このリストをチェックして、MeltdownとSpectreに対してまだ脆弱かどうかを確認してください[更新]

インテル meltdown スペクター

セキュリティ研究者は今週、Intelや他の企業が製造したプロセッサに壊滅的な欠陥 があることを明らかにした。GoogleのProjectZeroによって発見され、MeltdownとSpectreというニックネームが付けられた脆弱性により、カーネルメモリからデータがリークする可能性があります。カーネルはオペレーティングシステムの中心であり、多数の機密プロセスを処理するため、これは実際には理想的ではありません。

Intelは、過去数年間に導入したすべてのプロセッサの更新に取り組んでいると述べています。「来週の終わりまでに、インテルは過去5年以内に導入されたプロセッサー製品の90％以上のアップデートを発行すると予想しています」と同社は本日の声明で述べています。

残念ながら、MeltdownとSpectreは、クラウドサービス、コンピューター、電話、ブラウザーなど、さまざまな製品に影響を与えます。幸いなことに、多くの場合、消費者はデバイスやサービスを保護するために多くのことをする必要はありません。更新を監視し、利用可能になったときにインストールする必要があります。場合によっては、単に運が悪いかもしれません。

マックOS

Appleはサポートページで、2017年12月のmacOS High Sierra 10.13.2アップデートでMeltdownの脆弱性を軽減し、Spectreに対応するアップデートをまもなくリリースすると述べました。同社は、「これらの問題に対するさらなる緩和策の開発とテスト」を継続しており、今後のアップデートでリリースされると述べています。

このAppleセキュリティアップデートは、問題がHigh Sierra、Sierra、およびElCapitanで修正されていることを確認しているようです。

ウィンドウズ

マイクロソフトは通常、火曜日のパッチ（来週公開予定）にセキュリティアップデートを公開していますが、現在いくつかの緊急パッチを公開しています。

「マイクロソフトは、現時点でこれらの脆弱性が顧客を攻撃するために使用されたことを示す情報を受け取っていません」と同社はセキュリティアドバイザリで述べています。「マイクロソフトは、チップメーカー、ハードウェアOEM、アプリベンダーなどの業界パートナーと緊密に連携して、顧客を保護し続けています。利用可能なすべての保護を取得するには、ハードウェア/ファームウェアとソフトウェアのアップデートが必要です。」

Microsoftによると、Windows 7 Service Pack 1、Windows 8.1、およびWindows 10はすべて更新が必要です（Windows 10の更新はこちらです）。ほとんどのSurfaceユーザーは自動更新を受け取り、それらの更新に関する情報 はここで 入手できます。

残念ながら、会社が製造していないマシンでWindowsを実行しているユーザーもファームウェアの更新が必要であり、それらのリリースは製造元によって異なります。マイクロソフトは、情報についてデバイスの製造元に問い合わせることをお勧めします。幸運を祈ります。

また、Microsoftの更新プロセスには、別の奇妙なしわがあります。一部のウイルス対策ソフトウェアが更新を混乱させる可能性があります。

「マイクロソフトは、2018年 1月3日にリリースされたWindowsセキュリティ更新プログラムを、ソフトウェアが2018年1月のWindowsオペレーティングシステムセキュリティ更新プログラムと互換性があることを確認したパートナーからのウイルス対策ソフトウェアを実行しているデバイスにのみ提供しています 」とマイクロソフトは説明しました。「セキュリティアップデートが提供されていない場合は、互換性のないウイルス対策ソフトウェアを実行している可能性があるため、ソフトウェアベンダーにフォローアップする必要があります。」

セキュリティアーキテクトのKevinBeaumontは、どのアンチウイルスベンダーがMicrosoftUpdateと互換性があるかを示す便利なスプレッドシートを実行しています。

Google Chrome OS

MeltdownとSpectreから保護するには、2017年12月にリリースされたChrome OS 63が必要です。一部の古いデバイスにはまもなくパッチが適用されますが、他のデバイスにはまったくパッチが適用されません。ここで特定のデバイスを確認できます（自動更新列または「最終的にKPTI？」列でサポート終了 （ EoL）を確認してください。これは、デバイスにパッチが適用されない可能性があることを意味します）。

Ubuntu

Ubuntuのパッチはまだありませんが、まもなくリリースされます。

「当初の調整された開示日は1月9日に予定されており、修正をリリースするためにその日に向けて推進しています。早期開示のため、リリースを加速しようとしていますが、アップデートがリリースされる以前のETAはまだありません。アップデートが利用可能になり次第、Ubuntuセキュリティ通知をリリースします」とUbuntuは述べています。

iOSとwatchOS

Appleは、2017年12月のiOS 11.2アップデートがMeltdownの脆弱性を軽減すると述べたので、まだ行っていない場合はデバイスをアップデートしてください。AppleのtvOS11.2には、Meltdownパッチも含まれていました。同社によれば、「Apple WatchはMeltdownの影響を受けない」ため、watchOSのパッチは必要ありません。

スペクターに対処するためのアップデートが間もなく行われると同社は述べ、未知のソースからアプリをダウンロードしないようにユーザーに警告している。

「これらの問題の多くを悪用するには、悪意のあるアプリをMacまたはiOSデバイスにロードする必要があるため、AppStoreなどの信頼できるソースからのみソフトウェアをダウンロードすることをお勧めします」とAppleは述べています。

