|
Muuda kuupäeva |
Muuda kirjeldust |
|
19. juuli 2023 |
|
|
8. august 2023 |
|
|
9. august 2023 |
|
|
9. aprill 2024 |
|
|
16. aprill 2024 |
|
Kokkuvõte
Selles artiklis antakse juhiseid külgmise kanali uue klassi mikroarhitektuuriliste ja spekulatiivsete käivitamise nõrkuste kohta, mis mõjutavad paljusid tänapäevaseid protsessoreid ja operatsioonisüsteeme. Nende hulka kuuluvad Intel, AMD ja ARM. Nende ränipõhiste nõrkuste täpsemad üksikasjad leiate järgmistest ADV-dest (security Advisories) ja CVEs (Common Vulnerabilities and Exposures):
-
ADV180002 | Juhised külgmise kanali spekulatiivsete käivitamise nõrkuste leevendamiseks
-
ADV180012 | Microsofti juhised spekulatiivsete poeeraldade möödumise kohta
-
ADV180013 | Microsofti juhised Rogue'i süsteemiregistri kohta Loe
-
ADV190013 | Microsofti suunised microarchitectural andmete valimi nõrkuste leevendamiseks
-
ADV220002 | Microsofti juhised Inteli protsessoriGA MMIO andmete nõrkuste kohta
NB!: See probleem mõjutab ka teisi operatsioonisüsteeme (nt Android, Chrome, iOS ja macOS). Seetõttu soovitame klientidel otsida juhiseid nendelt tarnijatelt.
Oleme välja andnud mitu värskendust, mis aitavad neid nõrkusi leevendada. Oleme võtnud meetmeid ka oma pilveteenuste turvalisuse tagamiseks. Lisateavet leiate järgmistest jaotistest.
Me pole veel saanud teavet, mis näitaks, et neid nõrkusi kasutati klientide ründamiseks. Teeme klientide kaitsmiseks tihedat koostööd valdkonna partneritega, sealhulgas kiibikujundajate, riistvara OEM-idega ja rakenduste tarnijatega. Kõigi saadaolevate kaitsefunktsioonide hankimiseks on vaja püsivara (mikrokoodi) ja tarkvaravärskendusi. See hõlmab seadme OEM-ide mikrokoodi ja mõnel juhul viirusetõrjetarkvara värskendusi.
Selles artiklis käsitletakse järgmisi nõrkusi.
Windows Update pakub ka Internet Exploreri ja Edge'i leevendusi. Me jätkame nende leevendusmeetmete parandamist seda tüüpi nõrkuste vastu.
Lisateavet selle nõrkuste klassi kohta leiate järgmistest teemadest.
Haavatavuste
14. mail 2019 avaldas Intel teabe külgmise kanali spekulatiivsete käivitamise nõrkuste uue alamklassi kohta, mida tuntakse nime all Microarchitectural Data Sampling. Need nõrkused on lahendatud järgmistes CV-des:
-
CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Microarchitectural Store'i puhvri andmete valim (MSBDS)
-
CVE-2018-12127 | Microarchitectural Fill Buffer Data Sampling (MFBDS)
-
CVE-2018-12130 | Microarchitectural koormusepordi andmete diskreetimine (MLPDS)
NB!: Need probleemid mõjutavad teisi operatsioonisüsteeme (nt Android, Chrome, iOS ja MacOS). Soovitame teil otsida juhiseid nendelt vastavatelt tarnijatelt.
Oleme välja andnud värskendused nende nõrkuste leevendamiseks. Kõigi saadaolevate kaitsefunktsioonide hankimiseks on vaja püsivara (mikrokoodi) ja tarkvaravärskendusi. See võib hõlmata seadme OEM-ide mikrokoodi. Mõnel juhul mõjutab nende värskenduste installimine jõudlust. Oleme tegutsenud ka oma pilveteenuste turvalisuse tagamisel. Soovitame tungivalt need värskendused juurutada.
Selle probleemi kohta leiate lisateavet järgmisest turbenõuandla ja kasutusstsenaariumipõhistest juhistest ohu leevendamiseks vajalike toimingute määramiseks.
