プロセッサ起因の脆弱性MeltdownとSpectre
プロセッサ起因の脆弱性MeltdownとSpectre
2017年末にパソコン、スマホ、IoT機器などのプロセッサ起因の脆弱性MeltdownとSprctreが公表されました。 これについてOS各社などが対策用のアップデートを行なっています。 先月から現在にかけての最新版アップデートを行なっていない人はすぐに適用するようにしてください。 これはOSやアプリケーションなどのソフトウェアが原因の脆弱性ではなく、コンピュータの計算機能を集約するプロセッサの脆弱性となり、影響範囲はかなりの大きさとなります。 個人用のパソコン、スマホなどにとどまらず、Webサーバーやその他組み込み型のものなどでも同じリスクを追うことになります。 ひとまず目の前のもののアップデートを先んじて行えば、個人としての対応は終わりです。 近年のプロセッサは予測実行や投機的実行という機能を備えており、これはプログラムの命令群を順番どおりでなく後の命令でも早く実行できるものから実行していくことにより処理速度の向上を図る設計になっています。 この機能の欠陥により、一つのプログラムが他のプログラムのデータを任意に取得することができるようになるというもので、例を挙げるとブラウザで動作するJavascriptが他のアプリやOSのパスワードを読み出すことができるようになるということがこの脆弱性の概略です。 これはIntelの代表的なプロセッサCoreシリーズやスマートフォンタブレットのARM系のプロセッサも同じ設計になっているため、今回発見された脆弱性は広範囲に及びます。 この問題を解決するためにはソフトウェア側で投機実行や予測実行の機能を部分的にオミットしていく必要があります。 そのため脆弱性修正後にパフォーマンスに大小の影響がでるということになります。 個人向けのパソコンよりも大規模なWEBサーバーなどでのパフォーマンス低下がかなり大きな影響を及ぼすことになりそうです。 根本的な修正のためにはプロセッサの入れ替えが必要になり、それをパフォーマンスを低く抑えながらソフト側で対応する状況となっています。