Intel製CPUを中心に炎上した「Spectre」と「Meltdown」の脆弱性。
まだ1年も経ってないのに割と過去のものになりつつあったこのタイミングでIntelさんはこのお盆期間に爆弾再投下してきました。

「L1 Terminal Fault(L1TF)」と呼ばれるプロセッサのL1データキャッシュを利用したサイドチャネル攻撃を受ける可能性がある脆弱性で、「Foreshadow」と名付けられたようで。
いちいち脆弱性に別名つける必要なくね?って思うんですがそれはそれとして。
各社の早急なパッチ提供等で、パフォーマンスの問題はさておき若干収束したかに見えた「Spectre/Meltdown」問題で更なる問題を招いています。
先週、まさかのバグでパッチやファームウェアを適用した機器で意図せぬ再起動が発生する問題が新たに発覚。
最初は「Broadwell」と「Haswell」のチップだけと言われていたけど、結局「Ivy Bridge」「Sandy Bridge」「Skylake」「Kaby Lake」と範囲は多岐に渡っているようで、お粗末な結果を招いています。
iOS 11.2.2が本日リリースされ、今話題の「Spectre」(CVE-2017-5753、CVE-2017-5715)に対処されました。
macOS、Safariも同様にセキュリティパッチがリリースされています。

「Meltdown」はIntel製CPUのみが影響を受けるものなので、iOSデバイスとしてはこれで収束、となるはずです。(多分)
セキュリティ関連なので早めの適用を。
前記事「幽霊(Spectre)が炉心溶融(Meltdown)ってどんな状態よIntelさん。」に書いたCPU脆弱性への対応として、Microsoftは各Windows OSに対するパッチのリリースが実施されました。

ただ、前記事にも書いた通り、セキュリティ製品との相性でブルースクリーン(BSOD)が起こる可能性がある事もあって、Microsoft側はセキュリティ製品側が対応を取った事をレジストリエントリさせ、それを参照してWindows Updateでの適用可否を決める措置をとっています。
新年あけました。おめでとうございます。

そして新年早々、大きな爆弾投下されててんやわんやです。
ちょっと冗談交じりに書きましたが、件の通り、Intel製CPUの脆弱性「Spectre」と「Meltdown」です。

実際には11月末頃のIntel Management Engine(ME)、Server Platform Services(SPS)、Trusted Execution Engine(TXE)の脆弱性から始まってSpectre(CVE-2017-5753、CVE-2017-5715)、Meltdown(CVE-2017-5754)ともうIntel製品の信頼性が崩れる一方。
Googleとかはもっと前から掴んでいたみたいですけどね。
IT業界は多方面で対応に追われる状況になっていますね・・・

影響を受けるCPUリストはIntelが公開しています。
最新Core iのCoffee Lakeやらサーバ向けXeonやら多岐に渡って全滅しているのでどうにもならん状況ですが。
Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method - Intel Security Center
Microsoftの5月度月例セキュリティ更新が昨日公開されましたが、最も重要度が高い「緊急」7件を含んでいます。

特に修正されたIEの脆弱性、JScript、VBScriptの脆弱性は細工された悪意のあるWebサイトにアクセスすると、リモートで攻撃コードを実行される可能性があるがあり、すでに攻撃も確認されているようなので早急にパッチ適用を実施した方がよさそうです。
暗号化型ランサムウェアに新種「JIGSAW」が確認されたそうです。

暗号化型ランサムウェアの新種「JIGSAW」が仕掛ける悪質なゲーム - セキュリティブログ

何この怖いの。