パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

本来アクセスできないメモリ領域のデータを読み出せる可能性がある脆弱性が見つかる、多くのCPUに影響」記事へのコメント

  • by Anonymous Coward on 2018年01月04日 20時39分 (#3339845)

    The Registerがスクープし、Googleが勝手に詳細をばらしたもんだから、Azureがばたばたしとる。

    マイクロソフト、CPUの脆弱性対策でAzureの計画メンテを前倒し、全リージョンの仮想マシンを今朝から強制再起動。Googleは対策済みと発表 [publickey1.jp]

    「当初の予定では1月9日まであいだユーザー自身が時期を選んで再起動」とあるから、
    おそらくこの脆弱性の公開期日(1/9)に合わせたメンテナンススケジュールだったと思われる。
    これが前倒しされて、ユーザーにとっては事前の時間予告なしでインスタンスが強制再起動されることになってしまった。

    AWSでも1/4~1/5のメンテナンス期間を予定しており、脆弱性公開時点で若干のインスタンスが未更新のようだ。

    てか、ニュースが流れたといってもThe Registerには詳細は書いてなかったんだから、
    Googleが詳細をバラさなけりゃこんなことせずに済んだんじゃないのかね。
    The Registerにも1/9に詳細が公開されるって書いてあるんだし、前倒しで公開することにセキュリティ上のメリットなんてないだろ。
    相変わらず勝手な会社だな。

    • 昨年12月頃にAzureから計画メンテナンスの通知が確かに来てたけどこれだったのか…

      --
      # mishimaは本田透先生を熱烈に応援しています
      親コメント
    • by Anonymous Coward

      自分のところは事前に対応してからばらすとかえげつないですな。

      • by Anonymous Coward

        自分の所も対応しないで公開したら、もっとえげつないよ。
        ユーザーのためにならんじゃん。

        できれば他社にも前もって通知しておくべきだったろうけど、
        その辺がどうなってたかはチトわからんね。

        • by Anonymous Coward

          もっとひどい例を挙げたって、ひどさは変わらんだろ

          • by Anonymous Coward

            Googleはマトモな対応をしてたって話なんだが?

    • by Anonymous Coward

      詳細が書いてない→どっからリークしたのか分からない→一流クラッカーは既に情報を仕入れている可能性がある、ってことでは?

      そうでなくても、ヒントがあれば具体的なやり方を開発できる人も多いだろうし。
      もしかしたらできる可能性があるかも知れない、というやり口に多大な手間を突っ込むのは躊躇われるけど、
      やればできるらしい、だったら話は大きく変わってくる。

    • by Anonymous Coward

      The Registerが記事にしたのは話題になってからだよ。この辺り [tumblr.com]から少しずつPoCが漏れたり [twitter.com]してたから前倒しせざるを得なかったんだよ。
      詳細不明だとパッチも当てられないし影響評価もできないから、漏れた以上は公開するのは正しい。そこについては各社とも異論はないはずだよ。あるなら挙げてみ?

      • by Anonymous Coward

        Intelの発表がある通り各社が足並み揃えて1/9に公表する段取りで進めてた。
        ところがGoogleが突然詳細を前倒しで発表した。
        そういう話だよ?

        • by Anonymous Coward on 2018年01月05日 9時28分 (#3340052)

          「今回のケースではGoogleは数か月前にIntelにコンタクトを取っている。もちろん程度の差はあれ、問題の存在を知っていたメーカーは多いはずだ。Microsoftが理由を明かさずにパッチをリリースしていたのもその一例だろう。Linuxの各種ディストリビューションも、脆弱性については詳細を示さないまま、アップデートを行っていた。」
          「しかしThe Registerがいくつかの情報をつなぎ合わせスクープ記事を出した。そのためIntelは来週に予定していた共同発表の前に急きょ「報道は不正確だ」という反論の声明を発表するなどの対応に追われることになったわけだ。」
          http://jp.techcrunch.com/2018/01/05/2018-01-03-kernel-panic-what-are-m... [techcrunch.com]

          こっちだとこんな風に書かれてますね。

          親コメント
        • by Anonymous Coward

          報道が増えてきたからだよ。繰り上げ自体は事前に了承取ってるんじゃないの? どこも問題視してないし。

    • by Anonymous Coward

      内容からして、仮想環境で動くクラウド狙い撃ちのような攻撃手法っぽいですね。
      パッチでIO性能落ちるようで、クラウド使って何かやってるところは、利用者側も対応が大変そう。
      休み明けから忙しそうだけど、公式発表が正月休みに入った後でよかったよかった。
      とりあえず休暇中のメールは見ないようにしておこう。

日々是ハック也 -- あるハードコアバイナリアン

処理中...