主要メーカーが提供するCPUに脆弱性が見つかったことを受けて、OSやアプリケーションソフトウエアのベンダーが続々と更新版の提供を始めている。米アップルは米国時間の2018年1月4日、iPhoneやMacなどのOSの最新版では脆弱性に対策済みとする声明を発表した。
http://itpro.nikkeibp.co.jp/atcl/news/17/010502927/topm.jpg

 CPUが抱える3種の脆弱性は、1月3日に明らかになった。プログラムの分岐を先読みして実行する機能「投機的実行」を悪用する「Spectre」の2種と、プログラムの命令順序を問わずに準備できた命令から実行する機能「アウトオブオーダー(OoO)実行」を悪用する「Meltdown」である。これらの脆弱性を突いた攻撃によってメモリー内のデータを奪われる可能性がある。

 アップルは同社製品について、iOS 11.2、macOS 10.13.2、tvOS 11.2でMeltdownに対策済みと発表した。Apple Watchで動作するwatchOSについては対策不要という。
 WebブラウザーのSafariについては、Spectre対策としてアプリケーションでの対応が必要になり、数日中に更新する計画だ。対策を施したSafariでベンチマークテストを実施したところ、SpeedometerとARES-6で性能低下は起きず、JetStreamで2.5%未満の性能低下が起きる状況という。
About speculative execution vulnerabilities in ARM-based and Intel CPUs - Apple Support (英文)
https://support.apple.com/en-us/HT208394

 WebブラウザーのFirefoxについては、最新版(バージョン57)で今回見つかった脆弱性に対応したことを、米モジラ・ファウンデーションが発表

Security Advisories for Firefox — Mozilla (英文)
https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/#firefox57.0.4
米マイクロソフトはパソコン向けのWindowsやサーバー向けのWindows Server、WebブラウザーのInternet Explorer、データベース管理ソフトのSQL Serverなどのセキュリティ更新プログラムの配布を始めたと1月3日に発表している。
January 3, 2018—KB4056892 (OS Build 16299.192) (英文)
https://support.microsoft.com/ja-jp/help/4056892/windows-10-update-kb4056892

 Spectreの2種の脆弱性は米インテルと米アドバンスト・マイクロ・デバイス(AMD)、英アーム・ホールディングスの3社のCPUが抱えるため、パソコンやサーバー、スマートフォンなど幅広い機器に影響する。Meltdownの脆弱性を突く攻撃はインテルのCPUで動作を確認済みであり、主にパソコンやサーバーで対策が必要になる。

 またセキュリティ会社の米サイランスは1月4日、同社のブログで「脆弱性を突くマルウエアは現時点では存在しない」と表明した。

(この記事は元のニュース文面に独自にリンクを置いております)
2018/01/05
ITpro
http://itpro.nikkeibp.co.jp/atcl/news/17/010502927/