|
تغيير التاريخ |
إلغاء الحذف من التغيير |
|---|---|
|
20 أبريل 2023 |
|
|
8 أغسطس 2023 |
|
|
9 أغسطس 2023 |
|
|
9 أبريل 2024 |
|
|
16 أبريل 2024 |
|
الملخص
توفر هذه المقالة إرشادات لفئة جديدة من الثغرات الأمنية في القناة الجانبية للتنفيذ الدقيق والتخميني المستندة إلى السيليكون والتي تؤثر على العديد من المعالجات وأنظمة التشغيل الحديثة. يتضمن ذلك Intel وAMD وARM. يمكن العثور على تفاصيل محددة لهذه الثغرات الأمنية المستندة إلى السيليكون في ADVs التالية (استشارات الأمان) و CVEs (نقاط الضعف والتعرض الشائعة):
-
ADV180002 | إرشادات للتخفيف من الثغرات الأمنية في القناة الجانبية للتنفيذ التخميني
-
ADV180013 | Microsoft Guidance for Rogue System Register Read
-
ADV190013 | إرشادات Microsoft للتخفيف من الثغرات الأمنية لأخذ عينات البيانات الدقيقة
-
ADV220002 | إرشادات Microsoft حول ثغرات البيانات التي لا معنى لها في معالج Intel MMIO
-
CVE-2023-20569 | متنبأ عنوان إرجاع وحدة المعالجة المركزية AMD
هام: تؤثر هذه المشكلات أيضا على أنظمة التشغيل الأخرى، مثل Android وChrome وiOS وMacOS. ننصح العملاء بالبحث عن إرشادات من هؤلاء البائعين.
لقد أصدرنا العديد من التحديثات للمساعدة في التخفيف من هذه الثغرات الأمنية. لقد اتخذنا أيضا إجراءات لتأمين خدماتنا السحابية. راجع الأقسام التالية لمزيد من التفاصيل.
لم نتلق أي معلومات حتى الآن للإشارة إلى أن هذه الثغرات الأمنية تم استخدامها لمهاجمة العملاء. نحن نعمل عن كثب مع شركاء الصناعة بما في ذلك صناع الرقائق، وأجهزة OEMs، وموردي التطبيقات لحماية العملاء. للحصول على جميع الحماية المتوفرة، يلزم وجود تحديثات البرامج الثابتة (microcode) والبرامج. يتضمن ذلك الرمز الصغير من الأجهزة OEMs، وفي بعض الحالات، تحديثات لبرامج مكافحة الفيروسات.
نقاط الضعف
تتناول هذه المقالة الثغرات الأمنية التالية في التنفيذ التخميني:
ستوفر Windows Update أيضا عوامل التخفيف من المخاطر في Internet Explorer و Edge. سنواصل تحسين عوامل التخفيف هذه مقابل هذه الفئة من الثغرات الأمنية.
لمعرفة المزيد حول هذه الفئة من الثغرات الأمنية، راجع
في 14 مايو 2019، نشرت Intel معلومات حول فئة فرعية جديدة من ثغرات القناة الجانبية للتنفيذ التخميني المعروفة باسم أخذ عينات البيانات الدقيقة والموثقة في ADV190013 | أخذ عينات البيانات الدقيقة. تم تعيينها ل CVEs التالية:
-
CVE-2019-11091 | ذاكرة غير قابلة لأخذ عينات البيانات الدقيقة (MDSUM)
-
CVE-2018-12126 | أخذ عينات بيانات المخزن المؤقت ل Microarchitectural Store (MSBDS)
-
CVE-2018-12127 | أخذ عينات بيانات المخزن المؤقت للتعبئة الدقيقة (MFBDS)
-
CVE-2018-12130 | أخذ عينات بيانات منفذ التحميل الجزئي (MLPDS)
هام: ستؤثر هذه المشكلات على أنظمة أخرى مثل Android وChrome وiOS وMacOS. ننصح العملاء بالبحث عن إرشادات من هؤلاء البائعين.
أصدرت Microsoft تحديثات للمساعدة في التخفيف من هذه الثغرات الأمنية. للحصول على جميع الحماية المتوفرة، يلزم وجود تحديثات البرامج الثابتة (microcode) والبرامج. قد يتضمن ذلك رمزا مصغرا من الأجهزة OEMs. في بعض الحالات، سيكون لتثبيت هذه التحديثات تأثير على الأداء. لقد تصرفنا أيضا لتأمين خدماتنا السحابية. نوصي بشدة بنشر هذه التحديثات.
لمزيد من المعلومات حول هذه المشكلة، راجع الاستشارات الأمنية التالية واستخدم الإرشادات المستندة إلى السيناريو لتحديد الإجراءات اللازمة للتخفيف من التهديد:
-
ADV190013 | إرشادات Microsoft للتخفيف من الثغرات الأمنية لأخذ عينات البيانات الدقيقة
-
إرشادات Windows للحماية من الثغرات الأمنية في القناة الجانبية للتنفيذ التخميني
ملاحظة: نوصي بتثبيت جميع التحديثات الأخيرة من Windows Update قبل تثبيت أي تحديثات للرمز الصغير.
في 6 أغسطس 2019 أصدرت Intel تفاصيل حول ثغرة أمنية في الكشف عن معلومات Windows kernel. هذه الثغرة الأمنية هي متغير من ثغرة القناة الجانبية للتنفيذ التخميني Spectre و Variant 1 وتم تعيين CVE-2019-1125.
في 9 يوليو 2019، أصدرنا تحديثات أمان لنظام التشغيل Windows للمساعدة في التخفيف من هذه المشكلة. يرجى ملاحظة أننا قمنا بتوثيق هذا التخفيف علنا حتى الكشف المنسق عن الصناعة يوم الثلاثاء 6 أغسطس 2019.
تتم حماية العملاء الذين Windows Update تمكين تحديثات الأمان التي تم إصدارها في 9 يوليو 2019 وتطبيقها تلقائيا. لا يوجد أي تكوين إضافي ضروري.
