CPUの脆弱性修正パッチ

MicrosoftはIntel CPUの脆弱性に対応したWindows10 v1803 April 2018 Update(A2U)専用マイクロコードアップデートKB4100347をMicrosoft Updateカタログに公開しました。

Microsoft Updateカタログ

KB4100347

このパッチを適用することでSpectre Variant 2 (CVE-2017-5715)への対策が施されます。詳細なCPU対応リストはKB4100347のページをご覧くださいませ。v1709 Fall Creators Update(FCU)の方はFCU専用のKB4090007をご利用ください。

適用時の注意点として、過去にレジストリ操作等でSpectre対策を無効にしている場合は、適用前に有効にしておく必要があります。

以下、このパッチとBIOSアップデートとの違いの簡単な説明になります。

マザーボードメーカーが提供するBIOSアップデートの場合はPC起動時にマイクロコードがCPUに読み込まれるため、全てのOSにマイクロコードが適用されます。KB4100347やKB4090007の場合はWindows起動時にマイクロコードがCPUに読み込まれるため、Windowsでのみマイクロコードが適用されます。

つまり、BIOSアップデートを既に適用済みの場合はKB4100347やKB4090007を適用する必要はありません。

KB4100347やKB4090007は技術的にはWindowsのパッチのひとつとして動作しているため、もし、マイクロコードに何かしらの不具合があった場合は、Windows上から普通にアンインストールができます。マザーボードにBIOSアップデートを行う前に、問題がないかどうか確認しておく手段としてもお使いいただけます。

(Source:AMD)

AMDは2018年4月10日付けでCPUの脆弱性Spectre (Variant 2 / CVE-2017-5715)に対応したマイクロコードをリリースしたことを発表しました。Bulldozerまで遡ったプロッセッサが対象となり、このマイクロコードはマザーボードメーカーなどが提供するBIOSアップデートなどを通じて入手できるとのことです。

Spectre (Variant 2 / CVE-2017-5715)への対策は、OS側での設定も必要で、MicrosoftはIndirect Branch Prediction Barrier(以下、IBPB)と呼ばれる緩和策を実装しました。 (なお、Linuxに関しては2018年初めに既に対応済みとのことです)

IBPBを有効化するには、MSのページによると、コマンドプロンプト(管理者)から、

CPUの脆弱性Spectre (Variant 2 / CVE-2017-5715)に対応したWindows10 v1709 Fall Creators Update専用マイクロコードアップデートKB4090007が2018年3月13日付けで更新されて、Skylake ～ Coffee Lakeまでのマイクロコードに対応しました。より詳細なCPUリストはKB4090007のページをご確認くださいませ。

適用時の注意点として、過去にレジストリ操作等でSpectre対策を無効にしている場合は、適用前に有効にしておく必要があります。

マザーボードメーカーが提供するBIOSアップデート(ファームウェア)の場合はPC起動時にマイクロコードがCPUに読み込まれるため、全てのOSにマイクロコードが適用されるかたちとなりますが、KB4090007の場合、Windows起動時にマイクロコードがCPUに読み込まれるため、Windowsでのみマイクロコードが適用されます。

ちょっとややこしいですが↓こういうことです。

KB4090007は技術的にはWindowsのパッチのひとつとして動作しているため、もし、マイクロコードに何かしらの不具合があった場合は、Windows上から普通にアンインストールができます。マザーボードにBIOSアップデートを行う前に、問題がないかどうか確認しておく手段としても良いかもしれません。

KB4090007はWindowsUpdateには降ってこないため、適用したい場合は下記のMicrosoft Updateカタログよりダウンロードをどうぞ。

Microsoft Updateカタログ
KB4090007 (Windows10 v1709 Fall Creators Update専用)

(Source:Microsoft)

MicrosoftはCPUの脆弱性Spectre (Variant 2 / CVE-2017-5715)に対応するため、Intelのマイクロコードを含んだ更新プログラムをMicrosoft UpdateカタログにKB4090007として掲載しました。この更新プログラムはWindows10 v1709 Fall Creators Update用となっており、現時点ではSkylake CPUを対象にしています。

KB4090007のページによると　「新たなマイクロコードが利用可能になると、このKBページを通じてアップデートを提供していく」　と伝えており、もしかしたら、同じKB番号で対象CPUがどんどん追加されていくのかもしれません。

