ゲームやOS、各種PC環境を快適にするためのニッチな情報
2018年6月度のWindowsUpdateでWindows7 / 10に、2018年7月度のWindowsUpdateでWindows8.1にCPUの脆弱性Variant 4 (CVE-2018-3639)の緩和策が実装されました。
これまでに公開された既存の緩和策はVariant 4に対しても効果があるとされており、そのため、Variant 4の緩和策はデフォルトでは無効になっています。より強固なセキュリティを維持したい場合は手動で有効にできますが、その場合、パフォーマンスダウン(Intel CPUで2~8%)があります。Variant 4に関する各社の発表についてはこちらの記事をご覧くださいませ。
以下、Variant 4の緩和策を有効/無効化する方法になります。コマンドプロンプト(管理者)で下記のコマンドを実行してPCを再起動してください。
先日、MicrosoftはIntel CPUの脆弱性(Spectre Variant 2)に対応したWindows10 v1803 April 2018 Update(A2U)専用マイクロコードアップデートKB4100347を公開しましたが、他のバージョン用のマイクロコードアップデートも公開しました。
| バージョン | KB&DLリンク |
| v1803 April 2018 Update | KB4100347 [ダウンロード] |
| v1709 Fall Creators Update | KB4090007 [ダウンロード] |
| v1703 Creators Update | KB4091663 [ダウンロード] |
| v1607 Anniversary Update | KB4091664 [ダウンロード] |
| v1507 Threshold 1 | KB4091666 [ダウンロード] |
新たなマイクロコードアップデートがリリースされたときは、下記のページで案内が予定されています。
以下、これらのパッチとBIOSアップデートとの違いの簡単な説明になります。
(Source:Intel / AMD / ARM / US-CERT)
Intel、AMD、ARMは、同社のプロセッサにVariant 4 (CVE-2018-3639)と呼ばれる脆弱性があることを各社一斉に発表しました。Variant 4もSpectre Variant 1と同様に、サイドチャネル攻撃で特定のデータにアクセスが行われる危険性があるとのことです。
Intelはこの脆弱性を緩和するベータ版マイクロコードを既に完成させており、数週間後に正式リリースが予定されています。
Intelは、これまで同社が行ってきたSpectre Variant 1の緩和策はVariant 4に対しても有効であると述べており、そのため、Variant 4の緩和策はデフォルトでは無効に設定されています。より強固なセキュリティを維持したい場合は手動で有効にできますが、その場合、2~8%のパフォーマンスダウンがあるとのことです。
また、マイクロコードにはMeltdown Variant 3の亜種となるVariant 3a (CVE-2018-3640)と呼ばれる脆弱性への対策も含まれており、こちらはパフォーマンスへの影響はないものとされています。
AMDもVariant 4対策パッチの最終テストを完了しており、Windowsの更新プログラムとして配信が予定されています。同様に、Linuxでも各ディストリビューターがアップデートの準備を進めています。パフォーマンスへの影響については言及していません。また、現在のところVariant 3aの影響を受ける製品は見つかっていないとのことです。
ARMはAndroidに関してはGoogleへ問い合わせるよう案内しており、Linuxに関しては信頼できるファームウェアを使用するよう述べています。
2018/6/13追記
WindowsにVariant 4の緩和策が実装されました。詳細は下記の記事をご覧くださいませ。
MicrosoftはIntel CPUの脆弱性に対応したWindows10 v1803 April 2018 Update(A2U)専用マイクロコードアップデートKB4100347をMicrosoft Updateカタログに公開しました。
このパッチを適用することでSpectre Variant 2 (CVE-2017-5715)への対策が施されます。詳細なCPU対応リストはKB4100347のページをご覧くださいませ。v1709 Fall Creators Update(FCU)の方はFCU専用のKB4090007をご利用ください。
適用時の注意点として、過去にレジストリ操作等でSpectre対策を無効にしている場合は、適用前に有効にしておく必要があります。
