הדרכה של לקוח Windows עבור מומחי IT כדי להגן מפני פגיעויות ביצוע ספקולטיביות של ערוץ צד

פעולות מומלצות

על הלקוחות לנקוט בפעולות הבאות כדי לסייע בהגנה מפני הפגיעויות:

  1. החל את כל העדכונים הזמינים של מערכת ההפעלה Windows, כולל עדכוני האבטחה החודשיים של Windows.

  2. החל את העדכון הישים של הקושחה (microcode) המסופק על-ידי יצרן ההתקן.

  3. הערך את הסיכון לסביבה בהתבסס על המידע המסופק בעלוני היידוע של Microsoft בנושא אבטחה: ADV180002, ADV180012, ADV190013 ומידע המסופק במאמר זה של מאגר הידע.

  4. נקוט פעולה כנדרש על-ידי שימוש במידע אודות עלוני היידוע ומפתח הרישום המסופקים במאמר זה במאגר הידע.

שים לב לקוחות פני השטח יקבלו עדכון מיקרוקוד באמצעות עדכון חלונות. לקבלת רשימה של העדכונים העדכניים ביותר של קושחת התקן פני שטח (microcode), ראה KB 4073065.

הגדרות הפחתת סיכון עבור לקוחות Windows

עלוני יידוע בנושא אבטחה ADV180002, ADV180012ו- ADV190013 מספקים מידע אודות הסיכון המציב על-ידי פגיעויות אלה ומסייעים לך לזהות את מצב ברירת המחדל של הגורמים המקלים עבור מערכות לקוח של Windows. הטבלה הבאה מסכמת את הדרישה של מיקרו-קוד CPU ואת מצב ברירת המחדל של הגורמים המקלים על לקוחות Windows.

– CVE

דורש מעבד מיקרו-קוד/קושחה?

הפחתת מצב ברירת מחדל

CVE-2017-5753

לא

מאופשר כברירת מחדל (אין אפשרות להשבית)

לקבלת מידע נוסף, עיין בADV180002 .

CVE-2017-5715

כן

זמין כברירת מחדל. משתמשי מערכות המבוססים על מעבדי AMD צריכים לראות שאלות נפוצות #15 ומשתמשים של מעבדי ARM צריכים לראות שאלות נפוצות #20 ב- ADV180002 לפעולה נוספת ומאמר KB זה עבור הגדרות מפתח רישום ישימות.

שים לב "רטיפוליין" מופעלת כברירת מחדל עבור התקנים שבהם פועל Windows 10 1809 או חדש יותר אם האפשרות ' ספקטר Variant 2 ' (CVE-2017-5715) מאופשרת. לקבלת מידע נוסף, בסביבות "רטיפוליה", עקבו אחר ההנחיותבמשתנה הספקטרה המקל 2 עם רטינין על הצבת הבלוג של חלונות.

CVE-2017-5754

לא

מאופשר כברירת מחדל

לקבלת מידע נוסף, עיין בADV180002 .

CVE-2018-3639

אינטל: כן AMD: לא זרוע: כן

אינטל ו-AMD: לא זמין כברירת מחדל. ראה ADV180012 לקבלת מידע נוסף ומאמר KB זה עבור הגדרות מפתח רישום ישימות.

ARM: מאופשר כברירת מחדל ללא אפשרות להשבית.

CVE-2018-11091

אינטל: כן

זמין כברירת מחדל.

ראה ADV190013 לקבלת מידע נוסף ומאמר KB זה עבור הגדרות מפתח רישום ישימות.

CVE-2018-12126

אינטל: כן

זמין כברירת מחדל.

ראה ADV190013 לקבלת מידע נוסף ומאמר KB זה עבור הגדרות מפתח רישום ישימות.

CVE-2018-12127

אינטל: כן

זמין כברירת מחדל.

ראה ADV190013 לקבלת מידע נוסף ומאמר KB זה עבור הגדרות מפתח רישום ישימות.

CVE-2018-12130

אינטל: כן

זמין כברירת מחדל.

ראה ADV190013 לקבלת מידע נוסף ומאמר KB זה עבור הגדרות מפתח רישום ישימות.

CVE-2019-11135

אינטל: כן

זמין כברירת מחדל.

ראה CVE-2019-11135 לקבלת מידע נוסף ומאמר KB זה עבור הגדרות מפתח רישום ישימות.

