Märkus.: Seda artiklit värskendatakse, kui lisateave on saadaval. Vaadake siia regulaarselt värskendusi ja uusi KKK-sid.

Haavatavuste

14. mail 2019 avaldas Intel teabe külgmise kanali spekulatiivsete käivitamise nõrkuste uue alamklassi kohta, mida tuntakse nime all Microarchitectural Data Sampling. Need nõrkused on lahendatud järgmistes CV-des:

NB!: Need probleemid mõjutavad teisi operatsioonisüsteeme (nt Android, Chrome, iOS ja MacOS). Soovitame teil otsida juhiseid nendelt vastavatelt tarnijatelt.

Oleme välja andnud värskendused nende nõrkuste leevendamiseks. Kõigi saadaolevate kaitsefunktsioonide hankimiseks on vaja püsivara (mikrokoodi) ja tarkvaravärskendusi. See võib hõlmata seadme OEM-ide mikrokoodi. Mõnel juhul mõjutab nende värskenduste installimine jõudlust. Oleme tegutsenud ka oma pilveteenuste turvalisuse tagamisel. Soovitame tungivalt need värskendused juurutada.

Selle probleemi kohta leiate lisateavet järgmisest turbenõuandla ja kasutusstsenaariumipõhistest juhistest ohu leevendamiseks vajalike toimingute määramiseks.

Märkus.: Soovitame teil enne mikrokoodi värskenduste installimist installida Windows Update kõik uusimad värskendused.

6. augustil 2019 andis Intel välja üksikasjad Windowsi tuumateabe avaldamise nõrkuse kohta. See nõrkus on Spectre Variant 1 spekulatiivse käivitamise külgmise kanali nõrkuse variant ja sellele on määratud CVE-2019-1125.

9. juulil 2019 andsime välja Windowsi operatsioonisüsteemi turbevärskendused, mis aitavad seda probleemi leevendada. Palun pange tähele, et me oleme tagasi dokumenteerinud selle leevenduse avalikult kuni koordineeritud tööstuse avalikustamiseni teisipäeval, 6. augustil 2019.

Kliendid, kes on Windows Update lubanud ja rakendanud 9. juulil 2019 välja antud turbevärskendusi, on automaatselt kaitstud. Rohkem konfiguratsioone pole vaja.

Märkus.: See nõrkus ei vaja teie seadme tootja (OEM) mikrokoodi värskendust.

Lisateavet selle nõrkuse ja kohalduvate värskenduste kohta leiate Microsofti turbevärskenduste juhendist.

12. novembril 2019 avaldas Intel tehnilise nõuande Intel Transactional Synchronization Extensionsi (Intel TSX) Transaction Asynchronous Abort nõrkuse kohta, millele on määratud CVE-2019-11135. Oleme selle nõrkuse leevendamiseks välja andnud värskendused. Windowsi klientrakenduste operatsioonisüsteemi väljaannete jaoks on operatsioonisüsteemi kaitse vaikimisi lubatud.

14. juunil 2022 avaldasime ADV220002 | Microsofti juhised Inteli protsessori MMIO andmete nõrkuste kohta. Haavatavused määratakse järgmistes CV-des:

Soovitatavad toimingud

Nende nõrkuste eest kaitsmiseks peaksite tegema järgmist.

  1. Rakendage kõik saadaolevad Windowsi operatsioonisüsteemi värskendused, sh igakuised Windowsi turbevärskendused.

  2. Rakendage seadme tootjalt saadud püsivaravärskendus (mikrokoodi).

  3. Hinnake oma keskkonna ohtu, võttes aluseks teabe, mis on lisaks selles artiklis esitatud teabele esitatud Microsofti turbenõustajate ADV180002, ADV180012, ADV190013 ja ADV220002kaudu.

  4. Tehke vajalikud toimingud, kasutades selles artiklis esitatud nõuandvaid nõustajaid ja registrivõtme teavet.

Märkus.: Surface'i kliendid saavad Windowsi värskenduse kaudu mikrokoodi värskenduse. Uusimate saadaolevate Surface'i seadme püsivaravärskenduste (mikrokoodi) värskenduste loendi leiate teemast KB4073065.

Windowsi klientrakenduste leevendussätted

Turbenõustajad ADV180002, ADV180012, ADV190013 ja ADV220002 annavad teavet nende nõrkuste ohu ja selle kohta, kuidas need aitavad teil tuvastada Windowsi klientsüsteemide leevenduste vaikeolekut. Järgmises tabelis on kokkuvõte CPU mikrokoodi nõudest ja Windowsi klientrakenduste leevendusmeetmete vaikeolekust.

