...pudding - diary

_ [Hardware] CPUの投機実行機能に脆弱性。現時点でできることはパッチ最新化

Google、CPUの投機実行機能に脆弱性発見。業界をあげて対策へ ～Intel、AMD、Armなど多数のCPUが対象も、コンシューマでは影響は軽微 - PC Watch

CPUの投機実行機能を使って機密情報をアクセス権を越えて読めてしまうという話。バグではなく仕様。だから対策がメンドクサイ。IA系の Intel、AMD、だけでなく ARM や Power も投機実行機能があるため原理的には同様のことができてしまう。

Intelは下記のように書いている。

Intel Responds to Security Research Findings

インテルは、これらの悪用がデータを破損、改ざん、または削除する可能性はないと考えています。…中略… ご使用のオペレーティングシステムのベンダーまたはシステムメーカに確認し、使用可能なアップデートがあればすぐに適用してください。一般的にマルウェアから保護する優れたセキュリティプラクティスに従うことで、アップデートを適用できるようになるまで、悪用される可能性を防ぎます。

まずはマルウェアにプロセッサを使わせないことが第一。これは従来のマルウェア対策を継続して実施すれば良い。もしマルウェアが入ってきてしまった場合の対策として、攻撃の緩和策を講じたパッチを適用しておくことも必要。

結局従来と同じく、どんな攻撃手法でも同じく、メーカーから出てくるパッチを適切なタイミングで適用したりマルウェア対策をしたりする運用を続けることが何より大切ということ。

運用だよ運用。