Catatan: Artikel ini akan diperbarui saat informasi tambahan tersedia. Silakan periksa kembali di sini secara berkala untuk pembaruan dan Tanya Jawab Umum baru.
Ringkasan
Artikel ini menyediakan panduan untuk kelas baru silikon berbasis mikroarsitektural dan spekulatif eksekusi sisi-saluran kerentanan yang mempengaruhi banyak prosesor modern dan sistem operasi. Ini termasuk Intel, AMD, dan ARM. Detail spesifik untuk kerentanan berbasis silikon ini dapat ditemukan dalam konsultasi dan CVEs keamanan berikut:
-
| ADV180002 Panduan untuk mengurangi kerentanan saluran sisi eksekusi spekulatif
-
| ADV180013 Panduan Microsoft untuk Pendaftaran Sistem Nakal Dibaca
-
| ADV180016 Panduan Microsoft untuk Pemulihan Status FP Malas
-
| ADV190013 Panduan Microsoft untuk memitigasi kerentanan Pengambilan Sampel Data Microarchitectural
-
| ADV220002 Panduan Microsoft tentang Kerentanan Data Prosesor Intel MMIO Basi
Penting: Masalah ini juga memengaruhi sistem operasi lainnya, seperti Android, Chrome, iOS, dan macOS. Oleh karena itu, kami menyarankan pelanggan untuk mencari panduan dari vendor tersebut.
Kami telah merilis beberapa pembaruan untuk membantu mengurangi kerentanan ini. Kami juga telah mengambil tindakan untuk mengamankan layanan cloud kami. Lihat bagian berikut ini untuk detail selengkapnya.
Kami belum menerima informasi apa pun untuk menunjukkan bahwa kerentanan ini digunakan untuk menyerang pelanggan. Kami bekerja sama dengan mitra industri termasuk pembuat chip, OEM perangkat keras, dan vendor aplikasi untuk melindungi pelanggan. Untuk mendapatkan semua perlindungan yang tersedia, pembaruan firmware (mikrokode) dan perangkat lunak diperlukan. Ini termasuk kode mikro dari OEM perangkat dan, dalam beberapa kasus, pembaruan untuk perangkat lunak antivirus.
Artikel ini membahas kerentanan berikut ini:
Windows Update juga akan menyediakan mitigasi Internet Explorer dan Edge. Kami akan terus meningkatkan mitigasi ini terhadap kelas kerentanan ini.
Untuk mempelajari selengkapnya tentang kelas kerentanan ini, lihat yang berikut ini:
Kerentanan
Pada 14 Mei 2019, Intel menerbitkan informasi tentang subkelas baru kerentanan saluran sisi eksekusi spekulatif yang dikenal sebagai Microarchitectural Data Sampling. Kerentanan ini ditangani dalam CVEs berikut:
-
CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)
-
CVE-2018-12127 | Microarchitectural Fill Buffer Data Sampling (MFBDS)
-
CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)
Penting: Masalah ini akan memengaruhi sistem operasi lain seperti Android, Chrome, iOS, dan MacOS. Kami menyarankan Anda untuk mencari bimbingan dari masing-masing vendor ini.
Kami telah merilis pembaruan untuk membantu mengurangi kerentanan ini. Untuk mendapatkan semua perlindungan yang tersedia, pembaruan firmware (mikrokode) dan perangkat lunak diperlukan. Ini mungkin termasuk kode mikro dari OEM perangkat. Dalam beberapa kasus, menginstal pembaruan ini akan berdampak pada kinerja. Kami juga telah bertindak untuk mengamankan layanan cloud kami. Kami sangat menyarankan untuk menyebarkan pembaruan ini.
Untuk informasi selengkapnya tentang masalah ini, lihat Panduan berbasis Skenario dan Konsultan Keamanan berikut ini untuk menentukan tindakan yang diperlukan untuk mengurangi ancaman:
-
| ADV190013 Panduan Microsoft untuk memitigasi kerentanan Pengambilan Sampel Data Microarchitectural
-
Panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif
Catatan: Kami menyarankan agar Anda menginstal semua pembaruan terbaru dari Windows Update sebelum menginstal pembaruan kode mikro apa pun.