CVE

Kas vajate protsessori mikrokoodi/püsivara?

Leevenduse vaikeolek

CVE-2017-5753

Ei

Vaikimisi lubatud (keelamissuvandit pole)

Lisateavet leiate artiklist ADV180002 .

CVE-2017-5715

Jah

Vaikimisi lubatud. AMD protsessoritel põhinevate süsteemide kasutajad peaksid nägema KKK-d #15 ja ARM-protsessorite kasutajad peaksid täiendavate toimingute tegemiseks nägema KKK -d #20 ADV180002-s ja seda teabebaasiartiklit kohaldatavate registrivõtme sätete kohta.

Märkus. Kui Spectre Variant 2 (CVE-2017-5715) on lubatud seadmetes, kus töötab Windows 10 versioon 1809 või uuem versioon, on Retpoline vaikimisi lubatud. Retpoline'i kohta lisateabe saamiseks järgige ajaveebipostituses Retpoline'iga Spectre variant 2 leevendamise juhiseid.

CVE-2017-5754

Ei

Vaikimisi lubatud

Lisateavet leiate artiklist ADV180002 .

CVE-2018-3639

Intel: jah
AMD: ei
ARM: jah

Intel ja AMD: vaikimisi keelatud. Lisateavet leiate artiklist ADV180012 ja sellest teabebaasiartiklist kohaldatavate registrivõtmesätete kohta.

ARM: vaikimisi lubatud ilma keelamise võimaluseta.

CVE-2019-11091

Intel: jah

Vaikimisi lubatud.

Lisateavet leiate artiklist ADV190013 ja sellest artiklist leiate asjakohased registrivõtme sätted.

CVE-2018-12126

Intel: jah

Vaikimisi lubatud.

Lisateavet leiate artiklist ADV190013 ja sellest artiklist leiate asjakohased registrivõtme sätted.

CVE-2018-12127

Intel: jah

Vaikimisi lubatud.

Lisateavet leiate artiklist ADV190013 ja sellest artiklist leiate asjakohased registrivõtme sätted.

CVE-2018-12130

Intel: jah

Vaikimisi lubatud.

Lisateavet leiate artiklist ADV190013 ja sellest artiklist leiate asjakohased registrivõtme sätted.

CVE-2019-11135

Intel: jah

Vaikimisi lubatud.

Lisateavet leiate artiklist CVE-2019-11135 ja sellest artiklist leiate asjakohased registrivõtme sätted.

CVE-2022-21123 (MMIO ADV220002 osa)

Intel: jah

Windows Server 2019, Windows Server 2022: vaikimisi lubatud. 
Windows Server 2016 ja varasemad versioonid: vaikimisi keelatud. 

Lisateavet leiate artiklist CVE-2022-21123 ja kohalduvate registrivõtmete sätete kohta selles artiklis.

CVE-2022-21125 (MMIO ADV220002 osa)

Intel: jah

Windows Server 2019, Windows Server 2022: vaikimisi lubatud. 
Windows Server 2016 ja varasemad versioonid: vaikimisi keelatud. 

Lisateavet leiate artiklist CVE-2022-21125 .

CVE-2022-21127 (MMIO ADV220002 osa)

Intel: jah

Server 2019, Windows Server 2022: vaikimisi lubatud. 
Windows Server 2016 ja varasemad versioonid: vaikimisi keelatud. 

Lisateavet leiate artiklist CVE-2022-21127 .

CVE-2022-21166 (MMIO ADV220002 osa)

Intel: jah

Windows Server 2019, Windows Server 2022: vaikimisi lubatud. 
Windows Server 2016 ja varasemad versioonid: vaikimisi keelatud. 

Lisateavet leiate artiklist CVE-2022-21166 .

CVE-2022-23825 (AMD CPU harutüübi segadus)

AMD: ei

Lisateavet leiate artiklist CVE-2022-23825 ja kohalduvate registrivõtme sätete kohta selles artiklis.

CVE-2022-23816 (AMD CPU harutüübi segadus)

AMD: ei

Lisateavet leiate artiklist CVE-2022-23816ja kohalduvate registrivõtme sätete kohta selles artiklis.

Märkus.: Vaikimisi võib väljalülitatud leevendusmeetmete lubamine mõjutada seadme jõudlust. Tegelik jõudluse mõju sõltub mitmest tegurist, näiteks seadme konkreetsest kiibikomplektist ja töötavatest töökoormustest.

