こんにちは~

あひるです。

年明け早々、IT業界がざわついていますね。

何でも、Intelをはじめ、各種CPUにて

IDやパスワードが悪意のある第3者に抜き取られる可能性のある

脆弱性が見つかったとのことです。



脆弱性は「スペクター」と「メルトダウン」の

2つが報告されています。

この記事では「スペクター」と「メルトダウン」によって

引き起こされる問題と、その対策について記述したいと思います。

スペクターが起こす問題

対象はIntelをはじめ、各社CPU。

スペクターが引き超こすのはブラウザなどのアプリが持っている

メモリ領域が他のアプリから読み取れてしまうという問題です。

悪意のある第3者がこれを利用することで、

会員情報のログインIDやパスワードが

抜き取られてしまう危険性があります。

メルトダウンが起こす問題

対象は1995年以降のIntel製CPUになります。

メルトダウンが引き起こすのは、

投機的実行を悪用されたメモリの読み取りです。

どういうことかというと、CPUには、

高速に処理するために、

この後に実行されるであろう処理を先に処理することにより、

処理の高速化を図る仕組みがあります。

これが「投機的実行」です。

この「投機的実行」のメモリの使い方が不完全だったため、

第3者からメモリの内容が読み取れる状態となっていました。

もちろんメモリ領域にはIDやパスワードも保持されるため、

これらが悪意のある第3者に読み取られる恐れがあります。



※メモリとは、人間でいうところのメモ帳のようなものです。

メモ帳の内容が他人に見られたら困りますよね?

脆弱性の対策方法

・メルトダウン
アップルはメルトダウンに対して、

各種CPUに対して、脆弱性の緩和策をリリースしました。


・スペクター
Safariは近日中にアップウデートを予定。

Edge、IEともに対策バージョンをリリース済み。

Chromeの対策バーションをリリース済み。

FireFoxは対策バーションがリリース済み。



アップデートがまだの方は、

至急アップデートすることをオススメします!

対策パッチの影響

メルトダウンはメモリを効率的に使用したが故に、

発生した脆弱性なので、脆弱性の対策パッチを

あてることで、処理速度が5%から30%ほど低下する

可能性があると言われています。



30%も低下するのは嫌ですが、

パスワードが漏洩するよりかはいいですかね・・・



年明け早々、IT業界の方々は対応に追われることになりそうですね・・・

IT業界の方、お疲れ様ですm(__)m