[mode troll]
Moi, je ne met jamais mon système d’exploitation à jour.
Trop de risques de régressions.
[/mode troll]

Plus sérieusement, n'importe quel mise à jour, même celle de ton navigateur entraine des risques de régressions. Ces régressions touchent généralement un petit nombre de personnes (si cela touche beaucoup de personnes cela n'aurait pas passé les validations)

Ne pas mettre à jour son microcode, c'est s'exposer à des problèmes avec des logiciels récents qui s'attendent à avoir une version à jour du microcode :

Firefox 57 et versions plus récentes, sont connus pour planter occasionnellement avec des processeurs Broadwell-U équipés d'un ancien microcode d'une façon jamais rencontrée avec des versions plus récentes du microcode Broaswell-U.

Les mises à jour de microcode peuvent être chargées sur le processeur en utilisant le firmware (ordinairement appelé BIOS même sur des ordinateurs qui ont techniquement un firmware UEFI à la place du bon vieux BIOS) ou par le système d'exploitation. Les mises à jour de microcode ne se conservent pas après redémarrage, donc dans le cas d'un système à double amorçage, si la mise à jour du microcode n'est pas transmis via le BIOS, les deux systèmes d'exploitation devront fournir la mise à jour.

Pour permettre à Windows de charger le microcode mis à jour sur le processeur, assurez-vous que Windows Update est activé et paramétré de façon à installer les mises à jour.

Pour voir la microarchitecture du processeur et quelle révision du microcode est utilisée, lancez la commande reg query HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0 dans l'invite de commande Windows. (Vous pouvez ouvrir l'invite de commande en appuyant sur Windows + R, en saisissant cmd et en appuyant sur Entrée.) La ligne étiquetée « VendorIdentifier » indique le fabricant du processeur (GenuineIntel pour Intel ou AuthenticAMD pour AMD). La ligne étiquetée « Identifier » donne la microachitecture par trois nombres « Family », « Model » et « Stepping ». Ces derniers sont pertinents pour savoir si un bug de processeur en particulier pourrait s'appliquer au processeur de votre ordinateur. La ligne étiquetée « Update revision » montre la révision actuelle du microcode (pour cette microarchitecture spécifique) avec des zéros des deux côtés. Par exemple, Update Revision REG_BINARY 000000001E000000 signifie qu'il s'agit de la révision 1E (en hexadécimal). La ligne étiquetée « Previous Update Revision » indique la révision du microcode chargé depuis le BIOS.

Si le fabricant est GenuineIntel, la famille 6, le modèle 61 et le stepping 4, pour éviter les plantages avec Firefox 57 ou ultérieur, la révision du microcode doit être 1A ou plus élevée.

Source : Firefox

Ce plantage de Firefox avec un vieux Microcode s'observe aussi bien sous Windows que sous Linux.

Si le matériel plante, il faut changer le matériel. Si le logiciel plante, il faut simplement le réinstaller. C'est pas pareil en terme de temps et d'argent

Euh le microcode c'est logiciel... Ca s'appelle un firmware mais ça reste un logiciel

J'utilise Linux, et je ne mets pas à jour le microcode.
Comme ça au moins, pas de soucis 

Depuis l’apparition de Spectre, Meltdown, puis toutes leurs variantes, MDS (Microarchitectural Data Sampling), il faut savoir que l’application de ces nouveaux microcodes, sur des ordinateurs comportant des disques M.2 NVMe, fait chuter leurs performances d’environ 23 % voir plus (constat personnel à hauteur de 29 % sur un SSD NVMe 960 EVO 512 Go), ce qui n’est pas négligeable.

…

Bref si tu utilises Windows, je vois mal comment tu refuses la mise à jour de ton microcode.

Il suffit de laisser les mises à jour s’installer, puis d’effectuer deux lignes de commandes et de redémarrer, telles que Microsoft l’indique :

To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135)
and Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 )
along with Spectre [ CVE-2017-5753 & CVE-2017-5715 ] and Meltdown [ CVE-2017-5754 ] variants, including Speculative Store Bypass Disable (SSBD) [ CVE-2018-3639 ]
as well as L1 Terminal Fault (L1TF) [ CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646 ]:

Code: [Sélectionner]

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

Code: [Sélectionner]

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fRestart the computer for the changes to take effect.

Sources :

• éditions du client Windows : https://support.microsoft.com/fr-fr/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in
• éditions du système d’exploitation Windows Server : https://support.microsoft.com/fr-fr/help/4072698/windows-server-speculative-execution-side-channel-vulnerabilities

Pour surveiller si une nouvelle mise à jour de Windows 10 est publiée concernant la mise à jour du microcode, cette page les récapitule toutes : https://support.microsoft.com/fr-fr/help/4093836/summary-of-intel-microcode-updates. Après la publication d’une nouvelle mise à jour mettant à jour le microcode il est nécessaire de ré-appliquer les deux lignes de commandes indiquées par Microsoft.