ملاحظة: لا تتطلب هذه الثغرة الأمنية تحديثا للرمز المصغر من الشركة المصنعة للجهاز (OEM).
لمزيد من المعلومات حول هذه الثغرة الأمنية والتحديثات القابلة للتطبيق، راجع دليل تحديث أمان Microsoft:
في 12 نوفمبر 2019، نشرت Intel استشاريا تقنيا حول ثغرة أمنية إجهاض غير متزامنة لمعاملات Intel® Transactional Synchronization Extensions (Intel TSX) التي تم تعيينها CVE-2019-11135. أصدرت Microsoft تحديثات للمساعدة في التخفيف من هذه الثغرة الأمنية ويتم تمكين حماية نظام التشغيل بشكل افتراضي لنظام التشغيل Windows Server 2019 ولكن يتم تعطيلها افتراضيا ل Windows Server 2016 وإصدارات نظام التشغيل Windows Server السابقة.
في 14 يونيو 2022، نشرنا ADV220002 | إرشادات Microsoft حول ثغرات البيانات القديمة MMIO لمعالج Intel وتعيين CVEs هذه:
-
CVE-2022-21125 | أخذ عينات بيانات المخزن المؤقت المشترك (SBDS)
-
CVE-2022-21127 | تحديث أخذ عينات بيانات المخزن المؤقت للتسجيل الخاص (تحديث SRBDS)
الإجراءات المستحسنة
يجب عليك اتخاذ الإجراءات التالية للمساعدة في الحماية من الثغرات الأمنية:
-
تطبيق جميع تحديثات نظام التشغيل Windows المتوفرة، بما في ذلك تحديثات أمان Windows الشهرية.
-
تطبيق تحديث البرنامج الثابت (microcode) القابل للتطبيق الذي توفره الشركة المصنعة للجهاز.
-
قم بتقييم المخاطر التي تتعرض لها بيئتك استنادا إلى المعلومات المقدمة في Microsoft Security Advisories: ADV180002ADV180012ADV190013ADV220002، بالإضافة إلى المعلومات الواردة في هذه المقالة قاعدة معارف.
-
اتخاذ إجراء كما هو مطلوب باستخدام النصائح ومعلومات مفتاح التسجيل المقدمة في هذه المقالة قاعدة معارف.
ملاحظة: سيتلقى عملاء Surface تحديثا للرمز الصغير من خلال Windows Update. للحصول على قائمة بأحدث تحديثات البرامج الثابتة لجهاز Surface (microcode)، راجع KB4073065.
في 12 يوليو 2022، نشرنا CVE-2022-23825 | ارتباك نوع فرع AMD CPU الذي يصف أن الأسماء المستعارة في متنبأ الفرع قد تتسبب في قيام بعض معالجات AMD بالتنبؤ بنوع الفرع الخطأ. قد تؤدي هذه المشكلة إلى الكشف عن المعلومات.
للمساعدة في الحماية من هذه الثغرة الأمنية، نوصي بتثبيت تحديثات Windows التي تم تحديثها في يوليو 2022 أو بعده ثم اتخاذ إجراء كما هو مطلوب من قبل CVE-2022-23825ومعلومات مفتاح التسجيل المقدمة في مقالة قاعدة معارف هذه.
لمزيد من المعلومات، راجع نشرة الأمان AMD-SB-1037 .
في 8 أغسطس 2023، نشرنا CVE-2023-20569 | Return Address Predictor (المعروف أيضا باسم Inception) الذي يصف هجوم قناة جانبية تخمينية جديدة يمكن أن تؤدي إلى تنفيذ تخميني في عنوان يتحكم فيه المهاجم. تؤثر هذه المشكلة على معالجات AMD معينة وقد تؤدي إلى الكشف عن المعلومات.
للمساعدة في الحماية من هذه الثغرة الأمنية، نوصي بتثبيت تحديثات Windows التي تم تحديثها في أغسطس 2023 أو بعده ثم اتخاذ إجراء كما هو مطلوب من قبل CVE-2023-20569 ومعلومات مفتاح التسجيل المقدمة في هذه المقالة قاعدة معارف.
لمزيد من المعلومات، راجع نشرة الأمان AMD-SB-7005 .
في 9 أبريل 2024 نشرنا CVE-2022-0001 | حقن محفوظات فرع Intel الذي يصف حقن محفوظات الفرع (BHI) وهو شكل محدد من أشكال BTI داخل الوضع. تحدث هذه الثغرة الأمنية عندما يقوم المهاجم بمعالجة محفوظات الفرع قبل الانتقال من وضع المستخدم إلى وضع المشرف (أو من VMX غير الجذر/الضيف إلى وضع الجذر). قد يتسبب هذا المعالجة في تحديد متنبأ فرع غير مباشر لإدخال تنبؤ معين لفرع غير مباشر، وسيتم تنفيذ الأداة الذكية للإفصاح عند الهدف المتوقع بشكل عابر. قد يكون هذا ممكنا لأن محفوظات الفروع ذات الصلة قد تحتوي على فروع مأخوذة في سياقات الأمان السابقة، وعلى وجه الخصوص، أوضاع التنبؤ الأخرى.
