KB4073065: Surface-vejledning for at beskytte mod silicon-baserede mikroarkitektur- og speculative execution side-channel-sikkerhedsrisici

Introduktion

Siden januar 2018 har Surface-teamet udgivet firmwareopdateringer til en klasse af processorbaserede problemer, der involverer mikroarkitektur- og speculative execution side-channel-sikkerhedsrisici. Surface-teamet arbejder fortsat tæt sammen med Windows-teamet og branchepartnere for at beskytte kunder. For at få al tilgængelig beskyttelse kræves der både firmware- og Windows-systemopdateringer.

Sammendrag

Sårbarheder annonceret i juni 2022

Surface-teamet er opmærksom på nye processorbaserede mikroarkitektur- og speculative execution side-channel-angrebsvarianter, der også påvirker Surface-produkter. Du kan få mere at vide om sårbarheder og afhjælpninger i følgende sikkerhedsmeddelelse:

• Microsoft Security Advisory ADV220002

Vi arbejder sammen med vores partnere om at levere opdateringer til Surface-produkter, så snart vi kan sikre os, at opdateringerne opfylder vores kvalitetskrav. 

Du kan få flere oplysninger om opdateringer til Surface-enheder under Opdateringsoversigt for Surface.

Sårbarheder annonceret i maj 2019

Surface-teamet er opmærksom på nye varianter af speculative execution side-channel-angreb, der også påvirker Surface-produkter. Afhjælpning af disse sårbarheder kræver en opdatering af operativsystemet og en Surface UEFI-opdatering, der indeholder ny mikrokode. Du kan få mere at vide om sårbarheder og afhjælpninger i følgende sikkerhedsmeddelelse:

• Microsoft Security Advisory ADV190013

  Denne vejledning indeholder følgende sårbarheder:

  • CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS) 
  • CVE-2018-12130 | Stikprøvetagning af mikroarkitekteringsbufferdata (MFBDS)
  • CVE-2018-12127 | Microarchitectural Load Port Data Sampling (MLPDS)
  • CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

Ud over at installere sikkerhedsopdateringer til Windows-operativsystemet har Surface udgivet UEFI-opdateringer via Windows Update og Download Center til følgende enheder:

• Surface 3 - 11. juli 2019-opdatering
• Surface Pro 3. - 11. juli 2019-opdatering
• Surface Pro 4 – 27. juni 2019-opdatering
• Surface Book – 27. juni 2019-opdatering
• Surface Studio – 11. juli 2019-opdatering
• Surface Pro (5^. generation) – opdatering for 27. juni 2019
• Surface Laptop – opdatering for 27. juni 2019
• Surface Book 2. - 27. juni 2019-opdatering
• Surface Pro 6. - 27. juni 2019-opdatering
• Surface Laptop 2 – 27. juni 2019-opdatering
• Surface Studio 2- 31. juli 2019-opdatering
• Wi-Fi til Surface GO – 23. juli 2019-opdatering
• Surface GO LTE – 23. juli 2019-opdatering

Ud over den nye mikrokode vil en ny UEFI-indstilling, der kaldes "Samtidig multitrådning (SMT)", være tilgængelig, når UEFI-opdateringen installeres. Denne indstilling giver en bruger mulighed for at deaktivere Hyper-Threading.

Bemærkninger

• Hvis du beslutter dig for at deaktivere Hyper-Threading, anbefaler vi, at du bruger den nye SMT UEFI-indstilling.

• Deaktivering af SMT giver yderligere beskyttelse mod disse nye sårbarheder og L1 Terminal Fault-angrebet , der blev annonceret tidligere. Denne metode påvirker dog også enhedens ydeevne.

• Surface 3 og Surface Studio med Intel Core i5 har ikke SMT. Derfor har disse enheder ikke denne nye indstilling.

• Microsoft Surface Enterprise Management Mode (SEMM) UEFI-konfiguratorværktøjet version 2.43.139 eller nyere understøtter den nye SMT-indstilling. Værktøjerne kan downloades fra denne webside. Download følgende nødvendige værktøjer:

  • SurfaceUEFI_Configurator_v2.43.139.0.msi
  • SurfaceUEFI_Manager_v2.43.139.0.msi

Sårbarhed annonceret i august 2018

Surface-teamet er opmærksom på et nyt speculative execution side-channel-angreb kaldet L1 Terminal Fault (L1TF) og tildelt CVE-2018-3620 (OS og SMM) og CVE-2018-3646 (VMM). Berørte Surface-produkter er de samme som i afsnittet "Sårbarheder meddelt i maj 2018" i denne artikel. De mikrokodeopdateringer, der afhjælper resultaterne fra maj 2018, afhjælper også L1TF (CVE-2018-3646). Du kan få flere oplysninger om sikkerhedsrisikoen og afhjælpninger i følgende sikkerhedsmeddelelse:

