"Windows" kliento patarimų IT specialistams apsisaugoti nuo spekuliacinių vykdymo pusėje kanalo pažeidžiamumas

Rekomenduojami veiksmai

Klientai turėtų imtis šių veiksmų, kad padėtų apsisaugoti nuo pažeidžiamumą:

  1. Taikykite visus galimus "Windows" operacinės sistemos naujinimus, įskaitant mėnesinius "Windows" saugos naujinimus.

  2. Taikyti taikomas programinės-aparatinės įrangos (microcode) naujinimą, kurį pateikia įrenginio gamintojas.

  3. Įvertinkite riziką jūsų aplinkai, atsižvelgdami į informaciją, pateiktą "Microsoft" saugos patarimus: ADV180002, ADV180012, ADV190013 ir informaciją, pateiktą šiame žinių bazės straipsnyje.

  4. Imtis veiksmų, kaip reikalaujama naudojant patarimus ir registro rakto informacija, pateikta šiame žinių bazės straipsnyje.

Pastaboje Surface Klientai gaus microcode atnaujinti per "Windows" naujinimą. Naujausią turimą Surface įrenginio programinės-aparatinės įrangos (microcode) naujinimų sąrašą rasite KB 4073065.

"Windows" klientų mažinimo parametrai

Saugos patarimai ADV180002, ADV180012ir ADV190013 teikia informaciją apie riziką, kuri kyla dėl šių pažeidžiamumą, ir jie padės jums nustatyti numatytąją priemonėmis sumažinti riziką Windows kliento sistemos. Toliau pateiktoje lentelėje apibendrinama procesoriaus microcode ir numatytoji būsena į priemonėmis sumažinti riziką Windows klientams.

CVE

Reikia CPU microcode/firmware?

Mažinimas numatytoji būsena

CVE-2017-5753

Ne

Įjungta pagal numatytuosius nustatymus (negalima išjungti parinkties)

Daugiau informacijos rasite ADV180002 .

CVE-2017-5715

Taip

Įjungta pagal numatytuosius nustatymus. Vartotojai sistemų, grindžiamų AMD procesoriais turėtų Rodyti DUK #15 ir vartotojai ARM procesoriai turėtų pamatyti DUK #20 dėl ADV180002 papildomų veiksmų ir šiame KB straipsnyje taikomų registro rakto parametrai.

Pastaboje "Retpoline" yra įgalintas pagal numatytuosius parametrus įrenginiams, kuriuose veikia Windows 10 1809 arba naujesnė, jei Spectre variantas 2 (CVE-2017-5715) yra įjungtas. Norėdami gauti daugiau informacijos, aplink "retpoline", vykdykite nurodymus, lengvinančių Spectre variantas 2 su retpoline Windows blog post.

CVE-2017-5754

Ne

Įgalintas pagal numatytąją reikšmę

Daugiau informacijos rasite ADV180002 .

CVE-2018-3639

"Intel": taip AMD: ne ARM: taip

"Intel" ir AMD: išjungta pagal numatytuosius nustatymus. Pamatyti ADV180012 daugiau informacijos ir šiame KB straipsnis taikomas registro rakto parametrus.

ARM: įjungta pagal nutylėjimą be parinkties išjungti.

CVE-2018-11091

"Intel": taip

Įjungta pagal numatytuosius nustatymus.

Pamatyti ADV190013 daugiau informacijos ir šiame KB straipsnis taikomas registro rakto parametrus.

CVE-2018-12126

"Intel": taip

Įjungta pagal numatytuosius nustatymus.

Pamatyti ADV190013 daugiau informacijos ir šiame KB straipsnis taikomas registro rakto parametrus.

CVE-2018-12127

"Intel": taip

Įjungta pagal numatytuosius nustatymus.

Pamatyti ADV190013 daugiau informacijos ir šiame KB straipsnis taikomas registro rakto parametrus.

CVE-2018-12130

"Intel": taip

Įjungta pagal numatytuosius nustatymus.

Pamatyti ADV190013 daugiau informacijos ir šiame KB straipsnis taikomas registro rakto parametrus.

CVE-2019-11135

"Intel": taip

Įjungta pagal numatytuosius nustatymus.

Žr. CVE-2019-11135 daugiau informacijos ir šiame KB straipsnyje taikomų registro rakto parametrus.

