Panduan klien Windows untuk profesional TI untuk melindungi spekulatif eksekusi sisi-saluran kerentanan

Tindakan yang disarankan

Pelanggan harus mengambil tindakan berikut ini untuk membantu melindungi terhadap kerentanan:

  1. Terapkan semua pembaruan sistem operasi Windows yang tersedia, termasuk pembaruan keamanan Windows bulanan.

  2. Menerapkan pembaruan berlaku firmware (pengendali) yang disediakan oleh pabrik perangkat.

  3. Mengevaluasi risiko untuk lingkungan Anda berdasarkan informasi yang disediakan di Microsoft Security Advisories: ADV180002, dalamadv180012, ADV190013 dan informasi yang disediakan dalam artikel Pangkalan Pengetahuan ini.

  4. Mengambil tindakan yang diperlukan dengan menggunakan saran dan informasi kunci registri yang disediakan dalam artikel Pangkalan Pengetahuan ini.

Catatan Permukaan pelanggan akan menerima Pemutakhiran pengendali melalui Pemutakhiran Windows. Untuk daftar terbaru tersedia permukaan perangkat firmware (pengendali) pemutakhiran, lihat KB 4073065.

Mitigasi pengaturan untuk klien Windows

Penasihat Keamanan ADV180002, Dalamadv180012, dan ADV190013 memberikan informasi tentang risiko yang ditimbulkan oleh kerentanan ini, dan mereka membantu Anda mengidentifikasi keadaan default Mitigations untuk sistem klien Windows. Tabel berikut ini meringkas persyaratan pengendali CPU dan status default Mitigations pada klien Windows.

Cve

Membutuhkan CPU pengendali/firmware?

Mitigasi status default

CVE-2017-5753

Tidak

Diaktifkan secara default (tidak ada pilihan untuk menonaktifkan)

Silakan merujuk ke ADV180002 untuk informasi tambahan.

CVE-2017-5715

Ya

Diaktifkan secara default. Pengguna sistem yang didasarkan pada prosesor AMD akan melihat FAQ #15 dan pengguna prosesor ARM akan melihat FAQ #20 di ADV180002 untuk tindakan tambahan dan artikel KB ini untuk pengaturan kunci registri yang dapat diterapkan.

Catatan "Retpoline" diaktifkan secara default untuk perangkat yang menjalankan Windows 10 1809 atau yang lebih baru jika hantu varian 2 (CVE-2017-5715) diaktifkan. Untuk informasi lebih lanjut, di sekitar "retpoline", ikuti petunjuk dalammengurangi momok varian 2 dengan retpoline pada Windows blog post.

CVE-2017-5754

Tidak

Diaktifkan secara default

Silakan merujuk ke ADV180002 untuk informasi tambahan.

CVE-2018-3639

Intel: Ya AMD: tidak ada ARM: Ya

Intel dan AMD: dinonaktifkan secara default. Lihat dalamadv180012 untuk informasi lebih lanjut dan artikel KB ini untuk pengaturan kunci registri yang dapat diterapkan.

ARM: diaktifkan secara default tanpa opsi untuk menonaktifkan.

CVE-2018-11091

Intel: Ya

Diaktifkan secara default.

Lihat ADV190013 untuk informasi lebih lanjut dan artikel KB ini untuk pengaturan kunci registri yang dapat diterapkan.

CVE-2018-12126

Intel: Ya

Diaktifkan secara default.

Lihat ADV190013 untuk informasi lebih lanjut dan artikel KB ini untuk pengaturan kunci registri yang dapat diterapkan.

CVE-2018-12127

Intel: Ya

Diaktifkan secara default.

Lihat ADV190013 untuk informasi lebih lanjut dan artikel KB ini untuk pengaturan kunci registri yang dapat diterapkan.

CVE-2018-12130

Intel: Ya

Diaktifkan secara default.

Lihat ADV190013 untuk informasi lebih lanjut dan artikel KB ini untuk pengaturan kunci registri yang dapat diterapkan.

CVE-2019-11135

Intel: Ya

Diaktifkan secara default.

Lihat CVE-2019-11135 untuk informasi lebih lanjut dan artikel KB ini untuk pengaturan kunci registri yang dapat diterapkan.

