Win10チューニング,WindowsUpdate

MicrosoftはIntel CPUの脆弱性に対応したWindows10 v1803 April 2018 Update(A2U)専用マイクロコードアップデートKB4100347をMicrosoft Updateカタログに公開しました。

このパッチを適用することでSpectre Variant 2 (CVE-2017-5715)への対策が施されます。詳細なCPU対応リストはKB4100347のページをご覧くださいませ。v1709 Fall Creators Update(FCU)の方はFCU専用のKB4090007をご利用ください。

適用時の注意点として、過去にレジストリ操作等でSpectre対策を無効にしている場合は、適用前に有効にしておく必要があります。

以下、このパッチとBIOSアップデートとの違いの簡単な説明になります。

マザーボードメーカーが提供するBIOSアップデートの場合はPC起動時にマイクロコードがCPUに読み込まれるため、全てのOSにマイクロコードが適用されます。KB4100347やKB4090007の場合はWindows起動時にマイクロコードがCPUに読み込まれるため、Windowsでのみマイクロコードが適用されます。

マイクロコードを含むパッケージマイクロコードの読み込み適用範囲
KB41003477 (A2U) / KB4090007 (FCU)
Windows起動時KB4100347やKB4090007を適用しているWindowsのみ
マザーボードのBIOSアップデートPC起動時 (OS起動前)全てのOS

つまり、BIOSアップデートを既に適用済みの場合はKB4100347やKB4090007を適用する必要はありません。

KB4100347やKB4090007は技術的にはWindowsのパッチのひとつとして動作しているため、もし、マイクロコードに何かしらの不具合があった場合は、Windows上から普通にアンインストールができます。マザーボードにBIOSアップデートを行う前に、問題がないかどうか確認しておく手段としてもお使いいただけます。

CPU


(Source:Exclusive: Spectre-NG - Multiple new Intel CPU flaws revealed, several serious)

ドイツメディアのheise.deは、Intelのプロセッサに新たな脆弱性『Spectre Next Generation』(Spectre-NG)が見つかったことを報じました。今回見つかった脆弱性は計8つで、内4つはハイリスクに分類されています。

基本的にはSpectreに似た性質を持っているものの、内1つの脅威は特に高く、仮想マシンでエクスプロイトコードを実行すると、そこからホストシステムを攻撃できる可能性があると伝えています。

Intelは既にパッチの作成に取り組んでおり、2018年5月と8月の2回にわけて公開を予定しているとのことです。

注意点として、これらの内容はheise.deが独占ニュースとして報じており、ソース元がどこなのかは伝えられておらず真偽は不明です。本当であるなら、5月のパッチ公開にあわせてIntelから発表がされるでしょう。

2018/5/22追記
報じられていた内容とは齟齬がありますが、Variant 4という脆弱性が発表されました。詳細は下記の記事をご覧くださいませ。

CPU,WindowsUpdate


(Source:AMD)

AMDは2018年4月10日付けでCPUの脆弱性Spectre (Variant 2 / CVE-2017-5715)に対応したマイクロコードをリリースしたことを発表しました。Bulldozerまで遡ったプロッセッサが対象となり、このマイクロコードはマザーボードメーカーなどが提供するBIOSアップデートなどを通じて入手できるとのことです。

Spectre (Variant 2 / CVE-2017-5715)への対策は、OS側での設定も必要で、MicrosoftはIndirect Branch Prediction Barrier(以下、IBPB)と呼ばれる緩和策を実装しました。 (なお、Linuxに関しては2018年初めに既に対応済みとのことです)

IBPBを有効化するには、MSのページによると、コマンドプロンプト(管理者)から、

CPU

Intelは2018年4月2日付けでCPUの脆弱性Spectre (Variant 2 / CVE-2017-5715)に対応したマイクロコードのリリースノートを更新しました。Sandy bridge ~ Coffee Lakeまでのマイクロコードは3月上旬に作成が完了しているので、次はCore i第1世代用が完了したのかと思いきや、

Core i第1世代以前は作成中止となりました。古いですし、仕方ないといえば仕方ないですが……。しかし、全て中止ではなく、LynnfieldやNehalem EXなど、作成されているものもあります。完全なリストはリリースノートをご覧くださいませ。

Win10チューニング,WindowsUpdate

CPUの脆弱性Spectre (Variant 2 / CVE-2017-5715)に対応したWindows10 v1709 Fall Creators Update専用マイクロコードアップデートKB4090007が2018年3月13日付けで更新されて、Skylake ~ Coffee Lakeまでのマイクロコードに対応しました。より詳細なCPUリストはKB4090007のページをご確認くださいませ。

適用時の注意点として、過去にレジストリ操作等でSpectre対策を無効にしている場合は、適用前に有効にしておく必要があります。

マザーボードメーカーが提供するBIOSアップデート(ファームウェア)の場合はPC起動時にマイクロコードがCPUに読み込まれるため、全てのOSにマイクロコードが適用されるかたちとなりますが、KB4090007の場合、Windows起動時にマイクロコードがCPUに読み込まれるため、Windowsでのみマイクロコードが適用されます。

