Zapisnik promjena
| Promjena datuma | Opis promjene |
|---|---|
| Travnja 20, 2023 |
|
| Kolovoz 8, 2023 |
|
| Kolovoz 9, 2023 |
|
| 9. travnja 2024. |
|
| Travnja 16, 2024 |
|
Sažetak
Ovaj članak pruža smjernice za novu klasu slabih točaka bočnog kanala mikroarhitekture i spekulativnog izvršavanja koje se temelje na silicijskom procesoru i koje utječu na mnoge moderne procesore i operacijske sustave. To uključuje Intel, AMD i ARM. Konkretne pojedinosti o ranjivostima na temelju silicija mogu se pronaći u sljedećim ADV-ovima (sigurnosnim upozorenjima) i CVE-ovima (Common Vulnerabilities and Exposures):
- ADV180002 | Upute za ublažavanje slabih točaka bočnog kanala spekulativnog izvršavanja
- ADV180012 | Microsoftove smjernice za spekulativno zaobilaženje pohrane
- ADV180013 | Microsoftove smjernice za nepouzdani sustav Registrirajte se Pročitajte
- ADV180016 | Microsoftove smjernice za lijeno vraćanje FP stanja
- ADV180018 | Microsoftove smjernice za ublažavanje varijante L1TF
- ADV190013 | Microsoftove smjernice za ublažavanje slabih točaka uzrokovanih uzorkovanjem mikroarhitektonskih podataka
- ADV220002 | Microsoftove smjernice o slabim točkama u području MMIO MMIO procesora tvrtke Intel
- CVE-2022-23825 | Zamjena vrste AMD CPU grane
- CVE-2023-20569 | Prediktor povratne adrese procesora tvrtke AMD
- CVE-2022-0001 | Intel Branch History Injection
Važno
Ti problemi utječu i na druge operacijske sustave, kao što su Android, Chrome, iOS i MacOS. Korisnicima savjetujemo da se za pomoć obrate tim dobavljačima.
Objavili smo nekoliko ažuriranja koja pomažu ublažiti te ranjivosti. Poduzeli smo i radnje za zaštitu naših servisa u oblaku. Više pojedinosti potražite u sljedećim odjeljcima.
Još nismo primili nikakve informacije koje ukazuju na to da su te slabe točke iskorištene za napad na korisnike. Blisko surađujemo s partnerima u industriji, uključujući proizvođače čipova, OEM-ove hardvera i dobavljače aplikacija, kako bismo zaštitili korisnike. Da biste nabavili sve dostupne zaštite, potrebna su ažuriranja opreme (mikrokoda) i softvera. To uključuje mikrokod OEM-ova uređaja i, u nekim slučajevima, ažuriranja antivirusnog softvera.
ranjivosti
Spekulativno izvršavanje
Ovaj članak govori o sljedećim slabim točkama spekulativnog izvršavanja:
- CVE-2017-5715 | Ciljno ubrizgavanje ogranka
- CVE-2017-5753 | Zaobilazak za provjeru granica
- CVE-2017-5754 | Nepouzdano učitavanje predmemorije podataka
- CVE-2018-3639 | Spekulativno zaobilaženje pohrane
Windows Update omogućit će i rješenja ublažavanja problema preglednika Internet Explorer i Edge. Nastavit ćemo poboljšavati ta ublažavanja rizika protiv te klase slabih točaka.
Dodatne informacije o toj klasi slabih točaka potražite u članku
ranjivost uzorkovanja mikroarhitektonskih podataka
Dana 14. svibnja 2019., Intel je objavio informacije o novoj podklasi ranjivosti bočnog kanala spekulativnog izvršavanja poznate kao Uzorkovanje mikroarhitektonskih podataka i dokumentirane u ADV190013 | Uzorkovanje mikroarhitektonskih podataka. Dodijeljeni su im sljedeći CVE-ovi:
- CVE-2019-11091 | Uzorkovanje mikroarhitektonskih podataka Memorija koja se ne može predmemorirati (MDSUM)
- CVE-2018-12126 | Uzorkovanje podataka iz mikroarhitektonskog spremišta (MSBDS)
- CVE-2018-12127 | Uzorkovanje podataka iz mikroarhitektonskog pufera ispune (MFBDS)
- CVE-2018-12130 | Uzorkovanje mikroarhitektonskih podataka priključka učitavanja (MLPDS)
Važno
Ti problemi utjecat će na druge sustave kao što su Android, Chrome, iOS i MacOS. Korisnicima savjetujemo da se za pomoć obrate tim dobavljačima.
Microsoft je objavio ažuriranja koja pomažu ublažiti te ranjivosti. Da biste nabavili sve dostupne zaštite, potrebna su ažuriranja opreme (mikrokoda) i softvera. To može uključivati mikrokod OEM-ova uređaja. U nekim će slučajevima instaliranje tih ažuriranja utjecati na performanse. Djelovali smo i kako bismo zaštitili svoje usluge u oblaku. Toplo preporučujemo implementaciju tih ažuriranja.
Dodatne informacije o tom problemu potražite u sljedećem savjetniku za sigurnost i upotrijebite smjernice utemeljene na scenarijima da biste utvrdili radnje potrebne za ublažavanje prijetnje:
- ADV190013 | Microsoftove smjernice za ublažavanje slabih točaka uzrokovanih uzorkovanjem mikroarhitektonskih podataka
- Vodiči za Windows za zaštitu od slabih točaka bočnog kanala spekulativnog izvršavanja
Napomena
Preporučujemo da instalirate sva najnovija ažuriranja sa servisa Windows Update prije instaliranja bilo kakvih ažuriranja mikrokoda.
Spectre, ranjivost varijante 1
Intel je 6. kolovoza 2019. objavio pojedinosti o ranjivosti povezanoj s otkrivanjem informacija jezgre sustava Windows. Ova je ranjivost varijanta slabe točke bočnog kanala spekulativnog izvršavanja Spectre, varijante 1 i dodijeljen joj je CVE-2019-1125.
9. srpnja 2019. objavili smo sigurnosna ažuriranja za operacijski sustav Windows da bismo ublažili taj problem. Imajte na umu da smo odgodili javno dokumentiranje ovog ublažavanja do koordinirane industrijske objave u utorak, 6. kolovoza 2019.
Korisnici koji su omogućili Windows Update i primijenili sigurnosna ažuriranja objavljena 9. srpnja 2019. zaštićeni su automatski. Nije potrebna dodatna konfiguracija.