שים לב הפעלת הגורמים המקלים שאינם כברירת מחדל עלולים להשפיע על הביצועים. אפקט הביצועים בפועל תלוי בגורמים מרובים, כגון ערכת השבבים הספציפית בהתקן ועומסי העבודה הפועלים.

הגדרות רישום

אנו מספקים את פרטי הרישום הבאים כדי לאפשר גורמים מקלים שאינם זמינים כברירת מחדל, כפי שמתועד בעלוני היידוע של אבטחה ADV180002 ו- ADV180012. בנוסף, אנו מספקים הגדרות מפתח רישום עבור משתמשים המעוניינים להשבית את הגורמים המקלים הקשורים ל-CVE-2017-5715 ו-CVE-2017-5754 עבור לקוחות Windows.

חשוב מקטע, שיטה או משימה אלה מכילים שלבים האומרים לך כיצד לשנות את הרישום. עם זאת, בעיות חמורות עלולות להתרחש אם תשנה את הרישום בצורה שגויה. לכן, הקפד לבצע את השלבים הבאים בזהירות. לצורך הגנה נוספת, גבה את הרישום לפני שתשנה אותו. לאחר מכן, באפשרותך לשחזר את הרישום אם מתרחשת בעיה. לקבלת מידע נוסף אודות אופן הגיבוי והשחזור של הרישום, עיין במאמר הבא במאגר הידע Microsoft Knowledge Base:

322756 כיצד לגבות ולשחזר את הרישום ב-Windows

ניהול הגורמים המקלים עבור CVE-2017-5715 (משתנה הספקטר 2) וCVE-2017-5754 (התכה)

הערה חשובה רטיפוליה מופעל כברירת מחדל ב-Windows 10, גירסה 1809 התקנים אם ' ספקטר ', Variant 2 (CVE-2017-5715) מופעל. הפיכת רטינין לזמינה בגירסה העדכנית ביותר של Windows 10 עשויה לשפר את הביצועים בהתקנים שבהם פועל Windows 10, גירסה 1809 עבור משתנה ספקטר 2, במיוחד במעבדים ישנים יותר.

כדי לאפשר המקלים ברירת מחדל עבור CVE-2017-5715 (משתנה ספקטר 2) וCVE-2017-5754 (התכה)

reg הוסף "HKEY_LOCAL_MACHINE \System\toole\tucer\n \ ניהול הפעלות \ הפעלת זיכרון"/v FeatureSettingsOverride/v REG_DWORD/v 0/f

reg הוסף "HKEY_LOCAL_MACHINE \System\toole\topcer\n ניהול הפעלות \ הפעלת זיכרון"/v FeatureSettingsOverrideMask/v REG_DWORD/v 3/f

הפעל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף.

כדי להשבית את הגורמים המקלים עבור CVE-2017-5715 (משתנה הספקטר 2) וCVE-2017-5754 (התכה)

reg הוסף "HKEY_LOCAL_MACHINE \System\toole\topcer\n ניהול הפעלות \ הפעלת זיכרון"/v FeatureSettingsOverride/v REG_DWORD/v 3/f

reg הוסף "HKEY_LOCAL_MACHINE \System\toole\topcer\n ניהול הפעלות \ הפעלת זיכרון"/v FeatureSettingsOverrideMask/v REG_DWORD/v 3/f

הפעל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף.

שים לב ערך של 3 מדויק עבור הגדרות "הפוך לזמין" ו-"disable" ( FeatureSettingsOverrideMask ). (עיין בסעיף ' שאלות נפוצות ' לקבלת פרטים נוספים אודות מפתחות רישום.)

ניהול הפחתת ההקלה על CVE-2017-5715 (משתנה הספקטר 2)

להשבית את הגורמים המקלים עבור CVE-2017-5715 (משתנה הספקטר 2):

reg הוסף "HKEY_LOCAL_MACHINE \System\toole\topcer\n ניהול הפעלות \ הפעלת זיכרון"/v FeatureSettingsOverride/v REG_DWORD/v 1/f

reg הוסף "HKEY_LOCAL_MACHINE \System\toole\topcer\n ניהול הפעלות \ הפעלת זיכרון"/v FeatureSettingsOverrideMask/v REG_DWORD/v 3/f

הפעל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף.

