IntelのCPUに新たな脆弱性、Downfall。第6世代Skylakeから第11世代Rocket Lakeまで影響。情報漏えいの恐れ
Intelは、同社製CPUに新たな脆弱性が見つかったことを発表しました。
見つかった脆弱性のCVE-IDはCVE-2022-40982。『Downfall』と名付けられたこの脆弱性は、攻撃者に悪用されるとデータや機密情報を窃取される恐れがあるとのこと。この脆弱性はGoogleの研究者Daniel Moghimi氏により発見されました。
本脆弱性の影響を受けるCPUは、第6世代から第11世代のIntel CPU。Skylake、Kaby Lake、Coffee Lake、Comet Lake、Rocket Lake、Ice Lake、Tiger Lakeなどが影響を受けます。第12世代Alder Lakeや第13世代Raptor Lakeはこの影響を受けません。
Intel (INTEL-SA-00828)は、本脆弱性への対処・緩和策として最新のファームウェア(BIOS)へとアップデートすることを推奨しています。また、Intelは、BIOSアップデートを必要とせず、緩和策を適用したマイクロコードをOSから読み込ませられるよう、Linux用のマイクロコードをリリースしました。
しかし、Intel (DownfallのページのFAQ)によると、本脆弱性の緩和策を適用すると最大50%のパフォーマンスの低下が発生する可能性があるとのこと。そのため、Linux用のマイクロコードには緩和策の有効/無効を切り替えられるオプションが用意されています。無効化方法についてはGather Data Samplingのページの『Linux』セクションをご確認ください。
また、Windows用のマイクロコードについても、緩和策の有効/無効を切り替えられるようにして今後リリースが予定されています。Intelによると、現在、Microsoftと協力して作業を進めているとのことです。