Οδηγίες του Windows Server για την προστασία από θέματα ευπάθειας πλευρά κανάλι κερδοσκοπίας εκτέλεσης

Εργαστείτε οπουδήποτε από οποιαδήποτε συσκευή με το Microsoft 365

Αναβαθμίστε σε Microsoft 365 για να εργαστείτε οπουδήποτε με τις πιο πρόσφατες δυνατότητες και ενημερώσεις.

Αναβάθμιση τώρα

Προτεινόμενες ενέργειες

Οι πελάτες θα πρέπει να αναλάβουν τις ακόλουθες ενέργειες για να βοηθήσουν στην προστασία από τα θέματα ευπάθειας:

  1. Εφαρμόστε όλες τις διαθέσιμες ενημερώσεις του λειτουργικού συστήματος των Windows, συμπεριλαμβανομένων των μηνιαίων ενημερώσεων ασφαλείας των Windows.

  2. Εφαρμόστε την ισχύουσα ενημερωμένη έκδοση υλικολογισμικού (μικροκώδικα) που παρέχεται από τον κατασκευαστή της συσκευής.

  3. Αξιολογήστε τον κίνδυνο για το περιβάλλον σας με βάση τις πληροφορίες που παρέχονται στις προειδοποιήσεις ασφαλείας της Microsoft: ADV180002, ADV180012, ADV190013και πληροφορίες που παρέχονται σε αυτό το άρθρο της Γνωσιακής βάσης.

  4. Ανάληψη δράσης όπως απαιτείται, χρησιμοποιώντας τις προειδοποιήσεις και τις πληροφορίες κλειδιού μητρώου που παρέχονται σε αυτό το άρθρο της Γνωσιακής βάσης.

Σημείωση Οι πελάτες επιφάνειας θα λάβουν μια ενημερωμένη έκδοση μικροκώδικα μέσω του Windows Update. Για μια λίστα των τελευταίων ενημερώσεων υλικολογισμικού συσκευή επιφάνειας (μικροκώδικα), ανατρέξτε στο σημείο KB 4073065.

Ρυθμίσεις μετριασμού για τον Windows Server

Οι προειδοποιήσεις ασφαλείας ADV180002, ADV180012και ADV190013 παρέχουν πληροφορίες σχετικά με τον κίνδυνο που ενέχουν αυτά τα θέματα ευπάθειας.  Επίσης, σας βοηθούν να αναγνωρίσετε αυτά τα θέματα ευπάθειας και να προσδιορίσετε την προεπιλεγμένη κατάσταση των μετριασμούς για τα συστήματα Windows Server. Ο παρακάτω πίνακας συνοψίζει την απαίτηση του μικροκώδικα CPU και την προεπιλεγμένη κατάσταση των μετριασμούς στον Windows Server.

Cve

Απαιτεί μικροκώδικα CPU/firmware;

Κατάσταση προεπιλογής μετριασμού

CVE-2017-5753

Όχι

Ενεργοποιημένη από προεπιλογή (δεν υπάρχει επιλογή απενεργοποίησης)

Παρακαλούμε ανατρέξτε στο ADV180002 για πρόσθετες πληροφορίες

CVE-2017-5715

Ναι

Απενεργοποιημένη από προεπιλογή.

Ανατρέξτε στο ADV180002 για πρόσθετες πληροφορίες και αυτό το άρθρο KB για τις ισχύουσες ρυθμίσεις κλειδιού μητρώου.

Σημείωση "Retpoline" είναι ενεργοποιημένη από προεπιλογή για συσκευές που εκτελούν Windows 10 1809 ή νεότερη έκδοση, εάν είναι ενεργοποιημένη η μεταβλητή παραλλαγή 2 ( CVE-2017-5715 ). Για περισσότερες πληροφορίες, γύρω από το "retpoline", ακολουθήστε το μετριασμός παραλλαγή 2 με Retpoline στα Windows ιστολογίου post.

CVE-2017-5754

Όχι

2019 διακομιστή των Windows: ενεργοποιημένη από προεπιλογή. Windows Server 2016 και παλαιότερες εκδόσεις: απενεργοποιημένη από προεπιλογή.

Ανατρέξτε στο ADV180002 για περισσότερες πληροφορίες.

CVE-2018-3639

Intel: Ναι

AMD: Όχι

Απενεργοποιημένη από προεπιλογή. Ανατρέξτε στο ADV180012 για περισσότερες πληροφορίες και αυτό το άρθρο KB για τις ισχύουσες ρυθμίσεις κλειδιών μητρώου.

CVE-2018-11091

Intel: Ναι

2019 διακομιστή των Windows: ενεργοποιημένη από προεπιλογή. Windows Server 2016 και παλαιότερες εκδόσεις: απενεργοποιημένη από προεπιλογή.

Ανατρέξτε στο ADV190013 για περισσότερες πληροφορίες και αυτό το άρθρο KB για τις ισχύουσες ρυθμίσεις κλειδιών μητρώου.

CVE-2018-12126

Intel: Ναι

2019 διακομιστή των Windows: ενεργοποιημένη από προεπιλογή. Windows Server 2016 και παλαιότερες εκδόσεις: απενεργοποιημένη από προεπιλογή.

Ανατρέξτε στο ADV190013 για περισσότερες πληροφορίες και αυτό το άρθρο KB για τις ισχύουσες ρυθμίσεις κλειδιών μητρώου.

CVE-2018-12127

Intel: Ναι

2019 διακομιστή των Windows: ενεργοποιημένη από προεπιλογή. Windows Server 2016 και παλαιότερες εκδόσεις: απενεργοποιημένη από προεπιλογή.

Ανατρέξτε στο ADV190013 για περισσότερες πληροφορίες και αυτό το άρθρο KB για τις ισχύουσες ρυθμίσεις κλειδιών μητρώου.

CVE-2018-12130

Intel: Ναι

2019 διακομιστή των Windows: ενεργοποιημένη από προεπιλογή. Windows Server 2016 και παλαιότερες εκδόσεις: απενεργοποιημένη από προεπιλογή.

Ανατρέξτε στο ADV190013 για περισσότερες πληροφορίες και αυτό το άρθρο KB για τις ισχύουσες ρυθμίσεις κλειδιών μητρώου.

CVE-2019-11135

Intel: Ναι

2019 διακομιστή των Windows: ενεργοποιημένη από προεπιλογή. Windows Server 2016 και παλαιότερες εκδόσεις: απενεργοποιημένη από προεπιλογή.

