【各種公式サイト英文リンク追加あり】ニュース - iPhoneやFirefoxでもCPU脆弱性問題、更新版の提供始まる
■ このスレッドは過去ログ倉庫に格納されています
主要メーカーが提供するCPUに脆弱性が見つかったことを受けて、OSやアプリケーションソフトウエアのベンダーが続々と更新版の提供を始めている。米アップルは米国時間の2018年1月4日、iPhoneやMacなどのOSの最新版では脆弱性に対策済みとする声明を発表した。
http://itpro.nikkeibp.co.jp/atcl/news/17/010502927/topm.jpg
CPUが抱える3種の脆弱性は、1月3日に明らかになった。プログラムの分岐を先読みして実行する機能「投機的実行」を悪用する「Spectre」の2種と、プログラムの命令順序を問わずに準備できた命令から実行する機能「アウトオブオーダー(OoO)実行」を悪用する「Meltdown」である。これらの脆弱性を突いた攻撃によってメモリー内のデータを奪われる可能性がある。
アップルは同社製品について、iOS 11.2、macOS 10.13.2、tvOS 11.2でMeltdownに対策済みと発表した。Apple Watchで動作するwatchOSについては対策不要という。
WebブラウザーのSafariについては、Spectre対策としてアプリケーションでの対応が必要になり、数日中に更新する計画だ。対策を施したSafariでベンチマークテストを実施したところ、SpeedometerとARES-6で性能低下は起きず、JetStreamで2.5%未満の性能低下が起きる状況という。
About speculative execution vulnerabilities in ARM-based and Intel CPUs - Apple Support (英文)
https://support.apple.com/en-us/HT208394
WebブラウザーのFirefoxについては、最新版(バージョン57)で今回見つかった脆弱性に対応したことを、米モジラ・ファウンデーションが発表
。
Security Advisories for Firefox — Mozilla (英文)
https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/#firefox57.0.4
米マイクロソフトはパソコン向けのWindowsやサーバー向けのWindows Server、WebブラウザーのInternet Explorer、データベース管理ソフトのSQL Serverなどのセキュリティ更新プログラムの配布を始めたと1月3日に発表している。
January 3, 2018—KB4056892 (OS Build 16299.192) (英文)
https://support.microsoft.com/ja-jp/help/4056892/windows-10-update-kb4056892
Spectreの2種の脆弱性は米インテルと米アドバンスト・マイクロ・デバイス(AMD)、英アーム・ホールディングスの3社のCPUが抱えるため、パソコンやサーバー、スマートフォンなど幅広い機器に影響する。Meltdownの脆弱性を突く攻撃はインテルのCPUで動作を確認済みであり、主にパソコンやサーバーで対策が必要になる。
またセキュリティ会社の米サイランスは1月4日、同社のブログで「脆弱性を突くマルウエアは現時点では存在しない」と表明した。
(この記事は元のニュース文面に独自にリンクを置いております)
2018/01/05
ITpro
http://itpro.nikkeibp.co.jp/atcl/news/17/010502927/ 今週OSのパッチ当て、来週Intelのマイクロコードの変更かな。 今日 今朝から3件もエロ動画見ようと
クリックしたらウインドウズデフェンダーが破損しましたとかの
表示が出たんで 強制終了したわ・・・ チョット待ってほしい
CPUってかなりハード側の話なのにどうしてそれが脆弱性になるわけ?
ソフト的にCPUを焼き切るとかできるってこと?
難してわからないw 758: 名無しさん@1周年 [sage] 2018/01/05(金) 15:21:49.75 ID:uw15B+P90
ttp://d.hatena.ne.jp/Kango/20180104/1515094046
Meltdown攻撃は今のところIntelだけが攻撃成立が確認されているが、AMDやARMではまだ検証が完全に済んでいないだけ。理論上はAMD、ARMでも成立する
AMD自身は「問題ないと信じている」という発表しかできていない
ARMも置かれている状況は同様
Spectre攻撃はAMDでもARMでも効くので、AMD、ARM搭載端末も修正が必要
ARMスマホ、タブレットでも成立するとGoogleがすでに発表している
根本的対処はSpectreのほうが難しく、Spectreの対処にも根本的には物理的CPUの交換が必要
Appleの発表には「Spectre緩和策は今後も開発とリリースを続ける」とあり、Spectre攻撃の根の深さが伺える
WindowsやLinuxでも同様の流れになっていく可能性が高い 俺のgoogleさんはアンドロイドの対策してくれてるんだよな? >>10
そりゃあなた、インテルを必死に叩いてる連中の論調に従えば
「ARMか、ARMチップを作ってるベンダーかが、そのAndroidスマホをピカピカの新品最新にしてくれる」
以外にないでしょうよ
なにせSpectre攻撃を受けるチップを設計したのはARM、製造出荷したのはチップ製造ベンダーなんだから、、、
ってくらいの暴論なんだよねぇ、アンチIntelの主張って うちの3750kも5年経ったしなあ
バグ消しcpuが出たら買いなおすか ブラウザで対応するって何を対応するの?
