アカウント名:
パスワード:
他のプロセッサ(A系列のことではない)にも同じ脆弱性は存在し、影響は限りなくゼロに近い。
珍妙な引用をやらかしたメディアに対してタイトルだけ読んで騒ぐバカが多いとキレているが、公開する前に予想できたことではと思ってしまう。https://twitter.com/marcan42/status/1397525170978320389 [twitter.com]
この手の脆弱性って、入られた時点でアウトだと思うんだけど。
>システムが侵害されている状態いつも思うんだけど、自分の端末に入るのが必要な脆弱性ってどうでもいい気がする。
自分の「端末」を使うのは自分だけだとしても、自分の「マシン」を使うのは自分だけとは限らない。例えばクラウドサーバではハイパーバイザ使ってひとつの物理マシンの上に複数の顧客のOSが載ってたりするから、ハードウェアレベルでOS境界を越えた通信ができちゃうと、顧客Aから顧客Bの機密情報が覗けちゃったりしてマズいんだよね。だから、もう一歩踏み込んで悪用可能性を評価する必要がある。
今回の脆弱性の影響が低いのは、相手側の協力が必要なことと、仮想マシン上では当該レジスタが無効化されて穴が塞がれるから。そもそもサーバ向け製品じゃないしね。発見者のFAQにも「バグが VM で軽減できたのはかなり幸運でした (レジスターは引き続き VM 関連のアクセス制御に応答するため)。 もしこれがなかったら、影響はもっと深刻だったでしょう。」(Google翻訳)と書いてある。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
皆さんもソースを読むときに、行と行の間を読むような気持ちで見てほしい -- あるハッカー
定義上は確かに脆弱性なのだろうが (スコア:0)
他のプロセッサ(A系列のことではない)にも同じ脆弱性は存在し、影響は限りなくゼロに近い。
珍妙な引用をやらかしたメディアに対してタイトルだけ読んで騒ぐバカが多いとキレているが、公開する前に予想できたことではと思ってしまう。
https://twitter.com/marcan42/status/1397525170978320389 [twitter.com]
Re: (スコア:0)
この手の脆弱性って、入られた時点でアウトだと思うんだけど。
>システムが侵害されている状態
いつも思うんだけど、自分の端末に入るのが必要な脆弱性って
どうでもいい気がする。
Re:定義上は確かに脆弱性なのだろうが (スコア:0)
自分の「端末」を使うのは自分だけだとしても、自分の「マシン」を使うのは自分だけとは限らない。
例えばクラウドサーバではハイパーバイザ使ってひとつの物理マシンの上に複数の顧客のOSが載ってたりするから、ハードウェアレベルでOS境界を越えた通信ができちゃうと、顧客Aから顧客Bの機密情報が覗けちゃったりしてマズいんだよね。
だから、もう一歩踏み込んで悪用可能性を評価する必要がある。
今回の脆弱性の影響が低いのは、相手側の協力が必要なことと、仮想マシン上では当該レジスタが無効化されて穴が塞がれるから。そもそもサーバ向け製品じゃないしね。
発見者のFAQにも「バグが VM で軽減できたのはかなり幸運でした (レジスターは引き続き VM 関連のアクセス制御に応答するため)。 もしこれがなかったら、影響はもっと深刻だったでしょう。」(Google翻訳)と書いてある。