投機的実行サイドチャネルの脆弱性から保護するための Surface ガイダンス

Surface チームは、Surface 製品にも影響を及ぼす新しい投機的実行サイド チャネル攻撃のバリアントを認識しています。 これらの脆弱性を緩和するには、オペレーティング システムの更新プログラムと、新しいマイクロコードを含んだ Surface UEFI 更新プログラムが必要です。 脆弱性と緩和策の詳細については、次のセキュリティ アドバイザリを参照してください。

• Microsoft セキュリティ アドバイザリ ADV190013

マイクロソフトはパートナーと連携し、更新プログラムが品質要件を満たしていることを確認でき次第、次の Surface 製品の更新プログラムを提供しています。

• Surface 3 - 2019 年 7 月 12 日、更新プログラム

• Surface Pro 3 - 2019 年 7 月 12 日、更新プログラム

• Surface Pro 4 - 2019 年 6 月 28 日、更新プログラム

• Surface Book - 2019 年 6 月 28 日、更新プログラム

• Surface Studio - 2019 年 7 月 12 日、更新プログラム

• Surface Pro (第 5 世代) - 2019 年 6 月 28 日、更新プログラム

• Surface Laptop - 2019 年 6 月 28 日、更新プログラム

• Surface Book 2 - 2019 年 6 月 28 日、更新プログラム

• Surface Pro 6 - 2019 年 6 月 28 日、更新プログラム

• Surface Laptop 2 - 2019 年 6 月 28 日、更新プログラム

• Surface Studio 2- 2019 年 8 月 1 日、更新プログラム

• Surface GO WiFi

• Surface GO LTE

UEFI 更新プログラムをインストールすると、新しいマイクロコードに加えて、“SMT (Simultaneous Multi-Threading)” と呼ばれる新しい UEFI 設定も使用できるようになります。 この設定により、ユーザーがハイパースレッディングを無効にすることができます。

注意事項

• ハイパースレッディングを無効にする場合は、新しい SMT UEFI 設定を使用することをお勧めします。

• SMT を無効にすると、これらの新しい脆弱性と以前に発表された L1 Terminal Fault 攻撃に対する追加の保護策になります。 ただし、この方法はデバイスのパフォーマンスにも影響を及ぼします。

• Intel Core i5 を搭載した Surface 3 および Surface Studio には SMT がありません。 そのため、それらのデバイスにはこの新しい設定がありません。

• Microsoft Surface Enterprise Management Mode (SEMM) の UEFI 構成ツール バージョン 2.43.139 以降は、新しい SMT 設定をサポートしています。 ツールはこの Web ページからダウンロードできます。 以下の必要なツールをダウンロードしてください。

  • SurfaceUEFI_Configurator_v2.43.139.0.msi

  • SurfaceUEFI_Manager_v2.43.139.0.msi

関連情報

• CVE-2018-12126

• CVE-2018-12127

• CVE-2018-12130

• CVE-2019-11091

Surface チームは、L1 Terminal Fault (L1TF) と呼ばれる新しい投機的実行サイドチャネル攻撃を認識しており、CVE-2018-3620 (OS および SMM) と CVE-2018-3646 (VMM) を割り当てました。 影響を受ける Surface 製品は、この資料の「“2018 年 5 月に発表された脆弱性”」セクションに記載されているものと同じです。 2018 年 5 月に見つかった脆弱性を緩和するマイクロコード更新プログラムで、L1TF (CVE-2018-3646) も緩和されます。 脆弱性と緩和策の詳細については、次のセキュリティ アドバイザリを参照してください。

• Microsoft セキュリティ アドバイザリ ADV180018

このセキュリティ アドバイザリでは、Credential Guard や Device Guard などのセキュリティ機能を含む仮想化ベースのセキュリティ (VBS) を使用する場合、L1TF のリスクを完全に排除するためにハイパースレッディングを無効にすることを検討する必要があると提案しています。 現在は Surface デバイスでハイパースレッディングを無効にできません。 既定では、VBS 機能は Surface デバイスで無効になっています。 Surface チームはハイパースレッディングを無効にできる選択肢を調査しています。 

関連情報

• CVE-2018-3620

• CVE-2018-3646

Surface チームは、Surface 製品にも影響を及ぼす新しい投機的実行サイド チャネル攻撃のバリアントを認識しました。 これらの脆弱性を緩和するには、新しいマイクロコードを使用する UEFI の更新プログラムが必要です。 脆弱性と緩和策の詳細については、次のセキュリティ アドバイザリを参照してください。

• Microsoft セキュリティ アドバイザリ ADV180012

• Microsoft セキュリティ アドバイザリ ADV180013

マイクロソフトはパートナーと連携し、更新プログラムが品質要件を満たしていることを確認でき次第、次の Surface 製品の更新プログラムを提供しています。

• Surface Book 2 - 2018 年 8 月 2 日更新プログラム

• Surface Book - 2018 年 8 月 22 日更新プログラム

• Surface Laptop - 2018 年 7 月 26 日更新プログラム

• Surface Studio - 2018 年 10 月 2 日更新プログラム

• Surface Pro 4 - 2018 年 7 月 26 日更新プログラム

• Surface Pro 3 - 2018 年 8 月 8 日更新プログラム

• Surface Pro Model 1796 と Surface Pro Advanced LTE モデル 1807 - 2018 年 7 月 27 日更新プログラム

関連情報

• CVE-2018-3640

• CVE-2018-3639

Surface チームは、Intel、AMD、ARM など多くの最新のプロセッサやオペレーティング システムに影響を及ぼす投機的実行サイド チャネル (スペクターとメルトダウンと呼ばれます) に関する一般に公開されている脆弱性のクラスを認識しています。 脆弱性と緩和策の詳細については、次のセキュリティ アドバイザリを参照してください。

Microsoft セキュリティ アドバイザリ ADV180002

Windows ソフトウェアの更新プログラムの詳細については、次のサポート技術情報を参照してください。

• 4073757 スペクターとメルトダウンの脆弱性から Windows デバイスを保護する

• 4073119 投機的実行サイドチャネルの脆弱性から保護するための IT プロフェッショナル向け Windows クライアント ガイダンス

2018 年 1 月 4 日の Windows オペレーティング システムのセキュリティ更新プログラムに加え、Surface は次のデバイスについて UEFI ファームウェアの更新プログラムを Windows Update とダウンロード センターを介して提供しています。

• Surface Book 2 - (更新履歴)

• Surface Book - (更新履歴)

• Surface Laptop - (更新履歴)

• Surface Studio - (更新履歴)

• Surface Pro 4 - (更新履歴)

• Surface Pro 3 - (更新履歴)

• Surface 3 - (更新履歴)

• Surface Pro Model 1796 と Surface Pro Advanced LTE モデル 1807 - (Windows Update の更新履歴)

これらの更新プログラムは、Windows 10 Creators Update (ビルド 15063) 以降のバージョンを実行しているデバイスで使用できます。

関連情報

• CVE-2017-5753

• CVE-2017-5715

• CVE-2017-5754