Intel製CPUに投機的実行機能にまたサイドチャネル脆弱性、機密データを外部から推測されてしまう可能性

“L1D Eviction Sampling（CVE-2020-0549）”に関するソフトウェアガイダンス

　米Intelは1月27日（現地時間）、同社製CPUの投機的実行機能に情報漏洩の脆弱性が存在することを明らかにした。脆弱性ポータルサイト“JVN”もセキュリティアドバイザリを公開し、注意を呼び掛けている。

　この脆弱性は“Vector Register Sampling（CVE-2020-0548）”または“L1D Eviction Sampling（CVE-2020-0549）”と呼ばれており、すでに同社製CPUの投機的実行機能で指摘されているサイドチャネル攻撃の亜種のようだ。本来アクセスできるはずのないプロセスから、ベクトルレジスタ値やL1データキャッシュの値を推測されてしまう可能性がある。

　脆弱性の深刻度は“CVE-2020-0548”が“Low”、“CVE-2020-0549”が“Medium”と評価されており、それほど深刻というわけではない。同社は影響するCPUに対しマイクロコードのアップデートを提供するとしている。