適用時の注意点として、過去にレジストリ操作等でSpectre対策を無効にしている場合は、適用前に有効にしておく必要があるとのことです。

マザーボードメーカーが提供するBIOSアップデート(ファームウェア)の場合はPC起動時にマイクロコードがCPUに読み込まれるため、全てのOSにマイクロコードが適用されるかたちとなりますが、KB4090007の場合、Windows起動時にマイクロコードがCPUに読み込まれるため、Windowsでのみマイクロコードが適用されます。

ちょっとややこしいですが↓こういうことです。

KB4090007は技術的にはWindowsのパッチのひとつとして動作しているため、もし、マイクロコードに何かしらの不具合があった場合は、Windows上から普通にアンインストールができます。マザーボードにBIOSアップデートを行う前に、問題がないかどうか確認しておく手段としても良いかもしれません。

しかし、以前のマイクロコードでは再起動問題だけでなく、データの消失や破損というとんでもないやらかしをしていたり、　「再検証したらSkylakeだけはやっぱ大丈夫だったから以前から変更なし」　というガバガバな検証体制で変更を加えず再リリースをしたものが今回のマイクロコードだったりするため、使用にあたっては万が一に備えておくことをおすすめいたします。

2018/3/14追記
KB4090007がSkylake ～ Coffee Lakeまで対応しました。詳細は下記の記事をご覧くださいませ。

【アプデ】 Win10FCU専用マイクロコードアップデートKB4090007がSkylake ～ Coffee Lakeまで対応

と言っても書いていることはこことほとんど同じですが／(^o^)＼

/////////////////////
更新履歴
① 詳しい仕組みが判明したため、記事を大幅に改訂。以前は　「ファームウェアアップデート」　と表現していましたが、このパッチでファームウェアのアップデートはされませんでした。ごめんなさい。
/////////////////////

CPUの脆弱性対策のためにIntelの欠陥ファームウェア(BIOS)を適用して、再起動問題やデータの消失、システムの不安定などで困っている人向けに、MicrosoftはSpectre Variant 2 (CVE-2017-5715)の対策を無効にするパッチKB4078130をMicrosoft Updateカタログで公開しました。

このパッチを適用することで、ファームウェアが起因する各種不具合が起こらなくなります。WindowsUpdateには降ってきませんので、お困りの方は下記よりダウンロードをどうぞ。Windows7 ～ 10まで全てに対応しています。

KB4078130ファイル直リンク: Win7 ～ 10 64bit / 32bit共通

言うまでもなく、このパッチを適用するとSpectreに対する穴は開いたままになります。ファームウェアの不具合解消後には、再度有効にすることをMicrosoftは推奨しています。

注意: KB4078130はSpectreを無効にするレジストリを設定するだけのものです。そのため、再度有効にするには、手動でレジストリを書き換える必要があります。ここのページの『修正プログラム * を有効にするには』の項目に有効化の仕方が書かれていますが、よくわからないようでしたらKB4078130の適用はおすすめしません。より簡単な『InSpectre』の使用をおすすめします。 既にKB4078130を適用してしまい、戻し方がわからない場合、InSpectreから『Enable Spectre Protection』に設定しても有効に戻るはずです。

Microsoftによると、2018年1月25日時点ではSpectre Variant 2が攻撃に使用されたという報告はまだないそうです。

ちなみに、このパッチ以外にも、

• サードパーティツールの『InSpectre』を使う
• 直接レジストリを書き換える (クライアント向け / サーバ向け)
• ファームウェアを以前のものに戻す

といった方法でも無効にできます。お好みの方法でどうぞ。

2018年1月10日に配信されたWindows7 / 8.1用KBのザックリまとめです。この記事は足りないKBや不具合等が見つかった場合に随時更新いたします。

と言っても、1月5日から随時配信されていたものが1月度になるようです。『セキュリティのみの品質更新プログラム』と『セキュリティマンスリー品質ロールアップ』については下記の記事をご覧くださいませ。

『セキュリティのみの品質更新プログラム』
【アプデ】 Microsoft、Windows7 / 8.1用CPUの脆弱性を修正する『セキュリティのみの品質更新プログラム』を公開
『セキュリティマンスリー品質ロールアップ』
【アプデ】 Microsoft、CPUの脆弱性を修正する『セキュリティマンスリー品質ロールアップ』を公開

