Intel等のCPUにおける欠陥(Meltdown and Spectre)について、いろいろとメモ

PCとか
ColiN00B / Pixabay

 正月の初めから、「IntelのCPUに脆弱性」という、なんともいえないニュースが飛び込んできました。
 最初は情報が錯綜していましたが、どうやら1月4日の昼ごろからか、その脆弱性に関するページもでき、名づけられました。
 これについて、いろいろ気になりましたので、メモしておきます。

広告

記事等のメモ

日本における発端についてなど

 GIGAZINE 
Intelのプロセッサチップに根本的な設計上の欠陥が発覚、各OSにアップデートの必要性
https://gigazine.net/news/20180103-intel-processor-design-flaw/
by Sh4rp_iここ10年間に製造されたIntelのプロセッサに、設計上の欠陥が見つかりました。最悪の場合、パスワードやログインキー、キャッシュファイルなどが格納されたカーネルメモリーの内容

 (おそらく)日本における発端記事。The Registerによる記事をもとにしている。ただこの段階では元の記事もいろいろと不確かであった。なおそれでも割と適当な言いかえをしている、といった旨のツイートを目撃した覚えもある。
 これを追いかけるようにしていろいろと記事が出た。私には元論文などを読む時間はなく、Twitterで検索したが、本当に重大かそうでないか、再現されるかそうでないか、といった根本的な情報は分からず、大きなアナウンスを待つ流れに。
 この時点でIntelからの反応はまだ。

Intel等が反応を始める

 TechCrunch Japan 
「CPUに深刻なバグ」報道にIntel反論――OSアーキテクチャーに内在する欠陥で他社製チップにも同様の影響 | TechCrunch Japan
http://jp.techcrunch.com/2018/01/04/2018-01-03-intel-calls-reports-of-major-vulnerability-incorrect/
今朝(米国時間1/3)、Intel製プロセッサーに 深刻なバグが発見されたとするとする報道があった。この欠陥を回避しようとすればチップの性能を大きく低下させる可能性があり、Intelの信頼性とその株価は共に大きな打撃を受けた。これに対してIntelは公式声明を発表し...

 Intelが反応を開始。複数企業で協力して問題の解決にあたる、らしい。Intel製プロセッサーのみではなかったらしいが、しかし他のものでも起こるというえぐい事態が判明。

 関連:

 ITmedia NEWS 
Intel、プロセッサ脆弱性はAMDやARMにもあり、対策で協力中と説明
http://www.itmedia.co.jp/news/articles/1801/04/news009.html
Intelが、複数のセキュリティ研究者が発表したプロセッサの重大な脆弱性は同社製品固有のものではなく、「AMDやARMなどと対策について協力している」と説明した。

脆弱性の名前は「Meltdown and Spectre」に

 脆弱性についていろいろまとめたサイトができました。

 spectreattack.com 
Meltdown and Spectre
https://spectreattack.com

 脆弱性の名前はMeltdown and Spectreになったみたいです。

 関連:

 ITmedia NEWS 
プロセッサ脆弱性「Meltdown」と「Spectre」のまとめサイト開設
http://www.itmedia.co.jp/news/articles/1801/04/news010.html
Intelが「他社のプロセッサも影響する」と発表したプロセッサの重大な脆弱性「Meltdown」と「Spectre」についての情報がまとまったWebサイトを、これらの脆弱性を発見したグラーツ工科大学が開設した。

 名前から分かるとおり、

 GIGAZINE 
Intel製CPUに内在する脆弱性問題の根は深く「すべてのプロセッサが安全性と高速性を両立できない問題を抱える」との指摘
https://gigazine.net/news/20180104-meltdown-spectre/
Intelプロセッサの設計上の欠陥によって機密情報が盗み出される可能性があり、対策ソフトウェアでのアップデートが必要でパフォーマンスのダウンが避けられないと報じられて大きな問題となっています。In

 によると、脆弱性は2種類。MeltdownはIntel社製の投機的実行?を搭載しているプロセッサーに、spectreはIntelだけではなくAMDやARMのプロセッサーにも影響がある模様です。そしてSpectreはなおしにくい、のかしら…?うーん。とりあえずアプリケーション間のりこえるとかいうこわい話なのは分かった気がします…。

割と一般向けの記事

 Developers.IO | クラスメソッド発のAWS/iOS/Andro... 
プロセッサの脆弱性「Meltdown」と「Spectre」についてまとめてみた | Developers.IO
https://dev.classmethod.jp/security/processor-vulnerability-meltdown-spectre/
森永です。 新年早々大変な脆弱性が出てきてセキュリティクラスタがざわついてます。 内容によって2つの脆弱性に分かれていて、「Meltdown」と「Spectre」と名前がつけられています。 現在使用されているほぼ全てのC

