Klient systému Windows pro profesionály IT, kteří chrání před spekulativními chybami zabezpečení vedlejších kanálů

Akce a doporučení

Zákazníci by měli v zájmu ochrany před chybami zabezpečení podniknout následující kroky:

  1. Použijte všechny dostupné aktualizace operačního systému Windows včetně měsíčních aktualizací zabezpečení systému Windows.

  2. Použijte příslušnou aktualizaci firmwaru (mikrokódu) poskytovanou výrobcem zařízení.

  3. Vyhodnoťte riziko pro vaše prostředí na základě informací poskytnutých v informačních zpravodajích zabezpečení společnosti Microsoft: ADV180002, ADV180012, ADV190013 a informace uvedené v tomto článku znalostní báze Knowledge Base.

  4. Podle potřeby proveďte požadované akce pomocí informačních zpravodajů a klíčů registru, které jsou uvedeny v tomto článku znalostní báze Knowledge Base.

Poznámka: Zákazníkům na povrchu obdrží aktualizace mikrokódu prostřednictvím aktualizace systému Windows. Seznam posledních dostupných aktualizací firmwaru povrchového zařízení (mikrokódu) naleznete v KB 4073065.

Nastavení potlačení pro klienty systému Windows

Informační zpravodaje zabezpečení ADV180002, ADV180012a ADV190013 poskytují informace o riziku, které představuje tato slabá místa, a pomáhají při určování výchozího stavu Zmírkroků zabezpečení pro klientské systémy Windows. V následující tabulce je uveden souhrn požadavků na mikrokód procesoru a výchozí stav zmírpožadavků na klienty systému Windows.

Cve

Vyžaduje mikrokód procesoru/firmware?

Výchozí stav potlačení

CVE-2017-5753

Ne

Povoleno ve výchozím nastavení (bez možnosti zakázat)

Další informace získáte v ADV180002 .

CVE-2017-5715

Ano

Ve výchozím nastavení povoleno. Uživatelé systémů založených na procesorech AMD by měli zobrazit časté otázky #15 a uživatelé počítačů ARM by měli zobrazit nejčastější dotazy #20 na ADV180002 pro další akce a tento článek znalostní báze Knowledge Base pro příslušné nastavení klíče registru.

Poznámka: Hodnota retpoline je ve výchozím nastavení povolena pro zařízení se systémem Windows 10 1809 nebo novější, pokud je povolena možnost Spectre variant 2 (CVE-2017-5715). Pro více informací, kolem "retpoline", postupujte podle pokynů vezklidňující Spectre variant 2 s retpoline na příspěvku do Windows blogu.

CVE-2017-5754

Ne

Ve výchozím nastavení povoleno

Další informace získáte v ADV180002 .

CVE-2018-3639

Intel: Ano AMD: ne PAŽE: Ano

Procesory Intel a AMD: jsou ve výchozím nastavení zakázány. Další informace a tento článek znalostní báze Knowledge Base naleznete na ADV180012 pro příslušné nastavení klíčů registru.

ARM: ve výchozím nastavení povoleno bez možnosti zakázání.

CVE-2018-11091

Intel: Ano

Ve výchozím nastavení povoleno.

Další informace a tento článek znalostní báze Knowledge Base naleznete na ADV190013 pro příslušné nastavení klíčů registru.

CVE-2018-12126

Intel: Ano

Ve výchozím nastavení povoleno.

Další informace a tento článek znalostní báze Knowledge Base naleznete na ADV190013 pro příslušné nastavení klíčů registru.

CVE-2018-12127

Intel: Ano

Ve výchozím nastavení povoleno.

Další informace a tento článek znalostní báze Knowledge Base naleznete na ADV190013 pro příslušné nastavení klíčů registru.

CVE-2018-12130

Intel: Ano

Ve výchozím nastavení povoleno.

Další informace a tento článek znalostní báze Knowledge Base naleznete na ADV190013 pro příslušné nastavení klíčů registru.

CVE-2019-11135

Intel: Ano

Ve výchozím nastavení povoleno.