Napomena
Za ovu ranjivost nije potrebno ažuriranje mikrokoda od proizvođača uređaja (OEM-a).
Dodatne informacije o toj ranjivosti i primjenjivim ažuriranjima potražite u vodiču za Microsoftovo sigurnosno ažuriranje:
Ranjivost asinkronog prekida transakcije
Intel je 12. studenog 2019. objavio tehnički savjet o sigurnosnoj ranjivosti koja se odnosi na ranjivost asinkronog prekida transakcija tvrtke Intel® Transactional Synchronization Extensions (Intel TSX) kojoj je dodijeljen CVE-2019-11135. Microsoft je objavio ažuriranja kako bi ublažio ovu ranjivost, a zaštite OS-a omogućene su prema zadanim postavkama za Windows Server 2019, ali su prema zadanim postavkama onemogućene za Windows Server 2016 i ranija izdanja operacijskog sustava Windows Server.
MMIO ranjivost uzorkovanja zastarjelih podataka
Dana 14. lipnja 2022. objavili smo ADV220002 | Microsoftove smjernice o slabim točkama MMIO zastarjelih podataka procesora Intel i dodijelili su im sljedeće CVE-ove:
- CVE-2022-21123 | Shared Buffer Data Read (SBDR)
- CVE-2022-21125 | Uzorkovanje podataka zajedničkog međuspremnika (SBDS)
- CVE-2022-21127 | Ažuriranje uzorkovanja podataka posebnog registra (SRBDS ažuriranje)
- CVE-2022-21166 | Djelomično pisanje u registru uređaja (DRPW)
Preporučene radnje
Da biste se zaštitili od ranjivosti, učinite sljedeće:
- Primijenite sva dostupna ažuriranja operacijskog sustava Windows, uključujući mjesečna sigurnosna ažuriranja za Windows.
- Primijenite primjenjivo ažuriranje opreme (mikrokoda) koje ste dobili od proizvođača uređaja.
- Procijenite rizik za svoje okruženje na temelju informacija navedenih u Microsoftovim sigurnosnim savjetima: ADV180002, ADV180012, ADV190013 i ADV220002 te informacija navedenih u ovom baza znanja članku.
- Poduzmite potrebne akcije pomoću upozorenja i informacija o ključevima registra navedenih u ovom članku iz baza znanja.
Napomena
Korisnici uređaja Surface primit će ažuriranje mikrokoda putem servisa Windows Update. Popis najnovijih ažuriranja opreme uređaja Surface (mikrokoda) potražite u članku KB4073065.
Zbunjenost vrste ogranaka
12. srpnja 2022. objavili smo CVE-2022-23825 | Vrsta podružnice procesora tvrtke AMD Zbrka koja opisuje da pseudonimi u prediktoru grane mogu uzrokovati da određeni procesori tvrtke AMD predvide pogrešnu vrstu grane. Taj problem može dovesti do otkrivanja informacija.
Da bismo se zaštitili od ove ranjivosti, preporučujemo instaliranje ažuriranja sustava Windows od srpnja 2022. ili kasnije, a zatim poduzimanje radnji u skladu sa zahtjevima CVE-2022-23825 i informacije o ključu registra koje su navedene u ovom članku baza znanja.
Dodatne informacije potražite u sigurnosnom biltenu AMD-SB-1037 .
Prediktor povratne adrese
8. kolovoza 2023. objavili smo CVE-2023-20569 | Return Address Predictor (poznat i kao Inception) koji opisuje novi napad spekulativnim bočnim kanalom koji može rezultirati spekulativnim izvršenjem na adresi kojom upravlja napadač. Taj problem utječe na određene procesore tvrtke AMD i potencijalno može dovesti do otkrivanja podataka.
Da bismo se zaštitili od ove ranjivosti, preporučujemo instaliranje ažuriranja sustava Windows od kolovoza 2023. ili kasnije, a zatim poduzimanje radnji u skladu sa zahtjevima CVE-2023-20569 i informacije o ključu registra koje su navedene u ovom članku baza znanja.
Dodatne informacije potražite u sigurnosnom biltenu AMD-SB-7005 .
Branch History Injection
9. travnja 2024. objavili smo CVE-2022-0001 | Intel Branch History Injection koji opisuje ubrizgavanje povijesti podružnica (BHI), što je specifičan oblik umetanja BTI-a unutar načina rada. Ta se ranjivost pojavljuje kada napadač može manipulirati poviješću ogranka prije prelaska s načina rada korisnika na način nadzornika (ili iz načina rada VMX koji nije korijenski/gost u korijenski način rada). Ta manipulacija može uzrokovati da prediktor neizravne grane odabere unos određenog prediktora za neizravnu granu, a programčić za otkrivanje na predviđenom cilju prolazno će se izvršiti. To je moguće zato što relevantna povijest grana može sadržavati grane preuzete u prethodnim sigurnosnim kontekstima, a posebice druge prediktorske načine.
Postavke ublažavanja za Windows Server i Azure Stack HCI
Sigurnosna upozorenja (ADV-ovi) i CVE-ovi pružaju informacije o riziku koji predstavljaju te slabe točke. Oni vam pomažu i pri prepoznavanju slabih točaka i zadanog stanja ublažavanja rizika za sustave Windows Server. Tablica u nastavku sadrži sažetak zahtjeva za mikrokod procesora i zadani status ublažavanja u sustavu Windows Server.
