Windowsi kliendi juhiseid IT-spetsialistidele kaitsta spekulatiivne täitmise külg-Channel nõrkused

Soovitatavad tegevused

Kliendid peaksid võtma järgmisi meetmeid, et aidata kaitsta turvaauke:

  1. Rakendage kõik saadaolevad Windowsi operatsioonisüsteemi värskendused, sealhulgas Windowsi igakuised turvavärskendused.

  2. Rakendage rakendatav püsivara (mikrokood) värskendus, mis on ette nähtud seadme tootja.

  3. Hinnake oma keskkonda, tuginedes teabele, mis on esitatud Microsofti Turbenõustalates: ADV180002, ADV180012, ADV190013 ja selles teabebaasi artiklis esitatud teabest.

  4. Võtke vajalikke meetmeid, kasutades selles teabebaasi artiklis toodud nõud ja registri võtme teavet.

Märkus Surface ' i kliendid saavad mikrokoodivärskenduse Windows Update ' i kaudu. Uusima saadaoleva Surface ' i seadme püsivara (mikrokoodi) värskenduste loendi leiate teemast KB 4073065.

Windowsi klientide leevendamine sätted

Turvalisuse nõustused ADV180002, ADV180012ja ADV190013 anda teavet nende haavatavuste põhjustatud riski ja need aitavad teil tuvastada vaikimisi oleku kergendamise Windowsi kliendi süsteemides. Järgmises tabelis on kokku nõude CPU mikrokood ja Windows klientide kergendamise vaikeolekut.

CVE

Nõuab CPU mikrokoodi/püsivara?

Leevendamine vaikimisi olek

CVE-2017-5753

Ei

Vaikimisi lubatud (keelamiseks pole võimalust)

Lisateabe saamiseks vaadake palun ADV180002 .

CVE-2017-5715

Jah

Vaikimisi lubatud. AMD protsessoritel põhinevate süsteemide kasutajad peaksid nägema KKK #15 ja kasutajad ARM protsessorid peaks nägema KKK #20 kohta ADV180002 täiendavaid meetmeid ja selle teabebaasi artikli jaoks kohaldatav registri võtme sätted.

Märkus "Retpoline" on vaikimisi lubatud seadmete töötab Windows 10 1809 või uuem kui SPECTRE variant 2 (CVE-2017-5715) on lubatud. Lisateabe saamiseks umbes "retpoline", järgige juhiseidkergendamise SPECTRE variant 2 retpoline Windows blogi postitus.

CVE-2017-5754

Ei

Vaikimisi lubatud

Lisateabe saamiseks vaadake palun ADV180002 .

CVE-2018-3639

Intel: Jah AMD: ei ARM: Jah

Intel ja AMD: vaikimisi keelatud. Lisateabe saamiseks ja selles teabebaasi artiklis kohaldatava registrivõtme sätete kohta vt ADV180012 .

ARM: vaikimisi lubatud ilma võimalus keelata.

CVE-2018-11091

Intel: Jah

Vaikimisi lubatud.

Lisateabe saamiseks ja selles teabebaasi artiklis kohaldatava registrivõtme sätete kohta vt ADV190013 .

CVE-2018-12126

Intel: Jah

Vaikimisi lubatud.

Lisateabe saamiseks ja selles teabebaasi artiklis kohaldatava registrivõtme sätete kohta vt ADV190013 .

CVE-2018-12127

Intel: Jah

Vaikimisi lubatud.

Lisateabe saamiseks ja selles teabebaasi artiklis kohaldatava registrivõtme sätete kohta vt ADV190013 .

CVE-2018-12130

Intel: Jah

Vaikimisi lubatud.

Lisateabe saamiseks ja selles teabebaasi artiklis kohaldatava registrivõtme sätete kohta vt ADV190013 .

CVE-2019-11135

Intel: Jah

Vaikimisi lubatud.

Vaadake CVE-2019-11135 lisateabe saamiseks ja selle teabebaasi artikli jaoks kehtivad registrivõtme sätted.

