KB4073065: Pokyny pro Surface k ochraně před ohroženími zabezpečení z mikroarchitektury a spekulativního spouštění na straně kanálu na bázi křemíku

Tým Surface si je vědom nových variant útoku na straně bočního kanálu založených na křemíku a spekulativním provedení, které mají vliv také na produkty Surface. Další informace o ohrožení zabezpečení a jejich zmírnění najdete v následujícím informačním zpravodaji zabezpečení: 

• Poradce pro zabezpečení společnosti Microsoft ADV220002

Spolupracujeme s našimi partnery na poskytování aktualizací produktů Surface, jakmile zajistíme, aby aktualizace splňovaly naše požadavky na kvalitu. 

Další informace o aktualizacích pro zařízení Surface najdete v tématu Historie aktualizací zařízení Surface.

Tým Surface si je vědom nových spekulativních variant útoku na straně kanálu, které mají vliv také na produkty Surface. Zmírnění těchto ohrožení zabezpečení vyžaduje aktualizaci operačního systému a aktualizaci Surface UEFI, která obsahuje nový mikrokód. Další informace o ohrožení zabezpečení a jejich zmírnění najdete v následujícím informačním zpravodaji zabezpečení:

• Poradce microsoftu pro zabezpečení ADV190013

  Tento poradce obsahuje následující ohrožení zabezpečení:

  • CVE-2018-12126 | Vzorkování dat vyrovnávací paměti mikroarchitektury úložiště (MSBDS) 

  • CVE-2018-12130 | Vzorkování dat vyrovnávací paměti mikroarchitektury (MFBDS)

  • CVE-2018-12127 | Vzorkování dat mikroarchitekturálního zátěžového portu (MLPDS)

  • CVE-2019-11091 | Paměť MDSUM (Microarchitectural Data Sampling Uncacheable Memory)

Kromě instalace aktualizací zabezpečení operačního systému Windows společnost Surface vydala aktualizace rozhraní UEFI prostřednictvím služba Windows Update a webu Download Center pro následující zařízení:

• Aktualizace pro Surface 3 – 11. července 2019

• aktualizace z Surface Pro 3– 11. července 2019

• Surface Pro 4 – aktualizace z 27. června 2019

• Surface Book – aktualizace z 27. června 2019

• Surface Studio – aktualizace z 11. července 2019

• Surface Pro (5^. generace) – aktualizace z 27. června 2019

• Surface Laptop – aktualizace z 27. června 2019

• aktualizace Surface Book 2– 27. června 2019

• aktualizace Surface Pro 6– 27. června 2019

• aktualizace Surface Laptop 2– 27. června 2019

• Surface Studio 2– aktualizace z 31. července 2019

• WiFi zařízení Surface GO – aktualizace z 23. července 2019

• Surface GO LTE – aktualizace z 23. července 2019

Kromě nového mikrokódu bude při instalaci aktualizace rozhraní UEFI k dispozici nové nastavení UEFI, které se označuje jako Souběžné vícevláknití (SMT). Toto nastavení umožňuje uživateli zakázat technologii Hyper-Threading.

Poznámky

• Pokud se rozhodnete technologii Hyper-Threading zakázat, doporučujeme použít nové nastavení SMT UEFI.

• Zakázání SMT poskytuje další ochranu před těmito novými chybami zabezpečení a útokem selhání terminálu L1 , který byl oznámen dříve. Tato metoda ale také ovlivňuje výkon zařízení.

• Surface 3 a Surface Studio s Intel Core i5 nemají SMT. Proto tato zařízení nemají toto nové nastavení.