Δείτε CVE-2019-11135 για περισσότερες πληροφορίες και αυτό το άρθρο KB για τις ισχύουσες ρυθμίσεις κλειδιού μητρώου.

Οι πελάτες που θέλουν να αποκτήσουν όλες τις διαθέσιμες προστασίες έναντι αυτών των θεμάτων ευπάθειας πρέπει να κάνουν αλλαγές κλειδιών μητρώου για να ενεργοποιήσετε αυτές τις μετριασμούς που είναι απενεργοποιημένες από προεπιλογή.

Η ενεργοποίηση αυτών των μετριασμούς μπορεί να επηρεάσει την απόδοση. Η κλίμακα των αποτελεσμάτων επιδόσεων εξαρτάται από πολλαπλούς παράγοντες, όπως το συγκεκριμένο chipset στον φυσικό σας κεντρικό υπολογιστή και τους φόρτους εργασίας που εκτελούνται. Συνιστούμε στους πελάτες να αξιολογούν τα αποτελέσματα απόδοσης για το περιβάλλον τους και να κάνουν τις απαραίτητες προσαρμογές.

Ο διακομιστής σας βρίσκεται σε αυξημένο κίνδυνο, εάν βρίσκεται σε μία από τις ακόλουθες κατηγορίες:

  • Κεντρικοί υπολογιστές Hyper-V-απαιτεί προστασία για επιθέσεις VM-VM και VM σε κεντρικό υπολογιστή.

  • Κεντρικούς υπολογιστές υπηρεσιών απομακρυσμένης επιφάνειας εργασίας (RDSH) – απαιτεί προστασία από μία συνεδρία σε άλλη συνεδρία ή από επιθέσεις σε κεντρικό υπολογιστή.

  • Φυσικοί κεντρικοί υπολογιστές ή εικονικές μηχανές που εκτελούν μη αξιόπιστο κώδικα, όπως κοντέινερ ή μη αξιόπιστες επεκτάσεις για βάση δεδομένων, μη αξιόπιστο περιεχόμενο Web ή φόρτο εργασίας που εκτελούν κώδικα που προέρχεται από εξωτερικές πηγές. Αυτά απαιτούν προστασία από μη αξιόπιστη διαδικασία-σε-άλλη-διεργασία ή μη αξιόπιστη-διαδικασία-σε-πυρήνα επιθέσεις.

Χρησιμοποιήστε τις ακόλουθες ρυθμίσεις κλειδιού μητρώου για να ενεργοποιήσετε τις μετριασμούς στο διακομιστή και επανεκκινήστε το σύστημα για να ισχύσουν οι αλλαγές.

Σημείωση Η ενεργοποίηση μετριασμούς που είναι απενεργοποιημένη από προεπιλογή μπορεί να επηρεάσει την απόδοση. Το πραγματικό εφέ απόδοσης εξαρτάται από πολλαπλούς παράγοντες, όπως το συγκεκριμένο chipset στη συσκευή και τους φόρτους εργασίας που εκτελούνται.

Ρυθμίσεις μητρώου

Παρέχουμε τις ακόλουθες πληροφορίες μητρώου για να ενεργοποιήσετε μετριασμούς που δεν είναι ενεργοποιημένες από προεπιλογή, όπως τεκμηριώνεται σε συμβουλές ασφαλείας ADV180002, ADV180012και ADV190013.

Επιπλέον, παρέχουμε ρυθμίσεις κλειδιού μητρώου για τους χρήστες που θέλουν να απενεργοποιήσετε τις μετριασμούς που σχετίζονται με CVE-2017-5715 και CVE-2017-5754 για υπολογιστές-πελάτες των Windows.

Σημαντικό Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας λένε πώς να τροποποιήσετε το μητρώο. Ωστόσο, ενδέχεται να προκύψουν σοβαρά προβλήματα, εάν τροποποιήσετε εσφαλμένα το μητρώο. Επομένως, βεβαιωθείτε ότι ακολουθείτε προσεκτικά αυτά τα βήματα. Για πρόσθετη προστασία, δημιουργήσετε αντίγραφα ασφάλειας του μητρώου πριν να το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο, εάν παρουσιαστεί κάποιο πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο για να δημιουργήσετε αντίγραφα δεδομένων και να επαναφέρετε το μητρώο, κάντε κλικ στον αριθμό του άρθρου παρακάτω, για να προβάλετε το άρθρο της Γνωσιακής Βάσης της Microsoft:

322756 τρόπος για να δημιουργήσετε αντίγραφα, και να επαναφέρετε το μητρώο στα Windows

Διαχείριση μετριασμούς για CVE-2017-5715 (παραλλαγή της παραλλαγής 2) και CVE-2017-5754 (κατάρρευση)

Σημαντική σημείωση Retpoline είναι ενεργοποιημένη από προεπιλογή σε Windows 10, έκδοση 1809 διακομιστές, εάν το στοιχειό, παραλλαγή 2 ( CVE-2017-5715 ) είναι ενεργοποιημένη. Ενεργοποίηση Retpoline στην πιο πρόσφατη έκδοση των Windows 10 μπορεί να ενισχύσει την απόδοση σε διακομιστές που λειτουργούν με Windows 10, έκδοση 1809 για το στοιχειό παραλλαγή 2, ιδιαίτερα σε παλαιότερους επεξεργαστές.

Για να ενεργοποιήσετε μετριασμούς για CVE-2017-5715 (παραλλαγή της παραλλαγής 2) και CVE-2017-5754 (κατάρρευση)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Εάν είναι εγκατεστημένη η δυνατότητα Hyper-V, προσθέστε την ακόλουθη ρύθμιση μητρώου:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Εάν πρόκειται για κεντρικό υπολογιστή Hyper-V και έχουν εφαρμοστεί οι ενημερώσεις υλικολογισμικού: Τερματίστε πλήρως όλες τις εικονικές μηχανές. Αυτό επιτρέπει την εφαρμογή μετριασμού που σχετίζονται με το υλικολογισμικό στον κεντρικό υπολογιστή πριν από την εκκίνηση του ΣΠΣ. Επομένως, τα ΣΠΣ ενημερώνονται επίσης κατά την επανεκκίνηση.

Επανεκκινήστε τον υπολογιστή για να ισχύσουν οι αλλαγές.

Για να απενεργοποιήσετε μετριασμούς για CVE-2017-5715 (παραλλαγή της παραλλαγής 2) και CVE-2017-5754 (κατάρρευση)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Επανεκκινήστε τον υπολογιστή για να ισχύσουν οι αλλαγές.