إعدادات التخفيف من المخاطر ل Windows Server وAzure Stack HCI
توفر النصائح الأمنية (ADVs) و CVEs معلومات توفر معلومات حول المخاطر التي تشكلها هذه الثغرات الأمنية. كما أنها تساعدك على تحديد الثغرات الأمنية وتحديد الحالة الافتراضية للتخفيف من المخاطر لأنظمة Windows Server. يلخص الجدول أدناه متطلبات التعليمات البرمجية المصغرة لوحدة المعالجة المركزية والحالة الافتراضية للتخفيف من المخاطر على Windows Server.
|
Cve |
هل يتطلب رمزا مصغرا لوحدة المعالجة المركزية/البرنامج الثابت؟ |
الحالة الافتراضية للتخفيف |
|---|---|---|
|
لا |
ممكن بشكل افتراضي (لا يوجد خيار لتعطيل) يرجى الرجوع إلى ADV180002 للحصول على معلومات إضافية |
|
|
نعم |
معطل بشكل افتراضي. يرجى الرجوع إلى ADV180002 للحصول على معلومات إضافية ومقالة KB هذه لإعدادات مفتاح التسجيل المعمول بها. ملاحظه يتم تمكين "Retpoline" بشكل افتراضي للأجهزة التي تعمل الإصدار 1809 من Windows 10 والإصدارات الأحدث إذا تم تمكين Spectre Variant 2 (CVE-2017-5715). لمزيد من المعلومات حول "Retpoline"، اتبع التخفيف من متغير Spectre 2 مع Retpoline على منشور مدونة Windows. |
|
|
لا |
Windows Server 2019 وWindows Server 2022 وAzure Stack HCI: ممكن بشكل افتراضي. يرجى الرجوع إلى ADV180002 للحصول على معلومات إضافية. |
|
|
Intel: نعم AMD: لا |
معطل بشكل افتراضي. راجع ADV180012 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
|
|
Intel: نعم |
Windows Server 2019 وWindows Server 2022 وAzure Stack HCI: ممكن بشكل افتراضي. راجع ADV190013 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
|
|
Intel: نعم |
Windows Server 2019 وWindows Server 2022 وAzure Stack HCI: ممكن بشكل افتراضي. راجع ADV190013 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
|
|
Intel: نعم |
Windows Server 2019 وWindows Server 2022 وAzure Stack HCI: ممكن بشكل افتراضي. راجع ADV190013 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
|
|
Intel: نعم |
Windows Server 2019 وWindows Server 2022 وAzure Stack HCI: ممكن بشكل افتراضي. راجع ADV190013 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
|
|
Intel: نعم |
Windows Server 2019 وWindows Server 2022 وAzure Stack HCI: ممكن بشكل افتراضي. راجع CVE-2019-11135 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
|
|
CVE-2022-21123 (جزء من MMIO ADV220002) |
Intel: نعم |
Windows Server 2019 وWindows Server 2022 وAzure Stack HCI: ممكن بشكل افتراضي. راجع CVE-2022-21123 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
|
CVE-2022-21125 (جزء من MMIO ADV220002) |
Intel: نعم |
Windows Server 2019 وWindows Server 2022 وAzure Stack HCI: ممكن بشكل افتراضي. راجع CVE-2022-21125 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
|
CVE-2022-21127 (جزء من MMIO ADV220002) |
Intel: نعم |
Windows Server 2019 وWindows Server 2022 وAzure Stack HCI: ممكن بشكل افتراضي. راجع CVE-2022-21127 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
|
CVE-2022-21166 (جزء من MMIO ADV220002) |
Intel: نعم |
Windows Server 2019 وWindows Server 2022 وAzure Stack HCI: ممكن بشكل افتراضي. راجع CVE-2022-21166 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
|
CVE-2022-23825 (ارتباك نوع فرع وحدة المعالجة المركزية AMD) |
AMD: لا |
راجع CVE-2022-23825 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل المعمول بها. |
|
CVE-2023-20569
|
AMD: نعم |
راجع CVE-2023-20569 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
|
Intel: لا |
معطل بشكل افتراضي راجع CVE-2022-0001 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
* اتبع إرشادات التخفيف من المخاطر لMeltdown أدناه.
إذا كنت ترغب في الحصول على جميع الحماية المتوفرة ضد هذه الثغرات الأمنية، يجب إجراء تغييرات مفتاح التسجيل لتمكين عوامل التخفيف هذه التي تم تعطيلها بشكل افتراضي.
قد يؤثر تمكين عوامل التخفيف هذه على الأداء. يعتمد مقياس تأثيرات الأداء على عوامل متعددة، مثل مجموعة الرقائق المحددة في المضيف الفعلي وأحمال العمل قيد التشغيل. نوصي بتقييم تأثيرات الأداء لبيئتك وإجراء أي تعديلات ضرورية.
الخادم الخاص بك معرض لخطر متزايد إذا كان في إحدى الفئات التالية:
-
مضيفو Hyper-V: يتطلب الحماية لهجمات VM-to-VM وVM-to-host.
-
مضيفو خدمات سطح المكتب البعيد (RDSH): يتطلب الحماية من جلسة عمل إلى جلسة أخرى أو من هجمات الجلسة إلى المضيف.
-
المضيفون الفعليون أو الأجهزة الظاهرية التي تقوم بتشغيل تعليمات برمجية غير موثوق بها، مثل الحاويات أو الملحقات غير الموثوق بها لقاعدة البيانات أو محتوى الويب غير الموثوق به أو أحمال العمل التي تقوم بتشغيل التعليمات البرمجية من مصادر خارجية. تتطلب هذه الحماية من الهجمات غير الموثوق بها من عملية إلى أخرى أو هجمات غير موثوق بها من عملية إلى نواة.
استخدم إعدادات مفتاح التسجيل التالية لتمكين عوامل التخفيف على الخادم، وأعد تشغيل الجهاز حتى تسري التغييرات.
ملاحظة: بشكل افتراضي، قد يؤثر تمكين عوامل التخفيف التي تم إيقاف تشغيلها على الأداء. يعتمد تأثير الأداء الفعلي على عوامل متعددة، مثل مجموعة الرقائق المحددة في الجهاز وأحمال العمل قيد التشغيل.
إعدادات التسجيل
نحن نقدم معلومات التسجيل التالية لتمكين عمليات التخفيف التي لم يتم تمكينها بشكل افتراضي، كما هو موثق في Security Advisories (ADVs) و CVEs. بالإضافة إلى ذلك، نقدم إعدادات مفتاح التسجيل للمستخدمين الذين يرغبون في تعطيل عوامل التخفيف عند الاقتضاء لعملاء Windows.
