Windows 11のCPU要件設定はSpectreやMeltdown対策をOS側でしたくないから? 93
ストーリー by nagazou
やりたくない気持ちは分かる 部門より
やりたくない気持ちは分かる 部門より
既報の通りWindows 11では、ハードウェア動作要件がこれまでよりも厳しくなる。ASCII.jpの記事によれば、その理由としてSpectreおよびMeltdownの脆弱性問題があるのではないかとしている(ASCII.jp)。
Windows 11発表段階ではIntelの第8世代以降、AMDのZen+世代以降のCPUが基準になると言われてきた。その後、Windows Insider Preview版については条件が緩和され、Intelの第4世代CPUなどの環境でもインストールし動作が可能となっている。しかし、実際にリリースされる製品版に関しては最初の発表通りのハードウェア動作要件に戻る可能性が高いようだ。
SpectreとMeltdown問題は2017年に発見されたものの、Intel、AMD、ARM製CPUにおよぶものだったことから、発表は2018年1月まで行われなかった。Intelの第7世代と最初のZen世代のCPUは対策が行われていない。ASCII.jpの記事では、OS側でSpectre/Meltdownの対応策を行うとシステムの速度低下を引き起こすことから、Windows 11ではこれらの対策が行われているかどうかがハードウェア動作要件の線引きになったのではないかとしている。
Windows 11発表段階ではIntelの第8世代以降、AMDのZen+世代以降のCPUが基準になると言われてきた。その後、Windows Insider Preview版については条件が緩和され、Intelの第4世代CPUなどの環境でもインストールし動作が可能となっている。しかし、実際にリリースされる製品版に関しては最初の発表通りのハードウェア動作要件に戻る可能性が高いようだ。
SpectreとMeltdown問題は2017年に発見されたものの、Intel、AMD、ARM製CPUにおよぶものだったことから、発表は2018年1月まで行われなかった。Intelの第7世代と最初のZen世代のCPUは対策が行われていない。ASCII.jpの記事では、OS側でSpectre/Meltdownの対応策を行うとシステムの速度低下を引き起こすことから、Windows 11ではこれらの対策が行われているかどうかがハードウェア動作要件の線引きになったのではないかとしている。
切ってる人ぼちぼち増えてる (スコア:2)
デスクトップLinuxだとmitigations=off勧めちゃう人をぼちぼち見かけるので、あんまり脅威だと思ってない人が多いのかなと思います。クラウドだと同じCPUを借りてる人が攻撃してくる可能性が排除できないので有効にしておきたいところですが、古典的なウイルスに比べて悪用の可能性は低いと言われればそんな気もします。
しかしHVCI必須化で緩和策関連を捨てられることが理由だとすると、AMD CPUでHVCIに必要なMBECに対応しているのはZen 2以降、型番で言えばRyzen 3000以上(GPUなし)または4000G以上なところ、公式発表では一貫してMBECを搭載しないところのRyzen 2000(Zen+)以上を許容すると言ってしまってるので手遅れ感がありますね。
# Ryzenは型番と世代の数字が一致してないトラップがあるのだ
Re:切ってる人ぼちぼち増えてる (スコア:5, 興味深い)
IT系のメディアやライターさんがサイドチャネル系の脆弱性を「影響するのはサーバーだけ。デスクトップ・一般人には関係ない」と言っているを見かけますが、必ずしもそうとは言えないんですよね。
Windows Defender Application Guardとかが分かりやすいのですが、最近のWindowsはローカルで悪意あるコードが走ることを前提にしたセキュリティー機能が結構あって、サイドチャネル系の脆弱性はそれらの機能が使用するハイパーバイザーによる分離をすり抜けて情報を盗めるので一応リスクはあるわけです。
なのでベアメタルサーバーとかで信頼できるコードしか走らないと断言できる環境以外での緩和策offはやめておいたほうがいいんじゃないかと思います。
ウイルス対策ソフトはもろ影響 (スコア:5, 興味深い)
煽りじゃなくてこれマジで、動的に悪意のあるコードが大量自動生成されるようになったので、昔のようにファイルのハッシュ値でウイルスかを判別するといったシグネチャベースじゃあ対応できなくなりました。
なので、どんなウイルス対策ソフトであってもヒューリスティック検知が実装されているわけですけど、これサンドボックスでウイルスを実行して振る舞いを見ているんですね。
ってことで、SpectreやMeltdown対策がされていないなら、ウイルス対策ソフトが逆効果になって、ユーザーが実行もしていないマルウェアが自動スキャンされただけで、ウイルス対策ソフト自体に欠陥がなくても、悪意のある攻撃が成立する恐れがあります。
Re:ウイルス対策ソフトはもろ影響 (スコア:2)
あー確かに。サンドボックスすり抜けの一手法になるわけですね。とはいえMeltdown系は実行時間がわりと長かったはずなので短縮されるまでは大丈夫のような、開きっぱなしのElectronアプリのjsなんか誰も見てないのでやっぱり危ないような。
# 個人的には明示的に有効にも無効にもしてないし何も考えてないというのが正直なところ
Re:ウイルス対策ソフトはもろ影響 (スコア:1)
Re:とんちゃもん (スコア:0)
不特定多数でリソース共有をしているようなサービス以外ではめだって脅威にならんからね。
Re: (スコア:0)
それなんてWebブラウザ?
