アカウント名:
パスワード:
> ほぼすべてのノートPC/デスクトップPC
こういう案件で、ノートPC/デスクトップPC(ついでにブレードPCとタブレットPC)で違いがあるものだろうか?
> この脆弱性はファームウェアの欠陥が原因で(中略)すでにMicrosoftやApple、Intelなどにこの脆弱性は報告されているとのこと。
この中でファームウェア≒BIOSを作っているのって、Appleぐらいじゃ?と思ったら、最近のUEFI BIOSを管理するUnified EFI Forum(一応、AMIやPhoenixやIBMやレノボやHP=旧Compaqも参加しているらしい)は、Intelの主導下にあるらしい。
TechCrunchの記事によれば、発見者がこう発言したそうで。
「残念ながらMicrosoftにできることは何もない。なぜならわれわれはPCハードウェアメーカーのファームウェアの欠陥を利用しているからだ。」とSegerdahlは言う。「Intelのできることにも限度がある。エコシステムにおける彼らの立場は、メーカーが新しいモデルを作るためのリファレンスプラットフォームを提供することにある」
それならなんで報告したんだ。さっさとファームウェアメーカーに報告しろよ。って思った。
ユーザーにはスリープを使わないという簡単(だが面倒)な対策があるからじゃない?あとファームウェアメーカーは腰が重いので、有力大手企業からプレッシャーを与えてもらいたいというのもあるかも。#AMDは?
Microsoftにできることスリープ機能削除
skylake+SSD機ではスリープ使ってないけど起動も速いし困ってないな
スマホのロックを画面OFFから何秒で掛けるべきかの話に近いような気がするなぁ…そもそもスリープ状態の端末が攻撃者の手に渡るって時点で物理的にはメモリ内容残ってるわけで、画面OFFしてロック掛かる前のスマホを攻撃者に手渡してるようなものだから完全な防御は不可能にも思える。最悪そのままモジュール活線挿抜だし全メモリ暗号化&耐タンパー自壊機能搭載でもしなきゃどうにもならんがアクセスコストや耐障害性で地獄になるか…
とりま、スリープ時にもキーを消して復帰時にPinを求めるとかすれば、ストレージの暗号化鍵は保護できるんじゃね。
「最速復帰のスリープ利用は端末防衛が可能な時間内に抑えて、他ではキーが消去・保護されるステートに落とす」って運用で対処するしかないし、スマホのロックと同じで利便性とのトレードオフだから最後は結局ユーザに投げる事になりそう。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
ナニゲにアレゲなのは、ナニゲなアレゲ -- アレゲ研究家
素人の疑問点 (スコア:0)
> ほぼすべてのノートPC/デスクトップPC
こういう案件で、ノートPC/デスクトップPC(ついでにブレードPCとタブレットPC)で違いがあるものだろうか?
> この脆弱性はファームウェアの欠陥が原因で(中略)すでにMicrosoftやApple、Intelなどにこの脆弱性は報告されているとのこと。
この中でファームウェア≒BIOSを作っているのって、Appleぐらいじゃ?
と思ったら、最近のUEFI BIOSを管理するUnified EFI Forum(一応、AMIやPhoenixやIBMやレノボやHP=旧Compaqも参加しているらしい)は、Intelの主導下にあるらしい。
Re: (スコア:0)
TechCrunchの記事によれば、発見者がこう発言したそうで。
「残念ながらMicrosoftにできることは何もない。なぜならわれわれはPCハードウェアメーカーのファームウェアの欠陥を利用しているからだ。」とSegerdahlは言う。
「Intelのできることにも限度がある。エコシステムにおける彼らの立場は、メーカーが新しいモデルを作るためのリファレンスプラットフォームを提供することにある」
それならなんで報告したんだ。さっさとファームウェアメーカーに報告しろよ。って思った。
Re: (スコア:0)
ユーザーにはスリープを使わないという簡単(だが面倒)な対策があるからじゃない?
あとファームウェアメーカーは腰が重いので、有力大手企業からプレッシャーを与えてもらいたいというのもあるかも。
#AMDは?
Re: (スコア:0)
Microsoftにできること
スリープ機能削除
skylake+SSD機ではスリープ使ってないけど起動も速いし困ってないな
Re: (スコア:0)
スマホのロックを画面OFFから何秒で掛けるべきかの話に近いような気がするなぁ…
そもそもスリープ状態の端末が攻撃者の手に渡るって時点で物理的にはメモリ内容残ってるわけで、
画面OFFしてロック掛かる前のスマホを攻撃者に手渡してるようなものだから完全な防御は不可能にも思える。
最悪そのままモジュール活線挿抜だし全メモリ暗号化&耐タンパー自壊機能搭載でもしなきゃどうにもならんがアクセスコストや耐障害性で地獄になるか…
とりま、スリープ時にもキーを消して復帰時にPinを求めるとかすれば、ストレージの暗号化鍵は保護できるんじゃね。
「最速復帰のスリープ利用は端末防衛が可能な時間内に抑えて、他ではキーが消去・保護されるステートに落とす」
って運用で対処するしかないし、スマホのロックと同じで利便性とのトレードオフだから最後は結局ユーザに投げる事になりそう。