-
ADV190013 | Microsofti suunised microarchitectural andmete valimi nõrkuste leevendamiseks
-
Windowsi suunised külgmise kanali spekulatiivsete käivitamise nõrkuste eest kaitsmiseks
Märkus.: Soovitame teil enne mikrokoodi värskenduste installimist installida Windows Update kõik uusimad värskendused.
6. augustil 2019 andis Intel välja üksikasjad Windowsi tuumateabe avaldamise nõrkuse kohta. See nõrkus on Spectre Variant 1 spekulatiivse käivitamise külgmise kanali nõrkuse variant ja sellele on määratud CVE-2019-1125.
9. juulil 2019 andsime välja Windowsi operatsioonisüsteemi turbevärskendused, mis aitavad seda probleemi leevendada. Palun pange tähele, et me oleme tagasi dokumenteerinud selle leevenduse avalikult kuni koordineeritud tööstuse avalikustamiseni teisipäeval, 6. augustil 2019.
Kliendid, kes on Windows Update lubanud ja rakendanud 9. juulil 2019 välja antud turbevärskendusi, on automaatselt kaitstud. Rohkem konfiguratsioone pole vaja.
Märkus.: See nõrkus ei vaja teie seadme tootja (OEM) mikrokoodi värskendust.
Lisateavet selle nõrkuse ja kohalduvate värskenduste kohta leiate Microsofti turbevärskenduste juhendist.
12. novembril 2019 avaldas Intel tehnilise nõuande Intel Transactional Synchronization Extensionsi (Intel TSX) Transaction Asynchronous Abort nõrkuse kohta, millele on määratud CVE-2019-11135. Oleme selle nõrkuse leevendamiseks välja andnud värskendused. Windowsi klientrakenduste operatsioonisüsteemi väljaannete jaoks on operatsioonisüsteemi kaitse vaikimisi lubatud.
14. juunil 2022 avaldasime ADV220002 | Microsofti juhised Inteli protsessori MMIO andmete nõrkuste kohta. Haavatavused määratakse järgmistes CV-des:
Soovitatud tegevused
Nende nõrkuste eest kaitsmiseks peaksite tegema järgmist.
-
Rakendage kõik saadaolevad Windowsi operatsioonisüsteemi värskendused, sh igakuised Windowsi turbevärskendused.
-
Rakendage seadme tootjalt saadud püsivaravärskendus (mikrokoodi).
-
Hinnake oma keskkonnaohte, võttes aluseks microsofti turbenõustajate ADV180002, ADV180012, ADV190013 ja ADV220002esitatud teabe.
-
Tehke vajalikud toimingud, kasutades selles artiklis esitatud nõuandvaid nõustajaid ja registrivõtme teavet.
Märkus.: Surface'i kliendid saavad Windowsi värskenduse kaudu mikrokoodi värskenduse. Uusimate saadaolevate Surface'i seadme püsivaravärskenduste (mikrokoodi) loendi leiate teemast KB4073065.
12. juulil 2022 avaldasime CVE-2022-23825 | AMD CPU haru tüübi segadus, mis kirjeldab, et haruennustus pseudonüümid võivad põhjustada teatud AMD protsessorite vale harutüübi ennustamise. See probleem võib põhjustada teabe avaldamise.
Selle nõrkuse eest kaitsmiseks soovitame installida Windowsi värskendused, mis on välja antud 2022. aasta juulis või hiljem, ja seejärel võtta vajalikud meetmed CVE-2022-23825 ja registrivõtme teabe, mis on esitatud selles teabebaas artiklis.
Lisateavet leiate AMD-SB-1037 turbebülletäänist.
8. augustil 2023 avaldasime CVE-2023-20569 | AMD CPU tagastusaadressi ennustaja (tuntud ka kui Inception), mis kirjeldab uut spekulatiivset külgmise kanali rünnakut, mis võib kaasa tuua spekulatiivse täitmise ründaja kontrolli all oleval aadressil. See probleem mõjutab teatud AMD protsessoreid ja võib põhjustada teabe avalikustamist.