| CVE | Potreban je mikrokod/oprema CPU-a? | Zadani status ublažavanja |
|---|---|---|
| CVE-2017-5753 | Ne | Omogućeno prema zadanim postavkama (nema mogućnosti za onemogućivanje) Dodatne informacije potražite u ADV180002 |
| CVE-2017-5715 | Da | Po zadanom je onemogućeno. Dodatne informacije potražite u ADV180002 i u ovom članku iz baze znanja o postavkama primjenjivih postavki ključa registra. Napomena "Retpoline" je prema zadanim postavkama omogućen za uređaje sa sustavom Windows 10, verzijom 1809 i novijom ako je omogućen Spectre Variant 2 (CVE-2017-5715). Da biste saznali više o značajci "Retpoline", slijedite objavu na blogu Umanjivanje slabe točke Spectre varijanta 2 pomoću značajke Retpoline u sustavu Windows . |
| CVE-2017-5754 | Ne | Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno prema zadanim postavkama. Windows Server 2016 i stariji: po zadanom je onemogućeno. Dodatne informacije potražite u ADV180002 . |
| CVE-2018-3639 | Intel: Da AMD: Ne |
Po zadanom je onemogućeno. Dodatne informacije potražite u ADV180012 i u ovom članku za postavke primjenjivih postavki ključa registra. |
| CVE-2018-11091 | Intel: Da | Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno prema zadanim postavkama. Windows Server 2016 i stariji: po zadanom je onemogućeno. U ADV190013 potražite dodatne informacije i ovaj članak za postavke primjenjivih postavki ključa registra. |
| CVE-2018-12126 | Intel: Da | Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno prema zadanim postavkama. Windows Server 2016 i stariji: po zadanom je onemogućeno. U ADV190013 potražite dodatne informacije i ovaj članak za postavke primjenjivih postavki ključa registra. |
| CVE-2018-12127 | Intel: Da | Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno prema zadanim postavkama. Windows Server 2016 i stariji: po zadanom je onemogućeno. U ADV190013 potražite dodatne informacije i ovaj članak za postavke primjenjivih postavki ključa registra. |
| CVE-2018-12130 | Intel: Da | Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno prema zadanim postavkama. Windows Server 2016 i stariji: po zadanom je onemogućeno. U ADV190013 potražite dodatne informacije i ovaj članak za postavke primjenjivih postavki ključa registra. |
| CVE-2019-11135 | Intel: Da | Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno prema zadanim postavkama. Windows Server 2016 i stariji: po zadanom je onemogućeno. Dodatne informacije potražite u članku CVE-2019-11135 , a u ovom članku potražite primjenjive postavke ključa registra. |
| CVE-2022-21123 (dio MMIO ADV220002) | Intel: Da | Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno prema zadanim postavkama. Windows Server 2016 i stariji: po zadanom je onemogućeno.* Dodatne informacije potražite u članku CVE-2022-21123 i u ovom članku za primjenjive postavke ključa registra. |
| CVE-2022-21125 (dio MMIO ADV220002) | Intel: Da | Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno prema zadanim postavkama. Windows Server 2016 i stariji: po zadanom je onemogućeno.* Dodatne informacije potražite u članku CVE-2022-21125 , a u ovom članku potražite primjenjive postavke ključa registra. |
| CVE-2022-21127 (dio MMIO ADV220002) | Intel: Da | Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno prema zadanim postavkama. Windows Server 2016 i stariji: po zadanom je onemogućeno.* Dodatne informacije potražite u članku CVE-2022-21127 , a u ovom članku potražite primjenjive postavke ključa registra. |
| CVE-2022-21166 (dio MMIO ADV220002) | Intel: Da | Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno prema zadanim postavkama. Windows Server 2016 i stariji: po zadanom je onemogućeno.* Dodatne informacije potražite u članku CVE-2022-21166, a u ovom članku potražite primjenjive postavke ključa registra. |
| CVE-2022-23825 (zbunjenost vrste ogranaka procesora tvrtke AMD) | AMD: Ne | Dodatne informacije potražite u članku CVE-2022-23825 , a u ovom članku potražite primjenjive postavke ključa registra. |
|
CVE-2023-20569 (Prediktor povratne adrese procesora AMD) |
AMD: Da | Dodatne informacije potražite u članku CVE-2023-20569 , a u ovom članku potražite primjenjive postavke ključa registra. |
| CVE-2022-0001 | Intel: Ne |
Onemogućeno po zadanom Dodatne informacije potražite u članku CVE-2022-0001 , a u ovom članku potražite primjenjive postavke ključa registra. |
Napomena
* Slijedite upute za ublažavanje posljedica problema u nastavku.
Ako želite pribaviti sve dostupne zaštite od tih slabih točaka, morate promijeniti ključ registra da biste omogućili ta ublažavanja rizika koja su po zadanom onemogućena.
Omogućivanje tih ublažavanja može utjecati na performanse. Skaliranje učinaka performansi ovisi o više čimbenika, kao što su specifičan skup čipova na fizičkom glavnom računalu i radna opterećenja koja se izvode. Preporučujemo da procijenite učinke na performanse za svoje okruženje i izvršite sve potrebne prilagodbe.
Vaš je poslužitelj u većoj opasnosti ako spada u jednu od sljedećih kategorija:
- Glavna računala s tehnologijom Hyper-V: zahtijeva zaštitu od napada između VM-ova i VM-a-glavnih računala.
- Hosts Services Remote Desktop Services (RDSH): zahtijeva zaštitu od jedne sesije do druge ili od napada između sesija.
- Fizička glavna računala ili virtualna računala na kojima se izvodi nepouzdani kod, kao što su spremnici ili nepouzdana proširenja za baze podataka, nepouzdani web-sadržaj ili radna opterećenja koja pokreću kod iz vanjskih izvora. Oni zahtijevaju zaštitu od napada nepouzdanih procesa na druge ili nepouzdanih procesa na jezgru.
Upotrijebite sljedeće postavke ključa registra da biste omogućili ublažavanja na poslužitelju i ponovno pokrenite uređaj da bi promjene stupile na snagu.
Napomena
Omogućivanje ublažavanja koja su isključena po zadanom može utjecati na performanse. Stvarni učinak na performanse ovisi o više čimbenika, kao što su određeni čipset u uređaju i radna opterećenja koja se izvode.
Postavke registra
Pružamo sljedeće podatke iz registra da bismo omogućili ublažavanja rizika koja nisu omogućena prema zadanim postavkama, kao što je dokumentirano u sigurnosnim upozorenjima (ADV-ovima) i CVE-ovima. Osim toga, nudimo postavke ključeva registra za korisnike koji žele onemogućiti ublažavanja kada je to primjenjivo za klijente sustava Windows.
Napomena
- VAŽNO Ovaj odjeljak, postupak ili zadatak sadrže upute za promjenu registra. Međutim, ako nepravilno promijenite registar, mogli biste uzrokovati ozbiljne probleme. Stoga pazite da pomno slijedite navedene korake. Sigurnosno kopirajte registar prije promjene radi dodatne zaštite. Ako se pojavi problem, moći ćete vratiti registar. Dodatne informacije o sigurnosnom kopiranju i vraćanju registra potražite u članku iz Microsoftove baze znanja pod sljedećim brojem:
- KB322756 Sigurnosno kopiranje i vraćanje registra u sustavu Windows
Upravljanje ublažavanjima rizika za CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) i CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)
Napomena
- VAŽNO Prema zadanim postavkama, Retpoline je konfiguriran na sljedeći način, ako je omogućen Spectre, ublažavanje varijante 2 (CVE-2017-5715):
-
- Retpoline mitigation omogućen je u Windows 10, verziji 1809 i novijim verzijama sustava Windows.