Viz CVE-2019-11135 další informace a tento článek znalostní báze pro příslušné nastavení klíčů registru.

Poznámka: Povolení zmírněním, které je vypnuto, může ovlivnit výkon. Skutečný efekt výkonu závisí na několika faktorech, jako je například specifická Čipová sada v zařízení a spuštěné pracovní zatížení.

Nastavení registru

V registru jsou uvedeny následující informace, které umožňují povolit zmírní skutečnosti, které nejsou ve výchozím nastavení povoleny, jak je uvedeno v informačních zpravodajích zabezpečení ADV180002 a ADV180012. Kromě toho zajišťujeme nastavení klíčů registru pro uživatele, kteří chtějí zakázat snižující závažnost rizika, která souvisejí s CVE-2017-5715 a CVE-2017-5754 pro klienty systému Windows.

Důležité Tato část, metoda nebo úloha obsahuje kroky, které vám řeknou, jak upravit registr. Při nesprávném úpravách registru však může dojít k vážným problémům. Proto se ujistěte, že jste pečlivě dodržli tyto kroky. Z důvodu přidané ochrany před úpravami registr zálohujte. Poté můžete registr obnovit v případě, že dojde k potížím. Další informace o zálohování a obnovení registru naleznete v následujícím článku znalostní báze Microsoft Knowledge Base:

322756 jak zálohovat a obnovit registr v systému Windows

Správa snižující závažnost rizika pro CVE-2017-5715 (Spectre variant 2) a CVE-2017-5754 (zhroucení)

Důležitá Poznámka Funkce retpoline je ve výchozím nastavení zapnuta v systému Windows 10, verze 1809, pokud je povolena funkce Spectre, variant 2 (CVE-2017-5715). Povolením možnosti Retpoline v nejnovější verzi systému Windows 10 můžete zvýšit výkon u zařízení se systémem Windows 10, verze 1809 pro Spectre variant 2, zejména u starších procesorů.

Chcete-li povolit výchozí zmírávky pro CVE-2017-5715 (Spectre variant 2) a CVE-2017-5754 (zhroucení)

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\správa paměti"/v FeatureSettingsOverride/t REG_DWORD/d 0/f

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Změny se projeví až po restartování počítače.

Zakázání zmírnit pro CVE-2017-5715 (Spectre variant 2) a CVE-2017-5754 (zhroucení)

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Změny se projeví až po restartování počítače.

Poznámka: Hodnota 3 je přesná pro vlastnost Featuresettingsoverridemask pro nastavení "Enable" i "Disable". (Další informace o klíčích registru naleznete v části Nejčastější dotazy.)

Správa omezení pro CVE-2017-5715 (Spectre variant 2)

Zakázání zmírnit pro CVE-2017-5715 (Spectre variant 2) :

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverride/t REG_DWORD/d 1/f

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Změny se projeví až po restartování počítače.

Chcete-li povolit výchozí zmírávky pro CVE-2017-5715 (Spectre variant 2) a CVE-2017-5754 (zhroucení):

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\správa paměti"/v FeatureSettingsOverride/t REG_DWORD/d 0/f

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Změny se projeví až po restartování počítače.

Pouze procesory AMD a ARM: povolit úplné omezení pro CVE-2017-5715 (Spectre variant 2)

Ve výchozím nastavení je ochrana proti jádře CVE-2017-5715 pro procesory AMD a ARM zakázána. Zákazníci musí v případě chyby CVE-2017-5715 umožnit, aby toto snížení mohlo získat další ochranu. Další informace naleznete v tématu FAQ #15 v ADV180002 pro procesory AMD a FAQ #20 v ADV180002 pro procesory ARM.

Povolit ochranu proti jádře u procesorů AMD a ARM spolu s dalšími ochrannými ochranou pro CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Změny se projeví až po restartování počítače.