Selle nõrkuse eest kaitsmiseks soovitame installida Windowsi värskendused, mis on välja antud 2023. aasta augustis või hiljem, ja seejärel võtta vajalikud meetmed CVE-2023-20569 ja registrivõtme teabe, mis on esitatud selles teabebaas artiklis.
Lisateavet leiate AMD-SB-7005 turbebülletäänist.
9. aprillil 2024 avaldasime CVE-2022-0001 | Inteli haruajaloo süst , mis kirjeldab haruajaloo süstimist (BHI), mis on konkreetne moodusesisese BTI vorm. See nõrkus ilmneb siis, kui ründaja võib töödelda harude ajalugu enne üleminekut kasutajalt juhendaja režiimile (või VMX-i mittejuur-/külaline juurrežiimi). Selline manipuleerimine võib põhjustada kaudse haru ennustusel valida kaudse haru jaoks konkreetse ennustajakirje ja ennustatud eesmärgil avalikustamise vidik käivitatakse ajutiselt. See võib olla võimalik, kuna vastav haruajalugu võib sisaldada varasemates turbekontekstides, eriti muudes prognoosirežiimides tehtud filiaale.
Windowsi klientrakenduste leevendussätted
Turbenõustajad (ADV- ja CV-d ) annavad teavet nende nõrkuste ohu ja selle kohta, kuidas need aitavad teil tuvastada Windowsi klientsüsteemide leevenduste vaikeolekut. Järgmises tabelis on kokkuvõte CPU mikrokoodi nõudest ja Windowsi klientrakenduste leevendusmeetmete vaikeolekust.
|
CVE |
Kas vajate protsessori mikrokoodi/püsivara? |
Leevenduse vaikeolek |
|---|---|---|
|
CVE-2017-5753 |
Ei |
Vaikimisi lubatud (keelamise võimalust pole) Lisateavet leiate ADV180002 . |
|
CVE-2017-5715 |
Jah |
Vaikimisi lubatud. AMD protsessoritel põhinevate süsteemide kasutajad peaksid nägema KKK-d #15 ja ARM-protsessorite kasutajad peaksid täiendavate toimingute jaoks nägema KKK -d #20 ADV180002 ja seda teabebaasi artiklit kohaldatavate registrivõtme sätete kohta. Märkus Kui Spectre Variant 2 (CVE-2017-5715) on lubatud seadmetes, kus töötab Windows 10 versioon 1809 või uuem versioon, on Retpoline vaikimisi lubatud. Retpoline'i kohta lisateabe saamiseks järgige ajaveebipostituses Retpoline'iga Spectre variant 2 leevendamise juhiseid. |
|
CVE-2017-5754 |
Ei |
Vaikimisi lubatud Lisateavet leiate ADV180002 . |
|
CVE-2018-3639 |
Intel: jah |
Intel ja AMD: vaikimisi keelatud. Lisateavet leiate ADV180012 ja sellest teabebaasiartiklist kehtivate registrivõtmesätete kohta. ARM: vaikimisi lubatud ilma keelamise võimaluseta. |
|
CVE-2019-11091 |
Intel: jah |
Vaikimisi lubatud. Lisateavet leiate ADV190013 ja kohalduva registrivõtme sätete kohta leiate sellest artiklist. |
|
CVE-2018-12126 |
Intel: jah |
Vaikimisi lubatud. Lisateavet leiate ADV190013 ja kohalduva registrivõtme sätete kohta leiate sellest artiklist. |
|
CVE-2018-12127 |
Intel: jah |
Vaikimisi lubatud. Lisateavet leiate ADV190013 ja kohalduva registrivõtme sätete kohta leiate sellest artiklist. |
|
CVE-2018-12130 |
Intel: jah |
Vaikimisi lubatud. Lisateavet leiate ADV190013 ja kohalduva registrivõtme sätete kohta leiate sellest artiklist. |
|
CVE-2019-11135 |
Intel: jah |
Vaikimisi lubatud. Lisateavet leiate artiklist CVE-2019-11135 ja sellest artiklist leiate asjakohased registrivõtme sätted. |
|
CVE-2022-21123 (MMIO ADV220002 osa) |
Intel: jah |
Windows 10 versioon 1809 ja uuemad versioonid: vaikimisi lubatud. Lisateavet leiate artiklist CVE-2022-21123 ja kohalduva registrivõtme sätete kohta selles artiklis. |
|
CVE-2022-21125 (MMIO ADV220002 osa) |
Intel: jah |