-
- Ublažavanje brzine Retpoline onemogućeno je u sustavu Windows Server 2019 i novijim verzijama Windows Server.
- Dodatne informacije o konfiguraciji značajke Retpoline potražite u odjeljku Umanjivanje slabe točke Spectre varijanta 2 pomoću značajke Retpoline u sustavu Windows.
|
|---|
Napomena
Postavljanje FeatureSettingsOverrideMask na 3 točno je za postavke "omogući" i "onemogući". (Dodatne pojedinosti o ključevima registra potražite u odjeljku "Najčešća pitanja ".)
Upravljanje ublažavanjem rizika za CVE-2017-5715 (Spectre varijanta 2)
Da biste onemogućili varijantu 2: (CVE-2017-5715 | Ublažavanje ciljnog ubrizgavanja grana):reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fPonovno pokrenite uređaj da bi promjene stupile na snagu. Da biste omogućili varijantu 2: (CVE-2017-5715 | Ublažavanje ciljnog ubrizgavanja grana): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fPonovno pokrenite uređaj da bi promjene stupile na snagu. |
|---|
Samo procesori AMD: omogućivanje potpunog ublažavanja rizika za CVE-2017-5715 (Spectre varijanta 2)
Prema zadanim postavkama, zaštita između korisnika i jezgre za CVE-2017-5715 onemogućena je za AMD procesore. Korisnici moraju omogućiti ublažavanje kako bi dobili dodatne zaštite za CVE-2017-5715. Dodatne informacije potražite u najčešćim pitanjima #15 u ADV180002.
Omogućivanje zaštite između korisnika i jezgre na procesorima tvrtke AMD uz ostale zaštite za CVE 2017-5715:reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fAko je instalirana značajka Hyper-V, dodajte sljedeću postavku registra: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /fAko se radi o glavnom računalu za Hyper-V, a primijenjena su ažuriranja programske opreme: Potpuno isključite sva virtualna računala. To omogućuje primjenu ublažavanja vezanog uz firmver na glavno računalo prije pokretanja VM-ova. Stoga se VM-ovi ažuriraju i prilikom ponovnog pokretanja. Ponovno pokrenite uređaj da bi promjene stupile na snagu. |
|---|
Upravljanje ublažavanjima rizika za CVE-2018-3639 (Spekulativno zaobilaženje trgovine), CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (Meltdown)
Da biste omogućili ublažavanja rizika za CVE-2018-3639 (Spekulativno zaobilaženje trgovine), CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown):reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fAko je instalirana značajka Hyper-V, dodajte sljedeću postavku registra: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /fAko se radi o glavnom računalu za Hyper-V, a primijenjena su ažuriranja programske opreme: Potpuno isključite sva virtualna računala. To omogućuje primjenu ublažavanja vezanog uz firmver na glavno računalo prije pokretanja VM-ova. Stoga se VM-ovi ažuriraju i prilikom ponovnog pokretanja. Ponovno pokrenite uređaj da bi promjene stupile na snagu. Da biste onemogućili ublažavanja rizika za CVE-2018-3639 (Spekulativno zaobilaženje pohrane) I ublažavanja rizika za CVE-2017-5715 (Spectre varijanta 2) i CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fPonovno pokrenite uređaj da bi promjene stupile na snagu. |
|---|
Samo procesori AMD: omogućite potpuno ublažavanje rizika za CVE-2017-5715 (Spectre varijanta 2) i CVE 2018-3639 (Spekulativno zaobilaženje trgovine)
Zaštita između korisnika i jezgre za CVE-2017-5715 po zadanom je onemogućena za procesore AMD. Korisnici moraju omogućiti ublažavanje kako bi dobili dodatne zaštite za CVE-2017-5715. Dodatne informacije potražite u najčešćim pitanjima #15 u članku ADV180002.
Omogućivanje zaštite između korisnika i jezgre na procesorima tvrtke AMD uz ostale zaštite za CVE 2017-5715 i zaštite za CVE-2018-3639 (Spekulativno zaobilaženje trgovine):reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /freg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fAko je instalirana značajka Hyper-V, dodajte sljedeću postavku registra: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /fAko se radi o glavnom računalu za Hyper-V, a primijenjena su ažuriranja programske opreme: Potpuno isključite sva virtualna računala. To omogućuje primjenu ublažavanja vezanog uz firmver na glavno računalo prije pokretanja VM-ova. Stoga se VM-ovi ažuriraju i prilikom ponovnog pokretanja. Ponovno pokrenite uređaj da bi promjene stupile na snagu. |
|---|
Upravljanje sigurnosnom ranjivošću zbog asinkronog prekida transakcije, uzorkovanje mikroarhitektonskih podataka, Spectre, Meltdown, MMIO, SSBD (Spekulative Store Bypass Disabled) i L1 pogreška terminala (L1TF)
|
Da bi se omogućila ublažavanja rizika za ranjivost Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort, (CVE-2019-11135) i Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) zajedno sa Spectre [CVE-2017-5753 & CVE-2017-5715], varijantama Meltdown [CVE-2017-5754], MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, i CVE-2022-21166), uključujući Spekulativno onemogućivanje zaobilaska pohrane (SSBD) [CVE-2018-3639 ] kao i L1 pogrešku terminala (L1TF) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646] bez onemogućivanja Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ako se radi o glavnom računalu za Hyper-V, a primijenjena su ažuriranja programske opreme: Potpuno isključite sva virtualna računala. To omogućuje primjenu ublažavanja vezanog uz firmver na glavno računalo prije pokretanja VM-ova. Stoga se VM-ovi ažuriraju i prilikom ponovnog pokretanja. Ponovno pokrenite uređaj da bi promjene stupile na snagu. Da bi se omogućila ublažavanja rizika ranjivosti Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort, (CVE-2019-11135) i Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) te varijante Spectre [CVE-2017-5753 & CVE-2017-5715] i Meltdown [CVE-2017.-5754], uključujući Spekulativno onemogućivanje zaobilaženja pohrane (SSBD) [CVE-2018-3639] kao i L1 pogreška terminala (L1TF) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646] s onemogućenim Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ako se radi o glavnom računalu za Hyper-V, a primijenjena su ažuriranja programske opreme: Potpuno isključite sva virtualna računala. To omogućuje primjenu ublažavanja vezanog uz firmver na glavno računalo prije pokretanja VM-ova. Stoga se VM-ovi ažuriraju i prilikom ponovnog pokretanja. Ponovno pokrenite uređaj da bi promjene stupile na snagu. Onemogućivanje ublažavanja rizika za ranjivost Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort, (CVE-2019-11135) i Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) te varijante Spectre [CVE-2017-5753 & CVE-2017-5715] i Meltdown [CVE-2017.-5754], uključujući Spekulativno onemogućivanje zaobilaska pohrane (SSBD) [CVE-2018-3639] kao i L1 pogreška terminala (L1TF) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646]: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovno pokrenite uređaj da bi promjene stupile na snagu. |
|---|
CVE-2022-23825 \| Zamjena vrste procesorskog ogranka tvrtke AMD
Da biste omogućili ublažavanje za CVE-2022-23825 na procesorima tvrtke AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Da bi bili potpuno zaštićeni, korisnici će možda morati onemogućiti Hyper-Threading (koji je poznat i kao SMT)). Pogledajte KB4073757 za smjernice o zaštiti uređaja sa sustavom Windows.
