このリストをチェックして、MeltdownとSpectreに対してまだ脆弱かどうかを確認してください[更新]

グラーツ工科大学/ NataschaEiblの画像提供

セキュリティ研究者は今週、Intelや他の企業が製造したプロセッサに壊滅的な欠陥 があることを明らかにした。GoogleのProjectZeroによって発見され、MeltdownとSpectreというニックネームが付けられた脆弱性により、カーネルメモリからデータがリークする可能性があります。カーネルはオペレーティングシステムの中心であり、多数の機密プロセスを処理するため、これは実際には理想的ではありません。

Intelは、過去数年間に導入したすべてのプロセッサの更新に取り組んでいると述べています。「来週の終わりまでに、インテルは過去5年以内に導入されたプロセッサー製品の90%以上のアップデートを発行すると予想しています」と同社は本日の声明で述べています。

残念ながら、MeltdownとSpectreは、クラウドサービス、コンピューター、電話、ブラウザーなど、さまざまな製品に影響を与えます。幸いなことに、多くの場合、消費者はデバイスやサービスを保護するために多くのことをする必要はありません。更新を監視し、利用可能になったときにインストールする必要があります。場合によっては、単に運が悪いかもしれません。

マックOS

Appleはサポートページで、2017年12月のmacOS High Sierra 10.13.2アップデートでMeltdownの脆弱性を軽減し、Spectreに対応するアップデートをまもなくリリースすると述べました。同社は、「これらの問題に対するさらなる緩和策の開発とテスト」を継続しており、今後のアップデートでリリースされると述べています。

このAppleセキュリティアップデートは、問題がHigh Sierra、Sierra、およびElCapitanで修正されていることを確認しているようです。

ウィンドウズ

マイクロソフトは通常、火曜日のパッチ(来週公開予定)にセキュリティアップデートを公開していますが、現在いくつかの緊急パッチを公開しています。

「マイクロソフトは、現時点でこれらの脆弱性が顧客を攻撃するために使用されたことを示す情報を受け取っていません」と同社はセキュリティアドバイザリで述べています。「マイクロソフトは、チップメーカー、ハードウェアOEM、アプリベンダーなどの業界パートナーと緊密に連携して、顧客を保護し続けています。利用可能なすべての保護を取得するには、ハードウェア/ファームウェアとソフトウェアのアップデートが必要です。」

Microsoftによると、Windows 7 Service Pack 1、Windows 8.1、およびWindows 10はすべて更新が必要です(Windows 10更新はこちらです)。ほとんどのSurfaceユーザーは自動更新を受け取り、それらの更新に関する情報 ここで 入手できます

残念ながら、会社が製造していないマシンでWindowsを実行しているユーザーもファームウェアの更新が必要であり、それらのリリースは製造元によって異なります。マイクロソフト、情報についてデバイスの製造元に問い合わせることをお勧めします。幸運を祈ります。

また、Microsoftの更新プロセスには、別の奇妙なしわがあります。一部のウイルス対策ソフトウェアが更新を混乱させる可能性があります。

「マイクロソフトは、2018年 1月3日にリリースされたWindowsセキュリティ更新プログラムを、ソフトウェアが2018年1月のWindowsオペレーティングシステムセキュリティ更新プログラムと互換性があることを確認したパートナーからのウイルス対策ソフトウェアを実行しているデバイスにのみ提供しています 」とマイクロソフトは説明しました。「セキュリティアップデートが提供されていない場合は、互換性のないウイルス対策ソフトウェアを実行している可能性があるため、ソフトウェアベンダーにフォローアップする必要があります。」

セキュリティアーキテクトのKevinBeaumontは、どのアンチウイルスベンダーがMicrosoftUpdateと互換性があるかを示す便利なスプレッドシートを実行しています

