太るほど・頭を上げる・女房かな
・・・はあ~・・・
インテルをはじめとするメーカーのプロセッサーに見つかったMeltdownとSpectrという2つの脆弱性の影響が拡大
徐々に修正アップデートが公開され始めたが、それでも現時点では問題が
根本的に解決することはない
この1週間で、実質的にすべてのコンピュータの根本的なセキュリティが、2種類の脆弱性によって破られた
今回の脆弱性は非常に複雑
過去20年間につくられたほとんどのコンピューティングデヴァイスが危険にさらされていこれらの脆弱性への対処が困難を極める理由のひとつが、複数のプレーヤーの関与が必要な点
インテル、AMD、クアルコム、ARMなどのプロセッサーメーカー、チップを組み込んだハードウェアメーカー
そしてチップで動作するコードに保護機能を加えるソフトウェア企業と協力している
インテルは単独ではこの問題を修正できない
サードパーティーの企業が、インテル製プロセッサーをさまざまなかたちで搭載しているから
その結果、マイクロソフト、アップル、グーグル、アマゾン、そしてLinuxプロジェクトなどは、研究者やプロセッサーメーカーと相互に協力しながら修正を進めている
アメリカのコンピューター緊急対応チーム(US-CERT)などは当初、MeltdownとSpectreから防御する唯一の方法はハードウェアの完全交換だと考えていた
これらの脆弱性は、メインストリーム向けプロセッサーが、データを管理およびサイロ化するという根本的な特性に影響する
このため、高いセキュリティーが求められる環境においては、欠陥を修正したチップとの交換が最善策
しかしすべてのプロセッサーの交換はむり
CERTは現在、MeltdownとSpectreの解決策として
「更新プログラムを適用する」ことを推奨
これらのパッチについては、すでに存在するものがある
いくつかは開発途上、そして、長い時間かかるものもある
エンタープライズ向けセキュリティ企業のThreatModelerのCEO、アーチー・アガワル
「誰もが『われわれは影響を受けていません』あるいは『パッチをリリースしました』と言っていますが、本当に混乱しています」
「セキュリティコミュニティでは、課題を解決するのに適切な人が誰で、どの程度の時間がかかるのか知ることは簡単ではありません。今回の影響は、この点においてかなり大きいものです」
Meltdownはインテルとクアルコムのプロセッサー、ARMチップの一部に影響を及ぼす可能性があるバグ
攻撃者がカーネルメモリー(OSの保護されたコア)を読み取れる危険性がある
インテルは同社製プロセッサー向けにファームウェアの修正ファイルをリリースしており、アップルやHPなど多くのメーカーと協力して配布している
インテルはソフトウェアレヴェルの対応策をとるため、OSの開発者と協力している
最新版のWindows、Android、macOS、iOS、Chrome OS、Linux向けの修正ファイルは、すでにリリースされている
もう一方のバグであるSpectreには、これまでに2つの攻撃方法があることが知られており
修正を適用するのははるかに難しい(実際には、ハードウェアを更新することなく長期的に完全に防御することは不可能かもしれない)
これはインテル、ARM、AMD、そしてクアルコムのプロセッサーに影響を与える
ブラウザーに関していえば、ChromeやFirefox、マイクロソフトのEdgeとInternet Explorerにはすべて、いくつかのOSと同様にSpectre向けの予備的なアップデートを用意している
アップルはSpectreのパッチに取り組んでいる最中
数日以内にリリースできるという
ITセキュリティ企業のTrustedSecで侵入テストを担当するコンプライアンス専門家のアレックス・ハマストーン
「問題を難しくしている理由のひとつは、似たような影響を及ぼす脆弱性が2つ存在していることです。このため個別に対処するだけでも相当に大変な状況と言えます」
「それでも、コンピューターの“深い”部分にまでアクセスするタイプの脆弱性であるがゆえに、パッチを当てることが重要です。テクノロジーやアプリケーションの開発時には誰も想定していなかったアクセスなので、十分な対処がされていなかったのです」
Amazon Web Servicesのようなクラウド事業者は、システムにもパッチを適用しようとしており、これに伴って発生するパフォーマンスの低下に対処している
修正によって、非効率な方法でデータを処理することになるからだ
グーグルはパフォーマンス問題に対処するため、Reptolineと呼ばれる対応策を米国時間の木曜にリリース
すでにGoogle Cloud Platformに実装している
ヴィデオ編集のようなプロセッサー集約型のタスクを除けば、MeltdownとSpectreのパッチを適用しても、平均的なユーザーにとって大きなパフォーマンスの変化は見られない
ゲームには著しい影響がないようにみえるが、この脆弱性は過去の多くのチップにあるもので、はっきりしたことは?
