セキュリティ情報

提供: Anti-surveillance
2018年1月7日 (日) 14:30時点におけるInvisible (トーク | 投稿記録)による版
(差分) ← 古い版 | 最新版 (差分) | 新しい版 → (差分)
移動先: 案内検索

セキュリティ関係の情報を随時掲載します。

MeltdownとSpectre CPUのセキュリティホール

(仮訳)Riseup Security Bulletinより

すでに報道を読んでいると思いますが、現在使用されているCPUには相互 に関連する3つのセキュリティ問題があります。 これらの脆弱性は、アク セスしたWebサイトからJavascriptを読み込んだだけでも、あなたのコン ピュータからパスワード、秘密、個人情報を盗む悪質なプログラムの可能 性が高まります。 これらの脆弱性は深刻なものであり、ソフトウェアを アップグレードするための対策を講じる必要があります。

  • 「Meltdown」と呼ばれる一番目の欠陥は、ほぼすべてのインテルCPUに影響し、ほとんどのオペレーティングシステムのアップデートで修正されています。
  • 「Spectre」と呼ばれる他の2つの欠陥は、インテルだけでなく、過去20年間に構築されたほぼすべてのCPUに共通してみられますが、悪用は難しいとされています。 現在のところSpectreを恒久的に修正することはできませんが、ソフトウェアを更新することで攻撃の可能性が低くなります。

あなたのすべてのデバイスに対して、以下の手順を両方同時に実行すべき です。

(1)Webブラウザをアップグレードします(下記参照)。 これらの修正に よって、CPUに対する新たな攻撃がより困難になります。

(2)オペレーティングシステムをアップグレードします。 Windows、macOS、 およびGNU / Linux用のアップデートがあります。これらは、Intel CPUの メルトダウンの脆弱性を修正し、Spectreに対する若干の緩和措置を提供 します。さらに、iOSとAndroidの新しいリリースではSpectreに対する緩 和措置が含まれています。

更なる修正が、オペレーティングシステムとソフトウェアについて、今後 数週間あるいは数ヶ月以内に継続して実施されると思われます。 あなた のシステムを最新の状態に保ってください!

ブラウザ

ブラウザを更新することで、アクセスしたWebサイトからロードされた Javascriptを使用して、攻撃者がコンピュータから機密情報を盗むことを 極めて困難にすることができます。

  • Firefoxのバージョン57.0.4以降には、Specter攻撃への対策が含まれてい

ます[1]。

  • EdgeがSpectre攻撃を緩和する措置を含むように更新されました。 最新の

Windows Updateを適用すると、新しいバージョンのEdgeが取得できます。

  • Safariによれば、Safariは近々更新される予定です。 App Storeのアップ

デートを確認してください。

  • Chromeは、バージョン64以降のSpectreに対する緩和措置が1月23日にリリー

スされる予定です。その間、「サイトの隔離」を有効にすることで、 Specterの脆弱性を大幅に軽減するように設定を変更できます。 https://support.google.com/chrome/answer/7623121?hl=en

さらに、Webへのアクセスを安全に保つためのベストプラクティスについ ては、https://riseup.net/en/better-web-browsingを参照してください (これらの新しい攻撃に対する軽減にも役立ちます)。

Windows

Windows 10の場合、Windowsをアップグレードする前に、最初にアンチウィ ルスソフトウェアをアップグレードする必要があります。 これをしない と、コンピュータが動作しなくなる可能性があります。 [2]

Windows 10をアップグレードするには:

> [スタート]ボタンを選択、[設定]> [更新とセキュリティ]> [Windows > Update]に移動、[更新を確認する]を選択。

自動更新を有効にする良い機会でもあります:

>「スタート」ボタンを選択、「設定」>「アップデートとセキュリティ」 >>「Windows Update」>「詳細オプション」を選択、「アップデートのイ >ンストール方法の選択」で「自動(推奨)」を選択。

Windows 7または8の場合もアップデートを利用できます。

MacOS

すでにMacOSバージョン10.13.2を使用している場合、Meltdown [3]に対し ては保護されています。 それ以外の場合は、macOSをアップグレードしま す。

> MacでApp Storeアプリを開く。 App Storeツールバーの "Updates"をク > リック、 "Update"ボタンでリストされたアップデートをダウンロード > してインストール。

自動更新のチェックを有効にする良い機会でもあります:

>アップルメニューを選択、「システム環境設定」>「App Store」>「アッ >プデートを自動的にチェックする」を選択。

AppleはSpectreに対していくつかの緩和策を提供するSafariブラウザのアッ プデートを近々リリースする予定です。

iOS

Appleは、iOSガSpectreの影響を受けると述ベており、新らたな攻撃の大 半を軽減するアップデートがリリースされました。 iOSバージョン11.2以 降の場合、アップデートに対処されています[3]。 新規のアップデートを 確認するには、[設定]> [一般]> [ソフトウェアアップデート]の順に選択 します。

Android

悪いニュースは、AndroidがSpectreに脆弱であることです。Googleブラン ドの携帯電話を持っていない場合や、カスタムファームウェアを実行して いない場合には、何ヶ月も更新されない可能性があります。 しかし、現 時点でセキュリティ研究者の間の共通理解は、Spectre攻撃はかなり困難 だが、おそらくAndroidデバイスを侵害するより容易な方法はあるという ことです。 どういうことだろうか?

これらの新しいCPU攻撃に対して、Androidデバイスをより安全にするため に今できることが1つあります。

Debian / Ubuntu GNU / Linux

「ソフトウェアセンター」または「ソフトウェアアップデータ」を実行。

または、端末を開いて次のように入力します。 sudo apt update sudo apt upgrade sudo reboot

Fedora GNU / Linux

端末を開き、次のように入力。 sudo dnf --refreshカーネルを更新する sudoリブート

安全性を保ち、強靭さを維持してください。 Riseup Birds

[1] https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/ [2] http://www.theregister.co.uk/2018/01/04/microsoft_windows_patch_meltdown/ [3] https://support.apple.com/en-us/HT208394