KB4090007 Intel microcode updates 1/2 ― インストール結果

最終更新日

更新履歴
2018/03/19 KB4090007の変更に合わせて、第1章のタイトルと内容を修正
2018/05/30 KB4090007の変更に合わせて、第1章のタイトルと内容を再度修正

MicrosoftがIntel Microcode Updateプログラム配布 ― Spectre 2 対策

2018/03/19追記

2018/03/13リリースのKB4090007では、Skylake SP, D, X および Kaby LakeとCoffee Lakeにも対応

新しいKB4090007で上書きインストールすることが可能です。

2018/05/30追記

2018/04/24と2018/05/21の2回、KB4090007が更新されました。2018/04/24の変更では、Broadwell、Haswellにも対応。2018/05/21の変更内容は不明(ファイルサイズが少し減っています)。

KB4090007: Intel microcode updates
https://support.microsoft.com/ja-jp/help/4090007/intel-microcode-updates

KB4090007の適用対象

  • OS
    Windows 10 1709 (Fall Creators Update)のみ
  • CPU
    Intel Skylake, Kaby Lake, Coffee Lake, Broadwell, Haswell

KB4090007をインストールすると、Windows使用時のMicrocode Update Revisionが次のように変わります。

  • Skylake H, S, U, Y, U23e … 0xC2
  • Skylake SP, D, X … 0x2000043
  • Kaby Lake … 0x84
  • Coffee Lake … 0x84

これらは、2018年3月時点の最新Revisionです。

※ Broadwell、Haswellについては、上のリンクのページを参照してください。

下のSSはIntelのmicrocode-update-guidance.pdf (2018/03/06版)から切り抜いてきたもの。(他のCPUの所はカットしてあります)

右端の列が、Spectre Variant 2 (CVE 2017-5715 Branch Target Injection)対策済みのRevisionです。(MCU Rev=MicroCode Update Revision)

Skylake

Intel(R) microcode-update-guidance 2018/03/06版 Skylake部分

Kaby Lake

Intel(R) microcode-update-guidance 2018/03/06版 Kaby Lake部分

Coffee Lake

Intel(R) microcode-update-guidance 2018/03/06版 Coffee Lake部分

Microsoft Update Catalogからダウンロード→インストール→PC再起動。インストールは一瞬で終わりました。今のところ特に問題はありません。

環境

  • CPU: Intel Core i5-6500 (Skylake S, CPUID 506E3)
  • マザーボード: ASUS Z170 PRO GAMING
  • BIOS Version: 3501
  • OS: Windows 10 1709 Home 64bit (16299.248)

CPU・マザーボード情報

2018年1~2月のWindows Updateプログラムはインストール済みでした。

Windows Update履歴 2018年1月~3月初旬

KB4090007をインストールした結果

  • 2018年1~2月のWindows UpdateによるSpectre・Meltdown対策が全部有効になった。
  • パフォーマンス低下

注意点

これで脆弱性Spectre・Meltdownへの対策が完璧になったわけありません。

また、このMicrocode Updateは、BIOS Chip内のMicrocodeを書き換えません。あくまで、KB4090007インストール済みのWindows 10 1709を起動した時だけ、上に書いた新しいMicrocode(Skylakeの場合はC2)が適用されます。この点については、次回書きます。

Windows側でのSpectre・Meltdown対策が全部有効になった。

2018年1~2月に配布されたWindows Updateの中に、Spectre・Meltdown対策(緩和策)が盛り込まれていました。ただし、インストールしただけでは、それらの対策の全部が有効になるわけではなく、BIOS/FirmwareのUpdateも必要でした。

PowerShellで確認

下は、PowerShellでGet-SpeculationControlSettingsを実行した結果。(事前に、CurrentuserのExecutionPolicyの変更と、SpeculationControlモジュールの追加が必要です) 文字が緑色であれば緩和策有効。赤い場合は緩和策が無効。

KB4090007インストール前。

Spectre Variant2(CVE-2017-5715 Branch target injection)への緩和策が無効。Meltdown(CVE-2017-5754 Rogue data cache load)への緩和策は有効。

診断結果 赤と緑の文字が混在

KB4090007インストール後。

最新のMicrocodeが当てられたことで、全て有効(緑色)になりました。

診断結果 全部緑

参考

Windows クライアントで投機的実行のサイドチャネルの脆弱性から保護する
https://support.microsoft.com/ja-jp/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in

緊急パッチだけではプロセッサ脆弱性対策は不十分――Spectre&Meltdown対策状況を再チェック:山市良のうぃんどうず日記(117:緊急特別編) - @IT
http://www.atmarkit.co.jp/ait/articles/1801/17/news016_2.html

サードパーティ製ツールで確認

GRC InSpectre

https://www.grc.com/inspectre.htm

InSpectre.exe実行時の注意
音が出ます。(こんな感じの音→ ぴゃーん)

KB4090007インストール後の診断結果

GRC InSpectre.exeの診断結果 脆弱性対策有効 パフォーマンスGOOD

Ashampoo Spectre Meltdown CPU Checker

https://www.ashampoo.com/en/usd/pin/1304/security-software/spectre-meltdown-cpu-checker

古いバージョンには問題があります。最新バージョンを使ってください。

上がKB4090007インストール前の診断結果。下がインストール後。

Ashampoo製チェックツール診断結果 赤い画面 脆弱性対策が不十分

Ashampoo製チェックツール診断結果 緑色の画面 脆弱性対策が有効

パフォーマンス Before and After

CINEBENCH

(CINEBENCHのOS表示が間違っています。Windows10です)

Before

CINEBENCH結果 KB4090007インストール前

After

CINEBENCH結果 KB4090007インストール後

CPU-Z Bench

Before

CPU-Z Bench結果 KB4090007インストール前

After

CPU-Z Bench結果 KB4090007インストール後

CyrstalDiskMark

RAMDISKを計測対象にしました。(ただし、2018年1月の時は空き容量多め) メモリテストは問題なし。

ランダムリード・ライトがどんどん下がっていく……。

2018年1月のWindows Update前

CPU-Z Bench結果 KB4056892インストール前

Before KB4090007

CPU-Z Bench結果 KB4056892インストール後、 KB4090007インストール前

After

CPU-Z Bench結果 KB4090007インストール後

関連記事