どもどもにゃんたくです(「・ω・)「ガオー
新年早々から表題の脆弱性対応に追われた方々は多いのではないでしょうか。
多数のサイト、Twitter等で注意喚起や情報が発信されておりました。
現状までに収集できた注意喚起情報等をまとめてみましたので、参考にしてみて下さい。
※あくまでも僕視点ですのでご了承ください
※ 本部ブログ内容を更新、修正した場合は<更新履歴>に記載しております
本脆弱性について
【概要】
投機的実行機能を持つ CPU に対してサイドチャネル攻撃を行われてしまう脆弱性
脆弱性名:「Meltdown」「Spectre」
※サイドチャネル攻撃とは↓
サイドチャネル攻撃(side-channel attack) | IoT
【CVE番号】
CVE-2017-5715(Spectre)
CVE-2017-5753(Spectre)
CVE-2017-5754(Meltdown)
【対象】
投機的実行機能を持つ CPU
【対策】
・OS をアップデートする
※各ベンダーが提供する情報を参照して下さい
※Microsoftの定例外パッチがリリースされておりますが、適用した場合、ウイルス対策ソフトとの間に互換性の問題が発生し、ブルースクリーン状態に陥る恐れがあります
※Microsoftの定例外パッチと各ウイルス対策ソフトの対応状況は、下記を参考にして下さい
▼各主要OSのパッチ、アップデート情報
・ADV180002 | Guidance to mitigate speculative execution side-channel vulnerabilities
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/adv180002
・Windows Server を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス
https://support.microsoft.com/ja-jp/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution
・投機的実行のサイドチャネルの脆弱性から保護するための IT プロフェッショナル向け Windows クライアント ガイダンス
https://support.microsoft.com/ja-jp/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
・ARM ベースおよび Intel CPU の投機的実行の脆弱性について
https://support.apple.com/ja-jp/HT208394
・Appleのセキュリティアップデート情報
macOS High Sierra 10.13.2補足アップデート
→http://support.apple.com/ja-jp/HT208397
Safari 11.0.2
→http://support.apple.com/ja-jp/HT208403
iOS 11.2.2
→http://support.apple.com/ja-jp/HT208401
※各ディストリビューションによって対策は異なります
※本脆弱性に対応済みか調べる方法が公開されております
→https://news.mynavi.jp/article/20180109-linux_vulnerability/
(元記事:https://www.cyberciti.biz/faq/check-linux-server-for-spectre-meltdown-vulnerability/)
日本の記事まとめ
JVN
JVNVU#93823979: CPU に対するサイドチャネル攻撃
JVNVU#94630516: 複数の Apple 製品における脆弱性に対するアップデート
ITpro
ニュース解説 - 最大2割の性能低下も、大手ITがCPU脆弱性対策のテスト結果を公表:ITpro
ニュース - 「再起動の問題に対処する」、インテルが顧客からの指摘受け:ITpro
ニュース - ヴイエムウェアがCPU脆弱性対策を追加、仮想化ソフトの対策進む:ITpro
ニュース解説 - 古いCPUで顕著な性能低下も、脆弱性問題で企業は大わらわ:ITpro
ニュース - CPU脆弱性問題の影響か、佐賀県庁で一時Office365が利用できず:ITpro
ニュース - iPhoneやFirefoxでもCPU脆弱性問題、更新版の提供始まる:ITpro
ニュース - CPU脆弱性問題でAWSとAzureの対応状況が判明:ITpro
ニュース - インテル、CPUの脆弱性に「AMDやアームとともに対応」:ITpro
ニュース - グーグルがCPU脆弱性の詳細を明らかに、Intel・AMD・Armが対象:ITpro
ITmedia
Intel、脆弱性対策パッチによるリブート増加問題やパフォーマンスへの影響について説明 - ITmedia NEWS
Oracleが四半期パッチ公開、Intel CPUの脆弱性に対処 - ITmedia NEWS
IntelのPC管理機能AMTにセキュリティ問題、簡単に悪用可能 - ITmedia NEWS
Intelの一部CPU搭載マシン、脆弱性対策パッチ適用でリブート増加 - ITmedia NEWS
AMD、RyzenとEPYCのSpectre対策を今週中に提供へ GPUには影響なし - ITmedia NEWS
脆弱性対策パッチで6〜8%のパフォーマンス低下 Intelがベンチマーク公表 - ITmedia NEWS