Správa snižující závažnost rizika pro CVE-2018-3639 (vynechání úložiště spekulativních obchodů), CVE-2017-5715 (Spectre variant 2) a CVE-2017-5754 (zhroucení)

Chcete-li povolit snižující závažnost rizika pro CVE-2018-3639 (potlačení spekulativních obchodů), výchozí zmírní nastavení chyby CVE-2017-5715 (Spectre variant 2) a CVE-2017-5754 (zhroucení):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Změny se projeví až po restartování počítače.

Poznámka: Procesory AMD nejsou ohroženy chybou CVE-2017-5754 (zhroucení). Tento klíč registru se používá v systémech s procesory AMD k povolení výchozích zmírňujících opatření pro CVE-2017-5715 u procesorů AMD a pro řešení CVE-2018-3639.

Zakázání zmírnit na chyby CVE-2018-3639 (potlačení spekulativních obchodů) * a * snižující závažnost rizika pro CVE-2017-5715 (Spectre variant 2) a CVE-2017-5754 (zhroucení)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Změny se projeví až po restartování počítače.

Pouze procesory AMD: povolit úplné omezení pro CVE-2017-5715 (Spectre variant 2) a CVE 2018-3639 (obcházení spekulativních obchodů)

Ve výchozím nastavení je ochrana proti jádře CVE-2017-5715 pro procesory AMD zakázána. Zákazníci musí v případě chyby CVE-2017-5715 umožnit, aby toto snížení mohlo získat další ochranu.  Další informace naleznete v tématu FAQ #15 v ADV180002.

Povolit ochranu mezi uživateli a jádrem u procesorů AMD spolu s dalšími ochrannými ochranou pro cve 2017-5715 a ochranu pro CVE-2018-3639 (bypass pro spekulativní úložiště):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Změny se projeví až po restartování počítače.

Správa rozšíření transakční synchronizace Intel® (Intel® TSX) Chyba zabezpečení asynchronní přerušení transakce (CVE-2019-11135) a vzorkování dat mikroarchitektury (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) spolu s Spectre (CVE-2017-5753 & CVE-2017-5715) a zhroucení (CVE-2017-5754), včetně chyb v úložišti spekulativních obchodů (SSBD) (CVE-2018-3639) a (L1TF) (chyby terminálu L1) (CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646)

Chcete-li povolit zmírování chyb pro rozšíření transakce Intel® Transaction synchronizaci (Intel® TSX), což je chyba asynchronního přerušení transakcí (CVE-2019-11135) a vzorkování dat mikroarchitektury ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) společně se Spektre (CVE-2017-5753 & CVE-2017-5715) a zhroucení (CVE-2017-5754), včetně neobcházející úložiště spekulativních obchodů Disable (ssbd) ( CVE-2018-3639), stejně jako konečná chyba L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646) bez zakázání technologie Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverride/t REG_DWORD/d 72/f

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Pokud je nainstalována funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Nt\currentversion\virtualizace"/v Minvmversionforcpubasedzmírations/t REG_SZ/d "1,0"/f

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Ukončete všechny virtuální počítače. To umožňuje, aby bylo pro hostitele použito omezení související s firmwarem před spuštěním VMs. Proto se VMs po restartu také aktualizuje.

Změny se projeví až po restartování počítače.

Chcete-li povolit zmírování chyb pro rozšíření transakce Intel® Transaction synchronizaci (Intel® TSX), což je chyba asynchronního přerušení transakcí (CVE-2019-11135) a vzorkování dat mikroarchitektury ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) společně se Spektre (CVE-2017-5753 & CVE-2017-5715) a zhroucení (CVE-2017-5754), včetně neobcházející úložiště spekulativních obchodů Disable (ssbd) ( CVE-2018-3639), stejně jako konečná chyba L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646) s vypzakázaného Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverride/t REG_DWORD/d 8264/f

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Pokud je nainstalována funkce Hyper-V, přidejte následující nastavení registru:

reg add "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Nt\currentversion\virtualizace"/v Minvmversionforcpubasedzmírations/t REG_SZ/d "1,0"/f

 

Pokud se jedná o hostitele Hyper-V a byly použity aktualizace firmwaru: Ukončete všechny virtuální počítače. To umožňuje, aby bylo pro hostitele použito omezení související s firmwarem před spuštěním VMs. Proto se VMs po restartu také aktualizuje.

