Регистър на промените
| Промяна на датата | Описание на промяната |
|---|---|
| 20 април 2023 г. |
|
| 8 август 2023 г. |
|
| 9 август 2023 г. |
|
| 9 април 2024 г. |
|
| 16 април 2024 г. |
|
Обобщение
Тази статия предоставя насоки за нов клас уязвимости на микроархитектурни и спекулативни уязвимости от странични канали, базирани на интегрални схеми, които засягат много съвременни процесори и операционни системи. Това включва Intel, AMD и ARM. Конкретни подробности за тези уязвимости, базирани на интегрални схеми, могат да бъдат намерени в следните ADV (съвети за сигурността) и CVE (често срещани уязвимости и експозиции):
- ADV180002 | Указания за намаляване на уязвимостите в страничен канал при спекулативно изпълнение
- ADV180012 | Указания на Microsoft за спекулативно заобикаляне на магазина
- ADV180013 | Указания на Microsoft за фалшива система Регистър Прочетете
- ADV180016 | Указания на Microsoft за възстановяване на състоянието на Lazy FP
- ADV180018 | Указания на Microsoft за намаляване на L1TF вариант
- ADV190013 | Указания на Microsoft за смекчаване на уязвимостите при вземане на извадки от микроархитектурни данни
- ADV220002 | Указания на Microsoft за уязвимости в остарели данни на процесор Intel MMIO
- CVE-2022-23825 | Объркване на типа на клон на AMD
- CVE-2023-20569 | Предиктор на обратен адрес на AMD процесора
- CVE-2022-0001 | Инжектиране в хронологията на клоновете на Intel
Важно
Тези проблеми засягат и други операционни системи, като например Android, Chrome, iOS и MacOS. Съветваме клиентите да потърсят насоки от тези доставчици.
Издадохме няколко актуализации, за да смекчим тези уязвимости. Също така сме предприели действия за защита на нашите услуги в облака. За повече подробности вижте следващите раздели.
Все още не сме получили информация, която да указва, че тези уязвимости са били използвани за атака на клиенти. Работим в тясно сътрудничество с партньори в отрасъла, включително производители на чипове, производители на хардуерно оборудване и доставчици на приложения, за да защитим клиентите. За да получите всички налични защити, се изискват актуализации на фърмуера (микрокод) и софтуера. Това включва микрокод от OEM на устройства и в някои случаи актуализации на антивирусен софтуер.
Уязвимости
Спекулативно изпълнение
Тази статия разглежда следните спекулативни уязвимости при изпълнение:
- CVE-2017-5715 | Branch Target Injection
- CVE-2017-5753 | Заобикаляне на проверка за границите
- CVE-2017-5754 | Фалшиво зареждане на кеша за данни
- CVE-2018-3639 | Спекулативно заобикаляне на магазина
актуализиране на Windows също така ще предостави смекчавания на Internet Explorer и Edge. Ще продължим да подобряваме тези предпазни мерки за този клас уязвимости.
За да научите повече за този клас уязвимости, вж.
Уязвимост при вземане на извадки за микроархитектурни данни
На 14 май 2019 г. Intel публикува информация за нов подклас на спекулативни уязвимости в странични канали, известни като Microarchitectural Data Sampling и документирани в ADV190013 | Извадка от микроархитектурни данни. На тях са присвоени следните CVE:
- CVE-2019-11091 | Микроархитектурни данни, извадка, некешируема памет (MDSUM)
- CVE-2018-12126 | Извадка за буферни данни от микроархитектурно хранилище (MSBDS)
- CVE-2018-12127 | Микроархитектурни извадки за данни от буфер за запълване (MFBDS)
- CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)
Важно
Тези проблеми ще засегнат други системи, като например Android, Chrome, iOS и MacOS. Съветваме клиентите да потърсят насоки от тези доставчици.
Microsoft пусна актуализации, за да помогне със смекчаването на тези уязвимости. За да получите всички налични защити, се изискват актуализации на фърмуера (микрокод) и софтуера. Това може да включва микрокод от OEM на устройства. В някои случаи инсталирането на тези актуализации ще окаже въздействие върху производителността. Също така предприехме действия за защита на нашите услуги в облака. Настоятелно препоръчваме разполагането на тези актуализации.
За повече информация относно този проблем вижте следните съвети за защита и използвайте указания, базирани на сценарии, за определяне на действията, необходими за намаляване на заплахата:
- ADV190013 | Указания на Microsoft за смекчаване на уязвимостите при вземане на извадки от микроархитектурни данни
- Указания за Windows, които да ви помогнат да се защитите срещу уязвимостите в страничен канал при спекулативно изпълнение
Забележка
Препоръчваме да инсталирате всички най-нови актуализации от актуализиране на Windows, преди да инсталирате каквито и да било актуализации на микрокод.
Уязвимост в Spectre, вариант 1
На 6 август 2019 г. Intel публикува подробности за уязвимост в разкриването на информация за ядрото на Windows. Тази уязвимост е вариант на уязвимостта на спекулативното изпълнение на вариант 1 Spectre, и й е присвоена CVE-2019-1125.
На 9 юли 2019 г. издадохме актуализации на защитата за операционната система Windows, за да помогнем за смекчаването на този проблем. Имайте предвид, че въздържахме публичното документиране на това смекчаване до координираното оповестяване на индустрията във вторник, 6 август 2019 г.
Клиентите, които са разрешили актуализиране на Windows и са приложили актуализациите на защитата, издадени на 9 юли 2019 г., са защитени автоматично. Не е необходимо допълнително конфигуриране.
Забележка
Тази уязвимост не изисква актуализация на микрокод от производителя на вашето устройство (OEM).