Google、Chromebookの「Meltdown」対策リストを公開 - ITmedia NEWS
NVIDIA、CPUの脆弱性対応でドライバのアップデート公開 GPUは影響受けず - ITmedia NEWS
Windowsパッチで一部AMDマシンに不具合、Microsoftが対応説明 - ITmedia NEWS
Apple、「Spectre」の緩和策もリリース SafariとWebKitのセキュリティ対策強化 - ITmedia NEWS
Apple、プロセッサ脆弱性「Meltdown」と「Spectre」の対策について説明 - ITmedia NEWS
Intel、プロセッサ脆弱性対策で「来週末までに過去5年に製造したプロセッサの9割に更新実行」 - ITmedia NEWS
Intel、プロセッサ脆弱性はAMDやArmにもあり、対策で協力中と説明 - ITmedia NEWS
プロセッサ脆弱性「Meltdown」と「Spectre」のまとめサイト開設 - ITmedia NEWS
@IT
プロセッサの脆弱性問題、Azureは対策済み、オンプレミスの対応策は?――Windows関連のまとめ:Microsoft Azure最新機能フォローアップ(46) - @IT
ZDNet
MS、CPU脆弱性パッチによるAMDシステムの起動エラーに対応--修正版を公開 - ZDNet Japan
インテルのCPU脆弱性対策パッチによる再起動の問題、新世代チップでも - ZDNet Japan
オラクルが定例パッチ公開--「Meltdown/Spectre」対策も - ZDNet Japan
「Spectre」のような脆弱性は「おそらくほかにも」--ArmのCEOが警告 - ZDNet Japan
グーグル、「Spectre」フィックスによる性能への影響はほぼ無いと強調 - ZDNet Japan
インテル、「Meltdown/Spectre」に対処するファームウェアのバグを認める - ZDNet Japan
CPU脆弱性に慌てるべからず--Windows管理者が持つべき4つの心構え - ZDNet Japan
CPU脆弱性対策パッチによる性能への影響、インテルがベンチマーク公開 - ZDNet Japan
AMD製チップにも「Spectre」脆弱性の影響--CTOが認める - ZDNet Japan
CPUの脆弱性騒動、これまでの動きから見えたこと - ZDNet Japan
CPUの脆弱性パッチがLinuxマシンの性能に与える影響--レッドハットが検証 - ZDNet Japan
IBM、脆弱性「Meltdown/Spectre」への対策を「POWER」CPU向けに公開 - ZDNet Japan
NVIDIA、GPUドライバを更新--「Spectre」問題に対処 - ZDNet Japan
MS、CPUの脆弱性対策パッチによる性能への影響示す--古いWindowsでより顕著 - ZDNet Japan
マイクロソフト、一部AMDチップ搭載PCへのCPU脆弱性パッチを一時停止 - ZDNet Japan
CPU脆弱性への修正含む「Windows」アップデートでAMDユーザーに不具合 - ZDNet Japan
「iOS11.2.2」リリース、プロセッサの脆弱性「Spectre」に対処 - ZDNet Japan
CPU脆弱性のパッチ提供が本格化、Windowsはアンチウイルスの確認も - ZDNet Japan
CPUの脆弱性、Linux関係者らの見方や対応 - ZDNet Japan
プロセッサの脆弱性は全てのMacとiOS機器に影響--アップル、対策を公表 - ZDNet Japan
インテル、CPUに影響する脆弱性「Meltdown」「Spectre」対策でパッチを公開 - ZDNet Japan
インテル、ARM、AMDなど多数のCPUに脆弱性--各社が対応急ぐ - ZDNet Japan
マイクロソフト、CPUの脆弱性問題で緩和策を緊急公開 - ZDNet Japan
Gigazine
IntelがCPUの脆弱性「メルトダウン」「スペクター」対策後のパフォーマンス低下の結果一覧を公開 - GIGAZINE
CPU脆弱性対策パッチでAMDマシンが起動しなくなる不具合を受けてMicrosoftが更新プログラムの配布を停止 - GIGAZINE
プロセッサの脆弱性問題「メルトダウン」「スペクター」対応パッチでAMDユーザーの一部がPCを使えなくなる恐れ - GIGAZINE
CPUの脆弱性問題の根本原因の「投機的実行」との格闘はXbox 360時代から存在する - GIGAZINE
CPUに内在する脆弱性問題「メルトダウン」「スペクター」への各社の対応まとめ - GIGAZINE
Intel製CPUに内在する脆弱性問題の根は深く「すべてのプロセッサが安全性と高速性を両立できない問題を抱える」との指摘 - GIGAZINE
Intelのプロセッサチップに根本的な設計上の欠陥が発覚、各OSにアップデートの必要性 - GIGAZINE
Security NEXT
【セキュリティ ニュース】Oracle、定例アップデートで脆弱性237件を解消 - 「Spectre」の緩和策も(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「VMware Workstation」「Fusion」に深刻な脆弱性 - 「Spectre」緩和策と同時に修正(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「ESXi」「Workstation」などにゲストOS向けの「Spectre」緩和策(1ページ目 / 全2ページ):Security NEXT
