Piezīme.: Šis raksts tiks atjaunināts, tiklīdz būs pieejama papildinformācija. Lūdzu, regulāri atgriezieties šeit, lai saņemtu atjauninājumus un jaunus bieži uzdotos bieži uzdotos jautājumi.

Ievainojamības

2019. gada 14. maijā Intel publicēja informāciju par jaunu specifikācijas izpildes puses kanāla ievainojamību, ko sauc par Microar neformuālā datu iztveršanu. Šīs ievainojamības tiek novērstas šādos CV:

Svarīgi!: Šīs problēmas ietekmēs citas operētājsistēmas, piemēram, Android, Chrome, iOS un MacOS. Mēs iesakām meklēt norādījumus no šiem attiecīgajiem piegādātājiem.

Esam izlaiduši atjauninājumus, lai palīdzētu novērst šādas ievainojamības. Lai iegūtu visas pieejamās aizsardzības, ir nepieciešami aparātprogrammatūras (mikrokoda) un programmatūras atjauninājumi. Tas var ietvert mikrokodu no ierīces OEM. Dažos gadījumos šo atjauninājumu instalēšana ietekmēs veiktspēju. Mēs esam arī rīkojušies, lai aizsargātu mūsu mākoņpakalpojumus. Iesakām izvietot šos atjauninājumus.

Papildinformāciju par šo problēmu skatiet tālāk sniegtajā drošības ieteikums un izmantojiet scenāriju balstītus norādījumus, lai noteiktu darbības, kas nepieciešamas, lai mazinātu apdraudējumu:

Piezīme.: Iesakām instalēt visus jaunākos atjauninājumus no programmas Windows Update, pirms instalējat mikrokoda atjauninājumus.

2019. gada 6. augustā Intel izlaida detalizētu informāciju par Windows kodola informācijas atklāšanas ievainojamību. Šī ievainojamība ir Variant 1 apzīmētās izpildes blakus kanāla ievainojamības variants, kam ir piešķirta CVE-2019-1125.

2019. gada 9. jūlijā izlaidām operētājsistēmas Windows drošības atjauninājumus, lai palīdzētu novērst šo problēmu. Ņemiet vērā, ka mēs publiski paturam šīs risku mazināšanas darbības, līdz 2019. gada 6. augustā tika publiski pieejama koordinēta nozares atklāšana.

Klienti, kuriem Windows Update iespējoti un kuriem ir lietoti 2019. gada 9. jūlijā izlaistie drošības atjauninājumi, tiek aizsargāti automātiski. Nav nepieciešama papildu konfigurēšana.

Piezīme.: Šai ievainojamībai nav nepieciešams mikrokoda atjauninājums no ierīces ražotāja (OEM).

Papildinformāciju par šo ievainojamību un attiecināmiem atjauninājumiem skatiet Microsoft drošības atjaunināšanas rokasgrāmatā:

2019. gada 12. novembrī Intel publicēja tehnisko konsultāciju par Intel transactional Synchronization Extensions (Intel TSX) transakciju asinhronā priekšlaikus pārtrauktas pārtraukšanas ievainojamību, kas tiek piešķirta CVE-2019-11135. Esam izlaiduši atjauninājumus, lai palīdzētu novērst šo ievainojamību. Pēc noklusējuma OS aizsardzība ir iespējota Windows Client OS izdevumos.

2022. gada 14. jūnijā publicjām ADV220002 | Microsoft norādījumi par Intel procesora MMIO novecojušu datu ievainojamību. Ievainojamības ir piešķirtas šādiem CV:

Ieteicamās darbības

Lai aizsargātu šo ievainojamību, ir jāveic šādas darbības:

  1. Lietojiet visus pieejamos operētājsistēmas Windows atjauninājumus, tostarp ikmēneša Windows drošības atjauninājumus.

  2. Lietojiet aparātprogrammatūras (mikrokoda) atjauninājumu, ko nodrošina ierīces ražotājs.

  3. Novērtējiet risku savā vidē, ņemot vērā informāciju, kas sniegta Microsoft drošības konsultantos ADV180002, ADV180012, ADV190013 un ADV220002 papildusšajā rakstā sniegt šai informācijai.