Pastaboje Įgalinimas priemonėmis sumažinti riziką, kad yra išjungtas pagal nutylėjimą gali turėti įtakos efektyvumas. Tikrasis našumo efektas priklauso nuo daugelio veiksnių, pvz., konkretaus Chipset įrenginyje ir veikia apkrovos.

Registro parametrai

Mes teikia šią registro informaciją, kad priemonėmis sumažinti riziką, kad nėra įgalintas pagal numatytuosius parametrus, kaip nurodyta saugos patarimus ADV180002 ir ADV180012. Be to, mes teikia registro rakto parametrus vartotojams, kurie nori išjungti priemonėmis sumažinti riziką, susijusios su CVE-2017-5715 ir CVE-2017-5754 "Windows" klientams.

Svarbioms Šiame skyriuje, metodas ar užduotyje pateikiami veiksmai, kuriais nurodoma, kaip modifikuoti registrą. Tačiau, jei pakeisite registro duomenis netinkamai, gali kilti rimtų problemų. Todėl įsitikinkite, kad atlikite šiuos veiksmus atsargiai. Norėdami gauti papildomos apsaugos, prieš keisdami registrą sukurkite atsarginę jo kopiją. Tada, jei kils problemų, galite atkurti registrą. Daugiau informacijos apie tai, kaip kurti atsargines kopijas ir atkurti registrą, rasite šioje "Microsoft" žinių bazės straipsnį:

322756 kaip sukurti atsarginę registro kopiją ir atkurti registrą sistemoje "Windows"

Valdyti priemonėmis sumažinti riziką CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 ("Meltdown")

Svarbi Pastaba Retpoline yra įjungta pagal nutylėjimą Windows 10, versija 1809 įrenginių jei Spectre, 2 variantas (CVE-2017-5715) yra įjungtas. Įjungus Retpoline naujausią versiją Windows 10 gali padidinti našumą įrenginiuose, kuriuose veikia Windows 10, versija 1809 Spectre variantas 2, ypač vyresnio amžiaus procesorių.

Norėdami įgalinti numatytąjį priemonėmis sumažinti riziką CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 ("Meltdown")

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverride/t REG_DWORD/d 0/f

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

Norėdami išjungti priemonėmis sumažinti riziką CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 ("Meltdown")

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

Pastaboje Reikšmė 3 yra tiksli Featuresettingsoverridemask "įjungti" ir "išjungti" parametrus. (Žr. skiltį "DUK" daugiau informacijos apie registro raktus.)

Valdyti mažinimas CVE-2017-5715 (Spectre variantas 2)

Norėdami išjungti priemonėmis sumažinti riziką CVE-2017-5715 (Spectre variantas 2) :

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverride/t REG_DWORD/d 1/f

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

Norėdami įjungti numatytąjį priemonėmis sumažinti riziką CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 ("Meltdown"):

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverride/t REG_DWORD/d 0/f

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

AMD ir ARM procesoriai tik: įgalinti visišką mažinimas CVE-2017-5715 (Spectre variantas 2)

Pagal numatytuosius nustatymus "user-to-branduolys" apsauga CVE-2017-5715 išjungta AMD ir ARM procesorius. Klientai turi įgalinti mažinimas gauti papildomų apsaugos CVE-2017-5715. Daugiau informacijos rasite DUK #15 ADV180002 AMD procesoriai ir DUK #20 ADV180002 ARM procesoriams.

Įgalinti vartotojo ir branduolio apsauga AMD ir ARM procesoriai kartu su kitų apsaugos CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

Valdyti priemonėmis sumažinti riziką CVE-2018-3639 (spekuliacinių parduotuvės Bypass), CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 ("Meltdown")

Norėdami įgalinti priemonėmis sumažinti riziką CVE-2018-3639 (spekuliacinių parduotuvės Bypass), numatytasis priemonėmis sumažinti riziką, CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 (krizės):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

Pastaba: AMD procesoriai nėra pažeidžiami CVE-2017-5754 (krizės). Šis registro raktas yra naudojamas sistemose su AMD procesoriais, kad numatytąjį priemonėmis sumažinti riziką CVE-2017-5715 AMD procesoriais ir dėl CVE mažinimas-2018-3639.

