概要
マイクロソフトは、次の表に説明されているとおり、複数の CVE が割り当てられている L1 Terminal Fault (L1TF) と呼ばれる新しい投機的実行サイド チャネルの脆弱性を認識しています。 この脆弱性は Intel® Core® プロセッサと Intel® Xeon® プロセッサに影響を及ぼします。 詳細については、次の Intel のアドバイザリを参照してください。 https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html
現時点において、Microsoft はお客様を攻撃する目的でこれらの脆弱性が使用されたことを示す情報を得ていません。 マイクロソフトは、お客様を保護するために、チップの製造元、ハードウェア OEM、アプリ ベンダーなどの業界のパートナーと密接な協力を続けています。 利用できるすべての保護を受けるには、ファームウェア (マイクロコード) とソフトウェアの更新プログラムが必要です。 これには、デバイス OEM のマイクロコードや、場合によっては、ウイルス対策ソフトウェア用の更新プログラムが含まれます。
このアドバイザリは次の脆弱性を解決します。
CVE |
名前 |
適用性 |
---|---|---|
L1 Terminal Fault |
Intel® Software Guard Extensions (SGX) |
|
L1 Terminal Fault |
オペレーティング システム (OS)、システム管理モード (SMM) |
|
L1 Terminal Fault |
Virtual Machine Manager (VMM) |
このクラスの脆弱性に関する詳細については、マイクロソフト セキュリティ アドバイザリ ADV180018 を参照してください。
概要
次のセクションは、マイクロソフト セキュリティ アドバイザリ ADV180018 に示されている脆弱性の影響を受ける Azure Stack 環境の特定、問題の軽減と修正に役立ちます。
これらの問題に対処するために、マイクロソフトはハードウェア業界と協力して軽減策とガイダンスを策定しています。
推奨される操作
Azure Stack のお客様は、次の措置を講じて Azure Stack インフラストラクチャを脆弱性から保護する必要があります。
-
Azure Stack 1808 更新プログラムを適用します。 Azure Stack 統合システムにこの更新プログラムを適用する方法については、Azure Stack 1808 更新プログラム リリース ノートを参照してください。
-
Azure Stack OEM ベンダーからファームウェア更新プログラムをインストールします。 更新プログラムをダウンロードして適用するには、OEM ベンダーの Web サイトを参照してください。
FAQ
Q1: Azure Stack がこのクラスの脆弱性の影響を受けているかどうかはどのようにして確認できますか?
A1: すべての Azure Stack 統合システムがマイクロソフト セキュリティ アドバイザリ ADV180018 に記載されているクラスの脆弱性の影響を受けています。
Q2: このクラスの脆弱性を修正するための Azure Stack 用の更新プログラムはどこにありますか?
A2: Azure Stack 統合システムにこの更新プログラムを適用する方法については、Azure Stack 1808 更新プログラム リリース ノートを参照してください。 Microsoft Azure Stack 用の更新プログラムに関する詳細については、http://aka.ms/azurestackupdate を参照してください。
Q3: Azure Stack 統合システム用のファームウェア更新プログラムはどこにありますか?
A3: ファームウェア更新プログラムは OEM 固有のものになります。 更新プログラムをダウンロードして適用するには、OEM ベンダーの Web サイトを参照してください。
Q4: Azure Stack 統合システムが最新の更新プログラム (バージョン 1807) を実行していません。 どうしたらよいですか。
A4: Azure Stack 更新プログラムは順次追加されていく累積的なものです。 Azure Stack 1808 更新プログラムを適用するまえに、以前の更新プログラムをすべて適用する必要があります。
Q5: Azure Stack 開発キット (ASDK) を実行しています。 このキットもこのクラスの脆弱性の影響を受けていますか?
A5: はい、受けています。 最新バージョンの ASDK をインストールすることをお勧めします。 ファームウェア更新プログラムについては、OEM ベンダーの Web サイトを参照し、更新プログラムをダウンロードして適用してください。
Q6: 他の Azure Stack テナントからアプリケーションを隔離するために、仮想マシンのオペレーティング システムを更新する必要がありますか?
A6 : Azure Stack 上で実行しているアプリケーションを他の Azure Stack テナントから隔離するためにオペレーティング システムを更新する必要ありませんが、ソフトウェアを最新の状態にすることをお勧めします。 Windows 向けの最新のセキュリティ ロールアップにはいくつかの投機的実行サイド チャネルの脆弱性に対する緩和策が含まれています。 同様に、Linux ディストリビューションには、これらの脆弱性を解決するためにリリースされた複数の更新プログラムがあります。
Q7: このサイドチャネルの脆弱性に対する緩和策に関連するパフォーマンスへの影響はありますか?
A7: マイクロソフト セキュリティ アドバイザリ ADV180018 で説明されているとおり、システムの構成やどの緩和策が必要であるかによって、テスト中にこれらの緩和策によるパフォーマンスへの影響が多少見られました。 パフォーマンスへの影響の可能性を低減するために、Azure Stack 1808 リリースには、マイクロソフトが推奨するすべてのソフトウェア構成の更新プログラムが含まれています。 パフォーマンスへの影響が発生している場合は、Azure Stack 上で実行している仮想マシンを再起動してください。 再起動の効果を有効にするには、Azure Stack ポータルから、または Azure Stack 内の Azure CLI を介して再起動を実行する必要があります。