Microsoft、Windowsカーネルの脆弱性を公表 ～“Spectre Variant 1”の亜種

米Microsoftは8月6日（現地時間）、Windowsカーネルに情報漏洩の脆弱性（CVE-2019-1125）が存在することを明らかにした。この脆弱性は、昨年話題となったCPU脆弱性“Spectre Variant 1”の亜種であるという。CVSSの基本値は“5.6”。

“Spectre”は、IntelやAMD、ARMなど多くのCPUで採用されている高速化技術“投機的実行（speculative execution）”に起因する脆弱性。投機的実行はCPUの空きリソースを活用して条件分岐の先をあらかじめ実行しておくことで処理の高速化を図るが、その挙動を外部から観察（サイドチャネル分析）することで、本来アクセスできないはずの機密データを取得できてしまうという。攻撃者が管理者権限を直接取得できるわけではないが、システムを攻撃するための情報を収集されてしまう恐れがある。

今回公表された“CVE-2019-1125”は2019年7月の月例更新で対策済みで、自動更新を適用していれば影響を受けることはない。CPUベンダーが提供するマイクロコードの更新も不要だ。発表が遅れたのは、業界で対策の足並みをそろえるためであったという。