הערה: מאמר זה יעודכן כאשר מידע נוסף יהפוך לזמין. חזור לכאן באופן קבוע לקבלת עדכונים ושאלות נפוצות חדשות.

פגיעויות

ב- 14 במאי 2019, Intel פרסמה מידע על דרגת משנה חדשה של פגיעויות ערוץ צדדי של ביצוע ספקולטיבי הידועות כדגימה של נתונים של Microarchitectural. פגיעויות אלה טופלו ב- CVEs הבאים:

חשוב: בעיות אלה ישפיעו על מערכות הפעלה אחרות כגון Android, Chrome, iOS ו- MacOS. אנו ממליצים לך לחפש הדרכה מהספקים המתאימים.

פרסמנו עדכונים כדי לסייע בהפחתת פגיעויות אלה. כדי לקבל את כל הגנות הזמינות, נדרשים עדכוני קושחה (מיקרו-קוד) ותוכנה. זה עשוי לכלול מיקרו-קוד של יצרני ציוד מקורי של מכשיר. במקרים מסוימים, התקנת עדכונים אלה תשפיע על הביצועים. פעלנו גם כדי לאבטח את שירותי הענן שלנו. אנו ממליצים מאוד לפרוס עדכונים אלה.

לקבלת מידע נוסף אודות בעיה זו, עיין בהדרכה הבאה בנושא אבטחה מייעצת והשתמש בהדרכה מבוססת תרחישים כדי לקבוע את הפעולות הדרושות כדי לצמצם את האיום:

הערה: מומלץ להתקין את כל העדכונים האחרונים מ- Windows Update לפני התקנת עדכוני מיקרו-קוד.

ב- 6 באוגוסט 2019, Intel פרסמה פרטים על פגיעות גילוי מידע של הליבה של Windows. פגיעות זו היא משתנה של פגיעות ערוץ צדדי של ביצוע ספקולטיבי של Spectre Variant 1, שהוקצתה לה CVE-2019-1125.

ב- 9 ביולי 2019 הפצנו עדכוני אבטחה עבור מערכת ההפעלה Windows כדי לעזור לצמצם בעיה זו. שים לב שהחזקנו את המסמך לתיעוד צמצום סיכונים זה באופן ציבורי עד לחשיפה המתואמת בתעשייה ביום שלישי, 6 באוגוסט 2019.

לקוחות שהופעלו Windows Update את עדכוני האבטחה שהופצו ב- 9 ביולי, 2019 מוגנים באופן אוטומטי. אין צורך בתצורה נוספת.

הערה: פגיעות זו אינה דורשת עדכון מיקרו-קוד של יצרן המכשיר (OEM).

לקבלת מידע נוסף אודות פגיעות זו ועדכונים ישימים, עיין במדריך עדכון האבטחה של Microsoft:

ב- 12 בנובמבר 2019, Intel פרסמה בעיה מינורית טכנית סביב Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability that is assigned CVE-2019-11135. פרסמנו עדכונים כדי לסייע בהפחתת פגיעות זו. כברירת מחדל, הגנות מערכת ההפעלה זמינות עבור מהדורות מערכת ההפעלה Windows Client.

ב- 14 ביוני 2022, פרסמנו את ADV220002 | הדרכה של Microsoft לגבי פגיעויות נתונים מיורכבות של מעבד Intel MMIO. פגיעויות אלה מוקצות ב- CVEs הבאים:

פעולות מומלצות

עליך לבצע את הפעולות הבאות כדי לסייע בהגנה מפני פגיעויות אלה:

  1. החל את כל העדכונים הזמינים למערכת ההפעלה Windows, כולל עדכוני האבטחה החודשיים של Windows.

  2. החל את עדכון הקושחה (מיקרו-קוד) הרלוונטי שסופק על-ידי יצרן ההתקן.

  3. הערכת הסיכון לסביבה שלך בהתבסס על המידע המסופק ב- Microsoft Security Advisories ADV180002, ADV180012, ADV190013 ו- ADV220002,בנוסף למידע הכלול במאמר זה.

  4. בצע פעולה בהתאם לצורך באמצעות מידע מינורית ופרטי מפתח רישום המסופקים במאמר זה.

הערה: לקוחות Surface יקבלו עדכון מיקרו-קוד באמצעות עדכון Windows. לקבלת רשימה של עדכוני הקושחה (מיקרו-קוד) העדכניים ביותר של מכשיר Surface, ראה KB4073065.

