Windows клиентски указания за ИТ професионалисти за защита срещу спекулативно изпълнение канал страна уязвимости

Препоръчителни действия

Клиентите трябва да предприемете следните действия, за да предпазите от уязвимости:

  1. Приложете всички налични актуализации на операционната система Windows, включително месечни актуализации на защитата на Windows.

  2. Приложете приложимите фърмуер (микрокод) актуализация, която се предоставя от производителя на устройството.

  3. Оценка на риска за вашата среда въз основа на информацията, която се предоставя на Microsoft сигурност бюлетини: ADV180002, вadv180012, ADV190013 и информация, предоставена в тази статия от базата знания.

  4. Предприемане на действия, както се изисква с помощта на съветите и системния регистър ключ информация, които са предоставени в тази статия от базата знания.

Забележка: Surface клиенти ще получите актуализация на микрокод чрез Windows Update. За списък на най-новите налични повърхността устройство фърмуер (микрокод) актуализации вижте KB 4073065.

Намаляване на настройките за клиенти на Windows

Сигурност бюлетини ADV180002, вadv180012и ADV190013 предоставят информация за риска, който е поставен от тези уязвимости, и те ви помогне да идентифицирате състоянието по подразбиране на предпазни мерки за клиентски системи на Windows. Следната таблица обобщава изискването на CPU микрокод и състоянието по подразбиране на предпазни мерки за клиенти на Windows.

CVE

Изисква CPU микрокод/фърмуер?

Намаляване на състоянието по подразбиране

CVE-2017-5753

Не

Активирана по подразбиране (няма опция за деактивиране)

Моля, вижте ADV180002 за допълнителна информация.

CVE-2017-5715

Да

Активирана по подразбиране. Потребителите на системи, базирани на процесори AMD трябва да видите ЧЗВ #15 и потребителите на ARM процесори трябва да видите ЧЗВ #20 на ADV180002 за допълнителни действия и тази статия от БЗ за приложимите настройки на ключа на системния регистър.

Забележка: "Retpoline" е разрешена по подразбиране за устройства, работещи под Windows 10 1809 или по-нова, ако призрака вариант 2 (CVE-2017-5715) е разрешена. За повече информация около "retpoline", следвайте указанията всмекчаващия призрака вариант 2 с retpoline на Windows блог публикация.

CVE-2017-5754

Не

Активирано по подразбиране

Моля, вижте ADV180002 за допълнителна информация.

CVE-2018-3639

Intel: да AMD: не ARM: да

Intel и AMD: забранени по подразбиране. Вижте вadv180012 за повече информация и тази статия от БЗ за приложимите настройки на ключа на системния регистър.

ARM: активирана по подразбиране без опция за деактивиране.

CVE-2018-11091

Intel: да

Активирана по подразбиране.

Вижте ADV190013 за повече информация и тази статия от БЗ за приложимите настройки на ключа на системния регистър.

CVE-2018-12126

Intel: да

Активирана по подразбиране.

Вижте ADV190013 за повече информация и тази статия от БЗ за приложимите настройки на ключа на системния регистър.

CVE-2018-12127

Intel: да

Активирана по подразбиране.

Вижте ADV190013 за повече информация и тази статия от БЗ за приложимите настройки на ключа на системния регистър.

CVE-2018-12130

Intel: да

Активирана по подразбиране.

Вижте ADV190013 за повече информация и тази статия от БЗ за приложимите настройки на ключа на системния регистър.

CVE-2019-11135

Intel: да

Активирана по подразбиране.

Вижте CVE-2019-11135 за повече информация и тази статия от БЗ за приложимите настройки на ключа на системния регистър.

Забележка: Разрешаване на предпазни мерки, които са изключени по подразбиране може да засегне производителността. Действителното изпълнение ефект зависи от множество фактори, като например специфични чипсет в устройството и натоварвания, които се изпълняват.

Настройки на системния регистър

Ние предоставяме следната информация в системния регистър, за да разрешите предпазни мерки, които не са активирани по подразбиране, както е документирано в съвети за сигурност ADV180002 и вadv180012. Освен това ние предоставяме настройките на системния регистър ключ за потребители, които искат да забраните предпазни мерки, които са свързани с CVE-2017-5715 и CVE-2017-5754 за Windows клиенти.

