Microsoft、Intelの修正版対策パッチをWindows 10向けにリリース

ITmediaの記事だが、これをすぐに当てる人がどれほどいるのかは、ちょっと気になる。
http://www.itmedia.co.jp/enterprise/articles/1803/02/news061.html


まあ、Haswell向けではないので、まだ私の環境には届かないが、たとえ提供が始まっても、私のPro環境では14日遅れて更新されるように設定を変更している。
画像


なぜなら、Spectreのパッチは、結果的に私の環境に被害を与えたからだ。

1つは、ブラウザが無応答になり止まる。
2つ目に、スタートメニューの挙動がおかしくなる。
3つ目に、スマホをストレージとしてPCに繋ぐと、認識が不安定になる(認識してはすぐに接続が切れ、また接続される)という厄介な症状。
4つ目は、プチフリーズすることがあるというもの。

説明は難しいがカーネル時間が跳ね上がっているのかもしれない。
パッチ無効化で改善したので、これが原因だったのは間違いない。
それから、14日に変更した。これだけ期間があればインストール前までになんとかしてくれるだろうと信じている。

最近アップデート関連でセキュリティソフトとの問題など、トラブル報告が増加しているので、それもあってHome以外は全面的に少し遅らす方が得策と判断した訳だ。


<品質が上がらないWindowsアップデート>

しかし、このところのWindows Updateはいろいろ不備が多い。例えば最新のパッチに書かれている既知の問題は、4つもある。そのうちの2つはDISMを必要とする可能性もある。素人が当たると簡単な作業ではないだろう。
https://support.microsoft.com/ja-jp/help/4074588

まあ、だから更新を遅らせたい訳だが、遅らせてもこれらの問題が解決する訳では無い。大抵は、既知の問題が他にあるかどうかが、見つかるぐらいに留まる。もし、大きなトラブルが見つかれば、アップデートそのものの提供は一時的に止まるか、既知の問題に対策が一つ加算される。それだけのことだ。

だから、企業向けやPro向けのアップデートは遅らせることが出来る訳だ。

OSとして見ると8.1や7より堅牢な部分もあるので、7や8.1の方が今更良いという話ではないが、もう少し検証品質を上げる努力をして欲しいものだ。


<SpectreとMeltdownがもたらすのこの先の変化>

話をパッチの対象となるSpectreに戻すとこれは、数年後にはPCにおける脆弱性攻撃の標準方式になる可能性がある。他の脆弱性攻撃と組み合わせると、これはやはり脅威のままで推移するからだ。

たぶん、数年後ぐらいからこれを使った攻撃が、実用的な範疇に入ってくるのではないかと思われる。それまでに、大切なセキュリティを司る主力PCやサーバーを買い換える必要が出てくるかも知れない。

まあ、今年買っても、この脆弱性は緩和パッチで対応されているので残る。実質セキュリティで考えるなら、来年のIcelakeやZEN2世代での購入になるだろう。


そして、この変化は特にハードウェア設計や攻撃方法の模索に大きな地殻変動を与えることになるだろう。

既にArmは今年に入ってからの発表会で、CPU関連のハードウェア脆弱性はこれに留まらず今後見つかるかもしれないという見解を示した。これは、Intelなどの動きからも読み取れるが、他のメーカーも急遽設計を変更する中で、他に脆弱性がないかを調べているはずだ。

そして、もし見つかれば、次の製品発表頃に発表されると思われる。見つかり次第ではないのは、今回の混乱を見る限り、対策不十分の段階でリークしたり、発表されたりすると後々の影響が大きいからだ。今回は、リークが先行したことで、発表を数日以上早め、サンプルコード開示も早かった。

それが、パッチの検証不足を生み、まるでパッチが古典ウィルスのようにシステムの動作に支障を与えた。
次は、そんな真似をしないために、たとえリークされたとしても、準備が終わるまではサンプルコードなどは出さずに、火消しをしてちゃんと時が来てから、発表する方針に変更する可能性が高い。

新プロセッサの設計段階で見つかった脆弱性なら尚のこと、次の世代が安全でかつ既に販売できる状況にあると確約した段階で、既存の脆弱性を発表しないと買い控えにも繋がりかねない。そのため、発表は次の製品に合わせると思われる。


さらに、最後の決め手は高速化の手法として使われてきた部分の一部を、厳格化しなければいけないため、たとえ最新のプロセッサでも、一部の処理は短期的に以前より、遅くなるかもしれないということだ。今回の場合、IcelakeやCannonlakeとZEN2などの製品では、目標性能を維持して抜本的な対策を講じることが出来るだけの時間はないと思われる。

あくまで、今回の脆弱性と目につく可能性のある脆弱性を探し当てて、それに対して応急措置をするのが、手一杯だろう。今回の場合は、Protection Ring3から1や0、マイナス1のキャッシュ内破棄コードを読み取れる状況を、無くすことに重点を置くため、コード実行の結果がwrongの場合は、キャッシュ破棄を先に行うなどの対処になるのか?はたまた、修正パッチできっと行っているであろうPR分離でも行うのか……。

とにかく、最初の世代は、時間的な余裕もなく対策を施すことだけに重点を置くため、パフォーマンスは想定より落ちる(とは言っても登場していないので、使う側が気が付くこともない)だろう。

それを、改良時間が十分に取れる次々世代以降でセキュリティに配慮しつつこれまでの流れに戻すことになる。プロセッサメーカーにとっては、ある意味、この問題は横並びで新しいスタートラインを引かれたようなものなのかもしれない。


ESET ファミリー セキュリティ (最新版) | 5台3年版 | カード版 | Win/Mac/Android対応
キヤノンITソリューションズ
2017-04-01

amazon.co.jpで買う
Amazonアソシエイト by ESET ファミリー セキュリティ (最新版) | 5台3年版 | カード版 | Win/Mac/Android対応 の詳しい情報を見る / ウェブリブログ商品ポータル







ブログ気持玉

クリックして気持ちを伝えよう!

ログインしてクリックすれば、自分のブログへのリンクが付きます。

→ログインへ

なるほど(納得、参考になった、ヘー)
驚いた
面白い
ナイス
ガッツ(がんばれ!)
かわいい

気持玉数 : 0

この記事へのコメント

この記事へのトラックバック