AppleがARM/Intel CPUを搭載したMac/iOSデバイスに対するMeltdown/Spectre脆弱性についての最新情報を公開しています。詳細は以下から。
Appleは現地時間2018年01月29日(日本時間31日)、IntelやARMなど投機的実行機能を持つCPUに対するサイドチャネル攻撃によりユーザーパスワードなどが窃取される可能性がある「Meltdown (CVE-2017-5754)」および「Spectre (CVE-2017-5753, CVE-2017-5715)」脆弱性についてサポートページをアップデートし、Appleデバイス用OSで行われた対策の最新情報を公開しています。
最新情報:
- Apple では、Meltdown の影響緩和策を盛り込んだ macOS Sierra および El Capitan 向けのセキュリティアップデートをリリースしました。
- Apple では、Spectre 対策に効果的な iOS、macOS High Sierra、Sierra や El Capitan の Safari 向けのアップデートをリリースしました。
- Apple Watch は Meltdown と Spectre のどちらの影響も受けません。
ARM ベースおよび Intel CPU の投機的実行の脆弱性について – Apple サポート
公開された最新の対策情報をまとめると以下の通りで、tvOSデバイスのSpectre対策については明確な記述がありませんが、それ以外のサポートOSではMeltdownおよびSpectre脆弱性について有効な緩和策が実施されたとコメントされています。
| Meltdown | Spectre | ||
|---|---|---|---|
| Mac | macOS 10.13 High Sierra |
macOS 10.13.2で 影響緩和策を組み込み済 |
macOS High Sierra 10.13.2追加アップデートで 効果的なSafariアップデートを実施 |
| macOS 10.12 Sierra |
セキュリティアップデート2018-001で 影響緩和策を実施 |
対策に効果的な Safari 11.0.2をリリース済 |
|
| OS X 10.11 El Capitan |
|||
| iOSデバイス | iOS 11.2で 影響緩和策を組み込み済 |
iOS 11.2.2で 効果的なSafariアップデートを実施 |
|
| tvOSデバイス | tvOS 11.2で 影響緩和策を組み込み済 |
不明 | |
| watchOSデバイス | 影響を受けない | ||
おまけ
今回のMeltdownおよびSpectre脆弱性対策はあくまで緩和策で、最新のmacOSでもPoCを動かせば成功してしまいます。これについてAppleは今後も緩和策を開発・検証し、アップデートで随時リリースすると発表しており、Intel CEO Brian KrzanichさんはMeltdown/Spectre脆弱性をシリコンベース(in-silicon)で修正したCPUを2018年末にリリースする予定で動いていると投資達に発表したそうです。
@Apple @HackingDave Guys, I just installed the update to 10.13.3 and you didn't fix Spectre yet, unlike what you state here: https://t.co/yhRMvYfN0r. I give you that you got the password bug fixed at least, it makes me feel better. #Spectre #Meltdown #Apple #macOS pic.twitter.com/tFblWFy9wg
— Mattia Campagnano (@mattiacampagnan) 2018年1月24日
In a bid to unnerve investors, company CEO Brian Krzanich announced that Intel is working on “in-silicon” fixes to Meltdown and Spectre.
An “in-silicon” fix would entail a major CPU micro-architecture design that’s inherently immune to the two vulnerabilities and yet offers the benefits of modern branch-prediction and speculative execution. Krzanich says processors with in-silicon fixes to the two vulnerabilities will be released to market by the end of 2018.Intel Processors to Have "In-silicon" Fixes to Meltdown and Spectre This Year – TechPowerUp
- ARM ベースおよび Intel CPU の投機的実行の脆弱性について – Apple サポート
- Intel Processors to Have "In-silicon" Fixes to Meltdown and Spectre This Year – TechPowerUp
コメント