Google Chrome OS

MeltdownとSpectreから保護するには、2017年12月にリリースされたChrome OS 63が必要です。一部の古いデバイスにはまもなくパッチが適用されますが、他のデバイスにはまったくパッチが適用されません。ここで特定のデバイス確認できます(自動更新列または「最終的にKPTI?」列でサポート終了 ( EoL)を確認してください。これは、デバイスにパッチが適用されない可能性があることを意味します)。

Ubuntu

Ubuntuのパッチはまだありませんが、まもなくリリースされます。

「当初の調整された開示日は1月9日に予定されており、修正をリリースするためにその日に向けて推進しています。早期開示のため、リリースを加速しようとしていますが、アップデートがリリースされる以前のETAはまだありません。アップデートが利用可能になり次第、Ubuntuセキュリティ通知をリリースします」とUbuntuは述べています。

iOSとwatchOS

Appleは、2017年12月のiOS 11.2アップデートがMeltdownの脆弱性を軽減すると述べたので、まだ行っていない場合はデバイスをアップデートしてください。AppleのtvOS11.2には、Meltdownパッチも含まれていました。同社によれば、「Apple WatchはMeltdownの影響を受けない」ため、watchOSのパッチは必要ありません。

スペクターに対処するためのアップデートが間もなく行われると同社は述べ、未知のソースからアプリをダウンロードしないようにユーザーに警告している。

「これらの問題の多くを悪用するには、悪意のあるアプリをMacまたはiOSデバイスにロードする必要があるため、AppStoreなどの信頼できるソースからのみソフトウェアをダウンロードすることをお勧めします」とAppleは述べています。

アンドロイド

「Androidプラットフォームでは、ほとんどのAndroidデバイスで悪用が困難で制限されていることが示されています」とGoogleは述べています。

同社は2017年12月にAndroidスマートフォンのメーカーにパッチをプッシュしましたが、メーカーはすべて独自のアップデートスケジュールを持っており、一部の古いAndroidデバイスはアップデートをまったく取得しない可能性があるため、Androidのセキュリティアップデートプロセスは非常に遅いことがあります。ただし、しばらく更新されていない古いAndroidデバイス は、他の多くのバグに対して脆弱である可能 性があります。攻撃者がそれほど複雑でない方法を簡単に選択できる場合、MeltdownまたはSpectreエクスプロイトの標的になる可能性は低くなります。

Googleによると、PixelまたはNexusデバイスを使用しているAndroidユーザーは、今月中にパッチを入手する予定です。Nexusユーザーは更新を受け入れる必要があります。Pixelユーザーは自動的に取得しますが、更新を完了するにはデバイスを再起動する必要があります。

「これらの新たに報告された問題の積極的な顧客の搾取または乱用の報告はありません」とGoogleは述べています。

クロム

Chrome 64は1月23日にリリースされる予定であり、MeltdownおよびSpectreのエクスプロイトからの保護が含まれます。

それまでの間、Chromeにはサイト分離と呼ばれるオプション機能があり、ある程度の保護を提供できますが、特にAndroid上のChromeではパフォーマンスの問題を引き起こす可能性があります。Googleによると、サイトの分離により、Webサイトがさまざまなプロセスにサンドボックス化され、「信頼できないWebサイトが他のWebサイトのアカウントから情報にアクセスしたり盗んだりすることが困難になります」。

「サイト分離を有効にすると、Chromeが開いている各ウェブサイトのコンテンツを個別のプロセスでレンダリングするため、投機的なサイドチャネル攻撃にさらされるデータが削減されます」とGoogleは説明しました

セキュリティを強化するためにパフォーマンスの問題を取引しても問題がない場合は、ここでサイトの分離有効にできます

サファリ

Safariのアップデートはまだ届いていませんが、Apple、Spectreから保護するアップデートがmacOSバージョンとiOSバージョンの両方のブラウザで「数日中に」リリースされると約束しました。

MeltdownとSpectreのアップデートに関連するパフォーマンスの懸念に対処した 他の企業と同様に、Appleは楽観的な口調で、現在のテストではSafariの今後のアップデートは「SpeedometerとARES-6のテストに測定可能な影響はなく、影響は少ない」と述べています。 JetStreamベンチマークで2.5%を超えています。」