За повече информация относно тази уязвимост и приложимите актуализации вж. ръководството за актуализации на защитата на Microsoft:
Уязвимост при асинхронно прекратяване на транзакция
На 12 ноември 2019 г., Intel публикува техническа препоръка относно уязвимостта с асинхронно прекратяване на транзакция в разширения за синхронизиране на транзакции на Intel® (Intel TSX), на която е присвоена CVE-2019-11135. Microsoft пусна актуализации, за да помогне за смекчаване на тази уязвимост, а защитите на операционната система са разрешени по подразбиране за Windows Server 2019, но са деактивирани по подразбиране за Windows Server 2016 и по-стари издания на Windows Server OS.
MMIO уязвимост при вземане на проби от остарели данни
На 14 юни 2022 г. публикувахме ADV220002 | Указания на Microsoft относно уязвимостите в остарелите данни на процесор Intel MMIO и да са присвоени следните CVE:
- CVE-2022-21123 | Четене на споделени буферни данни (SBDR)
- CVE-2022-21125 | Извадка от споделен буфер (SBDS)
- CVE-2022-21127 | Специална актуализация за вземане на извадки от буферни данни за регистъра (актуализация на ЕСРР)
- CVE-2022-21166 | Регистър на устройството: частично записване (DRPW)
Препоръчани действия
Трябва да предприемете следните действия за защита от уязвимостите:
- Приложете всички налични актуализации на операционната система Windows, включително ежемесечните актуализации на защитата на Windows.
- Приложете приложимата актуализация на фърмуера (микрокода), предоставена от производителя на устройството.
- Оценете риска за вашата среда въз основа на информацията, предоставена в Съветите за сигурност на Microsoft: ADV180002, ADV180012, ADV190013 и ADV220002, в допълнение към информацията, предоставена в тази база знания статия.
- Предприемете необходимите действия, като използвате препоръките и информацията за ключове от системния регистър, предоставени в тази статия от базата знания.
Забележка
Клиентите на Surface ще получат актуализация на микрокод чрез актуализиране на Windows. За списък с най-новите актуализации на фърмуера на устройството Surface (микрокод) вижте KB4073065.
Объркване на типа клон
На 12 юли 2022 г. публикувахме CVE-2022-23825 | AMD CPU Branch Type Confusion , която описва, че псевдонимите в предсказателя на клона може да накарат определени AMD процесори да предсказват грешен тип клон. Този проблем потенциално може да доведе до разкриване на информация.
За да помогнете за защитата срещу тази уязвимост, препоръчваме да инсталирате актуализации на Windows, които са с дата или след юли 2022 г., и след това да предприемете действия, както се изисква от CVE-2022-23825 и информацията за ключа от системния регистър, която е предоставена в тази статия от базата знания.
За повече информация вж. бюлетина за сигурността на AMD-SB-1037 .
Предиктор за обратен адрес
На 8 август 2023 г. публикувахме CVE-2023-20569 | Функция за предсказване на обратен адрес (известен също като Inception), който описва нова спекулативна атака страничен канал, която може да доведе до спекулативно изпълнение на адрес, контролиран от атакуващия. Този проблем засяга някои AMD процесори и потенциално може да доведе до разкриване на информация.
За да помогнете за защитата срещу тази уязвимост, препоръчваме да инсталирате актуализации на Windows, които са с дата след август 2023 г., и след това да предприемете действия, както се изисква от CVE-2023-20569 и информацията за ключа от системния регистър, която е предоставена в тази статия от базата знания.
За повече информация вж. бюлетина за защитата на AMD-SB-7005 .
Пример за инжектиране в хронологията на клона
На 9 април 2024 г. публикувахме CVE-2022-0001 | Intel Branch History Injection , който описва Branch History Injection (BHI), което е специфична форма на вътрешна режима BTI. Тази уязвимост възниква, когато атакуващият може да манипулира хронологията на клона, преди да премине от режим на потребител към режим на супервайзор (или от VMX, който не е root/guest, към основен режим). Тази манипулация може да накара предиктора на непрекия клон да избере конкретен запис за предсказване за непряк клон и преходно ще се изпълни притурка за разкриване на прогнозираната цел. Това може да е възможно, защото съответната хронология на клона може да съдържа клонове, взети в предишен контекст на защита и по-специално други режими на прогнозиране.
Настройки за смекчаване за Windows Server и Azure Stack HCI
Съветите за защита (ADV) и CVE предоставят информация за риска, който представляват тези уязвимости. Те също така ви помагат да идентифицирате уязвимостите и да идентифицирате състоянието по подразбиране на смекчаващите мерки за системите на Windows Server. Таблицата по-долу обобщава изискването за микрокод на процесора и състоянието по подразбиране на мерките за смекчаване на последствията на Windows Server.
