Налаштування Windows Spectre тут, але ви можете почекати
Щоб повністю захистити комп'ютер від Spectre, потрібно оновити мікрокод Intel CPU. Зазвичай це виробник комп'ютера здійснюється через оновлення прошивки UEFI, але Microsoft пропонує додаткову патч з новим мікрокодом.
Ми вважаємо, що більшість людей повинні чекати, поки їхні виробники ПК розгортають це оновлення, а не поспішати встановлювати патч Microsoft. Але, якщо ви особливо стурбовані Spectre атаками, ви можете отримати оновлений мікрокод від Microsoft, навіть якщо виробник комп'ютера не планує його випустити. Патч Microsoft доступний лише для Windows 10.
Чому ваш комп'ютер може бути вразливим для Spectre
Spectre і Meltdown були розкриті в той же час, так що це може бути трохи заплутаним. Оригінальний патч Windows, захищений від атаки Meltdown, але вимагав оновлення мікрокоду CPU від Intel, щоб повністю захистити від Spectre. Технічно, оновлення мікрокоду, про який ми говоримо тут, захищає від Spectre Variant 2, "Інжекція цільової гілки".
Ви можете перевірити, чи ваш комп'ютер захищений від Spectre за допомогою інструменту InSpectre корпорації Gibson Research Corporation. Припускаючи, що оновлення прошивки UEFI не інстальовано виробником комп'ютера або виробником вашої материнської плати, якщо ви створили власний комп'ютер, ви побачите, що ваш комп'ютер є вразливим для Spectre. Якщо ви вже встановили ці виправлення, цей інструмент показує, як багато виправлень впливають на продуктивність вашого комп'ютера.
Щоб повністю увімкнути захист Spectre, вам знадобиться новий мікрокод CPU від Intel. Мікрокод центрального процесора є в основному прошивкою для вашого процесора, і він контролює, як працює ваш процесор. Загалом, новий мікрокод ЦП забезпечується через оновлення прошивки UEFI системи або BIOS. Проте багато виробників ПК ще не випустили оновлення мікрокодів для своїх існуючих ПК, і деякі комп'ютери ніколи не побачать оновлень від своїх виробників.
Таким чином, для вирішення цієї невідповідності Microsoft працювала з Intel, щоб забезпечити інший спосіб отримати оновлення мікрокоду. Microsoft пропонує оновлення для Windows, які додають нові файли мікрокоду до самої Windows. Коли Windows завантажується, Windows надає новий мікрокод ЦП. Мікрокод буде використовуватися до завершення роботи комп'ютера.
Чому ви можете чекати виробника ПК?
Все це звучить чудово, але є одна проблема: стабільність системи. Оригінальні оновлення мікрокоду Intel спричинили випадкові перезавантаження на багатьох системах. Нові оновлення мікрокоду здаються стабільними, і ми не бачили повідомлень про поширені проблеми. Проте виробник комп'ютера може не поспішати, щоб переконатися, що оновлення не призведе до проблем на вашому ПК, перш ніж вони стануть доступними для вас.
На офіційній сторінці документації корпорації Майкрософт корпорація Майкрософт стверджує, що "не відомо про будь-які проблеми, які впливають на це оновлення в даний час", але також, що вам слід "проконсультуватися з виробником пристрою та веб-сайтами Intel щодо їх рекомендації щодо мікрокоду для вашого пристрою перед застосуванням цього оновлення пристрою. "
Це небагато, оскільки виробник вашого ПК, ймовірно, не рекомендуватиме встановлювати оновлення мікрокоду, якщо вони не надають його вам.
Отже, наша рекомендація полягає в тому, щоб спочатку перевірити веб-сайт виробника комп'ютера для оновлення UEFI або BIOS і встановити, якщо це можливо. Якщо оновлення недоступне, і ви незручно чекаєте, поки не з'явиться оновлення, можливо, захочете розглянути оновлення мікрокоду Microsoft.
Багато з найстрашніших побоювань щодо Spectre були розглянуті іншими патчами програмного забезпечення, що робить це оновлення менш актуальним. Наприклад, веб-браузери випустили оновлення, які заважають веб-сайтам використовувати Spectre через код JavaScript. Spectre набагато складніше експлуатувати, ніж Meltdown.
Ми також не бачили жодних серйозних подвигів Spectre в дикій природі. Отже, ми взагалі не рекомендуємо поспішати. Можливо, самі корпорації Майкрософт, можливо, захочуть мати час, щоб перевірити це оновлення, перш ніж автоматично переходити до всіх користувачів Windows за допомогою служби Windows Update, хоча ми не знаємо, які майбутні плани Microsoft для цього оновлення можуть бути.
Проте деякі типи систем залишаються особливо вразливими. Системи, які запускають віртуальні машини, що містять ненадійний код, подібний до служби хмарного хостингу, майже напевно повинні встановити оновлення мікрокоду на ці системи.
Як встановити оновлення мікрокоду від Microsoft
Ми не рекомендуємо всім користувачам Windows поспішати встановлювати ці виправлення. Але, якщо ви стурбовані Spectre, і ви хочете оновити мікрокод зараз, ви можете отримати його.
Зауважте, що оновлення мікрокоду доступні лише для деяких процесорів, і вони доступні лише для Windows 10 версії 1709, тобто оновлення "Творці падіння". Windows 7, Windows 8 і старіші версії Windows 10 не підтримуються. Починаючи з 13 березня 2018 року, патч Microsoft підтримує 6-е покоління (Skylake), 7-го покоління (Kaby Lake) і 8-го покоління (Core Lake) процесори Intel Core, а також деякі процесори Intel Xeon.
Ви можете перевірити, чи ваш ЦП спеціально підтримується за допомогою безкоштовного інструменту InSpectre, про який ми говорили вище. Знайдіть рядок "CPUID", а потім відвідайте сторінку оновлення мікрокоду Intel на веб-сайті Microsoft. Перевірте, чи вказано CPUID у InSpectre на вашому комп'ютері на сторінці Microsoft. Якщо це не так, оновлення Windows ще не підтримує ваш процесор з оновленнями мікрокоду, але може й надалі.
Якщо ваш ЦП підтримується і вам потрібне оновлення, наприклад, якщо InSpectre каже, що ви не захищені від Spectre, ви можете завантажити оновлення та встановити його. Це оновлення не буде встановлено автоматично на ваш комп'ютер, але його потрібно завантажити вручну через веб-сайт Microsoft Update Catalog.
Завантажте патч KB4090007 на веб-сайті каталогу оновлення. Доступні як 64-розрядні, так і 32-розрядні версії, тому завантажте відповідну версію для будь-якої іншої версії Windows, яку ви встановили - x64 для 64-розрядних Windows або x86 для 32-розрядних Windows.
Запустіть завантажений файл інсталятора, щоб встановити мікрокод на ПК. Після цього вам буде запропоновано перезавантажитись.
Після інсталяції оновлення знову запустіть інструмент InSpectre, і вам слід повідомити, що ваша система захищена від Spectre.
Зображення: Intel, Natascha Eibl