Firefox

MozillaはロールアウトFirefoxの57企業が脆弱性のために、「部分的、短期的な緩和策を」と呼ぶものが含まれ、2017年11月に。

「このクラスの攻撃の全範囲はまだ調査中であり、セキュリティ研究者や他のブラウザベンダーと協力して、脅威と修正を完全に理解しています」と、MozillaソフトウェアエンジニアのLukeWagnerはブログ投稿に書いています。「長期的には、情報源に近い情報漏えいを取り除く手法の実験を開始しました。」

MicrosoftEdgeとInternetExplorer

更新プログラムは、EdgeとInternet Explorer11の両方で利用できます

「サポートされているバージョンのMicrosoftEdgeとInternetExplorer 11の動作を変更して、この新しいクラスのサイドチャネル攻撃を通じてメモリを正常に読み取る機能を軽減しています」と、Edgeの主任プロジェクトマネージャーであるJohnHazenはブログ投稿に書いています。。「本日公開されたCPUの脆弱性の影響を引き続き評価し、それに応じて将来のサービスリリースで追加の緩和策を導入します。」

これは、MeltdownとSpectreを使ったものが本当に厄介になる場所ですが、消費者が最も影響を受けない場所でもあります。

アマゾンウェブサービス

アマゾンはセキュリティ速報で、ほとんどのAWSインスタンスはすでに保護されていると述べています。ただし、お客様はデータを保護するために何らかの措置を講じる必要があります。

「AWSが実行するアップデートは基盤となるインフラストラクチャを保護しますが、これらの問題から完全に保護するには、お客様はインスタンスオペレーティングシステムにもパッチを適用する必要があります」とAmazonは説明しました

Microsoft Azure

マイクロソフトによると、AWSと同様に、Azureのインフラストラクチャのほとんどはすでに更新されています。

「Azureの一部の側面はまだ更新中であり、セキュリティ更新を有効にするには、お客様のVMを再起動する必要があります。皆さんの多くは、Azureで計画されたメンテナンスの通知をここ数週間受け取り、修正を適用するためにVMを既に再起動しており、それ以上のアクションは必要ありません」とMicrosoftは付け加えました

Google Cloud Platform

一部のGoogleCloud製品はすでに保護されていますが、他の製品、特にGoogle Compute EngineGoogle Kubernetes EngineGoogle Cloud DataflowGoogle CloudDataprocは顧客に行動を起こす必要があります。

アップデート、午後7時37分: AppleはmacOS、iOS、およびtvOS用のパッチを発行しました。同社によれば、watchOSにはパッチは必要ありません。Appleによれば、macOSとiOSの両方でSafariの潜在的なSpectre関連のエクスプロイトに対処するためのアップデートが間もなく開始されます。

上記にリストされていないサービスまたはデバイスのパッチ情報をお探しですか?コメントでお知らせいただくか、メールをお送りください。調査いたします。

提案された投稿

GoogleのPixelPhone:知っておくべきことすべて

GoogleのPixelPhone:知っておくべきことすべて

画像:Gizmodo / Google何ヶ月にもわたる噂の末、Googleの新しい携帯電話であるPixelとPixelXLを初めて見ました。これらの電話は、「Nexus」のブランド名を使用していない同社の最初のフラッグシップAndroid電話であるため、Googleにとって大きなおかしな取引です。

主要な公民権団体は、Facebookの最新の内部監査を「ひどく不十分」と呼び、憎悪に対処している

主要な公民権団体は、Facebookの最新の内部監査を「ひどく不十分」と呼び、憎悪に対処している

Facebookの最高執行責任者であるSherylSandbergが、2017年1月17日にパリのパリのステーションFに集まった新興企業の訪問中にスピーチを行います。