Registrisätted

Pakume järgmist registriteavet, et lubada leevendusi, mis pole vaikimisi lubatud, nagu on dokumenteeritud turbenõustajate ADV180002 ja ADV180012-s. Lisaks pakume registrivõtme sätteid kasutajatele, kes soovivad keelata CVE-2017-5715 ja CVE-2017-5754 seotud leevendused Windowsi klientide jaoks.

NB!: See jaotis, meetod või toiming sisaldab etappe, mille käigus õpetatakse teid registrit muutma. Registri ekslik muutmine võib aga põhjustada tõsiseid probleeme. Seetõttu järgige tingimata hoolikalt juhiseid. Lisakaitseks varundage register enne selle muutmist. Siis saate probleemide ilmnemisel registri taastada. Registri varundamise ja taastamise kohta leiate lisateavet Microsofti teabebaasi artiklist:

322756 Registri varundamine ja taastamine Windowsis.

NB!: Vaikimisi on Retpoline lubatud Windows 10 versiooni 1809 seadmetes, kui Spectre, Variant 2 (CVE-2017-5715) on lubatud. Retpoline'i lubamine Windows 10 uusimas versioonis võib parandada jõudlust seadmetes, kus töötab Windows 10 versioon 1809 Spectre variant 2 jaoks, eriti vanemates protsessorites.

Vaikemeetmete lubamine CVE-2017-5715 (Spectre Variant 2) ja CVE-2017-5754 (Meltdown) jaoks

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Muudatuste jõustumiseks taaskäivitage seade.

CVE-2017-5715 (Spectre Variant 2) ja CVE-2017-5754 (Meltdown) leevenduste keelamine

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Muudatuste jõustumiseks taaskäivitage seade.

Märkus.: Väärtus 3 on FeatureSettingsOverrideMask-i puhul täpne nii lubamis- kui ka keelamissätete korral. (Registrivõtmete kohta leiate lisateavet jaotisest "KKK".)

CVE-2017-5715 (Spectre Variant 2) leevenduste keelamiseks tehke järgmist.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Muudatuste jõustumiseks taaskäivitage seade.

CVE-2017-5715 (Spectre Variant 2) ja CVE-2017-5754 (Meltdown) vaikemeetmete lubamiseks tehke järgmist.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Muudatuste jõustumiseks taaskäivitage seade.

Vaikimisi on kasutaja tuumade kaitse CVE-2017-5715 jaoks AMD ja ARM-i protsessorite jaoks keelatud. CVE-2017-5715 jaoks täiendava kaitse saamiseks peate lubama leevenduse. Lisateavet leiate teemast AMD protsessorite KKK #15 ( ADV180002 ) ja ARM-protsessorite KKK #20 jaotises ADV180002 .

Lubage AMD ja ARM-protsessorite kasutaja tuumavastane kaitse koos muude CVE 2017-5715 kaitselahendustega.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Muudatuste jõustumiseks taaskäivitage seade.

CVE-2018-3639 (Speculative Store Bypass) leevenduste lubamiseks tehke järgmist: CVE-2017-5715 (Spectre Variant 2) ja CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Muudatuste jõustumiseks taaskäivitage seade.

Märkus. AMD protsessorid pole CVE-2017-5754 (Meltdown) suhtes haavatavad. Seda registrivõtit kasutatakse AMD protsessoritega süsteemides CVE-2017-5715 vaikemeetmete lubamiseks AMD protsessorites ja CVE-2018-3639 leevendusmeetmetes.

CVE-2018-3639 (Speculative Store Bypass) *and* leevenduste keelamine CVE-2017-5715 (Spectre Variant 2) ja CVE-2017-5754 (Meltdown) jaoks

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Muudatuste jõustumiseks taaskäivitage seade.

Vaikimisi on kasutaja tuuma kaitse CVE-2017-5715 jaoks AMD protsessorite jaoks keelatud. Kliendid peavad CVE-2017-5715 jaoks täiendava kaitse saamiseks lubama leevenduse.  Lisateavet leiate artiklist KKK #15 rakenduses ADV180002.

Lubage AMD protsessorites kasutaja tuumavastane kaitse koos muude CVE 2017-5715 ja CVE-2018-3639 kaitsega (Spekulatiivse salve bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Muudatuste jõustumiseks taaskäivitage seade.