Windows 10 versioon 1809 ja uuemad versioonid: vaikimisi lubatud. Lisateavet leiate artiklist CVE-2022-21125 . |
|
CVE-2022-21127 (MMIO ADV220002 osa) |
Intel: jah |
Windows 10 versioon 1809 ja uuemad versioonid: vaikimisi lubatud. Lisateavet leiate artiklist CVE-2022-21127 . |
|
CVE-2022-21166 (MMIO ADV220002 osa) |
Intel: jah |
Windows 10 versioon 1809 ja uuemad versioonid: vaikimisi lubatud. Lisateavet leiate artiklist CVE-2022-21166 . |
|
CVE-2022-23825 (AMD CPU harutüübi segadus) |
AMD: ei |
Lisateavet leiate artiklist CVE-2022-23825 ja kohalduvate registrivõtme sätete kohta selles artiklis. |
|
CVE-2023-20569
|
AMD: Jah |
Lisateavet leiate artiklist CVE-2023-20569 ja sellest artiklist leiate asjakohased registrivõtme sätted. |
|
Intel: ei |
Vaikimisi keelatud. Lisateavet leiate artiklist CVE-2022-0001 ja kohalduvate registrivõtmesätete kohta leiate sellest artiklist. |
Märkus.: Vaikimisi võib väljalülitatud leevendusmeetmete lubamine mõjutada seadme jõudlust. Tegelik jõudluse mõju sõltub mitmest tegurist, näiteks seadme konkreetsest kiibikomplektist ja töötavatest töökoormustest.
Registrisätted
Pakume järgmist registriteavet, et lubada leevendusi, mis pole vaikimisi lubatud, nagu need on dokumenteeritud turbenõustajate (ADV) ja CVEs. Lisaks pakume registrivõtme sätteid kasutajatele, kes soovivad Windowsi klientide jaoks rakendatavad leevendused keelata.
NB!: See jaotis, meetod või ülesanne sisaldab etappe, mis annavad teile teada, kuidas registrit muuta. Kui muudate registrit valesti, võivad ilmneda tõsised probleemid. Seetõttu veenduge, et järgite neid juhiseid hoolikalt. Täiendava kaitse saamiseks varundage register enne selle muutmist. Seejärel saate probleemi ilmnemisel registri taastada. Registri varundamise ja taastamise kohta leiate lisateavet Microsofti teabebaasi artiklist:
322756 Registri varundamine ja taastamine Windowsis.
NB!: Vaikimisi on Retpoline Windows 10 versiooni 1809 seadmetes lubatud, kui Spectre, Variant 2 (CVE-2017-5715) on lubatud. Retpoline'i lubamine Windows 10 uusimas versioonis võib parandada jõudlust seadmetes, kus töötab Windows 10 versioon 1809 Spectre variant 2 jaoks, eriti vanemates protsessorites.
|
Vaikemeetmete lubamine CVE-2017-5715 (Spectre Variant 2) ja CVE-2017-5754 (Meltdown) jaoks reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Muudatuste jõustumiseks taaskäivitage seade. CVE-2017-5715 (Spectre Variant 2) ja CVE-2017-5754 (Meltdown) leevenduste keelamine reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Muudatuste jõustumiseks taaskäivitage seade. |
Märkus.: Väärtus 3 on FeatureSettingsOverrideMask-i puhul täpne nii lubamis- kui ka keelamissätete korral. (Registrivõtmete kohta leiate lisateavet jaotisest "KKK".)
|
CVE-2017-5715 (Spectre Variant 2) leevenduste keelamiseks tehke järgmist. reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Muudatuste jõustumiseks taaskäivitage seade. CVE-2017-5715 (Spectre Variant 2) ja CVE-2017-5754 (Meltdown) vaikemeetmete lubamiseks tehke järgmist. reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Muudatuste jõustumiseks taaskäivitage seade. |
Vaikimisi on kasutaja tuumade kaitse CVE-2017-5715 jaoks AMD ja ARM-i protsessorite jaoks keelatud. CVE-2017-5715 jaoks täiendava kaitse saamiseks peate lubama leevenduse. Lisateavet leiate teemast ADV180002 KKK #15 AMD protsessorite jaoks ja KKK #20 ARM-protsessorite jaoks ADV180002 .