| CVE | Изисква ли се микрокод/фърмуер на процесора? | Смекчаване на последствията – състояние по подразбиране |
|---|---|---|
| CVE-2017-5753 | Не | Разрешено по подразбиране (няма опция за забраняване) Вижте ADV180002 за допълнителна информация |
| CVE-2017-5715 | Да | Забранено по подразбиране. Вижте ADV180002 за допълнителна информация и тази статия от Базата знания за приложимите настройки на ключове от системния регистър. Забележка "Retpoline" е разрешено по подразбиране за устройства, работещи с Windows 10, версия 1809 и по-нови, ако Spectre Variant 2 (CVE-2017-5715) е разрешен. За повече информация относно "Retpoline" следвайте публикацията в блога за предпазни мерки за Spectre variant 2 с Retpoline в Windows . |
| CVE-2017-5754 | Не | Windows Server 2019, Windows Server 2022 и Azure Stack HCI: Разрешено по подразбиране. Windows Server 2016 и по-стари версии: Забранено по подразбиране. Вижте ADV180002 за допълнителна информация. |
| CVE-2018-3639 | Intel: Да AMD: Не |
Забранено по подразбиране. Вижте ADV180012 за повече информация и тази статия за приложимите настройки за ключове от системния регистър. |
| CVE-2018-11091 | Intel: Да | Windows Server 2019, Windows Server 2022 и Azure Stack HCI: Разрешено по подразбиране. Windows Server 2016 и по-стари версии: Забранено по подразбиране. Вижте ADV190013 за повече информация и тази статия за приложимите настройки на ключове от системния регистър. |
| CVE-2018-12126 | Intel: Да | Windows Server 2019, Windows Server 2022 и Azure Stack HCI: Разрешено по подразбиране. Windows Server 2016 и по-стари версии: Забранено по подразбиране. Вижте ADV190013 за повече информация и тази статия за приложимите настройки на ключове от системния регистър. |
| CVE-2018-12127 | Intel: Да | Windows Server 2019, Windows Server 2022 и Azure Stack HCI: Разрешено по подразбиране. Windows Server 2016 и по-стари версии: Забранено по подразбиране. Вижте ADV190013 за повече информация и тази статия за приложимите настройки на ключове от системния регистър. |
| CVE-2018-12130 | Intel: Да | Windows Server 2019, Windows Server 2022 и Azure Stack HCI: Разрешено по подразбиране. Windows Server 2016 и по-стари версии: Забранено по подразбиране. Вижте ADV190013 за повече информация и тази статия за приложимите настройки на ключове от системния регистър. |
| CVE-2019-11135 | Intel: Да | Windows Server 2019, Windows Server 2022 и Azure Stack HCI: Разрешено по подразбиране. Windows Server 2016 и по-стари версии: Забранено по подразбиране. Вижте CVE-2019-11135 за повече информация и тази статия за приложимите настройки на ключове от системния регистър. |
| CVE-2022-21123 (част от MMIO ADV220002) | Intel: Да | Windows Server 2019, Windows Server 2022 и Azure Stack HCI: Разрешено по подразбиране. Windows Server 2016 и по-стари версии: Забранено по подразбиране.* Вижте CVE-2022-21123 за повече информация и тази статия за приложимите настройки за ключове от системния регистър. |
| CVE-2022-21125 (част от MMIO ADV220002) | Intel: Да | Windows Server 2019, Windows Server 2022 и Azure Stack HCI: Разрешено по подразбиране. Windows Server 2016 и по-стари версии: Забранено по подразбиране.* Вижте CVE-2022-21125 за повече информация и тази статия за приложимите настройки на ключове от системния регистър. |
| CVE-2022-21127 (част от MMIO ADV220002) | Intel: Да | Windows Server 2019, Windows Server 2022 и Azure Stack HCI: Разрешено по подразбиране. Windows Server 2016 и по-стари версии: Забранено по подразбиране.* Вижте CVE-2022-21127 за повече информация и тази статия за приложимите настройки на ключове от системния регистър. |
| CVE-2022-21166 (част от MMIO ADV220002) | Intel: Да | Windows Server 2019, Windows Server 2022 и Azure Stack HCI: Разрешено по подразбиране. Windows Server 2016 и по-стари версии: Забранено по подразбиране.* Вижте CVE-2022-21166 за повече информация и тази статия за приложимите настройки на ключове от системния регистър. |
| CVE-2022-23825 (объркване на типа клон на AMD ЦП) | AMD: Не | Вижте CVE-2022-23825 за повече информация и тази статия за приложимите настройки на ключове от системния регистър. |
|
CVE-2023-20569 (предиктор на обратен адрес на AMD процесора) |
AMD: Да | Вижте CVE-2023-20569 за повече информация и тази статия за приложимите настройки на ключове от системния регистър. |
| CVE-2022-0001 | Intel: Не |
Забранен по подразбиране Вижте CVE-2022-0001 за повече информация и тази статия за приложимите настройки на ключове от системния регистър. |
Забележка
* Следвайте указанията за смекчаване на последствията за срив по-долу.
Ако искате да получите всички налични защити срещу тези уязвимости, трябва да направите промени в ключовете на системния регистър, за да разрешите тези смекчавания, които са забранени по подразбиране.
Разрешаването на тези смекчавания може да повлияе на производителността. Мащабът на ефектите от производителността зависи от множество фактори, като конкретния чипсет във вашия физически хост и работещите работни натоварвания. Препоръчваме ви да оцените ефектите от производителността за вашата среда и да направите необходимите корекции.
Вашият сървър е изложен на увеличен риск, ако е в една от следните категории:
- Hyper-V хостове: Изисква защита за атаки "VM към VM" и "VM към хост".
- Хостове на услугите за отдалечен работен плот (RDSH): Изисква защита от една сесия към друга сесия или от атаки от сесия на хост.
- Физически хостове или виртуални машини, които изпълняват ненадежден код, като например контейнери или ненадеждни разширения за база данни, ненадеждно уеб съдържание или работни натоварвания, които изпълняват код, идващ от външни източници. Те изискват защита от ненадеждни атаки от тип "процес към процес" или "ненадежден процес към ядро".
Използвайте следните настройки на ключове от системния регистър, за да разрешите смекчаванията на сървъра, и рестартирайте устройството, за да влязат в сила промените.
Забележка
По подразбиране разрешаването на изключени смекчавания може да повлияе на производителността. Действителният ефект върху производителността зависи от множество фактори, като конкретния чипсет в устройството и работещите работни натоварвания.
Настройки на системния регистър
Предоставяме следната информация от системния регистър, за да разрешим смекчавания, които не са разрешени по подразбиране, както е документирано в Съветите за защита (ADV) и CVE. Освен това предоставяме настройки за ключове от системния регистър за потребители, които искат да забранят смекчаванията, когато е приложимо за клиенти на Windows.
