1: 名無し
主要メーカーが提供するCPUに脆弱性が見つかったことを受けて、OSやアプリケーションソフトウエアのベンダーが続々と更新版の提供を始めている。米アップルは米国時間の2018年1月4日、iPhoneやMacなどのOSの最新版では脆弱性に対策済みとする声明を発表した。
http://itpro.nikkeibp.co.jp/atcl/news/17/010502927/topm.jpg

 CPUが抱える3種の脆弱性は、1月3日に明らかになった。プログラムの分岐を先読みして実行する機能「投機的実行」を悪用する「Spectre」の2種と、プログラムの命令順序を問わずに準備できた命令から実行する機能「アウトオブオーダー(OoO)実行」を悪用する「Meltdown」である。これらの脆弱性を突いた攻撃によってメモリー内のデータを奪われる可能性がある。

 アップルは同社製品について、iOS 11.2、macOS 10.13.2、tvOS 11.2でMeltdownに対策済みと発表した。Apple Watchで動作するwatchOSについては対策不要という。
 WebブラウザーのSafariについては、Spectre対策としてアプリケーションでの対応が必要になり、数日中に更新する計画だ。対策を施したSafariでベンチマークテストを実施したところ、SpeedometerとARES-6で性能低下は起きず、JetStreamで2.5%未満の性能低下が起きる状況という。
About speculative execution vulnerabilities in ARM-based and Intel CPUs – Apple Support (英文)
https://support.apple.com/en-us/HT208394

 WebブラウザーのFirefoxについては、最新版(バージョン57)で今回見つかった脆弱性に対応したことを、米モジラ・ファウンデーションが発表

Security Advisories for Firefox — Mozilla (英文)
https://www.mozilla.org/en-US/security/known-vulnerabilities/firefox/#firefox57.0.4
米マイクロソフトはパソコン向けのWindowsやサーバー向けのWindows Server、WebブラウザーのInternet Explorer、データベース管理ソフトのSQL Serverなどのセキュリティ更新プログラムの配布を始めたと1月3日に発表している。
January 3, 2018—KB4056892 (OS Build 16299.192) (英文)
https://support.microsoft.com/ja-jp/help/4056892/windows-10-update-kb4056892

 Spectreの2種の脆弱性は米インテルと米アドバンスト・マイクロ・デバイス(AMD)、英アーム・ホールディングスの3社のCPUが抱えるため、パソコンやサーバー、スマートフォンなど幅広い機器に影響する。Meltdownの脆弱性を突く攻撃はインテルのCPUで動作を確認済みであり、主にパソコンやサーバーで対策が必要になる。

 またセキュリティ会社の米サイランスは1月4日、同社のブログで「脆弱性を突くマルウエアは現時点では存在しない」と表明した。

http://itpro.nikkeibp.co.jp/atcl/news/17/010502927/

35: 名無し
>>1
https://gigazine.net/news/20180104-meltdown-spectre/
IntelCPU固有の問題であるメルトダウンは、OSパッチで対応可能だがパッチを適応した場合、IntelCPUのパフォーマンスは20%-30%低下する。

AMDに強い追い風

39: 名無し
>>38
AMDはほとんど影響ないよ
アーキテクチャの違い

41: 名無し
>>39
> Meltdown攻撃は今のところIntelだけが攻撃成立が確認されているが、AMDやARMではまだ検証が完全に済んでいないだけ。理論上はAMD、ARMでも成立する

> AMD自身は「問題ないと信じている」という発表しかできていない

> Spectre攻撃はAMDでもARMでも効くので、AMD、ARM搭載端末も修正が必要

2: 名無し
火消しに躍起だな。

3: 名無し
性能を上げたかったら新しいハードを買ってください

4: 名無し
今週OSのパッチ当て、来週Intelのマイクロコードの変更かな。

30: 名無し
>>4
マイクロで対処できないから大騒ぎになってるんだが

5: 名無し
今日 今朝から3件もエロ動画見ようと
  クリックしたらウインドウズデフェンダーが破損しましたとかの
     表示が出たんで 強制終了したわ・・・

6: 名無し
チョット待ってほしい
CPUってかなりハード側の話なのにどうしてそれが脆弱性になるわけ?
ソフト的にCPUを焼き切るとかできるってこと?
難してわからないw

7: 名無し
>>6
一次メモリを覗き見できるから

8: 名無し
>>7
むっちゃあかんやつやん

10: 名無し
俺のgoogleさんはアンドロイドの対策してくれてるんだよな?

