Ieteicamās darbības

Klientiem jāveic šādas darbības, lai palīdzētu aizsargāt pret ievainojamību:

  1. Lietot visus pieejamos Windows operētājsistēmas atjauninājumus, tostarp ikmēneša Windows drošības atjauninājumus.

  2. Lietojiet attiecīgo aparātprogrammatūras (mikrokoda) atjauninājumu, ko nodrošina ierīces ražotājs.

  3. Novērtēt risku jūsu vidē, pamatojoties uz informāciju, kas sniegta Microsoft Security konsultācijas: ADV180002, ADV180012, ADV190013 un informāciju, kas sniegta šajā zināšanu bāzes rakstā.

  4. Veikt darbības, kā nepieciešams, izmantojot padomus un reģistra atslēgas informāciju, kas sniegti šajā zināšanu bāzes rakstā.

Ņemiet vērā Surface klienti saņems mikrokoda atjauninājumu, izmantojot Windows Update. Jaunāko pieejamo Surface ierīces aparātprogrammatūras (mikrokoda) atjauninājumu sarakstu skatiet KB 4073065.

Mazināšanas iestatījumus Windows klientiem

Drošības konsultācijas ADV180002, ADV180012, un ADV190013 sniedz informāciju par risku, kas rada šo ievainojamību, un tie palīdz noteikt noklusējuma stāvokli Mitigations Windows klientu sistēmām. Šajā tabulā ir apkopoti nepieciešamība CPU mikrokoda un Mitigations noklusējuma statusu Windows klientiem.

CVE

Nepieciešama CPU mikrokoda/firmware?

Samazināšanas noklusējuma statuss

CVE-2017-5753

Iespējota pēc noklusējuma (nav iespēju atslēgt)

Lai iegūtu papildu informāciju, lūdzu, skatiet ADV180002 .

CVE-2017-5715

Aktivizēti pēc noklusējuma. Sistēmas lietotājiem, pamatojoties uz AMD procesori vajadzētu redzēt FAQ #15 un ARM Procesori lietotājiem vajadzētu redzēt FAQ #20 ADV180002 papildu darbības un šo zināšanu bāzes rakstu atbilstošos reģistra atslēgas iestatījumus.

Ņemiet vērā "Retpoline" ir iespējota pēc noklusējuma ierīcēm, kurās darbojas Windows 10 1809 vai jaunāka, ja ir iespējots Spectre Variant 2 (CVE-2017-5715). Lai iegūtu vairāk informācijas, ap "retpoline", sekojiet norādījumiem, kas mazināšanas Spectre variants 2 ar retpoline uz Windows blog post.

CVE-2017-5754

Aktivizēti pēc noklusējuma

Lai iegūtu papildu informāciju, lūdzu, skatiet ADV180002 .

CVE-2018-3639

Intel: Jā AMD: nav ARM: Jā

Intel un AMD: atspējots pēc noklusējuma. Skatiet ADV180012 plašāku informāciju un šo zināšanu bāzes rakstu atbilstošos reģistra atslēgas iestatījumus.

ARM: iespējota pēc noklusējuma bez opcijas atslēgt.

CVE-2018-11091

Intel: Jā

Aktivizēti pēc noklusējuma.

Skatiet ADV190013 plašāku informāciju un šo zināšanu bāzes rakstu atbilstošos reģistra atslēgas iestatījumus.

CVE-2018-12126

Intel: Jā

Aktivizēti pēc noklusējuma.

Skatiet ADV190013 plašāku informāciju un šo zināšanu bāzes rakstu atbilstošos reģistra atslēgas iestatījumus.

CVE-2018-12127

Intel: Jā

Aktivizēti pēc noklusējuma.

Skatiet ADV190013 plašāku informāciju un šo zināšanu bāzes rakstu atbilstošos reģistra atslēgas iestatījumus.

CVE-2018-12130

Intel: Jā

Aktivizēti pēc noklusējuma.

Skatiet ADV190013 plašāku informāciju un šo zināšanu bāzes rakstu atbilstošos reģistra atslēgas iestatījumus.

CVE-2019-11135

Intel: Jā

Aktivizēti pēc noklusējuma.

Skatiet CVE 2019-11135 plašāku informāciju un šo zināšanu bāzes rakstu atbilstošos reģistra atslēgas iestatījumus.

Ņemiet vērā Mitigations, kas ir izslēgta pēc noklusējuma iespējošana var ietekmēt veiktspēju. Faktiskais veiktspējas ietekme ir atkarīga no vairākiem faktoriem, piemēram, konkrētu mikroshēmu ierīces un darba slodzes, kas darbojas.