Catatan Mengaktifkan Mitigations yang mati secara default dapat mempengaruhi kinerja. Efek kinerja aktual tergantung pada beberapa faktor, seperti chipset tertentu di perangkat dan beban kerja yang sedang berjalan.

Pengaturan registri

Kami menyediakan informasi registri berikut untuk mengaktifkan Mitigations yang tidak diaktifkan secara default, seperti yang didokumentasikan di keamanan Advisories ADV180002 dan dalamadv180012. Selain itu, kami menyediakan tataan kunci registri bagi pengguna yang ingin menonaktifkan Mitigations yang berkaitan dengan CVE-2017-5715 dan CVE-2017-5754 untuk klien Windows.

Penting Bagian, metode, atau tugas ini berisi langkah yang memberitahu Anda bagaimana memodifikasi registri. Namun, masalah serius dapat terjadi jika Anda salah memodifikasi registri. Oleh karena itu, pastikan bahwa Anda mengikuti langkah ini dengan seksama. Untuk perlindungan tambahan, buat cadangan registri sebelum Anda mengubahnya. Kemudian, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi selengkapnya tentang cara membuat cadangan dan memulihkan registri, lihat artikel berikut di Pangkalan Pengetahuan Microsoft:

322756 cara membuat cadangan dan memulihkan registri di Windows

Mengelola Mitigations CVE-2017-5715 (hantu varian 2) dan CVE-2017-5754 (meltdown)

Catatan penting Retpoline diaktifkan secara default pada Windows 10, versi 1809 perangkat jika hantu, varian 2 (CVE-2017-5715) diaktifkan. Mengaktifkan Retpoline pada versi terbaru Windows 10 dapat meningkatkan kinerja pada perangkat yang menjalankan Windows 10, versi 1809 untuk hantu varian 2, terutama pada prosesor yang lebih lawas.

Untuk mengaktifkan Mitigations default untuk CVE-2017-5715 (hantu varian 2) dan CVE-2017-5754 (meltdown)

reg Tambahkan "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory manajemen"/v FeatureSettingsOverride/t REG_DWORD/d 0/f

reg Tambahkan "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory manajemen"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Mulai ulang komputer agar perubahan diterapkan.

Untuk menonaktifkan Mitigations CVE-2017-5715 (hantu varian 2) dan CVE-2017-5754 (meltdown)

reg Tambahkan "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory manajemen"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg Tambahkan "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory manajemen"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Mulai ulang komputer agar perubahan diterapkan.

Catatan Nilai 3 adalah akurat untuk Featuresettingsoverridemask baik "mengaktifkan" dan "menonaktifkan" pengaturan. (Lihat bagian "FAQ" untuk rincian lebih lanjut tentang kunci registri.)

Mengelola mitigasi untuk CVE-2017-5715 (hantu varian 2)

Untuk menonaktifkan Mitigations CVE-2017-5715 (hantu varian 2) :

reg Tambahkan "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory manajemen"/v FeatureSettingsOverride/t REG_DWORD/d 1/f

reg Tambahkan "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory manajemen"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Mulai ulang komputer agar perubahan diterapkan.

Untuk mengaktifkan Mitigations default untuk CVE-2017-5715 (hantu varian 2) dan CVE-2017-5754 (meltdown):

reg Tambahkan "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory manajemen"/v FeatureSettingsOverride/t REG_DWORD/d 0/f

reg Tambahkan "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory manajemen"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Mulai ulang komputer agar perubahan diterapkan.

AMD dan ARM prosesor hanya: mengaktifkan mitigasi penuh untuk CVE-2017-5715 (hantu varian 2)

Secara default, perlindungan pengguna-ke-kernel untuk CVE-2017-5715 dinonaktifkan untuk AMD dan ARM CPU. Pelanggan harus mengaktifkan mitigasi untuk menerima perlindungan tambahan untuk CVE-2017-5715. Untuk informasi selengkapnya, lihat FAQ #15 di ADV180002 untuk prosesor AMD dan FAQ #20 di ADV180002 untuk prosesor ARM.

Memungkinkan perlindungan pengguna-ke-kernel pada PROSESOR AMD dan ARM bersama-sama dengan perlindungan lainnya untuk 2017-5715 CVE:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Mulai ulang komputer agar perubahan diterapkan.