  4. Rīkojieties, kā nepieciešams, izmantojot šajā rakstā sniegtos padomus un reģistra atslēgas informāciju.

Piezīme.: Surface klienti saņems mikrokoda atjauninājumu, izmantojot Windows atjauninājumu. Jaunāko pieejamo Surface ierīces aparātprogrammatūras (mikrokoda) atjauninājumu sarakstu skatiet rakstā KB4073065.

Windows klientu risku mazināšanas iestatījumi

Drošības padomnieki ADV180002, ADV180012, ADV190013 un ADV220002 sniedz informāciju par risku, ko rada šīs ievainojamības, un kā tie palīdz noteikt noklusējuma risku mazināšanas stāvokli Windows klientu sistēmām. Šajā tabulā apkopota centrālā procesora mikrokoda prasības un risku mazināšanas pasākumu noklusējuma statuss Windows klientos.

CVE

Vai nepieciešams centrālais mikrokods/aparātprogrammatūra?

.

CVE-2017-5753

Iespējota pēc noklusējuma (nav atspējošanas opcijas)

Papildinformāciju skatiet ADV180002 .

CVE-2017-5715

Iespējota pēc noklusējuma. To sistēmu lietotājiem, kuru pamatā ir AMD procesori, ir jābūt redzamam bieži uzdoto jautājumu #15 lietotājam, un ARM procesoru lietotājiem ir jābūt redzamiem bieži uzdotiem jautājumiem #20 operētājsistēmā ADV180002 , lai uzzinātu par papildu darbībām, un šajā KB rakstā esošajiem reģistra atslēgu iestatījumiem.

Piezīme. Pēc noklusējuma Retpoline ir iespējots ierīcēm, kurās darbojas Windows 10, versija 1809 vai jaunāka, ja Lauka variants 2 (CVE-2017-5715) ir iespējota. Lai iegūtu papildinformāciju par Retpoline, izpildiet norādījumus Windows emuāra ziņā 2. varianta Mitigēšana ar Retpoline .

CVE-2017-5754

Iespējota pēc noklusējuma

Papildinformāciju skatiet ADV180002 .

CVE-2018-3639

Intel: Jā
AMD: Nē
ARM: Jā

Intel un AMD: atspējota pēc noklusējuma. Papildinformāciju skatiet ADV180012 un šajā KB rakstā par piemērojamiem reģistra atslēgu iestatījumiem.

ARM: iespējota pēc noklusējuma bez opcijas atspējot.

CVE-2019-11091

Intel: Jā

Iespējota pēc noklusējuma.

Papildinformāciju skatiet ADV190013 un šajā rakstā par piemērojamiem reģistra atslēgu iestatījumiem.

CVE-2018-12126

Intel: Jā

Iespējota pēc noklusējuma.

Papildinformāciju skatiet ADV190013 un šajā rakstā par piemērojamiem reģistra atslēgu iestatījumiem.

CVE-2018-12127

Intel: Jā

Iespējota pēc noklusējuma.

Papildinformāciju skatiet ADV190013 un šajā rakstā par piemērojamiem reģistra atslēgu iestatījumiem.

CVE-2018-12130

Intel: Jā

Iespējota pēc noklusējuma.

Papildinformāciju skatiet ADV190013 un šajā rakstā par piemērojamiem reģistra atslēgu iestatījumiem.

CVE-2019-11135

Intel: Jā

Iespējota pēc noklusējuma.

Papildinformāciju un šo rakstu par piemērojamiem reģistra atslēgas iestatījumiem skatiet CVE-2019-11135.

CVE-2022-21123 (daļa no MMIO ADV220002)

Intel: Jā

Windows Server 2019, Windows Server 2022: Iespējota pēc noklusējuma. 
Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma. 

Papildinformāciju un šo rakstu par piemērojamiem reģistra atslēgas iestatījumiem skatiet CVE-2022-21123.

CVE-2022-21125 (daļa no MMIO ADV220002)

Intel: Jā

Windows Server 2019, Windows Server 2022: Iespējota pēc noklusējuma. 
Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma. 

Papildinformāciju skatiet CVE-2022-21125.

CVE-2022-21127 (daļa no MMIO ADV220002)

Intel: Jā

Server 2019, Windows Server 2022: Iespējota pēc noklusējuma. 
Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma. 

