2018/01/05 on Yano's digital garage https://www.bravotouring.com/~yano/archives/2018/01/05/ Recent content in 2018/01/05 on Yano's digital garage Hugo en-us Fri, 05 Jan 2018 23:32:58 +0900 Meltdown and Spectre https://www.bravotouring.com/~yano/diary/it/20180105_meltdown.htm Fri, 05 Jan 2018 23:32:58 +0900 https://www.bravotouring.com/~yano/diary/it/20180105_meltdown.htm <table align="right" class="Panorama"> <tr> <td><img alt="Meltdown and Spectre, Vulnerabilities in modern computers leak passwords and sensitive data." src="https://www.bravotouring.com/~yano/images/2018/20180105_meltdown.png"/></td> </tr> <tr> <td class="PhotoMemo"><a href="https://meltdownattack.com/">meltdownattack.com</a>より</td> </tr> </table> <p>新年早々、<a href="https://security.googleblog.com/">Google Online Security Blog</a>で公表された<a href="https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html">CPU vulnerability</a>。</p> <p><a href="https://forest.watch.impress.co.jp/docs/news/1099690.html">窓の杜の記事</a>によると、<blockquote cite="https://forest.watch.impress.co.jp/docs/news/1099690.html">本脆弱性は“Meltdown(CVE-2017-5754)”“Spectre(CVE-2017-5753、CVE-2017-5715)”と呼ばれており、CPUの“投機的実行”機能に起因するという。“投機的実行(speculative execution)”とは、空いているリソースを活用して条件分岐の先をあらかじめ実行すること。CPUを高速化する手法の一つで、最近のCPUならばごく当たり前に実装されているものだが、サイドチャネル攻撃(物理的観察によりデータを盗み出す手法)により本来アクセスできないはずのデータを取得できてしまうという欠陥があるという。同一ホスト上の他の仮想マシンのデータへアクセスできる可能性があるため、仮想技術に依存するクラウド環境では特に深刻だ。<br/><br/>“Meltdown”の影響範囲は1995年以降のIntel製CPUとされているが、他社製CPUに影響する可能性も否定できない。また、“Spectre”はIntel/AMD/ARM製CPUで実証されており、スマートフォンを含む多くのシステムに影響が及ぶという。</blockquote>という事で波紋が拡がっているが、既に対応策が公開されており、一般ユーザー観点で大騒ぎするほどの問題では無さそうだ。</p> <p class="Reference">【参照】 <br/>●窓の杜 <a href="https://forest.watch.impress.co.jp/">https://forest.watch.impress.co.jp/</a> <br/>┗<a href="https://forest.watch.impress.co.jp/docs/news/1099690.html">“投機的実行”機能を備えるCPUに脆弱性、Windows向けのセキュリティパッチが緊急公開</a> 2017年1月5日 <br/>●PC Watch <a href="https://pc.watch.impress.co.jp/">https://pc.watch.impress.co.jp/</a> <br/>┗<a href="https://pc.watch.impress.co.jp/docs/news/1099687.html">Google、CPUの投機実行機能に脆弱性発見。業界をあげて対策へ</a> 2017年1月5日 <br/>●Google Online Security Blog <a href="https://security.googleblog.com/">https://security.googleblog.com/</a> <br/>┗<a href="https://security.googleblog.com/2018/01/todays-cpu-vulnerability-what-you-need.html">Today's CPU vulnerability: what you need to know</a> 2017年1月3日 <br/>●インテル ニュースルーム <a href="https://newsroom.intel.co.jp/">https://newsroom.intel.co.jp/</a> <br/>┗<a href="https://newsroom.intel.co.jp/news/intel-responds-to-security-research-findings/">インテル、セキュリティーに関する調査結果に対応</a> 2017年1月5日 <br/>●BUSINESS INSIDER JAPAN <a href="https://www.businessinsider.jp/">https://www.businessinsider.jp/</a> <br/>┗<a href="https://www.businessinsider.jp/post-159446">インテルが「CPUに脆弱性」報道に反論、グーグルが解説した「原因」とは</a> 2017年1月4日 <br/>●Qiita <a href="https://qiita.com/">https://qiita.com/</a> <br/>┗<a href="https://qiita.com/hiuchida/items/2248b379197a5052029e">MeltdownとSpectreの違いについて分かったこと</a> 2018年1月4日 <br/>●Meltdown and Spectre <a href="https://meltdownattack.com/">https://meltdownattack.com/</a> <br/>●Wikipedia <a href="https://ja.wikipedia.org/wiki/">https://ja.wikipedia.org/wiki/</a> <br/>┣<a href="https://ja.wikipedia.org/wiki/Meltdown">Meltdown</a> <br/>┣<a href="https://ja.wikipedia.org/wiki/Spectre">Spectre</a> <br/>┣<a href="https://ja.wikipedia.org/wiki/%E3%82%A4%E3%83%B3%E3%83%86%E3%83%AB">インテル</a> <br/>┗<a href="https://ja.wikipedia.org/wiki/Google">Google</a> </p>