Actions recommandées

Les clients doivent prendre les mesures suivantes pour bénéficier d’une protection contre les vulnérabilités :

  1. Appliquer toutes les mises à jour disponibles pour le système d’exploitation Windows, y compris les mises à jour de sécurité Windows mensuelles.

  2. Appliquer la mise à jour applicable du microprogramme (microcode) fournie par le fabricant de l’appareil.

  3. Évaluer le risque pour l’environnement en fonction des informations contenues dans les avis de sécurité Microsoft ADV180002, ADV180012 et ADV190013, ainsi que des informations contenues dans cet article de la Base de connaissances.

  4. Prendre les mesures nécessaires mentionnées dans les avis et dans les informations sur les clés de Registre contenues dans cet article de la Base de connaissances.

Remarque : les clients Surface recevront une mise à jour du microcode par le biais de Windows Update. Pour obtenir la liste des dernières mises à jour du microprogramme (microcode) disponibles pour les appareils Surface, consultez l’article KB 4073065.

Paramètres d’atténuation pour les clients Windows

Les avis de sécurité ADV180002, ADV180012 et ADV190013 fournissent des informations sur les risques que présentent ces vulnérabilités et permettent de déterminer l’état par défaut des atténuations pour les systèmes clients Windows. Le tableau ci-dessous récapitule la nécessité d’un microcode du processeur et l’état par défaut des atténuations pour les clients Windows.

CVE

Microcode/microprogramme du processeur nécessaire ?

État par défaut des atténuations

CVE-2017-5753

Non

Activées par défaut (pas d’option de désactivation)

Pour plus d’informations, consultez l’avis ADV180002.

CVE-2017-5715

Oui

Activées par défaut. Les utilisateurs de systèmes reposant sur des processeurs AMD doivent consulter le point 15 du forum aux questions et les utilisateurs de processeurs ARM doivent consulter le point 20 du forum aux questions dans l’avis ADV180002 pour connaître l’action supplémentaire et cet article pour les paramètres de clé de Registre applicables.

Remarque : « Retpoline » est activé par défaut sur les appareils exécutant Windows 10 version 1809 ou ultérieure si la variante 2 de Spectre (CVE-2017-5715) est activée. Pour plus d’informations sur « Retpoline », suivez les instructions figurant dans le billet de blog Mitigating Spectre variant 2 with Retpoline on Windows (en anglais uniquement).

CVE-2017-5754

Non

Activées par défaut.

Pour plus d’informations, consultez l’avis ADV180002.

CVE-2018-3639

Intel : Oui
AMD : Non
ARM : Oui

Intel et AMD : désactivées par défaut. Consultez l’avis ADV180012 pour plus d’informations et cet article pour les paramètres de clé de Registre applicables.

ARM : activées par défaut sans option de désactivation.

CVE-2018-11091

Intel : Oui

Activées par défaut.

Consultez l’avis ADV190013 pour plus d’informations et cet article pour les paramètres de clé de Registre applicables.

CVE-2018-12126

Intel : Oui

Activées par défaut.

Consultez l’avis ADV190013 pour plus d’informations et cet article pour les paramètres de clé de Registre applicables.

CVE-2018-12127

Intel : Oui

Activées par défaut.

Consultez l’avis ADV190013 pour plus d’informations et cet article pour les paramètres de clé de Registre applicables.

CVE-2018-12130

Intel : Oui

Activées par défaut.

Consultez l’avis ADV190013 pour plus d’informations et cet article pour les paramètres de clé de Registre applicables.

CVE-2019-11135

Intel : Oui

Activées par défaut.

Consultez la page CVE-2019-11135 pour plus d’informations et cet article pour les paramètres de clé de Registre applicables.


Remarque : l’activation d’atténuations qui sont désactivées par défaut risque de réduire les performances. L’impact réel sur les performances varie en fonction de différents facteurs, comme le circuit microprogrammé de l’appareil et les charges de travail exécutées.