Papildinformāciju skatiet CVE-2022-21127.

CVE-2022-21166 (daļa no MMIO ADV220002)

Intel: Jā

Windows Server 2019, Windows Server 2022: Iespējota pēc noklusējuma. 
Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma. 

Papildinformāciju skatiet CVE-2022-21166.

CVE-2022-23825 (AMD centrālā procesora zaru sajaukšanas darbības)

AMD: Nē

Papildinformāciju un šo rakstu par piemērojamiem reģistra atslēgas iestatījumiem skatiet CVE-2022-23825.

CVE-2022-23816 (AMD centrālā procesora zaru tipa pārpratums)

AMD: Nē

Papildinformāciju un šo rakstu par piemērojamiem reģistra atslēgas iestatījumiem skatiet CVE-2022-23816.

Piezīme.: Pēc noklusējuma ierīces veiktspēju var ietekmēt, iespējojot atvieglojumus, kas ir izslēgtas. Faktiskā veiktspējas ietekme ir atkarīga no vairākiem faktoriem, piemēram, konkrētās mikroshēmas kopas ierīcē un darba slodzes, kas darbojas.

Reģistra iestatījumi

Mēs sniedzam tālāk norādīto reģistra informāciju, lai iespējotu risku mazināšanas darbības, kas nav iespējotas pēc noklusējuma, kā dokumentēts drošības konsultantos ADV180002un ADV180012. Turklāt mēs nodrošinām reģistra atslēgas iestatījumus lietotājiem, kuri vēlas atspējot risku mazināšanas pasākumus, kas saistīti ar CVE-2017-5715un CVE-2017-5754 Windows klientiem.

Svarīgi!: Šajā sadaļā, metodē vai uzdevumā ir ietverti norādījumi par to, kā modificēt reģistru. Tomēr, ja reģistru modificēsit nepareizi, var rasties nopietnas problēmas. Tāpēc veiciet šīs darbības tieši tā, kā aprakstīts. Papildu drošībai pirms reģistra modificēšanas izveidojiet tā dublējumu. Tādējādi, ja radīsies kāda problēma, varēsit reģistru atjaunot. Lai iegūtu papildinformāciju par to, kā dublēt un atjaunot reģistru, skatiet šo rakstu Microsoft zināšanu bāzē:

322756 Kā dublēt un atjaunot reģistru operētājsistēmā Windows

Svarīgi!: Pēc noklusējuma Retpoline ir iespējots Windows 10, versijā 1809 ierīcēs, ja Ierīcēs Armis, Variant 2 (CVE-2017-5715) ir iespējots. Retpoline iespējošana jaunākajā Windows 10 versijā var uzlabot veiktspēju ierīcēs, kurās darbojas Windows 10, versija 1809 2. variantam, īpaši vecākajos procesoros.

Lai iespējotu noklusējuma riskus attiecībā uz CVE-2017-5715 (Nojums Variant 2) un CVE-2017-5754 (Kūdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Lai atspējotu CVE-2017-5715 (Nomus 2. variants) un CVE-2017-5754 (Kūpināšanas) risku.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Piezīme.: 3 vērtība ir precīza līdzekļaFeatureSettingsOverrideMask iestatījumiem "iespējot" un "atspējot". (Papildinformāciju par reģistra atslēgām skatiet sadaļā Bieži uzdotie jautājumi.)

Lai atspējotu CVE-2017-5715 risku mazināšanas pasākumu (Nom., Variant 2):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Lai iespējotu noklusējuma riskus attiecībā uz CVE-2017-5715 (Nomus 2. variants) un CVE-2017-5754 (Kūka):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Pēc noklusējuma AMD un ARM CPU ir atspējota CVE-2017-5715 lietotāju-to-kernel aizsardzība. Lai saņemtu papildu aizsardzību attiecībā uz CVE-2017-5715, ir jāiespējo risku mazināšana. Papildinformāciju skatiet rakstā Bieži uzdotie jautājumi #15 programmā ADV180002 AMD procesoriem un Bieži uzdotie jautājumi #20 programmā ADV180002 ARM procesoriem.

