Päivämäärän muuttaminen |
Muuta kuvausta |
19. heinäkuuta 2023 |
|
8. elokuuta 2023 |
|
9. elokuuta 2023 |
|
9. huhtikuuta 2024 |
|
16. huhtikuuta 2024 |
|
Yhteenveto
Tässä artikkelissa annetaan ohjeita uuteen piipohjaisten mikroarkkitekturalisten ja spekulatiivisten suorituspuolen kanavahaavoittuvuuksien luokkaan, joka vaikuttaa moniin nykyaikaisiin suorittimiin ja käyttöjärjestelmiin. Tämä sisältää Intelin, AMD:n ja ARM:n. Näiden piipohjaisten haavoittuvuuksien tarkat tiedot ovat seuraavissa suojaustiedotteissa ja cve-tiedoissa (yleiset haavoittuvuudet ja altistukset):
-
ADV180002 | Ohjeita spekulatiivisen suorituspuolen kanavahaavoittuvuuksien lieventämiseen
-
ADV180012 | Microsoftin ohjeet spekulatiivisen Kaupan ohittamiseen
-
ADV180016 | Microsoftin ohjeet laiskan FP-tilan palauttamiseen
-
ADV180018 | Microsoftin ohjeet L1TF-variantin lieventämiseen
-
ADV190013 | Microsoftin ohjeet Mikroarkkitektural Data Sampling -haavoittuvuuksien lieventämiseen
-
ADV220002 | Microsoftin ohjeet Intel Processorin MMIO Stale Data -haavoittuvuuksista
: Tämä ongelma koskee myös muita käyttöjärjestelmiä, kuten Androidia, Chromea, iOS:ää ja macOS:ää. Siksi neuvomme asiakkaita pyytämään ohjeita näiltä toimittajilta.
Olemme julkaisseet useita päivityksiä näiden haavoittuvuuksien lieventämiseksi. Olemme myös ryhtyneet toimiin pilvipalveluidemme suojaamiseksi. Lisätietoja on seuraavissa osioissa.
Emme ole vielä saaneet mitään tietoja siitä, että näitä haavoittuvuuksia olisi käytetty asiakkaiden hyökkäyksiin. Teemme tiivistä yhteistyötä alan kumppaneiden, kuten siruvalmistajien, laitevalmistajien ja sovellustoimittajien, kanssa asiakkaiden suojaamiseksi. Kaikkien käytettävissä olevien suojausten saamiseksi tarvitaan laiteohjelmisto (mikrokoodi) ja ohjelmistopäivitykset. Tämä sisältää laitevalmistajien mikrokoodin ja joissakin tapauksissa virustentorjuntaohjelmiston päivitykset.
Tässä artikkelissa käsitellään seuraavia tietoturva-aukkoja:
Windows Update tarjoaa myös Internet Explorerin ja Edgen lievennyksiä. Jatkamme näiden haavoittuvuuksien lieventämisen parantamista tämän luokan haavoittuvuuksiin nähden.
Lisätietoja tästä haavoittuvuusluokasta on seuraavissa ohjeaiheissa:
Haavoittuvuuksia
Intel julkaisi 14. toukokuuta 2019 tietoja spekulatiivisen suorituspuolen kanavan haavoittuvuuksien uudesta alaluokasta, joka tunnetaan nimellä Microarchitectural Data Sampling. Nämä haavoittuvuudet on korjattu seuraavissa ansioluetteloissa:
-
CVE-2019-11091 | Mikroarkkitektural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)
-
CVE-2018-12127 | Mikroarkkitektural fill buffer data sampling (MFBDS)
-
CVE-2018-12130 | Mikroarkkitectural Load Port Data Sampling (MLPDS)
: Nämä ongelmat vaikuttavat muihin käyttöjärjestelmiin, kuten Androidiin, Chromeen, iOS:ään ja MacOS:ään. Suosittelemme, että pyydät ohjeita näiltä toimittajilta.
Olemme julkaisseet päivityksiä näiden haavoittuvuuksien lieventämiseksi. Kaikkien käytettävissä olevien suojausten saamiseksi tarvitaan laiteohjelmisto (mikrokoodi) ja ohjelmistopäivitykset. Tämä voi sisältää laitteen alkuperäisten laitevalmistajien mikrokoodin. Joissakin tapauksissa näiden päivitysten asentaminen vaikuttaa suorituskykyyn. Olemme myös toimineet pilvipalveluidemme suojaamiseksi. On erittäin suositeltavaa ottaa nämä päivitykset käyttöön.
