Napomena: Ovaj će se članak ažurirati čim dodatne informacije postanu dostupne. Redovito provjeravajte ima li ažuriranja i novih najčešćih pitanja.

Ranjivosti

U ovom se članku rješavaju sljedeće slabe točke spekulativnog izvršavanja:

Windows Update će također omogućiti ublažavanje rizika za Internet Explorer i Edge. Nastavit ćemo poboljšavati ta ublažavanja protiv ove klase slabih točaka.

Dodatne informacije o ovoj klasi slabih točaka potražite u članku

14. svibnja 2019. Intel je objavio informacije o novoj podklasi ranjivosti bočnog kanala spekulativnog izvršavanja poznate pod nazivom Uzorkovanje mikroarhitektorskih podataka i dokumentirane u adv190013 | Uzorkovanje mikroarhitekturnih podataka. Dodijeljeni su im sljedeći KV-i:

Važno: Ti će problemi utjecati na druge sustave kao što su Android, Chrome, iOS i MacOS. Preporučujemo korisnicima da od tih dobavljača traže smjernice.

Microsoft je objavio ažuriranja za ublažavanje tih slabih točaka. Da biste dobili sve dostupne zaštite, potrebna su oprema (mikrokod) i softverska ažuriranja. To može uključivati mikrokod iz OEM-ova uređaja. U nekim će slučajevima instaliranje tih ažuriranja utjecati na performanse. Također smo djelovali kako bismo osigurali naše usluge u oblaku. Preporučujemo implementaciju tih ažuriranja.

Dodatne informacije o tom problemu potražite u sljedećim smjernicama za sigurnost i upotrijebite smjernice utemeljene na scenarijima da biste utvrdili radnje potrebne za ublažavanje prijetnje:

Napomena: Preporučujemo da instalirate sva najnovija ažuriranja s web-Windows Update prije nego što instalirate ažuriranja mikrokoda.

6. kolovoza 2019. Intel je objavio pojedinosti o ranjivosti otkrivanja informacija jezgre sustava Windows. Ta je ranjivost varijanta ranjivosti bočnog kanala spekulativnog izvršavanja Spectre Variant 1 i dodijeljena mu je cve-2019-1125.

9. srpnja 2019. objavili smo sigurnosna ažuriranja za operacijski sustav Windows radi lakšeg rješavanja tog problema. Imajte na umu da smo održao leđa dokumentiranje ovog ublažavanja javno do koordiniranog objavljivanja industrije u utorak, 6. kolovoza 2019.

Korisnici koji su Windows Update omogućili i primijenili sigurnosna ažuriranja objavljena 9. srpnja 2019. automatski su zaštićeni. Nije potrebna daljnja konfiguracija.

Napomena: Za tu ranjivost nije potrebno ažuriranje mikrokoda proizvođača uređaja (OEM-a).

Dodatne informacije o toj ranjivosti i primjenjivim ažuriranjima potražite u Microsoftovu vodiču za sigurnosno ažuriranje:

12. studenog 2019. Intel je objavio tehničko upozorenje o proširenjima za sinkronizaciju transakcija tvrtke Intel (Intel® TSX) Transaction Asynchronous Abort koja je dodijeljena CVE-2019-11135. Microsoft je objavio ažuriranja za ublažavanje te ranjivosti, a zaštite OS-a omogućene su prema zadanim postavkama za Windows Server 2019, ali su po zadanom onemogućene za Windows Server 2016 i starije verzije operacijskog sustava Windows Server.

14. lipnja 2022. objavili smo ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities and assigned these CVEs: 

Preporučene akcije

Da biste se zaštitili od slabih točaka, učinite sljedeće:

  1. Primijenite sva dostupna ažuriranja operacijskog sustava Windows, uključujući mjesečna sigurnosna ažuriranja za Windows.

  2. Primijenite ažuriranje odgovarajuće opreme (mikrokoda) koje pruža proizvođač uređaja.

  3. Procijenite rizik za svoje okruženje na temelju informacija koje se pružaju na microsoftovim sigurnosnim savjetima: ADV180002, ADV180012, ADV190013 i ADV220002, uz informacije navedene u ovom baza znanja članku.

  4. Po potrebi po potrebi slijedite savjete i informacije o ključu registra navedene u ovom baza znanja članku.

Napomena: Korisnici uređaja Surface primit će ažuriranje mikrokoda putem Windows Update. Popis najnovijih ažuriranja opreme uređaja Surface (mikrokod) potražite u članku KB4073065.