Iespējojiet LIETOTĀJA-to-kernel aizsardzību AMD un ARM procesoriem kopā ar citu aizsardzību CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Lai iespējotu CVE-2018-3639 (speculative Store Bypass) risku mazināšana, noklusējuma riskus attiecībā uz CVE-2017-5715 (Spee Variant 2) un CVE-2017-5754 (Kūka):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Piezīme. AMD procesori nav neaizsargāti pret CVE-2017-5754 (Kūcēšana). Šī reģistra atslēga tiek izmantota AMD procesoru sistēmās, lai iespējotu noklusējuma riskus CVE-2017-5715 AMD procesoros un CVE-2018-3639 risku mazināšanai.

Lai atspējotu CVE-2018-3639 (specifikācijas krātuves apiešanu) * un* risku mazināšanas CVE-2017-5715 (Aktivizējot 2. variantu) un CVE-2017-5754 (Kūšana)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Pēc noklusējuma AMD procesoriem ir atspējota lietotāja -to-kernel aizsardzība pret CVE-2017-5715 . Klientiem ir jāiespējo risku mazināšana, lai saņemtu CVE-2017-5715 papildu aizsardzību.  Papildinformāciju skatiet rakstā Bieži uzdotie jautājumi #15 programmā ADV180002.

Iespējojiet lietotāja-to-kernel aizsardzību AMD procesoriem kopā ar citu aizsardzību CVE 2017-5715 un CVE-2018-3639 aizsardzībai (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Lai iespējotu intel transakciju sinhronizācijas paplašinājumu (Intel TSX) transakcijas asinhronās pārtraukšanas ievainojamību (CVE-2019-11135) un Microarhinectural datu iztveršanu (CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kopā ar Ar CVE varianti, tostarp Specifikācijas (CVE-2017-5753 & CVE-2017-5715) un Kūdēšana (CVE-2017-5754) krātuves apiešana (SSBD) (CVE-2018-3639), kā arī L1 termināļa kļūme (L1TF) (CVE-2018-3615; CVE-2018-3620 un CVE-2018-3646), neatspējojot hiperpavedienus:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ja ir instalēts Hyper-V līdzeklis, pievienojiet šo reģistra iestatījumu:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ja šis ir Hyper-V resursdators un ir lietoti aparātprogrammatūras atjauninājumi: Pilnībā izslēdziet visas virtuālās mašīnas. Tas ļauj resursdatorā sākt ar aparātprogrammatūru saistītu risku. Tāpēc tūlīt pēc restartēšanas tiek atjaunināti arī tūlīt pēc to restartēšanas.

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Lai iespējotu intel transakciju sinhronizācijas paplašinājumu (Intel TSX) transakcijas asinhronās pārtraukšanas ievainojamību (CVE-2019-11135) un Microarhinectural datu iztveršanu (CVE-2019-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kopā ar Ar CVE (CVE-2017-5753 & CVE-2017-5715) un kūšanas (CVE-2017-5754) varianti, tostarp s spec krātuves apiešana (SSBD) (CVE-2018-3639), kā arī L1 termināļa kļūme (L1TF) (CVE-2018-3615; CVE-2018-3620 un CVE-2018-3646) ar Hyper-Threading atspējotu:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ja ir instalēts Hyper-V līdzeklis, pievienojiet šo reģistra iestatījumu:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ja šis ir Hyper-V resursdators un ir lietoti aparātprogrammatūras atjauninājumi: Pilnībā izslēdziet visas virtuālās mašīnas. Tas ļauj resursdatorā sākt ar aparātprogrammatūru saistītu risku. Tāpēc tūlīt pēc restartēšanas tiek atjaunināti arī tūlīt pēc to restartēšanas.

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Lai atspējotu intel transakciju sinhronizācijas paplašinājumu (Intel®® TSX) transakcijas asinhronās pārtraukšanas ievainojamību (CVE-2019-11135) un Microarhinectural Data Sampling(CVE-2019-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kopā ar Ar CVE (CVE-2017-5753 & CVE-2017-5715) un kūšanas (CVE-2017-5754) varianti, tostarp s spec krātuves apiešana (SSBD) (CVE-2018-3639), kā arī L1 termināļa kļūme (L1TF) (CVE-2018-3615; CVE-2018-3620 un CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Iespējojiet lietotāja aizsardzību PRET kernelu AMD procesoros:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Lai nodrošinātu pilnīgu aizsardzību, klientiem var būt nepieciešams arī Hyper-Threading (vienlaicīgu vairāku pavedienu pakalpojumus (Simultaneous Multi Threading — SMT)). Lūdzu, skatiet KB4073757norādījumus par Windows ierīču aizsardzību. 

