MacでHyper-Threadingテクノロジーを無効化し、情報漏洩の可能性があるIntel CPUの脆弱性「ZombieLoad/MDS」の完全な緩和策を行う方法をまとめました。詳細は以下から。
オーストラリア・グラーツ工科大学のDaniel Gruss(@lavados)さんらが発見したユーザーのパスワードや秘密鍵、メッセージなど全てが悪意のある攻撃者により取得される可能性があるIntel CPU の投機的実行の脆弱性「ZombieLoad」または「Microarchitectural Data Sampling (MDS) 」に対し、IntelやApple、Microsoft、Google、Amazonなどのベンダーは各PCやMac、サーバーにパッチを公開/適用して対策を行っていますが、
In our latest #security update, we disclosed a group of vulnerabilities called Microarchitectural Data Sampling. Learn more about the steps we've taken with our partners to address MDS for @Intel products: https://t.co/FIk1TN6nRv pic.twitter.com/tVwOmEGyQv
— Intel Security (@IntelSecurity) 2019年5月14日
First identified by Intel’s internal researchers and partners, and independently reported to Intel by external researchers, MDS is a sub-class of previously disclosed speculative execution side channel vulnerabilities and is comprised of four related techniques. Under certain conditions, MDS provides a program the potential means to read data that program otherwise would not be able to see.
Appleも現地時間2019年05月13日に公開したmacOS Mojave 10.14.5およびHigh Sierra/Sierra向けのセキュリティアップデート 2019-003、Safari 12.1.1で緩和策を盛り込んでいるものの、完全な緩和策を取るにはIntel CPUのHyper-Threadingテクノロジーを無効化する必要があるとして、サポートドキュメントを公開しています。
Although there are no known exploits affecting customers at the time of this writing, customers who believe their computer is at heightened risk of attack can use the Terminal app to enable an additional CPU instruction and disable hyper-threading processing technology, which provides full protection from these security issues.
How to enable full mitigation for Microarchitectural Data Sampling (MDS) vulnerabilities – Apple Support
Hyper-Threadingを無効化する
MacでIntel CPUのHyper-Threadingテクノロジーを無効化する方法は、まずmacOS 10.14.5 Mojaveまたはセキュリティアップデート 2019-003を適用したSierra/High Sierra搭載のMacをCommand(⌘) + Rキーを押しながら再起動し、リカバリーモードでMacを起動します。
次にリカバリーモードのユーティリティメニューから「ターミナル」を選択してターミナルアプリを起動し、以下のnvramコマンドを実行します。
nvram boot-args="cwae=2" nvram SMTDisable=%01
nvramコマンドを実行したらMacを再起動して、Appleメニューの[このMacについて] → [システムレポート] → サイドバーのハードウェアを選択 → ハイパー・スレッディング・テクノロジーの項目が[無効]となっていれば成功です。
パフォーマンスの問題
Appleは2019年05月にIntelから公開されたマイクロコード(パッチ)とHyper-Threadingを無効化してベンチマークを行ったところ、マルチスレッド処理を利用する場面で最大40%のパフォーマンスの低下が見られたとコメントしており、IntelもCore i9-9900Kを搭載したWindows 10環境のPCでパッチを適用し、HTを無効化したところ最大で10%程度のパフォーマンスが低下しているというデータを出しているので、Mac/PCの使用用途によっては少なからず影響を受けそうです。
Testing conducted by Apple in May 2019 showed as much as a 40 percent reduction in performance with tests that include multithreaded workloads and public benchmarks. Performance tests are conducted using specific Mac computers. Actual results will vary based on model, configuration, usage, and other factors.
How to enable full mitigation for Microarchitectural Data Sampling (MDS) vulnerabilities – Apple Support
ただし、Appleもコメントしているように、この脆弱性を利用した攻撃は現在のところ確認されておらず、AppleはSafariについてはパフォーマンスの影響をほぼ抑えた状態でパッチを適用しているため、この緩和策は攻撃のリスクが高いMacに用意された「オプション」という扱いになっているようです。
コメント