web-dev-qa-db-ja.com

MeltdownのワークステーションOSにパッチを適用しないことのリスクは何ですか?

以下を想定します。

  • macOS(しかし、それがそれほど重要かどうかはわかりません)

  • ワークステーション、主にアプリストアまたはオープンソースのリポジトリからmacports homebrewを介して新しい実行可能ファイルを取得します

  • jS、PythonおよびRubyスクリプト、リポジトリからのロード、(PythonおよびJSリポジトリは非常によく吟味されていますが、私が理解している限り、これらはこの脆弱性からの低レベルのハックの非常に良い候補ではありません)

  • オンラインJavascriptもこれを悪用するために利用できないと仮定します。

  • 6年前のCPU。KPTIの回避策の上限で30%の損失があり、ベンダー保証がないと仮定します。

ASLRなどをバイパスできるのは悪い知らせだと私は完全に理解しています。そして、もし悪意のあるプログラムがそれ自身をエスカレートすることができるなら、おそらく特権のエスカレーション。

だが...

ほとんど信頼できるソースからプログラムを慎重にダウンロードする場合

パッチを適用しないことで、リスクがそれほど大きくない場合に、その30%のヒットを回避できますか?私のシステムで悪意のあるマルウェアが実行されている場合、この特定の脆弱性に関係なく、それはすでにほとんどのセキュリティが失われています。

定義上、あらゆる種類の未知のプログラムを実行するクラウドサービスプロバイダーのPOVとは非常に異なって見えます。または、VMで任意のコードを実行し、その保護に依存している誰かに。

また、OSベンダーがこれにパッチを適用すると、将来のベンダーパッチにアクセスするためにとにかくMeltdownにパッチを適用する必要があることにも気づきます。

つまり、答えはになると思います。いいえ、遅かれ早かれパッチを適用する必要があります

いいえ、遅かれ早かれパッチを適用する必要があります。

さらに真剣に、ワークステーションスタイルのマシンの場合、メルトダウンは、マルウェアまたは既存の侵害の場合の主な懸念事項です。 (カーネルメモリの読み取りとその結果としての特権の昇格を可能にするという点で)メディアはMeltdownについて多くのノイズを出しました(ある程度正しいので、ホスティング会社、仮想マシンホスティングなどの場合、それはかなり大きな問題です)が、平均ユーザーがワークステーションのメルトダウンの影響を受けることはほとんどありません。

そうは言っても、30%のヒット率は見込めません。典型的なワークロードのほとんどのベンチマークは、数パーセント程度を示しています。指摘するように、これ以上更新を取得しないか、最終的にパフォーマンスヒットを受け入れる必要があります。 (LinuxカーネルがKPTIをオフにする必要があるようなフラグをOS Xが追加しない限り。)

2
David