Postavke ublažavanja za Windows Server i Azure Stack HCI

Sigurnosna upozorenja ADV180002, ADV180012, ADV190013 i ADV220002 pružaju informacije o riziku koji te slabe točke nude. Pomažu i u prepoznavanju slabih točaka i prepoznavanju zadanog stanja ublažavanja za sustave Windows Server. U tablici u nastavku nalazi se sažetak zahtjeva mikrokoda CPU-a i zadanog statusa ublažavanja problema na sustavu Windows Server.

CVE

Potreban je mikrokod/oprema CPU-a?

Zadano stanje ublažavanja

CVE-2017-5753

Ne

Omogućeno po zadanom (nema mogućnosti onemogućivanja)

Dodatne informacije potražite u adv180002

CVE-2017-5715

Da

Onemogućeno po zadanom.

Dodatne informacije i ovaj članak iz baze znanja za primjenjive postavke ključa registra potražite u adv180002 .

Napomena "Retpoline" je po zadanom omogućen za uređaje sa sustavom Windows 10 1809 ili novijim ako je omogućen Spectre Variant 2 (CVE-2017-5715). Za više informacija o "Retpoline", slijedite ublažavanje Spectre varijante 2 s Retpoline na windows blog post.

Cve-2017-5754

Ne

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno po zadanom.
Windows Server 2016 i starije verzije: onemogućeno prema zadanim postavkama.

Dodatne informacije potražite u adv180002 .

CVE-2018-3639

Intel: Da

AMD: Ne

Onemogućeno po zadanom. Dodatne informacije i ovaj članak potražite u članku ADV180012 za primjenjive postavke ključa registra.

CVE-2018-11091

Intel: Da

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno po zadanom.
Windows Server 2016 i starije verzije: onemogućeno prema zadanim postavkama.

Dodatne informacije i ovaj članak potražite u članku ADV190013 za primjenjive postavke ključa registra.

CVE-2018-12126

Intel: Da

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno po zadanom.
Windows Server 2016 i starije verzije: onemogućeno prema zadanim postavkama.

Dodatne informacije i ovaj članak potražite u članku ADV190013 za primjenjive postavke ključa registra.

CVE-2018-12127

Intel: Da

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno po zadanom.
Windows Server 2016 i starije verzije: onemogućeno prema zadanim postavkama.

Dodatne informacije i ovaj članak potražite u članku ADV190013 za primjenjive postavke ključa registra.

CVE-2018-12130

Intel: Da

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno po zadanom.
Windows Server 2016 i starije verzije: onemogućeno prema zadanim postavkama.

Dodatne informacije i ovaj članak potražite u članku ADV190013 za primjenjive postavke ključa registra.

CVE-2019-11135

Intel: Da

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno po zadanom.
Windows Server 2016 i starije verzije: onemogućeno prema zadanim postavkama.

Dodatne informacije i ovaj članak potražite u članku CVE-2019-11135 za primjenjive postavke ključa registra.

CVE-2022-21123 (dio MMIO ADV220002)

Intel: Da

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno po zadanom. 
Windows Server 2016 i stariji: onemogućeno prema zadanim postavkama.* 

Dodatne informacije i ovaj članak za primjenjive postavke ključa registra potražite u članku CVE-2022-21123 .

CVE-2022-21125 (dio MMIO ADV220002)

Intel: Da

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno po zadanom. 
Windows Server 2016 i stariji: onemogućeno prema zadanim postavkama.* 

Dodatne informacije potražite u članku CVE-2022-21125 .

CVE-2022-21127 (dio MMIO ADV220002)

Intel: Da

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno po zadanom. 
Windows Server 2016 i stariji: onemogućeno prema zadanim postavkama.* 

Dodatne informacije potražite u članku CVE-2022-21127 .

CVE-2022-21166 (dio MMIO ADV220002)

Intel: Da

Windows Server 2019, Windows Server 2022 i Azure Stack HCI: omogućeno po zadanom. 
Windows Server 2016 i stariji: onemogućeno prema zadanim postavkama.* 

Dodatne informacije potražite u članku CVE-2022-21166 .

CVE-2022-23825 (zabuna s vrstom procesorske grane AMD-a)

AMD: Ne

Dodatne informacije i ovaj članak za primjenjive postavke ključa registra potražite u članku CVE-2022-23825 .