普段からMicrosoft Updateカタログを使用されている方は前者、WindowsUpdateクライアントを使用されている方は後者です。

以下、上記以外で2018年1月10日配信分のザックリ説明＆ファイルの直リンクになります。(OfficeやSkype等のMS製品類は割愛しています)

/////////////////////
更新履歴
① .NETパッチWin7用KB4055532/KB4055269、Win8.1用KB4055266/KB4055271を追記。
② Win8.1用KB4033369(.NET 4.7.1)を追記。
③ .NET 4.7.1用言語パックWin7用KB4033339/Win8.1用KB4033417を追記。
④ Win8.1用『Intel - System - 10/3/2017 12:00:00 AM - 11.7.0.1045』を追記。
⑤ KB4055532に不具合を追記。
⑥ KB4055532の不具合について追記。『セキュリティのみ』は不具合なし。
⑦ KB4055532の不具合について追記。バグ修正版が再配信されました。
⑧ KB4033342の直リンクを修正。.NET4.7.1本体のアドレスが、4.7.1追加パッチ(KB4054852)のアドレスなっていました。インストールしようとしてもできなかったはずです。ごめんなさい。
⑨ KB4074906が配信＆追記。
/////////////////////

CPUの脆弱性対策を無効にすることができるツール『InSpectre』がGibson Research Corporationによって公開されました。

このツールを使って『Disable Meltdown Protection』『Disable Spectre Protection』を設定後、PCを再起動すればCPUの脆弱性対策を無効化することができます。つまり、一時的にパッチ適用前のパフォーマンスを発揮できるようになります。

Microsoftは、Windows10 v1709 Fall Creators Update 32bit専用のセキュリティアップデート、KB4073291をMicrosoft Updateカタログで公開しました。

KB4073291 (Win10 v1709用) ファイル直リンク:32bit / 10系その他のエディション

Microsoftによると、この更新プログラムはMeltdown (CVE 2017-5754)の対策パッチとしており、できるだけ早くインストールすることを推奨しています。 (これまでの32bitパッチにはMeltdownへの対策が含まれていない模様) しかし、そう言う割には、なぜかWindowsUpdateには配信していません。

早くインストールを推奨しておいてWindowsUpdateに配信しないということは、なにかしら配信できない理由があることが考えられます(検証が十分に済んでいないなど)。そのため、すぐに適用するかどうかは慎重にご判断ください。この更新プログラムが本当に重要なものであれば、いずれカタログ専用は撤回されて、WindowsUpdateに降ってくるものと思われます。

なお、この更新プログラムは一部の古いAMD CPU環境でOSが起動できなくなる問題も修正されているとのことです。

また、この更新プログラムには下記の既知の不具合があります。

[既知の不具合]
• KB4054517(おそらくKB4054517以降という意味)のアップデートが成功しているにも関わらず、0x80070643エラーが表示される場合があります。Microsoftによると、再度、WindowsUpdateを実行して、KB4054517が降って来なければちゃんと成功しているとのことです。
• CoInitializeSecurityを呼び出す場合、特定の条件下でRPC_C_IMP_LEVEL_NONEを渡すと呼び出しが失敗します。
• 一部のアンチウイルスソフトと競合する場合があります。最悪、BSoDの危険性があるため、アンチウイルスソフトがこの更新プログラムに対応しているか必ずご確認ください。

関連記事
【CPU】 CPUの脆弱性対策を一時的に無効にして、パッチ適用前のパフォーマンスを得る方法

Microsoftは一部の古いAMD CPU環境でOSが起動できなくなる問題に対処したWindows10用更新プログラムをMicrosoft Updateカタログで公開しました。

KB4073290 (Win10 v1709 Fall Creators Update用)
ファイル直リンク:64bit / 32bit / v1709系その他のエディション
備考: 32bit版はKB4073291として配信されています。詳細は下記の記事をご覧くださいませ。

【アプデ】 Microsoft、Win10 FCU 32bit専用Meltdownの対策パッチを公開

KB4057144 (Win10 v1703 Creators Update用)
ファイル直リンク:64bit / 32bit / v1703系その他のエディション