Важно Този раздел, метод или задача съдържа стъпки, които ви казват как да модифицирате системния регистър. Обаче сериозни проблеми могат да възникнат, ако модифицирате системния регистър неправилно. Затова се уверете, че следвате тези стъпки внимателно. За допълнителна защита, архивирате системния регистър, преди да го модифицирате. След това можете да възстановите системния регистър, ако възникне проблем. За повече информация как да архивирате и възстановите системния регистър вижте следната статия в базата знания на Microsoft:

322756 как да архивирате и възстановите системния регистър в Windows

Управление на предпазни мерки за CVE-2017-5715 (призрака вариант 2) и CVE-2017-5754 (срив)

Важна бележка Retpoline е разрешена по подразбиране на Windows 10, версия 1809 устройства, ако призрака, вариант 2 (CVE-2017-5715) е разрешена. Разрешаване на Retpoline на най-новата версия на Windows 10 може да подобри производителността на устройства, работещи под Windows 10, версия 1809 за призрака вариант 2, особено на по-стари процесори.

За да разрешите по подразбиране предпазни мерки за CVE-2017-5715 (призрака вариант 2) и CVE-2017-5754 (срив)

reg Add "HKEY_LOCAL_MACHINE \Sostem\lereslort\pul.l\suusуправление \ запаметяване на паметта"/v Феатуресеттингсоверриде/v REG_DWORD/v 0/v

reg Add "HKEY_LOCAL_MACHINE \Sostem\tereslort\pul.l\suusуправление \ запаметяване на паметта"/v Феатуресеттингсоверридемаск/v REG_DWORD/v 3/v

Рестартирайте компютъра, за да влязат в сила промените.

За да забраните предпазни мерки за CVE-2017-5715 (призрака вариант 2) и CVE-2017-5754 (срив)

reg Add "HKEY_LOCAL_MACHINE \Sostem\tereslort\pul.l\suusуправление \ запаметяване на паметта"/v Феатуресеттингсоверриде/v REG_DWORD/v 3/v

reg Add "HKEY_LOCAL_MACHINE \Sostem\tereslort\pul.l\suusуправление \ запаметяване на паметта"/v Феатуресеттингсоверридемаск/v REG_DWORD/v 3/v

Рестартирайте компютъра, за да влязат в сила промените.

Забележка: Стойност 3 е точна за феатуресеттингсоверридемаск "Разреши" и "забрани" настройки. (Вижте раздела "ЧЗВ" за повече информация относно ключовете на системния регистър.)

Управление на смекчаване за CVE-2017-5715 (призрака вариант 2)

За да забраните предпазни мерки за CVE-2017-5715 (призрака вариант 2) :

reg Add "HKEY_LOCAL_MACHINE \System\tereslort\pul.los\cuusуправление \ памет"/v Феатуресеттингсоверриде/v REG_DWORD/v 1/v

reg Add "HKEY_LOCAL_MACHINE \Sostem\tereslort\pul.l\suusуправление \ запаметяване на паметта"/v Феатуресеттингсоверридемаск/v REG_DWORD/v 3/v

Рестартирайте компютъра, за да влязат в сила промените.

За да разрешите по подразбиране предпазни мерки за CVE-2017-5715 (ПРИЗРАКА вариант 2) и CVE-2017-5754 (срив):

reg Add "HKEY_LOCAL_MACHINE \Sostem\lereslort\pul.l\suusуправление \ запаметяване на паметта"/v Феатуресеттингсоверриде/v REG_DWORD/v 0/v

reg Add "HKEY_LOCAL_MACHINE \Sostem\tereslort\pul.l\suusуправление \ запаметяване на паметта"/v Феатуресеттингсоверридемаск/v REG_DWORD/v 3/v

Рестартирайте компютъра, за да влязат в сила промените.

AMD и ARM процесори само: разрешаване на пълно смекчаване за CVE-2017-5715 (призрака вариант 2)

По подразбиране защита от потребител към ядрото за CVE-2017-5715 е забранена за AMD и ARM процесори. Клиентите трябва да разрешите смекчаване да получите допълнителна защита за CVE-2017-5715. За повече информация вижте ЧЗВ #15 в ADV180002 за процесори AMD и ЧЗВ #20 в ADV180002 за ARM процесори.