Aizsardzības iespējošana

Lai palīdzētu pārbaudīt, vai ir iespējota aizsardzība, esam publicēuši PowerShell skriptu, ko varat palaist ierīcēs. Instalējiet un palaidiet skriptu, izmantojot kādu no tālāk aprakstītajām metodēm.

Instalējiet PowerShell moduli:

PS> Install-Module SpeculationControl

Palaidiet PowerShell moduli, lai pārbaudītu, vai ir iespējota aizsardzība:

PS> # Saglabāt pašreizējo izpildes politiku, lai to varētu atiestatīt

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Atiestatiet izpildes politiku uz sākotnējo stāvokli

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Instalējiet PowerShell moduli no Technet ScriptCenter.

Doties uz https://aka.ms/SpeculationControlPS

Lejupielādējiet SpeculationControl.zip failus lokālajā mapē.

Satura izvilkšana lokālajā mapē, piemēram, C:\ADV180002

Palaidiet PowerShell moduli, lai pārbaudītu, vai ir iespējota aizsardzība:

Startējiet PowerShell, pēc tam (izmantojot iepriekšējo piemēru) kopējiet un izpildiet šādas komandas:

PS> # Saglabāt pašreizējo izpildes politiku, lai to varētu atiestatīt

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Atiestatiet izpildes politiku uz sākotnējo stāvokli

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Detalizētu skaidrojumu par PowerShell skripta izvadi skatiet rakstā KB4074629.

bieži uzdotie jautājumi

Mikrokods tiek piegādāts, izmantojot aparātprogrammatūras atjauninājumu. Sazinieties ar savu centrālo procesoru (mikroshēmu kopu) un ierīču ražotājiem, vai konkrētajā ierīcē ir pieejami piemērojamie aparātprogrammatūras drošības atjauninājumi, tostarp Intels Microcode pārskatīšanas norādījumi.

Aparatūras ievainojamības adresēšana, izmantojot programmatūras atjauninājumu, rada būtiskas problēmas. Turklāt vecākas operētājsistēmas risku mazināšanai ir nepieciešamas plašas arhitektūras izmaiņas. Mēs strādājam ar ietekmēto mikroshēmu ražotājiem, lai noteiktu labāko veidu, kā nodrošināt riskus, kas var tikt nodrošināti turpmākajos atjauninājumos.

Atjauninājumi Microsoft Surface ierīcēm tiks piegādāti klientiem, izmantojot Windows Update kopā ar operētājsistēmas Windows atjauninājumiem. Pieejamo Surface ierīces aparātprogrammatūras (mikrokoda) atjauninājumu sarakstu skatiet KB4073065.

Ja jūsu ierīce nav no Microsoft, lietojiet ierīces ražotāja aparātprogrammatūru. Lai iegūtu papildinformāciju, sazinieties ar OEM ierīces ražotāju.

2018. gada februārī un martā Microsoft izlaida papildu aizsardzību dažām x86 sistēmām. Papildinformāciju skatiet rakstā KB4073757 un Microsoft drošības ieteikums ADV180002.

Atjauninājumi Windows 10, kas attiecas uz HoloLens, ir pieejami HoloLens klientiem, izmantojot Windows Update.

Pēc 2018. gada februāra atjauninājuma Windows drošība, HoloLens klientiem nav jāveic nekādas papildu darbības, lai atjauninātu ierīces aparātprogrammatūru. Šie atvieglojumus tiks iekļauti arī visos turpmākajos HoloLens Windows 10 laidienos.