Σημείωση Ο ορισμός των Δυνατότηταρυθμίσειςrererrieto 3 είναι ακριβής για τις ρυθμίσεις "Ενεργοποίηση" και "Απενεργοποίηση". (Ανατρέξτε στην ενότητα "Συνήθεις ερωτήσεις " για περισσότερες λεπτομέρειες σχετικά με τα κλειδιά μητρώου.)

Διαχείριση του μετριασμού για CVE-2017-5715 (παραλλαγή της παραλλαγής 2)

Για να απενεργοποιήσετε το χαρακτηριστικό 2: (CVE-2017-5715 "κλάδο προορισμού ένεσης") μετριασμού:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Επανεκκινήστε τον υπολογιστή για να ισχύσουν οι αλλαγές.

Για να ενεργοποιήσετε το χαρακτηριστικό 2: (CVE-2017-5715 "κλάδο προορισμού ένεσης") μετριασμού:  

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Επανεκκινήστε τον υπολογιστή για να ισχύσουν οι αλλαγές.

Επεξεργαστές AMD μόνο: Ενεργοποίηση του πλήρους μετριασμού για CVE-2017-5715 (παραλλαγή της παραλλαγής 2)

Από προεπιλογή, η προστασία από χρήστη σε πυρήνα για CVE-2017-5715 είναι απενεργοποιημένη για CPU AMD. Οι πελάτες πρέπει να ενεργοποιήσετε το μετριασμό για να λάβετε πρόσθετες προστασίες για CVE-2017-5715.  Για περισσότερες πληροφορίες, ανατρέξτε στο #15 FAQ στο ADV180002.

Ενεργοποίηση προστασίας από χρήστη σε πυρήνα σε ΕΠΕΞΕΡΓΑΣΤΈς AMD μαζί με άλλες προστασίες για CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Εάν είναι εγκατεστημένη η δυνατότητα Hyper-V, προσθέστε την ακόλουθη ρύθμιση μητρώου:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Εάν πρόκειται για κεντρικό υπολογιστή Hyper-V και έχουν εφαρμοστεί οι ενημερώσεις υλικολογισμικού: Τερματίστε πλήρως όλες τις εικονικές μηχανές. Αυτό επιτρέπει την εφαρμογή μετριασμού που σχετίζονται με το υλικολογισμικό στον κεντρικό υπολογιστή πριν από την εκκίνηση του ΣΠΣ. Επομένως, τα ΣΠΣ ενημερώνονται επίσης κατά την επανεκκίνηση.

Επανεκκινήστε τον υπολογιστή για να ισχύσουν οι αλλαγές.

Διαχείριση μετριασμούς για CVE-2018-3639 (κερδοσκοπίας παράκαμψη χώρου αποθήκευσης), CVE-2017-5715 (παραλλαγή δύο) και CVE-2017-5754 (κατάρρευση)

Για να ενεργοποιήσετε μετριασμούς για CVE-2018-3639 (κερδοσκοπίας παράκαμψη αποθήκευσης), CVE-2017-5715 (παραλλαγή δύο) και CVE-2017-5754 (κατάρρευση):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Εάν είναι εγκατεστημένη η δυνατότητα Hyper-V, προσθέστε την ακόλουθη ρύθμιση μητρώου:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Εάν πρόκειται για κεντρικό υπολογιστή Hyper-V και έχουν εφαρμοστεί οι ενημερώσεις υλικολογισμικού: Τερματίστε πλήρως όλες τις εικονικές μηχανές. Αυτό επιτρέπει την εφαρμογή μετριασμού που σχετίζονται με το υλικολογισμικό στον κεντρικό υπολογιστή πριν από την εκκίνηση του ΣΠΣ. Επομένως, τα ΣΠΣ ενημερώνονται επίσης κατά την επανεκκίνηση.

Επανεκκινήστε τον υπολογιστή για να ισχύσουν οι αλλαγές.

Για να απενεργοποιήσετε μετριασμούς για CVE-2018-3639 (κερδοσκοπίας παράκαμψη αποθήκευσης) και μετριασμούς για CVE-2017-5715 (παραλλαγή της παραλλαγής 2) και CVE-2017-5754 (κατάρρευση)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Επανεκκινήστε τον υπολογιστή για να ισχύσουν οι αλλαγές.

Επεξεργαστές AMD μόνο: Ενεργοποίηση του πλήρους μετριασμού για CVE-2017-5715 (μεταβλητή παραλλαγή 2) και CVE 2018-3639 (κερδοσκοπίας παράκαμψη αποθήκευσης)

Από προεπιλογή, η προστασία από χρήστη σε πυρήνα για CVE-2017-5715 είναι απενεργοποιημένη για επεξεργαστές AMD. Οι πελάτες πρέπει να ενεργοποιήσετε το μετριασμό για να λάβετε πρόσθετες προστασίες για CVE-2017-5715.  Για περισσότερες πληροφορίες, ανατρέξτε στο #15 FAQ στο ADV180002.

Ενεργοποίηση προστασίας από το χρήστη για τον πυρήνα σε ΕΠΕΞΕΡΓΑΣΤΈς AMD μαζί με άλλες προστασίες για cve 2017-5715 και προστασία για CVE-2018-3639 (κερδοσκοπίας παράκαμψη αποθήκευσης):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Εάν είναι εγκατεστημένη η δυνατότητα Hyper-V, προσθέστε την ακόλουθη ρύθμιση μητρώου:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Εάν πρόκειται για κεντρικό υπολογιστή Hyper-V και έχουν εφαρμοστεί οι ενημερώσεις υλικολογισμικού: Τερματίστε πλήρως όλες τις εικονικές μηχανές. Αυτό επιτρέπει την εφαρμογή μετριασμού που σχετίζονται με το υλικολογισμικό στον κεντρικό υπολογιστή πριν από την εκκίνηση του ΣΠΣ. Επομένως, τα ΣΠΣ ενημερώνονται επίσης κατά την επανεκκίνηση.

Επανεκκινήστε τον υπολογιστή για να ισχύσουν οι αλλαγές.