CVE-2023-20569 \| Prediktor povratne adrese procesora tvrtke AMD
Da biste omogućili ublažavanje za CVE-2023-20569 na procesorima tvrtke AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
CVE-2022-0001 \| Intel Branch History Injection
Da biste omogućili ublažavanje za CVE-2022-0001 na Intelovim procesorima:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Omogućivanje višestrukih ublažavanja
Da biste omogućili više ublažavanja, morate zbrojiti REG_DWORD vrijednost svakog ublažavanja.
Na primjer:
| Ublažavanje ranjivosti asinkronog prekida transakcija, uzorkovanje mikroarhitektonskih podataka, Spectre, Meltdown, MMIO, onemogućivanje spekulativnog zaobilaženja pohrane (SSBD) i L1 pogreška terminala (L1TF) s onemogućenim Hyper-Threading | reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
|---|---|
|
NAPOMENA 8264 (u decimalnom obliku) = 0x2048 (heksadecimalno) Da biste omogućili BHI uz ostale postojeće postavke, morat ćete koristiti bitovni operator OR trenutne vrijednosti s 8,388,608 (0x800000). 0x800000 OR 0x2048(8264 u decimalnom obliku) i postat će 8,396,872(0x802048). Isto vrijedi i za FeatureSettingsOverrideMask. |
|
| Ublažavanje za CVE-2022-0001 na Intelovim procesorima | reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
| Kombinirano ublažavanje | reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Provjera jesu li zaštite omogućene
Da bismo provjerili jesu li zaštite omogućene, objavili smo skriptu komponente PowerShell koju možete pokrenuti na svojim uređajima. Instalirajte i pokrenite skriptu na jedan od sljedećih načina.
1. način: provjera pomoću komponente PowerShell Gallery (Windows Server 2016 ili WMF 5.0/5.1)
Instalirajte modul PowerShell:PS> Install-Module SpeculationControlPokrenite modul PowerShell da biste provjerili je li zaštita omogućena: PS> # Save the current execution policy so it can be resetPS> $SaveExecutionPolicy = Get-ExecutionPolicyPS> Set-ExecutionPolicy RemoteSigned -Scope CurrentuserPS> Import-Module SpeculationControlPS> Get-SpeculationControlSettingsPS> # Reset the execution policy to the original statePS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|---|
2. metoda: Provjera pomoću komponente PowerShell pomoću preuzimanja sa servisa Technet (starije verzije operacijskog sustava i starije verzije WMF-a)
Instalirajte modul komponente PowerShell iz centra Technet ScriptCenter:
Pokrenite PowerShell, a zatim koristite prethodni primjer da biste kopirali i pokrenuli sljedeće naredbe: PS> # Save the current execution policy so it can be resetPS> $SaveExecutionPolicy = Get-ExecutionPolicyPS> Set-ExecutionPolicy RemoteSigned -Scope CurrentuserPS> CD C:\ADV180002\SpeculationControlPS> Import-Module .\SpeculationControl.psd1PS> Get-SpeculationControlSettingsPS> # Reset the execution policy to the original statePS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|---|
Detaljno objašnjenje izlaza skripte PowerShell potražite u članku KB4074629 .
Najčešća pitanja
Nisu mi ponuđena sigurnosna ažuriranja za Windows koja su izdana u siječnju i veljači 2018. Što učiniti?
Radi sprječavanja negativnog utjecaja na uređaje korisnika sigurnosna ažuriranja sustava Windows koja su izdana u siječnju i veljači 2018. nisu ponuđena svim korisnicima. Detalje potražite u članku KB407269 .
Kako znati imam li ispravnu verziju mikrokoda CPU-a?
Mikrokod se isporučuje putem ažuriranja programske opreme. Obratite se OEM-u o verziji programske opreme s odgovarajućim ažuriranjem za vaše računalo.
Koji su učinci ublažavanja na performanse?
Na performanse utječe više varijabli, od verzije sustava do pokrenutih radnih opterećenja. Kod nekih sustava učinak na performanse bit će zanemariv. Za druge će to biti značajno.
Preporučujemo da procijenite učinak performansi na svoje sustave i izvršite potrebne prilagodbe.
Windows Server koristim u okruženju ili oblaku koje hostira treća strana. Što učiniti?
Uz smjernice o virtualnim računalima koje se nalaze u ovom članku, obratite se davatelju usluga da biste provjerili jesu li glavna računala koja pokreću vaša virtualna računala adekvatno zaštićena.
Za virtualna računala sa sustavom Windows Server koja se izvode na platformi Azure pogledajte Smjernice za ublažavanje slabih točaka bočnog kanala spekulativnog izvršavanja na platformi Azure. Smjernice za korištenje Azure Update Management radi ublažavanja tog problema na gost VM-ovima potražite u članku KB4077467.
Postoje li smjernice za spremnike sustava Windows Server?
Ažuriranja koja su izdana za slike spremnika sustava Windows Server za Windows Server 2016 i Windows 10, verzija 1709 obuhvaćaju mjere ublažavanja tog skupa slabih točaka. Nije potrebna dodatna konfiguracija.
Napomena I dalje morate provjeriti je li glavno računalo na kojem se ti spremnici izvode konfigurirano tako da omogući odgovarajuća ublažavanja.
Moraju li se ažuriranja softvera i hardvera instalirati određenim redoslijedom?