Nē. Drošība Tikai atjauninājumi nav kumulatīvi. Atkarībā no izmantotās operētājsistēmas versijas jums būs jāinstalē visi ikmēneša tikai drošības atjauninājumi, lai aizsargātu pret šīm ievainojamībām. Piemēram, ja sistēmā Windows 7 32 bitu sistēmām izmantojat ietekmēto Intel CPU, ir jāinstalē visi tikai drošības atjauninājumi. Mēs iesakām instalēt šos tikai drošības atjauninājumus laidienu secībā.

Piezīme. Šī bieži uzdoto jautājumu iepriekšējā versija nepareizi paziņoja, ka februāra tikai drošības atjauninājumā bija iekļauti drošības labojumi, kas izlaisti janvārī. Patiesībā tā tas nav.

Nē. Drošības atjauninājumu 4078130 bija konkrēts labojums, lai novērstu neparedzētu sistēmas darbību, veiktspējas problēmas un/vai neparedzētu atsāknēšanas pēc mikrokoda instalēšanas. Februāra drošības atjauninājumu lietojot Windows klienta operētājsistēmās, var izmantot visus trīs riskus.

Intel nesen paziņoja, ka ir pabeiguši validāciju un sācis izlaist mikrokodu jaunākām centrālā procesora platformām. Korporācija Microsoft padara intel validētu mikrokoda atjauninājumus ap 2. varianta Versiju (CVE-2017-5715 "Filiāles mērķa ievadīšanas"). KB4093836 norāda konkrētus zināšanu bāzes rakstus pēc Windows versijas. Katrā konkrētajā KB ir pieejami centrālā procesora pieejamie Intel mikrokoda atjauninājumi.

Šī problēma ir novērsta KB4093118.

AED nesen paziņoja , ka ir sācis izlaist mikrokodu jaunākām centrālā procesora platformām ap Sevī Variant 2 (CVE-2017-5715 "Filiāles mērķa izlaides"). Lai iegūtu papildinformāciju, skatiet AMD drošības AtjauninājumiAMD Whitepaper: arhitektūras vadlīnijas attiecībā uz netiešās filiāles kontroli. Tie ir pieejami OEM aparātprogrammatūras kanālā.

Mēs pamudām padarīt pieejamus Intel validētus mikrokoda atjauninājumus apKodēšanas 2. variantu (CVE-2017-5715 "Filiāles mērķa ievadīšanas "). Lai iegūtu jaunākos Intel microcode atjauninājumus, izmantojot Windows Update, klientiem ir jāinstalē Intel microcode ierīcēs, kurās darbojas Windows 10 operētājsistēma, pirms jaunināšanas uz Windows 10 2018. gada aprīļa atjauninājumu (versija 1803).

Mikrokoda atjauninājums ir pieejams arī tieši no kataloga, ja tas netika instalēts ierīcē pirms operētājsistēmas jaunināšanas. Intel microcode ir pieejams, izmantojot Windows Update, WSUS vai Microsoft Update katalogu. Papildinformāciju un lejupielādes norādījumus skatiet rakstā KB4100347.

Lai pārbaudītu SSBD statusu, Get-SpeculationControlSettings PowerShell skripts tika atjaunināts, lai noteiktu ietekmētos procesorus, SSBD operētājsistēmas atjauninājumu statusu un procesora mikrokoda stāvokli, ja piemērojams. Papildinformāciju un PowerShell skripta iegūšanai skatiet kb4074629.

2018. gada 13. jūnijā tika paziņota papildu ievainojamība saistībā ar sānkanālu specifikācijas izpildi, kas tiek dēvēta par Lazy FP state Restore, un tika piešķirta CVE-2018-3665. Lazy Restore FP Restore (Atjaunot FP atjaunošanu) nav nepieciešami konfigurācijas (reģistra) iestatījumi.

Lai iegūtu papildinformāciju par šo ievainojamību un ieteicamajām darbībām, skatiet drošības konsultāciju ADV180016 | Microsoft norādījumi par lazāmu FP stāvokļa atjaunošanu.

Piezīme.: Lazy Restore FP Restore (Atjaunot FP atjaunošanu) nav nepieciešami konfigurācijas (reģistra) iestatījumi.

