JVNVU#93823979 CPU に対するサイドチャネル攻撃(JVN)
JPCERT/CCは、プロセッサの脆弱性を突くことで情報詐取が可能になるMeltdown(CVE-2017-5754)やSpectre(CVE-2017-5753/CVE-2017-5715)に対するベンダ情報へのリンクや参考情報を脆弱性関連情報を掲載しているが9日、Appleへのリンク情報をJVN(Japan Vulnerability Notesに)追加した。
Appleでは、macOSやSafari、iOSなど対応するセキュリティアップデートを現地時間8日に公開している(Apple security updates)。また、Microsoftは、日本時間4日にアドバイザリ(ADV180002)を公開しているが、10日には月例更新プログラムを公開。TechNetブログでは、その概要を解説している。また、IPAではMicrosoft1月更新プログラムの適用方法などのガイドや参考情報をまとめている。MeltdownやSpectreとの関連性は指摘されていないが、Officeの脆弱性CVE-2018-0802(CVE-2018-0802 | Microsoft Word のメモリ破損の脆弱性(Microsoft Webサイト内))では、攻撃の発生が報告されており、早期の修正プログラム適用を促している。
東芝グループはいかに、サプライチェーン攻撃に備えているのか