Lisätietoja tästä ongelmasta on seuraavissa suojausneuvonnassa ja skenaariopohjaisissa ohjeissa, joiden avulla määritetään uhan lieventämiseksi tarvittavat toimet:
-
ADV190013 | Microsoftin ohjeet Mikroarkkitektural Data Sampling -haavoittuvuuksien lieventämiseen
-
Windowsin ohjeet spekulatiivisen suorituspuolen kanavan haavoittuvuuksilta suojautumiseen
: Suosittelemme, että asennat kaikki uusimmat päivitykset Windows Update ennen mikrokoodipäivitysten asentamista.
6. elokuuta 2019 Intel julkaisi tietoja Windows-ytimen tietojen paljastumisen haavoittuvuudesta. Tämä haavoittuvuus on spectre-variantin 1 spekulatiivisen suorituspuolen kanavahaavoittuvuuden muunnelma, ja sille on määritetty CVE-2019-1125.
Julkaisimme 9. heinäkuuta 2019 Windows-käyttöjärjestelmän suojauspäivitykset ongelman lieventämiseksi. Huomaa, että olemme pidättäneet tämän lievennyksen dokumentoinnin julkisesti, kunnes koordinoitu toimialatiedote on tiistaina 6. elokuuta 2019.
Asiakkaat, joilla on Windows Update käytössä ja jotka ovat ottaneet käyttöön 9. heinäkuuta 2019 julkaistut suojauspäivitykset, suojataan automaattisesti. Lisämäärityksiä ei tarvita.
: Tämä haavoittuvuus ei edellytä laitteen valmistajalta (OEM) mikrokoodipäivitystä.
Lisätietoja tästä haavoittuvuudesta ja soveltuvista päivityksistä on Microsoft security update -oppaassa:
Intel julkaisi 12. marraskuuta 2019 teknisen tiedotteen Intel Transactional Syncation Extensions (Intel TSX) Transaction Asynchronous Abort -haavoittuvuudesta, jolle on määritetty CVE-2019-11135. Olemme julkaisseet päivityksiä tämän haavoittuvuuden lieventämiseksi. Käyttöjärjestelmäsuojaukset ovat oletusarvoisesti käytössä Windows-asiakaskäyttöjärjestelmäversioissa.
Julkaisimme 14.6.2022 ADV220002 | Microsoftin ohjeet Intel Processorin MMIO Stale Data -haavoittuvuuksista. Haavoittuvuudet määritetään seuraavissa ansioluetteloissa:
-
CVE-2022-21127 | Erityinen rekisteripuskuritietojen otantapäivitys (SRBDS-päivitys)
-
CVE-2022-21166 | Laiterekisteröi osittainen kirjoitus (DRPW)
Suositellut toimet
Voit suojautua näiltä haavoittuvuuksilta toimilla seuraavasti:
-
Ota käyttöön kaikki saatavilla olevat Windows-käyttöjärjestelmäpäivitykset, mukaan lukien kuukausittaiset Windowsin suojauspäivitykset.
-
Ota käyttöön laitteen valmistajan toimittama soveltuva laiteohjelmistopäivitys (mikrokoodi).
-
Arvioi ympäristöllesi aiheutuva riski microsoftin suojaustiedotteisiin ADV180002, ADV180012, ADV190013 ja ADV220002annettujen tietojen perusteella tämän artikkelin tietojen lisäksi.
-
Toimi tarvittaessa käyttämällä tässä artikkelissa annettuja tietoja ja rekisteriavaintietoja.
: Surface-asiakkaat saavat mikrokoodipäivityksen Windows Updaten kautta. Luettelo uusimmista saatavilla olevista Surface-laitteen laiteohjelmistopäivityksistä (mikrokoodi) on ohjeaiheessa KB4073065.
12. heinäkuuta 2022 julkaistiin CVE-2022-23825 | AMD-suoritinhaaran tyypin sekavuus, joka kuvaa, että haaran ennustajan aliakset voivat saada tietyt AMD-suorittimet ennustamaan väärän haaratyypin. Tämä ongelma saattaa johtaa tietojen paljastamiseen.
Jotta voit suojautua tältä haavoittuvuudelta, suosittelemme asentamaan Windows-päivitykset, jotka on päivätty heinäkuussa 2022 tai sen jälkeen, ja ryhtymään sitten toimenpiteisiin CVE-2022-23825-23825- ja rekisteriavaintietojen mukaisesti, jotka on annettu tässä tietokanta artikkelissa.
Lisätietoja on AMD-SB-1037 -tietoturvatiedotteessa.