Pada 6 Agustus 2019 Intel merilis detail tentang kerentanan pengungkapan informasi kernel Windows. Kerentanan ini merupakan varian dari spektre Varian 1 spekulatif eksekusi sisi-saluran kerentanan dan telah ditetapkan CVE-2019-1125.
Pada 9 Juli 2019, kami merilis pembaruan keamanan untuk sistem operasi Windows untuk membantu mengurangi masalah ini. Harap diperhatikan bahwa kami menahan pendokumentasian mitigasi ini secara publik hingga pengungkapan industri terkoordinasi pada selasa, 6 Agustus 2019.
Pelanggan yang telah Windows Update diaktifkan dan telah menerapkan pembaruan keamanan yang dirilis pada 9 Juli 2019 dilindungi secara otomatis. Tidak ada konfigurasi lebih lanjut yang diperlukan.
Catatan: Kerentanan ini tidak memerlukan pembaruan kode mikro dari produsen perangkat Anda (OEM).
Untuk informasi selengkapnya tentang kerentanan ini dan pembaruan yang berlaku, lihat Panduan Pembaruan Keamanan Microsoft:
Pada 12 November 2019, Intel menerbitkan konsultasi teknis tentang Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability that is assigned CVE-2019-11135. Kami telah merilis pembaruan untuk membantu mengurangi kerentanan ini. Secara default, proteksi OS diaktifkan untuk edisi OS Klien Windows.
Pada tanggal 14 Juni 2022, kami menerbitkan ADV220002 | Panduan Microsoft tentang Kerentanan Data Prosesor Intel MMIO Basi. Kerentanan thes ditetapkan dalam CVEs berikut:
-
CVE-2022-21125 | Pengambilan sampel data penyangga bersama (SBDS)
-
CVE-2022-21127 | Special Register Buffer Data Sampling Update (Pembaruan SRBDS)
Tindakan yang disarankan
Anda harus melakukan tindakan berikut untuk membantu melindungi dari kerentanan ini:
-
Terapkan semua pembaruan sistem operasi Windows yang tersedia, termasuk pembaruan keamanan Windows bulanan.
-
Terapkan pembaruan firmware (microcode) yang berlaku yang disediakan oleh produsen perangkat.
-
Evaluasi risiko terhadap lingkungan Anda berdasarkan informasi yang disediakan di Microsoft Security Advisories ADV180002, ADV180012, ADV190013, dan ADV220002,selain informasi yang disediakan dalam artikel ini.
-
Lakukan tindakan sesuai keperluan menggunakan informasi kunci registri dan konsultan yang disediakan dalam artikel ini.
Catatan: Pelanggan Surface akan menerima pembaruan kode mikro melalui pembaruan Windows. Untuk daftar pembaruan firmware perangkat Surface (microcode) terbaru yang tersedia, lihat KB4073065.
Pengaturan mitigasi untuk klien Windows
Penasihat keamanan ADV180002, ADV180012, ADV190013, dan ADV220002 menyediakan informasi tentang risiko yang ditimbulkan oleh kerentanan ini, dan bagaimana mereka membantu Anda mengidentifikasi keadaan default mitigasi untuk sistem klien Windows. Tabel berikut ini merangkum persyaratan kode mikro CPU dan status default mitigasi pada klien Windows.