以下、このパッチとBIOSアップデートとの違いの簡単な説明になります。
マザーボードメーカーが提供するBIOSアップデートの場合はPC起動時にマイクロコードがCPUに読み込まれるため、全てのOSにマイクロコードが適用されます。KB4100347やKB4090007の場合はWindows起動時にマイクロコードがCPUに読み込まれるため、Windowsでのみマイクロコードが適用されます。
| マイクロコードを含むパッケージ | マイクロコードの読み込み | 適用範囲 |
| KB41003477 (A2U) / KB4090007 (FCU) | Windows起動時 | KB4100347やKB4090007を適用しているWindowsのみ |
| マザーボードのBIOSアップデート | PC起動時 (OS起動前) | 全てのOS |
つまり、BIOSアップデートを既に適用済みの場合はKB4100347やKB4090007を適用する必要はありません。
KB4100347やKB4090007は技術的にはWindowsのパッチのひとつとして動作しているため、もし、マイクロコードに何かしらの不具合があった場合は、Windows上から普通にアンインストールができます。マザーボードにBIOSアップデートを行う前に、問題がないかどうか確認しておく手段としてもお使いいただけます。
(Source:AMD)
AMDは2018年4月10日付けでCPUの脆弱性Spectre (Variant 2 / CVE-2017-5715)に対応したマイクロコードをリリースしたことを発表しました。Bulldozerまで遡ったプロッセッサが対象となり、このマイクロコードはマザーボードメーカーなどが提供するBIOSアップデートなどを通じて入手できるとのことです。
Spectre (Variant 2 / CVE-2017-5715)への対策は、OS側での設定も必要で、MicrosoftはIndirect Branch Prediction Barrier(以下、IBPB)と呼ばれる緩和策を実装しました。 (なお、Linuxに関しては2018年初めに既に対応済みとのことです)
IBPBを有効化するには、MSのページによると、コマンドプロンプト(管理者)から、
CPUの脆弱性Spectre (Variant 2 / CVE-2017-5715)に対応したWindows10 v1709 Fall Creators Update専用マイクロコードアップデートKB4090007が2018年3月13日付けで更新されて、Skylake ~ Coffee Lakeまでのマイクロコードに対応しました。より詳細なCPUリストはKB4090007のページをご確認くださいませ。
適用時の注意点として、過去にレジストリ操作等でSpectre対策を無効にしている場合は、適用前に有効にしておく必要があります。
マザーボードメーカーが提供するBIOSアップデート(ファームウェア)の場合はPC起動時にマイクロコードがCPUに読み込まれるため、全てのOSにマイクロコードが適用されるかたちとなりますが、KB4090007の場合、Windows起動時にマイクロコードがCPUに読み込まれるため、Windowsでのみマイクロコードが適用されます。
ちょっとややこしいですが↓こういうことです。
| マイクロコードを含むパッケージ | マイクロコードの読み込み | 適用範囲 |
| KB4090007 | Windows起動時 | KB4090007を適用しているWindowsのみ |
| マザーボードのBIOSアップデート | PC起動時 (OS起動前) | 全てのOS |
KB4090007は技術的にはWindowsのパッチのひとつとして動作しているため、もし、マイクロコードに何かしらの不具合があった場合は、Windows上から普通にアンインストールができます。マザーボードにBIOSアップデートを行う前に、問題がないかどうか確認しておく手段としても良いかもしれません。
KB4090007はWindowsUpdateには降ってこないため、適用したい場合は下記のMicrosoft Updateカタログよりダウンロードをどうぞ。
(Source:Microsoft)
MicrosoftはCPUの脆弱性Spectre (Variant 2 / CVE-2017-5715)に対応するため、Intelのマイクロコードを含んだ更新プログラムをMicrosoft UpdateカタログにKB4090007として掲載しました。この更新プログラムはWindows10 v1709 Fall Creators Update用となっており、現時点ではSkylake CPUを対象にしています。