Ne, redoslijed instalacije nije bitan.
Hoće li biti više ponovnih pokretanja?
Da, morate ponovno pokrenuti nakon ažuriranja opreme (mikrokoda) i ponovno nakon ažuriranja sustava.
Možete li navesti dodatne pojedinosti o ključevima registra?
U nastavku su pojedinosti o ključevima registra:
FeatureSettingsOverride predstavlja bitmapu koja nadjačava zadanu postavku i određuje koja će ublažavanja biti onemogućena. Bit 0 upravlja ublažavanjem koje odgovara CVE-2017-5715. Bit 1 kontrolira ublažavanje koje odgovara CVE-2017-5754. Bitovi su postavljeni na 0 da bi se omogućilo ublažavanje i na 1 da bi se onemogućilo ublažavanje.
FeatureSettingsOverrideMask predstavlja bitmapnu masku koja se koristi zajedno s funkcijom FeatureSettingsOverride. U ovoj situaciji koristimo vrijednost 3 (predstavljenu kao 11 u binarnom brojčanom sustavu ili brojčanom sustavu s bazom 2) da bismo označili prva dva bita koja odgovaraju dostupnim ublažavanjima. Taj je ključ registra postavljen na 3 kako bi omogućio ili onemogućio ublažavanja.
MinVmVersionForCpuBasedMitigations namijenjen je glavnim računalima sustava Hyper-V. Ovaj ključ registra definira minimalnu verziju VM-a koja je potrebna za korištenje ažuriranih mogućnosti opreme (CVE-2017.-5715). Postavite tu mogućnost na 1.0 da biste obuhvatili sve verzije virtualnih računala. Imajte na umu da će se ta vrijednost registra zanemariti (benigno) na glavnim računalima koja nemaju Hyper-V. Dodatne pojedinosti potražite u članku Zaštita virtualnih računala gosta od CVE-2017-5715 (ubrizgavanje ciljnog grana).
Mogu li postaviti ključeve registra prije instalacije ažuriranja, a zatim instalirati ažuriranje i ponovno pokrenuti uređaj da bi promjene stupile na snagu?
Da, nema nuspojava ako se te postavke registra primijene prije instaliranja popravaka povezanih sa siječnjem 2018.
Možete li navesti dodatne pojedinosti o izlazu skripte za provjeru valjanosti komponente PowerShell?
Detaljan opis izlaza skripte potražite u članku KB4074629: Objašnjenje izlaza skripte komponente PowerShell SpeculationControl .
Ako OEM još nije omogućio ažuriranje opreme (mikrokoda), postoji li još uvijek način zaštite glavnog računala za Hyper-V?
Da, za hostove sustava Windows Server 2016 Hyper-V koji još nemaju dostupno ažuriranje opreme objavili smo alternativne smjernice koje mogu pomoći u ublažavanju napada između VM-a ili VM-a. Pogledajte alternativne zaštite za hostove sustava Windows Server 2016 Hyper-V od slabih točaka bočnog kanala spekulativnog izvršavanja.
Ako se nalazim u ogranku koji se odnosi samo na sigurnost, koja ažuriranja samo za sigurnost moram instalirati da bih se zaštitio od tih slabih točaka?
Samo sigurnosna ažuriranja nisu kumulativna. Ovisno o verziji operacijskog sustava, možda ćete morati instalirati nekoliko sigurnosnih ažuriranja da biste se u potpunosti zaštitili. Općenito govoreći, korisnici će morati instalirati ažuriranja za siječanj, veljaču, ožujak i travanj 2018. Sustavima koji imaju AMD procesore potrebno je dodatno ažuriranje, kao što je prikazano u sljedećoj tablici:
| Verzija operacijskog sustava | sigurnosno ažuriranje |
|---|---|
| Windows 8.1, Windows Server 2012 R2 | KB4338815 – mjesečno skupno ažuriranje |
| KB4338824– Samo sigurnost | |
| Windows 7 SP1, Windows Server 2008 R2 SP1 ili Windows Server 2008 R2 SP1 (instalacija Server Core) | KB4284826 – mjesečno skupno ažuriranje |
| KB4284867 – samo sigurnost | |
| Windows Server 2008 SP2 | KB4340583 – sigurnosno ažuriranje |
Preporučujemo da instalirate ažuriranja koja se odnose samo na sigurnost redoslijedom kojim su izdana.
Napomena
U ranijoj verziji ovih najčešćih pitanja pogrešno je navedeno da ažuriranje samo za veljaču sadrži sigurnosne popravke koji su izdani u siječnju. Zapravo, ne čini.
Ako primijenim bilo koje od primjenjivih sigurnosnih ažuriranja, hoće li ona onemogućiti zaštitu za CVE-2017-5715 na isti način kao što je to učinilo sigurnosno ažuriranje KB4078130?
Ne. Sigurnosno ažuriranje KB4078130 bio je specifičan popravak za sprječavanje nepredvidivog ponašanja sustava, problema s performansama i neočekivanih ponovnih pokretanja nakon instalacije mikrokoda. Primjenom sigurnosnih ažuriranja na klijentskim operacijskim sustavima Windows omogućuju se sva tri ublažavanja. U operacijskim sustavima Windows Server ublažavanja ipak morate omogućiti nakon odgovarajućeg testiranja. Dodatne informacije potražite u članku KB4072698.
Poznati problem: neki korisnici mogu imati problema s mrežnim povezivanjem ili izgubiti postavke IP adrese nakon instalacije sigurnosnog ažuriranja od 13. ožujka 2018. (KB 4088875)
Taj je problem riješen u KB4093118.
Tvrtka Intel identificirala je probleme s ponovnim pokretanjem koji uključuju mikrokod na nekim starijim procesorima. Što učiniti?
U veljači 2018., Intel je objavio da su dovršili svoje provjere valjanosti i počeli izdavati microcode za novije CPU platforme. Microsoft omogućuje ažuriranja mikrokoda čija je valjanost potvrdio Intel i koja se odnose na Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | ciljno ubrizgavanje). KB4093836 navodi određene baza znanja članke po verziji sustava Windows. Svaki određeni članak iz baze znanja sadrži dostupna ažuriranja mikrokoda tvrtke Intel po CPU-u.