【セキュリティ ニュース】Apple、「Spectre」緩和策を追加した「macOS」や「iOS」を公開(1ページ目 / 全2ページ):Security NEXT
【セキュリティ ニュース】主要メーカー「CPU」に脆弱性、データ漏洩のおそれ - クラウド含む幅広い環境へ影響(1ページ目 / 全3ページ):Security NEXT
【セキュリティ ニュース】MS、CPU脆弱性緩和策で定例外パッチ - セキュリティ対策ソフトとの互換性問題も(1ページ目 / 全3ページ):Security NEXT
【セキュリティ ニュース】VMware、「Spectre」対策で「VMware ESXi」などにパッチ提供(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】「Meltdown」「Spectre」の影響、MacやiOSデバイスにも - 一部は修正済み(1ページ目 / 全1ページ):Security NEXT
【セキュリティ ニュース】脆弱性「Spectre」の影響を緩和した「Firefox 57.0.4」がリリース(1ページ目 / 全1ページ):Security NEXT
マイナビニュース
脆弱性「Spectre」「Meltdown」のパッチを偽装したマルウェアに注意 | マイナビニュース
AMD、CPUの脆弱性「Spectre」の影響受けると発表 | マイナビニュース
LinuxでCPUのマイクロコードをアップデートする方法 | マイナビニュース
NVIDIA、同社製品が「Spectre」の影響を受けないと修正発表 | マイナビニュース
Windowsの「Spectre」対策、古いCPUほど遅くなる - Microsoft | マイナビニュース
NVIDIA、 脆弱性「Spectre」に対処したGPU Display Driverを公開 | マイナビニュース
JVN、CPUに対するサイドチャネル攻撃の脆弱性関連情報 | マイナビニュース
脆弱性「Meltdown」「Spectre」からWindows/Android/iOSを守る方法 | マイナビニュース
Linuxが脆弱性「Spectre」「Meltdown」に対応済みか調べる方法 | マイナビニュース
Intelプロセッサの脆弱性対応でWindowsとLinux性能低下の見通し | マイナビニュース
CPUの脆弱性「Meltdown」「Spectre」、IoTデバイスでは特に注意が必要 | マイナビニュース
Microsoft
Microsoftの定例外パッチ情報はこちら↓
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
CPU の脆弱性から Azure のお客様を保護するために – Japan Azure Technical Support Engineers' Blog
Windows Server を投機的実行のサイドチャネルの脆弱性から保護するためのガイダンス↓
https://support.microsoft.com/ja-jp/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution
投機実行サイド チャネル上の脆弱性から保護するための IT プロフェッショナル向け Windows クライアントのガイダンス↓
Trend Micro
投機的実行に関する脆弱性「Meltdown」と「Spectre」について解説 | トレンドマイクロ セキュリティブログ
CPU の脆弱性「Meltdown」と「Spectre」への対応 | トレンドマイクロ セキュリティブログ
McAfee
「Meltdown」と「Spectre」にまつわる噂を読み解く
Kaspersky
MeltdownとSpectre:Intel搭載デバイスに見つかった深刻な2つの脆弱性 – カスペルスキー公式ブログ
Symantec
Meltdown と Spectre: チップの脆弱性が原因でメモリからデータが漏えいする恐れ | Symantec Connect
piyolog
CPUの脆弱性 MeltdownとSpectreについてまとめてみた - piyolog
サイオステクノロジー
日立 ソリューションズ
複数のCPUに、サイドチャネル攻撃を許す脆弱性(MeltdownとSpectre)が確認される | セキュリティニュース | 日立ソリューションズの情報セキュリティブログ
その他
AWSもSpectreとMeltdownの対策完了を報告。対策後、Amazon EC2で性能の低下は見られないと - Publickey
GoogleはSpectreとMeltdownの対策を昨年6月に開始し12月には完了していた。性能低下の報告はなし - Publickey
Ashampoo、CPU脆弱性“Spectre”“Meltdown”のGUIチェックツールを無償公開 - 窓の杜
CPUの脆弱性[Spectre], [Meltdown] は具体的にどのような仕組みで攻撃する?影響範囲は? | SEの道標
Azure、AWS、GCP、Alibaba CloudのCPU脆弱性対応のまとめ | 技術的な何か。
Apple、チップのセキュリティ欠陥「Spectre」の修正パッチをリリース - iPhone Mania
macOS 10.13.2 High Sierraでも実行可能なCPU脆弱性「Spectre」のPoCが公開される。 | AAPL Ch.