Paramètres du Registre

Microsoft fournit les informations suivantes sur le Registre afin d’activer les atténuations qui ne le sont pas par défaut, comme indiqué dans les avis de sécurité ADV180002 et ADV180012. De plus, Microsoft fournit les paramètres de clé de Registre pour les utilisateurs souhaitant désactiver les atténuations liées aux vulnérabilités CVE-2017-5715 et CVE-2017-5754 pour les clients Windows.

Important : cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Par conséquent, veillez à suivre ces étapes scrupuleusement. Pour plus de protection, effectuez une sauvegarde du Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d’informations sur les procédures de sauvegarde et de restauration du Registre, consultez l’article suivant de la Base de connaissances Microsoft :

322756 Comment sauvegarder et restaurer le Registre dans Windows

Gérer les atténuations pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown)

Remarque importante : Retpoline est activé par défaut sur les serveurs Windows 10 version 1809 si la variante 2 de Spectre (CVE-2017-5715) est activée. L’activation de Retpoline sur la dernière version de Windows 10 peut améliorer les performances sur les appareils Windows 10 version 1809 pour la variante 2 de Spectre, en particulier sur les anciens processeurs.

Pour activer les atténuations par défaut pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Pour désactiver les atténuations pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Remarque : la valeur 3 pour le paramètre FeatureSettingsOverrideMask convient pour les paramètres d’activation et de désactivation. (Pour plus d’informations sur les clés de Registre, consultez la section « Forum aux questions ».)

Gérer l’atténuation pour CVE-2017-5715 (variante 2 de Spectre)

Pour désactiver les atténuations pour CVE-2017-5715 (variante 2 de Spectre)  :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Pour activer les atténuations par défaut pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Processeurs AMD et ARM uniquement : activer l’atténuation complète pour CVE-2017-5715 (variante 2 de Spectre)

Par défaut, la protection utilisateur-noyau pour CVE-2017-5715 est désactivée pour les processeurs AMD et ARM. Les clients doivent activer l’atténuation pour bénéficier des protections supplémentaires pour la vulnérabilité CVE-2017-5715. Pour plus d’informations, consultez le point 15 du forum aux questions dans ADV180002 pour les processeurs AMD et le point 20 du forum aux questions dans ADV180002 pour les processeurs ARM.

Activer la protection utilisateur-noyau sur les processeurs AMD et ARM avec les autres protections pour CVE-2017-5715 :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Gérer les atténuations pour CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown)

Pour activer les atténuations pour CVE-2018-3639 (Speculative Store Bypass) et les atténuations par défaut pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Remarque : les processeurs AMD ne sont pas vulnérables à CVE-2017-5754 (Meltdown). Cette clé de Registre est utilisée dans les systèmes équipés de processeurs AMD pour activer les atténuations par défaut pour CVE-2017-5715 sur les processeurs AMD et l’atténuation pour CVE-2018-3639.

Pour désactiver les atténuations pour CVE-2018-3639 (Speculative Store Bypass) *ET* les atténuations pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2017-5754 (Meltdown) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Processeurs AMD uniquement : activer l’atténuation complète pour CVE-2017-5715 (variante 2 de Spectre) et CVE-2018-3639 (Speculative Store Bypass)

Par défaut, la protection utilisateur-noyau pour CVE-2017-5715 est désactivée pour les processeurs AMD. Les clients doivent activer l’atténuation pour bénéficier des protections supplémentaires pour la vulnérabilité CVE-2017-5715.  Pour plus d’informations, consultez le point 15 du forum aux questions dans l’avis ADV180002.

