GoogleのProject Zeroチームが発表したCPUやJavaScriptに関する脆弱性が大きな波紋を呼んでいます。
この脆弱性はIntel、AMD、ARM等、各社のプロセッサ、複数のOSで影響が有り、
「Meltdown(CVE-2017-5754)」「Spectre(CVE-2017-5753、CVE-2017-5715)」として報告されています。
この脆弱性を攻撃者に悪用されれば、データへのアクセス権限の無い人物がコンピュータの記憶領域(メモリ)に保存されているパスワードや写真、機密情報といった各種データにアクセス出来るようになる恐れがあります。
問題の重要度と影響範囲の広さから、IT各社からパッチ適用等が呼びかけられています。
主なメーカの対応状況を記載する。
なお、本脆弱性はウェブブラウザのバージョンアップが推奨されているため、一般ユーザであっても利用中のウェブブラウザの対応状況を確認し、対策を実施することを推奨する。

■本脆弱性のCVE(共通脆弱性識別子)
本脆弱性に関連するCVEは以下の通り。
システム管理者、セキュリティ担当者は一度目を通すことを推奨します。

メルトダウン　CVE-2017-5754
Spectre　CVE-2017-5753、CVE-2017-5715

■インテル
インテルは今回の脆弱性を、悪用されたとしても、データを破損、改ざん、または削除する可能性は無いとしています。
インテルでは今回の脆弱性に関して、既にソフトウェアとファームウェアのアップデートの提供を開始しており、一般ユーザ、システム管理者は利用しているコンピュータの製造元や、OS開発元に確認し、パッチの有無を確認するようにとのコメントを発表しています。

■AWS
Amazonが提供する各種サービスに対してはAmazon側で対応済ですが、一部EC2上で動作しているOSや、AWS WorkSpacesについてはユーザ側での対応も必要とされています。

■マイクロソフト
マイクロソフトはWindows、IE11、マイクロソフトエッジ等に対して対応パッチをリリースしています。

■アップル
iOS 11.2、MacOS 10.13.2、およびtvOS 11.2に関して、メルトダウン対策用のパッチをリリースした。
watch OSはメルトダウンの影響を受けません。
Spectreについては、現在Safariの対応バージョンをリリース予定としています。

次の頁へ
■グーグル
今回の脆弱性は元々グーグル社によって発見された。そのため、グーグル製品の大半は既に今回の脆弱性に対して対処済みだという。

・対応済み、対応不要のプロダクト
Google Infrastructure
Google Apps / G Suite
Google Home/ Chromecast
Google Wifi/ OnHub

・ユーザにてパッチ適用等の作業が必要なプロダクト
Android
Google Chrome
Google Chrome OS　(Chromebook等)
Google Cloud Platformの一部プロダクト
Google社の対応状況へのリンク。

■Firefox
最新版(57.0.4)にて対応済み。バージョンアップすることで対策が完了いたします。
詳細はFirefox公式ページにて確認してください。

■VMWare
今回の脆弱性対応用パッチがリリースされています。

■弊社提供のサーバー及びシステム利用
今回の脆弱性対応用パッチがリリースされています。(お客様側での対応は不要です)

ご不明な点がありましたらお気軽にお問い合わせください。

株式会社ドリームズカンパニー
☎ 024-563-7240