Mengelola Mitigations CVE-2018-3639 (spekulatif penyimpanan bypass), CVE-2017-5715 (hantu varian 2), dan CVE-2017-5754 (meltdown)

Untuk mengaktifkan Mitigations CVE-2018-3639 (spekulatif penyimpanan bypass), Mitigations default untuk CVE-2017-5715 (hantu varian 2) dan CVE-2017-5754 (meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Mulai ulang komputer agar perubahan diterapkan.

Catatan: Prosesor AMD tidak rentan terhadap CVE-2017-5754 (meltdown). Kunci registri ini digunakan dalam sistem dengan prosesor AMD untuk mengaktifkan Mitigations default untuk CVE-2017-5715 pada prosesor AMD dan mitigasi untuk CVE-2018-3639.

Untuk menonaktifkan Mitigations CVE-2018-3639 (spekulatif penyimpanan bypass) * dan * Mitigations CVE-2017-5715 (hantu varian 2) dan CVE-2017-5754 (meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Mulai ulang komputer agar perubahan diterapkan.

Prosesor AMD hanya: mengaktifkan mitigasi penuh untuk CVE-2017-5715 (hantu varian 2) dan CVE 2018-3639 (spekulatif penyimpanan bypass)

Secara default, perlindungan pengguna-ke-kernel untuk CVE-2017-5715 dinonaktifkan untuk prosesor AMD. Pelanggan harus mengaktifkan mitigasi untuk menerima perlindungan tambahan untuk CVE-2017-5715.  Untuk informasi lebih lanjut, lihat FAQ #15 di ADV180002.

Memungkinkan perlindungan pengguna ke kernel pada PROSESOR AMD bersama-sama dengan perlindungan lainnya untuk 2017-5715 CVE dan perlindungan untuk CVE-2018-3639 (spekulatif penyimpanan bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Mulai ulang komputer agar perubahan diterapkan.

Mengelola Intel® transaksional ekstensi sinkronisasi (Intel® TSX) transaksi asinkron Abort (CVE-2019-11135) dan sampling data Mikroarsitektur (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) bersama dengan Hantu (CVE-2017-5753 & CVE-2017-5715) and meltdown (CVE-2017-5754) varian, termasuk spekulatif penyimpanan bypass Disable (SSBD) (CVE-2018-3639) dan juga L1 terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, dan CVE-2018-3646)

Untuk mengaktifkan Mitigations untuk Intel® transaksional sinkronisasi ekstensi (Intel® TSX) transaksi asinkron Abort kerentanan(CVE-2019-11135) dan sampling data microarchitectural ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) bersama dengan spectre (CVE-2017-5753 & CVE-2017-5715) dan meltdown (CVE-2017-5754) variant, termasuk spekulatif penyimpanan bypass Disable (ssbd) ( CVE-2018-3639) serta L1 terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, dan CVE-2018-3646) tanpa menonaktifkan Hyper-threading:

reg Tambahkan "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory manajemen"/v FeatureSettingsOverride/t REG_DWORD/d 72/f

reg Tambahkan "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory manajemen"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Jika fitur Hyper-V diinstal, tambahkan pengaturan registri berikut ini:

reg Tambahkan "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

Jika ini adalah host Hyper-V dan pemutakhiran firmware telah diterapkan: Sepenuhnya mematikan semua mesin virtual. Hal ini memungkinkan mitigasi terkait firmware untuk diterapkan pada host sebelum VM dimulai. Oleh karena itu, VM juga diperbarui saat mereka ulang.

Mulai ulang komputer agar perubahan diterapkan.

Untuk mengaktifkan Mitigations untuk Intel® transaksional sinkronisasi ekstensi (Intel® TSX) transaksi asinkron Abort kerentanan(CVE-2019-11135) dan sampling data microarchitectural ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) bersama dengan spectre (CVE-2017-5753 & CVE-2017-5715) dan meltdown (CVE-2017-5754) variant, termasuk spekulatif penyimpanan bypass Disable (ssbd) ( CVE-2018-3639) serta L1 terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, dan CVE-2018-3646) dengan Hyper-threading dinonaktifkan:

reg Tambahkan "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory manajemen"/v FeatureSettingsOverride/t REG_DWORD/d 8264/f

reg Tambahkan "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory manajemen"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Jika fitur Hyper-V diinstal, tambahkan pengaturan registri berikut ini:

reg Tambahkan "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

 

Jika ini adalah host Hyper-V dan pemutakhiran firmware telah diterapkan: Sepenuhnya mematikan semua mesin virtual. Hal ini memungkinkan mitigasi terkait firmware untuk diterapkan pada host sebelum VM dimulai. Oleh karena itu, VM juga diperbarui saat mereka ulang.