Activer la protection utilisateur-noyau sur les processeurs AMD avec les autres protections pour CVE-2017-5715 et les protections pour CVE-2018-3639 (Speculative Store Bypass) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Gérer les vulnérabilités « Transaction Asynchronous Abort » touchant Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) et Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130), les variantes de Spectre (CVE-2017-5753 et CVE-2017-5715) et Meltdown (CVE-2017-5754), y compris Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) et L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646)

Pour activer les atténuations pour les vulnérabilités « Transaction Asynchronous Abort » touchant Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) et Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ), les variantes de Spectre (CVE-2017-5753 et CVE-2017-5715) et Meltdown (CVE-2017-5754), y compris Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) et L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646) sans désactiver l’hyperthreading :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Pour activer les atténuations pour les vulnérabilités « Transaction Asynchronous Abort » touchant Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) et Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ), les variantes de Spectre (CVE-2017-5753 et CVE-2017-5715) et Meltdown (CVE-2017-5754), y compris Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) et L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646) quand l’hyperthreading est désactivé :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Si la fonctionnalité Hyper-V est installée, ajoutez le paramètre de Registre suivant :

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

 

S’il s’agit d’un hôte Hyper-V et que les mises à jour du microprogramme ont été appliquées : arrêtez toutes les machines virtuelles. L’atténuation liée au microprogramme peut ainsi être appliquée sur l’hôte avant le démarrage des machines virtuelles. Par conséquent, les machines virtuelles sont également mises à jour lorsqu’elles sont redémarrées.

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Pour désactiver les atténuations pour les vulnérabilités « Transaction Asynchronous Abort » touchant Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) et Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ), les variantes de Spectre (CVE-2017-5753 et CVE-2017-5715) et Meltdown (CVE-2017-5754), y compris Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) et L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Vérification de l’activation des protections

Pour vous aider à vérifier que les protections sont activées, Microsoft a publié un script PowerShell à exécuter sur votre système. Installez et exécutez le script à l’aide des commandes suivantes.

Vérification PowerShell à l’aide de PowerShell Gallery (Windows Server 2016 ou WMF 5.0/5.1)

Installation du module PowerShell :

PS> Install-Module SpeculationControl

Exécution du module PowerShell pour vérifier que les protections sont activées :

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

 

Vérification PowerShell à l’aide d’un téléchargement depuis TechNet (versions antérieures du système d’exploitation et de WMF)

Installation du module PowerShell à partir de TechNet ScriptCenter :

Accédez à https://aka.ms/SpeculationControlPS.

Téléchargez le fichier SpeculationControl.zip dans un dossier local.

Extrayez le contenu dans un dossier local, par exemple C:\ADV180002.

Exécution du module PowerShell pour vérifier que les protections sont activées :

Démarrez PowerShell, puis (à l’aide de l’exemple précédent) copiez et exécutez les commandes suivantes :

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Pour obtenir des explications détaillées sur les résultats du script PowerShell, consultez l’article 4074629 de la Base de connaissances.

Forum aux questions

Le microcode est fourni par le biais d’une mise à jour du microprogramme. Les clients doivent se renseigner auprès du fabricant de leur processeur (circuit microprogrammé) et du fabricant de leur appareil pour connaître la disponibilité des mises à jour de sécurité du microprogramme applicables à leur appareil spécifique, notamment consulter les instructions de révision du microcode d’Intel.

La résolution d’une vulnérabilité matérielle à l’aide d’une mise à jour logicielle constitue un défi considérable. En outre, les atténuations pour les systèmes d’exploitation antérieurs nécessitent des modifications importantes de l’architecture. Microsoft collabore avec les fabricants de puces concernés pour déterminer le meilleur moyen de proposer les atténuations, qui pourront être fournies dans des mises à jour ultérieures.

Les mises à jour pour les appareils Microsoft Surface seront proposées aux clients par le biais de Windows Update en même temps que les mises à jour du système d’exploitation Windows. Pour obtenir la liste des mises à jour du microprogramme (microcode) disponibles pour les appareils Surface, consultez l’article KB 4073065.

Dans le cas d’un appareil non-Microsoft, appliquez le microprogramme du fabricant de l’appareil. Pour plus d’informations, contactez le fabricant d’appareil OEM.

En février et en mars 2018, Microsoft a publié une protection supplémentaire pour certains systèmes x86. Pour plus d’informations, consultez l’article KB 4073757 et l’avis de sécurité Microsoft ADV180002.

