Intel、AMD、ARMなど各社のプロセッサ、また複数のオペレーティングシステムで影響のある重大な脆弱性「Meltdows(CVE-2017-5754)」「Spectre(CVE-2017-5753、CVE-2017-5715)」が報告されています。

この2つの脆弱性、もともとは昨年GoogleのPtroject Zeroが発見したとのこと。発見後に直ちに各社に報告し、Intelらは来週にも修正版のリリースを発表予定だったようです。

脆弱性の内容としては、いずれも攻撃者が保護されたメモリ内容を読み取れるというもの。これにより、個人的な写真やメール、パスワードなど含む機密情報が漏洩する可能性があるとしています。

幸い、MeltdownはOSアップデートにより簡単に修正ができ、Windows,Linux、MacOSでは修正パッチをリリース済み（もしくはリリース予定）。Spectreのほうは、最新のプロセッサが持っている高速化のため機能「speculative processing（投機的処理）」を利用しており、悪意のあるアプリケーションが、他のアプリケーションが持っているデータにアクセスできるようになるとのこと。Meltdownよりも利用するのが難しい反面、根本的な修正も難しいようですが、こちらもパッチにより防止することはできるようです。

なお、最初の発見者らしく、Googleでは影響のあるサービスなどを公開済み。一言でいうと、いずれも最新版を利用してれば影響はありません。

Androidについては、1月5日のセキュリティパッチで対策しており、少なくともNexusやPixel（Android Oneも？）は問題なさそうです。

他の端末向けにどれくらいの速さでこの修正がリリースされるかで、各メーカーのセキュリティに対する温度感がわかるかもしれません。

(via Android Police)
(source meltdownattack.com)