Mulai ulang komputer agar perubahan diterapkan.

Untuk menonaktifkan Mitigations untuk Intel® transaksional sinkronisasi ekstensi (Intel® TSX) transaksi asinkron Abort kerentanan(CVE-2019-11135) dan microarchitectural data sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) bersama dengan spectre (CVE-2017-5753 & CVE-2017-5715) dan meltdown (CVE-2017-5754) variant, termasuk spekulatif penyimpanan bypass Disable (ssbd) ( CVE-2018-3639) serta L1 terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, dan CVE-2018-3646):

reg Tambahkan "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory manajemen"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg Tambahkan "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory manajemen"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Mulai ulang komputer agar perubahan diterapkan.

Memverifikasi bahwa perlindungan diaktifkan

Untuk membantu pelanggan memverifikasi bahwa perlindungan diaktifkan, kami telah menerbitkan skrip PowerShell yang pelanggan dapat dijalankan pada sistem mereka. Menginstal dan menjalankan skrip dengan menjalankan perintah berikut ini.

Verifikasi PowerShell menggunakan Galeri PowerShell (Windows Server 2016 atau WMF 5.0/5.1)

Menginstal modul PowerShell:

PS > install-modul SpeculationControl

Jalankan modul PowerShell untuk memverifikasi bahwa perlindungan diaktifkan:

PS > # menyimpan kebijakan eksekusi saat ini sehingga dapat diatur ulang

PS > $SaveExecutionPolicy = Dapatkan-ExecutionPolicy

PS > set-ExecutionPolicy Remotesanye-cakupan currentuser

PS > modul-impor SpeculationControl

PS > Get-Spekulationcontrolsettings

PS > # reset kebijakan eksekusi ke keadaan semula

PS > set-ExecutionPolicy $SaveExecutionPolicy-cakupan currentuser

 

Verifikasi PowerShell menggunakan download dari TechNet (versi sistem operasi sebelumnya dan versi WMF sebelumnya)

Menginstal modul PowerShell dari TechNet ScriptCenter:

Buka https://AKA.ms/SpeculationControlPS

Download SpeculationControl. zip ke folder lokal.

Mengekstrak konten ke folder lokal, misalnya C:\ADV180002

Jalankan modul PowerShell untuk memverifikasi bahwa perlindungan diaktifkan:

Mulai PowerShell, kemudian (dengan menggunakan contoh sebelumnya) menyalin dan jalankan perintah berikut ini:

PS > # menyimpan kebijakan eksekusi saat ini sehingga dapat diatur ulang

PS > $SaveExecutionPolicy = Dapatkan-ExecutionPolicy

PS > set-ExecutionPolicy Remotesanye-cakupan currentuser

PS > CD C:\ADV180002\SpeculationControl

PS > modul impor .\SpeculationControl.psd1

PS > Get-Spekulationcontrolsettings

PS > # reset kebijakan eksekusi ke keadaan semula

PS > set-ExecutionPolicy $SaveExecutionPolicy-cakupan currentuser

Untuk penjelasan rinci tentang output skrip PowerShell, silakan lihat artikel basis pengetahuan 4074629.

Pertanyaan umum

Pengendali dikirim melalui Pemutakhiran firmware. Pelanggan harus memeriksa dengan CPU (chipset) dan produsen perangkat pada ketersediaan pembaruan keamanan firmware yang berlaku untuk perangkat tertentu mereka, termasuk Intel pengendali revisi panduan.

Mengatasi kerentanan perangkat keras melalui pembaruan perangkat lunak menyajikan tantangan yang signifikan. Selain itu, Mitigations untuk sistem operasi lama memerlukan perubahan arsitektur yang luas. Kami bekerja sama dengan produsen chip terpengaruh untuk menentukan cara terbaik untuk memberikan Mitigations, yang dapat disampaikan di masa depan pembaruan.

