Microsoft propose une nouvelle mise à jour, KB4078130, pour l’ensemble des versions de Windows pris en charge. Elle permet de désactiver le patch Spectre (variante 2) suite aux révélations d’Intel.
Intel a récemment confirmé que sa solution pour atténuer la Variante 2 de Spectre n’était pas stable. Elle cause des problèmes avec un certain nombre de processeurs. Les propres correctifs de Microsoft inclus les Update d’Intel.
Failles Meltdown et Spectre, Intel déconseille l’installation de ses correctifs
Devant la situation le géant du logiciel a pris la décision de désactiver le patch en question. Les soucis sont observés sur toutes les versions de Windows. Ceci prend la forme d’une nouvelle mise à jour nommée KB4078130. En parallèle le groupe propose des conseils pour désactiver manuellement le correctif d’Intel. Il est expliqué
« Tandis qu’Intel teste, met à jour et déploie un nouveau microcode, nous mettons à disposition une mise à jour, KB4078130. Elle vise à désactiver uniquement l’atténuation contre CVE-2017-5715 »
Microsoft souligne qu’elle n’a pas connaissance d’une attaque à l’aide de cette vulnérabilité afin de rassurer ses utilisateurs. Elle est désormais en attente d’un nouveau correctif d’Intel afin de lancer une procédure de réactivation de ses propres mesures d’atténuation.
“En date du 25 janvier, aucun rapport connu n’indique que cette variante Spectre 2 (CVE 2017-5715) a été utilisée pour attaquer des clients. Nous recommandons aux clients Windows, le cas échéant, de réactiver les mesures d’atténuation contre CVE-2017-5715 lorsqu’Intel signale que ce comportement imprévisible du système a été résolu pour votre appareil »
Microsoft propose en parallèle la procédure pour activer ou désactiver manuellement cette atténuation. L’opération se déroule dans le registre Windows. Elle permet de se passer de KB4078130
Windows et Spectre, procédure manuelle
Pour activer «Variant 2: CVE 2017-5715 “Branch Target Injection”:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 1 /f
Pour désactiver Variant 2: CVE 2017-5715 “Branch Target Injection”:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 1 /f
KB4078130 n’est pas proposé dans la cadre du service Windows Update. Son installation demande un téléchargement manuel sur la plateforme « Update Catalog ». Le correctif est proposé pour Windows 7, 8.1 et 10.