Apple は、2018 年が始まった最も重要なセキュリティ問題であるIntel および ARM プロセッサの問題に関する最初の公式情報すでに入手しており、公式 Web サイト内のサポート ノートで直接公開されています。 。その中で彼らは、Mac および iOS デバイスが影響を受けるものの、システムを侵害する可能性のあるそれらを悪用する方法はまだ存在しないことを認めています。さらに、同社は2017 年 12 月のアップデート (iOS 11.2、macOS 10.13.2、tvOS 11.2) にメルトダウンに対する封じ込め対策を既に組み込んでいることを確認しています。数日以内に、Safari 用のパッチを適用して、Spectre でも同様のことを行う予定です。

Mac や iOS デバイスも影響を受けますが、現時点ではシステムを侵害する可能性のある方法はありません。同社は 2017 年 12 月に追加のセキュリティ対策を追加しました。

すでにご存知のとおり、 Meltdown および Spectreとして知られる脆弱性は、「投機的実行」と呼ばれる最新の CPU の機能を利用しています。これは、複数の命令を一度に実行し、命令のパスを予測し、命令が間違っていた場合は元に戻すことで速度を向上させるために使用されます。これらすべてはソフトウェアには見えませんが、これらの脆弱性を利用して、オペレーティング システムの中心部を含むメモリの特別な領域にアクセスする可能性があります。

Apple は 2017 年 12 月からメルトダウンに対する保護措置を講じています

Apple Meltdown ロゴ アプリ

Meltdown により、特権のないユーザーによるオペレーティング システムのカーネル メモリの読み取りが可能になり、Apple のメモによれば、これが悪用される可能性が最も高い脆弱性です。 昨日述べたように、一部のセキュリティ アナリストが提唱したように、 Apple は 2017 年 12 月のアップデート、iOS 11.2、macOS 10.13.2、および tvOS 11.2 に追加の保護対策を組み込みました。 watchOS にはパッチは必要ありません。

Apple自身によると、パッチの最初のテストではオペレーティングシステムの速度低下は測定されなかった

最初の情報で述べたように、これらの修正に伴う問題の 1 つは、 修正を含むシステムの速度低下でしたが、Apple 自体は、パッチでこれらの追加のセキュリティ対策を講じた後、パフォーマンスやパフォーマンスの目に見える低下は見られなかったことを認めています。 macOS または iOS – GeekBench 4 ツール、または Speedometer、JetStream、ARES-6 などの Web 測定ツールで測定。

Spectre の悪用はより困難ですが、Safari のパッチによりすぐにブロックされる予定です

Apple Spectre ロゴ アプリ

Spectre は、他の技術を使用して、オペレーティング システム カーネルの特定のコンテンツを特権のないユーザーが利用できるようにします( CPU がメモリ呼び出しの有効性をチェックするために使用する時間遅延を使用します)。 Apple の分析では、常に最近公開された公式ノートによると、この手法は「 Mac または iOS デバイス上でローカルにアプリを実行する場合でも、活用するのは非常に困難」であると判断されていますが、 JavaScript を使用する Web ブラウザーで使用できる可能性があります。 。

Spectre はブラウザの JavaScript を使用できるため、Apple はセキュリティを強化した Safari の新バージョンの開発に取り組んでいます。近日中にリリースされる予定です。

そのため、同社はこれらの手法に対抗するために、数日以内に macOS および iOS 用の Safari のアップデートをリリースする予定です。これらのパッチによるシステムの速度低下について、Apple は、 Safari の新バージョンが社内の Speedometer および ARES-6 テストで測定可能な悪影響を及ぼさず、JetStream では 2.5% 未満であると述べています。同社はまた、これらの最初のパッチを超えて研究が継続され、それに応じてiOS、macOS、tvOS、watchOSをアップデートすることも明らかにした。

Apple が Meltdown と Spectre について語る: 2017 年 12 月以来の最初の修正と新しいアップデートが進行中・関連動画