Разрешаване на защита от потребители на ядрото на AMD и ARM процесори заедно с други защити за CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте компютъра, за да влязат в сила промените.

Управление на предпазни мерки за CVE-2018-3639 (спекулативен магазин байпас), CVE-2017-5715 (призрака вариант 2) и CVE-2017-5754 (срив)

За да разрешите предпазни мерки за CVE-2018-3639 (спекулативен магазин байпас), по подразбиране предпазни мерки за CVE-2017-5715 (призрака вариант 2) и CVE-2017-5754 (срив):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте компютъра, за да влязат в сила промените.

Забележка: Процесорите на AMD не са уязвими към CVE-2017-5754 (срив). Този ключ на системния регистър се използва в системи с процесори AMD да разрешите по подразбиране предпазни мерки за CVE-2017-5715 на процесори AMD и смекчаване за CVE-2018-3639.

За да забраните предпазни мерки за CVE-2018-3639 (спекулативен магазин байпас) * и * предпазни мерки за CVE-2017-5715 (призрака вариант 2) и CVE-2017-5754 (срив)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте компютъра, за да влязат в сила промените.

Само процесори AMD: разрешаване на пълно смекчаване за CVE-2017-5715 (призрака вариант 2) и CVE 2018-3639 (спекулативен магазин байпас)

По подразбиране защитата от потребител на ядро за CVE-2017-5715 е забранена за процесори AMD. Клиентите трябва да разрешите смекчаване да получите допълнителна защита за CVE-2017-5715.  За повече информация вижте ЧЗВ #15 в ADV180002.

Разрешаване на защита от потребители на ядрото на ПРОЦЕСОРИ AMD заедно с други защити за cve 2017-5715 и защита за CVE-2018-3639 (спекулативен магазин байпас):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Рестартирайте компютъра, за да влязат в сила промените.

Управление на разширения за синхронизация на Intel® транзакции (Intel® TSX) транзакция асинхронно прекратяване уязвимост (CVE-2019-11135) и Микроархитектурни данни извадки (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) заедно с Призрак (CVE-2017-5753 & CVE-2017-5715) и срив (CVE-2017-5754) варианти, включително спекулативен магазин байпас забраняване (SSBD) (CVE-2018-3639) както и L1 терминален отказ (L1TF) (CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646)

За да разрешите предпазни мерки за Intel® транзакции синхронизация разширения (Intel® TSX) транзакция асинхронно прекратяване уязвимост (CVE-2019-11135) и микроархитектурни данни извадка ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) заедно с призрака (CVE-2017-5753 & CVE-2017-5715) и срив (CVE-2017-5754) варианти, включително спекулативни магазин байпас забрани (ssbd) CVE-2018-3639) както и L1 терминален отказ (L1TF) (CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646) без деактивиране на Hyper-резби:

reg Add "HKEY_LOCAL_MACHINE \sostem\tereslort\pul.l\suus72 REG_DWORD управление

reg Add "HKEY_LOCAL_MACHINE \Sostem\tereslort\pul.l\suusуправление \ запаметяване на паметта"/v Феатуресеттингсоверридемаск/v REG_DWORD/v 3/v

Ако е инсталирана функцията Hyper-V, добавете следната настройка в системния регистър:

reg Add "HKEY_LOCAL_MACHINE \ Софтуер\ микрософтуер \Windows\llervecererel\puplntpucucuvucuscululule/t REG_SZ/v" 1,0 "

Ако това е Hyper-V хост и актуализации на фърмуера са били приложени: Напълно изключете всички виртуални машини. Това позволява на фърмуера, свързани със намаляване да се прилага на хоста преди виртуални машини са стартирани. Затова виртуални машини също се актуализират, когато се рестартира.

Рестартирайте компютъра, за да влязат в сила промените.