כדי לאפשר הגורמים המקלים ברירת מחדל עבור Cve-2017-5715 (משתנה ספקטר 2) וCVE-2017-5754 (המשבר):

reg הוסף "HKEY_LOCAL_MACHINE \System\toole\tucer\n \ ניהול הפעלות \ הפעלת זיכרון"/v FeatureSettingsOverride/v REG_DWORD/v 0/f

reg הוסף "HKEY_LOCAL_MACHINE \System\toole\topcer\n ניהול הפעלות \ הפעלת זיכרון"/v FeatureSettingsOverrideMask/v REG_DWORD/v 3/f

הפעל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף.

מעבדי AMD וARM בלבד: אפשר הקלה מלאה עבור CVE-2017-5715 (משתנה הספקטר 2)

כברירת מחדל, הגנה מפני המשתמש לקרנל עבור CVE-2017-5715 אינה זמינה עבור המעבדים של AMD ו-ARM. על הלקוחות להפעיל את ההקלה על מנת לקבל הגנות נוספות עבור CVE-2017-5715. לקבלת מידע נוסף, ראה שאלות נפוצות #15 ADV180002 עבור מעבדי AMD ושאלות נפוצות #20 ב- ADV180002 עבור מעבדי ARM.

לאפשר הגנת משתמש-לקרנל על מעבדי AMD ו-ARM יחד עם הגנות אחרות עבור CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף.

ניהול הגורמים המקלים עבור CVE-2018-3639 (מעקף החנות הספקולטיבי), CVE-2017-5715 (משתנה הספקטר 2), CVE-2017-5754 (מתפרק)

כדי לאפשר הגורמים המקלים על CVE-2018-3639 (מעקף החנות הספקולטיבי), הגורמים המקלים על ברירת המחדל עבור CVE-2017-5715 (משתנה הספקטר 2) וCVE-2017-5754 (המשבר):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף.

הערה: מעבדי AMD אינם פגיעים לפגיעות CVE-2017-5754 (התכה). מפתח רישום זה משמש במערכות עם מעבדי AMD כדי לאפשר הקלה ברירת מחדל עבור CVE-2017-5715 במעבדי AMD ובהפחתת ההקלה על CVE-2018-3639.

כדי להשבית את הגורמים המקלים עבור CVE-2018-3639 (מעקף החנות הספקולטיבי) * וגורמים מקלים עבור CVE-2017-5715 (משתנה הספקטר 2) וCVE-2017-5754 (מתפרק)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף.

מעבדי AMD בלבד: אפשר הקלה מלאה עבור CVE-2017-5715 (משתנה ספקטר 2) וCVE 2018-3639 (מעקף מאגר ספקולטיבי)

כברירת מחדל, הגנה מפני משתמש לקרנל עבור CVE-2017-5715 אינה זמינה עבור מעבדי AMD. על הלקוחות להפעיל את ההקלה על מנת לקבל הגנות נוספות עבור CVE-2017-5715.  לקבלת מידע נוסף, ראה שאלות נפוצות #15 ב ADV180002.

לאפשר הגנה מפני משתמש-לקרנל במעבדי AMD יחד עם הגנות אחרות עבור cve 2017-5715 והגנות עבור cve-2018-3639 (עקיפת המאגר הספקולטיבי):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף.

ניהול פגיעות של ביטול סינכרון טרנזקציות של Intel® (Intel® TSX) (CVE-2019-11135) ודגימת נתונים מיקרואדריכלית (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) יחד עם "ספקטר" (CVE-2017-5753 & CVE-2017-5715) ומשתני ההתכה (cve-2017-5754), כולל מעקף החנות הבלתי-מL1 (CVE-2018-3639), כמו גם תקלת מסופים (L1TF) (CVE-2018-3615, CVE-2018-3620, cve-2018-3646)

כדי להפוך את הגורמים המקלים לזמינים עבור פגיעות של הרחבות סינכרון טרנזקציות של intel® (intel® tsx) (cve-2019-11135) ודגימת נתונים מיקרואדריכלית ( cve-2018-11091 , cve-2018-12126 , cve-2018-12127 , cve-2018-12130)יחד עם משתני ספקטר (cve-2017-5753 & CVE-2017-5715), כולל מעקף ספקולטיבי של החנות, כ CVE-2018-3639) וכן תקלת מסוף L1 (L1TF) (CVE-2018-3615, CVE-2018-3620, CVE-2018-3646) מבלי להשבית את Hyper-Threading:

reg הוסף "HKEY_LOCAL_MACHINE \System\toole\topcer\n \ ניהול הפעלות \ טיפול בזיכרון"/v FeatureSettingsOverride/v REG_DWORD/v 72/f

reg הוסף "HKEY_LOCAL_MACHINE \System\toole\topcer\n ניהול הפעלות \ הפעלת זיכרון"/v FeatureSettingsOverrideMask/v REG_DWORD/v 3/f

אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה:

reg add "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows N\n הוספה/וירטואליזציה"/v MinVmVersionForCpuBasedMitigations/v REG_SZ/v "1.0"/f

אם זהו מארח Hyper-V ועדכוני הקושחה הוחלו: כיבוי מלא של כל המחשבים הווירטואליים. דבר זה מאפשר להחיל את הפחתת הסיכון הקשורה בקושחה על המחשב המארח לפני הפעלת ה-VMs. לכן, ה-VMs מתעדכן גם כאשר הם מופעלים מחדש.

הפעל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף.

כדי להפוך את הגורמים המקלים עבור פגיעות של הרחבות סינכרון טרנזקציות של intel® (intel® tsx) (cve-2019-11135) ודגימת נתונים מיקרואדריכלית ( cve-2018-11091 , cve-2018-12126 , cve-2018-12127 , cve-2018-12130)יחד עם משתני ספקטר (cve-2017-5753 & cve-2017-5715), כולל מעקף של אחסון ספקולטיבי CVE-2018-3639) וכן תקלת L1 מסוף (L1TF) (CVE-2018-3615, CVE-2018-3620 וCVE-2018-3646) עם היפר-Threading לא זמין:

reg הוסף "HKEY_LOCAL_MACHINE \System\toole\topcer\n \ ניהול הפעלות \ טיפול בזיכרון"/v FeatureSettingsOverride/v REG_DWORD/v 8264/f

reg הוסף "HKEY_LOCAL_MACHINE \System\toole\topcer\n ניהול הפעלות \ הפעלת זיכרון"/v FeatureSettingsOverrideMask/v REG_DWORD/v 3/f

אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה:

reg add "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows N\n הוספה/וירטואליזציה"/v MinVmVersionForCpuBasedMitigations/v REG_SZ/v "1.0"/f

 

אם זהו מארח Hyper-V ועדכוני הקושחה הוחלו: כיבוי מלא של כל המחשבים הווירטואליים. דבר זה מאפשר להחיל את הפחתת הסיכון הקשורה בקושחה על המחשב המארח לפני הפעלת ה-VMs. לכן, ה-VMs מתעדכן גם כאשר הם מופעלים מחדש.

הפעל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף.

כדי להפוך את הגורמים המקלים לבלתי זמינים עבור הרחבות סינכרון טרנזקציות של intel® (intel® tsx) (cve-2019-11135) ודגימת נתונים מיקרואדריכלית ( cve-2018-11091 , cve-2018-12126 , cve-2018-12127 , cve-2018-12130)יחד עם משתני ספקטר (cve-2017-5753 & CVE-2017-5715), כולל עקיפת הבעיה של אחסון ספקולטיבי CVE-2018-3639) וכן תקלת L1 מסוף (L1TF) (CVE-2018-3615, CVE-2018-3620 וCVE-2018-3646):

reg הוסף "HKEY_LOCAL_MACHINE \System\toole\topcer\n ניהול הפעלות \ הפעלת זיכרון"/v FeatureSettingsOverride/v REG_DWORD/v 3/f

reg הוסף "HKEY_LOCAL_MACHINE \System\toole\topcer\n ניהול הפעלות \ הפעלת זיכרון"/v FeatureSettingsOverrideMask/v REG_DWORD/v 3/f

הפעל מחדש את המחשב כדי שהשינויים ייכנסו לתוקף.

אימות שהגנות מופעלות

כדי לסייע ללקוחות לוודא שהגנות מופעלות, פרסמנו script של PowerShell שהלקוחות יכולים להפעיל במערכות שלהם. התקן והפעל את קובץ ה-script על-ידי הפעלת הפקודות הבאות.