الهامه يحتوي هذا القسم أو الأسلوب أو المهمة على خطوات تخبرك بكيفية تغيير السجل. ومع ذلك، قد تحدث مشكلات خطيرة إذا قمت بتغيير السجل بشكل غير صحيح. لذلك، تأكد من اتباع هذه الخطوات بعناية. لمزيد من الحماية، قم بنسخ السجل احتياطيا قبل تغييره. بعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية إجراء نسخ احتياطي للسجل واستعادته، راجع المقالة التالية في قاعدة معارف Microsoft:
KB322756 كيفية نسخ السجل احتياطيا واستعادته في Windows
الهامهبشكل افتراضي، يتم تكوين Retpoline كما يلي إذا تم تمكين Spectre، المتغير 2 التخفيف (CVE-2017-5715):
- يتم تمكين التخفيف من حدة Retpoline على الإصدار 1809 من Windows 10 وإصدارات Windows الأحدث.
- تم تعطيل التخفيف من حدة Retpoline على Windows Server 2019 وإصدارات Windows Server الأحدث.
لمزيد من المعلومات حول تكوين Retpoline، راجع التخفيف من متغير Spectre 2 مع Retpoline على Windows.
|
ملاحظة: يعد إعداد FeatureSettingsOverrideMask إلى 3 دقيقا لكل من إعدادات "التمكين" و"التعطيل". (راجع قسم "الأسئلة المتداولة " لمزيد من التفاصيل حول مفاتيح التسجيل.)
|
لتعطيل المتغير 2: (CVE-2017-5715 | الحد من مخاطر حقن هدف الفرع: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f أعد تشغيل الجهاز حتى تسري التغييرات. لتمكين المتغير 2: (CVE-2017-5715 | الحد من مخاطر حقن هدف الفرع: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f أعد تشغيل الجهاز حتى تسري التغييرات. |
بشكل افتراضي، يتم تعطيل حماية المستخدم إلى النواة ل CVE-2017-5715 لوحدات المعالجة المركزية AMD. يجب على العملاء تمكين التخفيف من المخاطر لتلقي حماية إضافية ل CVE-2017-5715. لمزيد من المعلومات، راجع الأسئلة المتداولة #15 في ADV180002.
|
تمكين حماية المستخدم إلى النواة على معالجات AMD جنبا إلى جنب مع الحماية الأخرى ل CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f إذا تم تثبيت ميزة Hyper-V، أضف إعداد التسجيل التالي: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f إذا كان هذا مضيف Hyper-V وتم تطبيق تحديثات البرامج الثابتة: إيقاف تشغيل جميع الأجهزة الظاهرية بالكامل. يتيح ذلك تطبيق التخفيف المتعلق بالبرنامج الثابت على المضيف قبل بدء تشغيل الأجهزة الظاهرية. لذلك، يتم أيضا تحديث الأجهزة الظاهرية عند إعادة تشغيلها. أعد تشغيل الجهاز حتى تسري التغييرات. |
|
لتمكين عمليات التخفيف من المخاطر ل CVE-2018-3639 (تجاوز المتجر التخميني)، CVE-2017-5715 (Spectre Variant 2)، وCVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f إذا تم تثبيت ميزة Hyper-V، أضف إعداد التسجيل التالي: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f إذا كان هذا مضيف Hyper-V وتم تطبيق تحديثات البرامج الثابتة: إيقاف تشغيل جميع الأجهزة الظاهرية بالكامل. يتيح ذلك تطبيق التخفيف المتعلق بالبرنامج الثابت على المضيف قبل بدء تشغيل الأجهزة الظاهرية. لذلك، يتم أيضا تحديث الأجهزة الظاهرية عند إعادة تشغيلها. أعد تشغيل الجهاز حتى تسري التغييرات. لتعطيل عمليات التخفيف من المخاطر ل CVE-2018-3639 (تجاوز المخزن المضارب) والتخفيف من المخاطر ل CVE-2017-5715 (Spectre Variant 2) وCVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f أعد تشغيل الجهاز حتى تسري التغييرات. |
بشكل افتراضي، يتم تعطيل حماية المستخدم إلى النواة ل CVE-2017-5715 لمعالجات AMD. يجب على العملاء تمكين التخفيف من المخاطر لتلقي حماية إضافية ل CVE-2017-5715. لمزيد من المعلومات، راجع الأسئلة المتداولة #15 في ADV180002.
|
تمكين حماية المستخدم إلى النواة على معالجات AMD جنبا إلى جنب مع الحماية الأخرى ل CVE 2017-5715 والحماية ل CVE-2018-3639 (تجاوز مخزن المضاربة): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f إذا تم تثبيت ميزة Hyper-V، أضف إعداد التسجيل التالي: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f إذا كان هذا مضيف Hyper-V وتم تطبيق تحديثات البرامج الثابتة: إيقاف تشغيل جميع الأجهزة الظاهرية بالكامل. يتيح ذلك تطبيق التخفيف المتعلق بالبرنامج الثابت على المضيف قبل بدء تشغيل الأجهزة الظاهرية. لذلك، يتم أيضا تحديث الأجهزة الظاهرية عند إعادة تشغيلها. أعد تشغيل الجهاز حتى تسري التغييرات. |
|
لتمكين عمليات التخفيف من المخاطر لملحقات مزامنة المعاملات Intel (Intel TSX) ثغرة أمنية إجهاض غير متزامنة (CVE-2019-11135) وأخذ عينات بيانات Microarchitectural ( CVE-2018-11091 ، CVE-2018-12126 ، CVE-2018-12127 ، CVE-2018-12130 ) جنبا إلى جنب مع Spectre [CVE-2017-5753 & CVE-2017-5715]،Meldown [CVE-2017-5754] المتغيرات، MMIO (CVE-2022-21123، CVE-2022-21125، CVE-2022-21127، و CVE-2022-21166) بما في ذلك تعطيل تجاوز المخزن التخميني (SSBD) [CVE-2018-3639 ] بالإضافة إلى خطأ L1 Terminal (L1TF) [CVE-2018-3615، CVE-2018-3620، وCVE-2018-3646] دون تعطيل Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f إذا تم تثبيت ميزة Hyper-V، أضف إعداد التسجيل التالي: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f إذا كان هذا