Забележка
- ВАЖНО Този раздел, метод или задача съдържа стъпки, които ще ви обяснят как да промените системния регистър. Ако обаче промените системния регистър по неправилен начин, е възможно да възникнат сериозни проблеми. Затова следвайте тези стъпки внимателно. За допълнителна защита, архивирайте системния регистър, преди да го променяте. След това можете да възстановите системния регистър, ако възникне проблем. За повече информация относно начините за архивиране и възстановяване на системния регистър вижте следната статия в базата знания на Microsoft:
- KB322756 Създаване на резервно копие и възстановяване на системния регистър в Windows
Управление на предпазни мерки за CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (срив) и CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)
Забележка
- ВАЖНО По подразбиране Retpoline е конфигуриран по следния начин, ако е разрешен Spectre, смекчаване на вариант 2 (CVE-2017-5715):
-
- Смекчаването на Retpoline е разрешено в Windows 10, версия 1809 и по-нови версии на Windows.
-
- Смекчаването на Retpoline е забранено на Windows Server 2019 и по-нови версии на Windows Server.
- За повече информация относно конфигурацията на Retpoline вижте Предпазни мерки за Spectre variant 2 с Retpoline в Windows.
|
|---|
Забележка
Задаването на FeatureSettingsOverrideMask на 3 е точно както за настройките за "разрешаване", така и за "забраняване". (Вижте раздела "ЧЗВ " за повече информация за ключовете от системния регистър.)
Управление на смекчаването на последствията за CVE-2017-5715 (Spectre Variant 2)
За да забраните вариант 2: (CVE-2017-5715 | Branch Target Injection) смекчаване:reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fРестартирайте устройството, за да влязат в сила промените. За да разрешите вариант 2: (CVE-2017-5715 | Branch Target Injection) смекчаване: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fРестартирайте устройството, за да влязат в сила промените. |
|---|
Само за процесори AMD: Разрешаване на пълното облекчаване на последствията за CVE-2017-5715 (Spectre Variant 2)
По подразбиране защитата от потребител към ядро за CVE-2017-5715 е деактивирана за AMD процесори. Клиентите трябва да разрешат смекчаването, за да получат допълнителни защити за CVE-2017-5715. За повече информация вижте ЧЗВ #15 в ADV180002.
Разрешете защита "от потребител към ядро" на AMD процесори заедно с други защити за CVE 2017-5715:reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fАко функцията Hyper-V е инсталирана, добавете следната настройка на системния регистър: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /fАко това е хост на Hyper-V и актуализациите на фърмуера са приложени: Пълно изключване на всички виртуални машини. Това позволява свързаното с фърмуера смекчаване да се приложи на хоста, преди стартирането на виртуалните машини. Следователно, виртуалните машини също се актуализират, когато се рестартират. Рестартирайте устройството, за да влязат в сила промените. |
|---|
Управление на предпазни мерки за CVE-2018-3639 (спекулативно заобикаляне на магазина), CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (срив)
За да разрешите предпазни мерки за CVE-2018-3639 (спекулативно заобикаляне на магазина), CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (срив):reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fАко функцията Hyper-V е инсталирана, добавете следната настройка на системния регистър: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /fАко това е хост на Hyper-V и актуализациите на фърмуера са приложени: Пълно изключване на всички виртуални машини. Това позволява свързаното с фърмуера смекчаване да се приложи на хоста, преди стартирането на виртуалните машини. Следователно, виртуалните машини също се актуализират, когато се рестартират. Рестартирайте устройството, за да влязат в сила промените. За да забраните предпазни мерки за CVE-2018-3639 (спекулативно заобикаляне на магазина) И предпазни мерки за CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (срив) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fРестартирайте устройството, за да влязат в сила промените. |
|---|
Само за процесори AMD: Разрешаване на пълното облекчаване на последствията за CVE-2017-5715 (Spectre Variant 2) и CVE 2018-3639 (спекулативно заобикаляне на магазина)
По подразбиране защитата от потребител към ядро за CVE-2017-5715 е деактивирана за процесори AMD. Клиентите трябва да разрешат смекчаването, за да получат допълнителни защити за CVE-2017-5715. За повече информация вижте ЧЗВ #15 в ADV180002.
Разрешете защита от потребител към ядро на AMD процесори, заедно с други защити за CVE 2017-5715 и защити за CVE-2018-3639 (спекулативно заобикаляне на магазина):reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fАко функцията Hyper-V е инсталирана, добавете следната настройка на системния регистър: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /fАко това е хост на Hyper-V и актуализациите на фърмуера са приложени: Пълно изключване на всички виртуални машини. Това позволява свързаното с фърмуера смекчаване да се приложи на хоста, преди стартирането на виртуалните машини. Следователно, виртуалните машини също се актуализират, когато се рестартират. Рестартирайте устройството, за да влязат в сила промените. |
|---|
Управление на уязвимост при асинхронно прекратяване на транзакция, извадки от микроархитектурни данни, Spectre, срив, MMIO, забраняване на спекулативно заобикаляне на хранилище (SSBD) и неизправност в терминал L1 (L1TF)
|
За да се разрешат смекчавания на уязвимостта с асинхронно прекратяване на транзакции в разширения за синхронизиране на транзакции на Intel (Intel TSX) (CVE-2019-11135) и извадка за микроархитектурни данни ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ), заедно с Spectre [CVE-2017-5753 & CVE-2017-5715], варианти Meltdown [CVE-2017-5754], MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, и CVE-2022-21166), включително спекулативно забраняване на заобикаляне на Store (SSBD) [CVE-2018-3639 ], както и терминална грешка L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646], без да се дезактивира Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ако функцията Hyper-V е инсталирана, добавете следната настройка на системния регистър: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ако това е хост на Hyper-V и актуализациите на фърмуера са приложени: Пълно изключване на всички виртуални машини. Това позволява свързаното с фърмуера смекчаване да се приложи на хоста, преди стартирането на виртуалните машини. Следователно, виртуалните машини също се актуализират, когато се рестартират. Рестартирайте устройството, за да влязат в сила промените. За да се разрешат смекчавания на уязвимостта с асинхронно прекратяване на транзакция в разширения за синхронизиране на транзакции на Intel (Intel TSX) (CVE-2019-11135) и извадка за микроархитектурни данни ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130), заедно с варианти на Spectre [CVE-2017-5753 & CVE-2017-5715] и срив [CVE-2017-5754], включително спекулативно забраняване на заобикаляне на Store (SSBD) [CVE-2018-3639], както и терминална грешка L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646] с Hyper-Threading забранени: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ако функцията Hyper-V е инсталирана, добавете следната настройка на системния регистър: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ако това е хост на Hyper-V и актуализациите на фърмуера са приложени: Пълно изключване на всички виртуални машини. Това позволява свързаното с фърмуера смекчаване да се приложи на хоста, преди стартирането на виртуалните машини. Следователно, виртуалните машини също се актуализират, когато се рестартират. Рестартирайте устройството, за да влязат в сила промените. За да забраните смекчавания на последствията за уязвимост с асинхронно прекратяване на транзакция в разширения за синхронизиране на транзакции на Intel (Intel TSX) (CVE-2019-11135) и извадка за микроархитектурни данни ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130), заедно с варианти на Spectre [CVE-2017-5753 & CVE-2017-5715] и срив [CVE-2017-5754], включително спекулативно забраняване на заобикаляне на Store (SSBD) [CVE-2018-3639], както и терминална грешка L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646]: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Рестартирайте устройството, за да влязат в сила промените. |
|---|
CVE-2022-23825 \| Объркване на типа на клон на AMD (BTC)
За да разрешите облекчението за CVE-2022-23825 на AMD процесори:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
За да бъдат напълно защитени, може да се наложи клиентите също да забранят Hyper-Threading (известно също като едновременна многонишкова работа (SMT)). Вижте KB4073757 за указания за защита на устройства с Windows.
