Introduction
Depuis janvier 2018, l’équipe Surface publie des mises à jour du microprogramme pour une nouvelle classe de vulnérabilités matérielles impliquant les canaux auxiliaires d’exécution spéculative. À ce jour, l’équipe Surface n’a reçu aucune information indiquant que ces vulnérabilités ont été utilisées pour attaquer des clients. Elle continue toutefois à collaborer étroitement avec l’équipe Windows et des partenaires du secteur afin de protéger les clients. Pour bénéficier de toutes les protections disponibles, il est nécessaire d’effectuer des mises à jour du microprogramme et du système Windows.
Résumé
L’équipe Surface a connaissance de nouvelles variantes d’attaque par canal auxiliaire d’exécution spéculative qui touchent également les produits Surface. L’atténuation de ces vulnérabilités nécessite une mise à jour du système d’exploitation et une mise à jour UEFI Surface qui contient un nouveau microcode. Pour plus d’informations sur les vulnérabilités et sur les atténuations, consultez l’avis de sécurité suivant :
Microsoft collabore avec ses partenaires pour fournir des mises à jour pour les produits Surface suivants dès que ces mises à jour respecteront avec certitude les exigences de qualité Microsoft :
-
Surface 3 - Mise à jour du 11 juillet 2019
-
Surface Pro 3 - Mise à jour du 11 juillet 2019
-
Surface Pro 4 - Mise à jour du 27 juin 2019
-
Surface Book - Mise à jour du 27 juin 2019
-
Surface Studio - Mise à jour du 11 juillet 2019
-
Surface Pro (5e génération) - Mise à jour du 27 juin 2019
-
Surface Laptop - Mise à jour du 27 juin 2019
-
Surface Book 2 - Mise à jour du 27 juin 2019
-
Surface Pro 6 - Mise à jour du 27 juin 2019
-
Surface Laptop 2 - Mise à jour du 27 juin 2019
-
Surface Studio 2 - Mise à jour du 31 juillet 2019
-
Surface GO WiFi
-
Surface GO LTE
Outre le nouveau microcode, un nouveau paramètre UEFI appelé « multithreading simultané (SMT) » est disponible quand la mise à jour”UEFI est installée. Ce paramètre vous permet de désactiver l’hyperthreading.
Remarque
-
Si vous souhaitez désactiver l’hyperthreading, Microsoft vous recommande d’utiliser le nouveau paramètre UEFI SMT.
-
La désactivation du SMT fournit une protection supplémentaire contre ces nouvelles vulnérabilités et l’attaque L1 Terminal Fault annoncée précédemment. Toutefois, cette méthode diminue aussi les performances de l’appareil.
-
Surface 3 et Surface Studio avec Intel Core i5 n’ont pas le SMT. Ainsi, ces appareils n’ont pas ce nouveau paramètre.
-
L’outil de configuration UEFI de Microsoft Surface Enterprise Management Mode (SEMM) version 2.43.139 ou ultérieure prend en charge le nouveau paramètre SMT. Les outils peuvent être téléchargés sur cette page web. Téléchargez les outils nécessaires suivants :
-
SurfaceUEFI_Configurator_v2.43.139.0.msi
-
SurfaceUEFI_Manager_v2.43.139.0.msi
-
Références
L’équipe Surface a connaissance d’une nouvelle attaque par canal auxiliaire d’exécution spéculative appelée « L1 Terminal Fault » (L1TF) qui a été attribuée à la CVE-2018-3620 (OS et SMM) et à la CVE-2018-3646 (VMM). Les produits Surface concernés sont identiques à ceux figurant dans la section « Vulnérabilités annoncées en mai 2018 » de cet article. Les mises à jour du microcode visant à atténuer les effets de mai 2018 permettent également d’atténuer L1TF (CVE-2018-3646). Pour plus d’informations sur la vulnérabilité et sur les atténuations, consultez l’avis de sécurité suivant :
L’avis de sécurité propose aux clients qui utilisent la sécurité basée sur la virtualisation (VBS, Virtualization Based Security), qui intègre des fonctionnalités de sécurité telles que Credential Guard et Device Guard, de désactiver l’hyperthreading afin d’éliminer tout risque de L1TF. Il est actuellement impossible de désactiver l’hyperthreading sur les appareils Surface. Par défaut, les fonctionnalités VBS sont désactivées sur les appareils Surface. L’équipe Surface recherche des options permettant de désactiver l’hyperthreading.