CVE-2022-23816 (zabuna s vrstom procesorske grane AMD-a)

AMD: Ne

Dodatne informacije i ovaj članak potražite u članku CVE-2022-23816 za primjenjive postavke ključa registra.

*Slijedite upute za ublažavanje za Meltdown u nastavku.

Ako želite dobiti sve dostupne zaštite od tih slabih točaka, morate unijeti promjene ključa registra da biste omogućili ta ublažavanja koja su po zadanom onemogućena.

Omogućivanje tih ublažavanja može utjecati na performanse. Skaliranje efekata performansi ovisi o više čimbenika, kao što su specifični chipset na fizičkom glavnom računalu i radna opterećenja koja se izvode. Preporučujemo da procijenite učinak na performanse okruženja i unesete potrebne prilagodbe.

Poslužitelj je na povećanom riziku ako se nalazi u jednoj od sljedećih kategorija:

  • Glavna računala za Hyper-V: potrebna je zaštita za napade vm-to-VM i VM-to-host.

  • Hostovi servisa udaljene radne površine (RDSH): potrebna je zaštita od jedne sesije do druge sesije ili od napada sesija prema glavnom računalu.

  • Fizička računala ili virtualna računala na kojima se izvodi nepouzdani kod, kao što su spremnici ili nepouzdani nastavci za bazu podataka, nepouzdani web-sadržaj ili radna opterećenja koja pokreću kod iz vanjskih izvora. Za to je potrebna zaštita od nepouzdanih procesa u drugi ili nepouzdanih napada procesa u jezgru.

Pomoću sljedećih postavki ključa registra omogućite ublažavanja na poslužitelju i ponovno pokrenite uređaj da bi promjene stupjeli na snagu.

Napomena: Omogućivanje ublažavanja koja su isključena po zadanom može utjecati na performanse. Stvarni učinak na performanse ovisi o više čimbenika, kao što su specifični chipset na uređaju i radna opterećenja koja se izvode.

Postavke registra

Važno: Pružamo sljedeće podatke registra da bismo omogućili ublažavanja koja po zadanom nisu omogućena, kao što je dokumentirano u sigurnosnim savjetima ADV180002, ADV180012, ADV190013 i ADV220002.

Uz to, pružamo postavke ključa registra ako želite onemogućiti ublažavanja povezana s cve-2017-5715 i CVE-2017-5754 za klijente sustava Windows.

Važno: Ovaj odjeljak, postupak ili zadatak sadrže upute za izmjenu registra. No nepravilnim izmjenama registra možete prouzročiti ozbiljne probleme. Zato pažljivo slijedite ove upute. Radi dodatne zaštite prije izmjene registra stvorite njegovu sigurnosnu kopiju. Na taj ćete način moći vratiti registar ako se pojave problemi. Dodatne informacije o sigurnosnom kopiranju i vraćanju registra potražite u sljedećem članku u članku Microsoft baza znanja:

322756 Sigurnosno kopiranje i vraćanje registra u sustavu Windows

Važno: Prema zadanim postavkama Retpoline je omogućen na Windows 10 poslužiteljima verzije 1809 ako je omogućena verzija Spectre, Variant 2 (CVE-2017-5715). Omogućivanje Retpolinea na najnovijoj verziji sustava Windows 10 može poboljšati performanse na poslužiteljima sa sustavom Windows 10, verzijom 1809 za Spectre varijantu 2, osobito na starijim procesorima.

Omogućivanje ublažavanja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je ovo glavno računalo za Hyper-V i primijenjena su ažuriranja programske opreme: Potpuno isključite sva virtualna računala. To omogućuje primjenu ublažavanja vezanih uz opremu na glavnom računalu prije pokretanja VM-ova. Stoga se VM-i ažuriraju i prilikom ponovnog pokretanja.

Ponovno pokrenite uređaj da bi promjene stupjeli na snagu.

Onemogućivanje ublažavanja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovno pokrenite uređaj da bi promjene stupjeli na snagu.

Napomena: Postavka FeatureSettingsOverrideMask na 3 točna je za postavke "omogući" i "onemogući". (Dodatne pojedinosti o ključevima registra potražite u odjeljku "Najčešća pitanja".)

Da biste onemogućili varijantu 2: (CVE-2017-5715  "Branch Target Injection") ublažavanje:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovno pokrenite uređaj da bi promjene stupjeli na snagu.