مضيف Hyper-V وتم تطبيق تحديثات البرامج الثابتة: إيقاف تشغيل جميع الأجهزة الظاهرية بالكامل. يتيح ذلك تطبيق التخفيف المتعلق بالبرنامج الثابت على المضيف قبل بدء تشغيل الأجهزة الظاهرية. لذلك، يتم أيضا تحديث الأجهزة الظاهرية عند إعادة تشغيلها. أعد تشغيل الجهاز حتى تسري التغييرات. لتمكين عمليات التخفيف من المخاطر لملحقات مزامنة المعاملات Intel (Intel TSX) ثغرة أمنية غير متزامنة للإجهاض (CVE-2019-11135) وأخذ عينات بيانات Microarchitectural ( CVE-2018-11091، CVE-2018-12126 ، CVE-2018-12127 ، CVE-2018-12130) جنبا إلى جنب مع Spectre [CVE-2017-5753 & CVE-2017-5715] وMeltdown [CVE-2017-5754] المتغيرات، بما في ذلك تعطيل تجاوز المخزن التخميني (SSBD) [CVE-2018-3639] بالإضافة إلى خطأ L1 Terminal (L1TF) [CVE-2018-3615وCVE-2018-3620وCVE-2018-3646] مع تعطيل Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f إذا تم تثبيت ميزة Hyper-V، أضف إعداد التسجيل التالي: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f إذا كان هذا مضيف Hyper-V وتم تطبيق تحديثات البرامج الثابتة: إيقاف تشغيل جميع الأجهزة الظاهرية بالكامل. يتيح ذلك تطبيق التخفيف المتعلق بالبرنامج الثابت على المضيف قبل بدء تشغيل الأجهزة الظاهرية. لذلك، يتم أيضا تحديث الأجهزة الظاهرية عند إعادة تشغيلها. أعد تشغيل الجهاز حتى تسري التغييرات. لتعطيل عوامل التخفيف من المخاطر لملحقات مزامنة المعاملات Intel (Intel TSX) ثغرة أمنية غير متزامنة للإجهاض (CVE-2019-11135) وأخذ عينات بيانات Microarchitectural ( CVE-2018-11091، CVE-2018-12126 ، CVE-2018-12127 ، CVE-2018-12130) جنبا إلى جنب مع Spectre [CVE-2017-5753 & CVE-2017-5715] وMeltdown [CVE-2017-5754] المتغيرات، بما في ذلك تعطيل تجاوز المخزن التخميني (SSBD) [CVE-2018-3639] بالإضافة إلى خطأ L1 Terminal (L1TF) [CVE-2018-3615وCVE-2018-3620وCVE-2018-3646]: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f أعد تشغيل الجهاز حتى تسري التغييرات. |
لتمكين التخفيف من المخاطر ل CVE-2022-23825 على معالجات AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
لكي تكون محمية بالكامل، قد يحتاج العملاء أيضا إلى تعطيل Hyper-Threading (المعروفة أيضا باسم مؤشرات الترابط المتعددة المتزامنة (SMT)). يرجى الاطلاع على KB4073757 للحصول على إرشادات حول حماية أجهزة Windows.
لتمكين التخفيف من المخاطر ل CVE-2023-20569 على معالجات AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
لتمكين التخفيف من المخاطر ل CVE-2022-0001 على معالجات Intel:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
تمكين عوامل التخفيف المتعددة
لتمكين عوامل تخفيف متعددة، يجب إضافة قيمة REG_DWORD لكل تخفيف معا.
على سبيل المثال:
|
التخفيف من حدة الثغرة الأمنية للإجهاض غير المتزامن للمعاملات، وأخذ عينات بيانات Microarchitectural، و Spectre، وMeltdown، وMMIO، وتعطيل تجاوز مخزن المضاربة (SSBD)، وخطأ L1 Terminal (L1TF) مع تعطيل Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
|
ملاحظة 8264 (بالالأرقام العشرية) = 0x2048 (ب Hex) لتمكين BHI مع الإعدادات الموجودة الأخرى، ستحتاج إلى استخدام bitwise OR من القيمة الحالية مع 8388608 (0x800000). 0x800000 OR 0x2048 (8264 بالالأرقام العشرية) وستصبح 8,396,872 (0x802048). نفس الشيء مع FeatureSettingsOverrideMask. |
|
|
التخفيف من المخاطر ل CVE-2022-0001 على معالجات Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
|
التخفيف المجمع |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
|
التخفيف من حدة الثغرة الأمنية للإجهاض غير المتزامن للمعاملات، وأخذ عينات بيانات Microarchitectural، و Spectre، وMeltdown، وMMIO، وتعطيل تجاوز مخزن المضاربة (SSBD)، وخطأ L1 Terminal (L1TF) مع تعطيل Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
|
التخفيف من المخاطر ل CVE-2022-0001 على معالجات Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
|
التخفيف المجمع |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
التحقق من تمكين الحماية
للمساعدة في التحقق من تمكين الحماية، قمنا بنشر برنامج نصي PowerShell يمكنك تشغيله على أجهزتك. قم بتثبيت البرنامج النصي وتشغيله باستخدام إحدى الطرق التالية.
|
تثبيت وحدة PowerShell النمطية: PS> Install-Module SpeculationControl قم بتشغيل وحدة PowerShell للتحقق من تمكين الحماية: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
تثبيت وحدة PowerShell النمطية من Technet ScriptCenter:
قم بتشغيل وحدة PowerShell للتحقق من تمكين الحماية: ابدأ تشغيل PowerShell، ثم استخدم المثال السابق لنسخ الأوامر التالية وتشغيلها: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
للحصول على شرح مفصل لإخراج البرنامج النصي PowerShell، راجع KB4074629 .
الأسئلة المتداولة
للمساعدة في تجنب التأثير سلبا على أجهزة العملاء، لم يتم تقديم تحديثات أمان Windows التي تم إصدارها في يناير وفبرار 2018 لجميع العملاء. للحصول على التفاصيل، راجع KB407269 .