Pembaruan untuk Microsoft Surface perangkat akan dikirim ke pelanggan melalui Pemutakhiran Windows bersama-sama dengan pembaruan untuk sistem operasi Windows. Untuk daftar pemutakhiran firmware (pengendali) perangkat permukaan tersedia, lihat KB 4073065.

Jika perangkat Anda bukan dari Microsoft, menerapkan firmware dari pabrik perangkat. Untuk informasi lebih lanjut, hubungi produsen perangkat OEM.

Pada bulan Februari dan 2018 Maret, Microsoft meluncurkan perlindungan tambahan untuk beberapa sistem berbasis x86. Untuk informasi selengkapnya, lihat KB 4073757 dan Microsoft Security Advisory ADV180002.

Pembaruan untuk Windows 10 untuk HoloLens tersedia untuk HoloLens pelanggan melalui Pemutakhiran Windows.

Setelah menerapkan pembaruan keamanan Windows 2018 Februari, hololens pelanggan tidak harus mengambil tindakan tambahan untuk memperbarui firmware perangkat mereka. Mitigations ini juga akan dimasukkan dalam semua masa depan rilis Windows 10 untuk HoloLens.

Tidak. Pembaruan keamanan hanya tidak kumulatif. Tergantung pada versi sistem operasi yang Anda jalankan, Anda harus menginstal setiap bulanan keamanan hanya pemutakhiran untuk terlindung dari kerentanan ini. Sebagai contoh, jika Anda menjalankan Windows 7 untuk sistem 32-bit pada CPU Intel yang terpengaruh Anda harus menginstal semua pembaruan keamanan hanya. Kami menyarankan menginstal pembaruan keamanan hanya ini dalam urutan rilis.

Catatan versi yang lebih lawas FAQ ini salah menyatakan bahwa Februari keamanan hanya pemutakhiran termasuk perbaikan keamanan yang dirilis pada bulan Januari. Bahkan, tidak.

Tidak. Pembaruan keamanan 4078130 adalah perbaikan khusus untuk mencegah perilaku tak terduga sistem, masalah kinerja, dan/atau reboot tak terduga setelah penginstalan pengendali. Menerapkan pembaruan keamanan Februari pada sistem operasi klien Windows memungkinkan semua tiga Mitigations.

Intelbaru-baru ini mengumumkanmereka telah menyelesaikan validasi dan mulai MERILIS pengendali untuk platform CPU yang lebih baru. Microsoft membuat pengendali Intel divalidasi pemutakhiran yang tersedia di sekitar 2 varian hantu (CVE-2017-5715 "cabang target injeksi"). KB 4093836 Daftar spesifik basis pengetahuan artikel dengan versi Windows. KB khusus masing-masing berisi Intel pengendali pemutakhiran yang tersedia dengan CPU.

Masalah ini diatasi di KB 4093118.

AMD baru-baru ini mengumumkan mereka telah mulai untuk melepaskan pengendali untuk platform CPU yang lebih baru di sekitar varian SPECTRE 2 (CVE-2017-5715 "cabang target injeksi"). Untuk informasi selengkapnya merujuk ke pemutakhiran keamanan AMD dan AMD whitepaper: panduan arsitektur kontrol langsung cabang. Ini tersedia dari OEM firmware saluran.

Kami membuat pengendali Intel divalidasi pemutakhiran yang tersedia di sekitar 2 varian hantu (CVE-2017-5715 "cabang target injeksi "). Untuk mendapatkan pemutakhiran pengendali Intel terbaru melalui Pemutakhiran Windows, pelanggan harus menginstal Intel pengendali di perangkat yang menjalankan sistem operasi Windows 10 sebelum meng-upgrade ke Windows 10 April 2018 update (versi 1803).

Pengendali pembaruan ini juga tersedia secara langsung dari Katalog jika tidak diinstal pada perangkat sebelum meng-upgrade OS. Pengendali Intel tersedia melalui Pemutakhiran Windows, WSUS, atau Katalog Pembaruan Microsoft. Untuk informasi lebih lanjut dan download petunjuk, lihat KB 4100347.