KB4057142 (Win10 v1607 Anniversary Update用)
ファイル直リンク:64bit / 32bit / v1607系その他のエディション

(※これらの更新プログラムは古いAMD CPU環境(Athlon 64 X2やSempronなど)向けのため、Intel環境やRYZEN環境などであればスルーして問題ありません)

これらはWindowsUpdateには降ってきませんので必要な方は手動でダウンロード・適用してください。

Windows10の更新プログラムは累積されるため、これらには2018年1月度の修正等(CPUの脆弱性対策など)も含まれています。言い換えるなら、不具合も含まれています。1月度は多数の不具合が出ているため、すぐに適用するかどうかは慎重にご判断ください。1月度の不具合については下記の記事をご覧くださいませ。

【アプデ】 Microsoft、Windows10にCPUの脆弱性を修正する更新プログラムを配信

MicrosoftはWindows7 / 8.1用にCPUの脆弱性を修正する『セキュリティのみの品質更新プログラム』をMicrosoft Updateカタログで公開しました。この更新プログラムはWindowsUpdateクライアントには降ってきません。

WindowsUpdateクライアント向けとなる『セキュリティマンスリー品質ロールアップ』についてはこちらの記事、その他の1月度のパッチについてはこちらの記事をご覧くださいませ。

以下、Windows7 / 8.1向けのザックリ説明＆ファイル直リンクになります。多数の不具合が出ているため、すぐに適用するかどうかは慎重にご判断ください。

/////////////////////
更新履歴
① IE用パッチKB4056568を追記。
② 記事の説明を修正。
誤:WUに降ってこない場合、このレジストリを設定するとWUに降ってくるようになります。
正:適用が上手くいかない場合、このレジストリを設定すると適用できるようになるはずです。
『セキュリティのみの品質更新プログラム』はWUに降ってきません。WUクラ向けの記事の方からコピペした際、書き換えるのを忘れていました。ごめんなさい。
③ Win8.1用KB4056898にテレメトリ(Consent.exe)の混入が確認されました。
④ Win7用KB4056897にもテレメトリ(Consent.exe)の混入が確認されました。
⑤ Win7用KB4056897に追記。DiXiM系ソフトが原因でOSが起動しなくなる不具合有。
⑥ Win7用KB4056897とWin8.1用KB4056898に一部のAMD CPU環境でOSが起動しなくなる不具合有。
⑦ Win8.1用KB4056898に追記。DiXiM系ソフトが原因でOSが起動しなくなる不具合有。
⑧ DiXiM系での不具合、公式アナウンスへのリンクを追記。
⑨ Win7用KB4056897に追記。再起動中にフリーズする不具合有。
⑩ Win7用KB4056897にメモリに不正アクセスが可能な脆弱性について追記。
/////////////////////

MicrosoftはWindows7 / 8.1用にCPUの脆弱性を修正する『セキュリティマンスリー品質ロールアップ』の配信を開始しました。この更新プログラムはWindowsUpdateクライアント使用者向けとなっています。

Microsoft Updateカタログ専用となる『セキュリティのみの品質更新プログラム』についてはこちらの記事、その他の1月度のパッチについてはこちらの記事をご覧くださいませ。

以下、Windows7 / 8.1向けのザックリ説明＆ファイル直リンクになります。多数の不具合が出ているため、すぐに適用するかどうかは慎重にご判断ください。

/////////////////////
更新履歴
① Win8.1用パッチKB4056895を追記。パッチ情報のみ公開で、配信はまだのようです。
② Win8.1用パッチKB4056895がWUに配信開始＆MSカタログで公開。

③ Win7用KB4056894に追記。DiXiM系ソフトが原因でOSが起動しなくなる不具合有。

④ Win7用KB4056894とWin8.1用KB4056895に一部のAMD CPU環境でOSが起動しなくなる不具合有。

⑤ Win8.1用KB4056895に追記。DiXiM系ソフトが原因でOSが起動しなくなる不具合有。

⑥ DiXiM系での不具合、公式アナウンスへのリンクを追記。
⑦ Win7用KB4056894に追記。再起動中にフリーズする不具合有。
⑧ Win7用KB4056894に追記。SMBサーバーでメモリリークする不具合有。
⑨ Win7用KB4056894にメモリに不正アクセスが可能な脆弱性について追記。