関連記事

ラニーニャが到着しました

ラニーニャが到着しました

画像:Hernan Pinera / Flickr今年の夏はノーショーの可能性があると私たちをからかったが、NOAAによると、弱いラニーニャが正式に到着した。米国北部の一部では、平均よりも涼しくて雨の多い冬が予想されますが、カリフォルニア南部では、残念ながら、より多くの干ばつが予想されます。

これらの現代のライト兄弟が古典的なリトルタイクスのおもちゃの車を飛ばすのを見てください

これらの現代のライト兄弟が古典的なリトルタイクスのおもちゃの車を飛ばすのを見てください

「これを実行できますか?」という質問は、「これを実行する必要がありますか?」という質問よりもはるかに面白くてエキサイティングな場合があります。YouTubeのFliteTestチャンネルの背後にいるRC愛好家はこの真実を理解しており、クラシックなリトルタイクスコージークーペの乗り物を飛ばすことができるかどうか疑問に思いました。オリジナルのライトフライヤー号と同様に、答えはイエスです。少なくとも、コージークーペは飛ぶことができます。若干。

HTCは、最終的にVive Proをワイヤレスにしたときに、800ドルを稼ぐことができます

HTCは、最終的にVive Proをワイヤレスにしたときに、800ドルを稼ぐことができます

数ヶ月のいじめ(CESでのいくつかの素晴らしいデモを含む)の後、HTCのViveの後継機であるHTC ViveProがついに発売されました。ヘッドセットだけで800ドルかかり、4月5日から出荷されます。

私は56Kモデムを1週間使用しましたが、それは地球上で地獄でした

私は56Kモデムを1週間使用しましたが、それは地球上で地獄でした

最初の56Kモデムが購入可能になった1998年、私は中学2年生でした。その年齢では、ビデオゲーム以外のものは私には役に立たなかったのです。

MORE COOL STUFF

ヘレン・ミレンは、35年のパートナーであるテイラー・ハックフォードは、彼女を美しく感じさせず、そのように気に入っていると言います

ヘレン・ミレンは、35年のパートナーであるテイラー・ハックフォードは、彼女を美しく感じさせず、そのように気に入っていると言います

ヘレン・ミレンは仕事で忙しいのと同じくらい、テイラー・ハックフォードとの長年の結婚を含む彼女の個人的な生活のための時間を作っています。

Josh Duggarのスキャンダル:簡単なタイムライン

Josh Duggarのスキャンダル:簡単なタイムライン

ジョシュ・ダガーの児童ポルノ逮捕は世界に衝撃を与えましたが、それは彼の最初のスキャンダルではありませんでした。起こったことすべての簡単なタイムラインをまとめました。

TXTが「ACT:LOVESICK」ツアーに新しいコンサートの日付を追加

TXTが「ACT:LOVESICK」ツアーに新しいコンサートの日付を追加

5月20日、Big Hit Musicは、TXTの次の「ACT:LOVESICK」ツアーにコンサートが追加されたことを発表しました。

防弾少年団:スガは「インスピレーションの証明」ティーザーで彼の「証明」トラックリストの選択を説明します

防弾少年団:スガは「インスピレーションの証明」ティーザーで彼の「証明」トラックリストの選択を説明します

「ProofofInspiration」ティーザーで、BTSのSugaは、BTSの次のアルバム「Proof」のトラックリストに選んだ曲を公開しました。

OS X ElCapitanとiOS9のパブリックベータ版が利用可能になりました

OS X ElCapitanとiOS9のパブリックベータ版が利用可能になりました

Mac:OS X ElCapitanとiOS9は、わずか1か月前に発表されました。今日、両方のパブリックベータ版が、新しいOSに足を踏み入れようとするすべての人に利用可能です。iOS 9には、Siriの新しいプロアクティブな機能、交通機関の案内、iPadでのマルチテイク、その他のマイナーアップデートに加えてSpotlightの改善が満載です。