Norėdami išjungti priemonėmis sumažinti riziką, CVE-2018-3639 (spekuliacinių parduotuvės Bypass) * ir * priemonėmis sumažinti riziką CVE-2017-5715 (Spectre variantas 2) ir CVE-2017-5754 ("Meltdown")

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

AMD procesoriai tik: įjungti visišką mažinimas CVE-2017-5715 (Spectre variantas 2) ir CVE 2018-3639 (spekuliacinių parduotuvės Bypass)

Pagal numatytuosius nustatymus "user-to-branduolys apsauga CVE-2017-5715 yra išjungtas AMD procesoriai. Klientai turi įgalinti mažinimas gauti papildomų apsaugos CVE-2017-5715.  Daugiau informacijos rasite DUK #15 ADV180002.

Įgalinti vartotojo ir branduolio apsauga AMD procesoriai kartu su kitų apsaugos cve 2017-5715 ir apsaugos CVE-2018-3639 (spekuliacinių parduotuvės Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

Tvarkyti Intel® Transakcinis sinchronizavimo plėtiniai (Intel® TSX) operacijų asinchroninio nutraukti pažeidžiamumas (CVE-2019-11135) ir Microarchitectural duomenų atranka (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) kartu su Spectre (CVE-2017-5753 & CVE-2017-5715) ir "Meltdown" (CVE-2017-5754) variantai, įskaitant spekuliacinių parduotuvės Bypass išjungti (SSBD) (CVE-2018-3639), taip pat L1 terminalo gedimas (L1TF) (CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646)

Norėdami įgalinti priemonėmis sumažinti riziką Intel® Transakcinis sinchronizavimo plėtiniai (Intel® TSX) operacijų asinchroninio nutraukti pažeidžiamumas (CVE-2019-11135) ir microarchitectural duomenų atranka ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kartu su Spectre (CVE-2017-5753 & CVE-2017-5715) ir krizės (CVE-2017-5754) variantai, įskaitant spekuliacinių parduotuvių Bypass išjungti (ssbd) ( CVE-2018-3639), taip pat L1 terminalo gedimas (L1TF) (CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646) neišjungus Hyper-threading:

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverride/t REG_DWORD/d 72/f

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Jei Hyper-V funkcija yra įdiegta, pridėkite šį registro parametrą:

reg pridėti "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Nt\currentversion\virtualizacija"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

Jei tai yra Hyper-V priimančiosios ir buvo pritaikytos programinės-aparatinės įrangos naujinimai: Visiškai uždaryti visus virtualios mašinos. Tai leidžia programinės įrangos susijusių mažinimas turi būti taikoma pagrindinio kompiuterio prieš pradedant VM. Todėl VM yra taip pat atnaujinamas, kai jie iš naujo.

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

Norėdami įgalinti priemonėmis sumažinti riziką Intel® Transakcinis sinchronizavimo plėtiniai (Intel® TSX) operacijų asinchroninio nutraukti pažeidžiamumas (CVE-2019-11135) ir microarchitectural duomenų atranka ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kartu su Spectre (CVE-2017-5753 & CVE-2017-5715) ir krizės (CVE-2017-5754) variantai, įskaitant spekuliacinių parduotuvių Bypass išjungti (ssbd) ( CVE-2018-3639), taip pat L1 terminalo gedimas (L1TF) (CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646) su Hyper-threading išjungta:

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverride/t REG_DWORD/d 8264/f

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Jei Hyper-V funkcija yra įdiegta, pridėkite šį registro parametrą:

reg pridėti "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows Nt\currentversion\virtualizacija"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

 

Jei tai yra Hyper-V priimančiosios ir buvo pritaikytos programinės-aparatinės įrangos naujinimai: Visiškai uždaryti visus virtualios mašinos. Tai leidžia programinės įrangos susijusių mažinimas turi būti taikoma pagrindinio kompiuterio prieš pradedant VM. Todėl VM yra taip pat atnaujinamas, kai jie iš naujo.

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

Norėdami išjungti priemonėmis sumažinti riziką, Intel® transakcijų sinchronizavimo plėtiniai (Intel® TSX) operacijos asinchroninis nutraukti pažeidžiamumas (CVE-2019-11135) ir microarchitectural duomenų atranka ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kartu su Spectre (CVE-2017-5753 & CVE-2017-5715) ir krizės (CVE-2017-5754) variantai, įskaitant spekuliacinių parduotuvių Bypass išjungti (ssbd) ( CVE-2018-3639), taip pat L1 terminalo gedimas (L1TF) (CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646):

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg pridėti "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atminties valdymas"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Iš naujo paleiskite kompiuterį, kad pakeitimai įsigaliotų.