האימות PowerShell באמצעות גלריית PowerShell (Windows Server 2016 או WMF 5.0/5.1)

התקן את מודול PowerShell:

PS > התקנה-מודול SpeculationControl

הפעל את מודול PowerShell כדי לוודא שהגנות זמינות:

PS > שמור את מדיניות ההפעלה הנוכחית כך שניתן יהיה לאפסו

נ. ב. > $SaveExecutionPolicy = מדיניות השגת-בדיקה

נ. ב. > הגדרת מדיניות ממרחק חתום-טווח משתמש נוכחי

PS > מודול ייבוא SpeculationControl

PS > קבל-SpeculationControlSettings

PS > איפוס מדיניות ההפעלה למצב המקורי

מדיניות הגדרת ה> של PS $SaveExecutionPolicy-טווח משתמש נוכחי

 

PowerShell אימות באמצעות הורדה מ-Technet (גירסאות קודמות של מערכת ההפעלה וגירסאות קודמות של WMF)

התקן את מודול PowerShell ממרכז הסקריפט של Technet:

עבור אל https://aka.ms/SpeculationControlPS

הורד את SpeculationControl. zip לתיקיה מקומית.

חלץ את התוכן לתיקיה מקומית, לדוגמה C:\ADV180002

הפעל את מודול PowerShell כדי לוודא שהגנות זמינות:

להתחיל PowerShell, אז (באמצעות הדוגמה הקודמת) להעתיק ולהפעיל את הפקודות הבאות:

PS > שמור את מדיניות ההפעלה הנוכחית כך שניתן יהיה לאפסו

נ. ב. > $SaveExecutionPolicy = מדיניות השגת-בדיקה

נ. ב. > הגדרת מדיניות ממרחק חתום-טווח משתמש נוכחי

PS > CD C:\ADV180002\SpeculationControl

PS > מודול ייבוא .\SpeculationControl.psd1

PS > קבל-SpeculationControlSettings

PS > איפוס מדיניות ההפעלה למצב המקורי

מדיניות הגדרת ה> של PS $SaveExecutionPolicy-טווח משתמש נוכחי

להסבר מפורט של הפלט של הסקריפט PowerShell, אנא ראה מאמר מאגר ידע 4074629.

שאלות נפוצות

המיקרו-קוד מועבר באמצעות עדכון קושחה. הלקוחות צריכים לבדוק עם ה-CPU שלהם (שבבים) ויצרני ההתקנים על זמינות של עדכוני האבטחה הישימים של הקושחה עבור המכשיר הספציפי שלהם, כולל הדרכה מהדורה Microcodeשל אינטל.

התייחסות לפגיעות חומרה באמצעות עדכון תוכנה מציגה אתגרים משמעותיים. כמו כן, הגורמים המקלים על מערכות ההפעלה הישנות דורשים שינויים אדריכליים נרחבים. אנו עובדים עם יצרני שבבים מושפעים כדי לקבוע מהי הדרך הטובה ביותר לספק גורמים מקלים, שעשויים להישלח בעדכונים עתידיים.

עדכונים עבור התקני פני השטח של Microsoft יועברו ללקוחות באמצעות Windows Update יחד עם העדכונים עבור מערכת ההפעלה Windows. לקבלת רשימת העדכונים הזמינים של קושחת התקן פני השטח (microcode), ראה KB 4073065.

אם ההתקן שלך אינו ממיקרוסופט, החל את הקושחה מיצרן ההתקן. לקבלת מידע נוסף, פנה ליצרן התקן ה-OEM.

בחודשים פברואר ומארס 2018, מיקרוסופט פרסמה הגנה נוספת עבור מערכות מבוססות x86. לקבלת מידע נוסף, ראה KB 4073757ועלון היידוע בנושא אבטחה של Microsoft ADV180002.

עדכונים ל-Windows 10 עבור הולועדשה זמינים ללקוחות הולועדשות באמצעות Windows Update.

לאחר החלת בפברואר 2018 Windows עדכון אבטחה, לקוחות הולועדשה לא צריך לנקוט כל פעולה נוספת כדי לעדכן את קושחת המכשיר שלהם. הגורמים המקלים הללו יכללו גם בכל המהדורות העתידיות של Windows 10 עבור הולועדשה.

לא. עדכוני אבטחה בלבד אינם מצטברים. בהתאם לגירסת מערכת ההפעלה שפועלת במחשב, יהיה עליך להתקין כל העדכונים החודשיים של אבטחה בלבד כדי להיות מוגנים מפני פגיעויות אלה. לדוגמה, אם אתה מפעיל את Windows 7 עבור מערכות 32-bit ב-Intel CPU מושפע, עליך להתקין את כל עדכוני האבטחה בלבד. מומלץ להתקין את עדכוני האבטחה האלה רק בסדר הפרסום.