Märkus Kergendamise, mis on välja lülitatud vaikimisi võib mõjutada jõudlust. Tegelik jõudlus mõju sõltub mitmest teguritest, näiteks konkreetse kiil seadmes ja töökoormus, mis töötavad.

Registrisätted

Pakume järgmist registriteavet lubamiseks kergendamise, mis on vaikimisi lubatud, nagu dokumenteeritud turvalisuse nõustajatel ADV180002 ja ADV180012. Lisaks pakume registrivõtme sätted kasutajatele, kes soovivad keelata kergendamise, mis on seotud CVE-2017-5715 ja CVE-2017-5754 Windowsi klientide jaoks.

Tähtis See jaotis, meetod või toiming sisaldab etappe, mis räägivad, kuidas registrit muuta. Siiski võib tekkida tõsiseid probleeme, kui muudate registrit valesti. Seetõttu veenduge, et järgige neid samme hoolikalt. Lisatud kaitse, varundage register enne selle muutmist. Seejärel saate registri taastada, kui probleem ilmneb. Kuidas varundada ja taastada registrit kohta lisateabe saamiseks lugege Microsofti teabebaasi (Knowledge Base) järgmist artiklit:

322756 kuidas varundada ja taastada registrit Windowsis

Manage kergendamise CVE-2017-5715 (SPECTRE variant 2) ja CVE-2017-5754 (Meltdown)

Oluline Märkus Retpoline on vaikimisi lubatud Windows 10, versioon 1809 seadmete kui SPECTRE, variant 2 (CVE-2017-5715) on lubatud. Windows 10 uusima versiooni Retpoliini lubamine võib suurendada jõudlust seadmetes, kus töötab Windows 10, versioon 1809 SPECTRE variant 2, eriti vanemad protsessorid.

Vaikimisi kergendamise lubamiseks CVE-2017-5715 (SPECTRE variant 2) ja CVE-2017-5754 (Meltdown)

reg lisada "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v Funktsioonresettingsoverride/t REG_DWORD/d 0/f

reg lisada "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Muudatuste jõustumiseks taaskäivitage arvuti.

Keelamine kergendamise CVE-2017-5715 (SPECTRE variant 2) ja CVE-2017-5754 (Meltdown)

reg lisada "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v Funktsioonresettingsoverride/t REG_DWORD/d 3/f

reg lisada "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Muudatuste jõustumiseks taaskäivitage arvuti.

Märkus Väärtus 3 on täpne Featuresettingsoverridemask nii "luba" ja "Keela" sätted. (Lisateavet registrivõtmete kohta vt jaotisest "KKK").

Halda leevendamine CVE-2017-5715 (viirastus variant 2)

Keelamiseks kergendamise CVE-2017-5715 (SPECTRE variant 2) :

reg lisada "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v Funktsioonresettingsoverride/t REG_DWORD/d 1/f

reg lisada "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Muudatuste jõustumiseks taaskäivitage arvuti.

Lubada vaikimisi kergendamise CVE-2017-5715 (SPECTRE variant 2) ja CVE-2017-5754 (Meltdown):

reg lisada "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v Funktsioonresettingsoverride/t REG_DWORD/d 0/f

reg lisada "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Muudatuste jõustumiseks taaskäivitage arvuti.

AMD ja ARM protsessorid ainult: luba täielik leevendamine CVE-2017-5715 (SPECTRE variant 2)

Vaikimisi kasutaja-tuuma kaitse CVE-2017-5715 on keelatud AMD ja ARM protsessorid. Kliendid peavad lubama leevendamine saada täiendavat kaitset CVE-2017-5715. Lisateabe saamiseks vaadake KKK #15 in ADV180002 AMD protsessorid ja KKK #20 ADV180002 arm protsessorid.

Lubage kasutaja-tuuma kaitse AMD ja arm protsessorid koos teiste kaitstud CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Muudatuste jõustumiseks taaskäivitage arvuti.

Manage kergendamise CVE-2018-3639 (spekulatiivne poe bypass), CVE-2017-5715 (SPECTRE variant 2) ja CVE-2017-5754 (Meltdown)

CVE-2018-3639 (spekulatiivne poe bypass) kergendamise lubamiseks vaikimisi kergendamise CVE-2017-5715 (SPECTRE variant 2) ja CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Muudatuste jõustumiseks taaskäivitage arvuti.