Patikrinti, ar įgalintas apsaugos

Norėdami padėti klientams patikrinti, kad apsaugos yra įjungtas, mes paskelbėme PowerShell scenarijų, Klientai gali paleisti savo sistemose. Įdiekite ir paleiskite scenarijų vykdydami toliau nurodytas komandas.

"PowerShell" tikrinimo naudojant "PowerShell" galeriją (Windows Server 2016 arba WMF 5.0/5.1)

Įdiekite "PowerShell" modulį:

PS > diegimo modulis SpeculationControl

Paleiskite "PowerShell" modulį, kad patikrintumėte, ar įgalinti apsaugos trūkumai.

PS > # Išsaugoti dabartinę vykdymo politiką, kad ji gali būti iš naujo

PS > $SaveExecutionPolicy = gauti-ExecutionPolicy

PS > Set-ExecutionPolicy RemoteSigned-taikymo sritis Currentuser

PS > importo modulis SpeculationControl

PS > get-Spekuliacijacontrolsettings

PS > # iš naujo nustatyti vykdymo politiką į pradinę būseną

PS > Set-ExecutionPolicy $SaveExecutionPolicy-taikymo Currentuser

 

"PowerShell" tikrinimas naudojant atsisiųsti iš "TechNet" (ankstesnės operacinės sistemos versijos ir ankstesnės WMF versijos)

Įdiegti PowerShell modulį iš TechNet ScriptCenter:

Eiti į https://aka.ms/SpeculationControlPS

Atsisiųskite SpeculationControl. zip į vietinį aplanką.

Išskleisti turinį į vietinį aplanką, pvz., C:\ADV180002

Paleiskite "PowerShell" modulį, kad patikrintumėte, ar įgalinti apsaugos trūkumai.

Paleiskite "PowerShell", tada (naudodami ankstesnį pavyzdį) nukopijuokite ir vykdykite šias komandas:

PS > # Išsaugoti dabartinę vykdymo politiką, kad ji gali būti iš naujo

PS > $SaveExecutionPolicy = gauti-ExecutionPolicy

PS > Set-ExecutionPolicy RemoteSigned-taikymo sritis Currentuser

PS > CD C:\ADV180002\SpeculationControl

PS > importo modulis .\SpeculationControl.psd1

PS > get-Spekuliacijacontrolsettings

PS > # iš naujo nustatyti vykdymo politiką į pradinę būseną

PS > Set-ExecutionPolicy $SaveExecutionPolicy-taikymo Currentuser

Išsamų paaiškinimą PowerShell scenarijų išvesties, rasite žinių bazės straipsnyje 4074629.

Dažnai užduodami klausimai

Mikrokodas yra pristatomas per firmware atnaujinimas. Klientai turėtų patikrinti su savo CPU (chipsetu) ir įrenginių gamintojai dėl galimybės naudotis taikomomis programinės-aparatinės įrangos saugos naujinimus, jų konkretų įrenginį, įskaitant Intel microcode peržiūra patarimų.

Aparatūros pažeidžiamumo problemos sprendimas naudojant programinės įrangos naujinimą kelia didelių iššūkių. Be to, priemonėmis sumažinti riziką vyresnio amžiaus operacinių sistemų reikia daug architektūros pokyčių. Mes dirbame su įtakos lustų gamintojai nustatyti geriausias būdas teikti priemonėmis sumažinti riziką, kuris gali būti pristatytas ateityje atnaujinimus.

Naujinimai, skirti "Microsoft" Surface įrenginiams bus pristatytas klientams per "Windows Update" kartu su "Windows" operacinės sistemos naujinimais. Galimų Surface įrenginio programinės-aparatinės įrangos (microcode) naujinimų sąrašą, peržiūrėkite KB 4073065.

Jei jūsų įrenginys yra ne iš "Microsoft", taikyti programinę-aparatinę įrangą iš įrenginio gamintojo. Norėdami gauti daugiau informacijos, kreipkitės į OĮG įrenginio gamintoją.