CVE-2023-20569 \| Предиктор на обратен адрес на AMD процесора
За да разрешите облекчението за CVE-2023-20569 на AMD процесори:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
CVE-2022-0001 \| Инжектиране в хронологията на клоновете на Intel
За да разрешите облекчението за CVE-2022-0001 на процесори Intel:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Разрешаване на множество смекчавания
За да разрешите няколко смекчавания, трябва да добавите заедно стойността за REG_DWORD на всяко смекчаване.
Например:
| Смекчаване на уязвимост при асинхронно прекратяване на транзакция, извадки от микроархитектурни данни, Spectre, срив, MMIO, спекулативно забраняване на заобикаляне на Store (SSBD) и L1 терминална грешка (L1TF) с забрана на Hyper-Threading | reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
|---|---|
|
ЗАБЕЛЕЖКА 8264 (в десетично число) = 0x2048 (в шестнадесетично) За да разрешите BHI заедно с други съществуващи настройки, ще трябва да използвате побитово "ИЛИ на текущата стойност" с 8 388 608 (0x800000). 0x800000 OR 0x2048(8264 в десетично представяне) ще стане 8,396,872(0x802048). Същото е и с FeatureSettingsOverrideMask. |
|
| Смекчаване за CVE-2022-0001 на процесори Intel | reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
| Комбинирано смекчаване на последствията | reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Проверка дали защитата е активирана
За да проверим дали защитите са разрешени, публикувахме скрипт на PowerShell, който можете да изпълнявате на своите устройства. Инсталирайте и изпълнете скрипта, като използвате един от следните методи.
Метод 1: Потвърждаване на PowerShell чрез галерията на PowerShell (Windows Server 2016 или WMF 5.0/5.1)
Инсталирайте модула PowerShell:PS> Install-Module SpeculationControlИзпълнете модула PowerShell, за да проверите дали защитите са разрешени: PS> # Save the current execution policy so it can be resetPS> $SaveExecutionPolicy = Get-ExecutionPolicyPS> Set-ExecutionPolicy RemoteSigned -Scope CurrentuserPS> Import-Module SpeculationControlPS> Get-SpeculationControlSettingsPS> # Reset the execution policy to the original statePS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|---|
Метод 2: Потвърждаване на PowerShell с помощта на изтегляне от Technet (по-стари версии на операционната система и по-ранни версии на WMF)
Инсталирайте модула PowerShell от Technet ScriptCenter:
Стартирайте PowerShell и след това използвайте предишния пример, за да копирате и изпълните следните команди: PS> # Save the current execution policy so it can be resetPS> $SaveExecutionPolicy = Get-ExecutionPolicyPS> Set-ExecutionPolicy RemoteSigned -Scope CurrentuserPS> CD C:\ADV180002\SpeculationControlPS> Import-Module .\SpeculationControl.psd1PS> Get-SpeculationControlSettingsPS> # Reset the execution policy to the original statePS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|---|
За подробно обяснение на резултата от скрипта на PowerShell вижте KB4074629 .
Често задавани въпроси
Не ми бяха предложени актуализациите на защитата, които са били издадени през януари и февруари 2018 г. Какво да направя?
За да се избегне неблагоприятният ефект върху клиентски устройства, актуализациите на защитата на Windows, които бяха пуснати на пазара през януари и февруари 2018 г., не бяха предложени на всички клиенти. За подробности вижте KB407269 .
Как да разбера дали имам правилната версия на микрокода на процесора?
Микрокодът се доставя чрез актуализация на фърмуера. Консултирайте се с вашия OEM за версията на фърмуера, която има съответната актуализация за вашия компютър.
Какви са ефектите върху производителността на смекчаванията?
Има множество променливи, които влияят на производителността, като се започне от версията на системата и се стигне до изпълняваните работни натоварвания. При някои системи ефектът върху производителността ще бъде незначителен. За други това ще бъде значително.
Препоръчваме ви да оцените ефектите върху производителността на вашите системи и да направите необходимите корекции.
Използвам Windows Server в хоствана от друг доставчик среда или облак. Какво да направя?
В допълнение към указанията за виртуалните машини в тази статия, трябва да се обърнете към вашия доставчик на услуги, за да се уверите, че хостовете, които изпълняват вашите виртуални машини, са адекватно защитени.
