博士

ロボ子、大変なのじゃ！AMDのCPUに、またまたセキュリティの脆弱性が見つかったみたいだぞ！

ロボ子

またですか、博士。今回はどのような脆弱性なのでしょう？

博士

今回の脆弱性は「過渡的なスケジューラ攻撃」というもので、命令実行のタイミングから情報を盗み出すらしいのじゃ。

ロボ子

タイミング情報を利用して、他のコンテキストからデータを推測するのですね。具体的にはどのような影響があるのでしょうか？

博士

攻撃者がタイミング情報を悪用して、他のプロセスや仮想マシンのメモリにある秘密情報を盗み見ることができる可能性があるのじゃ。これは大変なことだぞ！

ロボ子

なるほど。それで、影響を受ける製品はどのようになっているのでしょう？

博士

影響を受ける製品は多岐にわたるのじゃ。データセンター向けのEPYCプロセッサから、クライアント向けのRyzenプロセッサ、組み込みプロセッサまで、幅広く影響があるみたいだぞ。

ロボ子

それぞれの製品に対して、対策は講じられているのでしょうか？

博士

もちろんじゃ！AMDは、各製品シリーズごとに、緩和策が適用されるファームウェアのバージョンを公開しているぞ。例えば、第4世代のEPYCプロセッサ（Genoa, Genoa-X, Bergamo, Siena）なら、PI 1.0.0.EとOSアップデートが必要になるみたいじゃな。

ロボ子

ファームウェアのアップデートとOSのアップデートが必要なのですね。ユーザーは具体的に何をすれば良いのでしょうか？

博士

まずは、自分の使っているプロセッサが影響を受けるかどうかを確認するのじゃ。そして、各OEMに製品固有のBIOSアップデートについて問い合わせたり、OSベンダーのドキュメントを参照して、必要なアップデートを適用する必要があるぞ。

ロボ子

なるほど。しかし、いくつかの脆弱性については「修正予定なし」と記載されていますね。これはどういうことでしょうか？

博士

そうじゃな。CVE-2024-36348やCVE-2024-36349については、多くの製品で修正予定がないみたいじゃ。これは、リスクが低いか、修正が困難かのどちらかかのうせいがあるのじゃ。

ロボ子

ユーザーとしては、少し不安が残りますね。他の対策を検討する必要があるかもしれません。

博士

そうじゃな。例えば、機密情報を扱うプロセスを隔離したり、信頼できないコードを実行しないようにするなど、追加の対策を検討することも重要じゃ。

ロボ子

今回の脆弱性対応には、MicrosoftやETH Zurichの研究者も協力しているのですね。

博士

そうみたいじゃな。セキュリティの分野では、様々な研究機関や企業が協力して、より安全なシステムを構築していくことが重要じゃ。

ロボ子

本当にそうですね。博士、今回も色々と勉強になりました。

博士

どういたしまして。ところでロボ子、AMDのCPUといえば、やっぱりアツアツなイメージがあるけど…今回の脆弱性対策で、さらにアツくなることは…ない…よね？

ロボ子

博士、それはちょっと…（苦笑）。