KB4073065: シリコンベースのマイクロアーキテクチャおよび投機的実行サイドチャネルの脆弱性から保護するための Surface ガイダンス

概要

2018 年 1 月から、Surface チームは、マイクロアーキテクチャと投機的実行サイド チャネルの脆弱性に関連するシリコン ベースの問題のクラスのファームウェア更新プログラムを公開しています。 Surface チームは、引き続き Windows チームや業界パートナーと緊密に連携して、お客様を保護しています。 使用可能なすべての保護を取得するには、ファームウェアと Windows システム更新プログラムの両方が必要です。

概要

2022 年 6 月に発表された脆弱性

Surface チームは、Surface 製品にも影響を与える新しいシリコン ベースのマイクロアーキテクチャおよび投機的実行サイド チャネル攻撃バリアントを認識しています。 脆弱性と軽減策の詳細については、次のセキュリティ アドバイザリを参照してください。

• Microsoft セキュリティ アドバイザリ ADV220002

Microsoft はパートナーと協力して、更新プログラムが品質要件を満たしていることを確認できる限りすぐに Surface 製品の更新プログラムを提供しています。 

Surface デバイスの更新プログラムの詳細については、「Surface の更新履歴」を参照してください。

2019 年 5 月に発表された脆弱性

Surface チームは、Surface 製品にも影響を与える新しい投機的実行サイド チャネル攻撃バリアントを認識しています。 これらの脆弱性の軽減には、オペレーティング システムの更新プログラムと、新しいマイクロコードを含む Surface UEFI 更新プログラムが必要です。 脆弱性と軽減策の詳細については、次のセキュリティ アドバイザリを参照してください。

• Microsoft セキュリティ アドバイザリ ADV190013

  このアドバイザリには、次の脆弱性が含まれます。

  • CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS) 
  • CVE-2018-12130 | Microarchitectural Fill Buffer Data Sampling (MFBDS)
  • CVE-2018-12127 | Microarchitectural Load Port Data Sampling (MLPDS)
  • CVE-2019-11091 |マイクロアーキテクチャ データ サンプリング キャッシュできないメモリ (MDSUM)

Windows オペレーティング システムのセキュリティ更新プログラムのインストールに加えて、Surface では、Windows Updateと次のデバイスのダウンロード センターを通じて UEFI 更新プログラムをリリースしました。

• Surface 3 - 2019 年 7 月 11 日の更新プログラム
• Surface Pro 3 - 2019 年 7 月 11 日の更新プログラム
• Surface Pro 4 - 2019 年 6 月 27 日更新プログラム
• Surface Book - 2019 年 6 月 27 日の更新プログラム
• Surface Studio - 2019 年 7 月 11 日の更新プログラム
• Surface Pro (第 5^世代) - 2019 年 6 月 27 日更新
• Surface Laptop - 2019 年 6 月 27 日更新プログラム
• Surface Book 2 - 2019 年 6 月 27 日の更新プログラム
• Surface Pro 6 - 2019 年 6 月 27 日の更新プログラム
• Surface Laptop 2 - 2019 年 6 月 27 日更新プログラム
• Surface Studio 2 - 2019 年 7 月 31 日の更新プログラム
• Surface GO WiFi - 2019 年 7 月 23 日更新プログラム
• Surface GO LTE - 2019 年 7 月 23 日更新プログラム

新しいマイクロコードに加えて、UEFI 更新プログラムのインストール時に"同時マルチスレッド (SMT)" と呼ばれる新しい UEFI 設定を使用できます。 この設定を使用すると、ユーザーは Hyper-Threading を無効にすることができます。

注

• Hyper-Threading を無効にする場合は、新しい SMT UEFI 設定を使用することをお勧めします。

• SMT を無効にすると、これらの新しい脆弱性と、先ほど発表した L1 ターミナル フォールト 攻撃に対する追加の保護が提供されます。 ただし、この方法はデバイスのパフォーマンスにも影響します。

• Intel Core i5 の Surface 3 とSurface Studioには SMT がありません。 そのため、これらのデバイスにはこの新しい設定はありません。

• Microsoft Surface Enterprise Management Mode (SEMM) UEFI コンフィギュレーター ツール バージョン 2.43.139 以降では、新しい SMT 設定がサポートされています。 ツールは、 この Web ページからダウンロードできます。 次の必要なツールをダウンロードします。

  • SurfaceUEFI_Configurator_v2.43.139.0.msi
  • SurfaceUEFI_Manager_v2.43.139.0.msi