/////////////////////

2018年1月5日からWindowsUpdateなど配信されているCPUの脆弱性を修正する更新プログラムを適用すると、一部のAMD CPU環境でOSが起動できなくなる不具合が見つかりました。そのため、現時点で該当するAMD CPUを使用している環境には、下記の更新プログラムの配信を一時停止するとMicrosoftは発表しました。

＜　Windows7　＞
KB4056897 (セキュリティのみの品質更新プログラム)
KB4056894 (セキュリティマンスリー品質ロールアップ)

＜　Windows8.1　＞
KB4056898 (セキュリティのみの品質更新プログラム)
KB4056895 (セキュリティマンスリー品質ロールアップ)

＜　Windows10　＞
KB4056892 (v1709 Fall Creators Update用)
KB4056891 (v1703 Creators Update用)
KB4056890 (v1607 Anniversary Update用)
KB4056888 (v1511)
KB4056893 (v1507)

MSカタログでのみ公開されている『セキュリティのみの品質更新プログラム』をどうやって該当するAMD CPU環境に配信停止するのかと、突っ込みどころのある内容ですが、とりあえず2018年1月5日以降に配信されたパッチ全てが対象となっている模様です。

なお、具体的なCPU名はMicrosoftから案内されていません。MSフォーラムのユーザ報告によると、Athlon 64 X2 6000+やAthlon 64 X2 5200+、Sempron 3200+などでこの現象が発生しているとのことです。

2018/1/15追記
上記問題に対処したWindows7 / 8.1用更新プログラムが公開されました。詳細は下記の記事をご覧くださいませ。

【アプデ】 Microsoft、一部のAMD CPUでOSが起動できなくなる問題に対処した更新プログラムを公開

2018/1/18追記
Windows10用更新プログラムも公開されました。詳細は下記の記事をご覧くださいませ。

【アプデ】 Microsoft、AMD CPUでOSが起動できなくなる問題に対処したWindows10用更新プログラムを公開

MicrosoftはWindows10にCPUの脆弱性を修正する更新プログラムの配信を開始しました。WindowsUpdateに以下の更新プログラムが降ってきます。

KB4056890 v1607 Anniversary Update用
KB4056891 v1703 Creators Update用
KB4056892 v1709 Fall Creators Update用

ただし、多数の不具合が出ているため、すぐに適用するかどうかは慎重にご判断ください。

以下、不具合内容になります。

GeForce 390.65ドライバが公開されました。このドライバではNVIDIA Freestyleへのサポートが追加されています。NVIDIA Freestyleとは、プレイ中のゲームに

白黒やナイトモードなど、フィルタをかけることができるGeForce Experienceの最新機能とのことです。

(Source:Meltdown & Spectre Updates Benchmarked, Big Slow Down for SSDs!)

前回、Windowsに配信されたCPUの脆弱性パッチの適用前と適用後のベンチマークに大きな差はありませんでした。

CPUの脆弱性に完全に対応するには、マザーボードのBIOSアップデートも必要と言われており、いくつかのマザーボードでBIOSアップデートがチラホラと出てきいるようで、

• WindowsUpdate適用後 + BIOSアップデート後
• WindowsUpdate適用後
• WindowsUpdate適用前

これらの各種ベンチマークが公開されました。まず、一番酷い結果をどうぞ。

WindowsUpdate適用後 + BIOSアップデート後、NVMeドライブへの読み込み/書き込み速度が、約40％ものパフォーマンスダウンをしています。ATTO Disk Benchmarkのことはいまいちよく知らないため、これが実際のワークロードにどう影響してくるのか自分にはわかりませんが、半端ないインパクトですね……。

なお、他のベンチマークに関してはこれほどまでに大きな差は出ていません。ゲームに関しても概ね大丈夫そうですが、CPUボトルネックになりそうな画質設定によっては、数％のフレームレートの低下が見られるゲームもあります。

それでは各種ベンチマーク結果をどうぞ。i3-8100 + GTX 1080 Ti Test、i7-8700K + GTX 1080 Ti Test、i7-8700K + NVMe SSD Test、i7-8700K + SATA SSD Test、の順番になります。