הגדרות צמצום סיכונים עבור לקוחות Windows

בעיות אבטחה מינורית ADV180002, ADV180012, ADV190013 ו- ADV220002 מספקות מידע אודות הסיכון ההוחל על-ידי פגיעויות אלה, וכיצד הן עוזרות לך לזהות את מצב ברירת המחדל של צמצום הסיכונים עבור מערכות לקוח של Windows. הטבלה הבאה מסכמת את הדרישה של מיקרו-קוד CPU ואת מצב ברירת המחדל של צמצום הסיכונים ללקוחות Windows.

CVE

דורש מיקרו-קוד/קושחה של CPU?

מצב ברירת מחדל של צמצום סיכונים

CVE-2017-5753

לא

זמין כברירת מחדל (אין אפשרות להפוך ללא זמין)

לקבלת מידע נוסף , עיין ב- ADV180002 .

CVE-2017-5715

כן

זמין כברירת מחדל. משתמשי מערכות המבוססים על מעבדי AMD צריכים לראות שאלות נפוצות #15 ומשתמשי מעבדי ARM אמורים לראות שאלות נפוצות #20 ב- ADV180002 עבור פעולה נוספת, ומאמר KB זה לקבלת הגדרות מפתח רישום ישימות.

הערה כברירת מחדל, Retpoline מופעל עבור מכשירים שבהם פועל Windows 10, גירסה 1809 ואילך אם Spectre Variant 2 (CVE-2017-5715) זמין. לקבלת מידע נוסף, סביב Retpoline, פעל בהתאם להנחיות במאמר צמצום Spectre variant 2 באמצעות Retpoline בפרסום הבלוג של Windows .

CVE-2017-5754

לא

זמין כברירת מחדל

לקבלת מידע נוסף , עיין ב- ADV180002 .

CVE-2018-3639

Intel: כן
AMD: לא
ARM: כן

Intel ו- AMD: לא זמין כברירת מחדל. ראה ADV180012 לקבלת מידע נוסף ומאמר KB זה לקבלת הגדרות מפתח רישום ישימות.

ARM: זמין כברירת מחדל ללא אפשרות להפוך ללא זמין.

CVE-2019-11091

Intel: כן

זמין כברירת מחדל.

ראה ADV190013 לקבלת מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות.

CVE-2018-12126

Intel: כן

זמין כברירת מחדל.

ראה ADV190013 לקבלת מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות.

CVE-2018-12127

Intel: כן

זמין כברירת מחדל.

ראה ADV190013 לקבלת מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות.

CVE-2018-12130

Intel: כן

זמין כברירת מחדל.

ראה ADV190013 לקבלת מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות.

CVE-2019-11135

Intel: כן

זמין כברירת מחדל.

ראה CVE-2019-11135 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות.

CVE-2022-21123 (חלק מ- MMIO ADV220002)

Intel: כן

Windows Server 2019, Windows Server 2022: זמין כברירת מחדל. 
Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל. 

ראה CVE-2022-21123 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות.

CVE-2022-21125 (חלק מ- MMIO ADV220002)

Intel: כן

Windows Server 2019, Windows Server 2022: זמין כברירת מחדל. 
Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל. 

ראה CVE-2022-21125 לקבלת מידע נוסף.

CVE-2022-21127 (חלק מ- MMIO ADV220002)

Intel: כן

Server 2019, Windows Server 2022: זמין כברירת מחדל. 
Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל. 

ראה CVE-2022-21127 לקבלת מידע נוסף.

CVE-2022-21166 (חלק מ- MMIO ADV220002)

Intel: כן

Windows Server 2019, Windows Server 2022: זמין כברירת מחדל. 
Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל. 

ראה CVE-2022-21166 לקבלת מידע נוסף.

CVE-2022-23825 (AMD CPU Branch Type Confusion)

AMD: לא

ראה CVE-2022-23825 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות.

CVE-2022-23816 (בלבול בסוג ענף CPU של AMD)

AMD: לא

ראה CVE-2022-23816לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות.

הערה: כברירת מחדל, הפיכת צמצום סיכונים מבוטלים לזמינים עלולה להשפיע על ביצועי המכשיר. אפקט הביצועים בפועל תלוי בגורמים מרובים, כגון ערכת השבבים הספציפית במכשיר ועומסי העבודה הפועלים.

