この記事の目的は、Intel プロセッサを VMware 製品に適用したときに、投機的実行に関連して発生するセキュリティ問題の概要を示すことです。
CVE-2018-3646 (L1 Terminal Fault - VMM)、
CVE-2018-3620 (L1 Terminal Fault - OS)、および
CVE-2018-3615 (L1 Terminal Fault - SGX) を参照してください。 これらの問題に対応するためには複数のドキュメントが必要となるため、この記事では、問題に関わる情報源を集約しています。
関連するドキュメントのいずれかに大幅な変更がある場合、この記事の「更新履歴」セクションが更新されます。 このドキュメントに新しい情報が追加されたときに通知を受け取るには、[Actions] ボックスの [Subscribe to Article] をクリックしてください。新規および更新された VMware Security Advisories を受け取るには、
Security-Announce mailing list にご登録ください。
バックグラウンド投機的実行の脆弱性について理解しやすくするために、VMware は以前に
KB52245 および
KB54951 で次のカテゴリを定義しました。次に、これらの 4 つのカテゴリの概要を示します。
- ハイパーバイザー固有の軽減策:ハイパーバイザーまたはゲスト仮想マシンから悪意のあるゲスト仮想マシンへの情報の漏洩を防止します。 これらの軽減策を行うには、VMware 製品のコードを変更する必要があります。
- ハイパーバイザーアシスト ゲストの軽減策:ゲスト仮想マシンの投機的実行に関する新しいハードウェア制御メカニズムを仮想化して、ゲスト OS が仮想マシン内のプロセッサ間の漏洩を軽減できるようにします。 これらの軽減策を行うには、VMware 製品のコードを変更する必要があります。
- オペレーティング システム固有の軽減策:ゲスト OS に適用されます。 これらの更新は、サードパーティ ベンダーから提供されます。VMware の仮想アプライアンスを使用している場合は、VMware から提供されます。
- マイクロコードによる軽減策:ハードウェア ベンダーからのマイクロコードの更新によって、システムのプロセッサに適用されます。 これらの軽減策では、ハイパーバイザーまたはゲスト OS の更新を有効にする必要はありません。
現在の投機的実行問題の軽減策に関するカテゴリの概要:
CVE-2018-3646 の軽減策では、Intel ハードウェアで実行されているホストに対して
ハイパーバイザー固有の軽減策を行う必要があります。
CVE-2018-3620 の軽減策では、
オペレーティング システム固有の軽減策を行う必要があります。
CVE-2018-3615 は VMware の製品またはサービスに影響を及ぼしません。 詳細については、
KB54913 を参照してください。