Riepilogo
Questo articolo verrà aggiornato non appena saranno disponibili ulteriori informazioni. Si prega di controllare qui regolarmente per gli aggiornamenti e nuove FAQ.
Microsoft è a conoscenza di una nuova classe divulgata pubblicamente di vulnerabilità che vengono chiamati "attacchi di canale laterale di esecuzione speculativa" e che interessano molti processori moderni tra cui Intel, AMD, VIA e ARM.
Nota: Questo problema riguarda anche altri sistemi operativi, ad esempio Android, Chrome, iOS e macOS. Pertanto, consigliamo ai clienti di richiedere assistenza a tali fornitori.
Abbiamo rilasciato diversi aggiornamenti per contribuire a mitigare queste vulnerabilità. Abbiamo anche preso provvedimenti per proteggere i nostri servizi cloud. Per ulteriori dettagli, vedere le sezioni seguenti.
Non abbiamo ancora ricevuto alcuna informazione per indicare che queste vulnerabilità sono state utilizzate per attaccare i clienti. Stiamo lavorando a stretto contatto con partner del settore, tra cui produttori di chip, OEM hardware e fornitori di applicazioni per proteggere i clienti. Per ottenere tutte le protezioni disponibili, sono necessari aggiornamenti del firmware (microcodice) e del software. Ciò include microcodice dagli OEM del dispositivo e, in alcuni casi, aggiornamenti al software antivirus.
In questo articolo vengono illustrate le seguenti vulnerabilità:
Windows Update fornirà anche internet Explorer ed Edge mitigations. Continueremo a migliorare queste attenuazioni contro questa classe di vulnerabilità.
Per ulteriori informazioni su questa classe di vulnerabilità, vedere
AGGIORNAMENTO ON 14 maggio 2019 Il 14 maggio 2019, Intel ha pubblicato informazioni su una nuova sottoclasse di vulnerabilità del canale laterale di esecuzione speculativa note come Microarchitectural Data Sampling. Sono state assegnate le seguenti CME:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Microarchitectural Store Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 – "Campionamento dati porta di carico microarchitettonica (MLPDS)"
Importante Questi problemi interesseranno altri sistemi come Android, Chrome, iOS e MacOS. Consigliamo ai clienti di cercare assistenza dai rispettivi fornitori.
Abbiamo rilasciato aggiornamenti per contribuire a mitigare queste vulnerabilità. Per ottenere tutte le protezioni disponibili, sono necessari aggiornamenti del firmware (microcodice) e del software. Questo può includere microcodice dagli OEM del dispositivo. In alcuni casi, l'installazione di questi aggiornamenti avrà un impatto sulle prestazioni. Abbiamo anche agito per proteggere i nostri servizi cloud. È consigliabile distribuire questi aggiornamenti.
Per ulteriori informazioni su questo problema, vedere i seguenti avvisi sulla sicurezza e utilizzare le linee guida basate su scenari per determinare le azioni necessarie per ridurre la minaccia:
Nota: Si consiglia di installare tutti gli aggiornamenti più recenti da Windows Update prima di installare eventuali aggiornamenti di microcodice.
U PDATED ON AUGUST 6, 2019 Il 6 agosto 2019 Intel ha rilasciato dettagli su una vulnerabilità di divulgazione delle informazioni sul kernel di Windows. Questa vulnerabilità è una variante della vulnerabilità del canale lato esecuzione speculativa Spectre Variant 1 ed è stato assegnato CVE-2019-1125.
Il 9 luglio 2019 abbiamo rilasciato gli aggiornamenti della sicurezza per il sistema operativo Windows per contribuire a mitigare questo problema. Si prega di notare che abbiamo trattenuto la documentazione di questa mitigazione pubblicamente fino alla divulgazione coordinata del settore di martedì 6 agosto 2019.
I clienti che hanno attivato Windows Update e hanno applicato gli aggiornamenti della sicurezza rilasciati il 9 luglio 2019 sono protetti automaticamente. Non è necessaria alcuna ulteriore configurazione.