• Microsoft Security Advisory-ADV180018

  Denne vejledning indeholder følgende sårbarheder:

  • CVE-2018-3620
  • CVE-2018-3646

Sikkerhedsmeddelelsen foreslår, at kunder, der bruger VBS (Virtualization Based Security), som omfatter sikkerhedsfunktioner som Credential Guard og Device Guard, bør overveje at deaktivere Hyper-Threading for fuldt ud at eliminere risikoen fra L1TF.

Sårbarheder annonceret i maj 2018

Surface-teamet er blevet opmærksom på nye speculative execution side-channel-angrebsvarianter, der også påvirker Surface-produkter. Afhjælpning af disse sårbarheder kræver UEFI-opdateringer, der bruger ny mikrokode. Du kan få mere at vide om sårbarheder og afhjælpninger i følgende sikkerhedsvejledninger:

• Microsoft Security Advisory ADV180012

  Denne vejledning omfatter følgende sårbarhed:

  • CVE-2018-3639

• Microsoft Security Advisory-ADV180013

  Denne vejledning omfatter følgende sårbarhed:

  • CVE-2018-3640

Ud over at installere sikkerhedsopdateringer til Windows-operativsystemet har Surface udgivet UEFI-opdateringer via Windows Update og Download Center til følgende enheder:

• Surface Book 2. - 1. august 2018-opdatering
• Surface Book – 21. august 2018-opdatering
• Surface Laptop – opdatering for 25. juli 2018
• Surface Studio – 1. oktober 2018-opdatering
• Surface Pro 4 – opdatering for 25. juli 2018
• Surface Pro 3. - 7. august 2018-opdatering
• Surface Pro Model 1796 og Surface Pro med opdateringen Advanced LTE Model 1807 – 26. juli 2018

Sårbarheder annonceret i januar 2018

Surface-teamet er opmærksom på den offentligt offentliggjorte klasse af sårbarheder, der involverer speculative execution side-channel (kendt som Spectre and Meltdown), der påvirker mange moderne processorer og operativsystemer, herunder Intel, AMD og ARM. Du kan få mere at vide om sårbarheder og afhjælpninger i følgende sikkerhedsmeddelelse:

• Microsoft Security Advisory ADV180002

  Denne vejledning indeholder følgende sårbarheder:

  • CVE-2017-5753
  • CVE-2017-5715
  • CVE-2017-5754

Du kan få flere oplysninger om Windows-softwareopdateringer i følgende artikler videnbase:

• KB4073757 
• KB4073119 (klientvejledning)

Ud over at installere windows-Opdateringer sikkerhed for 3. januar har Surface udgivet UEFI-opdateringer via Windows Update og Download Center til følgende enheder:

• Surface Book 2 – (Opdateringsoversigt)
• Surface Book - (Opdateringsoversigt)
• Surface Laptop – (opdateringsoversigt)
• Surface Studio – (opdateringsoversigt)
• Surface Pro 4 - (Opdateringsoversigt)
• Surface Pro 3 – (Opdateringsoversigt)
• Surface 3 – (opdateringsoversigt)
• Surface Pro Model 1796 og Surface Pro med Advanced LTE Model 1807- (opdateringsoversigt)

Disse opdateringer er tilgængelige for enheder, der kører Windows 10 Creators Update (build 15063) og nyere versioner.

Flere oplysninger

Surface Hub-operativsystemet, Windows 10 Team, har implementeret forsvarsstrategier i dybden. Derfor mener vi, at udnyttelser, der bruger disse sårbarheder, reduceres betydeligt på Surface Hub, når du kører Windows 10 Team operativsystem.  Du kan få mere at vide i følgende emne på webstedet for Windows IT Pro Center: Forskelle mellem Surface Hub og Windows 10 Enterprise.  

Surface-teamet fokuserer på at sikre, at vores brugere har en sikker og pålidelig oplevelse. Vi fortsætter med at overvåge og opdatere enheder efter behov for at løse disse sårbarheder og holde enhederne pålidelige og sikre.

Referencer

Ansvarsfraskrivelse for tredjepartsoplysninger

Vi leverer tredjepartskontaktoplysninger for at hjælpe dig med at finde teknisk support. Disse kontaktoplysninger kan ændres uden varsel. Microsoft kan ikke garantere nøjagtigheden af tredjeparts-kontaktoplysninger.