يتم تسليم الرمز المصغر من خلال تحديث البرنامج الثابت. راجع الشركة المصنعة للمعدات الأصلية (OEM) الخاصة بك حول إصدار البرنامج الثابت الذي يحتوي على التحديث المناسب للكمبيوتر الخاص بك.
هناك متغيرات متعددة تؤثر على الأداء، بدءا من إصدار النظام إلى أحمال العمل قيد التشغيل. بالنسبة لبعض الأنظمة، سيكون تأثير الأداء ضئيلا. وبالنسبة للآخرين، سيكون ذلك كبيرا.
نوصي بتقييم تأثيرات الأداء على أنظمتك وإجراء التعديلات حسب الضرورة.
بالإضافة إلى الإرشادات الواردة في هذه المقالة فيما يتعلق بالأجهزة الظاهرية، يجب عليك الاتصال بموفر الخدمة للتأكد من أن المضيفين الذين يقومون بتشغيل أجهزتك الظاهرية محميون بشكل كاف.
بالنسبة للأجهزة الظاهرية ل Windows Server التي تعمل في Azure، راجع إرشادات التخفيف من الثغرات الأمنية في القناة الجانبية للتنفيذ التخميني في Azure . للحصول على إرشادات حول استخدام Azure Update Management للتخفيف من هذه المشكلة على الأجهزة الظاهرية الضيف، راجع KB4077467.
تتضمن التحديثات التي تم إصدارها لصور حاوية Windows Server لنظامي التشغيل Windows Server 2016 وWindows 10، الإصدار 1709، عوامل التخفيف لهذه المجموعة من الثغرات الأمنية. لا يلزم تكوين إضافي.
ملاحظه لا يزال يتعين عليك التأكد من تكوين المضيف الذي يتم تشغيل هذه الحاويات عليه لتمكين عوامل التخفيف المناسبة.
لا، لا يهم أمر التثبيت.
نعم، يجب إعادة التشغيل بعد تحديث البرنامج الثابت (microcode) ثم مرة أخرى بعد تحديث النظام.
فيما يلي تفاصيل مفاتيح التسجيل:
يمثل FeatureSettingsOverride صورة نقطية تتجاوز الإعداد الافتراضي وتتحكم في عوامل التخفيف التي سيتم تعطيلها. يتحكم Bit 0 في التخفيف الذي يتوافق مع CVE-2017-5715. يتحكم البت 1 في التخفيف الذي يتوافق مع CVE-2017-5754. يتم تعيين البتات إلى 0 لتمكين التخفيف و1 لتعطيل التخفيف.
يمثل FeatureSettingsOverrideMask قناع خريطة نقطية يستخدم مع FeatureSettingsOverride. في هذه الحالة، نستخدم القيمة 3 (ممثلة ك 11 في النظام الرقمي الثنائي أو النظام الرقمي الأساسي 2) للإشارة إلى أول بتين يتوافقان مع عوامل التخفيف المتاحة. يتم تعيين مفتاح التسجيل هذا إلى 3 لتمكين أو لتعطيل عوامل التخفيف.
MinVmVersionForCpuBasedMitigations هو لمضيفي Hyper-V. يحدد مفتاح التسجيل هذا الحد الأدنى من إصدار الجهاز الظاهري المطلوب لاستخدام قدرات البرامج الثابتة المحدثة (CVE-2017-5715). قم بتعيين هذا إلى 1.0 لتغطية جميع إصدارات الجهاز الظاهري. لاحظ أنه سيتم تجاهل قيمة التسجيل هذه (حميدة) على مضيفين غير Hyper-V. لمزيد من التفاصيل، راجع حماية الأجهزة الظاهرية للضيف من CVE-2017-5715 (حقن هدف الفرع).
نعم، لا توجد أي تأثيرات جانبية إذا تم تطبيق إعدادات التسجيل هذه قبل تثبيت الإصلاحات المتعلقة بشهر يناير 2018.
راجع وصفا مفصلا لإخراج البرنامج النصي في KB4074629: فهم إخراج البرنامج النصي SpeculationControl PowerShell .
نعم، بالنسبة لمضيفي Windows Server 2016 Hyper-V الذين لم يتوفر لديهم تحديث البرنامج الثابت بعد، قمنا بنشر إرشادات بديلة يمكن أن تساعد في التخفيف من حدة الجهاز الظاهري إلى الجهاز الظاهري أو الجهاز الظاهري لاستضافة الهجمات. راجع الحماية البديلة لمضيفي Windows Server 2016 Hyper-V ضد الثغرات الأمنية في القناة الجانبية للتنفيذ التخميني .
تحديثات الأمان فقط ليست تراكمية. اعتمادا على إصدار نظام التشغيل الخاص بك، قد تحتاج إلى تثبيت العديد من تحديثات الأمان للحماية الكاملة. بشكل عام، سيحتاج العملاء إلى تثبيت تحديثات يناير وفبراي ومارس وأبريل 2018. تحتاج الأنظمة التي تحتوي على معالجات AMD إلى تحديث إضافي كما هو موضح في الجدول التالي:
|
إصدار نظام التشغيل |
تحديث أمان |
|
Windows 8.1، Windows Server 2012 R2 |
KB4338815 - مجموعة التحديثات الشهرية |
|
KB4338824- الأمان فقط |
|
|
Windows 7 SP1 أو Windows Server 2008 R2 SP1 أو Windows Server 2008 R2 SP1 (تثبيت Server Core) |
KB4284826 - مجموعة التحديثات الشهرية |
|
KB4284867 - الأمان فقط |
|
|
Windows Server 2008 SP2 |
KB4340583 - تحديث الأمان |
نوصي بتثبيت تحديثات الأمان فقط بترتيب الإصدار.
ملاحظة: ذكر إصدار سابق من هذه الأسئلة المتداولة بشكل غير صحيح أن تحديث الأمان فقط لشهر فبراير تضمن إصلاحات الأمان التي تم إصدارها في يناير. في الواقع ، فإنه لا.
