パスワードを忘れた? アカウント作成
15342217 story
Windows

Windows 11のCPU要件設定はSpectreやMeltdown対策をOS側でしたくないから? 93

ストーリー by nagazou
やりたくない気持ちは分かる 部門より
既報の通りWindows 11では、ハードウェア動作要件がこれまでよりも厳しくなる。ASCII.jpの記事によれば、その理由としてSpectreおよびMeltdownの脆弱性問題があるのではないかとしている(ASCII.jp)。

Windows 11発表段階ではIntelの第8世代以降、AMDのZen+世代以降のCPUが基準になると言われてきた。その後、Windows Insider Preview版については条件が緩和され、Intelの第4世代CPUなどの環境でもインストールし動作が可能となっている。しかし、実際にリリースされる製品版に関しては最初の発表通りのハードウェア動作要件に戻る可能性が高いようだ。

SpectreとMeltdown問題は2017年に発見されたものの、Intel、AMD、ARM製CPUにおよぶものだったことから、発表は2018年1月まで行われなかった。Intelの第7世代と最初のZen世代のCPUは対策が行われていない。ASCII.jpの記事では、OS側でSpectre/Meltdownの対応策を行うとシステムの速度低下を引き起こすことから、Windows 11ではこれらの対策が行われているかどうかがハードウェア動作要件の線引きになったのではないかとしている。
この議論は賞味期限が切れたので、アーカイブ化されています。 新たにコメントを付けることはできません。
  • デスクトップLinuxだとmitigations=off勧めちゃう人をぼちぼち見かけるので、あんまり脅威だと思ってない人が多いのかなと思います。クラウドだと同じCPUを借りてる人が攻撃してくる可能性が排除できないので有効にしておきたいところですが、古典的なウイルスに比べて悪用の可能性は低いと言われればそんな気もします。

    しかしHVCI必須化で緩和策関連を捨てられることが理由だとすると、AMD CPUでHVCIに必要なMBECに対応しているのはZen 2以降、型番で言えばRyzen 3000以上(GPUなし)または4000G以上なところ、公式発表では一貫してMBECを搭載しないところのRyzen 2000(Zen+)以上を許容すると言ってしまってるので手遅れ感がありますね。

    # Ryzenは型番と世代の数字が一致してないトラップがあるのだ

    • by Anonymous Coward on 2021年07月08日 20時39分 (#4066772)

      IT系のメディアやライターさんがサイドチャネル系の脆弱性を「影響するのはサーバーだけ。デスクトップ・一般人には関係ない」と言っているを見かけますが、必ずしもそうとは言えないんですよね。

      Windows Defender Application Guardとかが分かりやすいのですが、最近のWindowsはローカルで悪意あるコードが走ることを前提にしたセキュリティー機能が結構あって、サイドチャネル系の脆弱性はそれらの機能が使用するハイパーバイザーによる分離をすり抜けて情報を盗めるので一応リスクはあるわけです。

      なのでベアメタルサーバーとかで信頼できるコードしか走らないと断言できる環境以外での緩和策offはやめておいたほうがいいんじゃないかと思います。

      親コメント
      • by Anonymous Coward on 2021年07月08日 21時11分 (#4066792)

        煽りじゃなくてこれマジで、動的に悪意のあるコードが大量自動生成されるようになったので、昔のようにファイルのハッシュ値でウイルスかを判別するといったシグネチャベースじゃあ対応できなくなりました。
        なので、どんなウイルス対策ソフトであってもヒューリスティック検知が実装されているわけですけど、これサンドボックスでウイルスを実行して振る舞いを見ているんですね。

        ってことで、SpectreやMeltdown対策がされていないなら、ウイルス対策ソフトが逆効果になって、ユーザーが実行もしていないマルウェアが自動スキャンされただけで、ウイルス対策ソフト自体に欠陥がなくても、悪意のある攻撃が成立する恐れがあります。

        親コメント
    • by Anonymous Coward

      不特定多数でリソース共有をしているようなサービス以外ではめだって脅威にならんからね。

      • by Anonymous Coward

        それなんてWebブラウザ?

        • by Anonymous Coward on 2021年07月08日 20時59分 (#4066784)

          ブラウザは、高精度タイマー関係の命令を使えなくしたりして対策したので、
          対策後のブラウザはあまり影響うけないのでは?

          親コメント
        • by Anonymous Coward

          何言ってんの?まじで何言ってんの?

