
CTS Labsの背景がフリー素材だそうだw

https://i.imgur.com/OkWlIxA.jpg

66: 名無しさん@1周年 2018/03/16(金) 03:43:15.31 ID:27GkqJRD0
>>19
これは酷いw

399: 名無しさん@1周年 2018/03/18(日) 10:35:22.43 ID:l8jw/OKR0
>>19
これでも一時は騙せてたのかw

22: 名無しさん@1周年 2018/03/16(金) 01:11:40.43 ID:jFoHIMnD0
まずsuを実行します

23: 名無しさん@1周年 2018/03/16(金) 01:11:52.66 ID:371Tp1RI0
AMD馬鹿「物理アクセスが必要だから問題ない、消費者は安心していい」

サーバーサイドのセキュリティ考えない低能

83: 名無しさん@1周年 2018/03/16(金) 06:32:04.95 ID:zQYUnwkz0
>>23
サーバーサイドでAMD入ってるのは全体でも2%とかって言われてる。30億台と言われる鯖の中からその2%をどうやって探すのかと(笑)

94: 名無しさん@1周年 2018/03/16(金) 06:55:43.08 ID:vbBQY7dm0
>>23
サーバーサイドなんてそれこそデータセンターに侵入しないと手が出せないのではないか

28: 名無しさん@1周年 2018/03/16(金) 01:19:25.55 ID:XonPbfvz0
Intel残念だったな

29: 名無しさん@1周年 2018/03/16(金) 01:19:38.25 ID:fh97R2qu0
こういうの模倣犯が出そうだね
株価操作で

33: 名無しさん@1周年 2018/03/16(金) 01:41:03.52 ID:6Zc/9f/q0
>>29
模倣犯もなにも
とっくの昔から金融カイワイで行われている

169: 名無しさん@1周年 2018/03/16(金) 13:47:29.13 ID:XaBescRu0
>>29
空売り屋はいっつもこんなやり口やで。
今回は獲物がデカかっただけかと。

49: 名無しさん@1周年 2018/03/16(金) 02:20:02.62 ID:GNhFedKW0
これCPUに毒を入れて中古に流されてしまうのが一番怖いんだよね。
ファームウェアに細工されるのに比べてOSから見えにくい。

310: 名無しさん@1周年 2018/03/17(土) 19:18:00.57 ID:/aDf4OBL0
CTSラボが指摘したRyzenバグの話は事実
このバグに付いては複数のセキュリティ専門家が実在すると認めてる

ただし利用するには最低でも管理者権限が必要
一番根深いものはマザボのBIOSまで更新が必要で利用するのは困難
ゆえにこんなの脆弱性と言わないとのコメントまである

今回もっとも問題視されてるのは上の話ではなく公開する場合の手順を無視したから
本来は相手先企業に伝えた上でその対策を行う90日の時間が与えられるがそれを無視して僅か1日で公開
ただし概要を答えたのみで詳細な内容は一部の専門家にしか伝えていないので悪用はされない

何故たった1日で公開したのかというとCTSラボの関係者に、
ヘッジファンドのViceroy Researchの人間がいるので株価操作が目的ではないかとの指摘がある


感情的な部分を抜かして今回の話をまとめるとこれ

340: 名無しさん@1周年 2018/03/18(日) 02:38:24.77 ID:fQYiD5MH0
RYZEN大勝利のニュースではないのだなw

396: 名無しさん@1周年 2018/03/18(日) 10:27:42.75 ID:AQsRt7mb0
今回の件は未だにCVEが出てない時点でフェイク当確だよ

引用元: https://www.logsoku.com/r/2ch.sc/newsplus/1521128838/