لا. كان تحديث الأمان KB4078130 إصلاحا محددا لمنع سلوكيات النظام غير المتوقعة ومشكلات الأداء وإعادة التشغيل غير المتوقعة بعد تثبيت الرمز الصغير. يتيح تطبيق تحديثات الأمان على أنظمة تشغيل عميل Windows جميع عوامل التخفيف الثلاثة. على أنظمة تشغيل Windows Server، لا يزال يتعين عليك تمكين عوامل التخفيف بعد إجراء الاختبار المناسب. لمزيد من المعلومات، راجع KB4072698.
تم حل هذه المشكلة في KB4093118.
في فبراير 2018، أعلنت Intel أنها أكملت عمليات التحقق من الصحة الخاصة بها وبدأت في إصدار التعليمات البرمجية المصغرة لمنصات وحدة المعالجة المركزية الأحدث. توفر Microsoft تحديثات التعليمات البرمجية المصغرة التي تم التحقق من صحتها من Intel والتي تتعلق ب Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | حقن هدف الفرع). يسرد KB4093836 مقالات قاعدة معارف محددة حسب إصدار Windows. تحتوي كل مقالة KB محددة على تحديثات Intel microcode المتوفرة بواسطة وحدة المعالجة المركزية.
في 11 يناير 2018 ، أبلغت Intel عن مشكلات في الرمز المصغر الذي تم إصداره مؤخرا والمقصود به معالجة متغير Spectre 2 (CVE-2017-5715 | حقن هدف الفرع). على وجه التحديد، لاحظت Intel أن هذا الرمز المصغر يمكن أن يتسبب في "عمليات إعادة تشغيل أعلى من المتوقع وسلوك النظام الآخر غير المتوقع" وأن هذه السيناريوهات قد تتسبب في "فقدان البيانات أو تلفها." تجربتنا هي أن عدم استقرار النظام يمكن أن يتسبب في فقدان البيانات أو تلفها في بعض الظروف. في 22 يناير، أوصت Intel بأن يتوقف العملاء عن نشر إصدار الرمز المصغر الحالي على المعالجات المتأثرة بينما تجري Intel اختبارا إضافيا على الحل المحدث. نحن نفهم أن Intel تواصل التحقيق في التأثير المحتمل لإصدار الرمز المصغر الحالي. نحن نشجع العملاء على مراجعة إرشاداتهم بشكل مستمر لإبلاغ قراراتهم.
بينما تقوم Intel باختبار وتحديث ونشر رمز مصغر جديد، فإننا نتوفر تحديثا خارج النطاق (OOB)، KB4078130، يعطل على وجه التحديد التخفيف فقط مقابل CVE-2017-5715. في اختبارنا، تم العثور على هذا التحديث لمنع السلوك الموصوف. للحصول على القائمة الكاملة للأجهزة، راجع إرشادات مراجعة الرمز المصغر من Intel. يغطي هذا التحديث Windows 7 Service Pack 1 (SP1) Windows 8.1 وجميع إصدارات Windows 10، كل من العميل والخادم. إذا كنت تقوم بتشغيل جهاز متأثر، يمكن تطبيق هذا التحديث عن طريق تنزيله من موقع كتالوج Microsoft Update على الويب. يؤدي تطبيق هذه الحمولة على وجه التحديد إلى تعطيل التخفيف فقط مقابل CVE-2017-5715.
اعتبارا من هذا الوقت، لا توجد تقارير معروفة تشير إلى أن Spectre Variant 2 (CVE-2017-5715 | تم استخدام حقن هدف الفرع) لمهاجمة العملاء. نوصي بأن يقوم مستخدمو Windows، عند الاقتضاء، بإعادة تمكين التخفيف من المخاطر مقابل CVE-2017-5715 عندما تبلغ Intel عن حل سلوك النظام غير المتوقع هذا لجهازك.
في فبراير 2018،أعلنت Intel أنها أكملت عمليات التحقق من الصحة الخاصة بها وبدأت في إصدار التعليمات البرمجية المصغرة لمنصات وحدة المعالجة المركزية الأحدث. توفر Microsoft تحديثات التعليمات البرمجية المصغرة التي تم التحقق من صحتها من Intel والمرتبطة ب Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | حقن هدف الفرع). يسرد KB4093836 مقالات قاعدة معارف محددة حسب إصدار Windows. تتوفر قائمة KBs تحديثات Intel microcode بواسطة وحدة المعالجة المركزية.
لمزيد من المعلومات، راجع AMD Security التحديثاتوAMD Whitepaper: إرشادات البنية حول التحكم غير المباشر في الفرع . تتوفر هذه من قناة البرنامج الثابت OEM.
نحن نقدم تحديثات التعليمات البرمجية المصغرة التي تم التحقق من صحتها من Intel والتي تتعلق ب Spectre Variant 2 (CVE-2017-5715 | حقن هدف الفرع). للحصول على آخر تحديثات Intel microcode من خلال Windows Update، يجب أن يكون العملاء قد قاموا بتثبيت Intel microcode على الأجهزة التي تعمل بنظام تشغيل Windows 10 قبل الترقية إلى تحديث أبريل 2018 Windows 10 (الإصدار 1803).
يتوفر تحديث الرمز المصغر أيضا مباشرة من كتالوج Microsoft Update إذا لم يكن مثبتا على الجهاز قبل ترقية النظام. يتوفر Intel microcode من خلال Windows Update أو خادم Windows Server Update Services (WSUS) أو كتالوج Microsoft Update. لمزيد من المعلومات وإرشادات التنزيل، راجع KB4100347.
لمزيد من المعلومات، راجع الموارد التالية:
راجع قسمي "الإجراءات الموصى بها" و"الأسئلة المتداولة" في ADV180012 | إرشادات Microsoft لتجاوز المتجر التخميني.
للتحقق من حالة SSBD، تم تحديث البرنامج النصي Get-SpeculationControlSettings PowerShell للكشف عن المعالجات المتأثرة وحالة تحديثات نظام التشغيل SSBD وحالة التعليمات البرمجية المصغرة للمعالج، إن أمكن. لمزيد من المعلومات والحصول على البرنامج النصي PowerShell، راجع KB4074629.
