UPDATE Googleのセキュリティチーム「Project Zero」は、AMD、ARM、Intelを含む多数のCPUに影響する脆弱性「Meltdown」と「Spectre」について詳しい情報を公開し、その脆弱性には投機的実行の使用が関係しているとするうわさが事実であることを認めた。
AMDチップのユーザーにとって重要な情報もある。AMDは今週に入って同社のチップは影響を受けないとコメントしたが、Googleの見解はそれと異なる。
Googleはブログの記事で、「これらの脆弱性は、AMDやARM、Intelのものを含む多くのCPU、そして、それらを使用するデバイスやOSに影響する」と述べた。
AMDはその後、同社のプロセッサへの「リスクはほぼ皆無」と考えていると明言した。
この脆弱性は、Project Zeroの研究者であるJann Horn氏が2017年に発見していたという。これを悪用することで、攻撃者は本来ならアクセス不能であるはずのメモリを読み取ることができる。これにより、仮想マシン(VM)を攻撃して、ホストマシンのメモリを読み取り、そのマシン上でホストされているほかのVMのメモリを読み取ることが可能になる。
Googleによると、この攻撃には3つの手段があり、それぞれに対して個別にパッチを適用する必要があるという。
「これら3つの攻撃の変種は全て、通常のユーザー権限のプロセスがメモリデータを不正に読み取ることを可能にする。メモリデータには、パスワードや暗号化キーデータなどの機密情報が含まれることもある」(同社)
ブログの記事によると、この脆弱性は、CPUのパフォーマンスを最適化するための「投機的実行」というプロセスを悪用したものだという。