8. elokuuta 2023 julkaistiin CVE-2023-20569 | AMD CPU Return Address Predictor (tunnetaan myös nimellä Inception), joka kuvaa uutta spekulatiivista sivukanavahyökkäystä, joka voi johtaa spekulatiivisiin suorituksiin hyökkääjän hallitsemassa osoitteessa. Tämä ongelma koskee tiettyjä AMD-suorittimia ja saattaa johtaa tietojen paljastamiseen.
Jotta voit suojautua tältä haavoittuvuudelta, suosittelemme asentamaan Windows-päivitykset, jotka on päivätty elokuussa 2023 tai sen jälkeen, ja ryhtymään sitten toimenpiteisiin CVE-2023-20569- ja rekisteriavaintietojen mukaisesti, jotka on annettu tässä tietokanta artikkelissa.
Lisätietoja on AMD-SB-7005 -tietoturvatiedotteessa.
9. huhtikuuta 2024 julkaisimme CVE-2022-0001 | Intel Branch History Injection , joka kuvaa haarahistorian lisäystä (BHI), joka on erityinen moodin sisäinen BTI. Tämä haavoittuvuus ilmenee, kun hyökkääjä voi käsitellä haarahistoriaa ennen siirtymistä käyttäjästä valvojatilaan (tai VMX:stä, joka ei ole pää-/vieras, päätilaan). Tämä manipulointi voi saada epäsuoran haaran ennustajaa valitsemaan tietyn ennustajamerkinnän epäsuoralle haaralle, ja ennustetun kohteen paljastusohjelma suoritetaan tilapäisesti. Tämä voi olla mahdollista, koska kyseisessä haarahistoriassa voi olla aikaisemmissa suojauskonteksteissa ja erityisesti muissa ennustajatiloissa otettuja haaroja.
Windows-asiakkaiden lievennysasetukset
Suojaustiedotteet (ADVs) ja CVE:t antavat tietoja näiden haavoittuvuuksien aiheuttamista riskeistä ja siitä, miten ne auttavat tunnistamaan Windows-asiakasjärjestelmien lievennysten oletustilan. Seuraavassa taulukossa on yhteenveto suorittimen mikrokoodin vaatimuksesta ja Windows-asiakkaiden lievennysten oletustilasta.
CVE |
Edellyttääkö suorittimen mikrokoodia/laiteohjelmistoa? |
Lievennyksen oletustila |
---|---|---|
CVE-2017-5753 |
Ei |
Käytössä oletusarvoisesti (ei pois käytöstä poistamista) Lisätietoja on artikkelissa ADV180002 . |
CVE-2017-5715 |
Kyllä |
Käytössä oletusarvoisesti. AMD-suorittimeen perustuvien järjestelmien käyttäjien pitäisi nähdä usein kysytyt kysymykset #15, ja ARM-suorittimien käyttäjien pitäisi nähdä usein kysytyt kysymykset #20 ADV180002 lisätoimia varten ja tässä KB-artikkelissa sovellettavista rekisteriavainasetuksista. Huomautus Oletusarvoisesti Retpoline on käytössä laitteissa, joissa on Windows 10, versio 1809 tai uudempi, jos Spectre-variantti 2 (CVE-2017-5715) on käytössä. Lisätietoja Retpolinen ympärillä on Artikkelissa Spectre-variantin 2 ja Retpolinen lieventäminen Windowsin blogikirjoituksessa annettuja ohjeita. |
CVE-2017-5754 |
Ei |
Oletusarvoisesti käytössä Lisätietoja on artikkelissa ADV180002 . |
CVE-2018-3639 |
Intel: Kyllä AMD: Ei ARM: Kyllä |
Intel ja AMD: Oletusarvoisesti poissa käytöstä. Katso lisätietoja ADV180012 ja tässä KB-artikkelissa soveltuvista rekisteriavainasetuksista. ARM: Käytössä oletusarvoisesti ilman käytöstä poistamista. |
CVE-2019-11091 |
Intel: Kyllä |
Käytössä oletusarvoisesti. Katso lisätietoja ADV190013 ja tässä artikkelissa soveltuvista rekisteriavainasetuksista. |
CVE-2018-12126 |
Intel: Kyllä |
Käytössä oletusarvoisesti. Katso lisätietoja ADV190013 ja tässä artikkelissa soveltuvista rekisteriavainasetuksista. |
CVE-2018-12127 |
Intel: Kyllä |
Käytössä oletusarvoisesti. Katso lisätietoja ADV190013 ja tässä artikkelissa soveltuvista rekisteriavainasetuksista. |