2018 年 8 月に発表された脆弱性

Surface チームは、L1 Terminal Fault (L1TF) と呼ばれる新しい投機的実行サイド チャネル攻撃を認識し、 CVE-2018-3620 (OS と SMM) と CVE-2018-3646 (VMM) を割り当てます。 影響を受ける Surface 製品は、この記事の「2018 年 5 月に発表された脆弱性」セクションと同じです。 2018 年 5 月の結果を軽減するマイクロコード更新プログラムでは、L1TF (CVE-2018-3646) も軽減されます。 脆弱性と軽減策の詳細については、次のセキュリティ アドバイザリを参照してください。

• Microsoft セキュリティ アドバイザリ ADV180018

  このアドバイザリには、次の脆弱性が含まれます。

  • CVE-2018-3620
  • CVE-2018-3646

セキュリティ アドバイザリでは、Credential Guard や Device Guard などのセキュリティ機能を含む仮想化ベースのセキュリティ (VBS) を使用しているお客様は、L1TF からのリスクを完全に排除するために、Hyper-Threading を無効にすることを検討する必要があることを提案しています。

2018 年 5 月に発表された脆弱性

Surface チームは、Surface 製品にも影響を与える新しい投機的実行サイド チャネル攻撃バリアントを認識しました。 これらの脆弱性の軽減には、新しいマイクロコードを使用する UEFI 更新プログラムが必要です。 脆弱性と軽減策の詳細については、次のセキュリティ アドバイザリを参照してください。

• Microsoft セキュリティ アドバイザリ ADV180012

  このアドバイザリには、次の脆弱性が含まれます。

  • CVE-2018-3639

• Microsoft セキュリティ アドバイザリ ADV180013

  このアドバイザリには、次の脆弱性が含まれます。

  • CVE-2018-3640

Windows オペレーティング システムのセキュリティ更新プログラムのインストールに加えて、Surface では、Windows Updateと次のデバイスのダウンロード センターを通じて UEFI 更新プログラムをリリースしました。

• Surface Book 2 - 2018 年 8 月 1 日の更新プログラム
• Surface Book - 2018 年 8 月 21 日の更新プログラム
• Surface Laptop - 2018 年 7 月 25 日更新プログラム
• Surface Studio - 2018 年 10 月 1 日の更新プログラム
• Surface Pro 4 - 2018 年 7 月 25 日の更新プログラム
• Surface Pro 3 - 2018 年 8 月 7 日の更新プログラム
• Surface Pro モデル 1796 および高度な LTE モデル 1807 を使用したSurface Pro - 2018 年 7 月 26 日の更新プログラム

2018 年 1 月に発表された脆弱性

Surface チームは、Intel、AMD、ARM など、多くの最新のプロセッサとオペレーティング システムに影響を与える投機的実行サイド チャネル (Spectre と Meltdown と呼ばれます) を含む、公開されている脆弱性のクラスを認識しています。 脆弱性と軽減策の詳細については、次のセキュリティ アドバイザリを参照してください。

• Microsoft セキュリティ アドバイザリ ADV180002

  このアドバイザリには、次の脆弱性が含まれます。

  • CVE-2017-5753
  • CVE-2017-5715
  • CVE-2017-5754

Windows ソフトウェア更新プログラムの詳細については、次のサポート情報記事を参照してください。

• KB4073757 
• KB4073119 (クライアント ガイダンス)

Surface は、1 月 3 日の Windows オペレーティング システム セキュリティ Updatesのインストールに加えて、Windows Updateと次のデバイス用のダウンロード センターを通じて UEFI 更新プログラムをリリースしました。

• Surface Book 2 - (更新履歴)
• Surface Book - (更新履歴)
• Surface Laptop - (更新履歴)
• Surface Studio - (更新履歴)
• Surface Pro 4 - (更新履歴)
• Surface Pro 3 - (更新履歴)
• Surface 3 - (更新履歴)
• Surface Pro モデル 1796 および高度な LTE モデル 1807- (更新履歴) を使用したSurface Pro

これらの更新プログラムは、Windows 10 Creators Update (ビルド 15063) 以降のバージョンを実行しているデバイスで使用できます。

詳細

Surface Hub オペレーティング システムWindows 10 Teamでは、多層防御戦略が実装されています。 このため、オペレーティング システムを実行すると、これらの脆弱性を使用する悪用が Surface Hub で大幅に削減Windows 10 Team考えています。  詳細については、Windows IT Pro Center Web サイトの「Surface Hub とWindows 10 Enterpriseの違い」のトピックを参照してください。  

Surface チームは、ユーザーが安全で信頼性の高いエクスペリエンスを持っていることを確認することに重点を置きます。 これらの脆弱性に対処し、デバイスの信頼性とセキュリティを維持するために、必要に応じてデバイスを監視および更新し続けます。

関連情報

サードパーティの情報に関する免責事項

Microsoft は、ユーザーがテクニカル サポートを見つけるため、サード パーティの連絡先を提供しています。 将来予告なしに変更されることがあります。 Microsoft は、サード パーティの連絡先情報の正確性を保証していません。