CPUの話なんだから、修正するにしてもOS側の問題じゃないのか?
後、OS側で対応してそれは根本対策になるのか?
例えば、マルウェアがルート権限で実行されて
脆弱性のあるパッチが当てられて
CPUの内蔵メモリを見られるように変更される可能性はないのか?
仮想マシンをホストしている物理サーバーのCPU内蔵メモリを
覗き見されてしまうのではないのか? パソコンはまだいいとして、PS4とかTVとかに乗っかってるCPUはどうしたらいいんだ? 悪意の第三者が敢えて脆弱性のある仮想マシンをクラウドサービス上で起動して
共有サーバー上で起動している仮想マシンの情報を盗み見る可能性もあるのでは? >>16
ホスト側が対応してればその問題は起きない Google、CPUの投機実行機能に脆弱性発見。業界をあげて対策へ
〜Intel、AMD、Armなど多数のCPUが対象も、コンシューマでは影響は軽微
https://pc.watch.impress.co.jp/docs/news/1099687.html
・Intel:OSベンダーやシステム製造者がもうすぐ対策を公開
・AMD:知らないURLをクリックしたりせず、定期的なソフトウェアアップデートを受け入れるよう呼びかけ
・Arm:ファームウェアを提供し問題を修正するとともに、Linux向けカーネルパッチを提供
・NVIDIA:GPUドライバの更新でCPUセキュリティの問題を免疫、ARM SoCについては分析中
・Microsoft:2018年1月のセキュリティアップデートで対策、性能に影響するもコンシューマでは限定的
・Microsoft Azure:対策を完了し、VMを再起動することで適用
・Google:Androidは最新のセキュリティアップデートで対応。Google Apps/G Suiteは顧客が対応する必要なし、ChromeやChrome OSは一部ユーザーで操作が必要
・Apple:すべてのiOSおよびMacが影響するが、iOS 11.2、macOS 10.13.2、tvOS 11.2ではMeltdownに対策済み。Apple Watchは影響を受けず
・Mozilla:Firefox 57.0.4で対策
・Synology:問題を認識、1月4日時点では緩和策なし
・Red Hat:Linuxカーネルのアップデートで対応。IBM System Z、POWER8プロセッサ(ビッグエンディアンおよびリトルエンディアン)、POWER9プロセッサ(リトルエンディアン)でも同様の問題が発生
・SUSE:Linuxコミュニティと協力し、Linuxカーネルパッチをリリースへ
・Xen:Spectreは緩和なし、MeltdownはゲストをHVMまたはPVHモードで実行することで緩和可能 >>19
スマホで比較するなら細かい実装までクローンのiOSのほうが極端に危険 この間VLC終了させてもプロセスがたくさんできてて、しかもCPU食いまくってて冷却ファンがガンガンなってたけど、これなのかな。
あんなのはじめて。 AMD関係ないとか言ってたくせにさらっとAMDも混ざってるやん Windowsでこの問題修正後のベンチマーク調べたら項目によっては数割性能落ちるらしいな
世界的に各国での色んな作業の生産性が落ちるんじゃないか、結構マジで? >>19
そゆのつかってる層は買い替えるカネもないだろーしな スマホで情報流出の恐れ=IT業界、対策急ぐ
1/5(金) 11:19配信
【シリコンバレー時事】
スマートフォンやパソコン(PC)などに搭載されている半導体の安全性をめぐる懸念が広がり、IT業界が対応に追われている。
ハッカーからの攻撃により情報機器の内部情報が流出する恐れがあると判明したため。
幅広い機器に影響が及ぶ可能性もあり、各社はセキュリティー対策を急いでいる。
米グーグルによると、コンピューターの頭脳に当たるCPU(中央演算処理装置)の処理を高速化するための仕組みで、外部からの攻撃に対する脆弱(ぜいじゃく)性が見つかった。
米インテルやアドバンスト・マイクロ・デバイシズ(AMD)、ソフトバンクグループ傘下の英ARM(アーム)ホールディングスの半導体が影響を受ける恐れがあるという。
最も大きな影響を受けるとされるインテルは4日、来週末までに過去5年間に販売した製品の90%以上で対策を講じると発表。