הגדרות רישום

אנו מספקים את פרטי הרישום הבאים כדי לאפשר צמצום סיכונים שאינם זמינים כברירת מחדל, כפי שצוין במאמר Security Advisories ADV180002 ו- ADV180012. בנוסף, אנו מספקים הגדרות מפתח רישום עבור משתמשים שברצונך לבטל את צמצום הסיכונים הקשורים CVE-2017-5715ו- CVE-2017-5754 עבור לקוחות Windows.

חשוב: סעיף, שיטה או משימה אלה מכילים שלבים שמסבירים כיצד לשנות את הרישום. עם זאת, בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי. לכן, הקפד על ביצוע שלבים אלה בתשומת לב מרובה. לתוספת הגנה, גבה את הרישום לפני שתשנה אותו. לאחר מכן, תוכל לשחזר את הרישום אם תתרחש בעיה. לקבלת מידע נוסף על אופן גיבוי ושחזור הרישום, עיין במאמר הבא ב- Microsoft Knowledge Base:

322756 כיצד לגבות ולשחזר את הרישום ב- Windows

חשוב: כברירת מחדל, Retpoline מופעל במכשירי Windows 10, גירסה 1809 אם Spectre, Variant 2 (CVE-2017-5715) זמין. הפעלת Retpoline בגירסה העדכנית ביותר של Windows 10 עשויה לשפר את הביצועים במכשירים שבהם Windows 10, גירסה 1809 עבור Spectre variant 2, במיוחד במעבדים ישנים יותר.

כדי לאפשר צמצום סיכונים המהווה ברירת מחדל עבור CVE-2017-5715 (Spectre Variant 2) ו- CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי לבטל צמצום סיכונים עבור CVE-2017-5715 (Spectre Variant 2) ו- CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

הערה: ערך של 3 הוא מדויק עבור FeatureSettingsOverrideMask עבור ההגדרות "enable" ו- "disable". (עיין בסעיף "שאלות נפוצות" לקבלת פרטים נוספים אודות מפתחות רישום.)

כדי לבטל צמצום סיכונים עבור CVE-2017-5715 (Spectre Variant 2) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי לאפשר צמצום סיכונים המהווה ברירת מחדל עבור CVE-2017-5715 (Spectre Variant 2) ו- CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כברירת מחדל, הגנת משתמש-ליבה עבור CVE-2017-5715 אינה זמינה עבור מעבדי AMD ו- ARM. עליך להפוך את צמצום הסיכונים לזמין כדי לקבל הגנות נוספות עבור CVE-2017-5715. לקבלת מידע נוסף, ראה שאלות נפוצות #15 ב- ADV180002 עבור מעבדי AMD ותשובות נפוצות #20 ב - ADV180002 עבור מעבדי ARM.

אפשר הגנת משתמש-ליבה במעבדי AMD ו- ARM יחד עם הגנות אחרות עבור CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי לאפשר צמצום סיכונים עבור CVE-2018-3639 (מעקף ספקולטיבי של החנות), צמצום סיכונים המהווה ברירת מחדל עבור CVE-2017-5715 (Spectre Variant 2) ו- CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

הערה: מעבדי AMD אינם פגיעים ל- CVE-2017-5754 (Meltdown). מפתח רישום זה משמש במערכות עם מעבדי AMD כדי לאפשר צמצום סיכונים המהווה ברירת מחדל עבור CVE-2017-5715 במעבדי AMD ואת צמצום הסיכונים עבור CVE-2018-3639.

כדי לבטל צמצום סיכונים עבור CVE-2018-3639 (מעקף ספקולטיבי של החנות) *ו- * צמצום סיכונים עבור CVE-2017-5715 (Spectre Variant 2) ו- CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כברירת מחדל, הגנת משתמש-ליבה עבור CVE-2017-5715 אינה זמינה עבור מעבדי AMD. לקוחות חייבים לאפשר צמצום סיכונים כדי לקבל הגנות נוספות עבור CVE-2017-5715.  לקבלת מידע נוסף, ראה שאלות נפוצות #15 ב - ADV180002.

אפשר הגנה מפני משתמש-ליבה במעבדי AMD יחד עם הגנות אחרות עבור CVE 2017-5715 והגנת עבור CVE-2018-3639 (מעקף ספקולטיבי של החנות):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי לאפשר צמצום סיכונים עבור Intel Transactional Synchronization Extensions (Intel TSX) Transaction Synchronous Abort vulnerability (CVE-2019-11135) ו- Microarchitectural Data Sampling ( CVE-20 19-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) יחד עם משתני Spectre (CVE-2017-5753 & CVE-2017-5715) ו- Meltdown (CVE-2017-5754) כולל מעקף ספקולטיבי של Store Disable (SSBD) (CVE-2018-3639) וכן תקלת מסוף L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 ו- CVE-2018-3646) מבלי להפוך את Hyper-Threading ללא זמין:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש.