Διαχείριση των επεκτάσεων συγχρονισμού συναλλαγών Intel® (Intel® TSX) ευπάθεια ασύγχρονης ματαίωσης (CVE-2019-11135) και Μικροαρχιτεκτονικά δεδομένα δειγματοληψίας (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) μαζί με Στοιχειό [CVE-2017-5753 & CVE-2017-5715] και παραλλαγές [CVE-2017-5754], συμπεριλαμβανομένων κερδοσκοπίας παράκαμψης αποθήκευσης Απενεργοποίηση (SSBD) [CVE-2018-3639], καθώς και λ$ σφάλμα τερματικού (L1TF) [CVE-2018-3615, CVE-2018-3620 και CVE-2018-3646]

Για να ενεργοποιήσετε μετριασμούς για Intel® επεκτάσεις συγχρονισμού συναλλαγών (Intel® TSX) συναλλαγή ευπάθεια ασύγχρονης ματαίωσης (CVE-2019-11135) και μικροαρχιτεκτονικές δεδομένων δειγματοληψίας ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) μαζί με το στοιχειό [CVE-2017-5753 & CVE-2017-5715] και κατάρρευση [CVE-2017-5754] παραλλαγές, συμπεριλαμβανομένων των κερδοσκοπικών Αποθήκευση παράκαμψη Απενεργοποίηση (SSBD) [CVE-2018-3639], καθώς και ν$ σφάλμα τερματικού (L1TF) [CVE-2018-3615, CVE-2018-3620 και CVE-2018-3646] χωρίς απενεργοποίηση υπερ-νημάτων:

reg Add "HKEY_LOCAL_MACHINE \System\prepsetsss\fics\ficsessδιαχείριση λειτουργίας \ διαχείρισης μνήμης"/v Δυνατότηταρυθμίσεις REG_DWORD/v 72/v

reg Add "HKEY_LOCAL_MACHINE \System\pintersetsss\fics\dicses\sootdatsδιαχείριση \ μνήμη/v REG_DWORD/v 3/v

Εάν είναι εγκατεστημένη η δυνατότητα Hyper-V, προσθέστε την ακόλουθη ρύθμιση μητρώου:

reg Add "HKEY_LOCAL_MACHINE \ Λογισμικό\sssoft\servics\sinture\sootsρυθμίσεις \ διαμόρφωση"/v REG_SZ/v "1,0"/v

Εάν πρόκειται για κεντρικό υπολογιστή Hyper-V και έχουν εφαρμοστεί οι ενημερώσεις υλικολογισμικού: Τερματίστε πλήρως όλες τις εικονικές μηχανές. Αυτό επιτρέπει την εφαρμογή μετριασμού που σχετίζονται με το υλικολογισμικό στον κεντρικό υπολογιστή πριν από την εκκίνηση του ΣΠΣ. Επομένως, τα ΣΠΣ ενημερώνονται επίσης κατά την επανεκκίνηση.

Επανεκκινήστε τον υπολογιστή για να ισχύσουν οι αλλαγές.

Για να ενεργοποιήσετε μετριασμούς για Intel® επεκτάσεις συγχρονισμού συναλλαγών (Intel® TSX) συναλλαγή ευπάθεια ασύγχρονης ματαίωσης (CVE-2019-11135) και μικροαρχιτεκτονικές δεδομένων δειγματοληψίας ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) μαζί με το στοιχειό [CVE-2017-5753 & CVE-2017-5715] και κατάρρευση [CVE-2017-5754] παραλλαγές, συμπεριλαμβανομένων των Κερδοσκοπία αποθήκευσης παράκαμψης Απενεργοποίηση (SSBD) [CVE-2018-3639], καθώς και λ$ σφάλμα τερματικού (L1TF) [CVE-2018-3615, CVE-2018-3620 και CVE-2018-3646] με Hyper-νημάτων απενεργοποιημένη:

reg Add "HKEY_LOCAL_MACHINE \System\prepsetsss\fics\ficsessδιαχείριση λειτουργίας \ διαχείρισης μνήμης"/v Δυνατότηταρυθμίσεις REG_DWORD/v 8264/v

reg Add "HKEY_LOCAL_MACHINE \System\pintersetsss\fics\dicses\sootdatsδιαχείριση \ μνήμη/v REG_DWORD/v 3/v

Εάν είναι εγκατεστημένη η δυνατότητα Hyper-V, προσθέστε την ακόλουθη ρύθμιση μητρώου:

reg Add "HKEY_LOCAL_MACHINE \ Λογισμικό\sssoft\servics\sinture\sootsρυθμίσεις \ διαμόρφωση"/v REG_SZ/v "1,0"/v

Εάν πρόκειται για κεντρικό υπολογιστή Hyper-V και έχουν εφαρμοστεί οι ενημερώσεις υλικολογισμικού: Τερματίστε πλήρως όλες τις εικονικές μηχανές. Αυτό επιτρέπει την εφαρμογή μετριασμού που σχετίζονται με το υλικολογισμικό στον κεντρικό υπολογιστή πριν από την εκκίνηση του ΣΠΣ. Επομένως, τα ΣΠΣ ενημερώνονται επίσης κατά την επανεκκίνηση.

Επανεκκινήστε τον υπολογιστή για να ισχύσουν οι αλλαγές.

Για να απενεργοποιήσετε μετριασμούς για Intel® επεκτάσεις συγχρονισμού συναλλαγών (Intel® TSX) συναλλαγή ευπάθεια ασύγχρονης ματαίωσης (CVE-2019-11135) και μικροαρχιτεκτονικές δεδομένων δειγματοληψίας ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) μαζί με το στοιχειό [CVE-2017-5753 & CVE-2017-5715] και κατάρρευση [CVE-2017-5754] παραλλαγές, συμπεριλαμβανομένων των Κερδοσκοπία αποθήκευσης παράκαμψης Απενεργοποίηση (SSBD) [CVE-2018-3639], καθώς και λ$ σφάλμα τερματικού (L1TF) [CVE-2018-3615, CVE-2018-3620 και CVE-2018-3646]:

reg Add "HKEY_LOCAL_MACHINE \System\prepsssss\fics\ficate\ Διαχείριση περιόδου λειτουργίας \ διαχείρισης μνήμης"/v Δυνατότηταρυθμίσεις REG_DWORD/v 3/v

reg Add "HKEY_LOCAL_MACHINE \System\pintersetsss\fics\dicses\sootdatsδιαχείριση \ μνήμη/v REG_DWORD/v 3/v

Επανεκκινήστε τον υπολογιστή για να ισχύσουν οι αλλαγές.

Επαλήθευση ότι οι προστασίες είναι ενεργοποιημένες

Για να βοηθήσετε τους πελάτες να επιβεβαιώσουν ότι οι προστασίες είναι ενεργοποιημένες, η Microsoft έχει δημοσιεύσει μια δέσμη ενεργειών PowerShell που οι πελάτες μπορούν να εκτελούν στα συστήματά τους. Εγκαταστήστε και εκτελέστε τη δέσμη ενεργειών εκτελώντας τις ακόλουθες εντολές.