|
CVE |
Memerlukan kode mikro/firmware CPU? |
Status Default Mitigasi |
|---|---|---|
|
CVE-2017-5753 |
Tidak |
Diaktifkan secara default (tidak ada opsi untuk menonaktifkan) Silakan merujuk ke ADV180002 untuk informasi tambahan. |
|
CVE-2017-5715 |
Ya |
Diaktifkan secara default. Pengguna sistem berdasarkan prosesor AMD akan melihat TANYA JAWAB UMUM #15 dan pengguna prosesor ARM akan melihat FAQ #20 di ADV180002 untuk tindakan tambahan dan artikel KB ini untuk pengaturan kunci registri yang berlaku. Note Secara default, Retpoline diaktifkan untuk perangkat yang menjalankan Windows 10, versi 1809, atau yang lebih baru jika Spectre Varian 2 (CVE-2017-5715) diaktifkan. Untuk informasi selengkapnya, di sekitar Retpoline, ikuti panduan dalam varian Mitigasi Spectre 2 dengan Retpoline di posting blog Windows. |
|
CVE-2017-5754 |
Tidak |
Diaktifkan secara default Silakan merujuk ke ADV180002 untuk informasi tambahan. |
|
CVE-2018-3639 |
Intel: Ya |
Intel dan AMD: Dinonaktifkan secara default. Lihat ADV180012 untuk informasi selengkapnya dan artikel KB ini untuk pengaturan kunci registri yang berlaku. ARM: Diaktifkan secara default tanpa opsi untuk menonaktifkan. |
|
CVE-2019-11091 |
Intel: Ya |
Diaktifkan secara default. Lihat ADV190013 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
|
CVE-2018-12126 |
Intel: Ya |
Diaktifkan secara default. Lihat ADV190013 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
|
CVE-2018-12127 |
Intel: Ya |
Diaktifkan secara default. Lihat ADV190013 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
|
CVE-2018-12130 |
Intel: Ya |
Diaktifkan secara default. Lihat ADV190013 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
|
CVE-2019-11135 |
Intel: Ya |
Diaktifkan secara default. Lihat CVE-2019-11135 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
|
CVE-2022-21123 (bagian dari MMIO ADV220002) |
Intel: Ya |
Windows Server 2019, Windows Server 2022: Diaktifkan secara default. Lihat CVE-2022-21123 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
|
CVE-2022-21125 (bagian dari MMIO ADV220002) |
Intel: Ya |
Windows Server 2019, Windows Server 2022: Diaktifkan secara default. Lihat CVE-2022-21125 untuk informasi selengkapnya. |
|
CVE-2022-21127 (bagian dari MMIO ADV220002) |
Intel: Ya |
Server 2019, Windows Server 2022: Diaktifkan secara default. Lihat CVE-2022-21127 untuk informasi selengkapnya. |
|
CVE-2022-21166 (bagian dari MMIO ADV220002) |
Intel: Ya |
Windows Server 2019, Windows Server 2022: Diaktifkan secara default. Lihat CVE-2022-21166 untuk informasi selengkapnya. |
|
CVE-2022-23825 (Amd CPU Branch Type Confusion) |
AMD: Tidak |
Lihat CVE-2022-23825 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
|
CVE-2022-23816 (Amd CPU Branch Type Confusion) |
AMD: Tidak |
Lihat CVE-2022-23816untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
Catatan: Secara default, mengaktifkan mitigasi yang nonaktif dapat memengaruhi kinerja perangkat. Efek kinerja aktual bergantung pada beberapa faktor, seperti chipset tertentu dalam perangkat dan beban kerja yang berjalan.
Pengaturan registri
Kami menyediakan informasi registri berikut untuk mengaktifkan mitigasi yang tidak diaktifkan secara default, seperti yang didokumentasikan dalam Penasihat Keamanan ADV180002 dan ADV180012. Selain itu, kami menyediakan pengaturan kunci registri untuk pengguna yang ingin menonaktifkan mitigasi yang terkait dengan CVE-2017-5715 dan CVE-2017-5754 untuk klien Windows.
Penting: Bagian, metode, atau tugas ini berisi langkah-langkah yang memberi tahu Anda untuk memodifikasi registri. Namun, masalah yang serius dapat terjadi apabila Anda salah memodifikasi registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah tersebut dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum memodifikasinya. Lalu, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi selengkapnya tentang cara mencadangkan dan memulihkan registri, lihat artikel berikut ini di Pangkalan Pengetahuan Microsoft:
322756 Cara mencadangkan dan memulihkan registri di Windows
Penting: Secara default, Retpoline diaktifkan di Windows 10, perangkat versi 1809 jika Spectre, Varian 2 (CVE-2017-5715) diaktifkan. Mengaktifkan Retpoline pada versi terbaru Windows 10 dapat meningkatkan kinerja pada perangkat yang menjalankan Windows 10, versi 1809 untuk Spectre varian 2, khususnya pada prosesor lama.
