マイクロソフトは4日、CPUに起因する情報漏えい問題に対処するWindowsのセキュリティ更新プログラムを緊急公開した。Windows Updateを通じて自動、または手動で更新できる。
この問題は、グーグルの研究者らが昨年発見し水面下で対策を進めていたようだが、「Meltdown & Spectre(メルトダウンとスペクタ)」という名で同日、3件の脆弱性情報が公開された。いずれも、CPUの設計に起因する問題で、悪用されると、保護されているはずのシステムや他のアプリケーションのメモリー内容を、間接的に読み出せる可能性がある。
影響するのは、処理の結果を待たずに次の処理を実行する、投機的実行機能を持つCPU全般。今のところ悪用攻撃は確認されていないが、近年のCPUの大半が該当するため、各社が対応に追われている。
マイクロソフトが同日リリースしたセキュリティ更新プログラムは、WindowsおよびWebブラウザのInternet Explorer、Edgeでの対策が盛り込まれている。Windows Updateを通じて自動、または手動で更新できるが、互換性の問題が発生する可能性のあるウイルス対策ソフトを使用している場合には、インストールされない。
(2018/01/05ネットセキュリティニュース )
【関連URL】
<マイクロソフト:一部のコンテンツは利用規約の確認と同意が必要です>
・セーフティとセキュリティセンター
https://www.microsoft.com/ja-jp/safety/default.aspx
・セキュリティ更新プログラムガイド
https://portal.msrc.microsoft.com/ja-jp/
・January 2018 Security Updates
https://portal.msrc.microsoft.com/ja-jp/security-guidance/releasenotedetail/858123b8-25ca-e711-a957-000d3a33cf99
・セキュリティアドバイザリ:DV180002 | Vulnerability in CPU Microcode Could Allow Information Disclosure
https://portal.msrc.microsoft.com/ja-jp/security-guidance/advisory/ADV180002
・2018 年 1 月 3 日にリリースされた Windows のセキュリティ更新プログラムおよびウイルス対策ソフトウェアに関する重要な情報
https://support.microsoft.com/ja-jp/help/4072699/important-information-regarding-the-windows-security-updates-released
・投機実行サイド チャネルの脆弱性から保護するために Windows サーバーのガイダンス
https://support.microsoft.com/ja-jp/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution-s
・投機実行サイド チャネル上の脆弱性から保護するための IT プロフェッショナル向け Windows クライアントのガイダンス
https://support.microsoft.com/ja-jp/help/4073119/windows-client-guidance-for-it-pros-to-protect-against-speculative-exe
・Mitigating speculative execution side-channel attacks in Microsoft Edge and Internet Explorer[英文]
https://blogs.windows.com/msedgedev/2018/01/03/speculative-execution-mitigations-microsoft-edge-internet-explorer/
<その他>
・VNVU#93823979:投機的実行機能を持つ CPU に対するサイドチャネル攻撃(JVN)
http://jvn.jp/vu/JVNVU93823979/
・Meltdown and Spectre[英文](キャンペーンサイト)
https://meltdownattack.com/