ちょっとややこしいですが↓こういうことです。

マイクロコードを含むパッケージマイクロコードの読み込み適用範囲
KB4090007Windows起動時KB4090007を適用しているWindowsのみ
マザーボードのBIOSアップデートPC起動時 (OS起動前)全てのOS

KB4090007は技術的にはWindowsのパッチのひとつとして動作しているため、もし、マイクロコードに何かしらの不具合があった場合は、Windows上から普通にアンインストールができます。マザーボードにBIOSアップデートを行う前に、問題がないかどうか確認しておく手段としても良いかもしれません。

KB4090007はWindowsUpdateには降ってこないため、適用したい場合は下記のMicrosoft Updateカタログよりダウンロードをどうぞ。

CPU

IntelはCPUの脆弱性Spectre (Variant 2 / CVE-2017-5715)に対応したマイクロコードのリリースノートを2018年3月6日付けへと更新し、Sandy Bridge ~ Coffee Lakeまでのマイクロコードの作成が完了し、リリースした旨を掲載しました。

この流れでいくと次は第1世代用マイクロコードの作成でしょうか。また、Intel的には

Core 2あたりまでマイクロコードを作るようです。

あとは、マザーボード・PCメーカーやOS側がどの世代までサポートするか、といったところですね。

2018/4/4追記
Core i第1世代以前のマイクロコード作成が中止となりました。詳細は下記の記事をご覧くださいませ。

Win10チューニング,WindowsUpdate


(Source:Microsoft)

MicrosoftはCPUの脆弱性Spectre (Variant 2 / CVE-2017-5715)に対応するため、Intelのマイクロコードを含んだ更新プログラムをMicrosoft UpdateカタログにKB4090007として掲載しました。この更新プログラムはWindows10 v1709 Fall Creators Update用となっており、現時点ではSkylake CPUを対象にしています。

KB4090007のページによると 「新たなマイクロコードが利用可能になると、このKBページを通じてアップデートを提供していく」 と伝えており、もしかしたら、同じKB番号で対象CPUがどんどん追加されていくのかもしれません。

適用時の注意点として、過去にレジストリ操作等でSpectre対策を無効にしている場合は、適用前に有効にしておく必要があるとのことです。

マザーボードメーカーが提供するBIOSアップデート(ファームウェア)の場合はPC起動時にマイクロコードがCPUに読み込まれるため、全てのOSにマイクロコードが適用されるかたちとなりますが、KB4090007の場合、Windows起動時にマイクロコードがCPUに読み込まれるため、Windowsでのみマイクロコードが適用されます。

ちょっとややこしいですが↓こういうことです。

マイクロコードを含むパッケージマイクロコードの読み込み適用範囲
KB4090007Windows起動時KB4090007を適用しているWindowsのみ
マザーボードのBIOSアップデートPC起動時 (OS起動前)全てのOS

KB4090007は技術的にはWindowsのパッチのひとつとして動作しているため、もし、マイクロコードに何かしらの不具合があった場合は、Windows上から普通にアンインストールができます。マザーボードにBIOSアップデートを行う前に、問題がないかどうか確認しておく手段としても良いかもしれません。

しかし、以前のマイクロコードでは再起動問題だけでなく、データの消失や破損というとんでもないやらかしをしていたり、 「再検証したらSkylakeだけはやっぱ大丈夫だったから以前から変更なし」 というガバガバな検証体制で変更を加えず再リリースをしたものが今回のマイクロコードだったりするため、使用にあたっては万が一に備えておくことをおすすめいたします。

2018/3/14追記
KB4090007がSkylake ~ Coffee Lakeまで対応しました。詳細は下記の記事をご覧くださいませ。

と言っても書いていることはこことほとんど同じですが/(^o^)\

/////////////////////
更新履歴
① 詳しい仕組みが判明したため、記事を大幅に改訂。以前は 「ファームウェアアップデート」 と表現していましたが、このパッチでファームウェアのアップデートはされませんでした。ごめんなさい。
/////////////////////

CPU


(Source:Recent PCs have little to fear from Intel's Spectre microcode updates)

Dellは2018年2月18日付でIntel環境向けにSpectre (Variant 2 / CVE-2017-5715)再起動問題に対応したBIOSアップデートの配信を開始しました。海外メディアのThe Tech ReportはさっそくこのBIOSの適用前と後のベンチマークを公開しました。

適用前と後でどれくらいのパフォーマンス差が出てくるのか。サクッと結果をどうぞ!

