アカウント名:
パスワード:
デスクトップLinuxだとmitigations=off勧めちゃう人をぼちぼち見かけるので、あんまり脅威だと思ってない人が多いのかなと思います。クラウドだと同じCPUを借りてる人が攻撃してくる可能性が排除できないので有効にしておきたいところですが、古典的なウイルスに比べて悪用の可能性は低いと言われればそんな気もします。
しかしHVCI必須化で緩和策関連を捨てられることが理由だとすると、AMD CPUでHVCIに必要なMBECに対応しているのはZen 2以降、型番で言えばRyzen 3000以上(GPUなし)または4000G以上なところ、公式発表では一貫してMBECを搭載しないところのRyzen 2000(Zen+)以上を許容すると言ってしまってるので手遅れ感がありますね。
# Ryzenは型番と世代の数字が一致してないトラップがあるのだ
IT系のメディアやライターさんがサイドチャネル系の脆弱性を「影響するのはサーバーだけ。デスクトップ・一般人には関係ない」と言っているを見かけますが、必ずしもそうとは言えないんですよね。
Windows Defender Application Guardとかが分かりやすいのですが、最近のWindowsはローカルで悪意あるコードが走ることを前提にしたセキュリティー機能が結構あって、サイドチャネル系の脆弱性はそれらの機能が使用するハイパーバイザーによる分離をすり抜けて情報を盗めるので一応リスクはあるわけです。
なのでベアメタルサーバーとかで信頼できるコードしか走らないと断言できる環境以外での緩和策offはやめておいたほうがいいんじゃないかと思います。
煽りじゃなくてこれマジで、動的に悪意のあるコードが大量自動生成されるようになったので、昔のようにファイルのハッシュ値でウイルスかを判別するといったシグネチャベースじゃあ対応できなくなりました。なので、どんなウイルス対策ソフトであってもヒューリスティック検知が実装されているわけですけど、これサンドボックスでウイルスを実行して振る舞いを見ているんですね。
ってことで、SpectreやMeltdown対策がされていないなら、ウイルス対策ソフトが逆効果になって、ユーザーが実行もしていないマルウェアが自動スキャンされただけで、ウイルス対策ソフト自体に欠陥がなくても、悪意のある攻撃が成立する恐れがあります。
読み取り権限の無いデータを攻撃プロセスに読み取られるって意味では攻撃成立してるけど、読み取ったデータをサンドボックスの外に投げる方法が無いなら害はないし、自動スキャンによってサンドボックス内実行された攻撃プロセスが外部にデータを送れるなら、CPU脆弱性云々以前の致命的脆弱性と言う他ない状況かと思いますが……
サンドボックスの外からデータを受け取る手段にはなるけどサンドボックスの外でやられてる点でもう駄目な気が# そもそもファイル実行時以外での自動スキャンで一々サンドボックス適用してる物だろうか?# 意義のある実行時間掛けてたらスキャンにならんのでは。
外部通信機能持っててローカルのデータ読めてる時点でもう駄目だから、アンチウィルスのサンドボックス内のマルウェアと連携する意味が無い。タイマーの精度的な意味で効率上げるために双方向でやるってパターンがあり得るかどうか……
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
私はプログラマです。1040 formに私の職業としてそう書いています -- Ken Thompson
切ってる人ぼちぼち増えてる (スコア:2)
デスクトップLinuxだとmitigations=off勧めちゃう人をぼちぼち見かけるので、あんまり脅威だと思ってない人が多いのかなと思います。クラウドだと同じCPUを借りてる人が攻撃してくる可能性が排除できないので有効にしておきたいところですが、古典的なウイルスに比べて悪用の可能性は低いと言われればそんな気もします。
しかしHVCI必須化で緩和策関連を捨てられることが理由だとすると、AMD CPUでHVCIに必要なMBECに対応しているのはZen 2以降、型番で言えばRyzen 3000以上(GPUなし)または4000G以上なところ、公式発表では一貫してMBECを搭載しないところのRyzen 2000(Zen+)以上を許容すると言ってしまってるので手遅れ感がありますね。
# Ryzenは型番と世代の数字が一致してないトラップがあるのだ
Re: (スコア:5, 興味深い)
IT系のメディアやライターさんがサイドチャネル系の脆弱性を「影響するのはサーバーだけ。デスクトップ・一般人には関係ない」と言っているを見かけますが、必ずしもそうとは言えないんですよね。
Windows Defender Application Guardとかが分かりやすいのですが、最近のWindowsはローカルで悪意あるコードが走ることを前提にしたセキュリティー機能が結構あって、サイドチャネル系の脆弱性はそれらの機能が使用するハイパーバイザーによる分離をすり抜けて情報を盗めるので一応リスクはあるわけです。
なのでベアメタルサーバーとかで信頼できるコードしか走らないと断言できる環境以外での緩和策offはやめておいたほうがいいんじゃないかと思います。
ウイルス対策ソフトはもろ影響 (スコア:5, 興味深い)
煽りじゃなくてこれマジで、動的に悪意のあるコードが大量自動生成されるようになったので、昔のようにファイルのハッシュ値でウイルスかを判別するといったシグネチャベースじゃあ対応できなくなりました。
なので、どんなウイルス対策ソフトであってもヒューリスティック検知が実装されているわけですけど、これサンドボックスでウイルスを実行して振る舞いを見ているんですね。
ってことで、SpectreやMeltdown対策がされていないなら、ウイルス対策ソフトが逆効果になって、ユーザーが実行もしていないマルウェアが自動スキャンされただけで、ウイルス対策ソフト自体に欠陥がなくても、悪意のある攻撃が成立する恐れがあります。
Re: (スコア:0)
読み取り権限の無いデータを攻撃プロセスに読み取られるって意味では攻撃成立してるけど、
読み取ったデータをサンドボックスの外に投げる方法が無いなら害はないし、
自動スキャンによってサンドボックス内実行された攻撃プロセスが外部にデータを送れるなら、
CPU脆弱性云々以前の致命的脆弱性と言う他ない状況かと思いますが……
サンドボックスの外からデータを受け取る手段にはなるけど
サンドボックスの外でやられてる点でもう駄目な気が
# そもそもファイル実行時以外での自動スキャンで一々サンドボックス適用してる物だろうか?
# 意義のある実行時間掛けてたらスキャンにならんのでは。
Re:ウイルス対策ソフトはもろ影響 (スコア:1)
Re: (スコア:0)
外部通信機能持っててローカルのデータ読めてる時点でもう駄目だから、
アンチウィルスのサンドボックス内のマルウェアと連携する意味が無い。
タイマーの精度的な意味で効率上げるために双方向でやるってパターンがあり得るかどうか……