Επαλήθευση PowerShell, χρησιμοποιώντας τη συλλογή PowerShell (Windows Server 2016 ή WIKIMEDIA 5.0/5.1)

Εγκατάσταση της λειτουργικής μονάδας PowerShell:

PS> Install-Module SpeculationControl

Εκτελέστε τη λειτουργική μονάδα PowerShell για να επιβεβαιώσετε ότι είναι ενεργοποιημένες οι προστασίες:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Επαλήθευση PowerShell, χρησιμοποιώντας μια λήψη από το TechNet (παλαιότερες εκδόσεις του λειτουργικού συστήματος και παλαιότερες εκδόσεις WIKIMEDIA)

Εγκαταστήστε τη λειτουργική μονάδα PowerShell από το κέντρο δεσμών ενεργειών TechNet:

  1. Πήγαινε στο https://aka.MS/SpeculationControlPS .

  2. Κατεβάστε το στοιχείο Έλεγχος ελέγχου. zip σε έναν τοπικό φάκελο.

  3. Εξαγάγετε τα περιεχόμενα σε έναν τοπικό φάκελο. Για παράδειγμα: C:\ADV180002

Εκτελέστε τη λειτουργική μονάδα PowerShell για να επιβεβαιώσετε ότι είναι ενεργοποιημένες οι προστασίες:

Ξεκινήστε το PowerShell και, στη συνέχεια, χρησιμοποιήστε το προηγούμενο παράδειγμα για να αντιγράψετε και να εκτελέσετε τις ακόλουθες εντολές:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Για μια αναλυτική επεξήγηση της εξόδου της δέσμης ενεργειών PowerShell, ανατρέξτε στο άρθρο 4074629 της Γνωσιακής βάσης .

Συνήθεις ερωτήσεις

Για να αποφύγετε να επηρεαστούν αρνητικά οι συσκευές πελατών, οι ενημερωμένες εκδόσεις ασφαλείας των Windows που κυκλοφόρησαν τον Ιανουάριο και το Φεβρουάριο 2018 δεν προσφέρθηκαν σε όλους τους πελάτες. Για λεπτομέρειες, ανατρέξτε στο άρθρο 4072699 της Γνωσιακής Βάσης της Microsoft .

Το μικροκώδικα παραδίδεται μέσω μιας ενημέρωσης υλικολογισμικού. Συμβουλευτείτε τον OEM σχετικά με την έκδοση υλικολογισμικού που διαθέτει την κατάλληλη ενημερωμένη έκδοση για τον υπολογιστή σας.

Υπάρχουν πολλές μεταβλητές που επηρεάζουν τις επιδόσεις, που κυμαίνονται από την έκδοση του συστήματος μέχρι το φόρτο εργασίας που εκτελούνται. Για ορισμένα συστήματα, το εφέ απόδοσης θα είναι αμελητέο. Για άλλους, θα είναι σημαντικό.

Συνιστούμε να αξιολογήσετε τα αποτελέσματα απόδοσης στα συστήματά σας και να κάνετε τις απαραίτητες προσαρμογές.

Εκτός από τις οδηγίες που περιλαμβάνονται σε αυτό το άρθρο σχετικά με τις εικονικές μηχανές, θα πρέπει να επικοινωνήσετε με τον πάροχο υπηρεσιών για να βεβαιωθείτε ότι οι κεντρικοί υπολογιστές που εκτελούν τις εικονικές μηχανές σας προστατεύονται επαρκώς. Για Windows Server εικονικές μηχανές που εκτελούνται στο Azure, ανατρέξτε στην καθοδήγηση για ελαφρυντικά ευπάθειας πλευρά κανάλι κερδοσκοπίας εκτέλεση στο Azure . Για οδηγίες σχετικά με τη χρήση Azure ενημέρωση διαχείρισης για να περιορίσετε αυτό το ζήτημα σε Guest VM, ανατρέξτε στο άρθρο της Γνωσιακής βάσης 4077467 .

Οι ενημερωμένες εκδόσεις που κυκλοφόρησαν για είδωλα κοντέινερ διακομιστή των Windows για Windows Server 2016 και Windows 10, έκδοση 1709 περιλαμβάνουν τις μετριασμούς για αυτό το σύνολο των ευπάθειες. Δεν απαιτείται πρόσθετη ρύθμιση παραμέτρων. Σημείωση Πρέπει να εξακολουθείτε να βεβαιωθείτε ότι ο κεντρικός υπολογιστής στον οποίο εκτελούνται αυτά τα κοντέινερ έχει ρυθμιστεί για να ενεργοποιήσετε τις κατάλληλες μετριασμούς.

Όχι, η εντολή εγκατάστασης δεν έχει σημασία.

Ναι, πρέπει να κάνετε επανεκκίνηση μετά την ενημερωμένη έκδοση υλικολογισμικού (μικροκώδικα) και, στη συνέχεια, μετά την ενημέρωση του συστήματος.

Ακολουθούν οι λεπτομέρειες για τα κλειδιά μητρώου:

Οι Δυνατότηταρυθμίσεις για την τιμή "η διαδρομή" αντιπροσωπεύει ένα bitmap που παρακάμπτει την προεπιλεγμένη ρύθμιση και ελέγχει ποια μετριασμούς θα απενεργοποιηθούν. Bit 0 ελέγχει το μετριασμό που αντιστοιχεί σε CVE-2017-5715. Bit 1 ελέγχει το μετριασμό που αντιστοιχεί σε CVE-2017-5754. Τα bits έχουν οριστεί σε 0 για να ενεργοποιήσετε το μετριασμό και σε 1 για να απενεργοποιήσετε το μετριασμό.

Οι Δυνατότηταρυθμίρισμαrerererei αναπαριστά μια μάσκα bitmap που χρησιμοποιείται μαζί με ταχαρακτηριστικά  Σε αυτήν την περίπτωση, χρησιμοποιούμε την τιμή 3 (που αντιπροσωπεύεται ως 11 στο δυαδικό αριθμητικό ή Base-2 αριθμητικό σύστημα) για να υποδείξετε τα πρώτα δύο bits που αντιστοιχούν στις διαθέσιμες μετριασμούς. Αυτό το κλειδί μητρώου έχει οριστεί σε 3 για να ενεργοποιήσετε ή να απενεργοποιήσετε τις μετριασμούς.

