Microsoft、Intelプロセッサーの脆弱性に対応する新たなマイクロコードアップデートを提供 41
ストーリー by headless
追加 部門より
追加 部門より
MicrosoftがIntelプロセッサーの脆弱性に対応する新たなマイクロコードアップデートをMicrosoft Updateカタログで提供開始した(Microsoftサポートの記事、
Neowinの記事)。
今回のマイクロコードアップデートでは既に提供されているSpectre Variant 2に対応する修正に加え、5月21に公表されたSpectre Variant 3a/4および8月14日に公表されたL1TF(L1 Terminal Fault)に対応する修正が含まれる。なお、Microsoftが提供しているSpectre Variant 2のマイクロコードアップデート(Windows 10 バージョン1803/ 1709/ 1703/ 1607/ 1507)は第2世代Coreプロセッサー以降に対応しているが、今回のマイクロコードアップデートは第6世代以降の対応となっている。ただし、Windows 10 バージョン1507(RTM)向けでは第6世代のみとなっており、4月にサービスが終了したバージョン1511向けには提供されないようだ。
Windows 10の各バージョンに対応するKB番号は以下の通り。なお、バージョン1803に対応するKB4346084のみ、Microsoft Updateカタログのほか、Windows UpdateとWSUSでも配布される。
今回のマイクロコードアップデートでは既に提供されているSpectre Variant 2に対応する修正に加え、5月21に公表されたSpectre Variant 3a/4および8月14日に公表されたL1TF(L1 Terminal Fault)に対応する修正が含まれる。なお、Microsoftが提供しているSpectre Variant 2のマイクロコードアップデート(Windows 10 バージョン1803/ 1709/ 1703/ 1607/ 1507)は第2世代Coreプロセッサー以降に対応しているが、今回のマイクロコードアップデートは第6世代以降の対応となっている。ただし、Windows 10 バージョン1507(RTM)向けでは第6世代のみとなっており、4月にサービスが終了したバージョン1511向けには提供されないようだ。
Windows 10の各バージョンに対応するKB番号は以下の通り。なお、バージョン1803に対応するKB4346084のみ、Microsoft Updateカタログのほか、Windows UpdateとWSUSでも配布される。
EULAが変更→再変更された版かな? (スコア:0)
一部配布経路で当初、ベンチマークを禁じる条項が付いたEULAが使われていたとかで、何の権利があってそんなことをするんだとか適用でまた大幅に性能劣化するんじゃないかとか言われていたバージョンかな?
Re:EULAが変更→再変更された版かな? (スコア:1)
ZDNET [zdnet.com]で見ました。もう修正したらしいですが・・・そもそもintelは、(ベンチでも何でも)禁じられるとやりたくなるって思わなかったのかな・・・。本当に墓穴を掘ったとしか思えないんだけど・・・。
Re: (スコア:0)
普通に考えたら、特別に契約結んでコードを受け取っている様なアーリーアクセサーとかに配布する時のライセンスを、公開版にうっかり残したのかな?という気もするけど、最近のINTELは邪悪すぎて、疑ってしまいがちですねー。
まあ、ライセンス文章なんて、普通はエラい人とか法務部門とかのレビューがシステマチックに入るから、そんなイージーミスがあるの?って気もするけど。
Re:EULAが変更→再変更された版かな? (スコア:1)
Safari for Windowsに「Apple商標を付したコンピューターでのみ実行できる」というライセンスを当初つけていた会社もありましてね。「レビューがシステマチックに入る」というのは妄想とか信仰のたぐいじゃないかな。「プログラムコードにはレビューがシステマチックに入るから、バグが残っているはずがない」みたいな。
あ、法務部門にちゃんと委任できないエラい人のせいかな
Re: (スコア:0)
> 「レビューがシステマチックに入る」というのは妄想とか信仰のたぐいじゃないかな。
名言ですね。プログラムに限らず、われわれはバグからは逃れる事は出来ない。
Re: (スコア:0)
システマチックに入ってるじゃん。検証項目漏れで現実との乖離が埋まらないだけで。
HTTはどうなるの? (スコア:0)
セキュリティ対策にHTTをオフにするしかないのかな?
