Apple、Apple製のデバイスでは、CPUの脆弱性を利用した「Meltdown」と「Specter」の攻撃は受けていないと発表!

Appleが、「Meltdown」と「Specter」の攻撃に対して、サポートドキュメント「About speculative execution vulnerabilities in ARM-based and Intel CPUs」を公開しました。

しのドキュメントによると、Appleのデバイスは今のところ「Meltdown」と「Specter」の攻撃うぃ受け手おらず、OSのアップデートですでに適切な対応をとっているとのことです。

しかし、対策はまだ完全ではないため、今後のアップデートで引き続き対策を講じるとのことです。特に「Specter」に関してはSafari上でのJavaScriptを悪用される可能性があるため、Safariのアップデートを急いでいるとのことです。

Appleが公開したドキュメントの概要は以下の通りです。

「Meltdown」と「Spectre」という2つの名前で知られるセキュリティ問題は、すべての最新のプロセッサに適用され、ほぼすべてのコンピューティングデバイスとオペレーティングシステムに影響します。

すべてのMacとiOSデバイスは影響を受ける可能性がありますが、現時点ではユーザーに影響を及ぼす既知の悪用はないとAppleは述べています。

これらの問題の多くは悪意のあるアプリをMacまたはiOSデバイスに読み込む必要があるため、App Storeなどの信頼できるソースからのみソフトウェアをダウンロードすることをAppleは勧めています。

Appleは、「Meltdown」と「Specter」について以下のような説明をしています。

「Meltdown」は、CVE-2017-5754または「rogue data cache load」と呼ばれる開発手法に与えられた名前です。Meltdown技術は、ユーザープロセスがカーネルメモリを読み取ることを可能にします。
Appleは、iOS 11.2、MacOS 10.13.2、およびtvOS 11.2でのMeltdownの軽減策をリリースしました。 watchOSは対策を必要としませんでした。
対策後、一般的なWebブラウジングベンチマークで測定するとmacOSおよびiOSのパフォーマンスが大幅に低下することはないとのことです。

「Spectre」は、CVE-2017-5753または「bounds check bypass」とCVE-2017-5715または「branch target injection.」と呼ばれる2つの異なる開発手法をカバーする名前です。
これらの手法は、CPUがメモリアクセス呼び出しの有効性をチェックするのにかかる時間の遅延を利用することによって、カーネルメモリ内の項目をユーザプロセスが利用できるようにする可能性があります。

これらの技術を分析したところ、MacやiOSデバイス上でローカルに実行されているアプリケーションであっても、ウェブブラウザで実行されているJavaScriptで潜在的に悪用される可能性があります。

AppleはmacOSやiOS上でSafariのアップデートを公開し、これらの攻撃手法を軽減する予定です。今回のテストでは、Safariの今後の対策ではベンチマーク結果に2.5%未満の影響があることが示されています。

Appleは、「Meltdown」と「Specter」に対して、オペレーティングシステム内のさらなる対応策を開発し、テストし、iOS、macOS、およびtvOSの今後のアップデートでリリースします。 なお。watchOSは「Spectre」の影響を受けないとのことです。