Dana 11. siječnja 2018., Intel je prijavio probleme u nedavno objavljenom mikrokodu koji je trebao adresirati Spectre varijantu 2 (CVE-2017-5715 | ciljno ubrizgavanje). Konkretno, Intel je napomenuo da ovaj mikrokod može uzrokovati "veća od očekivanih ponovnih pokretanja i druga nepredvidljiva ponašanja sustava" i da ti scenariji mogu uzrokovati "gubitak ili oštećenje podataka". Naše je iskustvo da nestabilnost sustava može u nekim okolnostima uzrokovati gubitak ili oštećenje podataka. 22. siječnja je Intel preporučio da korisnici prestanu implementirati trenutnu verziju mikrokodova na zahvaćenim procesorima dok Intel ne provede dodatna testiranja na ažuriranom rješenju. Shvaćamo da Intel nastavlja istraživati potencijalni učinak trenutačne verzije mikrokoda. Preporučujemo korisnicima da kontinuirano pregledaju svoje smjernice prije donošenja odluka.
Dok Intel provjerava, ažurira i uvodi novi mikrokod, mi KB4078130 činimo dostupnim ažuriranje izvan raspona (OOB), koje posebno onemogućuje samo ublažavanje protiv CVE-2017-5715. Testiranjem smo utvrdili da to ažuriranje sprječava opisano ponašanje. Cijeli popis uređaja potražite u Intelovim uputama za reviziju mikrokoda . Ovo ažuriranje obuhvaća Windows 7 sa servisnim paketom Service Pack 1 (SP1), Windows 8.1 i sve verzije sustava Windows 10, klijentske i poslužiteljske. Ako koristite zahvaćeni uređaj, ovo ažuriranje možete primijeniti preuzimanjem s web-mjesta Katalog Microsoft Update. Primjena ovih korisnih podataka posebno onemogućuje samo ublažavanje protiv CVE-2017-5715.
Za sada ne postoje poznata izvješća koja bi ukazivala na to da je ova Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection) je korišten za napad na korisnike. Preporučujemo da, kada je to prikladno, korisnici sustava Windows ponovno omoguće mitigaciju od CVE 2017 5715 kada Intel izvijesti da je ovo nepredvidljivo ponašanje sustava riješeno za vaš uređaj.
Čuo sam da je Intel objavio ažuriranja za microcode. Gdje ih mogu pronaći?
U veljači 2018. Intel je objavio da su dovršili svoje provjere valjanosti i počeli izdavati microcode za novije CPU platforme. Microsoft omogućuje ažuriranja mikrokoda čiju je valjanost potvrdio Intel koja se odnose na Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | ciljno ubrizgavanje). KB4093836 navodi određene baza znanja članke po verziji sustava Windows. U KB-ovima je navedeno dostupno ažuriranje mikrokoda tvrtke Intel po CPU-u.
Dodatne informacije potražite u članku Sigurnosna ažuriranja tvrtke AMD i Studija tvrtke AMD: Smjernice za arhitekturu oko neizravne kontrole podružnica. Dostupni su iz kanala opreme OEM-a.
Imam ažuriranje sustava Windows 10 za travanj 2018. (verzija 1803). Je li mikrokod tvrtke Intel dostupan za moj uređaj? Gdje ga mogu pronaći?
Stavljamo na raspolaganje ažuriranja mikrokoda čiju je valjanost potvrdio Intel koja se tiču prijetnje Spectre Variant 2 (CVE-2017-5715 | ciljno ubrizgavanje). Da biste dobili najnovija ažuriranja mikrokoda tvrtke Intel putem servisa Windows Update, korisnici moraju instalirati mikrokod tvrtke Intel na uređaje s operacijskim sustavom Windows 10 prije nadogradnje na ažuriranje sustava Windows 10 za travanj 2018. (verzija 1803.).
Ažuriranje mikrokoda dostupno je i izravno iz kataloga Microsoft Update ako nije instalirano na uređaj prije nadogradnje sustava. Mikrokod tvrtke Intel dostupan je putem servisa Windows Update, servisa Windows Server Update Services (WSUS) ili kataloga Microsoft Update. Dodatne informacije i upute za preuzimanje potražite u članku KB4100347.
Gdje mogu pronaći informacije o novim slabim točkama bočnog kanala spekulativnog izvršavanja (Spekulativno zaobilaženje pohrane – CVE-2018-3639 i Čitanje registracije nepouzdanog sustava – CVE-2018-3640)?
Dodatne informacije potražite u sljedećim člancima:
- ADV180012 | Microsoftove smjernice za spekulativno zaobilaženje pohrane za CVE-2018-3639
- ADV180013 | Microsoftove smjernice za registraciju nepouzdanih sustava Pročitajte za CVE-2018-3640 i KB 4073065 | Smjernice za korisnike uređaja Surface
- Microsoftov blog o sigurnosnom istraživanju i obrani
- Smjernice za razvojne inženjere za spekulativno zaobilaženje trgovine
Gdje mogu pronaći više informacija o podršci za sustav Windows za spekulativno onemogućivanje zaobilaženja pohrane (SSBD) u procesorima tvrtke Intel?
Pogledajte odjeljke "Preporučene radnje" i "Najčešća pitanja" u sustavu ADV180012 | Microsoftove smjernice za spekulativno zaobilaženje trgovine Store.
Kako utvrditi je li SSBD omogućen ili onemogućen?
Da bi se provjerio status SSBD-a, skripta komponente PowerShell Get-SpeculationControlSettings ažurirana je tako da otkriva zahvaćene procesore, status ažuriranja SSBD operacijskog sustava i stanje mikrokoda procesora, ako je primjenjivo. Dodatne informacije i upute za nabavu skripte PowerShell potražite u članku KB4074629.
Čuo sam za "Lazy FP State Restore" (CVE-2018-3665). Hoće li Microsoft izdati mjere ublažavanja problema?
Dana 13. lipnja 2018. najavljena je dodatna ranjivost koja uključuje spekulativno izvršavanje bočnog kanala, poznata kao Lazy FP State Restore, koja joj je dodijeljena CVE-2018-3665 . Informacije o toj ranjivosti i preporučenim radnjama potražite u Savjetniku za sigurnost ADV180016 | Microsoftove smjernice za lijeno vraćanje FP stanja .
Napomena Nema potrebnih konfiguracijskih postavki (registra) za Lazy Restore FP Restore.
Čuo sam da je CVE-2018-3693 (Bounds Check Bypass Store) povezan sa Spectreom. Hoće li Microsoft izdati mjere ublažavanja problema?