CVE-2018-12130 |
Intel: Kyllä |
Käytössä oletusarvoisesti. Katso lisätietoja ADV190013 ja tässä artikkelissa soveltuvista rekisteriavainasetuksista. |
CVE-2019-11135 |
Intel: Kyllä |
Käytössä oletusarvoisesti. Lisätietoja on artikkelissa CVE-2019-11135 ja tässä artikkelissa soveltuvat rekisteriavainasetukset. |
CVE-2022-21123 (osa MMIO-ADV220002) |
Intel: Kyllä |
Windows 10, versio 1809 ja uudemmat versiot: Oletusarvoisesti käytössä. Windows 10, versio 1607 ja aiemmat versiot: Oletusarvoisesti poissa käytöstä.Lisätietoja on artikkelissa CVE-2022-21123 ja tässä artikkelissa soveltuvat rekisteriavainasetukset. |
CVE-2022-21125 (osa MMIO-ADV220002) |
Intel: Kyllä |
Windows 10, versio 1809 ja uudemmat versiot: Oletusarvoisesti käytössä. Windows 10, versio 1607 ja aiemmat versiot: Oletusarvoisesti poissa käytöstä.Lisätietoja on artikkelissa CVE-2022-21125 . |
CVE-2022-21127 (osa MMIO-ADV220002) |
Intel: Kyllä |
Windows 10, versio 1809 ja uudemmat versiot: Oletusarvoisesti käytössä. Windows 10, versio 1607 ja aiemmat versiot: Oletusarvoisesti poissa käytöstä.Lisätietoja on artikkelissa CVE-2022-21127 . |
CVE-2022-21166 (osa MMIO-ADV220002) |
Intel: Kyllä |
Windows 10, versio 1809 ja uudemmat versiot: Oletusarvoisesti käytössä. Windows 10, versio 1607 ja aiemmat versiot: Oletusarvoisesti poissa käytöstä.Lisätietoja on artikkelissa CVE-2022-21166 . |
CVE-2022-23825 (AMD CPU Branch Type Confusion) |
AMD: Ei |
Lisätietoja on artikkelissa CVE-2022-23825 ja tässä artikkelissa soveltuvat rekisteriavainasetukset. |
CVE-2023-20569 (AMD CPU Return Address Predictor) |
AMD: Kyllä |
Lisätietoja on artikkelissa CVE-2023-20569 ja tässä artikkelissa soveltuvat rekisteriavainasetukset. |
Intel: Ei |
Oletusarvoisesti poissa käytöstä. Lisätietoja on artikkelissa CVE-2022-0001 ja tässä artikkelissa soveltuvat rekisteriavainasetukset. |
: Oletusarvoisesti käytöstä poistettujen lievennysten ottaminen käyttöön voi vaikuttaa laitteen suorituskykyyn. Todellinen suorituskykytehoste riippuu useista tekijöistä, kuten laitteen tietystä piirisarjasta ja käynnissä olevien työkuormien.
Rekisteriasetukset
Tarjoamme seuraavat rekisteritiedot, jotta voimme ottaa käyttöön lievennykset, joita ei ole oletusarvoisesti otettu käyttöön suojaustiedotteissa (ADV) ja CVE:issä kuvatulla tavalla. Lisäksi tarjoamme rekisteriavainasetukset käyttäjille, jotka haluavat poistaa lievennykset käytöstä, kun niitä sovelletaan Windows-asiakasohjelmiin.
: Tässä osassa, menetelmässä tai tehtävässä on vaiheita, joissa kerrotaan, miten voit muokata rekisteriä. Rekisterin virheellinen muokkaaminen voi kuitenkin aiheuttaa vakavia ongelmia. Varmista siksi, että noudatat näitä ohjeita huolellisesti. Jos haluat lisäsuojauksen, varmuuskopioi rekisteri ennen sen muokkaamista. Tämän jälkeen voit palauttaa rekisterin, jos ongelma ilmenee. Lisätietoja rekisterin varmuuskopioinnista ja palauttamisesta on seuraavassa Microsoft Knowledge Base -tietokannan artikkelissa:322756 Rekisterin varmuuskopiointi ja palauttaminen Windowsissa
: Retpoline on oletusarvoisesti käytössä Windows 10, versio 1809 laitteissa, jos Spectre, Variant 2 (CVE-2017-5715) on käytössä. Retpolinen ottaminen käyttöön Windows 10 uusimmassa versiossa voi parantaa suorituskykyä Spectre-variantin 2 Windows 10, versio 1809 laitteissa, erityisesti vanhemmissa suorittimissa.
