アカウント名:
パスワード:
MDSを発見したオランダの大学のセキュリティ研究者に対して内密にするよう$12万で買収を試みたが、向こうがオファーを蹴ったため、対策パッチが完全に出揃う前に公表するハメになったとのこと
https://www.techpowerup.com/255563/intel-tried-to-bribe-dutch-universi... [techpowerup.com]
そもそもパッチ揃うまで待たずに公開する研究者の目的って何なのかな。世界に混乱を催して売名できてうれしいって感じ?
記事のコメントによるとこの脆弱性は昨年9月に発見されてて、通例に従って3ヶ月の猶予を持たせるところをIntelがネゴって異例の6ヶ月の猶予が与えられたが、それでもなお$12万と引き換えに更に6ヶ月伸ばそうとしたら断られたという話だとかなので研究者側に落ち度はなく、むしろ寛大な対応をしたのにIntelがサボってたというオチ
そもそもHWに起因する脆弱性に、SW脆弱性前提の3ヶ月という期間が妥当かどうかって判断は必要だね。
シリコンレベルで修正しなくても、マイクロコードのアップデートで緩和はできるわけだから半分はSW脆弱性とおんなじ様な扱いで良い気もする。第8/9世代で緩和策を実装済みとか言ってるのも、出荷時に対策済みマイクロコード仕込んでるだけのような気がするし。
できる限り開発・検証期間を長くとってテストしたいじゃん?カスタマーとのやり取りも必要だしやっぱり時間は必要じゃん?
これだけOSベンダーを巻き込んでパッチを作るとなると3か月では足りんだろ。だからこそ追加で6か月の猶予があったわけだが、それで十分かどうかは外部から判断しかねる。Linus Torvalds氏がIntelのSpectre/Meltdownパッチに怒る [linux.srad.jp]くらい雑な仕事をしていたこともあったから、Intelを信用できない気持ちもわからんでもないが……。
運よくマイクロコードで直せればいいけど、ハードワイヤードで作り込んであるところだったら簡単には直せないよ
Spectre以来の一連の脆弱性は一つも直ってないよ「特権プロセスとのコンテキストスイッチが発生する前にキャッシュにゴミを詰めるか捨てさせる」って「緩和策」だけ
>そもそもHWに起因する脆弱性に、SW脆弱性前提の3ヶ月という期間が妥当かどうかって判断は必要だね。
過去販売したCPUも責任取ってHW対策してくれるというんでしょうか?(笑)
Zombieloadというニックネームを付けて、ご立派なサイトまで立ち上げて発表するってことは、まあそういうことだよね。大学の研究者ということだから個人的な事情で早く実績が欲しかったのかな。
誰かが見つけた脆弱性は、他の誰かも見つけられる物。とくに、金銭的、政治的メリットが大きければ、クラッカーや CIA が先に悪用するだろう。すでにしているかもしれない。
だから、期限を切って対応を急がせる。となったのですよ。
なお、流通分に対して回避/予防策が全く存在しない場合には、それ相当の延期が期待され、その間に何かすることが求められます。
今回の件では、 Intel は「ハイパースレッド使うな」と通達することが「可能」だったため、3か月猶予は妥当でしょう。それを Intel は受け入れられなかったほど、追い詰められている。ということです。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
192.168.0.1は、私が使っている IPアドレスですので勝手に使わないでください --- ある通りすがり
買収失敗 (スコア:0)
MDSを発見したオランダの大学のセキュリティ研究者に対して内密にするよう$12万で買収を試みたが、
向こうがオファーを蹴ったため、対策パッチが完全に出揃う前に公表するハメになったとのこと
https://www.techpowerup.com/255563/intel-tried-to-bribe-dutch-universi... [techpowerup.com]
Re:買収失敗 (スコア:0)
そもそもパッチ揃うまで待たずに公開する研究者の目的って何なのかな。
世界に混乱を催して売名できてうれしいって感じ?
Re:買収失敗 (スコア:1)
記事のコメントによるとこの脆弱性は昨年9月に発見されてて、
通例に従って3ヶ月の猶予を持たせるところをIntelがネゴって異例の6ヶ月の猶予が与えられたが、
それでもなお$12万と引き換えに更に6ヶ月伸ばそうとしたら断られたという話だとか
なので研究者側に落ち度はなく、むしろ寛大な対応をしたのにIntelがサボってたというオチ
Re: (スコア:0)
そもそもHWに起因する脆弱性に、SW脆弱性前提の3ヶ月という期間が妥当かどうかって判断は必要だね。
Re: (スコア:0)
シリコンレベルで修正しなくても、マイクロコードのアップデートで緩和はできるわけだから
半分はSW脆弱性とおんなじ様な扱いで良い気もする。
第8/9世代で緩和策を実装済みとか言ってるのも、出荷時に対策済みマイクロコード仕込んでるだけのような気がするし。
Re: (スコア:0)
できる限り開発・検証期間を長くとってテストしたいじゃん?
カスタマーとのやり取りも必要だしやっぱり時間は必要じゃん?
Re: (スコア:0)
これだけOSベンダーを巻き込んでパッチを作るとなると3か月では足りんだろ。だからこそ追加で6か月の猶予があったわけだが、それで十分かどうかは外部から判断しかねる。Linus Torvalds氏がIntelのSpectre/Meltdownパッチに怒る [linux.srad.jp]くらい雑な仕事をしていたこともあったから、Intelを信用できない気持ちもわからんでもないが……。
Re: (スコア:0)
運よくマイクロコードで直せればいいけど、ハードワイヤードで作り込んであるところだったら簡単には直せないよ
Re: (スコア:0)
Spectre以来の一連の脆弱性は一つも直ってないよ
「特権プロセスとのコンテキストスイッチが発生する前にキャッシュにゴミを詰めるか捨てさせる」って「緩和策」だけ
Re: (スコア:0)
>そもそもHWに起因する脆弱性に、SW脆弱性前提の3ヶ月という期間が妥当かどうかって判断は必要だね。
過去販売したCPUも責任取ってHW対策してくれるというんでしょうか?(笑)
Re: (スコア:0)
Zombieloadというニックネームを付けて、ご立派なサイトまで立ち上げて発表するってことは、まあそういうことだよね。大学の研究者ということだから個人的な事情で早く実績が欲しかったのかな。
悪意を持っている連中のほうが金銭的インセンティブがはるかに大きいことを忘れずに (スコア:0)
誰かが見つけた脆弱性は、他の誰かも見つけられる物。
とくに、金銭的、政治的メリットが大きければ、クラッカーや CIA が先に悪用するだろう。
すでにしているかもしれない。
だから、期限を切って対応を急がせる。となったのですよ。
なお、流通分に対して回避/予防策が全く存在しない場合には、それ相当の延期が期待され、その間に何かすることが求められます。
今回の件では、 Intel は「ハイパースレッド使うな」と通達することが「可能」だったため、3か月猶予は妥当でしょう。
それを Intel は受け入れられなかったほど、追い詰められている。ということです。