CPU脆弱性Meltdownのパッチ適用でベンチマークスコアが25%低下した - Qiita
もともとは「お化け」とか「妖怪」といった意味だという。英語の「スペクター」という単語だ。カール・マルクスとフリードリヒ・ :日本経済新聞
Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ - 4Gamer.net
CPU脆弱性問題でインテルに複数の集団訴訟。公表の遅れや修正による性能低下の損害を主張 - Engadget 日本版
Meltdown, Spectre で学ぶ高性能コンピュータアーキテクチャ - FPGA開発日記
インテルのチップに潜む「欠陥」が、コンピューターの基本的なセキュリティを脅威にさらす|WIRED.jp
Google、CPU脆弱性“Meltdown”“Spectre”の緩和策を「Google Chrome 64」へ導入 - 窓の杜
Apple曰く、メルトダウンとスペクター問題は「全MacシステムとiOSデバイス」に影響を与えるが長くは続かない | TechCrunch Japan
プロセッサの脆弱性は全てのMacとiOS機器に影響--アップル、対策を公表 - CNET Japan
プロセッサの脆弱性「Meltdown」と「Spectre」についてまとめてみた | Developers.IO
インテル:多くの半導体にハッカー攻撃への脆弱性-「バグ」は否定 - Bloomberg
GoogleのProject ZeroチームはCPUの重要な欠陥を昨年発見していた | TechCrunch Japan
インテル、ARM、AMDなど多数のCPUに脆弱性--各社が対応急ぐ - CNET Japan
マイクロソフト、CPUの脆弱性対策でAzureの計画メンテを前倒し、全リージョンの仮想マシンを今朝から強制再起動。Googleは対策済みと発表 - Publickey
Azure、AWS、GCPのCPU脆弱性対応のまとめ | 技術的な何か。
【CPU脆弱性対応情報・追加】(2/2)
— 内閣サイバー(注意・警戒情報) (@nisc_forecast) 2018年1月5日
なお、依然脆弱性が残されており、順次緩和策で対応するとのことですので、アップデートの通知が来たら、速やかに更新を行って下さい。
詳細→ https://t.co/Z4GLYvcTbl#Meldown #Spectre
【CPU脆弱性情報】(3/3)
— 内閣サイバー(注意・警戒情報) (@nisc_forecast) 2018年1月4日
Google Chrome ブラウザに関しては、一部対処の方法が公開中。該当ブラウザで
chrome://flags/#enable-site-per-process
を入力。「Strict Site Isolation」を「有効」に。
参考:Google ヘルプ→https://t.co/AsaR1jmYcp#Meltdown #Spectre [終]
MSの定例外パッチへの各アンチウィルスの対応状況は、以下のGoogle Docsにまとまっている。https://t.co/xdLuNRz4wB
— 北河拓士 KITAGAWA,Takuji (@kitagawa_takuji) 2018年1月4日
海外の記事まとめ
Vulnerability Note VU#584653 - CPU hardware vulnerable to side-channel attacks
https://newsroom.intel.com/news/intel-responds-to-security-research-findings/
Securing Azure customers from CPU vulnerability | Blog | Microsoft Azure
Processor Speculative Execution Research Disclosure
Google Online Security Blog: Today's CPU vulnerability: what you need to know
Project Zero: Reading privileged memory with a side-channel
以上です。
<更新履歴>
2018/01/05 AM 公開
2018/01/06 PM 一部内容更新(ITpro,ITmedia,ZDNet,Trend Micro,piyolog,Gigazine,その他)
2018/01/08 PM 一部内容更新(Security NEXT,サイオステクノロジー,その他)
2018/01/09 AM 一部内容更新(Appleのセキュリティアップデート情報,その他)
2018/01/10 AM 一部内容更新(【▼各主要OSのパッチ、アップデート情報】の項目を追加、JVN,ITpro,ITmedia,ZDNet,Trend Micro,Gigazine,マイナビニュース,@IT,Security NEXT,その他)
2018/01/11 AM 項目追加(McAfee,Kaspersky,Symantec)及び一部内容更新(ITmedia,ZDNet,Gigazine)
2018/01/13 AM 一部内容更新(Security NEXT,ITpro,ITmedia,ZDNet,Gigazine,マイナビニュース,日立ソリューションズ,その他)
2018/01/15 AM 一部内容更新(ZDNet,その他)