Intel Transactional Synchronization Extensionsi (Intel TSX) Transaction Asynchronous Abort nõrkuse (CVE-2019-11135) ja Microarchitectural andmete diskreetimise (CVE-20) leevenduste lubamiseks19-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) koos Spectre (CVE-2017-5753 & CVE-2017-5715) ja Meltdowni (CVE-2017-5754) variandid, sh Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) ja L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646) hüperlõime keelamata:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Kui Hyper-V funktsioon on installitud, lisage järgmine registrisäte.

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Kui tegemist on Hyper-V hostiga ja püsivaravärskendused on rakendatud, tehke järgmist. Sulgege täielikult kõik virtuaalarvutid. See võimaldab püsivaraga seotud leevendust rakendada hostis enne virtuaalarvutite käivitamist. Seetõttu värskendatakse virtuaalarvutid ka siis, kui need taaskäivitatakse.

Muudatuste jõustumiseks taaskäivitage seade.

Intel Transactional Synchronization Extensionsi (Intel TSX) Transaction Asynchronous Abort nõrkuse (CVE-2019-11135) ja Microarchitectural andmete diskreetimise (CVE-20) leevenduste lubamiseks19-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) koos Spectre (CVE-2017-5753 & CVE-2017-5715) ja Meltdowni (CVE-2017-5754) variandid, sh Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) ja L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646) kui Hyper-Threading keelatud:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Kui Hyper-V funktsioon on installitud, lisage järgmine registrisäte.

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Kui tegemist on Hyper-V hostiga ja püsivaravärskendused on rakendatud, tehke järgmist. Sulgege täielikult kõik virtuaalarvutid. See võimaldab püsivaraga seotud leevendust rakendada hostis enne virtuaalarvutite käivitamist. Seetõttu värskendatakse virtuaalarvutid ka siis, kui need taaskäivitatakse.

Muudatuste jõustumiseks taaskäivitage seade.

Intel® Transactional Synchronization Extensionsi (Intel® TSX) Transaction Asynchronous Abort nõrkuse (CVE-2019-11135) ja Microarchitectural Data Sampling ( CVE-20) leevenduste keelamine19-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) koos Spectre (CVE-2017-5753 & CVE-2017-5715) ja Meltdowni (CVE-2017-5754) variandid, sh Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) ja L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Muudatuste jõustumiseks taaskäivitage seade.

Lubage AMD protsessorites kasutaja tuumavastane kaitse:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Täieliku kaitse tagamiseks peavad kliendid võib-olla ka Hyper-Threading keelama (tuntud ka kui Samaaegne mitmelõimeline (SMT)). Juhised Windowsi seadmete kaitsmise kohta leiate teemast KB4073757

Kontrollige, kas kaitse on lubatud

Veendumaks, et kaitsed on lubatud, oleme avaldanud PowerShelli skripti, mida saate oma seadmetes käitada. Installige ja käivitage skript, kasutades ühte järgmistest meetoditest.

Installige PowerShelli moodul:

PS> Install-Module SpeculationControl

Käivitage PowerShelli moodul veendumaks, et kaitsed on lubatud:

PS> # Salvesta praegune käivituspoliitika, et seda saaks lähtestada

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned – scope Currentuser

PS> Import-Module SpeculationControl

PS-> Get-SpeculationControlSettings

PS> # Käivituspoliitika lähtestamine algsesse olekusse

PS> Set-ExecutionPolicy $SaveExecutionPolicy - Scope Currentuser

Installige PowerShelli moodul Techneti ScriptCenterest.

Ava https://aka.ms/SpeculationControlPS

Laadige SpeculationControl.zip alla kohalikku kausta.

Ekstraktige sisu kohalikku kausta, näiteks C:\ADV180002

Käivitage PowerShelli moodul veendumaks, et kaitsed on lubatud:

Käivitage PowerShell, seejärel (eelmise näite abil) kopeerige ja käivitage järgmised käsud.

PS> # Salvesta praegune käivituspoliitika, et seda saaks lähtestada

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned – scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS-> Get-SpeculationControlSettings

PS> # Käivituspoliitika lähtestamine algsesse olekusse

PS> Set-ExecutionPolicy $SaveExecutionPolicy - Scope Currentuser

PowerShelli skripti väljundi üksikasjaliku selgituse leiate teemast KB4074629.

korduma kippuvad küsimused

Mikrokood edastatakse püsivaravärskenduse kaudu. Peaksite küsima oma protsessorilt (kiibikomplektilt) ja seadme tootjatelt, kas nende seadme jaoks on saadaval asjakohased püsivara turbevärskendused, sh Intels Microcode'i redaktsioonijuhised.