הערה גירסה קודמת של שאלות נפוצות זו הצהירה באופן שגוי כי העדכון של האבטחה בפברואר בלבד כלל את תיקוני האבטחה שפורסמו בינואר. . למעשה, לא

לא. עדכון אבטחה 4078130 היה תיקון מסוים כדי למנוע התנהגויות מערכת לא צפויות, בעיות ביצועים ו/או אתחול מראש לא צפוי לאחר ההתקנה של microcode. החלת עדכוני האבטחה בחודש פברואר במערכות הפעלה של לקוח Windows מאפשרת את כל שלושת הגורמים המקלים.

אינטלהודיעה לאחרונהשהם סיימו את האימותים שלהם והחלו לשחרר מיקרו-קוד עבור פלטפורמות CPU חדשות. מיקרוסופט מזמינה עדכונים מיקרו-קודים מאומתים של Intel ברחבי ספקטר Variant 2 (CVE-2017-5715 "הזרקת יעד ענף"). KB 4093836 מפרט מאמרים ספציפיים של מאגר ידע לפי גירסת Windows. כל KB מסוים מכיל את עדכוני המיקרו-קוד הזמינים של Intel על-ידי CPU.

בעיה זו נפתרה ב- KB 4093118.

AMD הודיעה לאחרונה הם התחילו לשחרר מיקרו-קוד עבור פלטפורמות מעבד חדש ברחבי ספקטר Variant 2 (CVE-2017-5715 "הזרקת יעד הענף"). לקבלת מידע נוסף, עיין בעדכוני האבטחה של amd ו -amd Whitepaper: הנחיות לארכיטקטורה סביב בקרת ענף עקיף. אלה זמינים מערוץ הקושחה של OEM.

אנו מזמינים עדכונים מיקרו-קוד אימות של אינטל ברחבי ספקטר Variant 2 (CVE-2017-5715 "הזרקת יעד הענף "). כדי לקבל את עדכוני המיקרו-קוד העדכניים ביותר באמצעות windows Update, הלקוחות חייבים להתקין את intel מיקרו-קוד בהתקנים המפעילים מערכת הפעלה של windows 10 לפני שדרוג ל-windows 10 באפריל 2018 Update (גירסה 1803).

העדכון המיקרו-קוד זמין גם ישירות מהקטלוג אם הוא לא הותקן בהתקן לפני שדרוג מערכת ההפעלה. מיקרוקוד Intel זמין באמצעות Windows Update, WSUS או קטלוג העדכונים של Microsoft. לקבלת מידע נוסף והוראות הורדה, ראה KB 4100347.

לקבלת מידע נוסף, עיין במשאבים הבאים:

לפרטים, עיין בסעיפים "פעולות מומלצות" ו"שאלות נפוצות" ב- ADV180012 | מיקרוסופט הדרכה לעקיפת החנות ספקולטיבי.

כדי לאמת את מצב ה-SSBD, ה-script של קבל-SpeculationControlSettings PowerShell עודכן כדי לאתר מעבדים מושפעים, מצב העדכונים של מערכת ההפעלה SSBD ומצב המיקרו-קוד של המעבד אם הדבר ישים. לקבלת מידע נוסף וכיצד לקבל את הסקריפט PowerShell, ראה KB 4074629.

ב -13 ביוני 2018, הוכרז פגיעות נוספות הכרוכה בביצוע ביצוע ספקולטיבי של ערוץ צדדי, הידוע בשם שחזור המדינה העצל, והקצתה CVE-2018-3665. הגדרות תצורה (רישום) אינן נחוצות עבור שחזור FP של שחזור לעצלנים.

לקבלת מידע נוסף אודות פגיעות זו ולפעולות מומלצות, עיין בעלון יידוע בנושא אבטחה ADV180016 | מיקרוסופט הדרכה עבור שחזור המדינה במצב עצלן FP.

שים לב הגדרות תצורה (רישום) אינן נחוצות עבור שחזור FP של שחזור לעצלנים.