Nota: Questa vulnerabilità non richiede un aggiornamento microcodice dal produttore del dispositivo (OEM).
Per ulteriori informazioni su questa vulnerabilità e sugli aggiornamenti applicabili, vedere la Guida all'aggiornamento della protezione Microsoft:
CVE-2019-1125 Vulnerabilitàdi divulgazione delle informazioni sul kernel di Windows .
AGGIORNATO su N OVEMBER 12, 2019 Il 12 novembre 2019, Intel ha pubblicato un advisory tecnico su Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asincron e sit vulnerability that is assigned CVE-2019-11135. Microsoft ha rilasciato aggiornamenti per ridurre questa vulnerabilità e le protezioni del sistema operativo sono abilitate per impostazione predefinita per le edizioni del sistema operativo client Windows.
Azioni consigliate
I clienti devono intraprendere le seguenti azioni per proteggere contro le vulnerabilità:
-
Applicare tutti gli aggiornamenti del sistema operativo Windows disponibili, inclusi gli aggiornamenti mensili della sicurezza di Windows.
-
Applicare l'aggiornamento del firmware (microcodice) applicabile fornito dal produttore del dispositivo.
-
Valutare il rischio per l'ambiente in base alle informazioni fornite negli avvisi di microsoft protezione: ADV180002, ADV180012, ADV190013 e le informazioni fornite in questo articolo della Knowledge Base.
-
Intervenire in base alle esigenze utilizzando gli avvisi e le informazioni sulle chiavi del Registro di sistema forniti in questo articolo della Knowledge Base.
Nota: I clienti Surface riceveranno un aggiornamento del microcodice tramite l'aggiornamento di Windows. Per un elenco dei più recenti aggiornamenti disponibili nel firmware del dispositivo Surface (microcodice), vedere KB 4073065.
Impostazioni di attenuazione per i client WindowsMitigation settings for Windows clients
Gli avvisi di sicurezza ADV180002, ADV180012e ADV190013 forniscono informazioni sul rischio rappresentato da queste vulnerabilità e consentono di identificare lo stato predefinito delle attenuazioni per i sistemi client Windows. Nella tabella seguente sono riepilogati i requisiti del microcodice della CPU e lo stato predefinito delle attenuazioni nei client Windows.
|
Cve |
Richiede microcodice/firmware della CPU? |
Mitigazione Stato predefinito |
|---|---|---|
|
CVE-2017-5753 |
No |
Abilitato per impostazione predefinita (nessuna opzione da disabilitare) Fare riferimento a ADV180002 per ulteriori informazioni. |
|
CVE-2017-5715 |
Sì |
Abilitato per impostazione predefinita. Gli utenti di sistemi basati su processori AMD dovrebbero vedere FAQ #15 e gli utenti di processori ARM dovrebbero vedere FAQ #20 su ADV180002 per ulteriori azioni e questo articolo della Knowledge Base per le impostazioni della chiave del Registro di sistema applicabile. Nota: "Retpoline" è abilitato per impostazione predefinita per i dispositivi che eseguono Windows 10 1809 o più recente se Spectre Variant 2 (CVE-2017-5715) è abilitato. Per ulteriori informazioni, intorno a "Retpoline", seguire le indicazioni nelMitigating Spectre variant 2 con Retpoline sul post di blog di Retpoline su Windows. |
|
CVE-2017-5754 |
No |
Abilitato per impostazione predefinita Fare riferimento a ADV180002 per ulteriori informazioni. |
|
CVE-2018-3639 |
Intel: Sì AMD: No ARM: Sì |
Intel e AMD: disattivati per impostazione predefinita. Vedere ADV180012 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili. ARM: Abilitato per impostazione predefinita senza opzione da disabilitare. |
|
CVE-2018-11091 |
Intel: Sì |
Abilitato per impostazione predefinita. Vedere ADV190013 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili. |
|
CVE-2018-12126 |
Intel: Sì |
Abilitato per impostazione predefinita. Vedere ADV190013 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili. |
|
CVE-2018-12127 |
Intel: Sì |
Abilitato per impostazione predefinita. Vedere ADV190013 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili. |
|
CVE-2018-12130 |
Intel: Sì |
Abilitato per impostazione predefinita. Vedere ADV190013 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili. |
|
CVE-2019-11135 |
Intel: Sì |
Abilitato per impostazione predefinita. Vedere CVE-2019-11135 per ulteriori informazioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili. |
Nota: L'abilitazione delle attenuazioni disattivate per impostazione predefinita può influire sulle prestazioni. L'effetto effettivo delle prestazioni dipende da più fattori, ad esempio il chipset specifico nel dispositivo e i carichi di lavoro in esecuzione.
