パスワードを忘れた? アカウント作成
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。

Windows 11のCPU要件設定はSpectreやMeltdown対策をOS側でしたくないから?」記事へのコメント

  • デスクトップLinuxだとmitigations=off勧めちゃう人をぼちぼち見かけるので、あんまり脅威だと思ってない人が多いのかなと思います。クラウドだと同じCPUを借りてる人が攻撃してくる可能性が排除できないので有効にしておきたいところですが、古典的なウイルスに比べて悪用の可能性は低いと言われればそんな気もします。

    しかしHVCI必須化で緩和策関連を捨てられることが理由だとすると、AMD CPUでHVCIに必要なMBECに対応しているのはZen 2以降、型番で言えばRyzen 3000以上(GPUなし)または4000G以上なところ、公式発表では一貫してMBECを搭載しないところのRyzen 2000(Zen+)以上を許容すると言ってしまってるので手遅れ感がありますね。

    # Ryzenは型番と世代の数字が一致してないトラップがあるのだ

    • Re: (スコア:5, 興味深い)

      by Anonymous Coward

      IT系のメディアやライターさんがサイドチャネル系の脆弱性を「影響するのはサーバーだけ。デスクトップ・一般人には関係ない」と言っているを見かけますが、必ずしもそうとは言えないんですよね。

      Windows Defender Application Guardとかが分かりやすいのですが、最近のWindowsはローカルで悪意あるコードが走ることを前提にしたセキュリティー機能が結構あって、サイドチャネル系の脆弱性はそれらの機能が使用するハイパーバイザーによる分離をすり抜けて情報を盗めるので一応リスクはあるわけです。

      なのでベアメタルサーバーとかで信頼できるコードしか走らないと断言できる環境以外での緩和策offはやめておいたほうがいいんじゃないかと思います。

      • by Anonymous Coward

        煽りじゃなくてこれマジで、動的に悪意のあるコードが大量自動生成されるようになったので、昔のようにファイルのハッシュ値でウイルスかを判別するといったシグネチャベースじゃあ対応できなくなりました。
        なので、どんなウイルス対策ソフトであってもヒューリスティック検知が実装されているわけですけど、これサンドボックスでウイルスを実行して振る舞いを見ているんですね。

        ってことで、SpectreやMeltdown対策がされていないなら、ウイルス対策ソフトが逆効果になって、ユーザーが実行もしていないマルウェアが自動スキャンされただけで、ウイルス対策ソフト自体に欠陥がなくても、悪意のある攻撃が成立する恐れがあります。

        • by Anonymous Coward

          読み取り権限の無いデータを攻撃プロセスに読み取られるって意味では攻撃成立してるけど、
          読み取ったデータをサンドボックスの外に投げる方法が無いなら害はないし、
          自動スキャンによってサンドボックス内実行された攻撃プロセスが外部にデータを送れるなら、
          CPU脆弱性云々以前の致命的脆弱性と言う他ない状況かと思いますが……

          サンドボックスの外からデータを受け取る手段にはなるけど
          サンドボックスの外でやられてる点でもう駄目な気が
          # そもそもファイル実行時以外での自動スキャンで一々サンドボックス適用してる物だろうか?
          # 意義のある実行時間掛けてたらスキャンにならんのでは。

          • Webブラウザ(とその上で動くアプリ)は「ウチ」なのか「ソト」なのか、という問題
            親コメント
            • by Anonymous Coward

              外部通信機能持っててローカルのデータ読めてる時点でもう駄目だから、
              アンチウィルスのサンドボックス内のマルウェアと連携する意味が無い。
              タイマーの精度的な意味で効率上げるために双方向でやるってパターンがあり得るかどうか……

ハッカーとクラッカーの違い。大してないと思います -- あるアレゲ

処理中...