まだ1年も経ってないのに割と過去のものになりつつあったこのタイミングでIntelさんはこのお盆期間に爆弾再投下してきました。
「L1 Terminal Fault(L1TF)」と呼ばれるプロセッサのL1データキャッシュを利用したサイドチャネル攻撃を受ける可能性がある脆弱性で、「Foreshadow」と名付けられたようで。
いちいち脆弱性に別名つける必要なくね?って思うんですがそれはそれとして。
先週、まさかのバグでパッチやファームウェアを適用した機器で意図せぬ再起動が発生する問題が新たに発覚。
最初は「Broadwell」と「Haswell」のチップだけと言われていたけど、結局「Ivy Bridge」「Sandy Bridge」「Skylake」「Kaby Lake」と範囲は多岐に渡っているようで、お粗末な結果を招いています。
macOS、Safariも同様にセキュリティパッチがリリースされています。
「Meltdown」はIntel製CPUのみが影響を受けるものなので、iOSデバイスとしてはこれで収束、となるはずです。(多分)
セキュリティ関連なので早めの適用を。
ただ、前記事にも書いた通り、セキュリティ製品との相性でブルースクリーン(BSOD)が起こる可能性がある事もあって、Microsoft側はセキュリティ製品側が対応を取った事をレジストリエントリさせ、それを参照してWindows Updateでの適用可否を決める措置をとっています。
そして新年早々、大きな爆弾投下されててんやわんやです。
ちょっと冗談交じりに書きましたが、件の通り、Intel製CPUの脆弱性「Spectre」と「Meltdown」です。
実際には11月末頃のIntel Management Engine(ME)、Server Platform Services(SPS)、Trusted Execution Engine(TXE)の脆弱性から始まってSpectre(CVE-2017-5753、CVE-2017-5715)、Meltdown(CVE-2017-5754)ともうIntel製品の信頼性が崩れる一方。
Googleとかはもっと前から掴んでいたみたいですけどね。
IT業界は多方面で対応に追われる状況になっていますね・・・
影響を受けるCPUリストはIntelが公開しています。
最新Core iのCoffee Lakeやらサーバ向けXeonやら多岐に渡って全滅しているのでどうにもならん状況ですが。
Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method - Intel Security Center
特に修正されたIEの脆弱性、JScript、VBScriptの脆弱性は細工された悪意のあるWebサイトにアクセスすると、リモートで攻撃コードを実行される可能性があるがあり、すでに攻撃も確認されているようなので早急にパッチ適用を実施した方がよさそうです。