|
Lubage AMD ja ARM-protsessorite kasutaja tuumavastane kaitse koos muude CVE 2017-5715 kaitselahendustega. reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Muudatuste jõustumiseks taaskäivitage seade. |
|
CVE-2018-3639 (Speculative Store Bypass) leevenduste lubamiseks tehke järgmist: CVE-2017-5715 (Spectre Variant 2) ja CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Muudatuste jõustumiseks taaskäivitage seade. Märkus. AMD protsessorid pole CVE-2017-5754 (Meltdown) suhtes haavatavad. Seda registrivõtit kasutatakse AMD protsessoritega süsteemides CVE-2017-5715 vaikemeetmete lubamiseks AMD protsessorites ja CVE-2018-3639 leevendusmeetmetes. CVE-2018-3639 (Speculative Store Bypass) *and* leevenduste keelamine CVE-2017-5715 (Spectre Variant 2) ja CVE-2017-5754 (Meltdown) jaoks reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Muudatuste jõustumiseks taaskäivitage seade. |
Vaikimisi on kasutaja tuuma kaitse CVE-2017-5715 jaoks AMD protsessorite jaoks keelatud. Kliendid peavad CVE-2017-5715 jaoks täiendava kaitse saamiseks lubama leevenduse. Lisateavet leiate artiklist KKK nr 15 ADV180002.
|
Lubage AMD protsessorites kasutaja tuumavastane kaitse koos muude CVE 2017-5715 ja CVE-2018-3639 kaitsega (Spekulatiivse salve bypass): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Muudatuste jõustumiseks taaskäivitage seade. |
|
Intel Transactional Synchronization Extensionsi (Intel TSX) Transaction Asynchronous Abort nõrkuse (CVE-2019-11135) ja Microarchitectural andmete diskreetimise (CVE-20) leevenduste lubamiseks19-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) koos Spectre (CVE-2017-5753 & CVE-2017-5715) ja Meltdowni (CVE-2017-5754) variandid, sh Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) ja L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646) hüperlõime keelamata: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Kui Hyper-V funktsioon on installitud, lisage järgmine registrisäte. reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Kui tegemist on Hyper-V hostiga ja püsivaravärskendused on rakendatud, tehke järgmist. Sulgege täielikult kõik virtuaalarvutid. See võimaldab püsivaraga seotud leevendust rakendada hostis enne virtuaalarvutite käivitamist. Seetõttu värskendatakse virtuaalarvutid ka siis, kui need taaskäivitatakse. Muudatuste jõustumiseks taaskäivitage seade. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) kui Hyper-Threading keelatud: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Kui Hyper-V funktsioon on installitud, lisage järgmine registrisäte. reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Kui tegemist on Hyper-V hostiga ja püsivaravärskendused on rakendatud, tehke järgmist. Sulgege täielikult kõik virtuaalarvutid. See võimaldab püsivaraga seotud leevendust rakendada hostis enne virtuaalarvutite käivitamist. Seetõttu värskendatakse virtuaalarvutid ka siis, kui need taaskäivitatakse. Muudatuste jõustumiseks taaskäivitage seade. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Muudatuste jõustumiseks taaskäivitage seade. |
CVE-2022-23825 leevenduse lubamiseks AMD protsessorites tehke järgmist.
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Täieliku kaitse tagamiseks peavad kliendid võib-olla ka Hyper-Threading keelama (tuntud ka kui Samaaegne mitmelõimeline (SMT)). Juhised Windowsi seadmete kaitsmise kohta leiate teemast KB4073757.
CVE-2023-20569 leevenduse lubamiseks AMD protsessorites tehke järgmist.
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
CVE-2022-0001 leevenduse lubamiseks Inteli protsessorites tehke järgmist.
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Mitme leevenduse lubamine
Mitme leevenduse lubamiseks peate lisama iga leevenduse REG_DWORD väärtuse.
