Meltdown and Spectre

新年早々、Google Online Security Blogで公表されたCPU vulnerability。

窓の杜の記事によると、

本脆弱性は“Meltdown（CVE-2017-5754）”“Spectre（CVE-2017-5753、CVE-2017-5715）”と呼ばれており、CPUの“投機的実行”機能に起因するという。“投機的実行（speculative execution）”とは、空いているリソースを活用して条件分岐の先をあらかじめ実行すること。CPUを高速化する手法の一つで、最近のCPUならばごく当たり前に実装されているものだが、サイドチャネル攻撃（物理的観察によりデータを盗み出す手法）により本来アクセスできないはずのデータを取得できてしまうという欠陥があるという。同一ホスト上の他の仮想マシンのデータへアクセスできる可能性があるため、仮想技術に依存するクラウド環境では特に深刻だ。 “Meltdown”の影響範囲は1995年以降のIntel製CPUとされているが、他社製CPUに影響する可能性も否定できない。また、“Spectre”はIntel/AMD/ARM製CPUで実証されており、スマートフォンを含む多くのシステムに影響が及ぶという。

という事で波紋が拡がっているが、既に対応策が公開されており、一般ユーザー観点で大騒ぎするほどの問題では無さそうだ。

参照

窓の杜 https://forest.watch.impress.co.jp/

• “投機的実行”機能を備えるCPUに脆弱性、Windows向けのセキュリティパッチが緊急公開 2017年1月5日

PC Watch https://pc.watch.impress.co.jp/

• Google、CPUの投機実行機能に脆弱性発見。業界をあげて対策へ 2017年1月5日

Google Online Security Blog https://security.googleblog.com/

• Today’s CPU vulnerability: what you need to know 2017年1月3日

インテル ニュースルーム https://newsroom.intel.co.jp/

• インテル、セキュリティーに関する調査結果に対応 2017年1月5日

BUSINESS INSIDER JAPAN https://www.businessinsider.jp/

• インテルが「CPUに脆弱性」報道に反論、グーグルが解説した「原因」とは 2017年1月4日

Qiita https://qiita.com/

• MeltdownとSpectreの違いについて分かったこと 2018年1月4日

Meltdown and Spectre https://meltdownattack.com/

Wikipedia https://ja.wikipedia.org/wiki/

• Meltdown
• Spectre
• インテル
• Google