מאגר מעקף בדיקת גבולות (BCBS) נחשף ב -10 ביולי 2018 והוקצה CVE-2018-3693. אנו מחשיבים את BCBS להשתייך לאותה מחלקה של פגיעויות כמו מעקף בדיקת גבולות (Variant 1). איננו מודעים כרגע למופעים של BCBS בתוכנה שלנו, אך אנו ממשיכים לחקור את מחלקת הפגיעות המתוארת ונעבוד עם שותפי התעשייה כדי לשחרר את הגורמים המקלים כנדרש. אנו ממשיכים לעודד חוקרים להגיש את כל הממצאים הרלוונטיים לתוכנית השפע של מיקרוסופט ביצוע של ערוץ הראשיםשל Microsoft, כולל כל מופעי הניצול של bcbs. מפתחי תוכנה צריכים לסקור את הנחיית המפתחים שעודכנה עבור BCBS ב- https://aka.ms/sescdevguide.

על אוגוסט 14, 2018, L1 מסוף תקלה (L1TF) הוכרז והקצתה מספר cves. ניתן להשתמש בפגיעויות חדשות אלה ביצוע ספקולטיבי של ערוץ הצד כדי לקרוא את תוכן הזיכרון על-פני גבול מהימן, ובמקרה של ניצול, יכול להוביל לגילוי מידע. תוקף יכול להפעיל את הפגיעויות באמצעות וקטורים מרובים, בהתאם לסביבה שהוגדרה. L1TF משפיע על מעבדי Intel® Core® ומעבדי Intel® Xeon®.

לקבלת מידע נוסף אודות פגיעות זו ותצוגה מפורטת של תרחישים מושפעים, כולל הגישה של Microsoft למקלים L1TF, עיין במשאבים הבאים:

לקוחות המשתמשים במעבדי ARM של 64-bit צריכים לבדוק עם ה-OEM של ההתקן לתמיכה בקושחה, משום ARM64 הגנות של מערכת ההפעלה המסייעות ל CVE-2017-5715 -הזרקת יעד של הענף (ספקטר, Variant 2) דורשות את עדכון הקושחה העדכני ביותר מיצרני ציוד מקורי שייכנסו לתוקף.

לקבלת מידע נוסף, עיין בעלוני היידוע הבאים של אבטחה

לקבלת מידע נוסף, עיין בעלוני היידוע הבאים של אבטחה

ניתן למצוא הדרכה נוספת בהדרכה של Windows כדי להגן מפני פגיעויות ביצוע ספקולטיביות בצד הערוץ

נא עיין בהנחיות שבהנחיה של Windows כדי להגן מפני פגיעויות ביצוע ספקולטיבי של ערוץ צד

לקבלת הדרכה בתכלת, עיין במאמר זה: הדרכה לקבלת נקודות תורפה בביצוע ממקל ספקולטיבי של ערוץ הפנים בתכלת.

לקבלת מידע נוסף על האפשרות ' רטילין ', עיין בבלוג שלנו: למקל על משתנה ספקטר 2 עם רטיפוליה על חלונות.

לפרטים על פגיעות זו, עיין במדריך האבטחה של מיקרוסופט: CVE-2019-1125 | פגיעות של גילוי מידע של הליבה של Windows.

איננו מודעים למקרה של פגיעות זו של גילוי מידע המשפיעה על תשתית שירות הענן שלנו.

ברגע שאנו מודעים לבעיה זו, עבדנו במהירות כדי לטפל בו ולשחרר עדכון. אנו מאמינים מאוד בשותפויות קרובות עם החוקרים ושותפי התעשייה כדי להפוך את הלקוחות למאובטחים יותר, ולא לפרסם פרטים עד יום שלישי, 6 באוגוסט, בעקביות בשיטות גילוי פגיעות מתואמות.

ניתן למצוא הדרכה נוספת בהנחיית Windows כדי להגן מפני פגיעויות ביצוע ספקולטיבי של ערוץ צד.

ניתן למצוא הדרכה נוספת בהנחיית Windows כדי להגן מפני פגיעויות ביצוע ספקולטיבי של ערוץ צד.

ניתן למצוא הדרכה נוספת בהנחיה להפיכת הרחבות סינכרון טרנזקציות של intel® (intel® TSX) לזמינות.

 

זקוק לעזרה נוספת?

הרחב את הכישורים שלך
סייר בהדרכה
קבל תכונות חדשות לפני כולם
הצטרף למשתתפי Microsoft insider

האם מידע זה היה שימושי?

תודה על המשוב!

תודה על המשוב! נראה שכדאי לקשר אותך לאחד מנציגי התמיכה של Office.

×