Vasario ir kovo 2018, "Microsoft" išleido papildomą apsaugą kai x86 pagrindo sistemoms. Daugiau informacijos ieškokite KB 4073757 ir "Microsoft" saugos patarimą ADV180002.

Atnaujinimai Windows 10 HoloLens yra prieinami HoloLens klientams per Windows Update.

Pritaikius vasario 2018 Windows saugos naujinimą, Hololens klientams nereikia imtis jokių papildomų veiksmų, atnaujinti savo prietaiso firmware. Šie priemonėmis sumažinti riziką taip pat bus įtraukti į visus būsimus leidimus Windows 10 HoloLens.

ne. Tik saugos naujinimai nėra kaupiamieji. Priklausomai nuo operacinės sistemos versiją naudojate, jums teks įdiegti kas mėnesį saugos tik naujinimai turi būti apsaugotas nuo šių pažeidžiamumą. Pvz., jei naudojate "Windows 7" 32 bitų sistemoms įtakos Intel CPU turite įdiegti visi tik saugos naujinimai. Rekomenduojame įdiegti šiuos saugos tik naujinimus išleidimo tvarka.

Pastaba ANKSTESNĖSE versijose šios DUK neteisingai nurodyta, kad vasario saugos tik atnaujinti įtraukti saugos pataisos, išleistas sausio mėn. Tiesą sakant, taip nėra.

ne. Saugos naujinimas 4078130 buvo konkrečių nustatyti išvengti nenuspėjamas sistemos veikimą, efektyvumo problemas ir/arba netikėtas reboot įdiegus microcode. Taikant vasario saugos naujinimus "Windows" kliento operacinės sistemos leidžia visus tris priemonėmis sumažinti riziką.

"Intel" neseniai paskelbė , jie baigė savo patvirtinimus ir pradėjo išleisti microcode naujesnė procesoriaus platformų. "Microsoft" yra prieinama "Intel" patvirtinti microcode naujinimus apylinkės Spectre variantas 2 (CVE-2017-5715 "filialo TARGET įdėjimas"). KB 4093836 pateikia konkrečių žinių bazės straipsnius pagal "Windows" versiją. Kiekvieno konkretaus KB yra galima Intel microcode naujinimus iš CPU.

Ši problema buvo išspręsta KB 4093118.

AMD neseniai paskelbė , jie pradėjo išleisti microcode naujesnė procesoriaus platformų aplink Spectre variantas 2 (CVE-2017-5715 "filialo TARGET įdėjimas"). Daugiau informacijos rasite AMD saugos naujinimus ir AMD whitepaper: architektūros gaires apie netiesioginio filialo valdiklį. Tai galima gauti iš OĮG programinės-aparatinės įrangos kanalo.

Mes darome prieinama Intel patikrintas microcode atnaujinimus aplink Spectre variantas 2 (CVE-2017-5715 "filialo TARGET įdėjimas "). Norėdami gauti naujausią Intel microcode per Windows Update, klientai turi būti įdiegę Intel microcode įrenginiuose, kuriuose veikia Windows 10 operacinę sistemą prieš atnaujinant į Windows 10 balandis 2018 atnaujinti (versija 1803).

Microcode naujinimą taip pat galima tiesiogiai iš katalogo, jei jis nebuvo įdiegtas įrenginyje prieš atnaujinant OS. Intel microcode yra prieinama per Windows Update, WSUS, arba "Microsoft Update" katalogo. Daugiau informacijos ir atsisiuntimo instrukcijos, ieškokite KB 4100347.

Daugiau informacijos rasite skyriuose "Rekomenduojami veiksmai" ir "DUK" ADV180012 | "Microsoft" patarimų spekuliacinių parduotuvės Bypass.

Norėdami patikrinti, ar SSBD būseną, get-Spekuliacijacontrolsettings PowerShell scenarijų buvo atnaujintas, siekiant nustatyti įtakos procesorių, SSBD operacinės sistemos naujinimus ir procesoriaus microcode jei taikoma būseną. Daugiau informacijos ir gauti PowerShell scenarijų, ieškokite KB 4074629.

Birželio 13, 2018, papildomas pažeidžiamumas, įtraukiant pusėje kanalo spekuliacinių vykdymo, žinomas kaip TINGUS FP būsenos atkūrimas, buvo paskelbta ir priskirtas CVE-2018-3665. Nėra konfigūracijos (registro) parametrai yra būtini tingus atkurti FP atkūrimas.