Exemple, j’ai appliqué courant de l’année dernière les deux lignes de commandes, le dernier patch paru en janvier 2020 pour la dernière version de Windows 10 1909 est le KB4497165 conformément à la publications d’Intel concernant ses nouveaux microcodes, ainsi je dois ré-appliquer les deux lignes de commandes indiquées par Microsoft pour à nouveau désactiver le chargement du microcode au démarrage de Windows.

Pour visualiser ce dont on peut avoir besoin si l’on tient à installer uniquement le nécessaire, voir cette page : https://support.microsoft.com/fr-fr/help/4457951/windows-guidance-to-protect-against-speculative-execution-side-channel qui comporte cet organigramme assez explicite :

Bien sûr si l’on tient à faire les mises à jour du BIOS de sa carte mère, il est fort probable que le constructeur de celle-ci intègre aussi les nouvelles versions du microcode de son processeur, ce qui est compatible avec la démarche de désactivation logicielle indiquée ci-dessus dans la mesure où l’on ne souhaite pas voir, constater une chute des performances de son SSD NVMe. Ce qui signifie que faire les mises à jours de son BIOS n’est pas problématique surtout si l’on tient à corriger certains problèmes corrigés par les nouvelles versions du BIOS de sa carte mère.

Nouveaux micocodes proposé sur tous les Ubuntu maintenus

Les multiples régressions qu'il y a eu lors de la mise à jour des microcode fait que Ubuntu prend plus de précautions et qu'il y a plusieurs mois de validation des microcodes.

La mise à jour disponible aujourd’hui corrige / atténue les 4 CVE suivantes :
- CVE 2020-8695 : La fonctionnalité Intel Running Average Power Limit (RAPL) de certains processeurs Intel a permis une attaque par canal latéral basée sur des mesures de consommation d'énergie. Un attaquant local pourrait éventuellement utiliser ceci pour exposer des informations sensibles.
- CVE 2020-8696 : Certains processeurs Intel ne supprimaient pas correctement les informations sensibles avant le stockage ou le transfert dans certaines situations.
- CVE 2020-8698 : Certains processeurs Intel n'isolaient pas correctement les ressources partagées dans certaines situations.



Petit historique :
11/07/2017 : intel-microcode   3.20151106.1 (microcode d'origine d'Ubuntu 16.04)
24/08/2017 : intel-microcode   3.20170707.1~ubuntu16.04.0 (correctif de la possible corruption de données avec Hyper-Threading activé)
12/01/2018 : intel-microcode   3.20180108.0~ubuntu16.04.2 (correctif de la faille Spectre)
23/01/2018 : intel-microcode   3.20180108.0+really20170707ubuntu16.04.1 (retour arrière cause instabilité)
31/03/2018 : intel-microcode   3.20180312.0~ubuntu16.04.1 (correctif de la faille Spectre)
08/05/2018 : intel-microcode 3.20180425.1~ubuntu0.16.04.1 (correctif de la faille Spectre)
28/08/2018 : intel-microcode   3.20180807a.0ubuntu0.16.04.1 (correctif de la faille "Speculative Store Bypass" CVE-2018-3639)
01/09/2018 : intel-microcode   3.20180807a.0ubuntu0.18.04.1 (Migration Ubuntu 18.04)
15/05/2019 : intel-microcode   3.20190514.0ubuntu0.18.04.2 (correctif de la faille MDS)
21/06/2019 : intel-microcode   3.20190618.0ubuntu0.18.04.1 (correctif de la faille MDS)
13/11/2019 : intel-microcode   3.20191112-0ubuntu0.18.04.2 (correctif de la faille TSX + modulation de tension)
04/12/2019 : intel-microcode   3.20191115.1ubuntu0.18.04.2 (retour arrière cause régression sur processeur Skylake)
10/06/2020 : intel-microcode   3.20200609.0ubuntu0.18.04.0
11/06/2020 : intel-microcode   3.20200609.0ubuntu0.18.04.1
29/09/2020 : intel-microcode   3.20200609.0ubuntu0.20.04.2 (Migration Ubuntu 20.04 proposée depuis le 29/09)
12/11/2020 : intel-microcode   3.20201110.0ubuntu0.20.04.1
13/11/2020 : intel-microcode   3.20201110.0ubuntu0.20.04.2 (retour arrière cause régression)
17/05/2021 : intel-microcode   3.20210216.0ubuntu0.20.04.1 (CVE 2020-0543, CVE 2020-8695, CVE 2020-8696 et CVE 2020-8698).