Impostazioni del Registro di sistema
Stiamo fornendo le seguenti informazioni del Registro di sistema per abilitare le attenuazioni che non sono abilitate per impostazione predefinita, come documentato in Security Advisories ADV180002 e ADV180012. Inoltre, vengono fornite le impostazioni della chiave del Registro di sistema per gli utenti che desiderano disabilitare le attenuazioni correlate a CVE-2017-5715 e CVE-2017-5754 per i client Windows.
Importante Questa sezione, metodo o attività contiene passaggi che indicano come modificare il Registro di sistema. Tuttavia, se si modifica il Registro di sistema in modo non corretto, potrebbero verificarsi problemi gravi. Pertanto, assicurarsi di seguire questi passaggi con attenzione. Per una maggiore protezione, eseguire il backup del Registro di sistema prima di modificarlo. Quindi, è possibile ripristinare il Registro di sistema se si verifica un problema. Per ulteriori informazioni su come eseguire il backup e ripristinare il Registro di sistema, vedere il seguente articolo della Microsoft Knowledge Base:
322756 come eseguire il backup e ripristinare il Registro di sistema in Windows
Gestire le attenuazioni per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)
Nota importante Retpoline è abilitato per impostazione predefinita nei dispositivi Windows 10, versione 1809 se Spectre, Variant2 (CVE-2017-5715) è abilitato. L'abilitazione di Retpoline sull'ultima versione di Windows 10 può migliorare le prestazioni sui dispositivi che eseguono Windows 10, versione 1809 per la variante 2 di Spectre, in particolare sui processori meno recenti.
|
Per abilitare le attenuazioni predefinite per CVE-2017-5715 (Variante 2) e CVE-2017-5754 (Meltdown) reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavviare il computer per rendere effettive le modifiche. Per disabilitare le attenuazioni per CVE-2017-5715 (Variante Spectre 2) e CVE-2017-5754 (Meltdown) reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavviare il computer per rendere effettive le modifiche. |
Nota: Il valore 3 è accurato per FeatureSettingsOverrideMask per entrambe le impostazioni "enable" e "disable". (Vedere la sezione "FAQ" per ulteriori dettagli sulle chiavi del Registro di sistema.)
Gestire la mitigazione per CVE-2017-5715 (Variante Spectre 2)
|
Per disattivare le attenuazioni per CVE-2017-5715 (Variante Spectre 2) : reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavviare il computer per rendere effettive le modifiche. Per abilitare le attenuazioni predefinite per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown): reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavviare il computer per rendere effettive le modifiche. |
Solo processori AMD e ARM: attiva la mitigazione completa per CVE-2017-5715 (Variante 2)
Per impostazione predefinita, la protezione da utente a kernel per CVE-2017-5715 è disabilitata per le CPU AMD e ARM. I clienti devono abilitare la mitigazione per ricevere protezioni aggiuntive per CVE-2017-5715. Per altre informazioni, vedere domande frequenti #15 in ADV180002 per processori AMD e domande frequenti #20 in ADV180002 per processori ARM.