Da biste omogućili varijantu 2: (CVE-2017-5715  "Branch Target Injection") ublažavanje:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovno pokrenite uređaj da bi promjene stupjeli na snagu.

Prema zadanim postavkama zaštita od korisnika do jezgre za CVE-2017-5715 onemogućena je za AMD CPU-ove. Korisnici moraju omogućiti ublažavanje da bi primali dodatne zaštite za CVE-2017-5715.  Dodatne informacije potražite u članku Najčešća pitanja #15 u sustavu ADV180002.

Omogućite zaštitu od korisnika do jezgre na amd procesorima zajedno s ostalim zaštitama za CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je ovo glavno računalo za Hyper-V i primijenjena su ažuriranja programske opreme: Potpuno isključite sva virtualna računala. To omogućuje primjenu ublažavanja vezanih uz opremu na glavnom računalu prije pokretanja VM-ova. Stoga se VM-i ažuriraju i prilikom ponovnog pokretanja.

Ponovno pokrenite uređaj da bi promjene stupjeli na snagu.

Da biste omogućili ublažavanja za CVE-2018-3639 (Spekulativno zaobilaženje pohrane), CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je ovo glavno računalo za Hyper-V i primijenjena su ažuriranja programske opreme: Potpuno isključite sva virtualna računala. To omogućuje primjenu ublažavanja vezanih uz opremu na glavnom računalu prije pokretanja VM-ova. Stoga se VM-i ažuriraju i prilikom ponovnog pokretanja.

Ponovno pokrenite uređaj da bi promjene stupjeli na snagu.

Onemogućivanje ublažavanja za CVE-2018-3639 (Spekulativno zaobilaženje pohrane) AND ublažavanja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovno pokrenite uređaj da bi promjene stupjeli na snagu.

Prema zadanim postavkama zaštita od korisnika do jezgre za CVE-2017-5715 onemogućena je za AMD procesore. Korisnici moraju omogućiti ublažavanje da bi primali dodatne zaštite za CVE-2017-5715.  Dodatne informacije potražite u članku Najčešća pitanja #15 u sustavu ADV180002.

Omogućite zaštitu od korisnika do jezgre na AMD procesorima zajedno s ostalim zaštitama za CVE 2017-5715 i zaštite za CVE-2018-3639 (Spekulativno zaobilaženje pohrane):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je ovo glavno računalo za Hyper-V i primijenjena su ažuriranja programske opreme: Potpuno isključite sva virtualna računala. To omogućuje primjenu ublažavanja vezanih uz opremu na glavnom računalu prije pokretanja VM-ova. Stoga se VM-i ažuriraju i prilikom ponovnog pokretanja.

Ponovno pokrenite uređaj da bi promjene stupjeli na snagu.

Da biste omogućili ublažavanja za ranjivosti Asynchronous Abort (CVE-2019-11135) i Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) uz Spectre [CVE-2017-5753 & CVE-2017-5715] i Meltdown [CVE-2017-5754] varijante, uključujući spekulativno onemogućivanje zaobilaženje pohrane (SSBD) [CVE-2018-3639 ] kao kao i L1 pogreška terminala (L1TF) [CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646] bez onemogućivanja hiper-niti:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je ovo glavno računalo za Hyper-V i primijenjena su ažuriranja programske opreme: Potpuno isključite sva virtualna računala. To omogućuje primjenu ublažavanja vezanih uz opremu na glavnom računalu prije pokretanja VM-ova. Stoga se VM-i ažuriraju i prilikom ponovnog pokretanja.

Ponovno pokrenite uređaj da bi promjene stupjeli na snagu.

Da biste omogućili ublažavanja za ranjivosti Asynchronous Abort (CVE-2019-11135) i Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) uz Spectre [ CVE-2017-5753 & CVE-2017-5715 ] i Meltdown [ CVE-2017-5754 ] varijante, uključujući spekulativno onemogućivanje zaobilaženje pohrane (SSBD) [ CVE-2018-3639 ] kao i L1 pogreška terminala (L1TF) [ CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646 ] s onemogućenim Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je instalirana značajka Hyper-V, dodajte sljedeću postavku registra:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je ovo glavno računalo za Hyper-V i primijenjena su ažuriranja programske opreme: Potpuno isključite sva virtualna računala. To omogućuje primjenu ublažavanja vezanih uz opremu na glavnom računalu prije pokretanja VM-ova. Stoga se VM-i ažuriraju i prilikom ponovnog pokretanja.