Riistvara nõrkuse kõrvaldamine tarkvaravärskenduse kaudu kujutab endast olulisi probleeme. Vanemate operatsioonisüsteemide leevendused nõuavad ka ulatuslikke arhitektuurilisi muudatusi. Teeme koostööd mõjutatud kiibi tootjatega, et teha kindlaks parim viis leevendusmeetmete pakkumiseks, mida võidakse tulevastes värskendustes pakkuda.

Teabevärskendused Microsoft Surface'i seadmetele edastatakse klientidele Windows Update kaudu koos Windowsi operatsioonisüsteemi värskendustega. Saadaolevate Surface'i seadme püsivaravärskenduste (mikrokoodi) värskenduste loendi leiate teemast KB4073065.

Kui teie seade ei ole Microsoftilt, rakendage püsivara seadme tootjalt. Lisateabe saamiseks pöörduge OEM-seadme tootja poole.

2018. aasta veebruaris ja märtsis andis Microsoft välja kaitse mõnede x86-põhiste süsteemide jaoks. Lisateavet leiate artiklist KB4073757 ja Microsofti turbenõuandla ADV180002.

holoLensi Windows 10 Teabevärskendused on HoloLensi klientidele Windows Update kaudu saadaval.

Pärast 2018. aasta veebruari Windowsi turve värskenduse rakendamist ei pea HoloLensi kliendid seadme püsivara värskendamiseks midagi tegema. Need leevendused lisatakse ka HoloLensi Windows 10 tulevastesse väljaannetesse.

Ei. Ainult turbevärskendused pole kumulatiivsed. Olenevalt kasutatavast operatsioonisüsteemi versioonist peate nende nõrkuste eest kaitsmiseks installima igakuised ainult turbevärskendused. Näiteks kui kasutate mõjutatud Inteli protsessoris Windows 7 32-bitise süsteemi jaoks, peate installima kõik ainult turbevärskendused. Soovitame need ainult turbevärskendused installida väljaandmisjärjestuses.

Märkus. Selle KKK varasem versioon teatas valesti, et veebruari turbevärskendus sisaldas jaanuaris välja antud turbeparandusi. Tegelikult ei ole.

Ei. Turbevärskendus 4078130 oli konkreetne lahendus, mis takistab ettearvamatuid süsteemikäitumisi, jõudlusprobleeme ja/või ootamatuid taaskäivitamisi pärast mikrokoodi installimist. Veebruari turbevärskenduste rakendamine Windowsi kliendi operatsioonisüsteemides võimaldab kõiki kolme leevendusmeetmeid.

Intel teatas hiljuti , et on valideerimise lõpetanud ja alustanud mikrokoodi väljaandmist uuemate protsessoriplatvormide jaoks. Microsoft teeb kättesaadavaks Inteli valideeritud mikrokoodi värskendused Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") ümber. KB4093836 loetleb kindlad teabebaasi artiklid Windowsi versiooni järgi. Iga konkreetne KB sisaldab saadaolevaid Inteli mikrokoodi värskendusi protsessori järgi.

Selle probleemi lahendas värskendus KB4093118.

AMD teatas hiljuti, et on alustanud mikrokoodi väljaandmist uuematele protsessoriplatvormidele Spectre Variant 2 ümber (CVE-2017-5715 "Branch Target Injection"). Lisateavet leiate AMD turbe Teabevärskendused ja AMD Whitepaper: arhitektuurijuhised kaudse haru juhtimise kohta. Need on saadaval OEM-i püsivarakanali kaudu.

Teeme kättesaadavaks Inteli valideeritud mikrokoodi värskendused Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection ") kohta. Uusimate Inteli mikrokoodi värskenduste saamiseks Windows Update peavad kliendid enne Windows 10. aprilli 2018 värskenduse (versioon 1803) kasutuselevõttu olema installinud Inteli mikrokoodi seadmetesse, kus töötab operatsioonisüsteem Windows 10.

Mikrokoodi värskendus on saadaval ka otse kataloogist, kui seda ei installitud seadmesse enne operatsioonisüsteemi täiendamist. Inteli mikrokood on saadaval Windows Update, WSUS-i või Microsoft Update'i kataloogi kaudu. Lisateavet ja allalaadimisjuhised leiate teemast KB4100347.