          • by 90 (35300) on 2021年07月08日 18時48分 (#4066666) 日記

            ブラウザで動くPoCありますよ。

            親コメント
            • by Anonymous Coward

              こういうバカが湧くのを見てると、本当に適切な脅威分析をした上で切っているのか不安になってくるな

              • by Anonymous Coward on 2021年07月08日 20時08分 (#4066755)

                SpectreおよびMeltdown脆弱性をブラウザで悪用できることは、既に証明されていいます。

                一般人はよく使うサイトのタブを開きっぱなしにすることが多いです。
                Google・Yahoo!・Facebookは勿論、銀行や証券会社のタブも開きっぱなしにしているかもしれません。

                他のタブで悪意のあるサイトを開くと、WebAssemblyやJavaScript経由で、別Originのログイントークンなどが盗まれる恐れがあります。

                JavaSciptのタイマーの精度を下げるといったブラウザ側で緩和策がとられている場合がありますが、あくまでも攻撃しにくくするための対策であって根本的な対処ではありません。
                タブごとにプロセスを分離することは根本的な対策では? と思うかもしれませんが、それはOSレベルでSpectreおよびMeltdown脆弱性に対応していた場合のみですし、OSでSpectreおよびMeltdownに対応するというのも根本的な対策ではなく緩和策にすぎないのです。

                CPUの脆弱性なのですから、CPUで対応するのが最良であり、それ以外はパフォーマンスの大幅な低下といった問題も発生します。

                親コメント
              • CPUで対応しても大して速くないんではないかと。こう、なんともコメントしにくい……

                親コメント
              • by Anonymous Coward on 2021年07月08日 22時40分 (#4066838)

                理論上可能

                であっても実用性皆無というのが今の判定ですわな

                セキュリティ対策はコストとリスクの費用対効果っていつになったら理解されるんだろう
                ことこんぴゅーたせきゅりてぃについてはゼロリスク信者が多すぎる

                親コメント
              • 天秤はどちらにでも傾き得るわけで、利益がない前提を置いて詰めるのは悪手かと。例えば性能さえ出ればいいXbox 360のCPUにはL1キャッシュのコヒーレンシをソフト側で担保する前提の命令があって、再現可能究明不能の動作を起こすので使われないことが多かったとかなんとか……

                親コメント
              • by Anonymous Coward on 2021年07月09日 11時44分 (#4067144)

                「確かに穴だけど悪用するにはハードルが高すぎるので現実的な脅威ではないのでは」
                と言われていたものに比較的容易に実行可能な方法が発見されたり、実際に利用されたりといった例もけっこうある世界でその認識は甘すぎます。

                親コメント
            • by Anonymous Coward

              脆弱性の発見時にブラウザで動いたのは確かですが、ブラウザ側で対策された現在でも動くのですか?

              • by 90 (35300) on 2021年07月08日 22時23分 (#4066831) 日記

                Spectre の影響を受けないウェブを作るための概念実証について
                2021年3月29日月曜日
                (…)
                Intel Skylake CPU で Chrome 88 を実行している場合、デモのウェブサイトでは 1 kB/ 秒のスピードでデータが漏洩する可能性があります。なお、このコードはわずかに変更するだけで他のバージョンの CPU やブラウザにも適用できると考えられます。ただし、Google のテストでは、大きな変更を加えなくても、この攻撃を Apple M1 ARM CPU などの他のいくつかのプロセッサで成功させることができました。

                https://developers-jp.googleblog.com/2021/03/a-spectre-proof-of-concep... [googleblog.com]

                ブラウザ向けに *最初の* 緩和策が出たのは発見から数か月後くらいだったと記憶してはいますが、塞がれたわけではないのかなと。

                親コメント
    • by Anonymous Coward

      新型コロナワクチンとの類似性があるな。
      老人とか、基礎疾患がない場合は、新型コロナのリスクはあまりない。
      ワクチンのリスクの方が大きい。

      というのと、SpectreやMeltdownはクラウドでなければ、あまりリスクはない。
      性能低下はリスクではなく現実の課題として存在する。

      SpectreやMeltdown対策は切らせてくれ、って人はワクチンを接種しないつもりの人と類似性がある。
      逆に若者で基礎疾患がなくてもワクチン打つ人はSpectreやMeltdown対策の性能低下は許容しそうだ。

  • 〉Windows Insider Preview版については条件が緩和され、Intelの第4世代CPUなどの環境でもインストールし動作が可能となっている。

    これWindows11が正式リリースされたらどうなるのか誰か知ってます?
    Windows10をクリーンインストールし直すしかないのかな?