Ponovno pokrenite uređaj da bi promjene stupjeli na snagu.

Da biste onemogućili ublažavanja za ranjivosti Asynchronous Abort (CVE-2019-11135) i Uzorkovanje mikroarhitekronatorskih podataka ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) uz Spectre [ CVE-2017-5753 & CVE-2017-5715 ] i Meltdown [ CVE-2017-5754 ] varijante, uključujući spekulativno zaobilaženje pohrane Disable (SSBD) [ CVE-2018-3639 ] kao i L1 pogreška terminala (L1TF) [ CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646 ]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovno pokrenite uređaj da bi promjene stupjeli na snagu.

Omogući zaštitu od korisnika do jezgre na AMD procesorima:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Da bi u potpunosti zaštitili, korisnici će možda morati onemogućiti Hyper-Threading (poznato i pod nazivom Istodobno više niti (SMT)). Upute za zaštitu uređaja sa sustavom Windows potražite u članku KB4073757.

Provjera jesu li zaštite omogućene

Da bismo provjerili jesu li zaštite omogućene, objavili smo skriptu komponente PowerShell koju možete pokrenuti na uređajima. Instalirajte i pokrenite skriptu na jedan od sljedećih načina.

Instalirajte modul PowerShell:

PS> Install-Module SpeculationControl

Pokrenite modul PowerShell da biste provjerili jesu li zaštite omogućene:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Instalirajte modul PowerShell iz technet ScriptCenter:

  1. Idite na https://aka.ms/SpeculationControlPS .

  2. Preuzmite SpeculationControl.zip u lokalnu mapu.

  3. Izdvojite sadržaj u lokalnu mapu. Na primjer: C:\ADV180002

Pokrenite modul PowerShell da biste provjerili jesu li zaštite omogućene:

Pokrenite PowerShell, a zatim upotrijebite prethodni primjer da biste kopirali i pokrenuli sljedeće naredbe:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Detaljno objašnjenje izlaza skripte PowerShell potražite u članku KB4074629

Najčešća pitanja

Da bi se izbjeglo negativno utjecati na korisničke uređaje, sigurnosna ažuriranja sustava Windows objavljena u siječnju i veljači 2018. nisu ponuđena svim korisnicima. Detalje potražite u članku KB407269 .

Mikrokod se isporučuje putem ažuriranja programske opreme. Obratite se OEM-u o verziji programske opreme koja ima odgovarajuće ažuriranje za vaše računalo.

Postoji više varijabli koje utječu na performanse, od verzije sustava do radnih opterećenja koja se izvode. Za neke će sustave učinak performansi biti zanemariv. Za druge, to će biti znatan.

Preporučujemo da procijenite učinak na performanse sustava i po potrebi ih prilagođavate.

Osim uputa koje se nalaze u ovom članku o virtualnim računalima, obratite se davatelju usluga da biste bili sigurni da su glavna računala koja izvode virtualna računala odgovarajuće zaštićena.

Za virtualna računala sa sustavom Windows Server koja se izvode na platformi Azure pogledajte smjernice za ublažavanje slabih točaka bočnog kanala spekulativnog izvršavanja na platformi Azure . Smjernice o korištenju servisa Azure Update Management za ublažavanje tog problema na vm-ovima gosta potražite u članku KB4077467.

Ažuriranja koja su izdana za slike spremnika sustava Windows Server za Windows Server 2016 i Windows 10, verzija 1709, obuhvaćaju ublažavanja tog skupa slabih točaka. Nije potrebna dodatna konfiguracija.

Napomena I dalje morate biti sigurni da je glavno računalo na kojem se ti spremnici izvode konfigurirano tako da omogući odgovarajuće ublažavanje problema.

Ne, redoslijed instalacije nije važno.

Da, morate ponovno pokrenuti nakon ažuriranja programske opreme (mikrokoda), a zatim ponovno nakon ažuriranja sustava.

Evo pojedinosti o ključevima registra:

FeatureSettingsOverride predstavlja bitmapu koja nadjačava zadanu postavku i kontrole koje će ublažavanje biti onemogućeno. Bit 0 kontrolira ublažavanje koje odgovara CVE-2017-5715. Bit 1 kontrolira ublažavanje koje odgovara CVE-2017-5754. Bitovi su postavljeni na 0 da bi se omogućilo ublažavanje i na 1 da biste onemogućili ublažavanje.