|
Abilitare la protezione da utente a kernel sui processori AMD e ARM insieme ad altre protezioni per CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavviare il computer per rendere effettive le modifiche. |
Gestire le attenuazioni per CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)
|
Per abilitare le attenuazioni per CVE-2018-3639 (Speculative Store Bypass), mitigazioni predefinite per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavviare il computer per rendere effettive le modifiche. Nota: I processori AMD non sono vulnerabili a CVE-2017-5754 (Meltdown). Questa chiave del Registro di sistema viene utilizzata nei sistemi con processori AMD per abilitare le attenuazioni predefinite per CVE-2017-5715 sui processori AMD e la mitigazione per CVE-2018-3639. Per disabilitare le attenuazioni per CVE-2018-3639 (Speculative Store Bypass) e per le mitigazioni CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavviare il computer per rendere effettive le modifiche. |
Solo processori AMD: abilita la mitigazione completa per CVE-2017-5715 (Spectre Variant 2) e CVE 2018-3639 (Speculative Store Bypass)
Per impostazione predefinita, la protezione da utente a kernel per CVE-2017-5715 è disabilitata per i processori AMD. I clienti devono abilitare la mitigazione per ricevere protezioni aggiuntive per CVE-2017-5715. Per ulteriori informazioni, vedere Domande frequenti #15 in ADV180002.
|
Abilitare la protezione da utente a kernel sui processori AMD insieme ad altre protezioni per CVE 2017-5715 e protezioni per CVE-2018-3639 (Speculative Store Bypass): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavviare il computer per rendere effettive le modifiche. |
Gestire Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) e Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) insieme a Spectre (CVE-2017-5753 & CVE-2017-5715) e Meltdown (CVE-2017-5754), tra cui Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646)
|
Per abilitare le attenuazioni per Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability(CVE-2019-11135) e Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2 0018-12127 , CVE-2018-12130) insieme aSpectre (CVE-2017-5753 & CVE-2017-5715) e Meltdown (CVE-2017-5754) varianti, tra cui Speculative Store Bypass Disable (SSBD) ( CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646) senza disabilitare Hyper-Threading: reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM , CurrentControlSet , Control , Gestione della memoria , Gestione della memoria " /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Se è installata la funzionalità Hyper-V, aggiungere la seguente impostazione del Registro di sistema: reg aggiungere "HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion " /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware: Arrestare completamente tutte le macchine virtuali. In questo modo l'attenuazione correlata al firmware da applicare all'host prima dell'avvio delle macchine virtuali. Pertanto, le macchine virtuali vengono aggiornate anche quando vengono riavviate. Riavviare il computer per rendere effettive le modifiche. Per abilitare le attenuazioni per Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability(CVE-2019-11135) e Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2 0018-12127 , CVE-2018-12130) insieme aSpectre (CVE-2017-5753 & CVE-2017-5715) e Meltdown (CVE-2017-5754) varianti, tra cui Speculative Store Bypass Disable (SSBD) ( CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646) con Hyper-Threading disabilitato: reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Se è installata la funzionalità Hyper-V, aggiungere la seguente impostazione del Registro di sistema: reg aggiungere "HKEY_LOCAL_MACHINE SOFTWARE Microsoft Windows NT CurrentVersion " /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware: Arrestare completamente tutte le macchine virtuali. In questo modo l'attenuazione correlata al firmware da applicare all'host prima dell'avvio delle macchine virtuali. Pertanto, le macchine virtuali vengono aggiornate anche quando vengono riavviate. Riavviare il computer per rendere effettive le modifiche. Per disattivare le attenuazioni per Intel® le estensioni di sincronizzazione transazionale (Intel® TSX) di aborto asincrono(CVE-2019-11135) eil campionamento dei dati microarchitetturali (CVE-2018-11091, CVE-2018-12126, CVE-2 0018-12127, CVE-2018-12130) insieme aSpectre (CVE-2017-5753 & CVE-2017-5715) e Meltdown (CVE-2017-5754) varianti, tra cui Speculative Store Bypass Disable (SSBD) ( CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646): reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg aggiungere "HKEY_LOCAL_MACHINE SYSTEM CurrentControlSet, Controllo, Gestione della memoria, /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Riavviare il computer per rendere effettive le modifiche. |
Verifica dell'abilitazione delle protezioni
Per consentire ai clienti di verificare che le protezioni siano abilitate, è stato pubblicato uno script di PowerShell che i clienti possono eseguire nei propri sistemi. Installare ed eseguire lo script eseguendo i comandi seguenti.