За виртуални машини на Windows Server, които се изпълняват в Azure, вижте Указания за намаляване на уязвимостите в страничен канал при спекулативно изпълнение в Azure. За указания относно използването на Azure Update Management за смекчаване на този проблем на вторични виртуални машини вижте KB4077467.
Има ли указания за конкретни контейнери на Windows Server?
Актуализациите, които са издадени за изображения на контейнери на Windows Server за Windows Server 2016 и Windows 10, версия 1709, включват смекчавания за този набор от уязвимости. Не се изисква допълнителна конфигурация.
Забележка Все пак трябва да се уверите, че хостът, на който се изпълняват тези контейнери, е конфигуриран да разрешава подходящите смекчавания.
Софтуерните и хардуерните актуализации трябва ли да се инсталират в определен ред?
Не, редът на инсталиране няма значение.
Ще има ли няколко рестартирания?
Да, трябва да рестартирате компютъра след актуализирането на фърмуера (микрокода) и след това отново след актуализацията на системата.
Можеш ли да предоставиш повече информация за ключовете от системния регистър?
Ето и подробна информация за ключовете от системния регистър:
FeatureSettingsOverride представлява растерно изображение, което замества настройката по подразбиране и контролира кои смекчавания ще бъдат забранени. Бит 0 управлява смекчаването, което съответства на CVE-2017-5715. Бит 1 управлява смекчаването, което съответства на CVE-2017-5754. Битовете са зададени на 0 , за да се разреши смекчаването, и на 1 , за да се забрани смекчаването.
FeatureSettingsOverrideMask представлява растерна маска, която се използва заедно с FeatureSettingsOverride. В тази ситуация използваме стойността 3 (представена с 11 в двоичната числова система или числовата система с основа 2), за да обозначим първите два бита, които съответстват на наличните смекчавания. Този ключ от системния регистър е зададен на 3 за разрешаване или забраняване на смекчаванията.
MinVmVersionForCpuBasedMitigations е за Hyper-V хостове. Този ключ от системния регистър определя минималната версия на виртуалната машина, която е необходима, за да използвате актуализираните възможности на фърмуера (CVE-2017-5715). Задайте го на 1.0 , за да обхванете всички версии на виртуални машини. Обърнете внимание, че тази стойност в системния регистър ще бъде игнорирана (доброкачествена) на хостове, които не са Hyper-V. За повече подробности вижте "Защита на виртуалните машини гости от CVE-2017-5715 (насочване на клона)".
Мога ли да задам ключовете от системния регистър, преди да инсталирам актуализацията, а след това да инсталирам актуализацията и да рестартирам, за да влязат в сила промените?
Да, няма странични ефекти, ако тези настройки на системния регистър са приложени преди инсталирането на корекции, свързани с януари 2018 г.
Можеш ли да предоставиш повече подробности за резултата от скрипта за проверка на PowerShell?
Вижте подробно описание на резултата от скрипта в KB4074629: Разбиране на изхода на скриптове на PowerShell от SpeculationControl .
Ако актуализацията на фърмуера (микрокода) все още не е налична от моя OEM, има ли все още начин да защитя моя Hyper-V хост?
Да, за хостове на Windows Server 2016 Hyper-V, които все още нямат налична актуализация на фърмуера, публикувахме алтернативни указания, които могат да помогнат за намаляване на атаките от VM към VM или VM към хост. Вижте Алтернативни защити за хостове на Windows Server 2016 Hyper-V срещу уязвимостите в страничен канал при спекулативно изпълнение.
Ако съм в клона само за защита, какви актуализации само за защитата трябва да инсталирам, за да бъда защитен от тези уязвимости?
Актуализациите само на защитата не са кумулативни. В зависимост от версията на операционната система може да се наложи да инсталирате няколко актуализации на защитата за пълна защита. По принцип клиентите ще трябва да инсталират актуализациите от януари, февруари, март и април 2018 г. Системи, които имат AMD процесори, се нуждаят от допълнителна актуализация, както е показано в следната таблица:
| Версия на операционната система | Актуализация на защитата |
|---|---|
| Windows 8.1, Windows Server 2012 R2 | KB4338815 – месечен сборен пакет за актуализация |
| KB4338824 – само защита | |
| Windows 7 SP1, Windows Server 2008 R2 SP1 или Windows Server 2008 R2 SP1 (инсталиране на ядро на сървър) | KB4284826 – месечен сборен пакет за актуализация |
| KB4284867 – само защита | |
| Windows Server 2008 SP2 | KB4340583 – актуализация на защитата |
Препоръчваме да инсталирате актуализациите само на защитата в реда на тяхното издаване.
Забележка
По-ранна версия на тези ЧЗВ неправилно посочваше, че февруарската актуализация само на защитата включва корекции на защитата, които са издадени през януари. Всъщност не е така.
Ако приложа някоя от приложимите актуализации на защитата, те ще забранят ли защитата за CVE-2017-5715 по същия начин, по който KB4078130 направиха актуализацията на защитата?
Не. Актуализация на защитата KB4078130 е конкретна корекция, за да се предотврати непредсказуемо поведение на системата, проблеми с производителността и неочаквани рестартирания след инсталиране на микрокод. Прилагането на актуализации на защитата на клиентски операционни системи Windows разрешава и трите смекчавания. В операционните системи Windows Server трябва да разрешите смекчаванията, след като сте извършили правилно тестване. За повече информация вижте KB4072698.
Известен проблем: Някои потребители може да изпитват проблеми с мрежовата връзка или да изгубят настройките за IP адрес, след като инсталират актуализацията на защитата от 13 март 2018 г. (KB 4088875)
Този проблем е разрешен през KB4093118.
Intel идентифицира проблеми с рестартирането, които включват микрокод на някои по-стари процесори. Какво да направя?