|
Untuk mengaktifkan mitigasi default untuk CVE-2017-5715 (Spectre Varian 2) dan CVE-2017-5754 (Meltdown) reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. Untuk menonaktifkan mitigasi untuk CVE-2017-5715 (Spectre Varian 2) dan CVE-2017-5754 (Meltdown) reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. |
Catatan: Nilai 3 akurat untuk FeatureSettingsOverrideMask untuk pengaturan "aktifkan" dan "nonaktifkan". (Lihat bagian "FAQ" untuk detail selengkapnya tentang kunci registri.)
|
Untuk menonaktifkan mitigasi CVE-2017-5715 (Spectre Varian 2) : reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. Untuk mengaktifkan mitigasi default untuk CVE-2017-5715 (Spectre Varian 2) dan CVE-2017-5754 (Meltdown): reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. |
Secara default, perlindungan user-to-kernel untuk CVE-2017-5715 dinonaktifkan untuk CPU AMD dan ARM. Anda harus mengaktifkan mitigasi untuk menerima perlindungan tambahan untuk CVE-2017-5715. Untuk informasi selengkapnya, lihat FAQ #15 di ADV180002 untuk prosesor AMD dan FAQ #20 di ADV180002 untuk prosesor ARM.
|
Aktifkan perlindungan user-to-kernel pada prosesor AMD dan ARM bersama-sama dengan perlindungan lain untuk CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. |
|
Untuk mengaktifkan mitigasi untuk CVE-2018-3639 (Speculative Store Bypass), mitigasi default untuk CVE-2017-5715 (Spectre Varian 2) dan CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. Catatan: Prosesor AMD tidak rentan terhadap CVE-2017-5754 (Meltdown). Kunci registri ini digunakan dalam sistem dengan prosesor AMD untuk mengaktifkan mitigasi default untuk CVE-2017-5715 pada prosesor AMD dan mitigasi untuk CVE-2018-3639. Untuk menonaktifkan mitigasi untuk CVE-2018-3639 (Bypass Bursa Spekulatif) *dan* mitigasi untuk CVE-2017-5715 (Varian Spectre 2) dan CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. |
Secara default, perlindungan user-to-kernel untuk CVE-2017-5715 dinonaktifkan untuk prosesor AMD. Pelanggan harus mengaktifkan mitigasi untuk menerima perlindungan tambahan untuk CVE-2017-5715. Untuk informasi selengkapnya, lihat FAQ #15 di ADV180002.
|
Memungkinkan perlindungan user-to-kernel pada prosesor AMD bersama dengan perlindungan lain untuk CVE 2017-5715 dan perlindungan untuk CVE-2018-3639 (Bypass Store Spekulatif): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. |
|
Untuk mengaktifkan mitigasi untuk Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) dan Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) bersama dengan Varian Spectre (CVE-2017-5753 & CVE-2017-5715) dan Meltdown (CVE-2017-5754) termasuk Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) serta L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, dan CVE-2018-3646) tanpa menonaktifkan Hyper-Threading: reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jika fitur Hyper-V diinstal, tambahkan pengaturan registri berikut: reg tambahkan "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jika ini adalah host Hyper-V dan pembaruan firmware telah diterapkan: Matikan semua Virtual Machines. Hal ini memungkinkan mitigasi terkait firmware diterapkan pada host sebelum VM dimulai. Oleh karena itu, VM juga diperbarui saat VM dimulai ulang. Mulai ulang perangkat agar perubahan dapat diterapkan. Untuk mengaktifkan mitigasi untuk Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) dan Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) bersama dengan Varian Spectre (CVE-2017-5753 & CVE-2017-5715) dan Meltdown (CVE-2017-5754) termasuk Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) serta L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, dan CVE-2018-3646) dengan Hyper-Threading dinonaktifkan: reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jika fitur Hyper-V diinstal, tambahkan pengaturan registri berikut: reg tambahkan "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jika ini adalah host Hyper-V dan pembaruan firmware telah diterapkan: Matikan semua Virtual Machines. Hal ini memungkinkan mitigasi terkait firmware diterapkan pada host sebelum VM dimulai. Oleh karena itu, VM juga diperbarui saat VM dimulai ulang. Mulai ulang perangkat agar perubahan dapat diterapkan. Untuk menonaktifkan mitigasi untuk Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) dan Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) bersama dengan Spectre (CVE-2017-5753 & CVE-2017-5715) dan varian Meltdown (CVE-2017-5754) termasuk Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) serta L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, dan CVE-2018-3646): reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. |
Aktifkan perlindungan user-to-kernel pada prosesor AMD:
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Agar sepenuhnya terlindungi, pelanggan mungkin juga perlu menonaktifkan Hyper-Threading (juga dikenal sebagai Simultaneous Multi Threading (SMT)). Silakan lihat KB4073757untuk panduan tentang melindungi perangkat Windows.