Změny se projeví až po restartování počítače.

Chcete-li zakázat zmírnit zabezpečení pro rozšíření transakce Intel® Transaction synchronizace (Intel® TSX), chyba asynchronního přerušení transakcí (CVE-2019-11135) a vzorkování dat mikroarchitektury ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) společně se Spektre (CVE-2017-5753 & CVE-2017-5715) a zhroucení (CVE-2017-5754), včetně neobcházející úložiště spekulativních obchodů Disable (ssbd) ( CVE-2018-3639), stejně jako konečná chyba L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg add "HKEY_LOCAL_MACHINE \ System\currentcontrolset\control\session Manager\paměť Správa"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Změny se projeví až po restartování počítače.

Ověřování povolení ochrany

Abychom zákazníkům pomohli ověřit, že ochrana je povolena, publikovali jsme skript PowerShell, který mohou zákazníci ve svých systémech spouštět. Nainstalujte a spusťte skript spuštěním následujících příkazů.

Ověřování prostředí PowerShell pomocí Galerie PowerShell (Windows Server 2016 nebo WMF 5.0/5.1)

Instalace modulu PowerShell:

PS > ovládací prvek Spekulationcontrol

Spuštěním modulu PowerShell ověřte, zda jsou povoleny ochrany:

PS > # uloží aktuální zásadu provádění, aby ji bylo možné obnovit.

PS > $SaveExecutionPolicy = zásada Get

PS > zásady spouštění RemoteSigned-rozsah Aktuál_uživatele

Kontrola Spekulationcontrol modulů PS >

P > Get-Spekulationcontrolsettings

PS > # obnoví zásadu spuštění do původního stavu.

PS > zásady nastavení $SaveExecutionPolicy – Aktuálně_uživatel

 

Ověřování prostředí PowerShell pomocí stažení z webu TechNet (starší verze operačního systému a starší verze WMF)

Instalace modulu PowerShell z webu TechNet ScriptCenter:

Přejděte na https://aka.MS/SpeculationControlPS

Stáhněte soubor Spekulationcontrol. zip do místní složky.

Extrahování obsahu do místní složky, například C:\ADV180002

Spuštěním modulu PowerShell ověřte, zda jsou povoleny ochrany:

Spusťte nástroj PowerShell, potom (pomocí předchozího příkladu) zkopírujte a spusťte následující příkazy:

PS > # uloží aktuální zásadu provádění, aby ji bylo možné obnovit.

PS > $SaveExecutionPolicy = zásada Get

PS > zásady spouštění RemoteSigned-rozsah Aktuál_uživatele

PS > CD C:\adv180002\spekulationcontrol

PS > Import-Module .\Spekulationcontrol.psd1

P > Get-Spekulationcontrolsettings

PS > # obnoví zásadu spuštění do původního stavu.

PS > zásady nastavení $SaveExecutionPolicy – Aktuálně_uživatel

Podrobné vysvětlení výstupu skriptu PowerShell naleznete v článku 4074629 znalostní báze.

Časté dotazy

Mikrokód je dodáván prostřednictvím aktualizace firmwaru. Zákazníci by měli u svých procesorů (čipů) a výrobců zařízení zkontrolovat dostupnost příslušných aktualizací zabezpečení firmwaru pro jejich konkrétní zařízení, včetně programu Intel pro revizi mikrokódu.

Řešení chyby zabezpečení hardwaru prostřednictvím aktualizace softwaru představuje závažné problémy. Také zmírění pro starší operační systémy vyžaduje rozsáhlé architektonické změny. Pracujeme s ovlivněných výrobci čipu a určujeme tak nejlepší způsob, jak zajistit snižující se závažnost rizika, které může být dodáno v příštích aktualizacích.

Aktualizace zařízení pro povrchový provoz společnosti Microsoft budou zákazníkům doručovány prostřednictvím systému Windows Update společně s aktualizacemi pro operační systém Windows. Seznam dostupných aktualizací firmwaru povrchového zařízení (mikrokód) viz KB 4073065.

