IT ニュース&コラム 2018/ 7/30 通巻768号 ニュース版 ソフトウェアデザイン館 Sage Plaisir 21  ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ̄ ■■ CPU のリターン予測機能に見つかった脆弱性 スペクターRSB ■■ 2018年 7月 20日、カリフォルニア大学リバーサイド校の研究チームは、 Intel 製CPU に SpectreRSB と呼ぶ脆弱性があることを発表した。 今年1月に発表された脆弱性 スペクターとメルトダウンと同様に、 対策が難しい脆弱性と言われている。 スペクターではCPUの分岐予測機能が悪用されたが、スペクターRSBは、リターン予測機能 に含まれるリターン スタック バッファー(RSB = Return Stack Buffer)を悪用する。 リターン スタック バッファーには、リターンするアドレス(スタックのコピー)が 格納されているらしく、ユーザー権限のプログラムが特権領域でも使用する RSB を 変更できるらしい。 スタックを変更して悪用する方法が2つ、Intel Software Guard eXtension(SGX) を悪用する方法が1つ挙げられている。 スペクターRSBも、特権領域のデータをリードできる問題だ。 パスワードの履歴やキャッシュ カードの番号の履歴などを盗むかもしれない。 しかし、スペクターとメルトダウンと同様に、ブラウザーやOSの更新によって 一時的に悪用できなくすることが可能と思われるため、今回も最新版を使うことが 一般ユーザーにできる対策だ。 ソース http://www.itmedia.co.jp/enterprise/articles/1807/24/news063.html https://japan.cnet.com/article/35122981/ https://en.wikipedia.org/wiki/Branch_predictor#Prediction_of_function_returns https://www.zdnet.com/article/spectrersb-new-side-channel-attack-targets-cpu-components/ ■■ 注目ニュース 一覧 ■■ ◇ Gmail へのアクセス問題で揺らぐシリコンバレーのプライバシー論。 https://japan.cnet.com/article/35122056/ http://www.itmedia.co.jp/news/articles/1807/10/news071.html … Gmail は、いつのまにか、機械が読んでいるのではなく、開発者が見ていた。 ◇ 社会問題について明確な立場を。経営者に迫る、シリコンバレーの労働者パワー。 https://japan.cnet.com/article/35122655/ … 従業員が集まれば、経営陣に圧力がかけられる。 ◇ グーグル、社員への物理セキュリティキー導入でアカウント保護に効果。 https://japan.cnet.com/article/35122908/ … 古い技術が見直されているのか。 ◇ Alphabet、GoogleへのEU制裁金51億ドルを除けば2桁台の増収増益。モバイル広告が好調で。 http://www.itmedia.co.jp/news/articles/1807/24/news051.html … 広告収入は、まだ増え続ける。 ◇ グーグル、コールセンター向け Contact Center AI を発表。 https://japan.cnet.com/article/35123023/ … 選択式の自動音声の先の人間を AI に。 ◇ Windows UI Libraryプレビューが公開。 https://news.mynavi.jp/article/20180724-668902/ http://www.itmedia.co.jp/news/articles/1705/12/news119.html https://www.yolx.co.jp/blog/detail/?item=114 … デモの映像に比べて、アプリで効果が見えにくい Fluent Design。 ■■ ソフトウェアデザイン館 Sage Plaisir 21 ■■ ホームページ >>> http://www.sage-p.com/ メルマガ >>> http://www.mag2.com/m/0000083983.html ブログ >>> http://blog.livedoor.jp/sage_p/ ツイッター >>> http://twitter.com/Ts_Neko ダウンロード >>> http://www.sage-p.com/freesoft.htm サポート掲示板 >>> http://www.sage-p.com/kg_ban09/z6037C8.cgi 東日本大震災 >>> http://www.sage-p.com/saigai.html メール >>> ts-neko◇sage-p.com ←◇を@に変えてください 緊急メールは件名に「うどんメール」を付けてください。 このメルマガの登録・解除 - http://www.mag2.com/m/0000083983.htm