Memverifikasi proteksi diaktifkan
Untuk membantu memverifikasi bahwa proteksi diaktifkan, kami telah menerbitkan skrip PowerShell yang dapat Anda jalankan di perangkat Anda. Instal dan jalankan skrip dengan menggunakan salah satu metode berikut.
|
Instal Modul PowerShell: PS> Install-Module SpeculationControl Jalankan modul PowerShell untuk memverifikasi bahwa proteksi diaktifkan: PS> # Simpan kebijakan eksekusi saat ini agar dapat diatur ulang PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset kebijakan eksekusi ke status asli PS> Set-ExecutionPolicy $SaveExecutionPolicy -Lingkup Currentuser |
|
Instal Modul PowerShell dari Technet ScriptCenter: Buka https://aka.ms/SpeculationControlPS Unduh SpeculationControl.zip ke folder lokal. Ekstrak konten ke folder lokal, misalnya C:\ADV180002 Jalankan modul PowerShell untuk memverifikasi bahwa proteksi diaktifkan: Mulai PowerShell, lalu (dengan menggunakan contoh sebelumnya) salin dan jalankan perintah berikut: PS> # Simpan kebijakan eksekusi saat ini agar dapat diatur ulang PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset kebijakan eksekusi ke status asli PS> Set-ExecutionPolicy $SaveExecutionPolicy -Lingkup Currentuser |
Untuk penjelasan mendetail tentang output skrip PowerShell, silakan lihat KB4074629.
Pertanyaan umum
Kode mikro dikirimkan melalui pembaruan firmware. Anda harus memeriksa dengan CPU (chipset) dan produsen perangkat Anda tentang ketersediaan pembaruan keamanan firmware yang berlaku untuk perangkat tertentu mereka, termasuk Panduan Revisi Kode Mikro Intel.
Mengatasi kerentanan perangkat keras melalui pembaruan perangkat lunak memberikan tantangan yang signifikan. Selain itu, mitigasi untuk sistem operasi yang lebih lama memerlukan perubahan arsitektur yang ekstensif. Kami bekerja sama dengan produsen chip yang terpengaruh untuk menentukan cara terbaik untuk menyediakan mitigasi, yang mungkin akan dikirimkan dalam pembaruan mendatang.
Updates untuk perangkat Microsoft Surface akan dikirimkan kepada pelanggan melalui Windows Update bersama dengan pembaruan untuk sistem operasi Windows. Untuk daftar pembaruan firmware perangkat Surface (microcode) yang tersedia, lihat KB4073065.
Jika perangkat Anda bukan berasal dari Microsoft, terapkan firmware dari produsen perangkat. Untuk informasi selengkapnya, hubungi produsen perangkat OEM.
Pada bulan Februari dan Maret 2018, Microsoft merilis perlindungan tambahan untuk beberapa sistem berbasis x86. Untuk informasi selengkapnya, lihat KB4073757 dan Penasihat Keamanan Microsoft ADV180002.
Updates ke Windows 10 untuk HoloLens tersedia untuk pelanggan HoloLens melalui Windows Update.
Setelah menerapkan Pembaruan Keamanan Windows Februari 2018, pelanggan HoloLens tidak perlu melakukan tindakan tambahan apa pun untuk memperbarui firmware perangkat mereka. Mitigasi ini juga akan disertakan dalam semua rilis Windows 10 untuk HoloLens di masa mendatang.
