アカウント名:
パスワード:
ペナルティほぼなしの“Specter V2”緩和策が「Windows 10 バージョン 1809」に導入 - 窓の杜 [impress.co.jp]で
“Retpoline”を有効化するには、カーネルモードで動作するバイナリを再コンパイルする必要がある。OSとそれに同梱されているカーネルモードドライバーだけならともかく、サードパーティー製のバイナリすべてにそれを要求するのは不可能なので、導入は一筋縄ではいかない。“Retpoline”非対応バイナリに対しては“Retpoline”ではなく、従来からある緩和策を適用する必要があるためだ。
って書いてあるんだけど、OS側の変更だけでは意味がないのかな?
プログラマなら「カーネルモードで動作するバイナリを再コンパイルする必要がある」って説明だけで全て伝わるのですが一般ユーザには何のことだかサッパリわからないですよね
Retpolineを正しく機能させるにはカーネルモードで動作するバイナリを全部Retploine対応版に更新する必要があります.
具体的には以下のバイナリを更新することになりますA) マイクロソフト製のカーネルB) マイクロソフト製のデバイスドライバ (Windowsが自動でインストールしてくれるドライバです)C) ユーザが手動で追加インストールするサードパーティー製のデバイスドライバ (Windowsが自動インストールしてくれないドライバです)
これらAとBとCがすべて retpoline に対応しないかぎり,脆弱性は残ったままになります.
AとBは,windows update で自動的に retpoline 対応バイナリに差し替わっていくはずなので特に気にしなくて大丈夫です.マイクロソフトを信じましょう.
問題は C) の手動でインストールしたドライバです.これが retpoline 未対応だと脆弱性は残ったままになります.これはマイクロソフトはサポートしてくれないので自分で何とかする必要があります.
またA,B,C以外のバイナリ,たとえばワードとかエクセルみたいなアプリは基本的に変更不要です
ただ一部のアプリケーションは,こっそりサードパーティー製のデバイスドライバをインストールしていることがあります(たとえばCADアプリで,ライセンス認証でドングルと呼ばれるハードウェアキーを使うやつとかです)とりあえずよくわからないときは,セキュリティアップデートが出てないか逐次確認して,適宜更新するしかありませんね.
今はWindows Updateで降ってくるインボックスドライバがほとんどになったはずだけどセキュリティにうるさいのにセキュリティ水準が低い銀行とか公的機関の無料配布ツール系がヤバそう
> セキュリティにうるさいのにセキュリティ水準が低い銀行 言い得て妙ですね。
ややこしいのが、カーネルモードドライバとユーザーモードドライバがあるということ。脆弱性に問題があるのはカーネルモードドライバだが、一般ユーザーには区別がつかない。大体ライセンス認証ドングルはユーザーモードドライバじゃないかな(うーんでもhack除けにカーネル側に入れるかなぁ)
Windows Updateから降ってくるドライバーってサードパーティー製のもあった気がするんだけど、1WHQLの認証要件にretpoline対応が追加されたりしたのかな?
https://techcommunity.microsoft.com/t5/Windows-Kernel-Internals/Mitiga... [microsoft.com] ここにwindowsのretpoline実装は混在環境をサポートしなくてはならず、retpolineで更新されたドライバの実行時に高いパフォーマンスを提供するがセキュリティを守るためにretpolineでないドライバーに入るとハードウェアベースの緩和にフォールバックする
>これが retpoline 未対応だと脆弱性は残ったままになります.
Retpolineは別に新しい脆弱性の緩和じゃなくて、セキュリティ的には従来と同じ緩和策だけど速度低下少ない版って事なので、Retpolineに非対応なら「速度低下の大きい従来の緩和策」が引き続き守ってくれるだけなのでは。
より多くのコメントがこの議論にあるかもしれませんが、JavaScriptが有効ではない環境を使用している場合、クラシックなコメントシステム(D1)に設定を変更する必要があります。
にわかな奴ほど語りたがる -- あるハッカー
プログラム側が対応しないと意味がない? (スコア:0)
ペナルティほぼなしの“Specter V2”緩和策が「Windows 10 バージョン 1809」に導入 - 窓の杜 [impress.co.jp]で
って書いてあるんだけど、OS側の変更だけでは意味がないのかな?
Re:プログラム側が対応しないと意味がない? (スコア:1)
プログラマなら「カーネルモードで動作するバイナリを再コンパイルする必要がある」って説明だけで全て伝わるのですが
一般ユーザには何のことだかサッパリわからないですよね
Retpolineを正しく機能させるには
カーネルモードで動作するバイナリを全部Retploine対応版に更新する必要があります.
具体的には以下のバイナリを更新することになります
A) マイクロソフト製のカーネル
B) マイクロソフト製のデバイスドライバ
(Windowsが自動でインストールしてくれるドライバです)
C) ユーザが手動で追加インストールするサードパーティー製のデバイスドライバ
(Windowsが自動インストールしてくれないドライバです)
これらAとBとCがすべて retpoline に対応しないかぎり,脆弱性は残ったままになります.
AとBは,windows update で自動的に retpoline 対応バイナリに差し替わっていくはずなので
特に気にしなくて大丈夫です.マイクロソフトを信じましょう.
問題は C) の手動でインストールしたドライバです.
これが retpoline 未対応だと脆弱性は残ったままになります.
これはマイクロソフトはサポートしてくれないので自分で何とかする必要があります.
またA,B,C以外のバイナリ,たとえばワードとかエクセルみたいなアプリは基本的に変更不要です
ただ一部のアプリケーションは,こっそりサードパーティー製のデバイスドライバをインストールしていることがあります
(たとえばCADアプリで,ライセンス認証でドングルと呼ばれるハードウェアキーを使うやつとかです)
とりあえずよくわからないときは,セキュリティアップデートが出てないか逐次確認して,適宜更新するしかありませんね.
Re:プログラム側が対応しないと意味がない? (スコア:1)
今はWindows Updateで降ってくるインボックスドライバがほとんどになったはずだけど
セキュリティにうるさいのにセキュリティ水準が低い銀行とか公的機関の無料配布ツール系がヤバそう
Re: (スコア:0)
> セキュリティにうるさいのにセキュリティ水準が低い銀行
言い得て妙ですね。
Re: (スコア:0)
ややこしいのが、カーネルモードドライバとユーザーモードドライバがあるということ。
脆弱性に問題があるのはカーネルモードドライバだが、一般ユーザーには区別がつかない。
大体ライセンス認証ドングルはユーザーモードドライバじゃないかな
(うーんでもhack除けにカーネル側に入れるかなぁ)
Re: (スコア:0)
Windows Updateから降ってくるドライバーってサードパーティー製のもあった気がするんだけど、1WHQLの認証要件にretpoline対応が追加されたりしたのかな?
Re: (スコア:0)
https://techcommunity.microsoft.com/t5/Windows-Kernel-Internals/Mitiga... [microsoft.com]
ここに
windowsのretpoline実装は混在環境をサポートしなくてはならず、
retpolineで更新されたドライバの実行時に高いパフォーマンスを提供するが
セキュリティを守るためにretpolineでないドライバーに入るとハードウェアベースの緩和にフォールバックする
Re: (スコア:0)
>これが retpoline 未対応だと脆弱性は残ったままになります.
Retpolineは別に新しい脆弱性の緩和じゃなくて、セキュリティ的には従来と同じ緩和策だけど
速度低下少ない版って事なので、Retpolineに非対応なら「速度低下の大きい従来の緩和策」が引き続き守ってくれるだけなのでは。