CPU の脆弱性問題 – 続報 –




■CPU の脆弱性問題 – 続報 –

前回書いた、CPU の脆弱性問題に関する続報。

ITmedia でわかりやすい解説記事が載っていた。

世間を騒がす「プロセッサ脆弱性」 何が本当の問題なのか (1/3)
http://www.itmedia.co.jp/pcuser/articles/1801/06/news014.html

元々指摘されていたのは、「Meltdown」と「Spectre」という脆弱性。

「Meltdown」の方は、キャッシュメモリの挙動を利用することで、

本来見えないはずの他のアプリからキャッシュメモリが見える、

というもののよう。

なので、現実的に脅威が発生しうるのは、

・何かしらのアプリが挙動している

・そのアプリが、パスワードや個人情報等重要な情報を扱っている

・そのアプリが重要な情報をキャッシュメモリに載せた

という状況が揃ったときに限られる、と思われる。

もちろん、脆弱性を利用するプログラムが、

キャッシュメモリをずーっと監視していれば、

その中に重要なデータが含まれている可能性は高い。

よって、脅威としては大きいのはもちろん大きい。

ただ、結局の所、

・そもそもキャッシュデータを取得するような不正アプリが必要

・取得したキャッシュデータは攻撃者へ送信する必要がある

・攻撃者は、キャッシュデータを解析し、重要情報を抜き出す必要がある

ということが必要になると思われる。

これが正しければ、

・不正なプログラムを実行しない

・侵入されるような状態にしておかない

ということを徹底しておけば、それほど大事にはならないと思われる。

また、「Spectre」の方は、投機的実行時の脆弱性を悪用する模様。

投機的実行というのは、プログラム中に分岐があった場合、

どちらの処理が実行されるか分からないが、

実行されそうな方の分岐にそって、

あらかじめ命令を読み込んでおく、

というもののよう。

当然、こちらの方が脅威を顕在化させるのが難しい。

とはいえ、投機的実行の仕組みは現在の CPU でほぼ採用されており、

影響範囲が大きいのが問題。

こちらも、先ほど同様の対策を徹底しておけば、

今すぐどうこう、という問題ではないように思える。

ただ、いずれの脆弱性に関しても、

・悪用された場合の影響は大きい

ということは確実に言える。

また、Spectre の方は、スマホの CPU などでも実行できるため、

・ちょっといいな、と思ったアプリをインストール

・そのアプリに攻撃コードが仕込まれていて、脆弱性悪用

・結果、クレジットカード情報を盗まれる

等々は現実的に考えられる。

各 OS ベンダーは既にパッチを出しているため、

早急に当てておくのがよいだろう。

なお、Windows に関しては、パッチを当てると

一部のセキュリティ対策ソフトとの絡みで、

ブルースクリーンが発生する場合があるらしい。

MS、CPU脆弱性緩和策で定例外パッチ
セキュリティ対策ソフトとの互換性問題も
http://www.security-next.com/088915

この辺りに関しては、

マイクロソフトからの情報
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

を参考にしつつ、確認しながら進めて頂ければと思う。

[2018/01/10 追記]
———————————————————
本脆弱性に関しては、各社の対応状況を、

CPU の脆弱性問題 – 各社の対応状況 –

にまとめている。

良ければ参考にしていただければと思う。
———————————————————




Copyright (c) 2017 Webmaster of this site All Rights Reserved.
カテゴリー: ブログ タグ: , パーマリンク

コメントを残す

メールアドレスが公開されることはありません。

This site uses Akismet to reduce spam. Learn how your comment data is processed.