Apple、ARM/Intel CPUを搭載したMac/iOSデバイスに対するMeltdown/Spectre脆弱性についての最新情報を公開。

スポンサーリンク

 AppleがARM/Intel CPUを搭載したMac/iOSデバイスに対するMeltdown/Spectre脆弱性についての最新情報を公開しています。詳細は以下から。

Meltdownのロゴ

 Appleは現地時間2018年01月29日(日本時間31日)、IntelやARMなど投機的実行機能を持つCPUに対するサイドチャネル攻撃によりユーザーパスワードなどが窃取される可能性がある「Meltdown (CVE-2017-5754)」および「Spectre (CVE-2017-5753, CVE-2017-5715)」脆弱性についてサポートページをアップデートし、Appleデバイス用OSで行われた対策の最新情報を公開しています。

AppleデバイスのARMやIntel の CPU の投機的実行の脆弱性について

最新情報:

  • Apple では、Meltdown の影響緩和策を盛り込んだ macOS Sierra および El Capitan 向けのセキュリティアップデートをリリースしました。
  • Apple では、Spectre 対策に効果的な iOS、macOS High Sierra、Sierra や El Capitan の Safari 向けのアップデートをリリースしました。
  • Apple Watch は Meltdown と Spectre のどちらの影響も受けません。

ARM ベースおよび Intel CPU の投機的実行の脆弱性について – Apple サポート

 公開された最新の対策情報をまとめると以下の通りで、tvOSデバイスのSpectre対策については明確な記述がありませんが、それ以外のサポートOSではMeltdownおよびSpectre脆弱性について有効な緩和策が実施されたとコメントされています。

Meltdown Spectre
Mac macOS 10.13
High Sierra
macOS 10.13.2
影響緩和策を組み込み済
macOS High Sierra 10.13.2追加アップデート
効果的なSafariアップデートを実施
macOS 10.12
Sierra
セキュリティアップデート2018-001で
影響緩和策を実施
対策に効果的な
Safari 11.0.2をリリース済
OS X 10.11
El Capitan
iOSデバイス iOS 11.2
影響緩和策を組み込み済
iOS 11.2.2
効果的なSafariアップデートを実施
tvOSデバイス tvOS 11.2で
影響緩和策を組み込み済
不明
watchOSデバイス 影響を受けない
tvOSはWebブラウザがないのでWebKit側で対策されていると思われます。

スポンサーリンク

おまけ

 今回のMeltdownおよびSpectre脆弱性対策はあくまで緩和策で、最新のmacOSでもPoCを動かせば成功してしまいます。これについてAppleは今後も緩和策を開発・検証し、アップデートで随時リリースすると発表しており、Intel CEO Brian KrzanichさんはMeltdown/Spectre脆弱性をシリコンベース(in-silicon)で修正したCPUを2018年末にリリースする予定で動いていると投資達に発表したそうです。

In a bid to unnerve investors, company CEO Brian Krzanich announced that Intel is working on “in-silicon” fixes to Meltdown and Spectre.
An “in-silicon” fix would entail a major CPU micro-architecture design that’s inherently immune to the two vulnerabilities and yet offers the benefits of modern branch-prediction and speculative execution. Krzanich says processors with in-silicon fixes to the two vulnerabilities will be released to market by the end of 2018.

Intel Processors to Have "In-silicon" Fixes to Meltdown and Spectre This Year – TechPowerUp