|
Verifica di PowerShell tramite PowerShell Gallery (Windows Server 2016 o WMF 5.0/5.1) |
|
Installare il modulo PowerShell:Install the PowerShell Module: PS> Modulo di installazione SpeculationControl Eseguire il modulo PowerShell per verificare che le protezioni siano abilitate:Run the PowerShell module to verify that protections are enabled: PS> - Salva il criterio di esecuzione corrente in modo che possa essere reimpostato PS> $SaveExecutionPolicy - Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Modulo di importazione SpeculationControl PS> Get-SpeculationControlSettings PS> - Reimpostare il criterio di esecuzione allo stato originale PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
Verifica di PowerShell tramite un download da Technet (versioni precedenti del sistema operativo e versioni precedenti di WMF) |
|
Installare il modulo PowerShell da Technet ScriptCenter: Vai a https://aka.ms/SpeculationControlPS Scaricare SpeculationControl.zip in una cartella locale. Estrarre il contenuto in una cartella locale, ad esempio C: Eseguire il modulo PowerShell per verificare che le protezioni siano abilitate:Run the PowerShell module to verify that protections are enabled: Avviare PowerShell, quindi (utilizzando l'esempio precedente) copiare ed eseguire i comandi seguenti:Start PowerShell, then (by using the previous example) copy and run the following commands: PS> - Salva il criterio di esecuzione corrente in modo che possa essere reimpostato PS> $SaveExecutionPolicy - Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C: PS> Modulo di importazione . PS> Get-SpeculationControlSettings PS> - Reimpostare il criterio di esecuzione allo stato originale PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Per una spiegazione dettagliata dell'output dello script di PowerShell, vedere l'articolo 4074629della Knowledge Base .
Domande frequenti
Il microcodice viene fornito tramite un aggiornamento del firmware. I clienti devono verificare con la CPU (chipset) e i produttori di dispositivi la disponibilità degli aggiornamenti di sicurezza del firmware applicabili per il proprio dispositivo specifico, incluse le linee guida per la revisione del microcodiceintel.
Affrontare una vulnerabilità hardware attraverso un aggiornamento software presenta sfide significative. Inoltre, le attenuazioni per i sistemi operativi precedenti richiedono modifiche architetturali estese. Stiamo lavorando con i produttori di chip interessati per determinare il modo migliore per fornire mitigazioni, che possono essere consegnate in aggiornamenti futuri.
Gli aggiornamenti per i dispositivi Microsoft Surface verranno distribuiti ai clienti tramite Windows Update insieme agli aggiornamenti per il sistema operativo Windows. Per un elenco degli aggiornamenti disponibili del firmware del dispositivo Surface (microcodice), vedere KB 4073065.
Se il dispositivo non è di Microsoft, applicare il firmware del produttore del dispositivo. Per ulteriori informazioni, contattare il produttore del dispositivo OEM.
In febbraio e marzo 2018, Microsoft ha rilasciato una protezione aggiuntiva per alcuni sistemi basati su x86. Per ulteriori informazioni, vedere KB 4073757 e l'Advisory Microsoft sulla sicurezza ADV180002.
Gli aggiornamenti a Windows 10 per HoloLens sono disponibili per i clienti HoloLens tramite Windows Update.
Dopo aver applicato l'aggiornamento della sicurezza di Windows di febbraio 2018, i clienti HoloLens non devono intraprendere alcuna azione aggiuntiva per aggiornare il firmware del dispositivo. Queste attenuazioni verranno incluse anche in tutte le versioni future di Windows 10 per HoloLens.These mitigations will also be included in all future releases of Windows 10 for HoloLens.
