CPU の脆弱性問題 – 各社の対応状況 –

投稿日: 2018年1月10日 作成者: raspi-wannabe



■CPU の脆弱性問題 – 各社の対応状況 –

これまでも何度か記載してきた、CPU の脆弱性問題。

Meltdown と Spectre に関して、各社の対応状況をまとめてみた。

  1. Apple
  2. Microsoft
  3. Google
  4. その他

Apple

ITmedia によると、Meltdown、Spectre の両方とも対応を完了している模様。

Meltdown に関しては、1/4 の段階で、既に

・Mac
・iPhone
・iPad
・Apple TV

に関するパッチ(ただし、解決策ではなく緩和策)をリリース済みとのこと。

Apple、プロセッサ脆弱性「Meltdown」と「Spectre」の対策について説明
http://www.itmedia.co.jp/enterprise/articles/1801/05/news035.html

一方、Spectre に関しても、

・macOS
・iOS
・Safari

に関して緩和策がリリースされている模様。

Apple、「Spectre」の緩和策もリリース SafariとWebKitのセキュリティ対策強化
http://www.itmedia.co.jp/enterprise/articles/1801/09/news062.html

Apple 製品を利用している方は、早急にアップデートしておいた方がよいと思う。

Microsoft

Microsoft も、ほぼ全ての OS に対してパッチは提供済み。

Windows Update で配信されている模様。

ただ、いくつか問題があるとのこと。

一つ目の問題は、Spectre に対するパッチに関して。

Windows 10 では一部、7、8 ではほとんどのユーザーが、

速度低下を実感するほどパフォーマンスが落ちるとのこと。

プロセッサの脆弱性、Microsoftの対策パッチでパフォーマンス大幅低下も
http://www.itmedia.co.jp/enterprise/articles/1801/10/news054.html

2016 年以降に製造された Window 10 搭載 PC の場合は、

それほどの影響でもないとのこと。

ということは、投機的実行っていうのは、特に大きなプログラムでは

結構速度に効いていた、ってことなんだなぁ、とちょっと感心。

二つ目の問題は、AMD マシンの場合、動かなくなることがあるらしいこと。

Windowsパッチで一部AMDマシンに不具合、Microsoftが対応説明
http://www.itmedia.co.jp/enterprise/articles/1801/10/news056.html

こちらは現在、該当 AMD マシンへのパッチ配信停止で対応している模様。

動かなくなるのはさすがに洒落にならんな。

そして三つめは、既に

CPU の脆弱性問題 – 続報 –

でも記載したが、一部セキュリティソフトとの相性問題。

ブルースクリーン化することがあるらしい。

こちらも互換性が確認できた場合のみパッチ配信、で対応らしい。

いずれにせよ、Windows Update は常に実行しておいた方がよい。

Google

発見者なので当然っちゃー当然だが、Android 端末に関しては、

最新のセキュリティアップデートをしていれば大丈夫とのこと。

また、Chrome もアップデートされている。

基本的には何もしなくでも大丈夫だが、

一部のユーザーは追加の作業が必要とのこと。

詳細は
Google Security Blog
Today’s CPU vulnerability: what you need to know
https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html

Mitigation status for Google products

部分に記載されているので、参考までに。

その他

その他としては、Linux の対応状況がある。

これに関しても、基本はパッチが出ているか、出たら当てろ、というもの。

こちらに詳細の記載がある。

LinuxコアメンバーによるMeltdownとSpectre 対応状況の説明
https://qiita.com/hogemax/items/008f19fd14eebca474d7

ちなみに、ブログ筆者の方は、文末において、

・実際に適用してみたらどうなるか

も記載してくださっている。

なるほど、こう見えるのか、というのがよく分かった。

訳の提示も含め、大変有難い。

■結局の所・・・

結局の所、

各社がパッチを配信次第、ちゃんとそれを適用しましょう

というのが重要だということ。

パッチがまだのものに関しては、

信頼できないアプリを入れない

という対応を徹底することが重要。

なお、この問題の経緯や内容に関しては、

piyolog
CPUの脆弱性 MeltdownとSpectreについてまとめてみた
http://d.hatena.ne.jp/Kango/20180104/1515094046

がよくまとまっていると思うので、参考にされるとよいかと思う。

この脆弱性に関しては、

・影響が大きく、みんな大騒ぎ

という状況になっている。

確かに、影響範囲も脅威としても大きい。

さらにいうと、根本的な解決策は、

ハードウェア側での対応が必要

となるため、(修正ができないんじゃないか、と)大騒ぎするのも分かる。

ただ、結局の所、セキュリティ対策の基本のきである、

・常に最新の状態を保つ

・不要な(信頼出来ない)アプリをインストールしない

ということをやっておけば、被害は未然に防げる。

もちろん、それが出来てないから問題が発生するのだ、というのは

わかるのだが、改めて、

基本をしっかり抑えてやるべきことをちゃんとやる

ことが大事なのだ、と思った今日この頃である。



Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ タグ: , パーマリンク