Les mises à jour pour Windows 10 pour HoloLens sont disponibles pour les clients HoloLens par le biais de Windows Update.

Après l’application de la mise à jour de sécurité Windows de février 2018, les clients HoloLens ne doivent entreprendre aucune action supplémentaire pour mettre à jour le microprogramme de leur appareil. Ces atténuations seront également incluses dans toutes les versions futures de Windows 10 pour HoloLens.

Non. Les mises à jour de sécurité uniquement ne sont pas cumulatives. Selon la version du système d’exploitation que vous utilisez, vous devez installer chaque mise à jour mensuelle de sécurité uniquement pour bénéficier d’une protection contre ces vulnérabilités. Par exemple, si vous utilisez Windows 7 pour systèmes 32 bits sur un processeur Intel concerné, vous devez installer toutes les mises à jour de sécurité uniquement. Nous recommandons d’installer ces mises à jour de sécurité uniquement dans leur ordre de publication.

Remarque : une version antérieure de ce forum aux questions indiquait de manière incorrecte que la mise à jour de sécurité uniquement de février contenait les correctifs de sécurité publiés en janvier. En réalité, ce n’est pas le cas.

Non. La mise à jour de sécurité 4078130 était un correctif spécifique destiné à empêcher les comportements imprévisibles du système, les problèmes de performances et/ou les redémarrages inattendus suite à l’installation du microcode. L’application des mises à jour de sécurité de février sur les systèmes d’exploitation clients Windows active toutes les trois atténuations.

Intel a récemment annoncé avoir terminé les opérations de validation et commencé à publier un microcode pour les plateformes de processeur les plus récentes. Microsoft publie les mises à jour du microcode validées par Intel disponibles en ce qui concerne la variante 2 de Spectre (CVE-2017-5715, « Branch Target Injection »). L’article KB 4093836 répertorie les articles spécifiques de la Base de connaissances par version de Windows. Chaque article contient les mises à jour du microcode Intel disponibles par processeur.

Ce problème a été résolu dans KB 4093118.

AMD a récemment annoncé avoir commencé à publier un microcode pour les plateformes de processeur les plus récentes en ce qui concerne la variante 2 de Spectre (CVE-2017-5715, « Branch Target Injection »). Pour plus d’informations, consultez les mises à jour de la sécurité des processeurs AMD et le Livre blanc AMD : instructions relatives à l’architecture concernant le contrôle Indirect Branch. Ces documents sont disponibles à partir du canal de microprogramme OEM.

Microsoft publie les mises à jour du microcode validées par Intel disponibles en ce qui concerne la variante 2 de Spectre (CVE-2017-5715, « Branch Target Injection »). Pour obtenir les dernières mises à jour du microcode Intel au moyen de Windows Update, vous devez avoir installé le microcode Intel sur un appareil Windows 10 avant de procéder à la mise à niveau vers la mise à jour d’avril 2018 de Windows 10 (version 1803).

La mise à jour du microcode est également disponible directement à partir du Catalogue si elle n’était pas installée sur l’appareil avant la mise à niveau du système d’exploitation. Le microcode Intel est disponible par le biais de Windows Update, de WSUS ou du Catalogue Microsoft Update. Pour plus d’informations et pour obtenir les instructions de téléchargement, consultez l’article KB 4100347.

Pour plus d’informations, consultez les sections « Actions recommandées » et « Forum aux questions » de l’article ADV180012 | Instructions de Microsoft concernant la vulnérabilité « Speculative Store Bypass ».

Pour vérifier l’état de la fonctionnalité SSBD, le script PowerShell Get-SpeculationControlSettings a été mis à jour pour détecter les processeurs concernés, l’état des mises à jour du système d’exploitation SSBD et l’état du microcode du processeur, le cas échéant. Pour plus d’informations et pour obtenir le script PowerShell, consultez l’article KB 4074629.

Le 13 juin 2018, une vulnérabilité supplémentaire impliquant l’exécution spéculative par canal auxiliaire, appelée « Lazy FP State Restore », a été annoncée et attribuée à la CVE-2018-3665. Aucun paramètre de configuration (Registre) n’est nécessaire pour Lazy FP State Restore.