脆弱性がもたらすリスクとその潜在的な影響にいらだった消費者は、これまでにカリフォルニア州、インディアナ州、オレゴン州でインテルに対する3件の集団訴訟を起こしている
大手メーカーやソフトウェアメーカーの多くはこの問題に対処しようとしているが、無数の小規模なソフトメーカーや開発者は必然的についていけなくなる
一部は既存製品のアップデートすらできないかもしれない
一連のリスクを軽減するには、デヴァイス向けのソフトウェアアップデートをすべて適用すること
しかし、4年前に発売されたルーターへのアップデートは期待できないだろう
またアップデートが必要とはいえ、あまりに性急なリリースによって有効性が疑わしくなる可能性が・・・
十分なテストや改良に割ける時間が足りず、ずさんな修正によって保護が完全にならないばかりか、さらなるバグや不安定さを引き起こす可能性が
こうした対応策は今後数週間から数カ月にわたって実施されるが、特に産業システムやインフラ分野においては影響が大きい
ThreatModelerのアガワルさん
「修正アイルを試すためだけに電力網を停止することはできません」
「産業システムや病院の機器、航空管制システムなどについては、対応を待たねばならないでしょう。当面はアップデートを実施することもできず、うまく動作することを願うしかないのです」
MeltdownとSpectreの悪用を考えている側にしてみれば、攻撃の実行は相当に困難だとみられる
これまでのところ、いずれかの脆弱性が過去に悪用された形跡はないが、それで安心はできない
特にSpectreについていえることだが、実施された修正アップデートを攻撃者が回避する方法を見つけるかもしれない
セキュリティ研究者らは、この脆弱性を実際に悪用するのは現実的に考えて難しいとみている
ただし、その気があって十分な資金がある攻撃者なら、より効率的なハッキング技術を開発できるかも
Meltdownと特にSpectreの悪用は現実問題として複雑かつ困難
攻撃のなかには物理的なアクセスが必要なものもある
ハッカーにしてみれば、より多くのデヴァイスが修正アップデートを適用し始めれば、さらに難易度が上がる
現時点では、平均的なユーザーに対するリスクは極めて低い?
それに、攻撃者がパスワードを盗んだり個人情報に不正アクセスしたりするなら、フィッシングのようなもっと簡単な方法がある
だが、大企業や金融機関、産業システム、インフラ、政府などは、今後数年間はMeltdownとSpectreに対して警戒しておく必要があ
TrustedSecのハマストーンさん
「わたしが懸念しているのは未知のものです」
「野放しになっている攻撃手法があるかもしれません。どんなものが来て、どのように悪用されるのかわからないのです」
・・・しょせん人が作ったもの・・・
コレに頼りきるのは・・・
今日は~
セツブンソウ /Shibateranthis pinnatifida
セツブンソウが勘違いして出てくる?
コワい
セロジネ インターメディアやパキポディウム ブレビカウレとか
あとエンセファラルトス アエムランスも水切り組にしたんで・・・
水を切ってるコたちに水やり
今日・明日の内に水を切る目論見・・・
そうすれば2月の半ばまで水をヤるかヤらないか
やきもきしなくて済む
0 件のコメント:
コメントを投稿