Intel の CPU にまた脆弱性が発見されました。
ZombieLoad の呼ばれるこの脆弱性は、昨年1月に公表された2つの脆弱性(Meltdown, Spectre)と同様に、CPU の実行速度を上げるための機能である「投機的実行」部分に存在します。
そのため、OS やアプリケーションだけの対策では不十分で、CPU(Prossesor)の内部に保存されている microcode(Prossesor の振る舞いに関連する小さなプログラム)への対策も 必要になります。(このあたりは Meltdown, Spectre と同じです)
ここでは ZombieLoad の影響範囲と対策状況についてお伝えします。
【影響範囲】
Intel からZombieLoad が存在する Prossesor(CPU)の一覧が公開されています。
microcode revision guidance May/14/2019 (PDF)
これによると 2011 年~2017 年 10 月までに発表された Prossesor のほとんどが影響を受けるようです。
この表で、カラムの背景が緑のものは、既に対策された microcode がリリースされています。
【対策状況:Winodws】
2019 年 5 月の Windows Update に ZombieLoad の対策が含まれています。
一応 Microsoft からの情報を載せておきます。(専門家向けなので(?)、とても分かりにくいです)
投機的実行のサイドチャネルの脆弱性から保護するための IT プロフェッショナル向け Windows クライアント ガイダンス
ここからリンクを辿っていった先の先にある情報によると、Windows Update には、Windows(OS) 向けの対策と CPU 向けの対策(microcode)の両方が含まれていると書かれているようです。
ただし microcode については完全にすべての PC に適用とはいかないようですので、PC メーカーのサイトもチェックするようにとの注意書きがあります。
【対策状況:macOS】
最新の macOS Mojave 10.14.5 に対策が含まれています。(OS 及び microcode 共)
macOS Mojave 10.14.5、セキュリティアップデート 2019-003 High Sierra、セキュリティアップデート 2019-003 Sierra のセキュリティコンテンツについて
Apple はハードとソフト(OS)の両方を1つのメーカーが作っているので、microcode の更新に関してもすべてに適用されます。
ただし、現時点では microcode の更新は macOS Mojave のみで、High Sierra と Sierra については今後対応予定だそうです。
今回の対策もあくまで「緩和策」ではありますが、それでも OS を最新に保つ意味はあります。
なるべく早く Update することをお勧めします。