CVE-2017-5715:n (Spectre-variantti 2) ja CVE-2017-5754 (Meltdown) oletusarvoisten lievennysten ottaminen käyttöön reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. CVE-2017-5715:n (Spectre-variantti 2) ja CVE-2017-5754 (Meltdown) lievennysten poistaminen käytöstä reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. |
: Arvo 3 on tarkka FeatureSettingsOverrideMask-ominaisuuksille sekä ota käyttöön- että Poista käytöstä -asetuksissa. (Lisätietoja rekisteriavaimista on usein kysytyissä kysymyksissä.)
Voit poistaa CVE-2017-5715 : n lievennykset käytöstä (Spectre-variantti 2): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. CVE-2017-5715:n (Spectre-variantti 2) ja CVE-2017-5754 (Meltdown) oletusarvoisten lievennysten ottaminen käyttöön: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. |
Oletusarvoisesti käyttäjän ja ytimen suojaus CVE-2017-5715 :lle on poistettu käytöstä AMD- ja ARM-suorittimien osalta. Sinun on otettava lievennys käyttöön, jotta saat lisäsuojauksia CVE-2017-5715:lle. Lisätietoja on artikkelissa USEIN KYSYTYT KYSYMYKSET #15 ADV180002 AMD-suorittimista ja usein kysytyt kysymykset #20 arm-suorittimien ADV180002 .
Ota käyttöön käyttäjästä ytimeen -suojaus AMD- ja ARM-suorittimilla yhdessä muiden CVE 2017-5715 -suojausten kanssa: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. |
CVE-2018-3639 :n (spekulatiivisen Storen ohitus) lieventämisen mahdollistamiseksi CVE-2017-5715:n (Spectre-variantti 2) ja CVE-2017-5754 (Meltdown) oletusarvoiset lievennykset: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. Huomautus: AMD-suorittimet eivät ole alttiita CVE-2017-5754 (Meltdown) -prosessorille. Tätä rekisteriavainta käytetään järjestelmissä, joissa on AMD-suorittimet, jotta voidaan ottaa käyttöön oletusarvoiset lievennykset CVE-2017-5715:lle AMD-suorittimilla ja CVE-2018-3639:n lievennys. CVE-2018-3639 :n (spekulatiivisen Storen ohitus) *ja* lievennysten poistaminen käytöstä CVE-2017-5715:lle (Spectre-variantti 2) ja CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. |
Oletusarvoisesti käyttäjän ja ytimen suojaus CVE-2017-5715 :lle on poistettu käytöstä AMD-suorittimilla. Asiakkaiden on otettava lievennys käyttöön saadakseen lisäsuojauksia CVE-2017-5715:lle. Lisätietoja on ADV180002 usein kysytyissä kysymyksissä #15.
Ota käyttöön KÄYTTÄJIEN ytimeen -suojaus AMD-suorittimilla yhdessä muiden CVE 2017-5715 -suojausten ja CVE-2018-3639 -suojausten (spekulatiivisen Storen ohitus) kanssa: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. |
Intel Transactional Syncation Extensions (Intel TSX) Transaction Asynchronous Abort -haavoittuvuuden (CVE-2019-11135) ja mikroarkkitektural datan näytteenoton (CVE-20) lieventämisen mahdollistaminen19-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) spectren (CVE-2017-5753 & CVE-2017-5715) ja Meltdown (CVE-2017-5754) muunnelmien kanssa, mukaan lukien spekulatiivisen kaupan ohitus käytöstä (SSBD) (CVE-2018-3639) sekä L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646) poistamatta Hyper-Threadingia käytöstä: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jos Hyper-V-ominaisuus on asennettu, lisää seuraava rekisteriasetus: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jos kyseessä on Hyper-V-isäntä ja laiteohjelmistopäivityksiä on otettu käyttöön: Sammuta kaikki Näennäiskoneet. Tämä mahdollistaa laiteohjelmistoon liittyvän lievennyksen käytön isännässä ennen virtuaalikoneiden käynnistämistä. Siksi virtuaalikoneet päivitetään myös, kun ne käynnistetään uudelleen. Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) kun Hyper-Threading on poistettu käytöstä: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jos Hyper-V-ominaisuus on asennettu, lisää seuraava rekisteriasetus: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jos kyseessä on Hyper-V-isäntä ja laiteohjelmistopäivityksiä on otettu käyttöön: Sammuta kaikki Näennäiskoneet. Tämä mahdollistaa laiteohjelmistoon liittyvän lievennyksen käytön isännässä ennen virtuaalikoneiden käynnistämistä. Siksi virtuaalikoneet päivitetään myös, kun ne käynnistetään uudelleen. Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. |
Voit ottaa CVE-2022-23825:n lievennyksen käyttöön AMD-suorittimilla seuraavasti:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Jotta asiakkaat olisivat täysin suojattuja, heidän on ehkä myös poistettava käytöstä Hyper-Threading (kutsutaan myös nimellä Simultaneous Multi Threading (SMT)). Katso KB4073757ohjeita Windows-laitteiden suojaamiseen.
