Meltdownがスケジュールの前に初めてどこで公開されたのですか？

私はこれらの攻撃のニュースを1月3日から多くの関心を持って追跡し、開示前に他の人々が何を言っていたかを確認するために少し掘り下げました。

禁輸措置は1月3日にGoogleからの この投稿 によって正式に破られ、その後すぐに Project Zeroの投稿に技術的な詳細のバンドルが続きました 。

その最初のリンクで、彼らは禁輸措置を破ることを正当化します： "既存の公開レポートとプレスおよびセキュリティ研究での憶測の高まりのため、2018年1月9日の当初調整された開示日より前に投稿しています搾取のリスクを高める問題についてのコミュニティ。」

気づいたオブザーバーがその日付より前に取り上げた可能性のある多くのレポートがありました。 AMD開発者が12月26日にLinuxパッチを提出したとき にリンクされている、投機的実行エクスプロイト（私が知っている）の最大の「喫煙銃」が作成されました。あなたが提供する記事。私の知る限り、これが初めて公開されたレポートで、投機的メモリの参照が潜在的な攻撃とパッチセットに直接関連付けられました。これまで 、LWNの12月20日の記事では、ページテーブル分離パッチが実際にはより深いセキュリティ欠陥 に対処していることを示唆していましたが、問題。

ページテーブル分離パッチがLinus によってカーネルにマージされた後、人々は本当に12月28日から29日に注意を向け始めました。通常、この大きさの変更がメインラインカーネルに適用されるまでにはかなり長い時間がかかるため、これは本質的に禁止された脆弱性があることを世界に向けて本質的に発表しました。

インターネットは12月30日と1月1日に爆発し始めました。 Twitterのgrsecurity は、少なくとも28日には通商禁止 があり、30日には 行方不明のソースが存在することを世界に観測していると確信していましたLinuxパッチセットのコードコメント 。 python Tumblrの甘さ が1月1日に正確に予測されました 非特権メモリ読み取りを実行できるx86のハードウェアベースの脆弱性であり、推測されましたアマゾンとグーグルの従業員の存在に基づくハイパーバイザー攻撃の可能性。

その後、もちろん、Registerは1月2日に記事を公開し、全世界がループインしました。その記事はAMDの12月26日のパッチを参照し、投機的実行を未公開の脆弱性に関連付けました。

現代のマイクロアーキテクチャの脆弱性について、セキュリティ研究コミュニティへの関心が高まっています。 Spectre論文 は、プロセッサまたはL1キャッシュの内部からのデータのリークに関する12件以上の他の研究、およびブランチプレディクターを活用してアドレス空間のランダム化をバイパスすることに関する2016年の最近の研究を間違いなく引用しています。 Spectreの基礎。 Anders Foghのブログ は、昨年7月末の攻撃のいくつかの基本的な手法を概説しましたが、否定的な結果を報告しました。そこにFoghを投入すると、1つの年内にこれらの特定の脆弱性を個別に見つけて報告する3つの別々のグループになります。

特にSpectreの脆弱性は非常に大きな問題です。つまり、彼らはこれから長い間この問題について話し合うことになります。私の推測では、早期に開示したいという願望の一部は、彼らがそれが期限である場所で信用を主張することを確認することでした。画期的な脆弱性を抱えていると想像してみてください。少なくとも1つの他のグループがすでに独自に脆弱性を発見していることを知っており、ブログの最新情報を知っていれば、Foghが同じことを調査していることがわかります。突然の報道活動により、4人目の人物が発見し、1年間座っていたのと同じ脆弱性を明らかにしようとしていると思わせられます。

特にGoogleのチームが私たちの知らない禁輸措置を破った原因は何ですか。 Registerの記事は当然の候補ですが、ページテーブル分離パッチが12月上旬に動き始めたとき、猫は本当に手に負えなくなりました。