新たに「Meltdown」「Spectre」関連の脆弱性、IntelはBIOSアップデートの準備

[鈴木聖子，ITmedia]

　Intelなどのプロセッサに発覚した「Meltdown」「Spectre」と呼ばれる脆弱性に関連して、新たに2件の脆弱性が確認された。IntelやMicrosoftは5月21日、この脆弱性に関する情報を公開し、今後の対応について説明している。

　Intelによると、プロセッサに実装されている2つのソフトウェア分析手法に関して、もし悪用されればセンシティブなデータが流出する恐れのある問題が、セキュリティ研究者によって発見された。Intelではこの脆弱性を、それぞれ「Speculative Store Bypass（SSB）＝Variant 4」（CVE-2018-3639）、「Rogue System Register Read（RSRE）＝Variant 3a」（CVE-2018-3640）と命名している。

　いずれの脆弱性も、これまでに発覚した脆弱性と同様、投機的実行と呼ばれる命令実行の手法を使ったマイクロプロセッサが影響を受ける。危険度は「中」程度、共通脆弱性評価システム（CVSS）では4.3（最大値は10.0）と評価している。

脆弱性について説明したIntelのブログ

脆弱性の影響を受けるプロセッサの一覧（出典：Intel）

　脆弱性が存在するのは、Intel Core、Core X、Xeon、Atom、Celeron、Pentiumなど多数のプロセッサ。Intel以外のプロセッサを搭載したシステムについては、メーカーに問い合わせるよう促している。

　Intelは数週間以内に、今回の脆弱性に対処するBIOSアップデートやソフトウェアアップデートの正式版を公開する見通し。

　Microsoftが21日に臨時公開したセキュリティ情報によれば、RSREの脆弱性は、「Surface Book」や「Surface Pro」などの製品が影響を受ける。悪用された場合、「アドレス空間配置のランダム化（ASLR）」と呼ばれるセキュリティ対策をかわされる恐れがある。

　この問題を緩和するためのファームウェアアップデートは、準備が整った時点でWindows Updateを通じて配信する方針。

　一方、SSBの脆弱性については、「現時点でわれわれのソフトウェアやクラウドサービスインフラに、脆弱性のあるコードパターンは見つかっていない」と説明している。