No. Sicurezza Solo gli aggiornamenti non sono cumulativi. A seconda della versione del sistema operativo in esecuzione, sarà necessario installare ogni aggiornamento mensile solo di sicurezza per essere protetti da queste vulnerabilità. Ad esempio, se si esegue Windows 7 per sistemi a 32 bit su una CPU Intel interessata, è necessario installare tutti gli aggiornamenti solo di sicurezza. Si consiglia di installare questi aggiornamenti solo di sicurezza nell'ordine di rilascio.
Nota: Una versione precedente di questa FAQ erroneamente indicato che l'aggiornamento di febbraio solo la protezione incluso le correzioni di protezione rilasciate nel mese di gennaio. In realtà, non lo fa.
No. L'aggiornamento della sicurezza 4078130 era una correzione specifica per evitare comportamenti imprevedibili del sistema, problemi di prestazioni e/o riavvii imprevisti dopo l'installazione del microcodice. L'applicazione degli aggiornamenti della sicurezza di febbraio nei sistemi operativi client Windows consente tutte e tre le attenuazioni.
Intelha recentemente annunciatodi aver completato le loro convalide e ha iniziato a rilasciare microcodice per le piattaforme della CPU più recenti. Microsoft sta effettuando gli aggiornamenti di microcodice convalidati Intel intorno a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB 4093836 elenca gli articoli specifici della Knowledge Base per versione di Windows. Ogni KB specifico contiene gli aggiornamenti del microcodice Intel disponibili per CPU.
Questo problema è stato risolto in 4093118 KB.
AMD ha recentemente annunciato di aver iniziato a rilasciare microcodice per le piattaforme CPU più recenti intorno Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Per ulteriori informazioni, fare riferimento al white paper AMD Security Updates and AMD: Architecture Guidelines around Indirect Branch Control. Questi sono disponibili dal canale firmware OEM.
Stiamo effettuando aggiornamenti di microcodice convalidati Intel intorno a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Per ottenere gli ultimi aggiornamenti del microcodice Intel tramite Windows Update, i clienti devono aver installato il microcodice Intel nei dispositivi che eseguono un sistema operativo Windows 10 prima di eseguire l'aggiornamento all'aggiornamento di Windows 10 aprile 2018 (versione 1803).
L'aggiornamento del microcodice è disponibile anche direttamente dal catalogo se non è stato installato nel dispositivo prima di aggiornare il sistema operativo. Il microcodice Intel è disponibile tramite Windows Update, WSUS o il catalogo di Microsoft Update. Per ulteriori informazioni e istruzioni per il download, vedere KB 4100347.
Per altre informazioni, vedere le risorse seguenti:For more information, see the following resources:
-
Proprietà ADV180012 . Linee guida Microsoft per il bypass speculativo del negozio per CVE-2018-3639
-
Proprietà ADV180013 . Linee guida Microsoft per Rogue System Register Leggi per CVE-2018-3640 e KB 4073065 Linee guida per i clienti Surface
-
Guida per gli sviluppatori per il bypass speculativo del negozio
Per informazioni dettagliate, vedere le sezioni "Azioni consigliate" e "Domande frequenti" in ADV180012 . Linee guida Microsoft per speculativo store Bypass.
Per verificare lo stato di SSBD, lo script di PowerShell Get-SpeculationControlSettings è stato aggiornato per rilevare i processori interessati, lo stato degli aggiornamenti del sistema operativo SSBD e lo stato del microcodice del processore, se applicabile. Per ulteriori informazioni e per ottenere lo script di PowerShell, vedere KB 4074629.
Il 13 giugno 2018, è stata annunciata e assegnata un'ulteriore vulnerabilità che coinvolge l'esecuzione speculativa del canale laterale, noto come Lazy FP State Restore, e assegnato CVE-2018-3665. Nessuna impostazione di configurazione (registro) è necessaria per il ripristino lazy FP Restore.
Per ulteriori informazioni su questa vulnerabilità e per le azioni consigliate, fare riferimento all'advisory sulla sicurezza ADV180016 . Linee guida Microsoft per il ripristino dello stato di FP differito.
Nota: Nessuna impostazione di configurazione (registro) è necessaria per il ripristino lazy FP Restore.