アンドロイド

「Androidプラットフォームでは、ほとんどのAndroidデバイスで悪用が困難で制限されていることが示されています」とGoogleは述べています。

同社は2017年12月にAndroidスマートフォンのメーカーにパッチをプッシュしましたが、メーカーはすべて独自のアップデートスケジュールを持っており、一部の古いAndroidデバイスはアップデートをまったく取得しない可能性があるため、Androidのセキュリティアップデートプロセスは非常に遅いことがあります。ただし、しばらく更新されていない古いAndroidデバイス は、他の多くのバグに対して脆弱である可能 性があります。攻撃者がそれほど複雑でない方法を簡単に選択できる場合、MeltdownまたはSpectreエクスプロイトの標的になる可能性は低くなります。

Googleによると、PixelまたはNexusデバイスを使用しているAndroidユーザーは、今月中にパッチを入手する予定です。Nexusユーザーは更新を受け入れる必要があります。Pixelユーザーは自動的に取得しますが、更新を完了するにはデバイスを再起動する必要があります。

「これらの新たに報告された問題の積極的な顧客の搾取または乱用の報告はありません」とGoogleは述べています。

クロム

Chrome 64は1月23日にリリースされる予定であり、MeltdownおよびSpectreのエクスプロイトからの保護が含まれます。

それまでの間、Chromeにはサイト分離と呼ばれるオプション機能があり、ある程度の保護を提供できますが、特にAndroid上のChromeではパフォーマンスの問題を引き起こす可能性があります。Googleによると、サイトの分離により、Webサイトがさまざまなプロセスにサンドボックス化され、「信頼できないWebサイトが他のWebサイトのアカウントから情報にアクセスしたり盗んだりすることが困難になります」。

「サイト分離を有効にすると、Chromeが開いている各ウェブサイトのコンテンツを個別のプロセスでレンダリングするため、投機的なサイドチャネル攻撃にさらされるデータが削減されます」とGoogleは説明しました。

セキュリティを強化するためにパフォーマンスの問題を取引しても問題がない場合は、ここでサイトの分離を有効にできます。

サファリ

Safariのアップデートはまだ届いていませんが、Appleは、Spectreから保護するアップデートがmacOSバージョンとiOSバージョンの両方のブラウザで「数日中に」リリースされると約束しました。

MeltdownとSpectreのアップデートに関連するパフォーマンスの懸念に対処した 他の企業と同様に、Appleは楽観的な口調で、現在のテストではSafariの今後のアップデートは「SpeedometerとARES-6のテストに測定可能な影響はなく、影響は少ない」と述べています。 JetStreamベンチマークで2.5％を超えています。」

Firefox

MozillaはロールアウトFirefoxの57企業が脆弱性のために、「部分的、短期的な緩和策を」と呼ぶものが含まれ、2017年11月に。

「このクラスの攻撃の全範囲はまだ調査中であり、セキュリティ研究者や他のブラウザベンダーと協力して、脅威と修正を完全に理解しています」と、MozillaソフトウェアエンジニアのLukeWagnerはブログ投稿に書いています。「長期的には、情報源に近い情報漏えいを取り除く手法の実験を開始しました。」

MicrosoftEdgeとInternetExplorer

更新プログラムは、EdgeとInternet Explorer11の両方で利用できます。

「サポートされているバージョンのMicrosoftEdgeとInternetExplorer 11の動作を変更して、この新しいクラスのサイドチャネル攻撃を通じてメモリを正常に読み取る機能を軽減しています」と、Edgeの主任プロジェクトマネージャーであるJohnHazenはブログ投稿に書いています。。「本日公開されたCPUの脆弱性の影響を引き続き評価し、それに応じて将来のサービスリリースで追加の緩和策を導入します。」

これは、MeltdownとSpectreを使ったものが本当に厄介になる場所ですが、消費者が最も影響を受けない場所でもあります。

アマゾンウェブサービス

アマゾンはセキュリティ速報で、ほとんどのAWSインスタンスはすでに保護されていると述べています。ただし、お客様はデータを保護するために何らかの措置を講じる必要があります。

「AWSが実行するアップデートは基盤となるインフラストラクチャを保護しますが、これらの問題から完全に保護するには、お客様はインスタンスオペレーティングシステムにもパッチを適用する必要があります」とAmazonは説明しました。

Microsoft Azure

マイクロソフトによると、AWSと同様に、Azureのインフラストラクチャのほとんどはすでに更新されています。

「Azureの一部の側面はまだ更新中であり、セキュリティ更新を有効にするには、お客様のVMを再起動する必要があります。皆さんの多くは、Azureで計画されたメンテナンスの通知をここ数週間受け取り、修正を適用するためにVMを既に再起動しており、それ以上のアクションは必要ありません」とMicrosoftは付け加えました。

Google Cloud Platform

一部のGoogleCloud製品はすでに保護されていますが、他の製品、特にGoogle Compute Engine、Google Kubernetes Engine、Google Cloud Dataflow、Google CloudDataprocは顧客に行動を起こす必要があります。

アップデート、午後7時37分： AppleはmacOS、iOS、およびtvOS用のパッチを発行しました。同社によれば、watchOSにはパッチは必要ありません。Appleによれば、macOSとiOSの両方でSafariの潜在的なSpectre関連のエクスプロイトに対処するためのアップデートが間もなく開始されます。

上記にリストされていないサービスまたはデバイスのパッチ情報をお探しですか？コメントでお知らせいただくか、メールをお送りください。調査いたします。