利用者には、PCなどのソフトを最新の状態に保つよう呼び掛けている。
米アップルは同日、スマホ「iPhone(アイフォーン)」やPC「Mac(マック)」などへの潜在的な影響を認め、基本ソフト(OS)の更新作業を進めていることを明らかにした。
グーグル、マイクロソフトも対策に動いており、これまでのところ被害が発生したとの情報はない。 俺のFirefox 56なんだよ
もうアドオン捨てて移るしかないのか >>23
一般人は使わない特定要素に無理やり最大負荷をかけ続けた場合限定だからな
そんなもん鵜呑みにしてるのはアンチだけ なんか話が広がったな
バリアント3aでARMもmeltdown影響ありになったってことか
ttp://monoist.atmarkit.co.jp/mn/spv/1801/05/news062.html
アームは、バリアント1とバリアント2については「Cortex-R7」「Cortex-R8」「Cortex-A8」「Cortex-A9」「Cortex-A15」「Cortex-A17」「Cortex-A57」「Cortex-A72」「Cortex-A73」「Cortex-A75」が対象になると報告している。
また、バリアント3でも「Cortex-A75」が対象になるという。これらの他、アームが確認したバリアント3の亜種「バリアント3a」が存在し、これについては「Cortex-A15」「Cortex-A57」「Cortex-A72」が対象になるとしている >>4
マイクロで対処できないから大騒ぎになってるんだが アンチインテルがmeltdown問題で必死にインテルを叩いていたら、実はARMのほうがmeltdownの影響受けてて死亡でしたというオチ Appleのホームページに、iOSでもMeltdownの影響があったのでiOS11.2で対応したという明確な記載が来てるな
次世代ARMコアのA75もMeltdownの影響ありと確定してるしこりゃAppleがARMやめてく流れになるかもな
ttps://support.apple.com/en-us/HT208394
> Meltdown is a name given to an exploitation technique
> known as CVE-2017-5754 or "rogue data cache load."
> The Meltdown technique can enable a user process to read kernel memory.
> Our analysis suggests that it has the most potential to be exploited.
> Apple released mitigations for Meltdown
> in iOS 11.2, macOS 10.13.2, and tvOS 11.2. >>1
https://gigazine.net/news/20180104-meltdown-spectre/
IntelCPU固有の問題であるメルトダウンは、OSパッチで対応可能だがパッチを適応した場合、IntelCPUのパフォーマンスは20%-30%低下する。
AMDに強い追い風 >>33
そもそも個々のアプリが対応するもんじゃないし >>38
AMDはほとんど影響ないよ
アーキテクチャの違い OSは当然として、アプリケーション全て対策しないといけないってこと? >>39
> Meltdown攻撃は今のところIntelだけが攻撃成立が確認されているが、AMDやARMではまだ検証が完全に済んでいないだけ。理論上はAMD、ARMでも成立する
> AMD自身は「問題ないと信じている」という発表しかできていない
> Spectre攻撃はAMDでもARMでも効くので、AMD、ARM搭載端末も修正が必要 >>40
本来はプロセッサで対応すべき
ただマイクロでは対応できないためプロセッサの交換になる
さすがにこれは現実的ではないのでまずはOS側で対応を実施しようとしてる
JavaScriptでも読み取れるとのことなので実用上危険性が最も高いのはインターネットブラウザなのでFirefoxが緊急に個別対応したってこと >>35
>>29 >>34 にあるとおりARMも影響を受けてるんだが?