Näide.
|
Mitigation for Transaction Asynchronous Abort vulnerability, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) and L1 Terminal Fault (L1TF) with Hyper-Threading disabled |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
|
MÄRKUS 8264 (kümnendarvuna) = 0x2048 (kümnendarvuna) BHI lubamiseks koos muude olemasolevate sätetega peate kasutama praeguse väärtuse bititaseme OR-väärtust väärtusega 8 388 608 (0x800000). 0x800000 OR 0x2048(kümnendkohana 8264) ja see muutub 8396 872 -ks (0x802048). Sama funktsiooniga FeatureSettingsOverrideMask. |
|
|
CVE-2022-0001 leevendamine Inteli protsessorites |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
|
Kombineeritud leevendus |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
|
Mitigation for Transaction Asynchronous Abort vulnerability, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) and L1 Terminal Fault (L1TF) with Hyper-Threading disabled |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
|
CVE-2022-0001 leevendamine Inteli protsessorites |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
|
Kombineeritud leevendus |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Kontrollige, kas kaitse on lubatud
Veendumaks, et kaitsed on lubatud, oleme avaldanud PowerShelli skripti, mida saate oma seadmetes käitada. Installige ja käivitage skript, kasutades ühte järgmistest meetoditest.
|
Installige PowerShelli moodul: PS> Install-Module SpeculationControl Käivitage PowerShelli moodul veendumaks, et kaitsed on lubatud: PS> # Salvesta praegune käivituspoliitika, et seda saaks lähtestada PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned – scope Currentuser PS> Import-Module SpeculationControl PS-> Get-SpeculationControlSettings PS> # Käivituspoliitika lähtestamine algsesse olekusse PS> Set-ExecutionPolicy $SaveExecutionPolicy - Scope Currentuser |
|
Installige PowerShelli moodul Techneti ScriptCenterest. Ava https://aka.ms/SpeculationControlPS Laadige SpeculationControl.zip alla kohalikku kausta. Ekstraktige sisu kohalikku kausta, näiteks C:\ADV180002 Käivitage PowerShelli moodul veendumaks, et kaitsed on lubatud: Käivitage PowerShell, seejärel (eelmise näite abil) kopeerige ja käivitage järgmised käsud. PS> # Salvesta praegune käivituspoliitika, et seda saaks lähtestada PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned – scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS-> Get-SpeculationControlSettings PS> # Käivituspoliitika lähtestamine algsesse olekusse PS> Set-ExecutionPolicy $SaveExecutionPolicy - Scope Currentuser |
PowerShelli skripti väljundi üksikasjaliku selgituse leiate teemast KB4074629.
Korduma kippuvad küsimused
Mikrokood edastatakse püsivaravärskenduse kaudu. Peaksite küsima oma protsessorilt (kiibikomplektilt) ja seadme tootjatelt, kas nende seadme jaoks on saadaval asjakohased püsivara turbevärskendused, sh Intels Microcode'i redaktsioonijuhised.
Riistvara nõrkuse kõrvaldamine tarkvaravärskenduse kaudu kujutab endast olulisi probleeme. Vanemate operatsioonisüsteemide leevendused nõuavad ka ulatuslikke arhitektuurilisi muudatusi. Teeme koostööd mõjutatud kiibi tootjatega, et teha kindlaks parim viis leevendusmeetmete pakkumiseks, mida võidakse tulevastes värskendustes pakkuda.
Teabevärskendused Microsoft Surface'i seadmetele edastatakse klientidele Windows Update kaudu koos Windowsi operatsioonisüsteemi värskendustega. Saadaolevate Surface'i seadme püsivaravärskenduste (mikrokoodi) värskenduste loendi leiate teemast KB4073065.
Kui teie seade ei pärine Microsoftilt, kasutage seadmetootja püsivara. Lisateabe saamiseks pöörduge OEM-seadme tootja poole.
2018. aasta veebruaris ja märtsis andis Microsoft välja kaitse mõnede x86-põhiste süsteemide jaoks. Lisateavet leiate KB4073757 ja Microsofti turbenõuandla ADV180002.
holoLensi Windows 10 Teabevärskendused on HoloLensi klientidele Windows Update kaudu saadaval.