Re: (スコア:0)
大学生になったんだっけ?
Re: (スコア:0)
もう終了しましたよ。
今回の件で M$ を叩くのはやめたげて下さい (スコア:0, 荒らし)
Micro$oft を叩きたくなる気持ちも分かるのですが、
CPU の脆弱性を作ってしまった Intel が悪いのです。
Spectre Variant 脆弱性に限って言えば、Micro$oft が原因ではなく、Micro$oft には法的にも道義的にも責任はありません。
ただ、Intel から提供されたマイクロコードアップデートを提供しているだけなのです。
スラドでは、ソースコードは公開されるべきだという考えから、Unix を褒めたたえクローズドソースの Windows を叩く傾向がありますが、
最近の Intel の CPU では その奥深くで人知れずMINIX 3を含む2つほどのカーネルがプロセッサ上で稼働しているOSとは別に作動しており、
これらはプロプライエタリかつクローズドソースのOSであり、コードベースはほぼLinuxカーネルと同等以上のサイズを持ち、
脆弱性の原因となり、またバックドアが仕込まれている恐れもあります。
Micro$oft よりも Intel を叩くべきです。
Re:今回の件で M$ を叩くのはやめたげて下さい (スコア:1)
AMDとの差をみるに、Intelは安全性を犠牲にして
性能のアドバンテージを得ているだけのような気がしてきた。
Re: (スコア:0)
MSを一番disってるね
Re: (スコア:0)
野暮すぎるマジレス
Re: (スコア:0)
このやり取りの面白さがわからないんですが…。だれか解説プリーズ。
そもそも、この件で誰がMicrosoftを叩いているの?
Re: (スコア:0)
暑くなるといろいろ湧いて出てくるということよ。
Re: (スコア:0)
君らも宿題はそろそろ終わったのか?
Re: (スコア:0)
“Spectre Variant 0” みたいな表現は「スペクター その亜種#0」って意味だから
“Spectre Variant脆弱性”って書き方をすると「スペクターその亜種脆弱性」みたいな意味になるぞ
バージョン1507(RTM) (スコア:0)
なんでバージョン1511の更新は出てないのにバージョン1507の更新が出てるの? バージョン1507はLTSB 2015のベースだから?
Re:いまいちわからないんだけど (スコア:1)
PC上で実行するすべてのコードの監査と追跡可能性を担保しているか、権限分離の無担保を前提としているなら不要(ごく一部の大型計算機など)。
そうでない人については緩和するだけの策であってもあまねく適応しておくべきというのが業界の総意。黙ってRyzenを買え。
Re: (スコア:0)
「あまねく」「適応しておく」
Re: (スコア:0)
全てのプロセスを root / administrator 権限で動かしているとか(もともと全プロセスが特権を持っているので権限のないプロセスから本来見られないメモリ領域が漏えいする心配がない)、
ブラウザでも複数タブで別ドメインのサイトを開かないとかならどうでもいいだろうけど、
理論上あらゆる仮想化やサンドボックスに影響するので全環境で対応する必要あり
Re: (スコア:0)
ブラウザはこの静寂性を利用できないように対策したんじゃなかったでしたっけ.
悪意あるプログラムが実行されてて,そのプログラムが外部と通信できてたらそりゃもう色々駄々洩れなのはわかりますけど,そんな状態になってたらこの静寂性の対策をしてもたいして状況は改善しない気がするんですよね.
