Comments
С тех пор, как у основных ядер интеловских процессоров появились микрокоды, то есть со времён Pentium II. А фирмвари у них никогда и не было.
Микрокод — одна из разновидностей firmware. Тут, собственно, речь идет именно о микрокоде. Хотя для меня, например, стало новостью, что микрокод процессоров обновляется из Windows, а не из UEFI.
Обновлять его только из прошивки — плохая идея, какая доля пользователей обновляет прошивку? И что делать, когда вендор матплаты прекратит поддержку?

В Linux обновлённый микрокод тоже доставляется, там есть для этого отдельный пакет (а те, кто не приемлет проприетарные компоненты, вероятно, сидят с уязвимостями).
Обратная сторона есть у этой возможности обновлять микрокод откуда попало: он не сбрасывается без глубокой перезагрузки (которую никто не делает, потому что она медленнее обычной впятеро), и поэтому невозможно простой перезагрузкой обеспечить возврат к исходному ожидаемому состоянию процессора, отчего может сломаться с таким трудом налаженная цепочка доверия. Если бы возможность запретить обновление микрокода установкой lock-бита в какой-нибудь MSR была — я бы пользовался ей на определенных конфигурациях, но ее нет, и приходится слепо доверять Intel и в этом месте тоже.
Обновлять его только из прошивки — плохая идея, какая доля пользователей обновляет прошивку? И что делать, когда вендор матплаты прекратит поддержку?

Да ничего не делать, как по мне. Не обновив микрокод, единственное сколь-нибудь ценное, что потеряет пользователь — защиту от некоторых теоретических уязвимостей, которые никто до сих пор и не научился эксплуатировать, кроме как в лабораториях, причём ценой потери некоторой части производительности процессора. Домашнему пользователю этим вполне можно пренебречь, а у бизнес-пользователей есть системные администраторы, которые сами могут оценить плюсы и минусы обновления, принять решение и применить его.
Обновлениями микрокода не только уязвимости исправляют, но и просто ошибки.

А иногда и производительность повышают, например, обнаружилось, что после очередного обновления микрокода чуток повысились аппетиты процессоров Haswell, но чуток подросла и производительность.
Пользователи или системные администраторы должны устанавливать их вручную.
99% пользователей вообще не в теме, о чём речь.
Надобы выпустить разные патчи микрокода: понижающие быстродействие для безопасности и увеличивающие за счет уязвимости.
Запилить ползунок «Баги\Производительность» по типу уровней UAC.
Для этого в операционных системах есть настройки, отключающие защиту от уязвимостей.
эти настройки загружают в ЦПУ микрокод оптимизированный под производительность?
Защита от Meltdown реализована в операционной системе.
Защита от Spectre работает только при одновременной поддержке со стороны микрокода и операционной системы.

Если отключить в ОС, то защиты (и падения производительности) не будет, даже если микрокод свежий.
Only those users with full accounts are able to leave comments. Log in, please.