FeatureSettingsOverrideMask predstavlja bitmapnu masku koja se koristi zajedno s FeatureSettingsOverride.  U tom slučaju koristimo vrijednost 3 (predstavljenu kao 11 u binarnom brojčanom ili base-2 brojčanom sustavu) da bismo naznačili prva dva bita koja odgovaraju dostupnim ublažavanjima. Taj je ključ registra postavljen na 3 da bi se omogućilo ili onemogućio ublažavanje.

MinVmVersionForCpuBasedMitigations je za glavna računala hyper-V. Taj ključ registra definira minimalnu verziju VM-a koja je potrebna za korištenje ažuriranih mogućnosti programske opreme (CVE-2017-5715). Postavite ovo na 1.0 da bi obuhvaćao sve verzije VM-a. Obratite pozornost na to da će se vrijednost registra zanemariti (bezopasna) na glavnim računalima koja nisu hyper-V. Dodatne informacije potražite u članku Zaštita virtualnih računala gosta od CVE-2017-5715 (ogranak ciljnog ubrizgavanja).

Da, nema nuspojava ako se te postavke registra primjenjuju prije instalacije popravaka povezanih s siječanjom 2018.

Pogledajte detaljan opis izlaza skripte u kb4074629: Objašnjenje izlaza skripte SpeculationControl PowerShell .

Da, za glavna računala za Windows Server 2016 Hyper-V koja još nemaju dostupno ažuriranje programske opreme objavili smo zamjenske smjernice koje mogu umanjiti VM na VM ili VM radi hostiranja napada. Pogledajte alternativne zaštite za glavna računala sustava Windows Server 2016 Hyper-V od slabih točaka bočnog kanala spekulativnog izvršavanja .

Samo sigurnosna ažuriranja nisu kumulativna. Ovisno o verziji operacijskog sustava, možda ćete morati instalirati nekoliko sigurnosnih ažuriranja radi potpune zaštite. Općenito govoreći, korisnici će morati instalirati ažuriranja za siječanj, veljaču, ožujak i travanj 2018. Sustave s procesorima TVRTKE AMD potrebno je dodatno ažuriranje kao što je prikazano u sljedećoj tablici:

Verzija operacijskog sustava

Sigurnosno ažuriranje

Windows 8.1, Windows Server 2012 R2

KB4338815 – mjesečno skupno ažuriranje

KB4338824 – samo za sigurnost

Windows 7 SP1, Windows Server 2008 R2 SP1 ili Windows Server 2008 R2 SP1 (instalacija jezgre poslužitelja)

KB4284826 – mjesečno skupno ažuriranje

KB4284867 – samo sigurnost

Windows Server 2008 SP2

KB4340583 – sigurnosno ažuriranje

Preporučujemo da instalirate ažuriranja samo za sigurnost prema redoslijedu izdanja.

Napomena: U starijoj verziji najčešćih pitanja pogrešno je navedeno da je ažuriranje samo za sigurnost za veljaču obuhvaćale sigurnosne popravke objavljene u siječnju. U stvari, ne.

Ne. Sigurnosno ažuriranje KB4078130 bilo je određeno rješenje za sprječavanje nepredvidljivih ponašanja sustava, problema s performansama i neočekivanih ponovnih pokretanja nakon instalacije mikrokoda. Primjena sigurnosnih ažuriranja na klijentskim operacijskim sustavima Windows omogućuje sva tri ublažavanja. U operacijskim sustavima Windows Server i dalje morate omogućiti ublažavanje problema nakon što to učinite. Dodatne informacije potražite u članku KB4072698.

Ovaj je problem riješen u ažuriranju KB4093118.

U veljači 2018 . Intel je objavio da je dovršio provjeru valjanosti i počeo objavu mikrokoda za novije cpu platforme. Microsoft nudi ažuriranja mikrokoda kojima je Intel potvrdio valjanost koja se odnose na Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | ogranka ciljne injekcije). KB4093836 sadrži popis baza znanja članaka po verziji sustava Windows. Svaki konkretni članak iz baze znanja sadrži dostupna ažuriranja mikrokoda tvrtke Intel prema CPU-u.

