X



【各種公式サイト英文リンク追加あり】ニュース - iPhoneやFirefoxでもCPU脆弱性問題、更新版の提供始まる
■ このスレッドは過去ログ倉庫に格納されています
0001へっぽこ立て子@エリオット ★2018/01/05(金) 15:27:17.70ID:CAP_USER
主要メーカーが提供するCPUに脆弱性が見つかったことを受けて、OSやアプリケーションソフトウエアのベンダーが続々と更新版の提供を始めている。米アップルは米国時間の2018年1月4日、iPhoneやMacなどのOSの最新版では脆弱性に対策済みとする声明を発表した。
http://itpro.nikkeibp.co.jp/atcl/news/17/010502927/topm.jpg

 CPUが抱える3種の脆弱性は、1月3日に明らかになった。プログラムの分岐を先読みして実行する機能「投機的実行」を悪用する「Spectre」の2種と、プログラムの命令順序を問わずに準備できた命令から実行する機能「アウトオブオーダー(OoO)実行」を悪用する「Meltdown」である。これらの脆弱性を突いた攻撃によってメモリー内のデータを奪われる可能性がある。

 アップルは同社製品について、iOS 11.2、macOS 10.13.2、tvOS 11.2でMeltdownに対策済みと発表した。Apple Watchで動作するwatchOSについては対策不要という。
 WebブラウザーのSafariについては、Spectre対策としてアプリケーションでの対応が必要になり、数日中に更新する計画だ。対策を施したSafariでベンチマークテストを実施したところ、SpeedometerとARES-6で性能低下は起きず、JetStreamで2.5%未満の性能低下が起きる状況という。
About speculative execution vulnerabilities in ARM-based and Intel CPUs - Apple Support (英文)
https://support.apple.com/en-us/HT208394

 WebブラウザーのFirefoxについては、最新版(バージョン57)で今回見つかった脆弱性に対応したことを、米モジラ・ファウンデーションが発表

Security Advisories for Firefox — Mozilla (英文)
https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/#firefox57.0.4
米マイクロソフトはパソコン向けのWindowsやサーバー向けのWindows Server、WebブラウザーのInternet Explorer、データベース管理ソフトのSQL Serverなどのセキュリティ更新プログラムの配布を始めたと1月3日に発表している。
January 3, 2018—KB4056892 (OS Build 16299.192) (英文)
https://support.microsoft.com/ja-jp/help/4056892/windows-10-update-kb4056892

 Spectreの2種の脆弱性は米インテルと米アドバンスト・マイクロ・デバイス(AMD)、英アーム・ホールディングスの3社のCPUが抱えるため、パソコンやサーバー、スマートフォンなど幅広い機器に影響する。Meltdownの脆弱性を突く攻撃はインテルのCPUで動作を確認済みであり、主にパソコンやサーバーで対策が必要になる。

 またセキュリティ会社の米サイランスは1月4日、同社のブログで「脆弱性を突くマルウエアは現時点では存在しない」と表明した。

(この記事は元のニュース文面に独自にリンクを置いております)
2018/01/05
ITpro
http://itpro.nikkeibp.co.jp/atcl/news/17/010502927/
0002名刺は切らしておりまして2018/01/05(金) 15:28:58.26ID:uPg1BZ38
火消しに躍起だな。
0003名刺は切らしておりまして2018/01/05(金) 15:30:32.25ID:i2m8Irlc
性能を上げたかったら新しいハードを買ってください
0004名刺は切らしておりまして2018/01/05(金) 15:31:36.65ID:uPg1BZ38
今週OSのパッチ当て、来週Intelのマイクロコードの変更かな。
0005名刺は切らしておりまして2018/01/05(金) 15:33:20.68ID:Ti5viiVr
今日 今朝から3件もエロ動画見ようと
  クリックしたらウインドウズデフェンダーが破損しましたとかの
     表示が出たんで 強制終了したわ・・・
0006名刺は切らしておりまして2018/01/05(金) 15:50:59.85ID:iJT6ojWA
チョット待ってほしい
CPUってかなりハード側の話なのにどうしてそれが脆弱性になるわけ?
ソフト的にCPUを焼き切るとかできるってこと?
難してわからないw
0008名刺は切らしておりまして2018/01/05(金) 15:54:04.34ID:iJT6ojWA
>>7
むっちゃあかんやつやん
0009名刺は切らしておりまして2018/01/05(金) 15:54:35.49ID:+/dnIEln
758: 名無しさん@1周年 [sage] 2018/01/05(金) 15:21:49.75 ID:uw15B+P90
ttp://d.hatena.ne.jp/Kango/20180104/1515094046

Meltdown攻撃は今のところIntelだけが攻撃成立が確認されているが、AMDやARMではまだ検証が完全に済んでいないだけ。理論上はAMD、ARMでも成立する

AMD自身は「問題ないと信じている」という発表しかできていない
ARMも置かれている状況は同様

Spectre攻撃はAMDでもARMでも効くので、AMD、ARM搭載端末も修正が必要
ARMスマホ、タブレットでも成立するとGoogleがすでに発表している

根本的対処はSpectreのほうが難しく、Spectreの対処にも根本的には物理的CPUの交換が必要

Appleの発表には「Spectre緩和策は今後も開発とリリースを続ける」とあり、Spectre攻撃の根の深さが伺える
WindowsやLinuxでも同様の流れになっていく可能性が高い
0010名刺は切らしておりまして2018/01/05(金) 15:58:35.58ID:44jQ4DsZ
俺のgoogleさんはアンドロイドの対策してくれてるんだよな?
0011名刺は切らしておりまして2018/01/05(金) 16:02:09.41ID:+/dnIEln
>>10
そりゃあなた、インテルを必死に叩いてる連中の論調に従えば

「ARMか、ARMチップを作ってるベンダーかが、そのAndroidスマホをピカピカの新品最新にしてくれる」

以外にないでしょうよ
なにせSpectre攻撃を受けるチップを設計したのはARM、製造出荷したのはチップ製造ベンダーなんだから、、、

ってくらいの暴論なんだよねぇ、アンチIntelの主張って
0013名刺は切らしておりまして2018/01/05(金) 16:03:06.60ID:EaEvTXzQ
ブラウザで対応するって何を対応するの?
CPUの話なんだから、修正するにしてもOS側の問題じゃないのか?

後、OS側で対応してそれは根本対策になるのか?
例えば、マルウェアがルート権限で実行されて
脆弱性のあるパッチが当てられて
CPUの内蔵メモリを見られるように変更される可能性はないのか?

仮想マシンをホストしている物理サーバーのCPU内蔵メモリを
覗き見されてしまうのではないのか?
0014名刺は切らしておりまして2018/01/05(金) 16:05:03.37ID:iJT6ojWA
なあに
ネットに接続しなければ問題ないわい
0015名刺は切らしておりまして2018/01/05(金) 16:08:00.83ID:DIHBTWer
パソコンはまだいいとして、PS4とかTVとかに乗っかってるCPUはどうしたらいいんだ?
0016名刺は切らしておりまして2018/01/05(金) 16:17:31.37ID:EaEvTXzQ
悪意の第三者が敢えて脆弱性のある仮想マシンをクラウドサービス上で起動して
共有サーバー上で起動している仮想マシンの情報を盗み見る可能性もあるのでは?
■ このスレッドは過去ログ倉庫に格納されています

ニューススポーツなんでも実況