Windows 10, le patch contro le vulnerabilità Spectre si fanno meno pesanti

A gennaio 2018 sono state scoperte due vulnerabilità nei processori vecchi e nuovi: Spectre e Meltdown. I due bug hanno aperto la strada, durante tutto lo scorso anno, all’individuazione di una serie di varianti: ne abbiamo parlato nell’articolo Spectre e Meltdown: le patch sono davvero indispensabili?.
Il filo conduttore che lega le varie lacune di sicurezza è la cosiddetta esecuzione speculativa, tecnica utilizzata dai processori per ridurre “il costo” delle operazioni di salto condizionato. Sfruttando i vari bug un aggressore o un processo malevolo in esecuzione sulla macchina, possono ad esempio caricare codice nocivo, sottrarre chiavi crittografiche, password master e dati sensibili (ad esempio il contenuto dei messaggi di posta o altre informazioni estratte dai vari programmi in esecuzione).

Dal momento che Spectre, Meltdown e varianti hanno a che fare con una serie di problematiche legate al design dei processori, sono i produttori delle CPU che devono rilasciare opportuni aggiornamenti del microcode (poi a loro volta distribuiti dai produttori delle schede madri attraverso aggiornamenti del BIOS/UEFI).

Anche gli sviluppatori dei sistemi operativi si sono comunque attività per rilasciare patch capaci di attenuare i vari problemi a livello software.
Quando Microsoft ha rilasciato le sue patch di sicurezza per Windows, alcuni utenti – soprattutto coloro che utilizzano CPU “datate” – hanno lamentato cali di performance piuttosto evidenti.

Gli ingegneri di Google avevano però individuato un approccio correttivo più efficace: chiamato Retpoline, esso consente di correggere le vulnerabilità Spectre usando meccanismi che consentono di ridurre al minimo l’impatto negativo sulle performance della macchina. Dopo il debutto di Retpoline sui sistemi Linux, Microsoft aveva confermato la distribuzione di una patch Windows 10 al momento del rilascio dell’aggiornamento di aprile 2019: Windows 10 ridurrà l’impatto negativo delle patch anti Spectre con Google Retpoline.

Microsoft ha deciso di forzare le tappe e oggi, attraverso l’aggiornamento KB4482887 già disponibile su Windows Update, la patch basata su Retpoline può essere utilizzata dagli utenti di Windows 10 Aggiornamento di ottobre 2018 ed ha efficacia con i processori AMD e gli Intel Broadwell (o modelli precedenti; non è utilizzabile sugli Skylake e CPU Intel più recenti).

Va detto, come chiarito dai tecnici di Microsoft, che le nuove correzioni non saranno abilitate immediatamente in modo da essere certi che non possano presentarsi ulteriori problemi, come avvenuto in passato con aggiornamenti similari. L’attivazione delle patch Retpoline avverrà via cloud, su indicazione diretta di Microsoft.

Aggiornamento: In una nota ufficiale pubblicata in questa pagina, Microsoft spiega come abilitare manualmente Retpoline.
Prima di procedere è opportuno effettuare un backup del sistema oppure sapere come annullare la modifica dal supporto di installazione di Windows (o dalla console di ripristino): Aprire il registro di sistema all’avvio del PC e modificarne il contenuto.

Per attivare Retpoline in Windows 10 bisognerà utilizzare i seguenti due comandi da una finestra del prompt aperta con i diritti di amministratore:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x400
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x400

Per abilitare Retpoline su un sistema Windows Server:

reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x400
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x401

L’aggiornamento cumulativo KB4482887 per Windows 10 build 1809 risolve anche un fastidioso bug del Centro notifiche: cliccando sulla sua icona nella traybar esso compare per un breve tempo sul lato sinistro dello schermo per poi spostarsi sulla destra.