Märkus: AMD protsessorid ei ole tundlikud CVE-2017-5754 (Meltdown). Seda registrivõtit kasutatakse süsteemides, kus AMD protsessorid võimaldavad vaikimisi kergendamise CVE-2017-5715 AMD protsessorid ja CVE-2018-3639 leevendamine.

Keelamine kergendamise CVE-2018-3639 (spekulatiivne poe bypass) * ja * kergendamise CVE-2017-5715 (SPECTRE variant 2) ja CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Muudatuste jõustumiseks taaskäivitage arvuti.

Ainult AMD protsessorid: Lubage täielik leevendamine CVE-2017-5715 (SPECTRE variant 2) ja CVE 2018-3639 (spekulatiivne poe bypass)

Vaikimisi kasutaja-tuuma kaitse CVE-2017-5715 on keelatud AMD protsessorid. Kliendid peavad lubama leevendamine saada täiendavat kaitset CVE-2017-5715.  Lisateabe saamiseks vaadake KKK #15 in ADV180002.

Lubage kasutaja-tuuma kaitse AMD protsessorid koos teiste kaitstud cve 2017-5715 ja kaitse CVE-2018-3639 (spekulatiivne poe bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Muudatuste jõustumiseks taaskäivitage arvuti.

Manage Intel® ülekande sünkroonimise laiendid (Intel® TSX) tehingu asünkroonne abort haavatavuse (CVE-2019-11135) ja Microarhitektuuriandmete väljavõtteline uuring (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) koos SPECTRE (CVE-2017-5753 & CVE-2017-5715) ja Meltdown (CVE-2017-5754) variandid, sealhulgas spekulatiivne poe bypass Keela (SSBD) (CVE-2018-3639) samuti L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646)

Et lubada kergendamise Intel® ülekande sünkroonimise laiendid (Intel® TSX) tehingu asünkroonne katkestada haavatavuse (CVE-2019-11135) ja microarhitektuuriandmete väljavõtteline uuring ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) koos SPECTRE (CVE-2017-5753 & CVE-2017-5715) ja Meltdown (CVE-2017-5754) variandid, sealhulgas spekulatiivne poe möödu Keela (ssbd) ( CVE-2018-3639) samuti L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646) ilma keelamine Hyper-Threading:

reg lisada "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v Funktsioonresettingsoverride/t REG_DWORD/d 72/f

reg lisada "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Kui Hyper-V funktsioon on installitud, lisage järgmine registrisätet:

reg lisada "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v Minvmversionforcpubasedkergendamise/t REG_SZ/d "1,0"/f

Kui see on Hyper-V server ja püsivara värskendused on rakendatud: Täielikult sulgeda kõik virtuaalarvutid. See võimaldab püsivara seotud leevendamine rakendada Host enne VMs-süsteemi käivitamist. Seetõttu värskendatakse VMs ka siis, kui need on taaskäivitatud.

Muudatuste jõustumiseks taaskäivitage arvuti.

Et lubada kergendamise Intel® ülekande sünkroonimise laiendid (Intel® TSX) tehingu asünkroonne katkestada haavatavuse (CVE-2019-11135) ja microarhitektuuriandmete väljavõtteline uuring ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) koos SPECTRE (CVE-2017-5753 & CVE-2017-5715) ja Meltdown (CVE-2017-5754) variandid, sealhulgas spekulatiivne poe möödu Keela (ssbd) ( CVE-2018-3639) kui ka L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646) Hyper-Threading keelatud:

reg lisada "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v Funktsioonresettingsoverride/t REG_DWORD/d 8264/f

reg lisada "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Kui Hyper-V funktsioon on installitud, lisage järgmine registrisätet:

reg lisada "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v Minvmversionforcpubasedkergendamise/t REG_SZ/d "1,0"/f

 

Kui see on Hyper-V server ja püsivara värskendused on rakendatud: Täielikult sulgeda kõik virtuaalarvutid. See võimaldab püsivara seotud leevendamine rakendada Host enne VMs-süsteemi käivitamist. Seetõttu värskendatakse VMs ka siis, kui need on taaskäivitatud.