CPU


(Source:Intel)

IntelはKaby LakeとCoffee Lakeおよび前回含まれなかったSkylake向けに、CPUの脆弱性に対応したマイクロコードをリリースしたことを発表しました。このマイクロコードは各メーカーのBIOSアップデート(ファームウェア)などを通じて利用可能になります。

さて、前回のSkylakeに関しては何の変更もない再リリースでしたが、今回はどうでしょうか。リリースノートをザッと見たところ、

今回は[***]という表記はなく、このリリースノート上では再リリースではないことを示しています。しかしながら2chによると、この『0x84』は過去に掲載されていたという指摘が出ています。

CPU

先日、IntelはCPUの脆弱性に対応したSkylake用マイクロコードをリリースしたことを発表しましたが、このマイクロコードは前回リリースされたものから一切変更がされていないようです。

何を言っているのかわからないと思いますが、自分でも書いてて 「??」 となりました。順番に説明していきます。まず、Intelが公開したマイクロコードに関する2018年2月8日付のリリースノートを見てみましょう。

Skylakeのマイクロコードについて、[***]という表記があります。この[***]の補足を見てみると、

[***]の行について、以前は使用中止を推奨していました。その後のIntelの社内テストで、安定性の問題の影響を受けていないことが判明したため、変更なしで再リリースすることを決定しました。

と、書かれています。つまり、今回リリースしたものは前回から何も変わっていません。

いやいやいや、前にSkylakeも不具合の影響を受けるって言っていたのは一体なんだったのかと。それって前回はちゃんとテストをせずに適当に発表したってことですよね。ガバガバにもほどがあるでしょう。

そんなガバガバテスト体制で再リリースされたマイクロコード。何も問題がなければ良いのですが、正直なところ不安感は拭えません。万が一にも不具合に遭いたくない場合は、しばらく様子見をして、安全の確認が取れてから適用した方が良いでしょう。

CPU

Intelは2017年度第4四半期決算報告でCPUの脆弱性について下記のように述べました。

    セキュリティの脆弱性と緩和策(ソフトウェアおよびファームウェアを含む)の両方、またはいずれかは一方は、パフォーマンスの低下、再起動、システムの不安定、データの消失または破損、予測不可能なシステムの動作、または第三者によるデータの不正使用を招く可能性があります。

    (Source:Intel)

どうでしょうか。何か違和感を感じませんか。これ、CPUの脆弱性と緩和策の両方を混ぜて語っているんですよ。この書き方だとどれが脆弱性に起因しているのか、欠陥ファームウェアの自爆に起因しているのか、具体的な原因がわかりにくくなっています。

「第三者によるデータの不正使用」 は間違いなく脆弱性が起因して起こる問題でしょう。 「再起動」 についてはIntelが以前から言っているとおり欠陥ファームウェアが原因ですね。では、 「データの消失または破損」 等は一体何が原因なのか。

これについて、Microsoftさんがファームウェア無効化パッチの説明ページで詳細を書いてくれていました。

    このマイクロコードは 「予想以上の再起動や他の予期しないシステム動作」 を引き起こし、  「データの消失または破損」 が発生する可能性があります。

    (Source:KB4078130)

これもファームウェアの自爆じゃないか。

どうやら欠陥ファームウェアは再起動問題だけでなく、データの消失や破損、予期しない動作まで起こるようです。欠陥すぎでしょう……。てか、データの消失や破損って、決算報告にちょろっと書くようなことじゃなくて、もっと大々的に告知すべきでしょ。

既に適用済みの方はお気をつけくださいませ。ファームウェア(BIOS)をロールバックするなり、KB4078130InSpectreレジストリ操作で無効化するなりしておきましょう。

CPU,WindowsUpdate

CPUの脆弱性対策のためにIntelの欠陥ファームウェア(BIOS)を適用して、再起動問題やデータの消失、システムの不安定などで困っている人向けに、MicrosoftはSpectre Variant 2 (CVE-2017-5715)の対策を無効にするパッチKB4078130をMicrosoft Updateカタログで公開しました。

このパッチを適用することで、ファームウェアが起因する各種不具合が起こらなくなります。WindowsUpdateには降ってきませんので、お困りの方は下記よりダウンロードをどうぞ。Windows7 ~ 10まで全てに対応しています。

言うまでもなく、このパッチを適用するとSpectreに対する穴は開いたままになります。ファームウェアの不具合解消後には、再度有効にすることをMicrosoftは推奨しています。

    注意:
    KB4078130はSpectreを無効にするレジストリを設定するだけのものです。そのため、再度有効にするには、手動でレジストリを書き換える必要があります。ここのページの『修正プログラム * を有効にするには』の項目に有効化の仕方が書かれていますが、よくわからないようでしたらKB4078130の適用はおすすめしません。より簡単な『InSpectre』の使用をおすすめします。

    既にKB4078130を適用してしまい、戻し方がわからない場合、InSpectreから『Enable Spectre Protection』に設定しても有効に戻るはずです。

Microsoftによると、2018年1月25日時点ではSpectre Variant 2が攻撃に使用されたという報告はまだないそうです。

ちなみに、このパッチ以外にも、

といった方法でも無効にできます。お好みの方法でどうぞ。