KB4090007のページによると 「新たなマイクロコードが利用可能になると、このKBページを通じてアップデートを提供していく」 と伝えており、もしかしたら、同じKB番号で対象CPUがどんどん追加されていくのかもしれません。
適用時の注意点として、過去にレジストリ操作等でSpectre対策を無効にしている場合は、適用前に有効にしておく必要があるとのことです。
マザーボードメーカーが提供するBIOSアップデート(ファームウェア)の場合はPC起動時にマイクロコードがCPUに読み込まれるため、全てのOSにマイクロコードが適用されるかたちとなりますが、KB4090007の場合、Windows起動時にマイクロコードがCPUに読み込まれるため、Windowsでのみマイクロコードが適用されます。
ちょっとややこしいですが↓こういうことです。
| マイクロコードを含むパッケージ | マイクロコードの読み込み | 適用範囲 |
| KB4090007 | Windows起動時 | KB4090007を適用しているWindowsのみ |
| マザーボードのBIOSアップデート | PC起動時 (OS起動前) | 全てのOS |
KB4090007は技術的にはWindowsのパッチのひとつとして動作しているため、もし、マイクロコードに何かしらの不具合があった場合は、Windows上から普通にアンインストールができます。マザーボードにBIOSアップデートを行う前に、問題がないかどうか確認しておく手段としても良いかもしれません。
しかし、以前のマイクロコードでは再起動問題だけでなく、データの消失や破損というとんでもないやらかしをしていたり、 「再検証したらSkylakeだけはやっぱ大丈夫だったから以前から変更なし」 というガバガバな検証体制で変更を加えず再リリースをしたものが今回のマイクロコードだったりするため、使用にあたっては万が一に備えておくことをおすすめいたします。
2018/3/14追記
KB4090007がSkylake ~ Coffee Lakeまで対応しました。詳細は下記の記事をご覧くださいませ。
と言っても書いていることはこことほとんど同じですが/(^o^)\
/////////////////////
更新履歴
① 詳しい仕組みが判明したため、記事を大幅に改訂。以前は 「ファームウェアアップデート」 と表現していましたが、このパッチでファームウェアのアップデートはされませんでした。ごめんなさい。
/////////////////////
CPUの脆弱性対策のためにIntelの欠陥ファームウェア(BIOS)を適用して、再起動問題やデータの消失、システムの不安定などで困っている人向けに、MicrosoftはSpectre Variant 2 (CVE-2017-5715)の対策を無効にするパッチKB4078130をMicrosoft Updateカタログで公開しました。
このパッチを適用することで、ファームウェアが起因する各種不具合が起こらなくなります。WindowsUpdateには降ってきませんので、お困りの方は下記よりダウンロードをどうぞ。Windows7 ~ 10まで全てに対応しています。
言うまでもなく、このパッチを適用するとSpectreに対する穴は開いたままになります。ファームウェアの不具合解消後には、再度有効にすることをMicrosoftは推奨しています。
| 注意: KB4078130はSpectreを無効にするレジストリを設定するだけのものです。そのため、再度有効にするには、手動でレジストリを書き換える必要があります。ここのページの『修正プログラム * を有効にするには』の項目に有効化の仕方が書かれていますが、よくわからないようでしたらKB4078130の適用はおすすめしません。より簡単な『InSpectre』の使用をおすすめします。 既にKB4078130を適用してしまい、戻し方がわからない場合、InSpectreから『Enable Spectre Protection』に設定しても有効に戻るはずです。 |
Microsoftによると、2018年1月25日時点ではSpectre Variant 2が攻撃に使用されたという報告はまだないそうです。
ちなみに、このパッチ以外にも、
といった方法でも無効にできます。お好みの方法でどうぞ。
2018年1月10日に配信されたWindows7 / 8.1用KBのザックリまとめです。この記事は足りないKBや不具合等が見つかった場合に随時更新いたします。
と言っても、1月5日から随時配信されていたものが1月度になるようです。『セキュリティのみの品質更新プログラム』と『セキュリティマンスリー品質ロールアップ』については下記の記事をご覧くださいませ。