 …セキュリティパッチちょうがんばれとしかいいようがない…。

4gamer.netでの解説記事

 4Gamer.net 
Googleが発見した「CPUの脆弱性」とは何なのか。ゲーマーに捧ぐ「正しく恐れる」その方法まとめ
http://www.4gamer.net/games/999/G999902/20180105085/
 2017年末からにわかに騒がれ出した「CPUの脆弱性」問題だが,これは果たしてゲーマーにも関係のある話で,何か対策が必要だったりするのだろうか。概要をまとめつつ,「何をすべきか」を紹介したい。

とてもわかりやすいです。

Chrome系ブラウザについて

 support.google.com
Product Status - Google Help
https://support.google.com/faqs/answer/7622138#chrome
Google’s Mitigations Against CPU Speculative Execution Attack MethodsOverview This document lists affected Google products and their current status of mitigation against CPU speculative execution a

flagsからsite isolationをONにする必要性あり。flagsのアドレスなど、詳しくは上記リンクに。

セキュリティパッチの配布開始

 CNET Japan 
インテル、CPUに影響する脆弱性「Meltdown」「Spectre」対策でパッチを公開
https://japan.cnet.com/article/35112769/
インテルは、同社製のプロセッサに影響する脆弱性「Meltdown」と「Spectre」に対応したパッチを公開した。来週末までに、過去5年分のプロセッサの90%以上にアップデートが配布される見込み。

Windowsも開始されました。ただし、まだ少しウイルス対策ソフトとのバッティングがある模様。最悪ブルスクとのこと。

 窓の杜 
“投機的実行”機能を備えるCPUに脆弱性、Windows向けのセキュリティパッチが緊急公開/ウイルス対策ソフトと互換性には注意
https://forest.watch.impress.co.jp/docs/news/1099690.html
 米Microsoftは3日(現地時間)、Windows向けのセキュリティ更新プログラムを公開した。本更新プログラムはGoogleの“Project Zero”が公表したCPUの脆弱性への対処を含んだものだが、扱いには注意が必要だ。

全体的な対応はこちらのリンクが頼りになるかと。

 ぼくんちのTV 別館 
2018年1月のWindows Updateメモ (1/5追記2)
https://freesoft.tvbok.com/cat97/2018/wu_memo_2018_01.html
2018年1月4日、複数のCPUに影響する脆弱性「Meltdown」と「Spectre」の問題を緩和するセキュリティ更新プログラムが緊急公開されました。

セキュリティソフト会社の対応

 ZDNet Japan 
CPU脆弱性のパッチ提供が本格化、Windowsはアンチウイルスの確認も
https://japan.zdnet.com/article/35112799/
「Meltdown」と「Spectre」の脆弱性に対処するパッチの提供が本格化し始めた。Windows環境では一部のアンチウイルスソフトに互換性の問題があり、慎重な対応が求められる。

で一気に書かれています。

トレンドマイクロでは日本語で記事が出ていました。

 blog.trendmicro.co.jp 
CPU の脆弱性「Meltdown」と「Spectre」への対応 | トレンドマイクロ セキュリティブログ
http://blog.trendmicro.co.jp/archives/16703
2018 年 1 月 3 日、「Graz University of Technology(グラーツ工科大学)」がペーパーを公開し、一般的に利用されているCPUで確認された2つの脆弱性について解説しました。これらの脆弱性は Intel、AMD および ARM 製の CPU に影響を与えます。

Apple社の対応

 ITmedia NEWS 
Apple、プロセッサ脆弱性「Meltdown」と「Spectre」の対策について説明
http://www.itmedia.co.jp/news/articles/1801/05/news035.html
Appleが、1月3日に発表されたプロセッサの脆弱性「Meltdown」と「Spectre」の対策について説明した。MeltdownについてはMac、iPhone、iPad、Apple TVでの「緩和策」をリリース済みで、Spectreについても近く緩和策をリリースする計画だ。

さくらインターネット

VPSに影響がある技術なので、さくらインターネットからも告知が出ていました。

 www.sakura.ad.jp 
【重要】MeltdownおよびSpectre(CPUの脆弱性)による弊社サービスへの影響について | さくらインターネット
https://www.sakura.ad.jp/news/sakurainfo/newsentry.php?id=1832
【重要】MeltdownおよびSpectre(CPUの脆弱性)による弊社サービスへの影響について。

日本語の少し詳しい解説記事

 FPGA開発日記 
Meltdown, Spectre で学ぶ高性能コンピュータアーキテクチャ - FPGA開発日記
http://msyksphinz.hatenablog.com/entry/2018/01/06/020000
巷ではIntel, AMD, ARMを巻き込んだCPUのバグ "Meltdown", "Spectre" が話題です。 これらの問題、内容を読み進めていくと、コンピュータアーキテクチャにおける重要な要素を多く含んでいることが分かって来ました。 つまり、このCPUのセキュリ...