Pärast 2018. aasta veebruari Windowsi turve värskenduse rakendamist ei pea HoloLensi kliendid seadme püsivara värskendamiseks midagi tegema. Need leevendused lisatakse ka HoloLensi Windows 10 tulevastesse väljaannetesse.
Ei. Ainult turbevärskendused pole kumulatiivsed. Olenevalt kasutatavast operatsioonisüsteemi versioonist peate nende nõrkuste eest kaitsmiseks installima igakuised ainult turbevärskendused. Näiteks kui kasutate mõjutatud Inteli protsessoris Windows 7 32-bitise süsteemi jaoks, peate installima kõik ainult turbevärskendused. Soovitame need ainult turbevärskendused installida väljaandmisjärjestuses.
Märkus Selle KKK varasem versioon teatas valesti, et veebruari turbevärskendus sisaldas jaanuaris välja antud turbeparandusi. Tegelikult ei ole.
Ei. Turbevärskendus 4078130 oli konkreetne lahendus, mis takistab ettearvamatuid süsteemikäitumisi, jõudlusprobleeme ja/või ootamatuid taaskäivitamisi pärast mikrokoodi installimist. Veebruari turbevärskenduste rakendamine Windowsi kliendi operatsioonisüsteemides võimaldab kõiki kolme leevendusmeetmeid.
Intel teatas hiljuti , et on valideerimise lõpetanud ja alustanud mikrokoodi väljaandmist uuemate protsessoriplatvormide jaoks. Microsoft teeb kättesaadavaks Inteli valideeritud mikrokoodi värskendused Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") ümber. KB4093836 loetleb Windowsi versiooni järgi kindlad teabebaasiartiklid. Iga konkreetne KB sisaldab saadaolevaid Inteli mikrokoodi värskendusi protsessori kaupa.
Selle probleemi lahendas KB4093118.
AMD teatas hiljuti, et on alustanud mikrokoodi väljaandmist uuematele protsessoriplatvormidele Spectre Variant 2 ümber (CVE-2017-5715 "Branch Target Injection"). Lisateavet leiate AMD turbe Teabevärskendused ja AMD Whitepaper: arhitektuurisuunised kaudse haru juhtimise kohta. Need on saadaval OEM-i püsivarakanali kaudu.
Teeme kättesaadavaks Inteli valideeritud mikrokoodi värskendused Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection ") kohta. Uusimate Inteli mikrokoodi värskenduste saamiseks Windows Update peavad kliendid enne Windows 10. aprilli 2018 värskenduse (versioon 1803) kasutuselevõttu olema installinud Inteli mikrokoodi seadmetesse, kus töötab operatsioonisüsteem Windows 10.
Mikrokoodi värskendus on saadaval ka otse kataloogist, kui see polnud seadmesse installitud enne operatsioonisüsteemi täiendamist. Inteli mikrokood on saadaval Windows Update, WSUS-i või Microsoft Update'i kataloogi kaudu. Lisateavet ja allalaadimisjuhised leiate teemast KB4100347.
Lisateavet leiate järgmistest materjalidest.
Üksikasjalikumat teavet leiate ADV180012 jaotistest "Soovitatavad toimingud" ja "KKK" . Microsofti juhised Speculative Store Bypassi jaoks.
SSBD oleku kontrollimiseks värskendati Get-SpeculationControlSettings PowerShelli skripti, et tuvastada mõjutatud protsessorid, SSBD operatsioonisüsteemi värskenduste olek ja vajaduse korral protsessori mikrokoodi olek. Lisateabe saamiseks ja PowerShelli skripti hankimiseks vaadake teemat KB4074629.
13. juunil 2018 teatati ja määrati CVE-2018-3665 täiendavaks nõrkuseks, mis hõlmas külgmise kanali spekulatiivset käivitamist ehk lazy FP oleku taastamist. Laisktaaste FP taastamiseks pole vaja konfigureerimise (registri) sätteid.
Lisateavet selle nõrkuse ja soovitatud toimingute kohta leiate turbenõuandla ADV180016 | Microsofti juhised lazy FP oleku taastamise jaoks.