  • by Anonymous Coward on 2021年07月08日 18時52分 (#4066672)

    類似の脆弱性が以降も次から次へと(その時点での最新プロセッサーでも)見つかりまくってるのにそこで区切って意味あるのかなあ

    • by Anonymous Coward

      「思われる」「だろう|だろうか」のオンパレード。
      塩田某というライターがそう予測しているというだけで、根拠は何も提示されていないし。

      • by Anonymous Coward

        Microsoftが「より高次元のセキュリティへの対応」「ドライバの安定性」「アプリケーションの互換性の維持」とかふわっとしたことしか言わないせいで憶測が飛び交うんだからちゃんと公式で説明してほしい

  • by zambia (36932) on 2021年07月08日 19時01分 (#4066681)

    今の、いわゆるリビングPCをどうしようかな、と思って調べてみると、CPU+マザーボード+メモリの入替えで5〜6万円かかる。子供は自分のNoteを使ってるし、妻はWEBさえ見れれば満足なのでOS入れ替えで凌ごうと決意
    よーし、パパUbuntuなんて素人OSは使わないぞーと言いつつ、以前見送ったPC-BSDを探しに行ったら、、、え!開発終了!?_| ̄|○ il||li
    まあ、そもそもリビングPC自体が時代遅れも甚だしいよな。

    • by Technobose (6861) on 2021年07月08日 20時05分 (#4066753) 日記

       PC-BSDが開発停止になって数年たちますね。
       素のFreeBSDが、以前と比べるとかなり良くなっているので、本家のインストーラで入れてもデスクトップ構築は、そんなに手間がかからないと思います。
       ちょっと問題になるのは日本語入力システムですね。

      >まあ、そもそもリビングPC自体が時代遅れも甚だしいよな。

       リビングPCって、Blu-rayとの再生するためのパソコンじゃ・・・。
       そうだとするとWindows/Mac以外では厳しいのでは。

      親コメント
  • 最近、起動時にWindows11の案内しようとしてくるんだが・・・

    ウチのWin10PCのCPUはA10-7890Kだ。CPUアーキテクチャはSteamrollerだから全く掠りもせんのだ。だからお知らせしなくていい(苦笑)
  • by Anonymous Coward on 2021年07月08日 18時50分 (#4066670)

    https://news.livedoor.com/article/detail/20396425/ [livedoor.com]
    Windows 11のベンチマークの成績がWindows 10と比べて大幅に改善しているという記事を見て、そんな簡単に改善できてしかもその成果をWindows 10にバックポートできないなんてことがありえるのかと思ってたけど、Spectre/Meltdown対策を廃止したのだとしたら納得がいくな

    • by Anonymous Coward

      >その後、Windows Insider Preview版については条件が緩和され、Intelの第4世代CPUなどの環境でもインストールし動作が可能となっている。

      • by Anonymous Coward

        だから何?

      • by Anonymous Coward

        もう一声、第3世代まで来てくれ!
        できればPhenomIIも。

    • by Anonymous Coward

      Insider Preview版でSpectre/Meltdown対策がされてるかどうかで、すぐわかりそうなもんだけどな。

  • by Anonymous Coward on 2021年07月08日 19時06分 (#4066688)

    Windows 11はなぜTPMが必要で、CPU制限が厳しいのか? その理由を詳しく説明
    https://pc.watch.impress.co.jp/docs/column/ubiq/1334963.html [impress.co.jp]

    • by Anonymous Coward

      できればライターの名前はどこかに書いておいてほしかった。
      # 時間を無駄にした。

      • by Anonymous Coward

        なんだ、Anonymous Cowardさんか
        # 時間を無駄にした。

        • by Anonymous Coward

          2行のコメにそのオウム返しは愚鈍すぎ

          • by Anonymous Coward

            記事の最後まで読まないとライターの名前が出てこないならともかく、最初に書かれていてそこでブラウザバックできるのに時間を無駄にしたは言いすぎだろ

    • by Anonymous Coward

      「CPUのセキュリティ機能を必須にしたいから」と
      「Spectre回避機能を捨てたいから」は別の説じゃないぞ

      「Spectre回避を捨てるためにセキュリティ機能を必須にしたい」という同じ説だぞ
      部分的にしか漏れ聞こえてないから全貌が見えないってだけ

typodupeerror

未知のハックに一心不乱に取り組んだ結果、私は自然の法則を変えてしまった -- あるハッカー

読み込み中...