Muudatuste jõustumiseks taaskäivitage arvuti.

Et keelata kergendamise Intel® ülekande sünkroonimise laiendid (Intel® TSX) tehingu asünkroonne katkestada haavatavuse (CVE-2019-11135) ja microarhitektuuriga andmete väljavõtteline uuring ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) koos SPECTRE (CVE-2017-5753 & CVE-2017-5715) ja Meltdown (CVE-2017-5754) variandid, sealhulgas spekulatiivne poe möödu Keela (ssbd) ( CVE-2018-3639) samuti L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646):

reg lisada "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v Funktsioonresettingsoverride/t REG_DWORD/d 3/f

reg lisada "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Muudatuste jõustumiseks taaskäivitage arvuti.

Kontrollimine, kas kaitse on lubatud

Et aidata klientidel veenduda, et kaitse on lubatud, oleme avaldanud PowerShelli skripti, et kliendid saavad käivitada oma süsteemides. Installige ja käivitage skript, käivitades järgmised käsud.

PowerShelli kontrollimine, kasutades PowerShelli Galerii (Windows Server 2016 või WMF 5.0/5.1)

PowerShelli mooduli installimine:

PS > install-moodul SpeculationControl

Käivitage PowerShelli moodul veendumaks, et kaitse on lubatud:

PS > # Salvesta praegune täitmispoliitika nii, et seda saab lähtestada

PS > $SaveExecutionPolicy = Get-ExecutionPolicy

PS > Set-ExecutionPolicy Remoteallkirjastatud-ulatus CurrentUser

PS > Import-moodul SpeculationControl

PS > Get-SpeculationControlSettings

PS > # Lähtesta täitmispoliitika algne olek

PS > Set-ExecutionPolicy $SaveExecutionPolicy-ulatus CurrentUser

 

PowerShelli kontrollimine, kasutades allalaadimiseks TechNeti (varasemad operatsioonisüsteemi versioonid ja varasemad WMF versioonid)

Installige PowerShelli moodul TechNeti ScriptCenter:

Minge jaotisse https://aka.MS/SpeculationControlPS

Lae SpeculationControl. zip kohalikku kausta.

Ekstraktige sisu kohalikku kausta, näiteks C:\ADV180002

Käivitage PowerShelli moodul veendumaks, et kaitse on lubatud:

Käivitage PowerShelli, siis (kasutades eelmise näite) kopeerige ja käivitage järgmised käsud:

PS > # Salvesta praegune täitmispoliitika nii, et seda saab lähtestada

PS > $SaveExecutionPolicy = Get-ExecutionPolicy

PS > Set-ExecutionPolicy Remoteallkirjastatud-ulatus CurrentUser

PS > CD C:\ADV180002\SpeculationControl

PS > Import-moodul .\SpeculationControl.psd1

PS > Get-SpeculationControlSettings

PS > # Lähtesta täitmispoliitika algne olek

PS > Set-ExecutionPolicy $SaveExecutionPolicy-ulatus CurrentUser

Üksikasjalikku selgitust PowerShelli skripti väljund, lugege teabebaasi (Knowledge Base) artiklis 4074629.

korduma kippuvad küsimused

Mikrokood tarnitakse püsivara värskendamise kaudu. Kliendid peaksid kontrollima oma CPU (chipset) ja seadme tootjad kättesaadavus kehtivad püsivara turvavärskendused oma konkreetse seadme, sealhulgas Intel Mikrokoodiredaktsiooni juhiseid.

Riistvara haavatavuse kaudu tarkvaravärskenduse tegelemine annab märkimisväärseid väljakutseid. Ka, kergendamise vanemad operatsioonisüsteemid nõuavad ulatuslikud arhitektuurilised muudatused. Me töötame mõjutatud kiibi tootjad, et määrata parim viis pakkuda kergendamise, mis võib tarnida tulevikus uuendused.