Märkus.: Laisktaaste FP taastamiseks pole vaja konfigureerimise (registri) sätteid.
Bounds Check Bypass Store (BCBS) avaldati 10. juulil 2018 ja talle määrati CVE-2018-3693. Arvame, et BCBS kuulub samasse nõrkuste klassi nagu Bounds Check Bypass (Variant 1). Me pole praegu teadlikud BCBS-i eksemplaridest meie tarkvaras, kuid jätkame selle haavatavuse klassi uurimist ja teeme koostööd tööstuspartneritega leevendusmeetmete väljaandmiseks vastavalt vajadusele. Julgustame teadlasi jätkuvalt esitama asjakohaseid leide Microsofti spekulatiivse käivitamise külgkanali bounty programmile, sh BCBS-i ekspluateerivatele eksemplaridele. Tarkvaraarendajad peaksid https://aka.ms/sescdevguide üle vaatama BCBS-i jaoks värskendatud arendusjuhised.
14. augustil 2018 teatati L1 Terminal Fault (L1TF) ja määrati mitu CV-d. Neid uusi spekulatiivseid käivitamise külgmise kanali nõrkusi saab kasutada mälu sisu lugemiseks üle usaldusväärse piiri ja võib kasutamisel põhjustada teabe avaldamise. Ründaja võib sõltuvalt konfigureeritud keskkonnast haavatavused käivitada mitme vektori kaudu. L1TF mõjutab Intel® Core'i® protsessoreid ja Intel® Xeoni® protsessoreid.
Selle nõrkuse kohta lisateabe saamiseks ja mõjutatud stsenaariumide üksikasjaliku ülevaate (sh Microsofti lähenemisviis L1TF-i leevendamiseks) leiate järgmistest ressurssidest.
Kliendid, kes kasutavad 64-bitist ARM-protsessorit, peaksid küsima seadme OEM-ilt püsivaratuge, kuna ARM64 operatsioonisüsteemi kaitse, mis leevendab CVE-2017-5715 | Haru sihtkoha sisestamine (Spectre, Variant 2) nõuab seadme OEM-ide uusima püsivara värskenduse jõustumist.
Lisateavet leiate järgmistest turbenõustajatest.
Lisateavet leiate järgmistest turbenõustajatest.
Täpsemad juhised leiate Windowsi juhistest külgmise kanali spekulatiivsete käivitamise nõrkuste eest kaitsmiseks
Azure'i juhised leiate sellest artiklist: Juhised külgmise kanali spekulatiivsete käivitamise nõrkuste leevendamiseks Azure'is.
Lisateavet Retpoline'i lubamise kohta leiate meie ajaveebipostitusest: Spectre variant 2 leevendamine Windowsis Retpoline'iga.
Lisateavet selle nõrkuse kohta leiate Microsofti turbejuhendist: CVE-2019-1125 | Windowsi tuumateabe avaldamise nõrkus.
Me pole teadlikud selle teabe avaldamise nõrkusest, mis mõjutab meie pilvteenuste taristut.
Kohe, kui sellest probleemist teada saime, töötasime selle probleemi lahendamiseks ja värskenduse väljaandmiseks kiiresti. Usume tugevalt tihedatesse partnerlustesse nii teadlaste kui ka tööstuspartneritega, et muuta kliendid turvalisemaks, ega avaldanud üksikasju enne teisipäeva, 6. augustit kooskõlas nõrkuste avalikustamise kooskõlastatud tavadega.
Täpsemad juhised leiate Windowsi juhistest külgmise kanali spekulatiivsete käivitamise nõrkuste eest kaitsmiseks.
Täpsemad juhised leiate Windowsi juhistest külgmise kanali spekulatiivsete käivitamise nõrkuste eest kaitsmiseks.
Täpsemad juhised leiate artiklist Inteli® tehingu sünkroonimise laiendite (Intel® TSX) funktsiooni keelamise juhised.
Viited
Pakume kolmanda osapoole kontaktteavet, mis aitab teil leida tehnilist tuge. Sellist kontaktteavet võidakse ilma ette teatamata muuta. Me ei taga selle kolmanda osapoole kontaktteabe täpsust.