Reģistra iestatījumus

Mēs sniedzam šādu reģistra informāciju, lai iespējotu mitigations, kas nav iespējoti pēc noklusējuma, kā dokumentēta drošības konsultācijas ADV180002 un ADV180012. Turklāt mēs sniedzam reģistra atslēgas iestatījumus lietotājiem, kuri vēlas atspējot mitigations, kas saistīti ar CVE-2017-5715 un CVE-2017-5754 Windows klientiem.

Svarīgam Šajā sadaļā, metodē vai uzdevumā ir norādītas darbības, kas norāda, kā modificēt reģistru. Tomēr, ja reģistru modificēsit nepareizi, var rasties nopietnas problēmas. Tādēļ pārliecinieties, vai veiciet šīs darbības uzmanīgi. Lai iegūtu papildu aizsardzību, dublējiet reģistru, pirms to modificējat. Pēc tam varat atjaunot reģistru, ja rodas kāda problēma. Lai iegūtu papildinformāciju par to, kā dublēt un atjaunot reģistru, skatiet Microsoft zināšanu bāzes rakstu:

322756 kā dublēt un atjaunot reģistru sistēmā Windows

Pārvaldīt Mitigations CVE-2017-5715 (Spectre Variant 2) un CVE-2017-5754 (meltdown)

Svarīga piezīme Retpoline ir iespējota pēc noklusējuma Windows 10, versija 1809 ierīcēm, ja Spectre, variants 2 (CVE-2017-5715) ir iespējots. Iespējojot Retpoline jaunāko versiju Windows 10 var uzlabot veiktspēju ierīcēs darbojas Windows 10, versija 1809 Spectre Variant 2, īpaši vecākiem procesoriem.

Lai iespējotu noklusējuma Mitigations CVE-2017-5715 (Spectre Variant 2) un CVE-2017-5754 (meltdown)

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverride/t REG_DWORD/d 0/f

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Restartējiet datoru, lai izmaiņas stātos spēkā.

Lai atspējotu CVE-2017-5715 (Spectre Variant 2) un CVE-2017-5754 (meltdown) Mitigations

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Restartējiet datoru, lai izmaiņas stātos spēkā.

Ņemiet vērā Vērtība 3 ir precīza Featuresettingsoverridemask gan "Enable" un "Disable" iestatījumus. (Skatiet sadaļu "BUJ", lai iegūtu plašāku informāciju par reģistra atslēgām.)

Pārvaldības samazināšanas CVE-2017-5715 (Spectre Variant 2)

Lai atspējotu CVE-2017-5715 (Spectre Variant 2) Mitigations :

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverride/t REG_DWORD/d 1/f

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Restartējiet datoru, lai izmaiņas stātos spēkā.

Lai iespējotu noklusējuma mitigations CVE-2017-5715 (Spectre Variant 2) un CVE-2017-5754 (meltdown):

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverride/t REG_DWORD/d 0/f

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Restartējiet datoru, lai izmaiņas stātos spēkā.

Tikai AMD un ARM procesoriem: iespējot pilnīgu mazināšanu CVE-2017-5715 (Spectre Variant 2)

Pēc noklusējuma ir atspējota CVE-2017-5715 lietotāja-kodola aizsardzība AMD un ARM CPU. Klientiem ir jāiespējo samazināšanas saņemt papildu aizsardzības CVE-2017-5715. Lai iegūtu papildinformāciju, skatiet bieži uzdotie jautājumi #15 ADV180002 AMD procesori un bieži uzdotie jautājumi #20 ADV180002 ARM procesori.

Iespējojiet lietotāju-kodola aizsardzība AMD un ARM Procesori kopā ar citu aizsardzības CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartējiet datoru, lai izmaiņas stātos spēkā.

Pārvaldīt Mitigations CVE-2018-3639 (spekulatīvu krātuves apiet), CVE-2017-5715 (Spectre Variant 2) un CVE 2017-5754 (meltdown)

Lai iespējotu Mitigations CVE-2018-3639 (spekulatīvu krātuves apiet), noklusējuma Mitigations CVE-2017-5715 (Spectre variants 2) un CVE 2017-5754 (meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartējiet datoru, lai izmaiņas stātos spēkā.

Piezīme: AMD procesori nav aizsargāti pret CVE-2017-5754 (meltdown). Šī reģistra atslēga tiek izmantota sistēmās ar AMD procesoriem, lai iespējotu noklusējuma Mitigations CVE-2017-5715 AMD procesori un novēršana CVE-2018-3639.

