Kiyologの気になる物……気になること……

menu

Kiyolog

MicrosoftがIntelの脆弱性対策を無効化するアップデートを配信

IntelのHaswellとBroadwellで「Spectre Variant 2(CVE 2017-5715 Branch target injection vulnerability)」に対処するため提供したマイクロコードのアップデートを適用すると、再起動や予期しないシステム動作が発生する問題に対応として、Microsoftが脆弱性対策部分を無効化する緊急パッチをWindows Updateで配布を開始した。

やや後ろ向きな対応ではあるが、再起動やシステムの問題動作を防ぐ暫定措置としてはこれしかないのだろう。

対応のアップデートは、クライアントPC向けが「KB4073119」で、サーバー向けが「KB4072698」となっている。BIOSアップデートによるCPUのマイクロコードの更新をしていない場合は、このアップデートは必要ないらしい。

KB4073119の詳細ページでは、このアップデートで無効化された対策部分をレジストリで有効にする方法なども載っている。


Switch | Registry Settings

Important This section, method, or task contains steps that tell you how to modify the registry. However, serious problems might occur if you modify the registry incorrectly. Therefore, make sure that you follow these steps carefully. For added protection, back up the registry before you modify it. Then, you can restore the registry if a problem occurs. For more information about how to back up and restore the registry, click the following article number to view the article in the Microsoft Knowledge Base:

322756 How to back up and restore the registry in Windows

Note By default, this update is enabled. No customer action is required to enable the fixes. We are providing the following registry information for completeness in the event that customers want to disable the security fixes related to CVE-2017-5715 and CVE-2017-5754 for Windows clients.

To enable the fix *

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restart the computer for the changes to take effect.

To disable the fix *

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restart the computer for the changes to take effect.

(There is no need to change MinVmVersionForCpuBasedMitigations.)

Note setting of 3 is accurate for both enable/disable settings due to masking.

Disable mitigation against Spectre Variant 2


While Intel tests, updates, and deploys new microcode, we are offering a new option for advanced users on impacted devices to manually disable and enable the mitigation against Spectre Variant 2 (CVE 2017-5715) independently via registry setting changes.

If you have installed the microcode, but want to disable CVE-2017-5715 – Branch target injection mitigation due to unexpected reboots and/or system stability issues, use the following instructions.

To disable Variant 2: CVE 2017-5715″Branch Target Injection”:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

To enable Variant 2: CVE 2017-5715 “Branch Target Injection”:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

 Note disabling and enabling the Variant 2 via registry setting changes will require a reboot and administrative rights.


とりあえずこのアップデートを適用したところ、ブルースクリーンや再起動は無くなったので一安心……とは言え、脆弱性対策を無効にしての暫定措置なので根本的な解決にはなっていないのだが。結局はHPから新しいBIOSがリリースされるのを待つしかない。

 

あす楽対応 14型 HP ZBOOK14 中古 Win10 64 pro/四世代Core i7/8G/500G/AMD M4100/無線/Bluetooth/カメラ/Kingsoft Office 2016 (ライセンスカード付)【中古ノートパソコン 中古パソコン 中古PC office付】

【送料無料】【中古】HP HP ZBook 14 G2 (G8W46AV#ABJ) 【Windows7】 [中古ノートパソコン本体]

【3年保証】 中古パソコン HP ZBOOK 14 G2【Windows10 Pro MAR】 [Core i7/Windows 10 Pro/ノート]

  • このエントリーをはてなブックマークに追加

関連記事