През февруари 2018 г. Intel обяви , че са завършили своите проверки и са започнали да пускат микрокод за по-нови платформи на процесори. Microsoft пуска валидирани от Intel актуализации на микрокод, които се отнасят за Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 изброява конкретни статии за база знания по версия на Windows. Всяка конкретна статия от Базата знания съдържа наличните актуализации на микрокод на Intel от ЦП.
На 11 януари 2018 г. Intel съобщи за проблеми в наскоро издадения микрокод, предназначен за Spectre, вариант 2 (CVE-2017-5715 | Branch Target Injection). По-конкретно Intel отбеляза, че този код може да доведе до "по-чести от очакваното рестартирания и друго непредвидимо поведение на системата" и че тези сценарии може да причинят "загуба на данни или повреда". Нашият опит показва, че нестабилност на система може да доведе до загуба на данни или повреда при определени обстоятелства. На 22 януари Intel препоръча на клиентите да спрат с внедряването на текущата версия на микрокода на засегнатите процесори, докато Intel извършва допълнително тестване на актуализираното решение. Разбираме, че Intel продължава да проучва потенциалния ефект от текущата версия на микрокода. Насърчаваме клиентите да преглеждат насоките им редовно, за да се информират за решенията им.
Докато Intel прави тестове, актуализации и внедрява новия микрокод, предоставяме извънредна (OOB) актуализация KB4078130, която специфично деактивира единствено облекчението срещу CVE-2017-5715. Нашите тестове показаха, че тази актуализация предотвратява описаното поведение. За пълен списък с устройства вижте указанията за поправка на микрокода от Intel. Тази актуализация включва Windows 7 Service Pack 1 (SP1), Windows 8.1 и всички версии на Windows 10, както на клиента, така и на сървъра. Ако работите със засегнато устройство, тази актуализация може да се приложи, като я изтеглите от уебсайта на каталога на Microsoft Update. Прилагането на този полезен обем специфично деактивира само облекчението срещу CVE-2017-5715.
Към този момент няма известни отчети, които да указват, че този Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection) са били използвани за атака клиенти. Препоръчваме, когато е подходящо, потребителите на Windows да активират отново облекчението срещу CVE-2017-5715, когато Intel съобщи, че това непредсказуемо поведение на системата е отстранено за вашето устройство.
Чувал съм, че Intel е пуснал актуализации за микрокод. Къде мога да ги намеря?
През февруари 2018 г. Intel обяви , че са завършили своите проверки и са започнали да пускат микрокод за по-нови платформи на процесори. Microsoft пуска валидирани от Intel актуализации на микрокод, които са свързани с Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). KB4093836 изброява конкретни статии за база знания по версия на Windows. В KB са изброени налични актуализации на микрокод на Intel по ЦП.
За повече информация вижте Актуализации на AMD Security и Техническа документация на AMD: Указания за архитектура около Indirect Branch Control . Те се предлагат от канала за фърмуер на OEM.
Използвам актуализацията на Windows 10 от април 2018 г. (версия 1803). Наличен ли е микрокодът на Intel за моето устройство? Къде мога да го намеря?
Предоставяме валидирани от Intel актуализации на микрокод, които се отнасят за Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection). За да получат най-новите актуализации на микрокод на Intel чрез актуализиране на Windows, клиентите трябва да са инсталирали микрокод на Intel на устройства, работещи с операционна система на Windows 10 преди надстройването до актуализацията на Windows 10 от април 2018 г. (версия 1803).
Актуализацията на микрокод е също така налична директно от каталога на Microsoft Update, ако не е инсталирана на устройството преди надстройването на системата. Микрокодът на Intel е наличен чрез актуализиране на Windows, Windows Server Update Services (WSUS) или каталога на Microsoft Update. За повече информация и за да изтеглите инструкции, вж. KB4100347.
Къде мога да намеря информация за новите уязвимости в страничните канали при спекулативно изпълнение (спекулативно заобикаляне на Store – CVE-2018-3639 и четене на фалшив системен регистър – CVE-2018-3640)?
За повече информация вижте следните ресурси:
- ADV180012 | Указания на Microsoft за спекулативно заобикаляне на Store за CVE-2018-3639
- ADV180013 | Указания на Microsoft за фалшив системен регистър Прочетете за CVE-2018-3640 и KB 4073065 | Указания за клиенти на Surface
- Блог на Microsoft за научни изследвания и защита на защитата
- Указания за разработчици за спекулативно заобикаляне на магазина
Къде мога да намеря повече информация относно поддръжката на Windows за спекулативно забраняване на заобикаляне на Store (SSBD) в процесори на Intel?
Вижте разделите "Препоръчителни действия" и "ЧЗВ" на ADV180012 | Указания на Microsoft за спекулативно заобикаляне на магазина.
Как да определя дали SSBD е разрешен, или забранен?
За да се провери състоянието на SSBD, скриптът PowerShell Get-SpeculationControlSettings е актуализиран да открива засегнати процесори, състоянието на актуализациите на операционната система SSBD и състоянието на микрокода на процесора, ако е приложимо. За повече информация и за получаване на скрипта на PowerShell вижте KB4074629.
Чувал съм за "Lazy FP State Restore" (CVE-2018-3665). Microsoft ще пусне ли смекчавания на последствията за него?
На 13 юни 2018 г. беше обявена допълнителна уязвимост, която включва спекулативно изпълнение в страничен канал, известна като Lazy FP State Restore, и на нея беше присвоена CVE-2018-3665 . За информация относно тази уязвимост и препоръчителните действия вж. Съветника за сигурност ADV180016 | Указания на Microsoft за възстановяване на състоянието на Lazy FP .
Забележка Няма задължителни настройки за конфигурация (системен регистър) за Lazy Restore FP Restore.
Чувал съм, че CVE-2018-3693 (Bounds Check Bypass Store) е свързан със Spectre. Microsoft ще пусне ли смекчавания на последствията за него?
