Date: 2018.01.06
Home / Security. / 幽霊(Spectre)が炉心溶融(Meltdown)ってどんな状態よIntelさん。
新年あけました。おめでとうございます。

そして新年早々、大きな爆弾投下されててんやわんやです。
ちょっと冗談交じりに書きましたが、件の通り、Intel製CPUの脆弱性「Spectre」と「Meltdown」です。

実際には11月末頃のIntel Management Engine(ME)、Server Platform Services(SPS)、Trusted Execution Engine(TXE)の脆弱性から始まってSpectre(CVE-2017-5753、CVE-2017-5715)、Meltdown(CVE-2017-5754)ともうIntel製品の信頼性が崩れる一方。
Googleとかはもっと前から掴んでいたみたいですけどね。
IT業界は多方面で対応に追われる状況になっていますね・・・

影響を受けるCPUリストはIntelが公開しています。
最新Core iのCoffee Lakeやらサーバ向けXeonやら多岐に渡って全滅しているのでどうにもならん状況ですが。
Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method - Intel Security Center




詳しい内容はこの辺りを読めば詳しいです。

CPUの脆弱性 MeltdownとSpectreについてまとめてみた - piyolog
Meltdown and Spectre(内容は同じでドメイン違いサイト)
 ※meltdownattack.comとspectreattack.comのドメインを取得して公開されているよう。

とりあえず個人的にも情報収集した結果、Meltdownの方はVMwareでの仮想環境には影響なさそうなのが救いでした。
Workstation系を含めてVMware製品には影響なし、完全仮想化のゲストOSにも影響なしとなっています。
Spectreの方はすでにパッチリリース済みです。(CVE-2017-5715のみと記載されているのが気になるところですが。)
また、CitrixのXenApp/XenDesktopでの仮想アプリケーション、仮想デスクトップでもSpectre、Meltdown両方影響はないとの事。

続いて、Microsoft、Apple、RedHatなどの各種OSベンダーはパッチを順次リリースしていっています。
CentOS 7でもFirmware系パッケージやkernel、microcode_ctlのリリースを確認しています。
また、Spectreに関してはIntelだけでなくAMD、ARMも影響が確認されているからか、Raspberry Pi用CentOS 7でもfirmwareとkernelがリリースされています。
その他、MozillaがFirefoxのアップデートリリース済み、GoogleもChromeのリリース予定と主要ブラウザでも対策は取る方向に。
困るのは基本的に通信キャリアや端末のメーカー判断となってしまうAndroidでしょうかね。

今回の件は脆弱性のないCPUに交換するしか根本対策は存在しないですが、現状そんなCPUが存在しない事もあってパッチやファームウェアといったソフトウェアで対策を取るしかない状況ですが、パフォーマンスが最大30%程度低下する可能性がある事も示唆されていたりと踏んだり蹴ったりです。(そこまで気にするレベルではなさそうですが。)

更にセキュリティ製品との相性でブルースクリーン(BSOD)が出たりする場合もあると、そこでMicrosoft側はパッチをリリースしたにも関わらず特定のレジストリエントリがないとWindows Updateで降ってこないように対策を講じたよう。
ただ、結局これはセキュリティ製品ベンダーの対応次第や、ある程度の知識を持った人がレジストリエントリを作成する or Windows Update Catalogから個別に落としてきて当てる事ができないと放置状態になりかねない状況を作ったとも言えるので脆弱な状態はかなり残る気がします。

大手OSやソフトウェア、セキュリティ製品ベンダー各社は今回はさすがにある程度対応も早く情報が出揃ってきているのが救いですが、結局のところ実運用している機器にまで落とし込むところはかなりのパワーがかかる気がするので暫く尾を引きそうで怖いです。


Secret

TrackBackURL
→https://000dandelion000.blog.fc2.com/tb.php/267-f1a45d4a