Intel、AMD、ARMなどのモダンCPUの投機的実行 (speculative execution)プロセスに悪用可能な脆弱性が存在することが明らかになった問題で、Appleが同社製品への影響に関する情報を公開した。脆弱性の影響は全てのMacシステムおよびiOSデバイスに及ぶが、1月4日 (米国時間)時点でApple製品ユーザーの攻撃被害は確認されていない。
問題となっている脆弱性は、CVE-2017-5754 (rogue data cache load)、CVE-2017-5753 (bounds check bypass)、CVE-2017-5715 (branch target injection)など。CVE-2017-5754を利用してカーネルメモリーを読み取る手法が「Meltdown」、そしてCVE-2017-5753とCVE-2017-5715を利用した手法が「Spectre」と呼ばれている。どちらも悪用されると、パスワードや暗号カギといった機密データを第三者に読み取られる可能性がある。
Meltdownに関しては、iOS 11.2、macOS 10.13.2、tvOS 11.2のセキュリティアップデートで影響を軽減させる対応が行われた。Apple Watchには同様の対応は不要。Meltdown/Spectre対策によってシステムのパフォーマンスが低下する可能性が指摘されているが、Appleによると昨年12月にソフトウエアアップデートを提供した後、GeekBench 4、Speedometer、JetStream、ARES-6などのベンチマークツールによる計測で目立った低下は見られない。
SpectreはMacやiOSデバイスのローカルで動作するアプリであっても攻撃を成功させるのが難しい手法だが、可能性であれば、Webブラウザで動作するJavaScriptでも攻撃は可能だ。そのため、Appleは数日中にmacOSとiOSのSafariのセキュリティアップデートを提供する。Appleのテストでは、SpeedometerとARES-6ではアップデートによる低下はなく、JetStreamでも2.5%以内の低下にとどまる。
MeltdownとSpectreの問題解決には、OSだけではなく、ファームウェアやアプリケーションなど関連する全ての対応が必要になる。そのためAppleはOSアップデートによる対応を「mitigation (緩和)」としており、ユーザーのセキュリティを向上させるように、今後も継続的に必要なアップデートを提供し続けるとしている。また、悪意のあるアプリケーションの実行によってユーザーが攻撃被害を受ける可能性が高いことから、「App Storeなど信頼できるソースのみからソフトウエアをダウンロードすることをお勧めします」と呼びかけている。