Raspberry Pi

 Raspberry Pi 
Why Raspberry Pi isn't vulnerable to Spectre or Meltdown - Raspberry Pi
https://www.raspberrypi.org/blog/why-raspberry-pi-isnt-vulnerable-to-spectre-or-meltdown/
Eben gives you a crash course in how modern processors work to explain why Raspberry Pi is unaffected by the Spectre and Meltdown security vulnerabilities.

対策まとめのページ

 www.gizmodo.jp 
近代CPUの脆弱性「メルトダウン」と「スペクター」の現状・対策をできるだけ簡潔にまとめました
https://www.gizmodo.jp/2018/01/all-about-meltdown-and-spectre.html
インテル入っちゃってる?各種CPUに「メルトダウン」と「スペクター」という脆弱性(設計ミス)が見つかりました。パスワードを含め、あらゆる情報がア...

背景に様々に潜んでいる問題点を論じているWebページ

 ITmedia PC USER 
世間を騒がす「プロセッサ脆弱性」 何が本当の問題なのか (1/3)
http://www.itmedia.co.jp/pcuser/articles/1801/06/news014.html
2018年の年明け早々、新たに発見されたプロセッサの脆弱性「Meltdown」「Spectre」に関して、さまざまな情報が飛び交い、一部では誤解や混乱を招いている。この問題の概要、影響や対策についてまとめた。

対策の難しさについて

 WIRED.jp 
インテルなどのチップに潜む脆弱性は、アップデートされても解決しない|WIRED.jp
https://wired.jp/2018/01/08/processor-vulnerability-fix/
インテルをはじめとするメーカーのプロセッサーに見つかった「Meltdown」と「Spectre」という2つの脆弱性の影響が拡大している。徐々に修正アップデートが公開され始めたが、それでも現時点では問題が根本的に解決することはないのだという。

対応Windows Updateが適用済みかの確認

 情報科学屋さんを目指す人のメモ 
CPU脆弱性に対応するWindows Update(KB4056892)が適用済みか確認する方法について
http://did2memo.net/2018/01/10/windows-10-windows-update-kb4056892/
2018年1月から大きな話題となっているCPU脆弱性「Meltdown/Spectre」の影響を緩和するためのWindows Updateが提供されました。最新のWindows 10 (Fall Creators Update済み)に対応するWindows Updateは「KB4056...

 確認策が説明されています。

脆弱性チェックツール

 4Gamer.net 
「CPUの脆弱性」に手元のゲームPCは対策できているのか。Windows環境で簡単にチェックできるツールを作ってみた
http://www.4gamer.net/games/999/G999902/20180110102/
 年明けに発表され,世界規模で話題となっている「CPUの脆弱性」問題だが,各社からの情報が出揃いつつあるこのタイミングで,「手元のゲームPCが対策済みか否か」をチェックできるツールを用意してみた。Mi…

4gamerさんはさすがというべきか。

なんでやばいか

 ハードウェアの嫌な挙動だから、というのが大きな原因の一つです。ついでにカーネル関連だからというのもあるかしら…?
 ハードウェアの上にのっているソフトウェアの挙動ならある程度修正プログラムも組みようがあります。なぜならハードウェアの上にあるぶん、修正プログラムから電子的に操作しやすいからです。
 しかしハードウェアは、物理メディアです。電子的な操作を工夫することでいろいろできるでしょうから、修正プログラムでどうにかは…まあやれないことはないみたいですが、ハードウェア内ですんだはずの挙動を上のレイヤにとばすってことで…うう、難しそう。
 しくみを理解するにはカーネルとページについての復習がいりそうですが、時間がないので時間があるときに復習しておこうかな。

その他コメントなど

 とりあえず、エンドユーザ側で対応が取れる段階になるまでは待機、という印象。自分の気の向くままにこの記事にリンクは追加していこうかなあ、などと考えています。
 しっかし去年のWPA2といい…どうしてこのようなことに…。

広告

関連コンテンツと広告

コメントを残す

メールアドレスが公開されることはありません。 * が付いている欄は必須項目です

CAPTCHA