Re:とんちゃもん (スコア:1)
ブラウザは、高精度タイマー関係の命令を使えなくしたりして対策したので、
対策後のブラウザはあまり影響うけないのでは?
Re:とんちゃもん (スコア:2)
高精度タイマー無効化は2018年に入りましたが、解決はしてません。(#4066831 [srad.jp])のリンク先参照。今年3月の記事です。
# なぜか後からこっちにプラスモデが付いてるので
Re: (スコア:0)
何言ってんの?まじで何言ってんの?
Re:とんちゃもん (スコア:2)
ブラウザで動くPoCありますよ。
Re: (スコア:0)
こういうバカが湧くのを見てると、本当に適切な脅威分析をした上で切っているのか不安になってくるな
ブラウザは一般人の場合、最も脅威なんですが (スコア:5, 参考になる)
SpectreおよびMeltdown脆弱性をブラウザで悪用できることは、既に証明されていいます。
一般人はよく使うサイトのタブを開きっぱなしにすることが多いです。
Google・Yahoo!・Facebookは勿論、銀行や証券会社のタブも開きっぱなしにしているかもしれません。
他のタブで悪意のあるサイトを開くと、WebAssemblyやJavaScript経由で、別Originのログイントークンなどが盗まれる恐れがあります。
JavaSciptのタイマーの精度を下げるといったブラウザ側で緩和策がとられている場合がありますが、あくまでも攻撃しにくくするための対策であって根本的な対処ではありません。
タブごとにプロセスを分離することは根本的な対策では? と思うかもしれませんが、それはOSレベルでSpectreおよびMeltdown脆弱性に対応していた場合のみですし、OSでSpectreおよびMeltdownに対応するというのも根本的な対策ではなく緩和策にすぎないのです。
CPUの脆弱性なのですから、CPUで対応するのが最良であり、それ以外はパフォーマンスの大幅な低下といった問題も発生します。
Re:ブラウザは一般人の場合、最も脅威なんですが (スコア:2)
CPUで対応しても大して速くないんではないかと。こう、なんともコメントしにくい……
Re:ブラウザは一般人の場合、最も脅威なんですが (スコア:1)
理論上可能
であっても実用性皆無というのが今の判定ですわな
セキュリティ対策はコストとリスクの費用対効果っていつになったら理解されるんだろう
ことこんぴゅーたせきゅりてぃについてはゼロリスク信者が多すぎる
Re:ブラウザは一般人の場合、最も脅威なんですが (スコア:2)
天秤はどちらにでも傾き得るわけで、利益がない前提を置いて詰めるのは悪手かと。例えば性能さえ出ればいいXbox 360のCPUにはL1キャッシュのコヒーレンシをソフト側で担保する前提の命令があって、再現可能究明不能の動作を起こすので使われないことが多かったとかなんとか……
Re:狂犬病予防接種不要論と同じですな (スコア:1)
「確かに穴だけど悪用するにはハードルが高すぎるので現実的な脅威ではないのでは」
と言われていたものに比較的容易に実行可能な方法が発見されたり、実際に利用されたりといった例もけっこうある世界でその認識は甘すぎます。
Re: (スコア:0)
脆弱性の発見時にブラウザで動いたのは確かですが、ブラウザ側で対策された現在でも動くのですか?