За да разрешите предпазни мерки за Intel® транзакции синхронизация разширения (Intel® TSX) транзакция асинхронно прекратяване уязвимост (CVE-2019-11135) и микроархитектурни данни извадка ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) заедно с призрака (CVE-2017-5753 & CVE-2017-5715) и срив (CVE-2017-5754) варианти, включително спекулативни магазин байпас забрани (ssbd) CVE-2018-3639), както и L1 терминален отказ (L1TF) (CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646) с Hyper-резби забранени:

reg Add "HKEY_LOCAL_MACHINE \sostem\tereslort\pul.l\suus8264 REG_DWORD управление

reg Add "HKEY_LOCAL_MACHINE \Sostem\tereslort\pul.l\suusуправление \ запаметяване на паметта"/v Феатуресеттингсоверридемаск/v REG_DWORD/v 3/v

Ако е инсталирана функцията Hyper-V, добавете следната настройка в системния регистър:

reg Add "HKEY_LOCAL_MACHINE \ Софтуер\ микрософтуер \Windows\llervecererel\puplntpucucuvucuscululule/t REG_SZ/v" 1,0 "

 

Ако това е Hyper-V хост и актуализации на фърмуера са били приложени: Напълно изключете всички виртуални машини. Това позволява на фърмуера, свързани със намаляване да се прилага на хоста преди виртуални машини са стартирани. Затова виртуални машини също се актуализират, когато се рестартира.

Рестартирайте компютъра, за да влязат в сила промените.

За да забраните предпазни мерки за Intel® транзакции синхронизация разширения (Intel® TSX) транзакция асинхронно прекратяване уязвимост (CVE-2019-11135) и микроархитектурни данни извадка ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) заедно с призрака (CVE-2017-5753 & CVE-2017-5715) и срив (CVE-2017-5754) варианти, включително спекулативни магазин байпас забрани (ssbd) CVE-2018-3639) както и L1 терминален отказ (L1TF) (CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646):

reg Add "HKEY_LOCAL_MACHINE \Sostem\tereslort\pul.l\suusуправление \ запаметяване на паметта"/v Феатуресеттингсоверриде/v REG_DWORD/v 3/v

reg Add "HKEY_LOCAL_MACHINE \Sostem\tereslort\pul.l\suusуправление \ запаметяване на паметта"/v Феатуресеттингсоверридемаск/v REG_DWORD/v 3/v

Рестартирайте компютъра, за да влязат в сила промените.

Проверка дали защитата е разрешена

За да помогнете на клиентите да проверят дали защитата е разрешена, ние публикувахме PowerShell скрипт, който клиентите могат да изпълняват на техните системи. Инсталирайте и стартирайте скрипта, като изпълните следните команди.

PowerShell проверка с помощта на PowerShell Галерия (Windows Server 2016 или Фу 5.0/5.1)

Инсталирайте PowerShell модул:

PS > Инсталиране-модул Спекулаконтрол

Стартирайте PowerShell модул, за да проверите дали са активирани защита:

PS > # запишете текущите правила за изпълнение, така че да може да се нулира

PS > $SaveExecutionPolicy = get-Изпълнениеправила

PS > Set-Изпълнениеправила Дистанционенпотребител-обхват

PS > импортиране-модул Спекулаконтрол

PS > получаване-Спекуланастройки за Управникa

PS > # нулиране на правилата за изпълнение на първоначалното състояние

PS > набор-Изпълнениеполитика $SaveExecutionPolicy-обхват зададен потребител

 

PowerShell проверка с помощта на изтегляне от TechNet (по-стара версия на операционната система и по-стари версии на Фу)

Инсталирайте PowerShell модул от TechNet скрипт:

Отидете на HTTPS://aka.MS/SpeculationControlPS

Изтеглете Спекулауправление. zip в локална папка.

Извличане на съдържанието в локална папка, например C:\RE180002

Стартирайте PowerShell модул, за да проверите дали са активирани защита:

Стартирайте PowerShell, след което (с помощта на предишния пример) копирайте и изпълнете следните команди:

PS > # запишете текущите правила за изпълнение, така че да може да се нулира

PS > $SaveExecutionPolicy = get-Изпълнениеправила

PS > Set-Изпълнениеправила Дистанционенпотребител-обхват

PS > CD C:\da180002\ спекулаконтрол

PS > импортни модули

PS > получаване-Спекуланастройки за Управникa

PS > # нулиране на правилата за изпълнение на първоначалното състояние

PS > набор-Изпълнениеполитика $SaveExecutionPolicy-обхват зададен потребител

За подробно обяснение на изхода на PowerShell скрипт вижте статията в базата знания 4074629.

Често задавани въпроси

Микрокод се доставя чрез актуализация на фърмуера. Клиентите трябва да проверите с ПРОЦЕСОРА (чипсет) и производителите на устройства за наличието на приложими фърмуер актуализации на защитата за тяхното конкретно устройство, включително Intel микрокод редакция ръководство.

