继去年秋天预告之后,微软终于宣布发布包含Spectre变种2修补工具Retpoline的Windows 10功能更新KB 4482887,不过只有布署最新更新1809及以后版本的计算机得以受益。
Google的安全团队Project Zero去年一月发现3个CPU推测执行旁路攻击漏洞变种:CVE-2017-5753和CVE-2017-5715(称之为Spectre v1及v2)及CVE -2017-5754为(称为Meltdown)。其中又以Spectre v2最为棘手,修补往往会拖慢系统性能,唯独Google开发出来的Retpoline除外。
Google承诺分享给其他厂商。去年一年来,Google已经将Retpoline布署到其Linux服务器,以及其他版本Linux操作系统软件,包括Red Hat、SUSE、Ubuntu及Oracle Linux 6、7中。去年10月工程师Alex Ionescu首先发现19H1开发测试版已经启动Retpoline,随后微软工程师Mehmet Iyigun坦承此事,表示该Spectre v2修补程序对系统性能影响降至“噪音水准”(noise-level)。 Google宣称对其服务器只有1.5%的性能影响。
他在最新的博客中指出,在Windows 10用户端设备上,Retpoline目前是默认关闭的,但微软已经反向移植(backport)必要的OS修改来支持Retpoline,以便用于1809版Windows 10及以后更新版中,并经由3月1日的KB4482887更新发布。由于布署和变更的复杂性,目前只能在Windows 10最新更新版1809(和即将推出的19H1)中启动这个修补程序,但Iyigun指出未来几个月内,微软将陆续通过云计算来阶段性布署Retpoline。
不过一些用户安装KB 4482887后,会在某些用户引发IE 11验证问题。当两人以上使用同一个帐户在同一台Windows Server同时登录,包括创建RDP链接或登录终端服务器时会出现缓存降至零、键盘捷径不灵、无法顺利加载网页、帐密输入对话盒与文件下载问题等征状。微软目前正在解决该问题,并于日后发布更新。