Bounds Check Bypass Store (BCBS) ir izpausta 2018. gada 10. jūlijā un ir piešķirta CVE-2018-3693. Mēs uzskatām, ka BCBS ietilpst vienā un tajā pašā ievainojamību klasē kā Bounds Check Bypass (1. variants). Pašlaik mēs zinām par BCBS instancēm mūsu programmatūrā, taču turpinām izpētīt šo ievainojamības nodarbības daļu un darbotos ar nozares partneriem, lai pēc vajadzības samazinātu risku mazināšanas iespējas. Mēs turpinām rosināt zinātniekus iesniegt jebkādus atbilstošus rezultātus Microsoft speculative Execution Side Channel bounty programmā, tostarp visas izmantojamās BCBS instances. Programmatūras izstrādātājiem ir jāpārskata izstrādātāja norādījumi, kas tika atjaunināti BCBS vietnē https://aka.ms/sescdevguide.

2018. gada 14. augustā L1 termināļa kļūme (L1TF) tika paziņota un piešķirta vairākiem CV. Šīs jaunās potenciālās izpildes blakus kanāla ievainojamības var izmantot, lai lasītu atmiņas saturu uzticamā robežas gadījumā, un, ja tā tiek izmantota, var radīt informācijas izpaušanu. Uzbrucējs var aktivizēt ievainojamību, izmantojot vairākus vektorus atkarībā no konfigurētās vides. L1TF ietekmē Intel® Core® procesorus un Intel® Xeon procesorus®.

Lai iegūtu papildinformāciju par šo ievainojamību un detalizētu skatu par ietekmētajiem scenārijiem, tostarp Microsoft pieeju L1TF migrēšanas migrācijai, skatiet šos resursus:

Klientiem, kuri izmanto 64 bitu ARM procesorus, ir jāpārbauda ierīces OEM aparātprogrammatūras atbalsts, jo ARM64 operētājsistēmas aizsardzība, kas mazināt CVE-2017-5715 | Zaru mērķa ievadīšanas laikā (Ar roku, Variant 2) ir nepieciešams jaunākais aparātprogrammatūras atjauninājums no ierīces OEMs, lai tā stāsies spēkā.

Lai iegūtu papildinformāciju, skatiet tālāk norādītos drošības konsultantus. 

Lai iegūtu papildinformāciju, skatiet tālāk norādītos drošības konsultantus.

Lai saņemtu Azure norādījumus, skatiet šo rakstu: Norādījumi par apzīmētās izpildes sānu kanāla ievainojamību imitēšanu lietojumprogrammā Azure.  

Papildinformāciju par Retpoline iespējošanu skatiet mūsu emuāra ziņā: 2. varianta mitigēšana ar Retpoline operētājsistēmā Windows

Detalizētu informāciju par šo ievainojamību skatiet Microsoft drošības rokasgrāmatā: CVE-2019-1125 | Windows kernel information disclosure vulnerability.

Mēs neapzināmies nevienu šādas informācijas atklāšanas ievainojamību, kas ietekmē mūsu mākoņpakalpojumu infrastruktūru.

Tiklīdz kļuva zināms par šo problēmu, mēs ātri strādājām, lai novērstu šo problēmu un izlaistu atjauninājumu. Mēs cieši ticam sadarbību gan ar zinātnieku, gan nozares partneriem, lai padarītu klientus drošākus, un nepublicējām informāciju līdz otrdienai un 6. augustam saskaņā ar koordinētu ievainojamības atklāšanas praksi.

Papildu norādījumi ir atrodami Windows norādījumos, lai aizsargātu pret speculative execution side-channel vulnerabilities.

Papildu norādījumi ir atrodami Windows norādījumos, lai aizsargātu pret speculative execution side-channel vulnerabilities.

Atsauces

Mēs nodrošinām trešās puses kontaktinformāciju, kas palīdzēs jums atrast tehnisko atbalstu. Šī kontaktinformācija var tikt mainīta bez iepriekšēja brīdinājuma. Mēs negarantējam šīs trešās puses kontaktinformācijas precizitāti.

Vai nepieciešama papildu palīdzība?

Paplašiniet savas prasmes

Iepazīties ar apmācību >

Esiet pirmais, kas saņem jaunās iespējas

Pievienoties Microsoft Insider >

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar valodas kvalitāti?
Kas ietekmēja jūsu pieredzi?

Paldies par jūsu atsauksmēm!

×