Bounds Check Bypass Store (BCBS) otkriven je 10. srpnja 2018. i dodijeljen mu je CVE-2018-3693. Smatramo da BCBS pripada istoj klasi slabih točaka kao i zaobilaženje za provjeru granica (varijanta 1). Trenutačno nismo svjesni postojanja BCBS-a u našem softveru. Međutim, nastavljamo s istraživanjem te klase ranjivosti i surađivat ćemo s partnerima u industriji na objavljivanju mjera ublažavanja prema potrebi. Preporučujemo istraživačima da pošalju sve relevantne nalaze Microsoftovu programu nagrada za bočni kanal spekulativnog izvršavanja, uključujući sve instance BCBS-a koje se mogu iskoristiti. Programeri za softver trebali bi pregledati vodiče za razvojne inženjere ažurirane za BCBS u članku C++ Vodič za razvojne inženjere za bočne kanale spekulativnog izvršavanja
Čuo sam da je otkriven kvar terminala L1 (L1TF). Gdje mogu pronaći dodatne informacije o toj datoteci i podršci sustava Windows?
Dana 14. kolovoza 2018. najavljen je L1 Terminal Fault (L1TF) kojem je dodijeljeno više CVE-ova. Ove nove slabe točke bočnog kanala spekulativnog izvršavanja mogu se koristiti za čitanje sadržaja memorije preko pouzdane granice i, ako se iskorištavaju, mogu dovesti do otkrivanja informacija. Postoji više vektora pomoću kojih napadač može pokrenuti slabe točke, ovisno o konfiguriranom okruženju. L1TF utječe na procesore Intel® Core i Intel® Xeon®®.
Dodatne informacije o toj ranjivosti i detaljan prikaz zahvaćenih scenarija, uključujući Microsoftov pristup ublažavanju L1TF-a, potražite u sljedećim resursima:
Kako onemogućiti Hyper-Threading za L1TF na svom uređaju?
Koraci za onemogućivanje Hyper-Threading razlikuju se od OEM-a do OEM-a, ali su obično dio BIOS-a ili alata za postavljanje i konfiguraciju firmvera.
Gdje mogu nabaviti opremu za ARM64 koji ublažava probleme s programom CVE-2017-5715 \| Ubrizgavanje cilja grane (Spectre Variant 2)?
Korisnici koji koriste 64-bitne procesore ARM trebaju se obratiti OEM-u uređaja radi podrške za opremu jer ARM64 zaštite operacijskog sustava ublažavaju CVE-2017-5715 | Ciljno ubacivanje grane (Spectre, varijanta 2) zahtijeva najnovije ažuriranje opreme OEM-ova uređaja kako bi stupio na snagu.
Gdje mogu pronaći informacije o Intelovoj objavi o uzorkovanju mikroarhitektonskih podataka (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130)
Dodatne informacije potražite u sljedećim sigurnosnim savjetima
Gdje mogu pronaći smjernice utemeljene na scenarijima za utvrđivanje radnji potrebnih za ublažavanje slabih točaka uzorkovanja mikroarhitektonskih podataka?
Dodatne smjernice možete pronaći u vodičima sustava Windows za zaštitu od slabih točaka bočnog kanala spekulativnog izvršavanja
Kako onemogućiti Hyper-Threading za MDS na uređaju?
Pogledajte upute u smjernicama sustava Windows za zaštitu od slabih točaka bočnog kanala spekulativnog izvršavanja
Gdje mogu pronaći smjernice za Azure?
Smjernice za Azure potražite u ovom članku: Upute za ublažavanje slabih točaka bočnog kanala spekulativnog izvršavanja na platformi Azure.
Gdje mogu saznati više o omogućivanju značajke Retpoline u sustavu Windows 10 verzije 1809?
Dodatne informacije o omogućivanju značajke Retpoline potražite u objavi na našem blogu: Umanjivanje slabe točke Spectre varijanta 2 pomoću značajke Retpoline u sustavu Windows .
Čuo sam da postoji varijanta ranjivosti bočnog kanala spekulativnog izvršenja Spectre Variant 1. Gdje potražiti dodatne informacije?
Pojedinosti o toj ranjivosti potražite u Microsoftovom sigurnosnom vodiču: CVE-2019-1125 | ranjivost otkrivanja informacija jezgre sustava Windows.
Ima li CVE-2019-1125 \| Ranjivost otkrivanja informacija jezgre sustava Windows utječe na Microsoftove servise u oblaku?
Nismo upoznati ni s jednom ranjivošću te ranjivosti povezane s otkrivanjem informacija koja utječe na našu infrastrukturu usluga u oblaku.
Ako su ažuriranja za CVE-2019-1125 \| Ranjivost otkrivanja informacija jezgre sustava Windows objavljena je 9. srpnja 2019., zašto su pojedinosti objavljene 6. kolovoza 2019.?
Čim smo saznali za taj problem, brzo smo radili na njegovom rješavanju i objavili ažuriranje. Čvrsto vjerujemo u bliska partnerstva s istraživačima i partnerima u industriji kako bismo klijente učinili sigurnijima, a detalje nismo objavili do utorka, 6. kolovoza, u skladu s koordiniranom praksom otkrivanja ranjivosti.
Gdje mogu pronaći smjernice utemeljene na scenarijima za određivanje radnji potrebnih za ublažavanje slabe točke Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort" (CVE-2019-11135)?
Dodatne smjernice mogu se pronaći u vodičima sustava Windows za zaštitu od slabih točaka bočnog kanala spekulativnog izvršavanja.
Moram li na svom uređaju onemogućiti ranjivost Hyper-Threading za Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort" (CVE-2019-11135)?
Dodatne smjernice mogu se pronaći u vodičima sustava Windows za zaštitu od slabih točaka bočnog kanala spekulativnog izvršavanja.
Postoji li način da se onemogući Intel Transactional Synchronization Extensions (Intel TSX)?
Dodatne smjernice možete pronaći u Smjernicama za onemogućivanje proširenja Intel Transactional Synchronization Extensions (Intel TSX).
Reference
Izjava o odricanju od odgovornosti za informacije trećih strana
Proizvode treće stane koji se spominju u ovom članku proizvode tvrtke neovisne o tvrtki Microsoft. Ne dajemo jamstva, ni izričita ni drugačija, glede performansi i pouzdanosti tih proizvoda.
Microsoft nudi podatke za kontakt trećih strana da biste lakše pronašli tehničku podršku. Ti se podaci za kontakt mogu promijeniti bez najave. Microsoft ne jamči točnost tih podataka za kontakt trećih strana.