Pokud zařízení není od společnosti Microsoft, použijte firmware od výrobce zařízení. Další informace získáte od výrobce zařízení OEM.

V únoru a březnu 2018 společnost Microsoft vydala přidanou ochranu pro některé systémy založené na procesoru x86. Další informace naleznete v článku znalostní báze KB 4073757 a Microsoft Security Advisory ADV180002.

Aktualizace systému Windows 10 pro Holočočku jsou k dispozici zákazníkům Holočočky prostřednictvím systému Windows Update.

Po použití aktualizace zabezpečení systému Windows z února 2018nemusí zákazníci holočočky provádět žádné další akce k aktualizaci firmwaru zařízení. Tyto zmírní opravy budou také zahrnuty do všech budoucích verzí systému Windows 10 pro Holočočku.

Ne. Aktualizace pouze pro zabezpečení nejsou kumulativní. V závislosti na spuštěné verzi operačního systému bude nutné nainstalovat všechny aktualizace zabezpečení, které budou chráněny před těmito chybami. Pokud například používáte systém Windows 7 pro 32-bitové systémy v ohroženém procesoru Intel, musíte nainstalovat všechny aktualizace pouze pro zabezpečení. Doporučujeme nainstalovat tyto aktualizace pouze v pořadí podle vydání.

Poznámka: dřívější verze těchto nejčastějších dotazů nesprávně uvedla, že aktualizace zabezpečení, která byla vydána pouze v lednu, zahrnovala aktualizaci zabezpečení. Ve skutečnosti to tak není.

Ne. Aktualizace zabezpečení 4078130 byla specifická oprava, která zabránila nepředvídatelným chováním systému, problémům s výkonem nebo neočekávaným restartováním po instalaci mikrokódu. Použití únorových aktualizací zabezpečení v klientských operačních systémech Windows umožňuje všechny tři skutečnosti snižující závažnost rizika.

Společnost Intelnedávno oznámila , že dokončila ověřování a zahájila vydání mikrokódu pro novější platformy procesoru. Společnost Microsoft zpřístupňování aktualizací mikrokódu ověřených společností Intel v okolí Spectre variant 2 (CVE-2017-5715 "injekce cílové větve"). KB 4093836 uvádí konkrétní články znalostní báze podle verze systému Windows. Každý konkrétní KB obsahuje dostupné aktualizace mikrokódu Intel od procesoru.

Tato otázka byla vyřešena v KB 4093118.

Řadič AMD nedávno oznámil , že začali uvolňovat mikrokód pro novější platformy CPU v okolí Spectre variant 2 (CVE-2017-5715 "injekce cílové větve"). Další informace naleznete v informacích o aktualizacích zabezpečení AMD a AMD whitepaper: pokyny pro architekturu kolem nepřímého řízení pobočky. Tyto jsou k dispozici na kanálu firmwaru OEM.

Zpřístupňování aktualizací mikrokódů ověřených společností Intel v okolí Spectre variant 2 (CVE-2017-5715 "injekce cíle pobočky "). Chcete-li získat nejnovější aktualizace mikrokódu společnosti Intel prostřednictvím systému Windows Update, musí mít zákazníci nainstalovaný mikrokód Intel na zařízeních s operačním systémem Windows 10 před upgradem na aktualizaci Windows 10 duben 2018 (verze 1803).

Aktualizace mikrokódu je také k dispozici přímo z katalogu, pokud nebyla na zařízení nainstalována před upgradem operačního systému. Mikrokód Intel je k dispozici prostřednictvím systému Windows Update, služby WSUS nebo katalogu systému Microsoft Update. Další informace a pokyny ke stažení naleznete v článku KB 4100347.

Podrobné informace naleznete v oddílech "Doporučené akce" a "Nejčastější dotazy" v ADV180012 | Návod společnosti Microsoft pro přemostění spekulativních obchodů.