Bounds Check Bypass Store (BCBS) è stato divulgato il 10 luglio 2018 e assegnato CVE-2018-3693. Consideriamo BCBS di appartenere alla stessa classe di vulnerabilità come Bounds Check Bypass (Variante 1). Al momento non siamo a conoscenza di alcuna istanza di BCBS nel nostro software, ma stiamo continuando a ricercare questa classe di vulnerabilità e lavoreremo con i partner del settore per rilasciare le attenuazioni necessarie. Continuiamo a incoraggiare i ricercatori a presentare eventuali risultati rilevanti al programma di bounty Speculative Execution Side Channeldi Microsoft, incluse eventuali istanze sfruttabili di BCBS. Gli sviluppatori di software devono esaminare le linee guida per gli sviluppatori aggiornate per BCBS in https://aka.ms/sescdevguide.
Il 14 agosto 2018, L1 Terminal Fault (L1TF) è stato annunciato e assegnato più CVE. Queste nuove vulnerabilità del canale laterale di esecuzione speculativa possono essere utilizzate per leggere il contenuto della memoria attraverso un limite attendibile e, se sfruttato, può portare alla divulgazione di informazioni. Un utente malintenzionato potrebbe attivare le vulnerabilità tramite più vettori, a seconda dell'ambiente configurato. L1TF influisce sui processori Intel® Core® e sui processori Intel® Xeon®.
Per ulteriori informazioni su questa vulnerabilità e una visualizzazione dettagliata degli scenari interessati, incluso l'approccio di Microsoft per mitigare L1TF, vedere le risorse seguenti:
I clienti che utilizzano processori ARM a 64 bit devono verificare con il dispositivo OEM per il supporto del firmware perché le protezioni del sistema operativo ARM64 che mitigano CVE-2017-5715 - Branch target injection (Spectre, Variant 2) richiedono l'aggiornamento del firmware più recente dagli OEM del dispositivo per avere effetto.
Per ulteriori informazioni, fare riferimento ai seguenti avvisi di sicurezza
Per ulteriori informazioni, fare riferimento ai seguenti avvisi di sicurezza
Ulteriori indicazioni sono disponibili nelle linee guida di Windows per la protezione contro le vulnerabilità del canale laterale di esecuzione speculativa
Fare riferimento alle linee guida fornite nelle linee guida di Windows per la protezione contro le vulnerabilità del canale laterale di esecuzione speculativa
Per informazioni di Azure, fare riferimento a questo articolo: Indicazioni per attenuare le vulnerabilità del canale laterale di esecuzione speculativa inAzure.For Azure guidance, please refer to this article: Guidance for mitigating speculative execution side-channel vulnerabilities in Azure.
Per ulteriori informazioni sull'abilitazione di Retpoline, fare riferimento al post di blog: Mitigating Spectre variant 2 with Retpoline on Windows.
Per informazioni dettagliate su questa vulnerabilità, vedere la Guida alla protezione Microsoft: CVE-2019-1125 . Vulnerabilitàdi divulgazione delle informazioni sul kernel di Windows .
Non siamo a conoscenza di alcuna istanza di questa vulnerabilità di divulgazione delle informazioni che interessa la nostra infrastruttura di servizi cloud.
Non appena siamo stati a conoscenza di questo problema, abbiamo lavorato rapidamente per risolverlo e rilasciare un aggiornamento. Crediamo fortemente in strette partnership con ricercatori e partner del settore per rendere i clienti più sicuri e non abbiamo pubblicato i dettagli fino a martedì 6 agosto, coerentemente con le pratiche coordinate di divulgazione delle vulnerabilità.
Ulteriori indicazioni sono disponibili nelle linee guida di Windows per la protezione contro le vulnerabilità del canale laterale di esecuzione speculativa.
Ulteriori indicazioni sono disponibili nelle linee guida di Windows per la protezione contro le vulnerabilità del canale laterale di esecuzione speculativa.
Ulteriori informazioni sono disponibili in Linee guida per la disabilitazione della funzionalità Intel® Transactional Synchronization Extensions (Intel® TSX).