Üksikasjalikumat teavet leiate artikli ADV180012 jaotistest "Soovitatavad toimingud" ja "KKK" , | Microsofti juhised Speculative Store Bypassi jaoks.

SSBD oleku kontrollimiseks värskendati Get-SpeculationControlSettings PowerShelli skripti, et tuvastada mõjutatud protsessorid, SSBD operatsioonisüsteemi värskenduste olek ja vajaduse korral protsessori mikrokoodi olek. Lisateavet ja PowerShelli skripti hankimise kohta leiate teavet artiklist KB4074629.

13. juunil 2018 teatati ja määrati CVE-2018-3665 täiendavaks nõrkuseks, mis hõlmas külgmise kanali spekulatiivset käivitamist ehk lazy FP oleku taastamist. Laisktaaste FP taastamiseks pole vaja konfigureerimise (registri) sätteid.

Selle nõrkuse ja soovitatud toimingute kohta leiate lisateavet turbenõuandla ADV180016 | Microsofti juhised lazy FP oleku taastamise jaoks.

Märkus.: Laisktaaste FP taastamiseks pole vaja konfigureerimise (registri) sätteid.

Bounds Check Bypass Store (BCBS) avaldati 10. juulil 2018 ja talle määrati CVE-2018-3693. Arvame, et BCBS kuulub samasse nõrkuste klassi nagu Bounds Check Bypass (Variant 1). Me pole praegu teadlikud BCBS-i eksemplaridest meie tarkvaras, kuid jätkame selle haavatavuse klassi uurimist ja teeme koostööd tööstuspartneritega leevendusmeetmete väljaandmiseks vastavalt vajadusele. Julgustame teadlasi jätkuvalt esitama asjakohaseid leide Microsofti spekulatiivse käivitamise külgkanali bounty programmile, sh BCBS-i ekspluateerivatele eksemplaridele. Tarkvaraarendajad peaksid https://aka.ms/sescdevguide üle vaatama BCBS-i jaoks värskendatud arendusjuhised.

14. augustil 2018 teatati L1 Terminal Fault (L1TF) ja määrati mitu CV-d. Neid uusi spekulatiivseid käivitamise külgmise kanali nõrkusi saab kasutada mälu sisu lugemiseks üle usaldusväärse piiri ja võib kasutamisel põhjustada teabe avaldamise. Ründaja võib sõltuvalt konfigureeritud keskkonnast haavatavused käivitada mitme vektori kaudu. L1TF mõjutab Intel® Core'i® protsessoreid ja Intel® Xeoni® protsessoreid.

Selle nõrkuse kohta lisateabe saamiseks ja mõjutatud stsenaariumide üksikasjaliku ülevaate (sh Microsofti lähenemisviis L1TF-i leevendamiseks) leiate järgmistest ressurssidest.

Kliendid, kes kasutavad 64-bitist ARM-protsessorit, peaksid küsima seadme OEM-ilt püsivaratuge, kuna ARM64 operatsioonisüsteemi kaitse, mis leevendab CVE-2017-5715 | Haru sihtkoha sisestamine (Spectre, Variant 2) nõuab seadme OEM-ide uusima püsivara värskenduse jõustumist.

Lisateavet Retpoline'i lubamise kohta leiate meie ajaveebipostitusest: Spectre variant 2 leevendamine Windowsis Retpoline'iga

Lisateavet selle nõrkuse kohta leiate Microsofti turbejuhendist: CVE-2019-1125 | Windowsi tuumateabe avaldamise nõrkus.

Me pole teadlikud selle teabe avaldamise nõrkusest, mis mõjutab meie pilvteenuste taristut.

Kohe, kui sellest probleemist teada saime, töötasime selle probleemi lahendamiseks ja värskenduse väljaandmiseks kiiresti. Usume tugevalt tihedatesse partnerlustesse nii teadlaste kui ka tööstuspartneritega, et muuta kliendid turvalisemaks, ega avaldanud üksikasju enne teisipäeva, 6. augustit kooskõlas nõrkuste avalikustamise kooskõlastatud tavadega.

Viited

Pakume kolmanda osapoole kontaktteavet, mis aitab teil leida tehnilist tuge. Seda kontaktteavet võidakse ette teatamata muuta. Me ei taga selle kolmanda osapoole kontaktteabe täpsust.

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Kui rahul te keelekvaliteediga olete?
Mis mõjutas teie hinnangut?

Täname tagasiside eest!

×