Microsoftは、Intel第7世代、第8世代、第9世代、第10世代、第11世代CPUの「衰退」を見逃すことを示唆しなくなった

先月 2023 年 8 月、第 7 世代 Kaby Lake から第 11 世代 Rocket Lake CPU までのいくつかの最新のインテル プロセッサー ファミリが、新しいプロセッサーの脆弱性の影響を受けることが判明しました。このセキュリティ上の欠陥は「Downfall」というコードネームで呼ばれており、Gather Data Sampling (GDS) 脆弱性と呼ばれる一時的実行または投機的実行のサイドチャネル攻撃です。

最新のチップ、つまりインテルの第 12 世代 Alder Lake パーツと第 13 世代 Raptor Lake パーツには、古いデータの悪用を防ぐインテルの TDX が搭載されています。Microsoft と Intel は協力しており、この問題はファームウェアのマイクロコード アップデート (MCU) によって軽減されます。

この問題に関して Microsoft が公開したセキュリティ勧告には、Microsoft は、ユーザーが影響を受けていないと感じた場合に、Downfall に対して提供されている緩和策を無効にしたい場合に備えてユーザーを案内するセクションを設けていました。しかし、興味深いことに、Microsoft はその後、この提供された緩和策の削除とそれを説明したセクションを Web サイトから削除し、変更ログを更新し、次のメッセージでその理由を説明しました。より長く利用可能になります。」

この軽減策を削除するには、レジストリの調整が必要でした。そのアーカイブ版は次のとおりです。

緩和策を無効にする

GDS を脅威モデルの一部とみなさない場合は、ベアメタル環境で軽減策をオフ (無効化) にすることを選択できます。

注Hyper-V (仮想化) が有効な場合に軽減策を無効にすることは、この現在の実装の範囲には含まれません。

Windows で GDS 軽減策を無効にするには、環境に応じて次のものをインストールする必要があります。

• サポートされている Windows 10 および Windows 11 環境では、2023 年 8 月 22 日以降の Windows 更新プログラムをインストールしておく必要があります。
• サポートされている Windows Server 環境では、2023 年 9 月 12 日以降の Windows 更新プログラムをインストールしておく必要があります。

適切な Windows 更新プログラムをインストールした後、レジストリに次の機能フラグを設定する必要があります。


Registry location: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management


Value name: FeatureSettingsOverride


Value type: REG_DWORD




Value data: 0x2000000 (hex)

このレジストリ値がまだ存在しない場合は、次のコマンドを実行して GDS​​ 軽減策を無効にします。


reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverride /t REG_DWORD /d 33554432 /f

Intel のダウンフォール (GDS) に関するセキュリティ アドバイザリは、Microsoft の公式 Web サイトのサポート ページ( KB5029778 ) で見つけることができます。