Voit ottaa CVE-2023-20569:n lievennyksen käyttöön AMD-suorittimilla seuraavasti:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Voit ottaa CVE-2022-0001:n lievennyksen käyttöön Intel-suorittimilla seuraavasti:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Useiden lievennysten ottaminen käyttöön
Jos haluat ottaa käyttöön useita lievennyksiä, sinun on lisättävä kunkin lievennyksen REG_DWORD arvo yhteen.
Esimerkki:
Tapahtuman asynkronisen keskeytyshaavoittuvuuden, mikroarchitectural Data Samplen, Spectren, Meltdownin, MMIO:n, spekulatiivisen säilön ohituksen käytöstä poistamisen (SSBD) ja L1-päätevirheen (L1TF) lieventäminen, kun Hyper-Threading poistettu käytöstä |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
HUOMAUTUS 8264 (desimaalilukuna) = 0x2048 (heksa) Jos haluat ottaa käyttöön BHI:n muiden aiemmin luotujen asetusten kanssa, sinun on käytettävä bittitasoa TAI nykyistä arvoa 8 388 608 (0x800000). 0x800000 TAI 0x2048(8264 desimaalilukuna) ja siitä tulee 8 396 872 (0x802048). Sama koskee FeatureSettingsOverrideMask-ominaisuutta. |
|
CVE-2022-0001:n lievennys Intel-suorittimilla |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Yhdistetty lievennys |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Tapahtuman asynkronisen keskeytyshaavoittuvuuden, mikroarchitectural Data Samplen, Spectren, Meltdownin, MMIO:n, spekulatiivisen säilön ohituksen käytöstä poistamisen (SSBD) ja L1-päätevirheen (L1TF) lieventäminen, kun Hyper-Threading poistettu käytöstä |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f |
CVE-2022-0001:n lievennys Intel-suorittimilla |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Yhdistetty lievennys |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Varmista, että suojaukset ovat käytössä
Olemme julkaisseet PowerShell-komentosarjan, jonka voit suorittaa laitteissasi, jotta suojaukset ovat käytössä. Asenna ja suorita komentosarja jollakin seuraavista tavoista.
Asenna PowerShell-moduuli: PS> Install-Module SpeculationControl Varmista PowerShell-moduulin avulla, että suojaukset ovat käytössä: PS> # Tallenna nykyinen suorituskäytäntö, jotta se voidaan palauttaa PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS-> Get-SpeculationControlSettings PS> # Palauta suorituskäytäntö alkuperäiseen tilaan PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Asenna PowerShell-moduuli Technet ScriptCenteristä: Siirry https://aka.ms/SpeculationControlPS Lataa SpeculationControl.zip paikalliseen kansioon. Pura sisältö paikalliseen kansioon, esimerkiksi C:\ADV180002 Varmista PowerShell-moduulin avulla, että suojaukset ovat käytössä: Käynnistä PowerShell, kopioi ja suorita seuraavat komennot (käyttämällä edellistä esimerkkiä): PS> # Tallenna nykyinen suorituskäytäntö, jotta se voidaan palauttaa PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS-> Get-SpeculationControlSettings PS> # Palauta suorituskäytäntö alkuperäiseen tilaan PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Lisätietoja PowerShell-komentosarjan tulosta on artikkelissa KB4074629.
Usein kysytyt kysymykset
Mikrokoodi toimitetaan laiteohjelmistopäivityksen kautta. Tarkista suorittimen (piirisarjan) ja laitevalmistajien kanssa, onko heidän laitteelleen saatavilla soveltuvia laiteohjelmistosuojauspäivityksiä, mukaan lukien Intels Microcode Revision -ohjeet.
Laitteiston haavoittuvuuden korjaaminen ohjelmistopäivityksen avulla aiheuttaa merkittäviä haasteita. Myös vanhojen käyttöjärjestelmien lievennykset edellyttävät laajoja arkkitehtonisia muutoksia. Pyrimme yhdessä siruvalmistajien kanssa määrittämään parhaan tavan tarjota lievennyksiä, jotka voidaan toimittaa tulevissa päivityksissä.
microsoft Surface -laitteiden Päivitykset toimitetaan asiakkaille Windows Update windows-käyttöjärjestelmän päivitysten kanssa. Luettelo saatavilla olevista Surface-laitteen laiteohjelmistopäivityksistä (mikrokoodi) on KB4073065.