Microsoft Surface ' i seadmete värskendused tarnitakse klientidele Windows Update ' i kaudu koos Windowsi operatsioonisüsteemi värskendustega. Saadaolevate Surface ' i seadme püsivara (mikrokoodi) värskenduste loendi leiate teemast KB 4073065.

Kui teie seade ei ole Microsoftilt, rakendage püsivara seadme tootjalt. Lisateabe saamiseks pöörduge OEM-i seadme tootja poole.

Veebruaris ja märtsis 2018 Microsoft välja lisatud kaitse mõned x86-põhistele süsteemidele. Lisateabe saamiseks vaadake KB 4073757 ja Microsoft Security Advisory ADV180002.

Windows 10 for HoloLens värskendused on saadaval Windows Update ' i kaudu HoloLens klientidele.

Pärast veebruari 2018 Windows Security Update, HoloLens kliendid ei pea võtma täiendavaid meetmeid, et värskendada oma seadme püsivara. Need kergendamise kaasatakse ka kõik tulevased väljaanded Windows 10 HoloLens.

Ei. Ainult turvavärskendused pole kumulatiivsed. Sõltuvalt operatsioonisüsteemi versiooni te kasutate, peate installima iga kuu Security ainult värskendusi kaitsta haavatavused. Näiteks kui kasutate Windows 7 32-bitise süsteemi mõjutatud Intel CPU, peate installima kõik turvalisuse ainult värskendused. Soovitame installida need turvalisuse ainult värskendused väljaandmise järjestuses.

Märkus selle KKK varasemas versioonis valesti öeldud, et veebruari Security ainult värskendus sisaldas jaanuaris välja antud turvaparandusi. Tegelikult ei ole.

Ei. Turvavärskenduse 4078130 oli konkreetne parandus, et vältida ettearvamatu süsteemi käitumist, jõudluse probleemid ja/või ootamatu taaskäivitus pärast mikrokoodi installimist. Veebruari turvavärskenduste rakendamine Windowsi klientarvutite operatsioonisüsteemides võimaldab kõiki kolme kergendamise.

Intelhiljuti teatas, et nad on läbinud oma valideerimised ja hakkas vabastama mikrokoodi uuemad CPU platvormid. Microsoft teeb kättesaadavaks Inteli valideeritud mikrotasandil värskendusi ümber viirastus variant 2 (CVE-2017-5715 "haru Target injektsioon"). KB 4093836 loetleb konkreetseid teabebaasi artikleid Windowsi versiooni. Iga konkreetne KB sisaldab saadaval Intel mikrokoodivärskendused CPU.

See probleem lahendati KB 4093118.

AMD teatas hiljuti , et nad on hakanud vabastama mikrokoodi uuem CPU platvormid ümber SPECTRE variant 2 (CVE-2017-5715 "haru Target injektsioon"). Lisateabe saamiseks vaadake AMD turvavärskendusi ja AMD Lühidokument: arhitektuuri juhised ümber kaudse haru kontrolli. Need on saadaval OEM püsivara kanali kaudu.

Teeme kättesaadavaks Intel valideeritud mikrotasandil uuendused ümber viirastus variant 2 (CVE-2017-5715 "haru Target injektsioon "). Uusima Intel mikrokoodivärskenduste saamiseks Windows Update, kliendid peavad olema installitud Intel mikrokood seadmetes, kus töötab Windows 10 operatsioonisüsteemi enne täiendamist operatsioonisüsteemiks Windows 10 aprill 2018 Update (versioon 1803).

Mikrokoodiuuendus on saadaval ka otse kataloogist, kui see ei installita seadmesse enne täiendamist OS. Intel mikrokood on saadaval Windows Update, WSUS-i või Microsofti värskenduste kataloogist. Lisateabe saamiseks ja allalaadimise juhised leiate teemast KB 4100347.

Täpsemat teavet leiate jaotisest "Soovitatavad toimingud" ja "KKK" ADV180012 | Microsofti juhised spekulatiivne poe bypass.

SSBD oleku kontrollimiseks värskendati Get-SpeculationControlSettings PowerShelli skripti mõjutatud protsessorite, SSBD operatsioonisüsteemi värskenduste oleku ja protsessori mikrokoodi oleku, kui see on asjakohane. Lisateabe saamiseks ja PowerShelli skripti hankimiseks vaadake KB 4074629.