Re:とんちゃもん (スコア:2)
Spectre の影響を受けないウェブを作るための概念実証について
2021年3月29日月曜日
(…)
Intel Skylake CPU で Chrome 88 を実行している場合、デモのウェブサイトでは 1 kB/ 秒のスピードでデータが漏洩する可能性があります。なお、このコードはわずかに変更するだけで他のバージョンの CPU やブラウザにも適用できると考えられます。ただし、Google のテストでは、大きな変更を加えなくても、この攻撃を Apple M1 ARM CPU などの他のいくつかのプロセッサで成功させることができました。
https://developers-jp.googleblog.com/2021/03/a-spectre-proof-of-concep... [googleblog.com]
ブラウザ向けに *最初の* 緩和策が出たのは発見から数か月後くらいだったと記憶してはいますが、塞がれたわけではないのかなと。
Re: (スコア:0)
Firefoxのテスト版にサイト分離機能を導入。MeltdownとSpectre問題に根本的な対策 [it.srad.jp]
Re: (スコア:0)
新型コロナワクチンとの類似性があるな。
老人とか、基礎疾患がない場合は、新型コロナのリスクはあまりない。
ワクチンのリスクの方が大きい。
というのと、SpectreやMeltdownはクラウドでなければ、あまりリスクはない。
性能低下はリスクではなく現実の課題として存在する。
SpectreやMeltdown対策は切らせてくれ、って人はワクチンを接種しないつもりの人と類似性がある。
逆に若者で基礎疾患がなくてもワクチン打つ人はSpectreやMeltdown対策の性能低下は許容しそうだ。
Re:切ってる人ぼちぼち増えてる (スコア:2)
まあ、絶対的尺度のない比較論は false dichotomy ですよね。
Re: (スコア:0)
そのような関係を、一般に「トレードオフがある」と言います。
いい機会だから覚えましょう。トレードオフ、次回からはこの一言で説明できます。グダグダ長文を書かなくて済みます。
Re:切ってる人ぼちぼち増えてる (スコア:1)
トレードオフの関係について初めて知ったACはヤバすぎるだろ
ACなら不思議じゃないけどさぁ
わずか2年前にLenovoのZenプロセッサPC買ったんだが (スコア:2)
〉Windows Insider Preview版については条件が緩和され、Intelの第4世代CPUなどの環境でもインストールし動作が可能となっている。
これWindows11が正式リリースされたらどうなるのか誰か知ってます?
Windows10をクリーンインストールし直すしかないのかな?
オリジナルのSpectre/Meltdownはともかく (スコア:1)
類似の脆弱性が以降も次から次へと(その時点での最新プロセッサーでも)見つかりまくってるのにそこで区切って意味あるのかなあ
Re: (スコア:0)
「思われる」「だろう|だろうか」のオンパレード。
塩田某というライターがそう予測しているというだけで、根拠は何も提示されていないし。
Re: (スコア:0)
Microsoftが「より高次元のセキュリティへの対応」「ドライバの安定性」「アプリケーションの互換性の維持」とかふわっとしたことしか言わないせいで憶測が飛び交うんだからちゃんと公式で説明してほしい
Re: (スコア:0)
Surface買ってね!
