近日隨著 Windows Update 更新,Microsoft 開始派送 KB4465065 更新檔,Windows 10 1809、Windows Server 2019 所有版本作業系統均有可能收到此更新。此更新包含 Intel 處理器對抗部分硬體漏洞的更新微碼,包含 Spectre Variant 3a(CVE-2018-3640)、Spectre Variant 4(CVE-2018-3639)、L1 Terminal Fault(CVE-2018-3620、CVE-2018-3646)。
Spectre Variant 3a 主要影響 ARM 架構 Cortex-A15、Cortex-A57、Cortex-A72 處理器,如同 Meltdown 透過處理器預測執行的安全性弱點,讀取一般狀況無法獲得的資訊。Spectre Variant 4 則是最新找到的 Spectre 攻擊方式變種,Intel 先前針對 Spectre Variant 1 的微碼更新,理論上對 Spectre Variant 4 也有防護效果,但為避免有心人士找尋之間的差異,進而演化成另一波的攻擊,Intel 決定推出調整過後的版本,針對 Spectre Variant 4 的更新亦包含 Spectre Variant 3a。
L1 Terminal Fault 旗下其實有 3 個安全性漏洞 CVE-2018-3615、CVE-2018-3620、CVE-2018-3646,分別影響 SGX 指令集、作業系統∕系統管理模式、虛擬機器,可透過不同手法讀取處理器 L1 資料快取,這次 KB4465065 更新檔包含後 2 者。需注意的是,安裝此更新檔之後,即具備對抗 Spectre Variant 3a 和 L1 Terminal Fault 的防護能力,但 Spectre Variant 4 則因效能下降緣故,預設為關閉。(註:AMD 處理器不受 Spectre Variant 4 影響)
若要啟用 Spectre Variant 4 防護能力,需自行編輯登錄檔,於命令提示字元執行下列指令,重新開機後生效:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
若要關閉 Spectre Variant 4 防護能力,請於命令提示字元執行下列指令,重新開機後生效:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add
"HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
這次的 KB4465065 更新檔,消費市場僅針對 Skylake 微架構之後的處理器,也就是包含第六代 Core 處理器之後的版本,其餘 Windows 作業系統與處理器版本,有賴廠商繼續推出修正更新檔。
▲此次 KB4465065 更新檔所支援的處理器版本型號。
資料來源
KB4465065: Intel microcode updates
加入電腦王Facebook粉絲團