11: 名無し
>>10
そりゃあなた、インテルを必死に叩いてる連中の論調に従えば

「ARMか、ARMチップを作ってるベンダーかが、そのAndroidスマホをピカピカの新品最新にしてくれる」

以外にないでしょうよ
なにせSpectre攻撃を受けるチップを設計したのはARM、製造出荷したのはチップ製造ベンダーなんだから、、、

ってくらいの暴論なんだよねぇ、アンチIntelの主張って

12: 名無し
うちの3750kも5年経ったしなあ
バグ消しcpuが出たら買いなおすか

13: 名無し
ブラウザで対応するって何を対応するの?
CPUの話なんだから、修正するにしてもOS側の問題じゃないのか?

後、OS側で対応してそれは根本対策になるのか?
例えば、マルウェアがルート権限で実行されて
脆弱性のあるパッチが当てられて
CPUの内蔵メモリを見られるように変更される可能性はないのか?

仮想マシンをホストしている物理サーバーのCPU内蔵メモリを
覗き見されてしまうのではないのか?

14: 名無し
なあに
ネットに接続しなければ問題ないわい

15: 名無し
パソコンはまだいいとして、PS4とかTVとかに乗っかってるCPUはどうしたらいいんだ?

16: 名無し
悪意の第三者が敢えて脆弱性のある仮想マシンをクラウドサービス上で起動して
共有サーバー上で起動している仮想マシンの情報を盗み見る可能性もあるのでは?

17: 名無し
>>16
ホスト側が対応してればその問題は起きない

18: 名無し
Google、CPUの投機実行機能に脆弱性発見。業界をあげて対策へ
~Intel、AMD、Armなど多数のCPUが対象も、コンシューマでは影響は軽微
https://pc.watch.impress.co.jp/docs/news/1099687.html

・Intel:OSベンダーやシステム製造者がもうすぐ対策を公開
・AMD:知らないURLをクリックしたりせず、定期的なソフトウェアアップデートを受け入れるよう呼びかけ
・Arm:ファームウェアを提供し問題を修正するとともに、Linux向けカーネルパッチを提供
・NVIDIA:GPUドライバの更新でCPUセキュリティの問題を免疫、ARM SoCについては分析中
・Microsoft:2018年1月のセキュリティアップデートで対策、性能に影響するもコンシューマでは限定的
・Microsoft Azure:対策を完了し、VMを再起動することで適用
・Google:Androidは最新のセキュリティアップデートで対応。Google Apps/G Suiteは顧客が対応する必要なし、ChromeやChrome OSは一部ユーザーで操作が必要
・Apple:すべてのiOSおよびMacが影響するが、iOS 11.2、macOS 10.13.2、tvOS 11.2ではMeltdownに対策済み。Apple Watchは影響を受けず
・Mozilla:Firefox 57.0.4で対策
・Synology:問題を認識、1月4日時点では緩和策なし
・Red Hat:Linuxカーネルのアップデートで対応。IBM System Z、POWER8プロセッサ(ビッグエンディアンおよびリトルエンディアン)、POWER9プロセッサ(リトルエンディアン)でも同様の問題が発生
・SUSE:Linuxコミュニティと協力し、Linuxカーネルパッチをリリースへ
・Xen:Spectreは緩和なし、MeltdownはゲストをHVMまたはPVHモードで実行することで緩和可能

19: 名無し
古い泥とかヤバそうだな
ま、元からヤバいけど

20: 名無し
>>19
スマホで比較するなら細かい実装までクローンのiOSのほうが極端に危険

24: 名無し
>>19
そゆのつかってる層は買い替えるカネもないだろーしな

21: 名無し
この間VLC終了させてもプロセスがたくさんできてて、しかもCPU食いまくってて冷却ファンがガンガンなってたけど、これなのかな。
あんなのはじめて。

22: 名無し
AMD関係ないとか言ってたくせにさらっとAMDも混ざってるやん

23: 名無し
Windowsでこの問題修正後のベンチマーク調べたら項目によっては数割性能落ちるらしいな

世界的に各国での色んな作業の生産性が落ちるんじゃないか、結構マジで?

