先週、2つのサイドチャネル攻撃であるSpectreとMeltdownのニュースが発表されたとき、AppleはiOS 11.2、macOS 10.13.2、およびtvOS 11.2でMeltdownの軽減策をすでにリリースしており、引き続きSpectreに対する修正がされることを述べた。今日、同社はSafariとWebKitをSpectre攻撃から保護するためのセキュリティアップデートを3回リリースした。3つのアップデートは、iOS、macOS、Safariブラウザ自体に対する変更である。
Chris Swan氏が週末InfoQのレポートで述べたように、ブラウザは特にSpectreの脆弱性のターゲットになっています。なぜなら、ブラウザで実行されているJavaScriptを介して潜在的に悪用され得るからである。同様のパッチがChromeとFirefox用にすでにリリースされている。
いつもと変わらないが、Appleはどの脆弱性が対象となっているかを明らかにすること以外にはほとんど詳細を述べていない。しかし、リリースノートでGoogle Project ZeroのJann Hornを含むバグの発見に寄与した研究者に感謝している。
木曜日に発表された声明で、Appleは次のように述べている。
現時点では、顧客に影響を及ぼす既知の悪用はありません。これらの問題の多くは悪意のあるアプリをMacまたはiOSデバイスに読み込む必要があるため、App Storeなどの信頼できるソースからのみソフトウェアをダウンロードすることをおすすめします。
Apple WatchはMeltdownとSpectreの脆弱性の影響を受けていないとも述べている。
関連するアップデートであるiOS 11.2.2とmacOS High Sierra 10.13.2は現在互換デバイス上で無料で利用可能である。iOS 11.2.2は、iPhone 5以降、iPad Air以降、iPod touch 第6世代で使用できる。インストールするには、[設定]> [一般]> [ソフトウェアアップデート]の順に選択する。High SierraユーザはMac App Storeに行った方がよい。Spectreのリスクにも対応するSafari 11.0.2アップデートが、OS X El Capitan 10.11.6およびmacOS Sierra 10.12を実行するMacで利用できる。
マイクロソフトでは、Windowsユーザー用の更新プログラム(KB4056892)も発行しているが、一部のユーザーはそれをAMD搭載PCにインストールした後に問題を報告している。
Rate this Article
- Editor Review
- Chief Editor Action