Intel CPUに新たな脆弱性『Load Value Injection』(LVI)
IntelのCPUに『Load Value Injection』(LVI)と呼ばれる新たな脆弱性があることが判明しました。
本脆弱性が悪用されると、暗号化キーやパスワードなどが不正に取得される危険性があるとのこと。対象となるのはIntel SGXを搭載したCPUで、脆弱性を悪用するための手順は複雑なことから共通脆弱性評価システムCVSS(Common Vulnerability Scoring System)による危険度は5.6(中程度)。
Intelによると、SpectreやL1TFなどに対しての緩和策が施されているOSやVMMは、LVI攻撃のリスクも大幅に低減させるとされています。
しかし、LVIを発見した研究者らが公開した解説ページによると、LVIの緩和は非常に困難なため、既存の緩和策は通用しないとされており、双方の意見は食い違いを見せています。
また、もし仮にソフトウェアでLVIの対策を行った場合には、Intel SGXエンクレーブの処理速度が2~19倍遅くなる可能性があることも指摘されています。