メルトダウンとスペクターの脆弱性からLinuxMintを保護する

最近では、過去10年間のすべてのIntel CPU、およびSpectreの場合は特定のARM64およびAMD CPUを含む、すべての最新のCPUに影響を与えるMeltdownおよびSpectreの欠陥について誰もが知っています。 LinuxMintプロジェクトの背後にあるチーム ユーザーに警告しています LinuxMintマシンを保護する方法に関する有用な推奨事項を提供します。

MeltdownとSpectreの脆弱性に気付いていない場合は、次の2つの記事で詳しく説明しています。

• MicrosoftはMeltdownとSpectreのCPUの欠陥に対する緊急修正を展開しています
• MeltdownおよびSpectreのCPUの欠陥に対するWindows7および8.1の修正は次のとおりです。

つまり、MeltdownとSpectreの両方の脆弱性により、プロセスは、仮想マシンの外部からでも、他のプロセスのプライベートデータを読み取ることができます。 これは、CPUがデータをプリフェッチする方法をIntelが実装しているために可能です。 これは、OSにパッチを適用するだけでは修正できません。 この修正には、OSカーネルの更新、CPUマイクロコードの更新、場合によっては一部のデバイスのUEFI / BIOS /ファームウェアの更新が含まれ、エクスプロイトを完全に軽減します。

予想どおり、主な推奨事項は、OSで利用可能なすべての更新プログラムをインストールすることです。

ブラウザ

アップデートには、最近リリースされたFirefox57.0.4が含まれます。 このバージョンのブラウザには、前述の脅威に対する追加の保護があります。 どちらの攻撃も正確なタイミングに依存しているため、Firefoxでいくつかのタイムソースの精度を無効にするか下げると役立ちます。 次の記事を参照してください。 MeltdownおよびSpectre攻撃の回避策とともにリリースされたFirefox57.0.4.

注：Chromium / Google Chromeユーザーの場合、ブラウザの修正は次のバージョン64で予定されています。 現在、フルサイト分離機能を有効にすることでブラウザをすばやく保護できます。 記事を見る MeltdownとSpectreの脆弱性からGoogleChromeを保護する

Operaブラウザには同じフルサイト分離機能があります。 住所を入力してください opera：// flags /？search = enable-site-per-process アドレスバーで、脆弱性から身を守るためにフラグを有効にします。

運転手

Linux Mintユーザーへの2番目の提案は、プロプライエタリドライバーを使用している場合は、NVIDIAドライバーバージョン384.111をインストールすることです。 Linux Mint 17.xおよび18.xでは、このアップデートはUpdateManagerで利用できます。 Linux Mint Debian Editionのユーザーは、 NVIDIAWebサイト.

Linuxカーネル

チームは、Linux Mint18.xおよびLinuxMint17.x用の更新されたカーネルのリリースに取り組んでいます。 この記事の執筆時点では、OSのDebianエディションのみが更新されたカーネル（3.16.51-3 + deb8u1）を持っています。

一般に、利用可能なすべての更新を利用可能になったらすぐにインストールすると、保護されます。 これらの脆弱性はブラウザでJavaScriptのみを使用して悪用される可能性があるため、信頼できないWebサイトを回避するか、JavaScriptを無効にするか、次のようなアドオンを使用してホワイトリストに登録することを検討してください。 NoScript Firefoxの場合またはGoogleChrome / Chromiumベースのブラウザの場合はScriptBlock。

それでおしまい。