• Nástroj konfigurátoru UEFI pro Microsoft Surface Enterprise Management Mode (SEMM) verze 2.43.139 nebo novější podporuje nové nastavení SMT. Nástroje si můžete stáhnout z této webové stránky. Stáhněte si následující požadované nástroje:

  • SurfaceUEFI_Configurator_v2.43.139.0.msi

  • SurfaceUEFI_Manager_v2.43.139.0.msi

Tým surface ví o novém spekulativním útoku na straně kanálu s názvem L1 Terminal Fault (L1TF) a přiřazeném CVE-2018-3620 (OS a SMM) a CVE-2018-3646 (VMM). Ovlivněné produkty Surface jsou stejné jako v části Ohrožení zabezpečení oznámená v květnu 2018 v tomto článku. Aktualizace mikrokódu, které zmírňují zjištění z května 2018, také zmírňují L1TF (CVE-2018-3646). Další informace o ohrožení zabezpečení a jejich zmírnění najdete v následujícím informačním zpravodaji zabezpečení:

• Poradce microsoftu pro zabezpečení ADV180018

  Tento poradce obsahuje následující ohrožení zabezpečení:

  • CVE-2018-3620

  • CVE-2018-3646

Poradce pro zabezpečení navrhuje, aby zákazníci, kteří používají zabezpečení na základě virtualizace (VBS), včetně funkcí zabezpečení, jako je Credential Guard a Device Guard, zvažili zakázání Hyper-Threading, aby se plně eliminovaly rizika Z L1TF.

Tým Surface se seznámil s novými spekulativními variantami útoku na straně kanálu, které mají vliv i na produkty Surface. Zmírnění těchto ohrožení zabezpečení vyžaduje aktualizace rozhraní UEFI, které používají nový mikrokód. Další informace o ohrožení zabezpečení a jejich zmírnění najdete v následujících doporučeních zabezpečení:

• Poradce microsoftu pro zabezpečení ADV180012

  Tento poradce obsahuje následující ohrožení zabezpečení:

  • CVE-2018-3639

• Poradce microsoftu pro zabezpečení ADV180013

  Tento poradce obsahuje následující ohrožení zabezpečení:

  • CVE-2018-3640

Kromě instalace aktualizací zabezpečení operačního systému Windows společnost Surface vydala aktualizace rozhraní UEFI prostřednictvím služba Windows Update a webu Download Center pro následující zařízení:

• aktualizace Surface Book 2– 1. srpna 2018

• Surface Book – aktualizace z 21. srpna 2018

• Surface Laptop – aktualizace z 25. července 2018

• Surface Studio – aktualizace z 1. října 2018

• Surface Pro 4 – aktualizace z 25. července 2018

• aktualizace Surface Pro 3– 7. srpna 2018

• Surface Pro Model 1796 a Surface Pro s aktualizací Advanced LTE Model 1807 – 26. července 2018

Tým Surface si je vědom veřejně zveřejněné třídy ohrožení zabezpečení, která zahrnují spekulativní spouštění boční kanál (známý jako Spectre a Meltdown), které ovlivňují mnoho moderních procesorů a operačních systémů, včetně Intel, AMD a ARM. Další informace o ohrožení zabezpečení a jejich zmírnění najdete v následujícím informačním zpravodaji zabezpečení:

• Poradce pro zabezpečení společnosti Microsoft ADV180002

  Tento poradce obsahuje následující ohrožení zabezpečení:

  • CVE-2017-5753

  • CVE-2017-5715

  • CVE-2017-5754

Další informace o Windows aktualizacích softwaru najdete v následujících článcích znalostní báze:

• KB4073757 

• KB4073119 (pokyny pro klienta)

Kromě instalace aktualizací zabezpečení operačního systému Windows 3. ledna společnost Surface vydala aktualizace rozhraní UEFI prostřednictvím služba Windows Update a webu Download Center pro následující zařízení:

• Surface Book 2 – (historie aktualizací)

• Surface Book – (historie aktualizací)

• Surface Laptop – (historie aktualizací)

• Surface Studio – (historie aktualizací)

• Surface Pro 4 – (historie aktualizací)

• Surface Pro 3 – (historie aktualizací)

• Surface 3 – (historie aktualizací)

• Surface Pro Model 1796 a Surface Pro s rozšířeným modelem LTE 1807 – (historie aktualizací)

Tyto aktualizace jsou k dispozici pro zařízení se systémem Windows 10 Creators Update (build 15063) a novějšími verzemi.

Poskytujeme kontaktní informace třetích stran, které vám pomůžou najít technickou podporu. Tyto informace se mohou změnit bez předchozího upozornění. Nezaručujeme přesnost těchto kontaktních údajů třetích stran.