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי לאפשר צמצום סיכונים עבור Intel Transactional Synchronization Extensions (Intel TSX) Transaction Synchronous Abort vulnerability (CVE-2019-11135) ו- Microarchitectural Data Sampling ( CVE-20 19-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) יחד עם Spectre (CVE-2017-5753 & CVE-2017-5715) ו- Meltdown (CVE-2017-5754) משתנים כולל מעקף ספקולטיבי של Store Disable (SSBD) (CVE-2018-3639) וכן תקלת מסוף L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 ו- CVE-2018-3646) כאשר Hyper-Threading לא זמין:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש.

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי להפוך צמצום סיכונים עבור Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Synchronous Abort vulnerability (CVE-2019-11135) ו- Microarchitectural Data Sampling( CVE-20 19-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) יחד עם Spectre (CVE-2017-5753 & CVE-2017-5715) ו- Meltdown (CVE-2017-5754) משתנים כולל מעקף ספקולטיבי של Store Disable (SSBD) (CVE-2018-3639) וכן תקלת מסוף L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 ו- CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

הפוך הגנת משתמש-ליבה לזמינה במעבדי AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

כדי להיות מוגן באופן מלא, ייתכן שלקוחות יצטרכו גם להפוך את Hyper-Threading ללא זמין (המכונה גם ריבוי הליכי משנה בו-זמנית (SMT)). ראה KB4073757 לקבלת הדרכהבנושא הגנה על מכשירי Windows. 

אימות הגנות זמינות

כדי לעזור לוודא הגנות זמינות, פרסמנו קובץ Script של PowerShell שבאפשרותך להפעיל במכשירים שלך. התקן והפעל את קובץ ה- Script באמצעות אחת מהשיטות הבאות.

התקן את מודול PowerShell:

PS> Install-Module ספקולטול

הפעל את מודול PowerShell כדי לוודא הגנות זמינות:

PS> # שמור את מדיניות הביצוע הנוכחית כדי שניתן יהיה לאפס אותה

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module ספקולטול

PS> Get-SpeculationControlSettings

PS> # איפוס מדיניות הביצוע למצב המקורי

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

התקן את מודול PowerShell מ- Technet ScriptCenter:

עבור אל https://aka.ms/SpeculationControlPS

הורד SpeculationControl.zip לתיקיה מקומית.

חילוץ התוכן לתיקיה מקומית, לדוגמה C:\ADV180002

הפעל את מודול PowerShell כדי לוודא הגנות זמינות:

הפעל את PowerShell ולאחר מכן (באמצעות הדוגמה הקודמת) העתק והפעל את הפקודות הבאות:

PS> # שמור את מדיניות הביצוע הנוכחית כדי שניתן יהיה לאפס אותה

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # איפוס מדיניות הביצוע למצב המקורי

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

לקבלת הסבר מפורט על הפלט של קובץ ה- Script של PowerShell, ראה KB4074629.

שאלות נפוצות

המיקרו-קוד מועבר באמצעות עדכון קושחה. עליך לבדוק עם יצרני המעבדים (שבבים) והמכשירים שלך לגבי הזמינות של עדכוני אבטחת קושחה ישימים עבור המכשיר הספציפי שלהם, כולל הדרכה לתיקון מיקרו-קוד של Intels.

טופלה פגיעות חומרה באמצעות עדכון תוכנה מהווה אתגרים משמעותיים. כמו כן, צמצום סיכונים עבור מערכות הפעלה ישנות יותר דורש שינויים נרחבים בארכיטקטורה. אנו פועלים עם יצרני שבבים מושפעים כדי לקבוע את הדרך הטובה ביותר לספק צמצום סיכונים, שעשוי להימסר בעדכונים עתידיים.

עדכונים עבור מכשירי Microsoft Surface יועבר ללקוחות באמצעות Windows Update יחד עם העדכונים עבור מערכת ההפעלה Windows. לקבלת רשימה של עדכוני קושחה (מיקרו-קוד) זמינים עבור מכשירי Surface, ראה KB4073065.

אם המכשיר שלך אינו מ- Microsoft, החל את הקושחה של יצרן המכשיר. לקבלת מידע נוסף, פנה ליצרן מכשיר OEM.

בפברואר ומרץ 2018, Microsoft פרסמה הגנה נוספת עבור מערכות מבוססות x86 מסוימות. לקבלת מידע נוסף, ראה KB4073757 ו- MICROSOFT Security Advisory ADV180002.