Η συνάρτηση είναι για κεντρικούς υπολογιστές Hyper-V. Αυτό το κλειδί μητρώου ορίζει την ελάχιστη έκδοση VM που απαιτείται για να χρησιμοποιήσετε τις ενημερωμένες δυνατότητες υλικολογισμικού (CVE-2017-5715). Ρυθμίστε αυτό το 1,0 για να καλύψετε όλες τις εκδόσεις VM. Παρατηρήστε ότι αυτή η τιμή μητρώου θα παραβλεφθεί (καλοήθεις) σε κεντρικούς υπολογιστές που δεν είναι Hyper-V. Για περισσότερες λεπτομέρειες, ανατρέξτε στο στοιχείο προστασία Guest εικονικές μηχανές από CVE-2017-5715 (υποκατάστημα ένεση προορισμού) .

Ναι, δεν υπάρχουν παρενέργειες εάν αυτές οι ρυθμίσεις μητρώου εφαρμόζονται πριν από την εγκατάσταση των επιδιορθώσεων που σχετίζονται με 2018 Ιανουαρίου.

Δείτε μια αναλυτική περιγραφή του αποτελέσματος της δέσμης ενεργειών στην κατανόηση λήψη-Εικήσηέλεγχοςρύθμιση παραμέτρων εξόδου δέσμης ενεργειών PowerShell .

Ναι, για τους κεντρικούς υπολογιστές Windows Server 2016 Hyper-V που δεν έχουν ακόμα την ενημερωμένη έκδοση υλικολογισμικού διαθέσιμη, έχουμε δημοσιεύσει εναλλακτικές οδηγίες που μπορεί να βοηθήσει να μετριάσει την εικονική μηχανή σε VM ή VM για να φιλοξενήσει επιθέσεις. Δείτε εναλλακτικές προστασίες για Windows Server 2016 Hyper-V κεντρικούς υπολογιστές σε θέματα ευπάθειας πλευρά κανάλι κερδοσκοπίας εκτέλεσης .

Μόνο οι ενημερωμένες εκδόσεις ασφαλείας δεν είναι αθροιστικές. Ανάλογα με την έκδοση του λειτουργικού σας συστήματος, ίσως χρειαστεί να εγκαταστήσετε αρκετές ενημερωμένες εκδόσεις ασφαλείας για πλήρη προστασία. Γενικά, οι πελάτες θα πρέπει να εγκαταστήσουν τις ενημερωμένες εκδόσεις Ιανουαρίου, Φεβρουαρίου, Μαρτίου και 2018 Απριλίου. Τα συστήματα που έχουν επεξεργαστές AMD χρειάζονται μια πρόσθετη ενημέρωση, όπως φαίνεται στον ακόλουθο πίνακα:

Έκδοση λειτουργικού συστήματος

Ενημέρωση ασφαλείας

Windows 8,1, Windows Server 2012 R2

4338815-μηνιαία συνάθροιση

4338824-μόνο για ασφάλεια

Windows 7 SP1, Windows Server 2008 R2 SP1 ή Windows Server 2008 R2 SP1 (εγκατάσταση πυρήνα διακομιστή)

4284826-μηνιαία συνάθροιση

4284867-μόνο για ασφάλεια

Windows Server 2008 SP2

4340583-ενημέρωση ασφαλείας

Συνιστούμε να εγκαταστήσετε τις ενημερωμένες εκδόσεις ασφαλείας μόνο με τη σειρά της έκδοσης.

Σημείωση   μια παλαιότερη έκδοση του αυτές οι συνήθεις ερωτήσεις ανέφεραν εσφαλμένα ότι η ενημερωμένη έκδοση ασφαλείας Φεβρουαρίου περιλαμβάνει τις ενημερώσεις κώδικα ασφαλείας που κυκλοφόρησαν τον Ιανουάριο. Στην πραγματικότητα, δεν το κάνει.

Όχι. Η ενημερωμένη έκδοση ασφαλείας KB 4078130 ήταν μια συγκεκριμένη ενημέρωση κώδικα για να αποτρέψετε απρόβλεπτες συμπεριφορές συστήματος, ζητήματα επιδόσεων και μη αναμενόμενες επανεκκινήσεις μετά την εγκατάσταση του μικροκώδικα. Εφαρμόζοντας τις ενημερωμένες εκδόσεις ασφαλείας σε λειτουργικά συστήματα υπολογιστή-πελάτη των Windows ενεργοποιεί και τις τρεις μετριασμούς. Σε λειτουργικά συστήματα Windows Server, θα πρέπει να ενεργοποιήσετε τις μετριασμούς μετά την κατάλληλη δοκιμή. Για περισσότερες πληροφορίες, ανατρέξτε στο άρθρο 4072698 της Γνωσιακής Βάσης της Microsoft .

Αυτό το ζήτημα επιλύθηκε στο KB 4093118 .

Το Φεβρουάριο του 2018, η Intel ανακοίνωσε ότι είχαν ολοκληρώσει τις επικυρώσεις τους και άρχισε να απελευθερώσει μικροκώδικα για ΝΕΌΤΕΡΕς πλατφόρμες CPU. Η Microsoft καθιστά διαθέσιμες ενημερωμένες εκδόσεις μικροκώδικα Intel επικυρωμένα που αφορούν το στοιχειό παραλλαγή 2 παραλλαγή του στοιχειό 2 (CVE-2017-5715 – "Branch στόχος έγχυση"). KB 4093836 παραθέτει συγκεκριμένα άρθρα της Γνωσιακής βάσης από την έκδοση των Windows. Κάθε συγκεκριμένο άρθρο KB περιέχει τις διαθέσιμες ενημερώσεις μικροκώδικα Intel από CPU.