Chcete-li ověřit stav protokolu SSBD, byl skript Get-Spekulationcontrolsettings PowerShell aktualizován tak, aby zjišťoval ovlivněné procesory, stav aktualizací operačního systému SSBD a případně i stav mikrokódu procesoru. Další informace a získání skriptu PowerShell naleznete v KB 4074629.

13. června 2018 byla ohlášena další chyba zabezpečení zahrnující spekulativní exekuce, známou jako "líný stav FP State Restore", a byl jim přidělen CVE-2018-3665. Pro funkci opožděného obnovení FP není nutné nastavení konfigurace (registr).

Další informace o této chybě zabezpečení a o doporučených akcích naleznete v informačním zpravodaji ADV180016 | Návod společnosti Microsoft pro obnovení stavu opožděné FP.

Poznámka: Pro funkci opožděného obnovení FP není nutné nastavení konfigurace (registr).

Obchod s vynecháním hranic (BCBS) byl zveřejněn 10. července 2018 a přidělen CVE-2018-3693. Podle názoru BCBS patří ke stejné třídě slabých míst jako omezení hranice (variant 1). V současné době si nejsme vědomi žádného z případů BCBS v našem softwaru, ale pokračujeme ve zkoumání této třídy zranitelnosti a budeme spolupracovat s partnery v oboru, aby bylo uvolňování zmírňovat podle potřeby. Nadále podporujeme výzkumné pracovníky, aby předložili jakékoli relevantní nálezy programu společnosti Microsoft pro spekulativní realizaci na straně programů, včetně všech zneužitelných instancí systému BCBS. Vývojáři softwaru by měli prostudovat pokyny pro vývojáře, které byly aktualizovány pro program BCBS na adrese https://aka.MS/sescdevguide.

14. srpna 2018 bylo oznámeno, že k terminálu L1 (L1TF) bylo přiřazeno více CVEs. Tyto nové spekulativní exekuce na vedlejší kanály mohou být použity ke čtení obsahu paměti v rámci důvěryhodné hranice a pokud jsou zneužity, mohou vést ke zpřístupnění informací. Útočník by mohl v závislosti na nakonfigurovaném prostředí vyvolat chyby zabezpečení prostřednictvím více vektorů. L1TF má vliv na procesory Intel® Core® a procesory Intel® Xeon®.

Další informace o této chybě zabezpečení a podrobné zobrazení postižených scénářů, včetně přístupu společnosti Microsoft ke zmírnění L1TF, naleznete v následujících zdrojích:

Zákazníci, kteří používají 64 s procesory ARM, by měli zkontrolovat podporu firmwaru u zařízení OEM, protože ochrana operačního systému ARM64, která zmírňují cílovou injekci typu CVE-2017-5715 -větev (Spectre, variant 2), vyžaduje nejnovější aktualizaci firmwaru od výrobců OEM zařízení, které se projeví.

Pro Azure pokyny se prosím podívejte na tento článek: pokyny pro zmírnění spekulativních chyb v bočních kanálech v Azure.

Další informace o aktivětu Retpoline naleznete v našem příspěvku na blog: zklidňující spektrum variant 2 s Retpoline v systému Windows.

Další informace o této chybě zabezpečení naleznete v příručce Microsoft Security Guide: CVE-2019-1125 | Chyba zabezpečení umožňující zpřístupnění informací jádra systému Windows.

Nejsme si vědomi žádné instance této chyby zabezpečení, která by ovlivnila naši infrastrukturu cloudové služby.

Jakmile jsme si o tomto problému uvědomili, pracovali jsme rychle na jejich řešení a vydání aktualizace. Důrazně věříme v těsné partnerství s výzkumnými pracovníky i partnery v odvětví, aby se zákazníci lépe zabezpečovali a nezveřejnily detaily až do úterý 6.

 

Potřebujete další pomoc?

Rozšiřte své znalosti a dovednosti
Projít školení
Získejte nové funkce jako první
Připojit se k programu Microsoft Insider

Byly tyto informace užitečné?

Děkujeme za váš názor!

Děkujeme vám za váš názor! Pravděpodobně bude užitečné, když vás spojíme s některým z našich agentů podpory Office.

×