Untuk detailnya, lihat bagian "tindakan yang disarankan" dan "FAQ" di dalamadv180012 | Microsoft panduan untuk bypass spekulatif penyimpanan.

Untuk memverifikasi status SSBD, Get-Spekulationcontrolsettings PowerShell script diperbarui untuk mendeteksi prosesor yang terpengaruh, status SSBD pembaruan sistem operasi, dan status pengendali prosesor jika dapat diterapkan. Untuk informasi lebih lanjut dan untuk mendapatkan skrip PowerShell, lihat KB 4074629.

Pada tanggal 13 juni 2018, kerentanan tambahan yang melibatkan sisi-saluran eksekusi spekulatif, dikenal sebagai Lazy FP State pemulihan, diumumkan dan ditetapkan CVE-2018-3665. Pengaturan konfigurasi (registri) tidak diperlukan untuk pemulihan malas pemulihan FP.

Untuk informasi selengkapnya tentang kerentanan ini dan untuk tindakan yang disarankan, rujuk ke penasihat keamanan ADV180016 | Microsoft panduan untuk mengembalikan status malas FP.

Catatan Pengaturan konfigurasi (registri) tidak diperlukan untuk pemulihan malas pemulihan FP.

Batas Periksa bypass Store (BCBS) diungkapkan pada 10 Juli 2018 dan ditugaskan CVE-2018-3693. Kami menganggap BCBS milik kelas kerentanan yang sama seperti batas Periksa bypass (varian 1). Kami tidak sedang menyadari setiap instance dari BCBS dalam perangkat lunak kami, tetapi kami melanjutkan penelitian kelas kerentanan ini dan akan bekerja dengan mitra industri untuk melepaskan Mitigations yang diperlukan. Kami terus mendorong para peneliti untuk mengirimkan temuan yang relevan dengan program spekulatif eksekusi saluran sampinganMicrosoft, termasuk instance yang dapat meledak dari bcbs. Pengembang perangkat lunak harus meninjau panduan pengembang yang telah diperbarui untuk BCBS di https://AKA.ms/sescdevguide.

Pada 14 Agustus 2018, L1 terminal kegagalan (L1TF) diumumkan dan ditetapkan CVEs banyak. Ini baru spekulatif eksekusi sisi-saluran kerentanan dapat digunakan untuk membaca konten memori di batas terpercaya dan, jika dieksploitasi, dapat menyebabkan pengungkapan informasi. Seorang penyerang dapat memicu kerentanan melalui beberapa vektor, tergantung pada lingkungan yang dikonfigurasi. L1TF mempengaruhi prosesor Intel® Core® dan prosesor Intel® Xeon®.

Untuk informasi selengkapnya tentang kerentanan ini dan tampilan rinci terpengaruh skenario, termasuk Microsoft pendekatan untuk mengurangi L1TF, lihat sumber daya berikut ini:

Pelanggan yang menggunakan 64-bit ARM prosesor harus memeriksa dengan perangkat OEM untuk firmware dukungan karena ARM64 perlindungan sistem operasi yang mengurangi CVE-2017-5715 -cabang target injeksi (hantu, varian 2) memerlukan pembaruan firmware terbaru dari perangkat OEM untuk mengambil efek.

Untuk panduan Azure, silakan merujuk ke artikel ini: panduan untuk mengurangi kerentanan sisi-saluran spekulatif eksekusi di Azure.

Untuk informasi lebih lanjut tentang pengaktifan Retpoline, lihat posting blog kami: mitigating hantu varian 2 dengan Retpoline pada Windows.

Untuk rincian tentang kerentanan ini, lihat panduan keamanan Microsoft: CVE-2019-1125 | Kerentanan pengungkapan informasi kernel Windows.

Kami tidak mengetahui adanya kejadian kerentanan pengungkapan informasi ini yang memengaruhi infrastruktur layanan cloud kami.

Segera setelah kami menjadi sadar akan masalah ini, kami bekerja dengan cepat untuk mengatasinya dan merilis update. Kami sangat percaya pada kemitraan dekat dengan kedua peneliti dan mitra industri untuk membuat pelanggan lebih aman, dan tidak mempublikasikan rincian sampai Selasa, Agustus 6, konsisten dengan praktek pengungkapan kerentanan terkoordinasi.

 

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×