投機的実行サイドチャネル脆弱性(CVE-2018-3615、CVE-2018-3620、CVE-2018-3646): Dell製PCおよびシン クライアント製品への影響

CVE ID：CVE-2018-3615、CVE-2018-3620、CVE-2018-3646

デルは、最近公開されたCPUの投機的実行の脆弱性分野（CVE-2018-3615、CVE-2018-3620、CVE-2018-3646）を認識しています。Intelマイクロプロセッサーに影響をおよぼし、「L1ターミナルの障害」（L1TF）と総称されます。この脆弱性の詳細については、インテルから投稿されているセキュリティ アドバイザリを確認してください。

デルではデルの製品に対するこれらの脆弱性の影響を調査中であり、インテルおよび業界のその他のパートナーと協力して脆弱性の軽減に取り組んでいます。軽減方法は製品によって異なり、オペレーティング システム（OS）、仮想マシン マネージャ（VMM）、その他のソフトウェア コンポーネントのアップデートが必要となる場合があります。CVE-2018-3639およびCVE-2018-3640の軽減方法の一部としてリリースされたマイクロコードにより対応が可能です。

デルでは、これらの脆弱性が悪用される可能性を防ぐために、今後アップデートが適用されるまで、マルウェア保護対策のセキュリティー ベスト プラクティスに従っていただくことをお客様に推奨します。これらのプラクティスには、早急なソフトウェアアップデートの適用、不明なハイパーリンクやWebサイトの回避、未知のソースからのファイルやアプリケーションのダウンロードの禁止、最新のウイルス対策および高度な脅威防御ソリューションの導入などがあります（これらに限定されません）。

影響を受けるデルのクライアント製品

以下のシステムが影響を受けるため、デルのBIOSリリース（BIOSアップデート）経由でアップデートされたファームウェアが配布される予定です。このリストの日付は、CPUベンダーからのマイクロコード配信に基づきます。これらの日付はお客様の計画作成のための目安であり、利用可能になった時点でパッケージのダウンロード用のリンクとともに情報をアップデートします。

前述の脆弱性を軽減するために適用する必要がある重要なコンポーネントが2つあります。

1. CVE-2018-3639およびCVE-2018-3640の製品の表に記載されたシステムBIOS
2. オペレーティング システムおよびハイパーバイザのアップデート

その他のDell製品の詳細については、 https://www.dell.com/support/article/sln318303 をご覧ください。

外部参照資料

• インテル: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html
• マイクロソフト: https://portal.msrc.microsoft.com/en-us/security-guidance/advisory/adv180018
• RedHat: https://access.redhat.com/security/vulnerabilities/L1TF
• SuSe: https://www.suse.com/c/suse-addresses-the-l1-terminal-fault-issue/
• Ubuntu: https://wiki.ubuntu.com/SecurityTeam/KnowledgeBase/L1TF
• VMWare: https://kb.vmware.com/kb/55636