11. siječnja 2018 . Intel je prijavio probleme u nedavno objavljenom mikrokodu koji je namijenjen rješavanju prijetnje Spectre variant 2 (CVE-2017-5715 | ogranka ciljne injekcije). Konkretno, Intel je uočio da taj mikrokod može uzrokovati "veća od očekivanih ponovnih pokretanja i drugo nepredvidljivo ponašanje sustava" i da ti scenariji mogu uzrokovati "gubitak ili oštećenje podataka."" Naše iskustvo je da nestabilnost sustava može uzrokovati gubitak ili oštećenje podataka u nekim okolnostima. 22. siječnja Intel je preporučio da korisnici prestanu implementirati trenutnu verziju mikrokoda na zahvaćene procesore dok Intel provodi dodatno testiranje na ažuriranom rješenju. Razumijemo da Intel nastavlja istraživati potencijalni učinak trenutačne verzije mikrokoda. Potičemo korisnike da redovito pregledaju svoje smjernice radi informiranja o svojim odlukama.

Dok Intel testira, ažurira i implementira novi mikrokod, činimo dostupnim ažuriranje izvan područja (OOB) KB4078130, koje konkretno onemogućuje samo ublažavanje protiv CVE-2017-5715. U našem testiranju ovo je ažuriranje pronađeno da bi se spriječilo opisano ponašanje. Potpuni popis uređaja potražite u vodičima za reviziju mikrokoda tvrtke Intel. Ovo ažuriranje obuhvaća Windows 7 Service Pack 1 (SP1), Windows 8.1 i sve verzije sustava Windows 10, i klijent i poslužitelj. Ako koristite zahvaćeni uređaj, to se ažuriranje može primijeniti tako da ga preuzmete s web-mjesta Katalog Microsoft Update. Primjena ovog opterećenja posebno onemogućuje samo ublažavanje protiv CVE-2017-5715.

Od tog vremena nema poznatih izvješća koja pokazuju da je ovaj Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection") korišten za napad na korisnike. Preporučujemo da, kada je to prikladno, korisnici sustava Windows ponovno opredjeljivaju ublažavanje protiv CVE-2017-5715 kada Intel izvješćuje da je to nepredvidljivo ponašanje sustava riješeno za vaš uređaj.

U veljači 2018. Intel je objavio da su dovršili provjeru valjanosti i počeli objavu mikrokoda za novije cpu platforme. Microsoft je izradio dostupna ažuriranja mikrokoda kojima je provjerena valjanost Intela povezana sa servisom Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | ogranka ciljne injekcije). KB4093836 sadrži popis baza znanja članaka po verziji sustava Windows. Popis KBs dostupnih ažuriranja mikrokoda tvrtke Intel prema CPU-u.

Dodatne informacije potražite u člancima Amd Security Ažuriranja iAMD Whitepaper: Architecture Guidelines around Indirect Branch Control . One su dostupne u kanalu opreme OEM-a.

Nudimo ažuriranja mikrokoda kojima je provjerena intelova valjanost koja se odnose na Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection "). Da bi najnovija ažuriranja mikrokoda tvrtke Intel doprela putem sustava Windows Update, korisnici moraju imati instaliran mikrokod Intel na uređajima s operacijskim sustavom Windows 10 prije nadogradnje na ažuriranje sustava Windows 10 za travanj 2018. (verzija 1803).

Ažuriranje mikrokoda dostupno je i izravno iz kataloga Microsoft Update ako nije instalirano na uređaju prije nadogradnje sustava. Intel microcode dostupan je putem Windows Update, servisa Windows Server Update Services (WSUS) ili kataloga Microsoft Update. Dodatne informacije i upute za preuzimanje potražite u članku KB4100347.

Pogledajte odjeljke "Preporučene akcije" i "najčešća pitanja " u odjeljku ADV180012 | Microsoftove smjernice za spekulativno zaobilaženje trgovine.

Da biste provjerili status SSBD-a, skripta Get-SpeculationControlSettings PowerShell ažurirana je radi otkrivanja zahvaćenih procesora, statusa ažuriranja SSBD operacijskog sustava i stanja mikrokoda procesora, ako je primjenjivo. Dodatne informacije i upute za dobivanje skripte powershell potražite u članku KB4074629.

13. lipnja 2018. objavljena je dodatna ranjivost koja uključuje spekulativno izvršavanje bočnog kanala, poznato kao Lazy FP State Restore, i dodijeljeno CVE-2018-3665 . Informacije o toj ranjivosti i preporučenim akcijama potražite u članku Savjetnik za sigurnost ADV180016 | Microsoft Guidance for Lazy FP State Restore .