في 13 يونيو 2018، تم الإعلان عن ثغرة أمنية إضافية تتضمن تنفيذا تخمينيا للقناة الجانبية، تعرف باسم استعادة حالة FP الكسولة، وتم تعيينها CVE-2018-3665 . للحصول على معلومات حول هذه الثغرة الأمنية والإجراءات الموصى بها، راجع ADV180016 Security Advisory | إرشادات Microsoft لاستعادة حالة FP الكسولة .
ملاحظة لا توجد إعدادات تكوين (سجل) مطلوبة لاستعادة FP الكسولة.
تم الكشف عن مخزن تجاوز التحقق من الحدود (BCBS) في 10 يوليو 2018، وتعيين CVE-2018-3693. نحن نعتبر BCBS تنتمي إلى نفس فئة الثغرات الأمنية مثل تجاوز التحقق من الحدود (المتغير 1). نحن لسنا على علم حاليا بأي مثيلات من BCBS في برنامجنا. ومع ذلك، نواصل البحث في فئة الثغرات الأمنية هذه وسنعمل مع شركاء الصناعة لإطلاق عمليات التخفيف حسب الحاجة. نشجع الباحثين على تقديم أي نتائج ذات صلة إلى برنامج مكافأة القناة الجانبية للتنفيذ التخميني من Microsoft، بما في ذلك أي مثيلات قابلة للاستغلال من BCBS. يجب على مطوري البرامج مراجعة إرشادات المطور التي تم تحديثها ل BCBS في C++ إرشادات المطور للقنوات الجانبية للتنفيذ التخميني
في 14 أغسطس 2018، تم الإعلان عن خطأ طرفي L1 (L1TF) وتعيين العديد من CVEs. يمكن استخدام هذه الثغرات الأمنية الجديدة في القناة الجانبية للتنفيذ التخميني لقراءة محتوى الذاكرة عبر حدود موثوق بها، وإذا تم استغلالها، يمكن أن تؤدي إلى الكشف عن المعلومات. هناك العديد من المتجهات التي يمكن للمهاجم من خلالها تشغيل الثغرات الأمنية، اعتمادا على البيئة المكونة. يؤثر L1TF على معالجات Intel® Core® ومعالجات Intel® Xeon®.
لمزيد من المعلومات حول هذه الثغرة الأمنية وعرض مفصل للسيناريوهات المتأثرة، بما في ذلك نهج Microsoft للتخفيف من L1TF، راجع الموارد التالية:
تختلف خطوات تعطيل Hyper-Threading من الشركة المصنعة للمعدات الأصلية (OEM) إلى الشركة المصنعة للمعدات الأصلية (OEM) ولكنها عادة ما تكون جزءا من BIOS أو أدوات إعداد البرامج الثابتة والتكوين.
يجب على العملاء الذين يستخدمون معالجات ARM 64 بت الاتصال بالشركة المصنعة للمعدات الأصلية للجهاز لدعم البرامج الثابتة لأن حماية نظام التشغيل ARM64 التي تخفف من CVE-2017-5715 | يتطلب إدخال هدف الفرع (Spectre، Variant 2) أحدث تحديث للبرامج الثابتة من الأجهزة OEMs حتى يصبح ساري المفعول.
لمزيد من المعلومات، راجع النصائح الأمنية التالية
يمكن العثور على مزيد من الإرشادات في إرشادات Windows للحماية من الثغرات الأمنية في القناة الجانبية للتنفيذ التخميني
يرجى الرجوع إلى إرشادات في إرشادات Windows للحماية من الثغرات الأمنية في القناة الجانبية للتنفيذ التخميني
للحصول على إرشادات Azure، يرجى الرجوع إلى هذه المقالة: إرشادات للتخفيف من الثغرات الأمنية في القناة الجانبية للتنفيذ التخميني في Azure.
لمزيد من المعلومات حول تمكين Retpoline، راجع منشور مدونتنا: التخفيف من متغير Spectre 2 باستخدام Retpoline على Windows .
للحصول على تفاصيل حول هذه الثغرة الأمنية، راجع دليل أمان Microsoft: CVE-2019-1125 | ثغرة أمنية في الكشف عن معلومات Windows Kernel.
نحن لسنا على علم بأي مثيل من هذه الثغرة الأمنية في الكشف عن المعلومات التي تؤثر على البنية الأساسية للخدمة السحابية لدينا.
بمجرد أن أصبحنا على علم بهذه المشكلة، عملنا بسرعة على معالجتها وإصدار تحديث. نحن نؤمن بشدة بالشراكات الوثيقة مع كل من الباحثين وشركاء الصناعة لجعل العملاء أكثر أمانا، ولم ننشر التفاصيل حتى الثلاثاء 6 أغسطس، بما يتماشى مع ممارسات الكشف المنسقة عن الثغرات الأمنية.
يمكن العثور على مزيد من الإرشادات في إرشادات Windows للحماية من الثغرات الأمنية في القناة الجانبية للتنفيذ التخميني.
يمكن العثور على مزيد من الإرشادات في إرشادات Windows للحماية من الثغرات الأمنية في القناة الجانبية للتنفيذ التخميني.
يمكن العثور على مزيد من الإرشادات في إرشادات تعطيل إمكانية ملحقات مزامنة معاملات Intel (Intel TSX).
مراجع
المنتجات المذكورة في هذه المقالة للجهات الأخرى تابعة لشركات مستقلة عن Microsoft. نحن لا نقدم أي ضمان، ضمني أو غير ذلك، حول أداء أو موثوقية هذه المنتجات.
نحن نقدم معلومات جهة اتصال خارجية لمساعدتك في العثور على الدعم التقني. قد تتغير معلومات الاتصال هذه بدون إشعار. نحن لا نضمن دقة معلومات جهة الاتصال هذه التابعة لجهة خارجية.
