Intel、AMD、ARMなど各社のプロセッサ、また複数のオペレーティングシステムで影響のある重大な脆弱性「Meltdows(CVE-2017-5754)」「Spectre(CVE-2017-5753、CVE-2017-5715)」が報告されています。
この2つの脆弱性、もともとは昨年GoogleのPtroject Zeroが発見したとのこと。発見後に直ちに各社に報告し、Intelらは来週にも修正版のリリースを発表予定だったようです。
脆弱性の内容としては、いずれも攻撃者が保護されたメモリ内容を読み取れるというもの。これにより、個人的な写真やメール、パスワードなど含む機密情報が漏洩する可能性があるとしています。
幸い、MeltdownはOSアップデートにより簡単に修正ができ、Windows,Linux、MacOSでは修正パッチをリリース済み(もしくはリリース予定)。Spectreのほうは、最新のプロセッサが持っている高速化のため機能「speculative processing(投機的処理)」を利用しており、悪意のあるアプリケーションが、他のアプリケーションが持っているデータにアクセスできるようになるとのこと。Meltdownよりも利用するのが難しい反面、根本的な修正も難しいようですが、こちらもパッチにより防止することはできるようです。
なお、最初の発見者らしく、Googleでは影響のあるサービスなどを公開済み。一言でいうと、いずれも最新版を利用してれば影響はありません。
Androidについては、1月5日のセキュリティパッチで対策しており、少なくともNexusやPixel(Android Oneも?)は問題なさそうです。
他の端末向けにどれくらいの速さでこの修正がリリースされるかで、各メーカーのセキュリティに対する温度感がわかるかもしれません。
(via Android Police)
(source meltdownattack.com)