Tidak. Pembaruan Keamanan Saja tidak kumulatif. Tergantung pada versi sistem operasi yang Anda jalankan, Anda harus menginstal setiap pembaruan Keamanan Hanya bulanan untuk dilindungi terhadap kerentanan ini. Misalnya, jika Anda menjalankan Windows 7 untuk Sistem 32-bit pada CPU Intel yang terpengaruh, Anda harus menginstal semua pembaruan Keamanan Saja. Sebaiknya instal pembaruan Keamanan Saja dalam urutan rilis.
Note Versi yang lebih lama dari FAQ ini secara tidak benar menyatakan bahwa pembaruan Keamanan Hanya Bulan Februari menyertakan perbaikan keamanan yang dirilis pada bulan Januari. Bahkan, tidak.
Tidak. Pembaruan keamanan 4078130 adalah perbaikan khusus untuk mencegah perilaku sistem yang tidak terduga, masalah kinerja, dan/atau boot ulang yang tidak diharapkan setelah penginstalan kode mikro. Menerapkan pembaruan keamanan bulan Februari pada sistem operasi klien Windows memungkinkan ketiga mitigasi.
Intel baru-baru ini mengumumkan bahwa mereka telah menyelesaikan validasi mereka dan mulai merilis kode mikro untuk platform CPU yang lebih baru. Microsoft menyediakan pembaruan kode mikro tervalidasi Intel di sekitar Spectre Varian 2 (CVE-2017-5715 "Injeksi Target Cabang"). KB4093836 mencantumkan artikel Basis Pengetahuan tertentu menurut versi Windows. Setiap KB tertentu berisi pembaruan kode mikro Intel yang tersedia oleh CPU.
Masalah ini telah diatasi di KB4093118.
AMD baru-baru ini mengumumkan bahwa mereka telah mulai merilis kode mikro untuk platform CPU yang lebih baru di sekitar Spectre Varian 2 (CVE-2017-5715 "Injeksi Target Cabang"). Untuk informasi selengkapnya, lihat Updates Keamanan AMD dan AMD Whitepaper: Panduan Arsitektur di sekitar Kontrol Cabang Tidak Langsung. Ini tersedia dari saluran firmware OEM.
Kami menyediakan pembaruan kode mikro tervalidasi Intel di sekitar Spectre Varian 2 (CVE-2017-5715 "Branch Target Injection "). Untuk mendapatkan pembaruan kode mikro Intel terbaru melalui Windows Update, pelanggan harus telah menginstal kode mikro Intel pada perangkat yang menjalankan sistem operasi Windows 10 sebelum memutakhirkan ke pembaruan Windows 10 April 2018 (versi 1803).
Pembaruan kode mikro juga tersedia secara langsung dari Katalog jika tidak diinstal di perangkat sebelum memutakhirkan OS. Kode mikro Intel tersedia melalui Windows Update, WSUS, atau Katalog Pembaruan Microsoft. Untuk informasi selengkapnya dan instruksi pengunduhan, lihat KB4100347.
Untuk informasi selengkapnya, lihat sumber daya berikut ini:
Untuk detailnya, lihat bagian "Tindakan yang direkomendasikan" dan "FAQ" di ADV180012 | Panduan Microsoft untuk Bypass Bursa Spekulatif.
Untuk memverifikasi status SSBD, skrip Get-SpeculationControlSettings PowerShell diperbarui untuk mendeteksi prosesor yang terpengaruh, status pembaruan sistem operasi SSBD, dan status kode mikro prosesor jika berlaku. Untuk informasi selengkapnya dan untuk mendapatkan skrip PowerShell, lihat KB4074629.
Pada 13 Juni 2018, kerentanan tambahan yang melibatkan eksekusi spekulatif saluran sisi, yang dikenal sebagai Pemulihan Negara FP Malas, diumumkan dan ditetapkan CVE-2018-3665. Tidak diperlukan pengaturan konfigurasi (registri) untuk Pemulihan Malas FP Pulihkan.