Магазинът за заобикаляне на проверката за граници (BCBS) е оповестен на 10 юли 2018 г. и му е присвоен CVE-2018-3693. Считаме, че BCBS принадлежат към същия клас уязвимости като заобикалянето на проверката за граници (вариант 1). Към момента не ни е известно за никакви случаи на BCBS в нашия софтуер. Въпреки това продължаваме да проучваме този клас уязвимости и ще работим с партньори в отрасъла, за да пуснем мерки за смекчаване на последствията, както е необходимо. Насърчаваме изследователите да подават всички съответни констатации на програмата за възнаграждения за странични канали за спекулативно изпълнение на Microsoft, включително всички екземпляри на BCBS, които могат да се използват. Разработчиците на софтуер трябва да прегледат указанията за разработчици, които са актуализирани за BCBS в C++ Указания за разработчици за спекулативни странични канали за изпълнение
Чух, че е разкрита клемна грешка L1 (L1TF). Къде мога да намеря повече информация за него и поддръжка на Windows за него?
На 14 август 2018 г. е обявена клемна грешка L1 (L1TF), на която са присвоени няколко CVE. Тези нови уязвимости в страничен канал при спекулативно изпълнение могат да се използват за четене на съдържанието на паметта отвъд надеждна граница и ако бъдат използвани, могат да доведат до разкриване на информация. Съществуват множество вектори, чрез които атакуващият може да активира уязвимостите, в зависимост от конфигурираната среда. L1TF засяга процесори Intel® Core® и процесори Intel® Xeon®.
За повече информация относно тази уязвимост и подробен преглед на засегнатите сценарии, включително подхода на Microsoft за намаляване на L1TF, вижте следните ресурси:
Как да забраня Hyper-Threading за L1TF на моето устройство?
Стъпките за забраняване на Hyper-Threading се различават от OEM до OEM, но обикновено са част от BIOS или фърмуер настройка и инструменти за конфигуриране.
Къде мога да получа ARM64 фърмуер, който смекчава CVE-2017-5715 \| Branch Target Injection (Spectre Variant 2)?
Клиентите, които използват 64-битови ARM процесори, трябва да се свържат с OEM на устройството за поддръжка на фърмуера, тъй като защитата на операционната система ARM64, която намалява CVE-2017-5715 | Branch Target Injection (Spectre, Variant 2) изискват най-новата актуализация на фърмуера от OEM устройства, за да влезе в сила.
Къде мога да намеря информация за разкриването на информация от Intel относно извадка за микроархитектурни данни (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130)
За повече информация вижте следните съобщения за защитата
Къде мога да намеря указанията, базирани на сценарии, за определяне на действията, необходими за намаляване на уязвимостите при вземане на извадки за микроархитектурни данни?
Допълнителни указания можете да намерите в указанията на Windows за защита срещу уязвимостите в страничен канал при спекулативно изпълнение
Как да забраня Hyper-Threading за MDS на моето устройство?
Вижте указанията в указанията на Windows за защита срещу уязвимостите в страничен канал при спекулативно изпълнение
Къде мога да намеря указания за Azure?
За указания за Azure вижте тази статия: Указания за намаляване на уязвимостите в страничен канал при спекулативно изпълнение в Azure.
Къде мога да науча повече за разрешаването на Retpoline в Windows 10, версия 1809?
За повече информация относно активирането на Retpoline вижте нашата публикация в блога: Предпазни мерки за Spectre variant 2 с Retpoline в Windows .
Чувал съм, че има вариант на уязвимостта на спекулативния канал за изпълнение на Spectre Variant 1. Къде мога да науча повече?
За повече информация относно тази уязвимост вж. ръководството на защитата на Microsoft: CVE-2019-1125 | Уязвимост от разкриване на информация за ядрото на Windows.
CVE-2019-1125 \| Уязвимостта от разкриване на информация за ядрото на Windows засяга ли облачните услуги на Microsoft?
Не ни е известно за случай на тази уязвимост при разкриване на информация, засягаща инфраструктурата ни за услуги в облака.
Ако актуализации за CVE-2019-1125 \| Уязвимост от разкриване на информация за ядрото на Windows беше издадена на 9 юли 2019 г., защо подробностите бяха публикувани на 6 август 2019 г.?
Веднага щом научихме за този проблем, работихме бързо, за да го разрешим и да издадем актуализация. Силно вярваме в тесните партньорства както с изследователи, така и с партньори в бранша, за да направим клиентите по-защитени, и публикувахме подробности едва във вторник, 6 август, в съответствие с координираните практики за разкриване на уязвимости.
Къде мога да намеря указанията, базирани на сценарии, за определяне на действията, необходими за намаляване на уязвимостта с асинхронно прекратяване на транзакция в разширения за синхронизиране на транзакции на Intel (Intel TSX) (CVE-2019-11135)?
Допълнителни указания можете да намерите в указанията на Windows, за да се защитите срещу уязвимостите в страничен канал при спекулативно изпълнение.
Трябва ли да забраня Hyper-Threading за уязвимост с асинхронно прекратяване на транзакция в разширения за синхронизиране на транзакции на Intel (Intel TSX) (CVE-2019-11135) на моето устройство?
Допълнителни указания можете да намерите в указанията на Windows, за да се защитите срещу уязвимостите в страничен канал при спекулативно изпълнение.
Има ли начин да дезактивирате възможността за разширения за синхронизиране на транзакции на Intel (Intel TSX)?
Допълнителни указания можете да намерите в Указания за забраняване на възможността за разширения за синхронизиране на транзакции на Intel (Intel TSX).
Справки
Отказ от отговорност за информация от трети лица
Продуктите на други разработчици, обсъждани в тази статия, са произведени от независими от Microsoft фирми. Не даваме никаква подразбираща се или друга гаранция относно производителността или надеждността на тези продукти.
Предоставяме информация за връзка с трети лица, за да ви помогнем да намерите техническа поддръжка. Тази информация за връзка може да се промени без предизвестие. Не гарантираме точността на тази информация за връзка на трети лица.