עדכונים כדי Windows 10 עבור HoloLens זמינים ללקוחות HoloLens באמצעות Windows Update.

לאחר החלת העדכון של פברואר 2018 אבטחת Windows, לקוחות HoloLens אינם צריכים לבצע פעולה נוספת כדי לעדכן את קושחת המכשיר שלהם. צמצום סיכונים אלה ייכלל גם בכל המהדורות העתידיות של Windows 10 עבור HoloLens.

לא. עדכוני אבטחה בלבד אינם מצטברים. בהתאם לגירסת מערכת ההפעלה שבה אתה משתמש, יהיה עליך להתקין כל עדכון אבטחה בלבד חודשי כדי להיות מוגן מפני פגיעויות אלה. לדוגמה, אם אתה משתמש ב- Windows 7 עבור מערכות של 32 סיביות ב- Intel CPU המושפע, עליך להתקין את כל עדכוני האבטחה בלבד. אנו ממליצים להתקין עדכוני אבטחה בלבד אלה לפי סדר ההפצה.

הערה גירסה קודמת של שאלות נפוצות אלה ציינה באופן שגוי שעדכון האבטחה בלבד של פברואר כלל את תיקוני האבטחה שהופצו בינואר. למעשה, זה לא.

לא. עדכון אבטחה 4078130 תיקון ספציפי כדי למנוע אופני פעולה בלתי צפויים של המערכת, בעיות ביצועים ו/או אתחולים מחדש בלתי צפויים לאחר התקנת מיקרו-קוד. החלת עדכוני האבטחה של פברואר במערכות הפעלה של לקוח Windows מאפשרת את כל שלושת צמצום הסיכונים.

Intel הכריזה לאחרונה שהם השלמו את האימות שלהם והתחלו לשחרר מיקרו-קוד עבור פלטפורמות CPU חדשות יותר. Microsoft מבצעת עדכונים למיקרו-קוד שאומתו על-ידי Intel סביב Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 מפרט מאמרי Knowledge Base ספציפיים לפי גירסת Windows. כל KB ספציפי מכיל את עדכוני המיקרו-קוד הזמינים של Intel לפי CPU.

בעיה זו נפתרה ב- KB4093118.

AMD הכריזה לאחרונה שהם התחילו לשחרר מיקרו-קוד עבור פלטפורמות CPU חדשות יותר סביב Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). לקבלת מידע נוסף, עיין ב- AMD Security עדכוניםו- AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. אלה זמינים בערוץ הקושחה של יצרן הציוד המקורי.

אנו זמינים עדכוני מיקרו-קוד שאומתו על-ידי Intel סביב Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection "). כדי לקבל את העדכונים האחרונים למיקרו-קוד של Intel באמצעות Windows Update, על הלקוחות להתקין מיקרו-קוד של Intel במכשירים שבהם פועלת מערכת הפעלה של Windows 10 לפני השדרוג לעדכון מאפריל 2018 של Windows 10 (גירסה 1803).

עדכון המיקרו-קוד זמין גם ישירות מהקטלוג אם הוא לא הותקן במכשיר לפני שדרוג מערכת ההפעלה. מיקרו-קוד של Intel זמין דרך Windows Update, WSUS או Microsoft Update Catalog. לקבלת מידע נוסף והוראות הורדה, ראה KB4100347.

לקבלת פרטים, עיין בסעיפים "פעולות מומלצות" ו"שאלות נפוצות" ב - ADV180012 | הדרכה של Microsoft לגבי מעקף ספקולטיבי של החנות.

כדי לאמת את המצב של SSBD, קובץ ה- Script של Get-SpeculationControlSettings PowerShell עודכן כדי לזהות מעבדים מושפעים, מצב העדכונים של מערכת ההפעלה SSBD והמצב של מיקרו-קוד המעבד במידת הצורך. לקבלת מידע נוסף ולהשגת קובץ ה- Script של PowerShell, ראה KB4074629.

ב- 13 ביוני 2018, הוכרז על פגיעות נוספת הקשורה לביצוע ספקולטיבי של ערוץ צדדי, שנקרא "שחזור מצב FP עצל", והוכרז כי הוא הוקצה ל- CVE-2018-3665. אין צורך בהגדרות תצורה (רישום) עבור שחזור FP של שחזור עצלן.

לקבלת מידע נוסף אודות פגיעות זו ולפעולות מומלצות, עיין במאמר עדכון אבטחה ב- ADV180016 | הדרכה של Microsoft לשחזור מצב FP עצלן.