Jei norite gauti daugiau informacijos apie šį pažeidžiamumą ir Rekomenduojami veiksmai, skaitykite saugos patarimą ADV180016 | "Microsoft" rekomendacijos tingus FP būsenos atkūrimas.

Pastaboje Nėra konfigūracijos (registro) parametrai yra būtini tingus atkurti FP atkūrimas.

Ribų patikrinti Bypass Store (BBPK) buvo atskleista liepos 10, 2018 ir priskirtas CVE-2018-3693. Manome, kad BBPK priklauso tai pačiai pažeidžiamumai, kaip ribų tikrinimo Bypass (1 variantas). Mes šiuo metu nežino jokių BBPK atvejais mūsų programinė įranga, bet mes ir toliau tirti šį pažeidžiamumą klasės ir dirbs su pramonės partneriais, kad būtų galima sumažinti riziką mažinėjimų, kaip reikalaujama. Mes ir toliau skatinti mokslininkų pateikti bet kokius atitinkamus rezultatus Microsoft spekuliacinių vykdymo pusėje kanalas Bounty programa, įskaitant visus naudoti BBPK egzempliorius. Programinės įrangos kūrėjai turėtų peržiūrėti kūrėjo nurodymus, kurie buvo atnaujinti BBPK ne https://aka.ms/sescdevguide.

Rugpjūčio 14, 2018, L1 terminalo kaltės (L1TF) buvo paskelbta ir priskirtas kelis cves. Šių naujų spekuliacinių vykdymo pusėje kanalo pažeidžiamumas gali būti naudojamas skaityti atminties turinį per patikimą ribą ir, jei išnaudojami, gali lemti informacijos atskleidimas. Pažeidėjas gali sukelti pažeidžiamumą per kelis vektoriai, priklausomai nuo sukonfigūruotas aplinkoje. L1TF turi įtakos Intel® Core® procesorių ir Intel® Xeon® procesoriai.

Daugiau informacijos apie šį pažeidžiamumą ir išsamų rodinį, susijusio scenarijų, įskaitant "Microsoft" požiūris į sumažinti L1TF, ieškokite šių išteklių:

Klientai, naudojantys 64 bitų ARM procesorius turėtų patikrinti su įrenginio OĮG programinės-aparatinės įrangos palaikymas, nes ARM64 operacinės sistemos apsaugos, kad sumažinti CVE-2017-5715 -šaka paskirties įdėjimas (Spectre, variantas 2) reikia naujausią firmware atnaujinimas iš įrenginio OĮG įsigaliotų.

Norėdami gauti daugiau informacijos, žiūrėkite toliau nurodytus saugos patarimus

Azure patarimų, prašome kreiptis į šį straipsnį: rekomendacijos sumažinti spekuliacinių vykdymo pusėje kanalo pažeidžiamumas Azure.

Norėdami gauti daugiau informacijos apie Retpoline optimizavimą, kreiptis į mūsų tinklaraščio įrašą: lengvinant Spectre variantas 2 su Retpoline Windows.

Daugiau informacijos apie šį pažeidžiamumą, ieškokite Microsoft saugos vadovas: CVE-2019-1125 | Windows branduolio informacijos atskleidimo pažeidžiamumas.

Mes nesuprantame jokių šios informacijos atskleidimo pažeidžiamumo, kenkiančių mūsų debesies paslaugų infrastruktūrai, egzemplioriaus.

Kai tik sužinosime apie šią problemą, mes greitai dirbome, kad galėtume ją spręsti ir išleisti atnaujinimą. Mes tvirtai tikime glaudžiomis partnerystėmis su tyrėjais ir pramonės partneriais, kad klientai būtų saugesni, ir nepublikavo informacijos iki antradienio, rugpjūčio 6 d., laikydamasi koordinuoto pažeidžiamumo atskleidimo praktikos.

 

Reikia daugiau pagalbos?

Tobulinkite savo įgūdžius
Ieškoti mokymo
Pirmiausia gaukite naujų funkcijų
Prisijungti prie "Microsoft Insider"

Ar ši informacija buvo naudinga?

Dėkojame už jūsų atsiliepimus!

Dėkojame už jūsų atsiliepimą! Panašu, kad gali būti naudinga jus sujungti su vienu iš mūsų „Office“ palaikymo agentų.

×