主要な公民権団体は、Facebookの最新の内部監査を「ひどく不十分」と呼び、憎悪に対処している

主要な公民権団体は、Facebookの最新の内部監査を「ひどく不十分」と呼び、憎悪に対処している

Facebookの最高執行責任者であるSherylSandbergが、2017年1月17日にパリのパリのステーションFに集まった新興企業の訪問中にスピーチを行います。

Appleの新しいHomePodは地獄のようにうまく見える

Appleの新しいHomePodは地獄のようにうまく見える

写真:アップルゲームタイムです!Appleは、待望のスマートスピーカーの採用を発表し、GoogleやAmazonとともにスマートスピーカーの三頭政治を完成させました。ガジェット自体は特に目立つものではありませんが、Appleのガジェットです。

エレン・デジェネレス、ジャスティン・ビーバーと共に、50万ドルで貧しいデトロイト学校を驚かせる

エレン・デジェネレス、ジャスティン・ビーバーと共に、50万ドルで貧しいデトロイト学校を驚かせる

木曜日に、エレンデジェネレスは、デトロイトのスペイン小中学校の生徒とスタッフにビデオ会議で出演しました。この学校は、資金不足とひどい状況に悩まされており、50万ドルの驚きの寄付を発表しました。「生徒の多くは貧しいまたはホームレスです。 、" 彼女は言いました。

エマストーンは彼女のクリフサイドマリブビーチハウスを420万ドルでリストアップしています—中を見てください!

エマストーンは彼女のクリフサイドマリブビーチハウスを420万ドルでリストアップしています—中を見てください!

オスカー受賞者の世紀半ばの家には、3つのベッドルーム、2つのバス、オーシャンフロントの景色があります。

ジーニー・メイ・ジェンキンスは、母乳育児の経験の中で、彼女は「本当に、本当に落ち込んでいる」と言います

ジーニー・メイ・ジェンキンスは、母乳育児の経験の中で、彼女は「本当に、本当に落ち込んでいる」と言います

ジーニー・メイ・ジェンキンスは、生後4か月の娘、モナコに母乳育児をしていると語った。

ボビー・ブラウンの妻アリシアは彼の過去に焦点を当てていません:「ボビーとホイットニーは彼らの時間でした—私は彼のヤンの陰です」

ボビー・ブラウンの妻アリシアは彼の過去に焦点を当てていません:「ボビーとホイットニーは彼らの時間でした—私は彼のヤンの陰です」

5月31日発売の新しいA&EリアリティシリーズBobby Brown:Every Little Stepに先立ち、10年近くのカップルがラブストーリーを共有します。

生存者:タイ準優勝のクレイ・ジョーダンが66歳で死亡

生存者:タイ準優勝のクレイ・ジョーダンが66歳で死亡

サバイバーの第5シーズンで2位につけたクレイ・ジョーダンは、短い病気で木曜日に亡くなりました

インキュベーション企業のスポットライト:復号化

インキュベーション企業のスポットライト:復号化

MESHで培養された会社がスピンアウトします。MESHでインキュベートされたメディア会社DecryptがシリーズAの資金調達で$10MILで$50MILの評価でスピンアウトしたことを発表できることを嬉しく思います。

HGウェルズのこれからのことの形:80年

彼のキャリアの多くはHG

パンデミックが消費者行動に与える影響:

パンデミックが消費者行動に与える影響:

パンデミックは私たちの生活をバブルの中に包み込み、そこから逃れることはできず、その中で生きることを学ばなければなりません。私たちの日常生活、活動、行動、習慣のすべてが変化しました。

Covidからどの程度保護されていますか?

Covidからどの程度保護されていますか?

さらに別の波が始まり、ウイルスは適応し続けています。米国もまた、Covidの症例数の増加に直面しており、ジミー・キンメルや米国保健福祉長官のザビエルなど、多くの公的人物が最近陽性を示したと発表しています。ベセラ。米国での検査陽性率は11%を超えており、感染が増加していること、および多くの感染症が診断されていないことを示しています。

Tags

Categories

Top Topics

Language