Napomena Nema obaveznih postavki konfiguracije (registra) za Lazy Restore FP Restore.

Granice Check Bypass Store (BCBS) otkrivene su 10. srpnja 2018. i dodijeljeno CVE-2018-3693. BcBS smatramo da pripada istoj klasi slabih točaka kao i Zaobilaženje provjere granica (varijanta 1). Trenutno nismo svjesni instanci BCBS-a u našem softveru. Međutim, nastavljamo s istraživanjem ove klase ranjivosti i radit ćemo s partnerima u industriji kako bismo riješili problem po potrebi. Potičemo istraživače da predaju sve relevantne nalaze programu nagrada bočnog kanala spekulativnog izvršavanja microsoft spekulativnog izvršavanja, uključujući sve iskorištavajuće instance BCBS-a. Razvojni inženjeri za softver trebaju pregledati smjernice za razvojne inženjere koje su ažurirane za BCBS na stranici C++ Smjernice za razvojne inženjere za bočne kanale spekulativnog izvršavanja 

14. kolovoza 2018. objavljena je pogreška terminala L1 (L1TF) i dodijeljeno je više KV-ova. Te nove slabe točke bočnog kanala spekulativnog izvršavanja mogu se koristiti za čitanje sadržaja memorije preko pouzdane granice i, ako se iskoriste, mogu dovesti do otkrivanja informacija. Postoji više vektora pomoću kojih napadač može pokrenuti slabe točke, ovisno o konfiguriranom okruženju. L1TF utječe na procesore Intel® Core® i procesore Intel® Xeon®.

Dodatne informacije o toj ranjivosti i detaljnom prikazu zahvaćenih scenarija, uključujući Microsoftov pristup ublažavanju L1TF-a, potražite u sljedećim resursima:

Koraci za onemogućivanje Hyper-Threading razlikuju se od OEM-a do OEM-a, ali su općenito dio alata za postavljanje BIOS-a ili opreme i konfiguraciju.

Korisnici koji koriste 64-bitne ARM procesore trebali bi se obratiti OEM-u uređaja radi podrške za opremu jer arm64 zaštita operacijskog sustava koja umanji cve-2017-5715 | Za primjenu ogranka ciljnog ubrizgavanja (Spectre, Variant 2) potrebno je najnovije ažuriranje opreme S OEM-ova uređaja.

Smjernice za Azure potražite u ovom članku: Smjernice za ublažavanje slabih točaka bočnog kanala spekulativnog izvršavanja na platformi Azure.

Dodatne informacije o omogućivanja Retpolinea potražite u našem članku na blogu: Ublažavanje spectre varijante 2 uz Retpoline u sustavu Windows .

Pojedinosti o toj ranjivosti potražite u Microsoftovu sigurnosnom vodiču: CVE-2019-1125 | Slaba točka otkrivanja informacija o jezgri sustava Windows.

Ne znamo ni za koju instancu slabe točke otkrivanja informacija koja utječe na infrastrukturu servisa u oblaku.

Čim smo postali svjesni tog problema, brzo smo radili na rješavanju tog problema i izdanju ažuriranja. Čvrsto vjerujemo u bliska partnerstva s istraživačima i partnerima u industriji kako bismo korisnicima bili sigurniji i nismo objavljivali pojedinosti do utorka 6. kolovoza, u skladu s usklađenim praksama otkrivanja ranjivosti.

Dodatne smjernice možete pronaći u smjernicama sustava Windows za zaštitu od slabih točaka bočnog kanala spekulativnog izvršavanja.

Dodatne smjernice možete pronaći u smjernicama sustava Windows za zaštitu od slabih točaka bočnog kanala spekulativnog izvršavanja.

Reference

Podatke za kontakt drugih proizvođača pružamo da bismo vam pomogli pronaći tehničku podršku. Ti se podaci za kontakt mogu promijeniti bez prethodne obavijesti. Ne jamčimo točnost tih podataka za kontakt treće strane.

Potrebna vam je dodatna pomoć?

Proširite svoje vještine

Istražite osposobljavanje >

Prvi koristite nove značajke

Pridružite se Microsoft Insidere >

Jesu li vam ove informacije bile korisne?

Koliko ste zadovoljni jezičnom kvalitetom?
Što je utjecalo na vaše iskustvo?

Hvala vam na povratnim informacijama!

×