Jos laitteesi ei ole Microsoftilta, ota käyttöön oman laitevalmistajasi tarjoama laiteohjelmistopäivitystä. Saat lisätietoja OEM-laitteen valmistajalta.
Helmikuussa ja maaliskuussa 2018 Microsoft julkaisi lisäsuojauksen joillekin x86-pohjaisille järjestelmille. Lisätietoja on KB4073757 ja Microsoft security advisory -ADV180002.
holoLensin Päivitykset Windows 10 hololens -asiakkaille Windows Update kautta.
Helmikuun 2018 Windowsin suojaus päivityksen käyttöönoton jälkeen HoloLensin asiakkaiden ei tarvitse tehdä lisätoimia laitteen laiteohjelmiston päivittämiseksi. Nämä lievennykset sisällytetään myös kaikkiin holoLensin tuleviin Windows 10 julkaisuihin.
Et. Vain suojauspäivitykset eivät ole kumulatiivisia. Käytössä olevan käyttöjärjestelmäversion mukaan sinun on asennettava kaikki kuukausittaiset vain suojauspäivitykset, jotta voit suojautua näheiltä haavoittuvuuksilta. Jos käytössäsi on esimerkiksi Windows 7 32-bittisille järjestelmille intel-suorittimen kanssa, johon ongelma vaikuttaa, sinun on asennettava kaikki vain suojauspäivitykset. Suosittelemme, että asennat nämä vain suojauspäivitykset julkaisujärjestyksessä.
Huomautus Näiden usein kysyttyjen kyselyjen aiemmassa versiossa todettiin virheellisesti, että helmikuun vain suojaukseen liittyvä päivitys sisälsi tammikuussa julkaistut suojauskorjaukset. Itse asiassa se ei.
Et. Suojauspäivityksen 4078130 oli erityinen korjaus, jolla estettiin järjestelmän arvaamattomat toimintatavat, suorituskykyongelmat ja/tai odottamattomat uudelleenkäynnistykset mikrokoodin asentamisen jälkeen. Helmikuun suojauspäivitysten käyttöönotto Windows-asiakaskäyttöjärjestelmissä mahdollistaa kaikki kolme lievennystä.
Intel ilmoitti äskettäin suorittaneensa validointinsa ja alkaneensa julkaista mikrokoodia uudempaa suoritinympäristöä varten. Microsoft tuo saataville Intelin vahvistamia mikrokoodipäivityksiä Spectre-variantin 2 ympärille (CVE-2017-5715 "Branch Target Injection"). KB4093836 luetteloi tietyt Knowledge Base -artikkelit Windows-version mukaan. Kukin tietty kt sisältää käytettävissä olevat Intelin mikrokoodipäivitykset suorittimen mukaan.
Tämä ongelma on korjattu KB4093118.
AMD ilmoitti äskettäin, että he ovat alkaneet julkaista mikrokoodia uudempaan suoritinalustaan Spectre-variantin 2 ympärillä (CVE-2017-5715 "Branch Target Injection"). Lisätietoja on artikkelissa AMD Security Päivitykset ja AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Nämä ovat saatavilla OEM-laiteohjelmistokanavalta.
Julkaisemme Intelin vahvistamia mikrokoodipäivityksiä Spectre-variantin 2 ympärille (CVE-2017-5715 "Branch Target Injection "). Jotta asiakkaat voivat hankkia uusimmat Intel-mikrokoodipäivitykset Windows Update kautta, heidän on oltava asentaneet Intel-mikrokoodin laitteisiin, joissa on Windows 10 käyttöjärjestelmä, ennen päivittämistä Windows 10 huhtikuun 2018 päivitykseen (versio 1803).
Mikrokoodipäivitys on myös saatavilla suoraan luettelosta, jos se ei ole asennettuna laitteeseen ennen käyttöjärjestelmän päivittämistä. Intel-mikrokoodi on saatavilla Windows Update, WSUS:n tai Microsoft Update -luettelon kautta. Lisätietoja ja latausohjeita on ohjeaiheessa KB4100347.
Lisätietoja on seuraavissa resursseissa:
SSBD:n tilan tarkistamista varten Get-SpeculationControlSettings PowerShell -komentosarja päivitettiin havaitsemaan kyseiset suorittimet, SSBD-käyttöjärjestelmäpäivitysten tila ja suorittimen mikrokoodin tila tarvittaessa. Lisätietoja ja PowerShell-komentosarjan hankkiminen on artikkelissa KB4074629.
13. kesäkuuta 2018 ilmoitettiin ylimääräisestä haavoittuvuudesta, joka liittyy sivukanavan spekulatiivisiin suorituksiin, joka tunnetaan nimellä Lazy FP State Restore, ja sille annettiin CVE-2018-3665. Lazy Restore FP Restore -palautus ei edellytä määritysasetuksia (rekisteriasetuksia).
