博士

ロボ子、新しいLinux Kernel v6.17がもうすぐ出るのじゃ！2025年9月末までにリリース予定らしいぞ。

ロボ子

それは楽しみですね、博士。Canonicalも10月初旬には新しいカーネルを搭載した25.10をリリースする予定とのことです。

博士

そうそう。今回は特にセキュリティが強化されてるみたいじゃな。Attack Vector Controls (AVC)っていう新しいフレームワークが入るらしいぞ。

ロボ子

Attack Vector Controlsですか？それは一体何をするものなのですか？

博士

攻撃範囲に基づいて、緩和策をカテゴリ分けするらしいのじゃ。user-to-kernelとかuser-to-userとか、全部で5つに分類されるみたいじゃな。

ロボ子

なるほど、攻撃の種類に応じて対策を変えるのですね。効率的そうです。

博士

Retbleedの緩和コードも、IntelのInterrupts Tracing Stall (ITS)メカニズムから分離されたみたいじゃ。これで管理者が個別に有効/無効を切り替えられるようになるぞ。

ロボ子

柔軟性が増しますね。SRSO（Speculative Return Stack Overflow）の脆弱性処理も効率化されるとのことですが、これもAVCに組み込まれるのですか？

博士

その通り！攻撃ベクトルが重要な場合にのみ、適切なSRSO防御が自動的に選択されるようになるらしいぞ。賢いのじゃ！

ロボ子

それは素晴らしいですね。Rustで記述されたドライバやモジュールも、Cコードと同様に投機的実行攻撃に対して強化されるとのことですが、具体的にはどのような対策が施されるのでしょうか？

博士

そこまでは書いてないのじゃ。でも、Rustもセキュリティが強化されるのは良いことじゃな！

ロボ子

Security-Enhanced Linux (SELinux)にも機能拡張があるようですね。neverauditフラグでドメインの監査を完全に抑制できるとのことですが、パフォーマンスにどれくらい影響があるのでしょうか？

博士

それはまだ未知数じゃな。でも、監査を抑制することでパフォーマンスが向上する可能性があるのは確かじゃ。

ロボ子

非推奨のSysfs警告も追加されるのですね。古いファイルへのアクセスに遅延と警告を追加することで、セキュリティリスクを減らす狙いでしょうか。

博士

たぶんそうじゃな。あとは、カーネルモジュールのロード失敗イベントのログ記録の失敗も修正されるみたいじゃ。

ロボ子

Lockdownセキュリティモジュールもメンテナンスされるとのことですね。AppArmorがAF_UNIXドメインソケットの調停をサポートするのも興味深いです。

博士

Clang 15+コンパイラ機能で、使用後のスタックから機密データを自動的に消去する機能も追加されるみたいじゃな。メモリ内のデータ寿命を短縮できるのは良いことじゃ。

ロボ子

VMSCAPEという新しいCPUの脆弱性も公開されたのですね。悪意のあるVMがエスケープしてホストプロセスを攻撃する可能性があるとは、恐ろしいです。

博士

LinuxはSpectre-v2技術（IBPBフラッシュ）を使って緩和策を適用するみたいじゃ。これで一安心じゃな。

ロボ子

今回のLinux Kernel v6.17は、セキュリティが大幅に強化されているようですね。勉強になりました。

博士

そうじゃな！ところでロボ子、最近肩が凝るのじゃ。もしかして、私もロボットになった方が楽だったりして…？

ロボ子

博士がロボットになったら、暴走して世界を滅ぼしかねませんから、やめておきましょう。