11 ιανουαρίου 2018 Intel αναφέρθηκαν ζητήματα στο πρόσφατα κυκλοφόρησε μικροκώδικα που προοριζόταν για την αντιμετώπιση των ΣΤΟΙΧΕΙΩΝ παραλλαγή 2 (CVE-2017-5715 – "Branch προορισμού ένεσης"). Συγκεκριμένα, η Intel σημείωσε ότι αυτό το μικροκώδικα μπορεί να προκαλέσει "υψηλότερες από τις αναμενόμενες επανεκκινήσεις και άλλη απρόβλεπτη συμπεριφορά συστήματος " και ότι αυτά τα σενάρια μπορεί να προκαλέσουν "απώλεια δεδομένων ή διαφθορά. " Η εμπειρία μας είναι ότι η αστάθεια του συστήματος μπορεί να προκαλέσει απώλεια δεδομένων ή διαφθορά σε ορισμένες περιπτώσεις. Στις 22 Ιανουαρίου, η Intel συνέστησε στους πελάτες να σταματήσουν την ανάπτυξη της τρέχουσας έκδοσης μικροκώδικα στους επεξεργαστές που επηρεάζονται, ενώ η Intel εκτελεί πρόσθετες δοκιμές στην ενημερωμένη λύση. Κατανοούμε ότι η Intel συνεχίζει να διερευνήσει το δυνητικό αποτέλεσμα της τρέχουσας έκδοσης μικροκώδικα. Ενθαρρύνουμε τους πελάτες να επανεξετάζουν τις οδηγίες τους σε διαρκή βάση για να ενημερώνουν τις αποφάσεις τους.

Ενώ η Intel δοκιμές, ενημερώσεις, και αναπτύσσει νέο μικροκώδικα, κάνουμε διαθέσιμη μια ενημερωμένη έκδοση εκτός ζώνης (OOB), KB 4078130 , που συγκεκριμένα απενεργοποιεί μόνο το μετριασμό από CVE-2017-5715. Στις δοκιμές μας, αυτή η ενημερωμένη έκδοση έχει βρεθεί για να αποτρέψει τη συμπεριφορά που περιγράφεται. Για την πλήρη λίστα των συσκευών, ανατρέξτε στην οδηγίες αναθεώρησης μικροκώδικα από την Intel. Αυτή η ενημερωμένη έκδοση καλύπτει τα Windows 7 Service Pack 1 (SP1), Windows 8,1 και όλες τις εκδόσεις των Windows 10, τόσο υπολογιστή-πελάτη όσο και διακομιστή. Εάν χρησιμοποιείτε μια συσκευή που επηρεάζεται, αυτή η ενημερωμένη έκδοση μπορεί να εφαρμοστεί από τη λήψη της από την τοποθεσία Web του καταλόγου του Microsoft Update . Η εφαρμογή αυτού του ωφέλιμου φορτίου απενεργοποιεί συγκεκριμένα μόνο το μετριασμό από CVE-2017-5715.

Από αυτή τη στιγμή, δεν υπάρχουν γνωστές αναφορές που υποδεικνύουν ότι αυτή η παραλλαγή των ΣΤΟΙΧΕΙΩΝ 2 (CVE-2017-5715 – "Branch στόχος έγχυση") έχει χρησιμοποιηθεί για την επίθεση των πελατών. Συνιστούμε, όταν απαιτείται, οι χρήστες των Windows Επαναενεργοποιούν το μετριασμό από CVE-2017-5715 όταν η Intel αναφέρει ότι αυτή η απρόβλεπτη συμπεριφορά συστήματος έχει επιλυθεί για τη συσκευή σας.

Το Φεβρουάριο του 2018, η Intelανακοίνωσε ότι έχουν ολοκληρώσει τις επικυρώσεις τους και άρχισε να απελευθερώσει μικροκώδικα για νεότερες πλατφόρμες CPU. Η Microsoft καθιστά διαθέσιμες ενημερωμένες εκδόσεις μικροκώδικα Intel επικυρωμένες που σχετίζονται με το φάσμα παραλλαγή 2 παραλλαγή του στοιχειό 2 (CVE-2017-5715 – "Branch στόχος έγχυση"). KB 4093836 παραθέτει συγκεκριμένα άρθρα της Γνωσιακής βάσης από την έκδοση των Windows. Το KBs λίστα διαθέσιμες ενημερώσεις μικροκώδικα Intel από CPU.

Για περισσότερες πληροφορίες, ανατρέξτε στην περιοχή ενημερώσεις ασφαλείας AMD και Λευκή Βίβλος της AMD: οδηγίες αρχιτεκτονικής γύρω από τον έμμεσο έλεγχο υποκαταστήματος . Αυτά είναι διαθέσιμα από το κανάλι υλικολογισμικού OEM.

Κάνουμε διαθέσιμες ενημερωμένες εκδόσεις μικροκώδικα Intel επικυρωμένες που αφορούν την παραλλαγή του στοιχειό 2 (CVE-2017-5715 – "Branch στόχος έγχυση "). Για να λάβετε τις τελευταίες ενημερωμένες εκδόσεις μικροκώδικα Intel μέσω του Windows Update, οι πελάτες πρέπει να έχουν εγκατεστημένο μικροκώδικα Intel σε συσκευές που εκτελούν ένα λειτουργικό σύστημα Windows 10 πριν από την αναβάθμιση σε Windows 10 Απριλίου 2018 ενημερωμένη έκδοση (έκδοση 1803).

Η ενημερωμένη έκδοση μικροκώδικα είναι επίσης διαθέσιμη απευθείας από τον κατάλογο του Microsoft Update, εάν δεν ήταν εγκατεστημένο στη συσκευή πριν από την αναβάθμιση του συστήματος. Μικροκώδικα Intel είναι διαθέσιμη μέσω του Windows Update, Windows Server ενημερωμένη έκδοση υπηρεσιών (WSUS) ή τον κατάλογο του Microsoft Update. Για περισσότερες πληροφορίες και οδηγίες λήψης, ανατρέξτε στο στοιχείο KB 4100347 .

Δείτε τις ενότητες "προτεινόμενες ενέργειες" και "συχνές ερωτήσεις"  του ADV180012 | Οδηγίες της Microsoft για την παράκαμψη κερδοσκοπίας αποθήκευσης .

Για να επαληθεύσετε την κατάσταση του SSBD, η δέσμη ενεργειών PowerShell ρυθμίσεις ελέγχου ενημερωμένων εκδόσεων έχει ενημερωθεί για να ανιχνεύσει επεξεργαστές που επηρεάζονται, κατάσταση των ενημερώσεων του λειτουργικού συστήματος ssbd και την κατάσταση του μικροκώδικα επεξεργαστή, εάν υπάρχει. Για περισσότερες πληροφορίες και για να αποκτήσετε τη δέσμη ενεργειών PowerShell, ανατρέξτε στο στοιχείο KB 4074629 .

Στις 13 Ιουνίου 2018, ένα πρόσθετο θέμα ευπάθειας που περιλαμβάνει το πλευρικό κανάλι κερδοσκοπίας εκτέλεσης, γνωστή ως τεμπέλης κατάσταση ΕΠΑΝΑΦΟΡΆς FP, ανακοινώθηκε και ανατέθηκε CVE-2018-3665 . Για πληροφορίες σχετικά με αυτήν την ευπάθεια και τις προτεινόμενες ενέργειες, ανατρέξτε στο συμβουλευτικό δελτίο ασφαλείας ADV180016 | Οδηγίες της Microsoft για την επαναφορά της κατάστασης FP .