Справянето с хардуерна уязвимост чрез софтуерна актуализация представя значителни предизвикателства. Също така, предпазни мерки за по-стари операционни системи изискват обширни архитектурни промени. Ние работим със засегнатия чип производители да се определи най-добрият начин за предоставяне на предпазни мерки, които могат да бъдат доставени в бъдещи актуализации.

Актуализациите за Microsoft Surface устройства ще бъдат доставени на клиентите чрез Windows Update заедно с актуализациите за операционната система Windows. За списък на наличните повърхността устройство фърмуер (микрокод) актуализации вижте KB 4073065.

Ако устройството ви не е от Microsoft, приложете фърмуер от производителя на устройството. За повече информация се свържете с производителя на OEM устройството.

През февруари и март 2018 Microsoft публикува допълнителна защита за някои x86-базирани системи. За повече информация вижте KB 4073757 и Microsoft Security консултантски ADV180002.

Актуализациите на Windows 10 за Холообектив са достъпни за клиентите на Холообектив чрез Windows Update.

След прилагане на февруари 2018 актуализация на защитата на Windows, клиентите на холообектив не трябва да предприемат никакви допълнителни действия, за да актуализират фърмуера на устройството си. Тези предпазни мерки също ще бъдат включени във всички бъдещи издания на Windows 10 за Холообектив.

Не. Актуализации на защитата само не са кумулативни. В зависимост от версията на операционната система, която изпълнявате, ще трябва да инсталирате всеки месечен защита само актуализации да бъдат защитени от тези уязвимости. Например ако използвате Windows 7 за 32-битови системи на засегнатия процесор Intel трябва да инсталирате всички актуализации на защитата само. Препоръчваме да инсталирате тези актуализации само за защита в реда на освобождаване.

Забележка: по-стара версия на тези ЧЗВ неправилно заяви, че февруари защитата само актуализация включва корекции на защитата, издадени през януари. Всъщност, не е така.

Не. Актуализация 4078130 на защитата е конкретна корекция за предотвратяване на непредвидими системни поведения, проблеми с производителността и/или неочаквани рестартира след инсталиране на микрокод. Прилагане на актуализации на защитата февруари на Windows клиентски операционни системи позволява всички три предпазни мерки.

Intelнаскоро обяви, че са завършили своите потвърждавания и започнаха да освобождават микрокод за по-новите платформи CPU. Microsoft предоставя Intel валидирани микрокод актуализации около призрака вариант 2 (CVE-2017-5715 "клон целеви инжекция"). KB 4093836 изброява конкретна база знания статии от версия на Windows. Всяка конкретна KB съдържа наличните Intel микрокод актуализации от ПРОЦЕСОРА.

Този проблем е решен в KB 4093118.

AMD наскоро обяви , че са започнали да освобождават микрокод за по-новите платформи CPU около ПРИЗРАКА вариант 2 (CVE-2017-5715 "клон целеви инжекция"). За повече информация вижте AMD актуализации на защитата и AMD Whitepaper: архитектура насоки около непряк клон контрол. Те са достъпни от OEM фърмуера канал.

Ние правим налични Intel валидирани микрокод актуализации около призрака вариант 2 (CVE-2017-5715 "клон целеви инжекция "). За да получите най-новите актуализации на микрокод на Intel чрез Windows Update, клиентите трябва да са инсталирали микрокод на Intel на устройства, работещи под Windows 10 операционна система преди надграждане до Windows 10 април 2018 актуализация (версия 1803).

Актуализация на микрокод също е достъпна директно от каталог, ако не е инсталиран на устройството преди надграждане на операционната система. Intel микрокод се предлага чрез Windows Update, WSUS или каталога на Microsoft Update. За повече информация и Изтеглете инструкции вижте KB 4100347.

За повече информация вижте следните ресурси:

За подробности вижте секциите "Препоръчителни действия" и "ЧЗВ" в вadv180012 | Microsoft указания за заобикаляне на спекулативни магазин.

За да проверите състоянието на SSBD, get-Спекуланастройки PowerShell скрипт е актуализиран за откриване на засегнатите процесори, състоянието на актуализациите на операционната система SSBD и състоянието на процесора микрокод, ако е приложимо. За повече информация и да получите PowerShell скрипт вижте KB 4074629.

