Первое обновление исправляет уязвимость на программном уровне, а второе – на аппаратном.
Не получилось с первого раза – попытайся снова. Похоже, именно такой тактики придерживается Microsoft в выпуске исправлений для Spectre 2 (CVE-2017-5715). На этой неделе компания выпустила два очередных обновления для Windows, призванных окончательно исправить печально известную уязвимость.
Первое обновление (KB4078407) доступно в каталоге Центра обновления Windows исключительно для установки вручную. Патч представляет собой программное исправление Spectre 2 на уровне операционной системы. Для полного исправления уязвимости по-прежнему требуется дополнительная установка обновлений микрокода на уровне центрального процессора в зависимости от его модели.
Обновление KB4078407 предназначено только для Windows 10 и Windows Server 2016. Microsoft пыталась выпустить его еще 4 января, через день после того, как широкой общественности стало известно о Meltdown и Spectre. Однако патч оказался проблемным и был отозван.
Второе обновление (KB4091666) также доступно в каталоге Центра обновления Windows для загрузки вручную и предназначено только для пользователей Intel. Патч содержит обновления микрокода, необходимые для исправления Spectre 2 на аппаратном уровне.
Изначально Microsoft планировала предоставить обновления микрокода производителям материнских плат, которые в свою очередь разослали бы их своим клиентам в качестве обновления BIOS. Тем не менее, некоторые вендоры серьезно отстали в выпуске обновлений, и Microsoft решила сама разослать их пользователям.
Сначала было выпущено обновление микрокода KB4090007, предназначенное только для Intel Skylake, а спустя две недели оно стало доступно еще для ряда процессоров. KB4091666 предназначено для процессоров, не охваченных KB4090007. Некоторые упомянутые в KB4091666 процессоры уже получили обновление KB4090007, однако Microsoft не позиционирует новый патч как преемника предыдущего.