הערה: אין צורך בהגדרות תצורה (רישום) עבור שחזור FP של שחזור עצלן.

מאגר מעקפים של בדיקת גבולות (BCBS) נחשף ב- 10 ביולי 2018 והקצה לו CVE-2018-3693. אנו מחשיבים את BCBS להשתייך לאותה רמת פגיעויות של עקיפת בדיקת גבול (משתנה 1). איננו מודעים כעת למופעים של BCBS בתוכנה שלנו, אך אנו ממשיכים לחקור את רמת הפגיעות הזו ופועלים עם שותפים בתעשייה כדי לשחרר צמצום סיכונים כ הנדרש. אנו ממשיכים לעודד את החוקרים להגיש את הממצאים הרלוונטיים לתוכנית הפרסים של Microsoft בנושא ביצוע ערוץ צדדי ספקולטיבי, כולל כל המופעים הניתנים לניצול של BCBS. מפתחי תוכנה צריכים לעיין בהדרכה למפתחים עודכנה עבור BCBS https://aka.ms/sescdevguide.

ב- 14 באוגוסט 2018, הוכרז על תקלת מסוף L1 (L1TF) שהוקצתה להם מספר CVEs. פגיעויות ערוץ צדדי חדשות אלה של ביצוע ספקולטיבי יכולות לשמש כדי לקרוא את תוכן הזיכרון בגבול מהימן, ואם ייעשה בהם שימוש לרעה, עלולות להוביל לגילוי מידע. תוקף עלול להפעיל את הפגיעויות באמצעות וקטורים מרובים, בהתאם לסביבה שתצורתה נקבעה. L1TF משפיע על מעבדי Intel® Core® ועל מעבדי Intel® Xeon®.

לקבלת מידע נוסף על פגיעות זו ותצוגה מפורטת של תרחישים מושפעים, כולל הגישה של Microsoft לצמצום L1TF, עיין במשאבים הבאים:

לקוחות המשתמשים במעבדי ARM של 64 סיביות צריכים לבדוק עם יצרן הציוד המקורי (OEM) של המכשיר לקבלת תמיכה בקושחה מכיוון שהגנת מערכת ההפעלה ARM64 המצמצם את CVE-2017-5715 | הזרקת יעד הסתעפות (Spectre, Variant 2) מחייבת שימוש בעדכון הקושחה האחרון של יצרני ציוד מקורי (OEM) של המכשיר כדי להיכנס לתוקף.

לקבלת מידע נוסף, עיין בנושאים המינורית הבאים בנושא אבטחה 

לקבלת מידע נוסף, עיין בנושאים המינורית הבאים בנושא אבטחה

לקבלת הדרכה עבור Azure, עיין במאמר זה: הדרכה לצמצום פגיעויות ערוץ צדדי של ביצוע ספקולטיבי ב- Azure.  

לקבלת מידע נוסף על הפעלת Retpoline, עיין בפרסום הבלוג שלנו: צמצום Spectre variant 2 באמצעות Retpoline ב- Windows

לקבלת פרטים אודות פגיעות זו, עיין במדריך האבטחה של Microsoft: CVE-2019-1125 | פגיעות גילוי מידע של הליבה של Windows.

איננו מודעים לפגיעות זו של גילוי מידע המשפיעה על תשתית שירות הענן שלנו.

ברגע שנוהרנו לבעיה זו, עבדנו במהירות כדי לטפל בה ולשחרר עדכון. אנו מאמינים מאוד ששותפויות הדוקות עם חוקרים ושותפים בתעשייה כדי להפוך את הלקוחות לאבטחים יותר, ולא פרסמנו פרטים עד יום שלישי, 6 באוגוסט, בהתאם לנוהלי גילוי פגיעויות מתואמים.

הפניות

אנו מספקים פרטי קשר של ספקים חיצוניים כדי לסייע לך למצוא תמיכה טכנית. פרטי קשר אלו עשויים להשתנות ללא הודעה. איננו מבטיחים את מידת הדיוק של פרטי הקשר של ספק חיצוני זה.

זקוק לעזרה נוספת?

הרחב את הכישורים שלך

סייר בהדרכה >

קבל תכונות חדשות לפני כולם

הצטרף למשתתפי Microsoft insider >

האם מידע זה היה שימושי?

עד כמה אתם מרוצים מאיכות השפה?
מה השפיע על החוויה שלכם?

תודה על המשוב!

×