家族との共用PC (スコア:1)
今の、いわゆるリビングPCをどうしようかな、と思って調べてみると、CPU+マザーボード+メモリの入替えで5〜6万円かかる。子供は自分のNoteを使ってるし、妻はWEBさえ見れれば満足なのでOS入れ替えで凌ごうと決意
よーし、パパUbuntuなんて素人OSは使わないぞーと言いつつ、以前見送ったPC-BSDを探しに行ったら、、、え!開発終了!?_| ̄|○ il||li
まあ、そもそもリビングPC自体が時代遅れも甚だしいよな。
Re:家族との共用PC (スコア:1)
PC-BSDが開発停止になって数年たちますね。
素のFreeBSDが、以前と比べるとかなり良くなっているので、本家のインストーラで入れてもデスクトップ構築は、そんなに手間がかからないと思います。
ちょっと問題になるのは日本語入力システムですね。
>まあ、そもそもリビングPC自体が時代遅れも甚だしいよな。
リビングPCって、Blu-rayとの再生するためのパソコンじゃ・・・。
そうだとするとWindows/Mac以外では厳しいのでは。
Re:家族との共用PC (スコア:2, すばらしい洞察)
> Blu-rayとの再生するためのパソコン
それPCである必要すらないんじゃ…
Re:家族との共用PC (スコア:1)
セキュリティサポート終了までWindows 10でいいじゃんと個人的には思っているんだけど、早くもそういう動きがあるようですね。
Windows 11に見捨てられたPCをChromebook化して幸せに
https://www.itmedia.co.jp/news/articles/2107/06/news062.html [itmedia.co.jp]
Re:家族との共用PC (スコア:1)
Chromebookにも梯子を外され、泣き出す未来が見える
Re: (スコア:0)
ウチのも対象外でどうしようか考えてるけど、アップグレードの期間次第かな。
10のサポート終了までアップグレード期間あるなら、そこまでのどこかでハードを買い替えて11にアップグレードするかな。
一年程度でアップグレードできなくなるならサポート終了になってから考える。
個人的には”最後のWindows”だとかぬかした責任をとって無期限にアップグレードできるようにするべきだと思うけど。
使えないPCにお知らせすんなw (スコア:1)
ウチのWin10PCのCPUはA10-7890Kだ。CPUアーキテクチャはSteamrollerだから全く掠りもせんのだ。だからお知らせしなくていい(苦笑)
Re:使えないPCにお知らせすんなw (スコア:1)
電源が切れている隙に向きを変えると延命できるかもしれませんよ。
Re: (スコア:0)
設定 > [システム] > [通知とアクション]でそれっぽいチェックを外すとか
ベンチマーク (スコア:0)
https://news.livedoor.com/article/detail/20396425/ [livedoor.com]
Windows 11のベンチマークの成績がWindows 10と比べて大幅に改善しているという記事を見て、そんな簡単に改善できてしかもその成果をWindows 10にバックポートできないなんてことがありえるのかと思ってたけど、Spectre/Meltdown対策を廃止したのだとしたら納得がいくな
Re: (スコア:0)
>その後、Windows Insider Preview版については条件が緩和され、Intelの第4世代CPUなどの環境でもインストールし動作が可能となっている。
Re: (スコア:0)
だから何?
Re: (スコア:0)
もう一声、第3世代まで来てくれ!
できればPhenomIIも。
Re: (スコア:0)
Insider Preview版でSpectre/Meltdown対策がされてるかどうかで、すぐわかりそうなもんだけどな。
別の説 (スコア:0)
Windows 11はなぜTPMが必要で、CPU制限が厳しいのか? その理由を詳しく説明
https://pc.watch.impress.co.jp/docs/column/ubiq/1334963.html [impress.co.jp]
Re: (スコア:0)
できればライターの名前はどこかに書いておいてほしかった。
# 時間を無駄にした。
Re: (スコア:0)
なんだ、Anonymous Cowardさんか
# 時間を無駄にした。
Re: (スコア:0)
2行のコメにそのオウム返しは愚鈍すぎ
Re: (スコア:0)
記事の最後まで読まないとライターの名前が出てこないならともかく、最初に書かれていてそこでブラウザバックできるのに時間を無駄にしたは言いすぎだろ
Re: (スコア:0)
「CPUのセキュリティ機能を必須にしたいから」と
「Spectre回避機能を捨てたいから」は別の説じゃないぞ
「Spectre回避を捨てるためにセキュリティ機能を必須にしたい」という同じ説だぞ
部分的にしか漏れ聞こえてないから全貌が見えないってだけ
Re:別の説 (スコア:1)
そのコメは元コメのタイトル「別の説」へのレスなんだが
それをさておいてもその基礎疾患持ちのRyzen初代やIntelの7世代未満は
まだ流通在庫があるレベルの新しさだから切るのはあまりに無茶