249
回編集
差分
編集の要約なし
セキュリティ関係の情報を随時掲載します。
==MeltdownとSpectre CPUのセキュリティホール==
(仮訳)Riseup Security Bulletinより
すでに報道を読んでいると思いますが、現在使用されているCPUには相互
に関連する3つのセキュリティ問題があります。 これらの脆弱性は、アク
セスしたWebサイトからJavascriptを読み込んだだけでも、あなたのコン
ピュータからパスワード、秘密、個人情報を盗む悪質なプログラムの可能
性が高まります。 これらの脆弱性は深刻なものであり、ソフトウェアを
アップグレードするための対策を講じる必要があります。
*「Meltdown」と呼ばれる一番目の欠陥は、ほぼすべてのインテルCPUに影響し、ほとんどのオペレーティングシステムのアップデートで修正されています。
*「Spectre」と呼ばれる他の2つの欠陥は、インテルだけでなく、過去20年間に構築されたほぼすべてのCPUに共通してみられますが、悪用は難しいとされています。 現在のところSpectreを恒久的に修正することはできませんが、ソフトウェアを更新することで攻撃の可能性が低くなります。
あなたのすべてのデバイスに対して、以下の手順を両方同時に実行すべき
です。
(1)Webブラウザをアップグレードします(下記参照)。 これらの修正に
よって、CPUに対する新たな攻撃がより困難になります。
(2)オペレーティングシステムをアップグレードします。 Windows、macOS、
およびGNU / Linux用のアップデートがあります。これらは、Intel CPUの
メルトダウンの脆弱性を修正し、Spectreに対する若干の緩和措置を提供
します。さらに、iOSとAndroidの新しいリリースではSpectreに対する緩
和措置が含まれています。
更なる修正が、オペレーティングシステムとソフトウェアについて、今後
数週間あるいは数ヶ月以内に継続して実施されると思われます。 あなた
のシステムを最新の状態に保ってください!
===ブラウザ===
ブラウザを更新することで、アクセスしたWebサイトからロードされた
Javascriptを使用して、攻撃者がコンピュータから機密情報を盗むことを
極めて困難にすることができます。
* Firefoxのバージョン57.0.4以降には、Specter攻撃への対策が含まれてい
ます[1]。
* EdgeがSpectre攻撃を緩和する措置を含むように更新されました。 最新の
Windows Updateを適用すると、新しいバージョンのEdgeが取得できます。
* Safariによれば、Safariは近々更新される予定です。 App Storeのアップ
デートを確認してください。
* Chromeは、バージョン64以降のSpectreに対する緩和措置が1月23日にリリー
スされる予定です。その間、「サイトの隔離」を有効にすることで、
Specterの脆弱性を大幅に軽減するように設定を変更できます。
https://support.google.com/chrome/answer/7623121?hl=en
さらに、Webへのアクセスを安全に保つためのベストプラクティスについ
ては、https://riseup.net/en/better-web-browsingを参照してください
(これらの新しい攻撃に対する軽減にも役立ちます)。
===Windows===
Windows 10の場合、Windowsをアップグレードする前に、最初にアンチウィ
ルスソフトウェアをアップグレードする必要があります。 これをしない
と、コンピュータが動作しなくなる可能性があります。 [2]
Windows 10をアップグレードするには:
> [スタート]ボタンを選択、[設定]> [更新とセキュリティ]> [Windows
> Update]に移動、[更新を確認する]を選択。
自動更新を有効にする良い機会でもあります:
>「スタート」ボタンを選択、「設定」>「アップデートとセキュリティ」
>>「Windows Update」>「詳細オプション」を選択、「アップデートのイ
>ンストール方法の選択」で「自動(推奨)」を選択。
Windows 7または8の場合もアップデートを利用できます。
===MacOS===
すでにMacOSバージョン10.13.2を使用している場合、Meltdown [3]に対し
ては保護されています。 それ以外の場合は、macOSをアップグレードしま
す。
> MacでApp Storeアプリを開く。 App Storeツールバーの "Updates"をク
> リック、 "Update"ボタンでリストされたアップデートをダウンロード
> してインストール。
自動更新のチェックを有効にする良い機会でもあります:
>アップルメニューを選択、「システム環境設定」>「App Store」>「アッ
>プデートを自動的にチェックする」を選択。
AppleはSpectreに対していくつかの緩和策を提供するSafariブラウザのアッ
プデートを近々リリースする予定です。
===iOS===
Appleは、iOSガSpectreの影響を受けると述ベており、新らたな攻撃の大
半を軽減するアップデートがリリースされました。 iOSバージョン11.2以
降の場合、アップデートに対処されています[3]。 新規のアップデートを
確認するには、[設定]> [一般]> [ソフトウェアアップデート]の順に選択
します。
===Android===
悪いニュースは、AndroidがSpectreに脆弱であることです。Googleブラン
ドの携帯電話を持っていない場合や、カスタムファームウェアを実行して
いない場合には、何ヶ月も更新されない可能性があります。 しかし、現
時点でセキュリティ研究者の間の共通理解は、Spectre攻撃はかなり困難
だが、おそらくAndroidデバイスを侵害するより容易な方法はあるという
ことです。 どういうことだろうか?
これらの新しいCPU攻撃に対して、Androidデバイスをより安全にするため
に今できることが1つあります。
* Chromeで「サイトの隔離」を有効にする:https://support.google.com/chrome/answer/7623121?hl=ja
* 1月23日以降にChromeブラウザをアップグレードする。
*または、Android用Firefoxを使用する。
===Debian / Ubuntu GNU / Linux===
「ソフトウェアセンター」または「ソフトウェアアップデータ」を実行。
または、端末を開いて次のように入力します。
sudo apt update
sudo apt upgrade
sudo reboot
===Fedora GNU / Linux===
端末を開き、次のように入力。
sudo dnf --refreshカーネルを更新する
sudoリブート
安全性を保ち、強靭さを維持してください。
Riseup Birds
[1] https://www.mozilla.org/en-US/security/advisories/mfsa2018-01/
[2] http://www.theregister.co.uk/2018/01/04/microsoft_windows_patch_meltdown/
[3] https://support.apple.com/en-us/HT208394