28: 名無し
>>23
一般人は使わない特定要素に無理やり最大負荷をかけ続けた場合限定だからな
そんなもん鵜呑みにしてるのはアンチだけ

25: 名無し
スマホで情報流出の恐れ=IT業界、対策急ぐ
1/5(金) 11:19配信

 【シリコンバレー時事】
 スマートフォンやパソコン(PC)などに搭載されている半導体の安全性をめぐる懸念が広がり、IT業界が対応に追われている。
 ハッカーからの攻撃により情報機器の内部情報が流出する恐れがあると判明したため。
幅広い機器に影響が及ぶ可能性もあり、各社はセキュリティー対策を急いでいる。
 米グーグルによると、コンピューターの頭脳に当たるCPU(中央演算処理装置)の処理を高速化するための仕組みで、外部からの攻撃に対する脆弱(ぜいじゃく)性が見つかった。
米インテルやアドバンスト・マイクロ・デバイシズ(AMD)、ソフトバンクグループ傘下の英ARM(アーム)ホールディングスの半導体が影響を受ける恐れがあるという。
 最も大きな影響を受けるとされるインテルは4日、来週末までに過去5年間に販売した製品の90%以上で対策を講じると発表。
利用者には、PCなどのソフトを最新の状態に保つよう呼び掛けている。
 米アップルは同日、スマホ「iPhone(アイフォーン)」やPC「Mac(マック)」などへの潜在的な影響を認め、基本ソフト(OS)の更新作業を進めていることを明らかにした。
グーグル、マイクロソフトも対策に動いており、これまでのところ被害が発生したとの情報はない。 

26: 名無し
俺のFirefox 56なんだよ
もうアドオン捨てて移るしかないのか

27: 名無し
intel MEの件が上手く掻き消されたな

29: 名無し
なんか話が広がったな
バリアント3aでARMもmeltdown影響ありになったってことか

ttp://monoist.atmarkit.co.jp/mn/spv/1801/05/news062.html

 アームは、バリアント1とバリアント2については「Cortex-R7」「Cortex-R8」「Cortex-A8」「Cortex-A9」「Cortex-A15」「Cortex-A17」「Cortex-A57」「Cortex-A72」「Cortex-A73」「Cortex-A75」が対象になると報告している。
また、バリアント3でも「Cortex-A75」が対象になるという。これらの他、アームが確認したバリアント3の亜種「バリアント3a」が存在し、これについては「Cortex-A15」「Cortex-A57」「Cortex-A72」が対象になるとしている

31: 名無し
なぜかAtomは無関係

32: 名無し
アンチインテルがmeltdown問題で必死にインテルを叩いていたら、実はARMのほうがmeltdownの影響受けてて死亡でしたというオチ

33: 名無し
firefox暫定対処しかしてないんやな…

37: 名無し
>>33
そもそも個々のアプリが対応するもんじゃないし

34: 名無し
Appleのホームページに、iOSでもMeltdownの影響があったのでiOS11.2で対応したという明確な記載が来てるな

次世代ARMコアのA75もMeltdownの影響ありと確定してるしこりゃAppleがARMやめてく流れになるかもな

ttps://support.apple.com/en-us/HT208394

> Meltdown is a name given to an exploitation technique
> known as CVE-2017-5754 or “rogue data cache load.”
> The Meltdown technique can enable a user process to read kernel memory.
> Our analysis suggests that it has the most potential to be exploited.
> Apple released mitigations for Meltdown
> in iOS 11.2, macOS 10.13.2, and tvOS 11.2.

36: 名無し
今んとこウインドウズのアップデート来てないな

40: 名無し
OSは当然として、アプリケーション全て対策しないといけないってこと?

42: 名無し
>>40
本来はプロセッサで対応すべき
ただマイクロでは対応できないためプロセッサの交換になる
さすがにこれは現実的ではないのでまずはOS側で対応を実施しようとしてる
JavaScriptでも読み取れるとのことなので実用上危険性が最も高いのはインターネットブラウザなのでFirefoxが緊急に個別対応したってこと