Σημείωση Δεν υπάρχουν απαιτούμενες ρυθμίσεις παραμέτρων (μητρώο) για την επαναφορά του FP Restore.

Χώρος αποθήκευσης παράκαμψης ελέγχου ορίων (BCBS) γνωστοποιήθηκε στις 10 Ιουλίου 2018, και ανατέθηκε CVE-2018-3693 . Θεωρούμε ότι η BCBS ανήκει στην ίδια κατηγορία ευπάθειας ως παράκαμψη ελέγχου ορίων (χαρακτηριστικό 1). Δεν γνωρίζουμε επί του παρόντος για οποιεσδήποτε περιπτώσεις BCBS στο λογισμικό μας. Ωστόσο, συνεχίζουμε την έρευνα αυτής της κλάσης ευπάθειας και θα συνεργαστεί με τους συνεργάτες του κλάδου για να απελευθερώσει μετριασμούς, όπως απαιτείται. Ενθαρρύνουμε τους ερευνητές να υποβάλουν οποιαδήποτε συναφή πορίσματα στο πρόγραμμα κερδοσκοπίας της Microsoft πλευρά κανάλι κερδοσκοπία εκτέλεση , συμπεριλαμβανομένων τυχόν εκμεταλλεύσιμες παρουσίες της BCBS. Οι προγραμματιστές λογισμικού θα πρέπει να εξετάσετε τις οδηγίες προγραμματιστή που έχει ενημερωθεί για BCBS σε οδηγίες προγραμματιστή C++ για τα πλαϊνά κανάλια κερδοσκοπίας εκτέλεσης .

Στις 14 Αυγούστου 2018, ανακοινώθηκε η βλάβη ΤΕΡΜΑΤΙΚΟΎ (L1TF) και ανατέθηκε σε πολλαπλά CVEs. Αυτά τα νέα θέματα ευπάθειας πλευρά κανάλι κερδοσκοπίας εκτέλεσης μπορούν να χρησιμοποιηθούν για να διαβάσετε το περιεχόμενο της μνήμης σε ένα αξιόπιστο όριο και, εάν αξιοποιηθεί, θα μπορούσε να οδηγήσει σε αποκάλυψη πληροφοριών. Υπάρχουν πολλαπλά διανύσματα με τα οποία ένας εισβολέας θα μπορούσε να ενεργοποιήσει τα θέματα ευπάθειας, ανάλογα με το περιβάλλον που έχει ρυθμιστεί. Το L1TF επηρεάζει τους επεξεργαστές Intel® Core® και τους επεξεργαστές Intel® Xeon®.

Για περισσότερες πληροφορίες σχετικά με αυτό το θέμα ευπάθειας και μια αναλυτική προβολή των σεναρίων που επηρεάζονται, συμπεριλαμβανομένης της προσέγγισης της Microsoft για τον μετριασμό του L1TF, ανατρέξτε στους ακόλουθους πόρους:

Τα βήματα για την απενεργοποίηση της υπερνηματικής τεχνολογίας διαφέρουν από OEM σε OEM, αλλά γενικά αποτελούν μέρος των εργαλείων εγκατάστασης και ρύθμισης παραμέτρων του BIOS ή του υλικολογισμικού.

Οι πελάτες που χρησιμοποιούν επεξεργαστές 64-bit ARM θα πρέπει να επικοινωνήσετε με τη συσκευή OEM για υποστήριξη υλικολογισμικού, επειδή ARM64 προστασία του λειτουργικού συστήματος που μετριάζουν CVE-2017-5715 -υποκατάστημα ένεση προορισμού (στοιχειό, παραλλαγή 2) απαιτούν την πιο πρόσφατη ενημερωμένη έκδοση υλικολογισμικού από OEM συσκευή για να τεθούν σε ισχύ.

Για περισσότερες πληροφορίες σχετικά με την ενεργοποίηση Retpoline, ανατρέξτε στην καταχώρηση ιστολογίου μας: μετριασμός παραλλαγής 2 με retpoline στα Windows .

Για λεπτομέρειες σχετικά με αυτό το θέμα ευπάθειας, ανατρέξτε στον Οδηγό ασφαλείας της Microsoft: CVE-2019-1125 | Ευπάθεια αποκάλυψης πληροφοριών πυρήνα των Windows.

Δεν γνωρίζουμε οποιαδήποτε παρουσία αυτής της ευπάθειας αποκάλυψης πληροφοριών που επηρεάζει την υποδομή υπηρεσιών cloud.

Μόλις συνειδητοποιήσαμε αυτό το θέμα, εργαστήκαμε γρήγορα για να το αντιμετωπίσουμε και να εκδώσουμε μια ενημέρωση. Πιστεύουμε ακράδαντα σε στενές συνεργασίες με τους ερευνητές και τους βιομηχανικούς εταίρους για να καταστήσουμε τους πελάτες πιο ασφαλείς και δεν δημοσιεύουμε λεπτομέρειες μέχρι την Τρίτη, 6 Αυγούστου, σύμφωνα με συντονισμένες πρακτικές αποκάλυψης τρωτότητας.

Αναφορές

Αποποίηση ευθυνών για πληροφορίες τρίτων κατασκευαστών

Τα προϊόντα άλλων κατασκευαστών που αναφέρονται σε αυτό το άρθρο έχουν κατασκευαστεί από εταιρείες ανεξάρτητες από τη Microsoft. Η Microsoft δεν παρέχει καμία εγγύηση, σιωπηρή ή άλλη, σχετικά με τις επιδόσεις ή την αξιοπιστία αυτών των προϊόντων.

Χρειάζεστε περισσότερη βοήθεια;

Αναπτύξτε τις δεξιότητές σας
Εξερευνήστε το περιεχόμενο της εκπαίδευσης
Αποκτήστε πρώτοι τις νέες δυνατότητες
Συμμετοχή στο Microsoft Insider

Σας βοήθησαν αυτές οι πληροφορίες;

Σας ευχαριστούμε για τα σχόλιά σας!

Σας ευχαριστούμε για τα σχόλιά σας! Φαίνεται ότι μπορεί να είναι χρήσιμο να συνδεθείτε με έναν από τους συνεργάτες υποστήριξης του Office.

×