Lisätietoja tästä haavoittuvuudesta ja suositelluista toimista on suojaustiedotteen ADV180016 | Microsoftin ohjeet Laiskan FP-tilan palauttamiseen.
: Lazy Restore FP Restore -palautus ei edellytä määritysasetuksia (rekisteriasetuksia).
Bounds Check Bypass Store (BCBS) julkistettiin 10. heinäkuuta 2018 ja sille annettiin CVE-2018-3693. Katsomme, että BCBS kuuluu samaan haavoittuvuusluokkaan kuin Bounds Check Bypass (muuttuja 1). Emme ole tällä hetkellä tietoisia BCBS-esiintymistä ohjelmistossamme, mutta jatkamme tämän haavoittuvuusluokan tutkimista ja teemme yhteistyötä alan kumppaneiden kanssa vapauttaaksemme lievennyksiä tarpeen mukaan. Kannustamme edelleen tutkijoita toimittamaan kaikki asiaankuuluvat havainnot Microsoftin spekulatiivisen suorituspuolen kanavan palkkio-ohjelmaan, mukaan lukien BCBS:n hyväksikäytettävät esiintymät. Ohjelmistokehittäjien tulee tutustua kehittäjän ohjeisiin, jotka on päivitetty BCBS:lle https://aka.ms/sescdevguide.
14. elokuuta 2018 ilmoitettiin L1 Terminal Fault (L1TF) -terminaaliviasta , ja sille annettiin useita cv:tä. Näitä uusia spekulatiivisen suorituspuolen kanavan haavoittuvuuksia voidaan käyttää muistin sisällön lukemiseen luotetun rajan yli, ja jos niitä käytetään hyväksi, ne voivat johtaa tietojen paljastamiseen. Hyökkääjä voi laukaista haavoittuvuudet useiden vektorien kautta määritetyn ympäristön mukaan. L1TF vaikuttaa Intel® Core -® suorittimeen ja Intel® Xeon® -suorittimeen.
Lisätietoja tästä haavoittuvuudesta ja yksityiskohtainen näkymä skenaarioista, joihin ongelma vaikuttaa, mukaan lukien Microsoftin lähestymistapa L1TF:n lieventämiseen, on seuraavissa resursseissa:
Asiakkaiden, jotka käyttävät 64-bittisiä ARM-suorittimia, tulisi tarkistaa laiteohjelmiston tuki laitteen OEM-laitteelta, koska ARM64-käyttöjärjestelmän suojaukset, jotka lieventävät CVE-2017-5715 | Haaran kohdelisäys (Spectre, variantti 2) edellyttää laitteen alkuperäisten laitevalmistajien uusimman laiteohjelmistopäivityksen asentamista voimaan.
Lisätietoja on seuraavissa suojausneuvonannuksessa
Lisätietoja on seuraavissa suojausneuvonannuksessa
Lisätietoja Azuresta on tässä artikkelissa: Ohjeita spekulatiivisen suorituspuolen kanavan haavoittuvuuksien lieventämiseen Azuressa.
Lisätietoja Retpoline-käyttöönotosta on blogikirjoituksessamme Spectre-variantin 2 lieventäminen Retpolinella Windowsissa.
Lisätietoja tästä haavoittuvuudesta on Microsoftin suojausoppaassa: CVE-2019-1125 | Windows-ytimen tietojen paljastumisen haavoittuvuus.
Emme ole tietoisia tämän tiedon paljastumisen haavoittuvuudesta, joka vaikuttaa pilvipalveluinfrastruktuuriimme.
Heti kun saimme tietää tästä ongelmasta, työskentelimme nopeasti sen korjaamiseksi ja päivityksen julkaisemiseksi. Uskomme vahvasti tiiviisiin kumppanuuksiin sekä tutkijoiden että alan kumppaneiden kanssa asiakkaiden turvallisuuden parantamiseksi, ja julkaisimme tiedot vasta tiistaina 6. elokuuta koordinoitujen haavoittuvuuksien paljastuskäytäntöjen mukaisesti.
Lisätietoja on ohjeissa Intel® Transactional Synchronization Extensions (Intel® TSX) -ominaisuuden poistaminen käytöstä.
Lisätietoja
Tarjoamme kolmannen osapuolen yhteystiedot teknisen tuen löytämiseksi. Nämä yhteystiedot saattavat muuttua ilman ennakkoilmoitusta. Emme takaa näiden kolmannen osapuolen yhteystietojen oikeellisuutta.