GoogleはCPUの新たな脆弱性「Reptar」をどのように発見したのか：「CPUに影響を与える脆弱性は増加傾向にある」

GoogleはIntelのCPUに影響を与える新しい脆弱性「Reptar」の調査結果を公開した。Reptarについては既に回避策が展開されている。

[＠IT]

　Googleは2023年11月15日（米国時間）、IntelのデスクトップPC、モバイルおよびサーバCPUに影響を与える新しい脆弱（ぜいじゃく）性「Reptar」の調査結果を公開した。Googleの情報セキュリティエンジニアリングチームがこの脆弱性をIntelに報告し、Googleの公表と同日にIntelは脆弱性を公表した。既にReptarについて回避策が展開されており、Google社員と顧客は脆弱性被害を回避しているという。

　Googleは2023年、ハードウェアシステム全体のCPUに影響を与える脆弱性の数が増加していることを確認しているという。これらの脆弱性のうち最も注目すべき2つは、Googleの研究者が発見し2023年8月に公開された、「Downfal」と「Zenbleed」で、それぞれIntelとAMDのCPUに影響を与えた。

　「この傾向は時間がたつにつれて強まるばかりだ。この種の脆弱性を軽減しないと、数十億台のPCやクラウドコンピュータに影響を与える可能性がある」（Google）

GoogleはどのようにしてReptarを発見し、対応したか

　Googleのセキュリティ研究者は、CPUによる冗長プレフィックスの解釈方法に関連する脆弱性を特定した。この脆弱性の悪用が成功すると、CPUのセキュリティ境界を回避することになる。

　プレフィックスを使用すると、機能を有効または無効にして命令の動作を変更できる。一般、意味をなさないプレフィックス、または他のプレフィックスと競合するプレフィックスを使用する場合、それらが冗長と判断される。通常、冗長なプレフィックスは無視される。

　この脆弱性の影響は、マルチテナント仮想化環境で攻撃者によって悪用された場合に明らかになる。ゲストマシン上で悪用されるとホストマシンがクラッシュし、その結果、同じホスト上で実行されている他のゲストマシンに対するサービス拒否が発生するからだ。さらに、この脆弱性は情報漏えいや権限昇格につながる可能性があるという。

コラボレーションとハードウェア セキュリティに対する Google の取り組み

　Googleによると、Reptar、Zenbleed、Downfallが示唆しているように、コンピューティングハードウェアとプロセッサは依然としてこの種の脆弱性の影響を受けやすくなっているという。Googleはハードウェアがますます複雑になるにつれて、この傾向は今後も続くとみている。