ニュース

Intel、一部CPUに潜在的な脆弱性

 米Intelは16日(現地時間)、一部CPUのメモリマップドI/O(MMIO)や電力管理スロットリングの挙動に潜在的なセキュリティの脆弱性があることを明らかにした。

 このうち「INTEL-SA-00615」は4つの脆弱性を含んでおり、いずれも情報漏えいにつながる可能性がある。

  • CVE-2022-21123:マルチコア共有バッファのクリーンアップが不完全な場合、認証済みユーザーがローカルアクセスを介して情報開示を有効にできてしまう可能性
  • CVE-2022-21125:マイクロアーキテクチャ・フィル・バッファのクリーンアップが不完全な場合、認証済みユーザーがローカルアクセスを介して情報開示を有効にできてしまう可能性
  • CVE-2022-21127およびCVE-2022-21166:特定のレジスタの読み取り操作のクリーンアップが不完全な場合、認証済みユーザーがローカルアクセスを介して情報開示を有効にできてしまう可能性

 以上の脆弱性に対処するSGX TCBリカバリを第2四半期中に提供することを予定。具体的には、IAS開発環境は6月21日からマイクロコードとソフトウェア更新を実施し、IAS本番環境(LIV)は7月19日より更新を実施する。

 「INTEL-SA-00645」は、一部プロセッサの不適切な入力検証により、認証済みユーザーがローカルアクセスを介してサービス拒否を引き起こす脆弱性(CVE-2202-21180)となっている。この問題に対処するVMM、または最新の仮想マシンモニターに更新することで解消できるとしている。

 一方で「INTEL-SA-00698」は、一部プロセッサの電力管理スロットリングで観察可能な挙動により、証済みユーザーがネットワークアクセスを介して情報開示を有効にできてしまう脆弱性(CVE-2022-24436)。こちらは暗号化実装に関するソフトウェアガイダンスを提供し、これに従うことでライブラリとアプリケーションのセキュリティ性を高められる。