Untuk informasi selengkapnya tentang kerentanan ini dan untuk tindakan yang direkomendasikan, lihat penasihat keamanan ADV180016 | Panduan Microsoft untuk Pemulihan Status FP Malas.
Catatan: Tidak diperlukan pengaturan konfigurasi (registri) untuk Pemulihan Malas FP Pulihkan.
Bounds Check Bypass Store (BCBS) diungkapkan pada 10 Juli 2018 dan ditetapkan CVE-2018-3693. Kami menganggap BCBS termasuk dalam kelas kerentanan yang sama dengan Bypass Pemeriksaan Batas (Varian 1). Kami saat ini tidak menyadari adanya BCBS dalam perangkat lunak kami, tetapi kami terus melakukan riset untuk kelas kerentanan ini dan akan bekerja dengan mitra industri untuk merilis mitigasi sesuai kebutuhan. Kami terus mendorong peneliti untuk mengirimkan temuan yang relevan ke program karunia Saluran Sisi Eksekusi Spekulatif Microsoft, termasuk setiap contoh BCBS yang dapat dieksploitasi. Pengembang perangkat lunak harus meninjau panduan pengembang yang diperbarui untuk BCBS di https://aka.ms/sescdevguide.
Pada 14 Agustus 2018, L1 Terminal Fault (L1TF) diumumkan dan ditetapkan beberapa CVEs. Kerentanan saluran sisi spekulatif baru ini dapat digunakan untuk membaca konten memori di seluruh batas tepercaya dan, jika dieksploitasi, dapat mengarah pada pengungkapan informasi. Penyerang dapat memicu kerentanan melalui beberapa vektor, tergantung pada lingkungan yang dikonfigurasi. L1TF memengaruhi prosesor Intel® Core® dan prosesor Intel® Xeon®.
Untuk informasi selengkapnya tentang kerentanan ini dan tampilan mendetail skenario yang terpengaruh, termasuk pendekatan Microsoft untuk memitigasi L1TF, lihat sumber daya berikut ini:
Pelanggan yang menggunakan prosesor ARM 64-bit harus memeriksa dengan OEM perangkat untuk dukungan firmware karena perlindungan sistem operasi ARM64 yang mengurangi CVE-2017-5715 | Injeksi target cabang (Spectre, Varian 2) memerlukan pembaruan firmware terbaru dari OEM perangkat agar dapat diterapkan.
Untuk informasi selengkapnya, lihat saran keamanan berikut
Untuk informasi selengkapnya, lihat saran keamanan berikut
Panduan lebih lanjut dapat ditemukan dalam panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif
Silakan lihat panduan dalam panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif
Untuk panduan Azure, silakan lihat artikel ini: Panduan untuk memitigasi kerentanan saluran sisi eksekusi spekulatif di Azure.
Untuk informasi selengkapnya tentang pemberdayaan Retpoline, lihat postingan blog kami: Mitigasi Spectre varian 2 dengan Retpoline di Windows.
Untuk detail tentang kerentanan ini, lihat Panduan Keamanan Microsoft: | CVE-2019-1125 Kerentanan Pengungkapan Informasi Kernel Windows.
Kami tidak menyadari adanya kerentanan pengungkapan informasi ini yang memengaruhi infrastruktur layanan cloud kami.
Segera setelah kami menyadari masalah ini, kami bekerja cepat untuk mengatasinya dan merilis pembaruan. Kami sangat percaya pada kemitraan yang erat dengan peneliti dan mitra industri untuk membuat pelanggan lebih aman, dan tidak menerbitkan detail hingga Selasa, 6 Agustus, konsisten dengan praktik pengungkapan kerentanan terkoordinasi.
Panduan lebih lanjut dapat ditemukan dalam panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif.
Panduan lebih lanjut dapat ditemukan dalam panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif.
Panduan lebih lanjut dapat ditemukan dalam Panduan untuk menonaktifkan kemampuan Intel® Transactional Synchronization Extensions (Intel® TSX).
Referensi
Kami menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak yang tertera dapat berubah sewaktu-waktu. Kami tidak menjamin keakuratan informasi kontak pihak ketiga ini.