Pour plus d’informations sur cette vulnérabilité et sur les actions recommandées, consultez l’avis de sécurité suivant : ADV180016 | Instructions de Microsoft concernant la vulnérabilité « Lazy FP State Restore ».

Remarque : aucun paramètre de configuration (Registre) n’est nécessaire pour « Lazy FP State Restore ».

La vulnérabilité « Bounds Check Bypass Store » (BCBS) a été divulguée le 10 juillet 2018 et attribuée à la CVE-2018-3693. Nous estimons que BCBS appartient à la même classe de vulnérabilités que « Bounds Check Bypass » (variante 1). À ce jour, nous n’avons connaissance d’aucune instance de BCBS dans nos logiciels. Nous poursuivons toutefois nos recherches sur cette classe de vulnérabilités et nous collaborerons avec des partenaires du secteur pour publier des atténuations, le cas échéant. Microsoft continue à encourager les chercheurs à transmettre leurs résultats et constatations dans le cadre du programme Bounty Speculative Execution Side Channel de Microsoft, entre autres toute instance exploitable de BCBS. Les développeurs de logiciels doivent consulter les instructions pour les développeurs mises à jour pour BCBS à l’adresse https://aka.ms/sescdevguide.

Le 14 août 2018, la vulnérabilité « L1 Terminal Fault » (L1TF) a été annoncée et attribuée à plusieurs CVE. Ces nouvelles vulnérabilités de canal auxiliaire d’exécution spéculative peuvent servir à lire le contenu de la mémoire sur une limite approuvée et, en cas d’exploitation, peuvent entraîner une divulgation d’informations. Un attaquant pourrait déclencher les vulnérabilités à l’aide de plusieurs vecteurs en fonction de l’environnement configuré. La vulnérabilité L1TF touche les processeurs Intel® Core® et Intel® Xeon®.

Pour plus d’informations sur cette vulnérabilité et pour obtenir une présentation détaillée des scénarios concernés, entre autres l’approche de Microsoft en ce qui concerne l’atténuation de L1TF, consultez les ressources suivantes :

Si vous utilisez des processeurs ARM 64 bits, vous devez contacter le fabricant OEM de l’appareil pour obtenir un support sur le microprogramme, car, pour pouvoir être appliquées, les protections du système d’exploitation ARM64 qui atténuent la vulnérabilité CVE-2017-5715 - Branch Target Injection (Spectre, variante 2) nécessitent la dernière mise à jour du microprogramme.

Pour obtenir des instructions concernant Azure, consultez l’article suivant : Instructions pour atténuer les vulnérabilités de canal auxiliaire d’exécution spéculative dans Azure.  

Pour plus d’informations sur l’activation de Retpoline, consultez le billet de blog suivant : Mitigating Spectre variant 2 with Retpoline on Windows (en anglais uniquement).

Pour plus d’informations sur cette vulnérabilité, consultez le guide des mises à jour de sécurité Microsoft : CVE-2019-1125 | Vulnérabilité de divulgation d’informations dans le noyau Windows.

Microsoft n’a connaissance d’aucun cas oÙ cette vulnérabilité de divulgation d’informations touche son infrastructure de services cloud.

Dès qu’elle a eu connaissance de ce problème, Microsoft a cherché rapidement une solution à ce problème et a publié une mise à jour. Microsoft est convaincue qu’une étroite collaboration avec les chercheurs et les partenaires du secteur permet de renforcer la sécurité des clients. Elle n’a dès lors publié les détails que le mardi 6 août, conformément à des pratiques de divulgation de vulnérabilité coordonnée.

 

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Dans quelle mesure êtes-vous satisfait(e) de la qualité de la traduction ?

Qu’est-ce qui a affecté votre expérience ?

Avez-vous d’autres commentaires ? (Facultatif)

Nous vous remercions pour vos commentaires.

×