На 13 юни 2018, допълнителна уязвимост, включваща странични канал спекулативно изпълнение, известен като МЪРЗЕЛИВИ FP състояние възстановяване, е обявен и назначен CVE-2018-3665. Не конфигурация (регистър) настройки са необходими за мързеливи Restore FP възстановяване.

За повече информация относно тази уязвимост и Препоръчителни действия вижте сигурност консултантски ADV180016 | Microsoft ръководство за мързеливи FP състояние на възстановяване.

Забележка: Не конфигурация (регистър) настройки са необходими за мързеливи Restore FP възстановяване.

Границите проверка байпас хранилище (БКБН) е оповестена на 10 юли 2018 и присвоени CVE-2018-3693. Считаме БКБН да принадлежат към същия клас уязвимости като граници проверка байпас (вариант 1). Ние не сме в момента запознати с всички екземпляри на БКБН в нашия софтуер, но ние продължаваме да проучи тази уязвимост клас и ще работи с партньори в бранша да освободите предпазни мерки, както е необходимо. Ние продължаваме да насърчаваме изследователите да представят всички съответни констатации на Microsoft спекулативно изпълнение страничен канал програма за наградата, включително всички експлоатативна екземпляри на бкбн. Разработчиците на софтуер трябва да преразгледат ръководството за разработчици, което е актуализирано за БКБН на HTTPS://aka.MS/sescdevguide.

На 14 август 2018 L1 терминален отказ (L1TF) е обявен и назначен няколко cves. Тези нови уязвимости спекулативно изпълнение канал страна може да се използва за четене на съдържанието на паметта през надеждна граница и, ако се използва, може да доведе до разкриване на информация. Хакер може да предизвика уязвимости чрез множество векторите, в зависимост от конфигурираната среда. L1TF засяга процесори Intel® Core® и Intel® Xeon® процесори.

За повече информация относно тази уязвимост и подробен изглед на засегнатите сценарии, включително подхода на Microsoft за намаляване на L1TF вижте следните ресурси:

Клиенти, използващи 64-битово ARM процесори трябва да проверите с устройството OEM за фърмуер поддръжка, защото ARM64 операционна система защити, които ограничават CVE-2017-5715 -клон целеви инжекция (призрак, вариант 2) изискват най-новата актуализация на фърмуера от OEM устройство да влязат в сила.

За повече информация вижте следните бюлетини за защитата

За повече информация вижте следните бюлетини за сигурност

Допълнителни насоки могат да бъдат намерени в Windows насоки за защита срещу спекулативно изпълнение канал страна уязвимости

Моля, вижте ръководството в Windows насоки за защита срещу спекулативно изпълнение канал страна уязвимости

За Azure ръководство, моля, вижте тази статия: насоки за смекчаване спекулативно изпълнение канал страна уязвимости в Azure.

За повече информация относно активирането на Retpoline вижте нашата публикация в блога: ограничаване призрака вариант 2 с retpoline на Windows.

За повече информация относно тази уязвимост вижте ръководството за защита на Microsoft: CVE-2019-1125 | Windows ядрото информация разкриване уязвимост.

Не сме запознати с никакви случаи на тази уязвимост при разкриване на информация, засягаща нашата инфраструктура за облачни услуги.

Веднага след като узнахме за този проблем, работихме бързо, за да се обърна към него и да пуснем актуализация. Ние силно вярваме в близки партньорства с изследователите и промишлените партньори, за да направим клиентите по-сигурни и не публикуваме подробности до вторник, 6 август, в съответствие с координираните практики за разкриване на уязвимост.

Допълнителни насоки могат да бъдат намерени в Windows насоки за защита срещу спекулативно изпълнение канал страна уязвимости.

Допълнителни насоки могат да бъдат намерени в Windows насоки за защита срещу спекулативно изпълнение канал страна уязвимости.

Допълнителни насоки могат да бъдат намерени в указания за деактивиране на Intel® транзакции синхронизация разширения (intel® TSX) възможности.

 

Нуждаете се от още помощ?

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към Microsoft приобщени

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!

Благодарим ви за вашата обратна връзка. Изглежда, че ще бъде полезно да ви свържем с един от нашите агенти по поддръжката на Office.

×