お前がばら撒いてる記事は現実と異なる
風説の流布そのものなので通報しておくわ >>41
というかARMのA15、A57、A72、A75でもMeltdownの攻撃が成立することはすでに判明して、ARM公式サイトにも記載されている
Intelだけの問題かのようにばら撒いてる連中は本当の意味で風説の流布をしているので、全部通報するのが正しい GoogleがIntelチップにおいてMeltdownへの修正をしても大きな性能低下は起きない、無視できる程度だと明確に発表
ttp://bgr.com/2018/01/05/meltdown-spectre-fix-google-patch-performance/
あーあ、Intel叩きであたかも大幅に性能が低下するようなガセネタを大量にばら撒いてた連中はこれで風説の流布で逮捕確定だな
今回の件は株価操縦を狙った悪意ある情報リークまで取り沙汰されてるから各国警察も容赦ない
Intel叩きしてた連中の書き込みは徹底的に調べ上げられるだろうな >>37
現実的にはアプリでやるしかないやん
OSじゃ片方しか対応出来ん Intelの致命的な仕様 meltdown
各社共通の問題 Specter
一緒にして話すやつは工作員認定でいいよ >>51
> Intelの致命的な仕様 meltdown
だからバカは黙っとけって >>51
IntelのMeltdown問題にはGoogleが新パッチ作ってほとんど性能低下なしで対策できるようになった
それに対してARMではA15、A57、A72、A75と広範囲にMeltdown問題があることがわかった上でARMは逃げている
GoogleはAndroid向けパッチを作ってはいるので
ARMは責任持って過去5年分のARMスマホすべてに修正パッチが適用されるよう負担しなきゃいけないんだけどねぇ
どれだけ赤字でもな
インテルは実際にそこまでの責任を果たしたのにねえ >>53
動いたのはグーグルじゃん
インテは公開されていやいや動いただけ いやいやとかどうでもいいけど
動かないよりよほどいいんじゃねーの? メルトダウン対策でBIOSとOS updateするくらいはいいんだかCPUやSSDの性能が落ちるのは困るぞ
スペクター対策がまったくされてないというのも問題だ >>47
インテルさん、工作お疲れ様ですw
性能ガタ落ちCPUを庇うのも大変ですねw
インテル?あんなゴミ、今載せてるのを最後に二度と買いませんよw AMD、自社のCPUには影響ない、だから性能低下もない、インテルとは違うんだよと言っていたSpectre脆弱性バリアント2に対して結局修正を行うと発表
あらら、、、こりゃAMD社内ですでに実際に脆弱性の影響受けるじゃんこれっていうアタリがついてるんだろうな
ttps://pc.watch.impress.co.jp/docs/news/1100814.html
> SpectreのBranch Target Injectionについては、
> AMDのプロセッサはほとんど影響を受けないとしているが、
> 万が一のためにプロセッサのマイクロコードとOSのアップデートが行なわれる。 AMD、今までの主張を転換しより性能低下となるSpectreバリアント2のための修正も行うことを発表
https://japan.cnet.com/article/35113065/ >>61
新品B75マザー4枚常備の俺をアンチインテルだとぅ? OCNは40日間無料なので毎月22日前後に契約すれば
契約月と2ヶ月目が完全無料
例
1月21日に30GB契約 6170円 無料0円
2月 30GB+30GB 60GBスタート 6170円無料
3月 3GB変更 30GB繰越 33GBスタート 1800円
4月3.3GB(110MB/日) 1600円
つまり最初の3ヶ月の料金合計が1800円で
トータル63GBも使えるわけです
http://imgur.com/xX6j6DT.jpg
契約するとNから始まるのOCNお客様番号が送られてきます
それを入力した後、
画像(http://imgur.com/dBNKzZs.jpgえーろくえふにーろくよんえふ)と全く同じように入力するだけです
https://goo.gl/Kao4sA←ギフト券もらえる詳細
この手続きで
■最高¥1,700のAmazonギフト券ゲット!■ お前らは誰と戦っているんだ?
AMDもIntelもARMもお前らの友達じゃないだろ。 受信するだけでiMessageがクラッシュ「chaiOS」バグみつかる。iOSだけでなくMacでも影響 - Engadget 日本版
http://japanese.engadget.com/2018/01/17/imessage-chaios-ios-mac/ 大騒ぎのSpectreとMeltdownの脆弱性をざっくりと解説
http://www.atmarkit.co.jp/ait/articles/1801/23/news021.html
ふと、昔を思い出した。プレスリリースの下書きをしているときに「speculative execution」という用語を訳さなければならなかったことがある。
その際、何も考えずに、一般的に日本語訳として使われている「投機的実行」としたら、その原稿を読んだ当時筆者が在籍していたA社のN社長から「投機はよくない!」とお叱りを受けたことがある。
そんなことを言われても、訳語としては定番なものだしね……。弱って何か適当な用語に置き換えて書いた後に小さく(投機的実行)としたのだった。やっぱりN社長が言ったように「投機はよくなかった」のだな。 俺Android2.2の時にこの脆弱性報告してたんだけどな、、、 ■ このスレッドは過去ログ倉庫に格納されています