Re:いまいちわからないんだけど (スコア:1)
確かに主要ブラウザ側がアップデートで対応したけど(タイマーの精度落とすとかその他CPUダイレクトに働きかける命令を制限)、
CPU脆弱性を悪用することができるかもしれない命令を禁止するといった場当たり的な対応であって本質的な脆弱性対策ではない
根本的な対策(CPUのマイクロコードのアップデート)を取らず、プログラム毎に緩和策を取るというのは抜け穴ができがちで好ましくない。
更にいうとマイクロコードのアップデートも本質的な対策ではなく、本当に本質的な対策にはCPU自体の物理交換が必要で
ほんとはリコールして無料で交換すべきなんだけど、intelは費用がかかるからそれをやらずに誤魔化してる
マイクロコードのアップデートで、CPUの性能が落ちることに対する補償すらする気ないみたいだしな
Intelはきちんと責任を取ってリコールする自動車業界を見倣うべき
Re: (スコア:0)
> 本当に本質的な対策にはCPU自体の物理交換が必要で
まだ影も形もない架空の対策済みCPUとの交換が必要だから対処しようがないって現状もある
もちろんリコールをかけないのはIntelの怠慢だし法で義務付けられてないなら立法の穴だが、問題が内々で共有されてから一年経っても緩和策をハード実装したその場しのぎのCPUしか無いわけで、全面再設計が終わり製造が安定する三年五年後まで交換対応を引き延ばすか、プロセッサとチップセット製品代金全額の払い戻しに応じるか、競合製品とでも交換するしかなく、現実的には無理
Re: (スコア:0)
他社製品や脆弱性のない古いCPUと交換という手も…
Re: (スコア:0)
辛うじてWindowsが動くだけの命令互換で電力性能比が1/100くらいの「高信頼性プログラム準拠Intel 80986」でも作って欲しいね。LGA2011で。
Re: (スコア:0)
購入時の契約にそういう条文があるの?脆弱性の対応で性能が落ちたらリコールとか。
それとも、CPUには「購入後に変化した環境条件でも絶対に性能を発揮しなければならない」とか法律があるとか?
または、直接事故に繋がって、利用者並びに周辺の命に影響があるとか?
しかも今回は最初から「セキュリティを無視すれば性能が出る」とか騙したわけではなく、当時は未知の脆弱性の対応で性能が落ちるって事だし、不当表示的な話でもないわけで。
インテルは保証の必要は無いと思うね。
ただ、真摯に対応しないとシェアは落ちるだろうってだけで。
そんでもってパッチを提供して対応してるわけだ。
それが許せないなら君は次はAMDを選べばよい。ようこそ。
Re: (スコア:0)
静寂性ってなんか気に入った
Re: (スコア:0)
ブラウザもJS基本無効で運用してるし
買い物するときは専用VM立ち上げてブラウザで対象サイトを開いて決済。
終わったらVM初期状態に戻すなのでうちの場合何が奪われるんだろうって思ってる
Re: (スコア:0)
> 買い物するときは専用VM立ち上げてブラウザで対象サイトを開いて決済。
ここでVM上のブラウザから
ホスト側のOSに侵入し
ホスト側のファイルなどのデータを盗むことができます
つまり脆弱性があるかぎり専用VMの意味はありません
Re: (スコア:0)
あー、ごめん
専用VMってホストローカルじゃなくってグローバルね
VPS借りててそっちで立ち上げてる
ホスト側には何も入ってない
Re: (スコア:0)
> VPS借りててそっちで立ち上げてる
それ一番ダメなやつですよw
そもそもVPSはセキュリティ的にデメリットがあります
たとえばVPSは複数のお客さんが物理CPU&メモリを共有している点とか
VPSは潜在的に中間者攻撃のリスクを抱えている点などです
VPS側のCPUに脆弱性があれば
一瞬でクレジットカードの情報とか盗めます
Re: (スコア:0)
そこまでやるのであれば物理レベルで分離したほうがコスト安そう。
Re: (スコア:0)
ないよ
Re: (スコア:0)
Windows XPに移行すればいいんじゃないの?
もうドライバーがないかな。
じゃあ、8.1に移行してアップデートは当てない。
Re: (スコア:0)
うちはもうXPに移行済みですよ。多少スペックの低いマシンでもサクサク動いて快適です。
Re: (スコア:0)
> Windows XPに移行すればいいんじゃないの?
Windows XP はもうサポートがなくなってセキュリティホールが沢山あるわけで
正気の人や正気のい会社では Windows XP には戻せません。
Re: (スコア:0)
有名サイトでも広告に悪意あるスクリプト入ってたことあるし、フィルタ掛けまくったところで抜かれるときは抜かれるんじゃないのかな。
ペイロードは暗号化されてるだろうし。