普段からMicrosoft Updateカタログを使用されている方は前者、WindowsUpdateクライアントを使用されている方は後者です。
以下、上記以外で2018年1月10日配信分のザックリ説明&ファイルの直リンクになります。(OfficeやSkype等のMS製品類は割愛しています)
/////////////////////
更新履歴
① .NETパッチWin7用KB4055532/KB4055269、Win8.1用KB4055266/KB4055271を追記。
② Win8.1用KB4033369(.NET 4.7.1)を追記。
③ .NET 4.7.1用言語パックWin7用KB4033339/Win8.1用KB4033417を追記。
④ Win8.1用『Intel - System - 10/3/2017 12:00:00 AM - 11.7.0.1045』を追記。
⑤ KB4055532に不具合を追記。
⑥ KB4055532の不具合について追記。『セキュリティのみ』は不具合なし。
⑦ KB4055532の不具合について追記。バグ修正版が再配信されました。
⑧ KB4033342の直リンクを修正。.NET4.7.1本体のアドレスが、4.7.1追加パッチ(KB4054852)のアドレスなっていました。インストールしようとしてもできなかったはずです。ごめんなさい。
⑨ KB4074906が配信&追記。
/////////////////////
CPUの脆弱性対策を無効にすることができるツール『InSpectre』がGibson Research Corporationによって公開されました。
このツールを使って『Disable Meltdown Protection』『Disable Spectre Protection』を設定後、PCを再起動すればCPUの脆弱性対策を無効化することができます。つまり、一時的にパッチ適用前のパフォーマンスを発揮できるようになります。
Microsoftは、Windows10 v1709 Fall Creators Update 32bit専用のセキュリティアップデート、KB4073291をMicrosoft Updateカタログで公開しました。
Microsoftによると、この更新プログラムはMeltdown (CVE 2017-5754)の対策パッチとしており、できるだけ早くインストールすることを推奨しています。 (これまでの32bitパッチにはMeltdownへの対策が含まれていない模様) しかし、そう言う割には、なぜかWindowsUpdateには配信していません。
早くインストールを推奨しておいてWindowsUpdateに配信しないということは、なにかしら配信できない理由があることが考えられます(検証が十分に済んでいないなど)。そのため、すぐに適用するかどうかは慎重にご判断ください。この更新プログラムが本当に重要なものであれば、いずれカタログ専用は撤回されて、WindowsUpdateに降ってくるものと思われます。
なお、この更新プログラムは一部の古いAMD CPU環境でOSが起動できなくなる問題も修正されているとのことです。
また、この更新プログラムには下記の既知の不具合があります。
Microsoftは一部の古いAMD CPU環境でOSが起動できなくなる問題に対処したWindows10用更新プログラムをMicrosoft Updateカタログで公開しました。
KB4073290 (Win10 v1709 Fall Creators Update用)
ファイル直リンク:64bit / 32bit / v1709系その他のエディション
備考: 32bit版はKB4073291として配信されています。詳細は下記の記事をご覧くださいませ。
KB4057144 (Win10 v1703 Creators Update用)
ファイル直リンク:64bit / 32bit / v1703系その他のエディション
KB4057142 (Win10 v1607 Anniversary Update用)
ファイル直リンク:64bit / 32bit / v1607系その他のエディション
(※これらの更新プログラムは古いAMD CPU環境(Athlon 64 X2やSempronなど)向けのため、Intel環境やRYZEN環境などであればスルーして問題ありません)
これらはWindowsUpdateには降ってきませんので必要な方は手動でダウンロード・適用してください。
Windows10の更新プログラムは累積されるため、これらには2018年1月度の修正等(CPUの脆弱性対策など)も含まれています。言い換えるなら、不具合も含まれています。1月度は多数の不具合が出ているため、すぐに適用するかどうかは慎重にご判断ください。1月度の不具合については下記の記事をご覧くださいませ。