Références
L’équipe Surface a connaissance de nouvelles variantes d’attaque par canal auxiliaire d’exécution spéculative qui touchent également les produits Surface. L’atténuation de ces vulnérabilités nécessite des mises à jour UEFI qui utilisent un nouveau microcode. Pour plus d’informations sur les vulnérabilités et sur les atténuations, consultez les avis de sécurité suivants :
Microsoft collabore avec ses partenaires pour fournir des mises à jour pour les produits Surface suivants dès que ces mises à jour respecteront avec certitude les exigences de qualité Microsoft :
-
Surface Book 2 - Mise à jour du 1er août 2018
-
Surface Book - Mise à jour du 21 août 2018
-
Surface Laptop - Mise à jour du 25 juillet 2018
-
Surface Studio - Mise à jour du 1er octobre 2018
-
Surface Pro 4 - Mise à jour du 25 juillet 2018
-
Surface Pro 3 - Mise à jour du 7 août 2018
-
Surface Pro modèle 1796 et Surface Pro avec LTE Advanced modèle 1807 - Mise à jour du 26 juillet 2018
Références
L’équipe Surface a connaissance de la classe révélée publiquement de vulnérabilités impliquant les canaux auxiliaires d’exécution spéculative (appelées « Spectre » et « Meltdown ») qui touche de nombreux processeurs et systèmes d’exploitation modernes, dont Intel, AMD et ARM. Pour plus d’informations sur les vulnérabilités et sur les atténuations, consultez l’avis de sécurité suivant :
Avis de sécurité Microsoft ADV180002
Pour plus d’informations sur les mises à jour logicielles Windows, consultez les articles suivants de la Base de connaissances :
-
4073757 Protection de vos appareils Windows contre les vulnérabilités Spectre et Meltdown
-
4073119 Instructions des clients Windows destinées aux professionnels de l’informatique concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative
Outre les mises à jour de sécurité du système d’exploitation Windows du 3 janvier, Surface a publié des mises à jour UEFI par le biais de Windows Update et du Centre de téléchargement pour les appareils suivants :
-
Surface Book 2 (historique des mises à jour)
-
Surface Book (historique des mises à jour)
-
Surface Laptop (historique des mises à jour)
-
Surface Studio (historique des mises à jour)
-
Surface Pro 4 (historique des mises à jour)
-
Surface Pro 3 (historique des mises à jour)
-
Surface 3 (historique des mises à jour)
-
Surface Pro modèle 1796 et Surface Pro avec LTE Advanced modèle 1807 (historique des mises à jour)
Ces mises à jour sont disponibles pour les appareils qui exécutent Windows 10 Creators Update (build 15063) et les versions ultérieures.
Références
Informations supplémentaires
Surface Hub a implémenté des stratégies de défense en profondeur. Pour plus d’informations, consultez l’article suivant sur le site web Windows IT Pro Center :
Différences entre le Surface Hub et Windows 10 Entreprise
Par conséquent, nous estimons que les risques liés à ces vulnérabilités sont considérablement réduits sur Surface Hub.
L’équipe Surface veille en permanence à ce que les utilisateurs bénéficient d’une expérience fiable et sécurisée. Microsoft continuera à surveiller et à mettre à jour les appareils pour corriger ces vulnérabilités et assurer la fiabilité et la sécurité des appareils.