13. juunil 2018 täiendava haavatavuse, mis hõlmab külgkanali spekulatiivne käivitamine, tuntud kui LAZY FP oleku taastamine, teatati ja määrati CVE-2018-3665. No konfiguratsioon (register) sätted on vajalikud Lazy Restore FP taastada.

Selle haavatavuse ja soovitatud toimingute kohta lisateabe saamiseks vaadake Security Advisory ADV180016 | Microsofti juhised Lazy FP oleku taastamiseks.

Märkus No konfiguratsioon (register) sätted on vajalikud Lazy Restore FP taastada.

Piire sisse bypass poe (BCBS) avaldati 10 juuli 2018 ja määratud CVE-2018-3693. Me peame BCBS kuuluma samasse klassi nõrkused nagu piirid Check mööduda (variant 1). Me ei ole praegu teadlikud meie tarkvara BCBS juhtudest, kuid me jätkame uurimistöö selle haavatavuse klassi ja töötab tööstuse partneritega vabastada kergendamise vastavalt vajadusele. Me julgustame teadlasi esitama kõik asjakohased järeldused Microsofti spekulatiivse täitmise pool kanali pearahundusprogrammi, sealhulgas BCBS-i mis tahes ärakasutava eksemplariga. Tarkvaraarendajad peaksid läbi vaatama arendaja juhised, mis on värskendatud BCBS kell https://aka.MS/sescdevguide.

14. augustil 2018, L1 Terminal Fault (L1TF) teatati ja määrati mitu cves. Need uued spekulatiivne täitmise külg-Channel nõrkused saab lugeda mälu sisu üle usaldusväärse piiri ja, kui kasutatakse, võib põhjustada teabe avalikustamist. Ründaja võib käivitada haavatavused mitme vektorid, sõltuvalt konfigureeritud keskkonnas. L1TF mõjutab Intel® Core® protsessorid ja Intel® Xeon® protsessorid.

Selle haavatavuse ja üksikasjaliku vaate mõjutatud stsenaariumid, sealhulgas Microsoft lähenemine leevendamiseks L1TF kohta lisateabe saamiseks vaadake järgmisi ressursse:

Kliendid, kes kasutavad 64-bit ARM protsessorid peaks kontrollima seadme OEM püsivara tugi, sest ARM64 operatsioonisüsteemi kaitsed, mis leevendavad CVE-2017-5715 -haru Target süsti (SPECTRE, variant 2) nõuab uusima püsivara värskendust seadme OEM-id jõustumiseks.

Azure ' i juhiste saamiseks lugege seda artiklit: juhised leevendada spekulatiivne täitmise külg-Channel nõrkused Azure.

Lisateavet Retpoline võimaldamise kohta leiate meie ajaveebipostitusest: leevendada SPECTRE varianti 2 koos Retpoliiniga Windowsis.

Selle haavatavuse kohta lisateabe saamiseks lugege Microsofti turvabülletään: CVE-2019-1125 | Windowsi tuuma teabe avalikustamise haavatavuse.

Me ei tea, mis tahes sellise teabe avalikustamise haavatavuse, mis mõjutab meie pilve teenuse infrastruktuuri.

Niipea, kui me saime teada sellest probleemist, me töötasime kiiresti, et seda lahendada ja vabastada uuendus. Me usume tihedat koostööd nii teadlaste kui ka tööstuspartneritega, et muuta kliendid turvalisemaks, ja ei avaldanud andmeid enne teisipäeva, august 6, kooskõlas koordineeritud haavatavuse avalikustamise tavadega.

 

Kas vajate veel abi?

Täiendage oma oskusi
Tutvuge koolitusmaterjalidega
Kasutage uusi funktsioone enne teisi
Liitu Microsofti Insideri programmis osalejad

Kas sellest teabest oli abi?

Täname tagasiside eest!

Täname tagasiside eest! Tundub, et võiksime teid kokku viia ühega meie Office'i tugiagentidest, kes aitab teil probleemi lahendada.

×