Lai atspējotu Mitigations CVE-2018-3639 (spekulatīvu krātuves apiet) * un * Mitigations CVE-2017-5715 (Spectre variants 2) un CVE 2017-5754 (meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartējiet datoru, lai izmaiņas stātos spēkā.

Tikai AMD procesori: iespējot pilnīgu mazināšanu CVE-2017-5715 (Spectre Variant 2) un CVE 2018-3639 (spekulatīvu krātuves apiet)

Pēc noklusējuma ir atspējota CVE-2017-5715 lietotāja-kodola aizsardzība AMD procesoriem. Klientiem ir jāiespējo samazināšanas saņemt papildu aizsardzības CVE-2017-5715.  Lai iegūtu papildinformāciju, skatiet bieži uzdotie jautājumi #15 ADV180002.

Iespējojiet lietotāju-kodola aizsardzību AMD procesori kopā ar citu aizsardzības cve 2017-5715 un aizsardzības CVE-2018-3639 (spekulatīvu krātuves apiet):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Restartējiet datoru, lai izmaiņas stātos spēkā.

Pārvaldīt Intel® transakciju sinhronizācijas paplašinājumi (Intel® TSX) transakciju asinhronā pārtraukt ievainojamību (CVE-2019-11135) un Mikroarhitektūras datu paraugu ņemšana (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) kopā ar Spectre (CVE-2017-5753 & CVE-2017-5715) un meltdown (CVE 2017-5754) varianti, tostarp spekulatīvu krātuves apiet Disable (SSBD) (CVE-2018-3639) kā arī L1 termināļa kļūme (L1TF) (CVE-2018-3615, CVE-2018-3620 un CVE-2018-3646)

Lai iespējotu Mitigations Intel® transakciju sinhronizācijas paplašinājumi (Intel® TSX) transakciju asinhronā pārtraukšanas ievainojamība (CVE-2019-11135) un mikroarhitektūras datu paraugu ņemšana ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE 2018-12130 ) kopā ar Spectre (CVE-2017-5753 & CVE-2017-5715) un meltdown (CVE-2017-5754) variantus, tostarp spekulatīvu krātuves apiet atspējot (ssbd) ( CVE-2018-3639), kā arī L1 termināļa kļūme (L1TF) (CVE-2018-3615, CVE 2018-3620 un CVE-2018-3646) bez atspējošanas Hyper-Threading:

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverride/t REG_DWORD/d 72/f

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Ja ir instalēts līdzeklis Hyper-V, pievienojiet šo reģistra iestatījumu:

reg pievienot "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

Ja tas ir Hyper-V resursdatora un programmaparatūras atjauninājumi ir lietoti: Pilnībā beidzēt visas virtuālās mašīnas. Tas iespējo programmaparatūras saistīto samazināšanas jāpiemēro resursdatora pirms VMs sākšanas. Tādēļ VMs atjaunina arī tad, kad tie tiek restartēti.

Restartējiet datoru, lai izmaiņas stātos spēkā.

Lai iespējotu Mitigations Intel® transakciju sinhronizācijas paplašinājumi (Intel® TSX) transakciju asinhronā pārtraukšanas ievainojamība (CVE-2019-11135) un mikroarhitektūras datu paraugu ņemšana ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE 2018-12130 ) kopā ar Spectre (CVE-2017-5753 & CVE-2017-5715) un meltdown (CVE-2017-5754) variantus, tostarp spekulatīvu krātuves apiet atspējot (ssbd) ( CVE-2018-3639), kā arī L1 termināļa kļūme (L1TF) (CVE-2018-3615, CVE 2018-3620 un CVE-2018-3646) ar Hyper-Threading atspējots:

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverride/t REG_DWORD/d 8264/f

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Ja ir instalēts līdzeklis Hyper-V, pievienojiet šo reģistra iestatījumu:

reg pievienot "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

 

Ja tas ir Hyper-V resursdatora un programmaparatūras atjauninājumi ir lietoti: Pilnībā beidzēt visas virtuālās mašīnas. Tas iespējo programmaparatūras saistīto samazināšanas jāpiemēro resursdatora pirms VMs sākšanas. Tādēļ VMs atjaunina arī tad, kad tie tiek restartēti.

Restartējiet datoru, lai izmaiņas stātos spēkā.

Lai atspējotu Mitigations Intel® transakciju sinhronizācijas paplašinājumi (Intel® TSX) transakciju asinhronā pārtraukšanas ievainojamība (CVE-2019-11135) un mikroarhitektūras datu paraugu ņemšana ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE 2018-12130 ) kopā ar Spectre (CVE-2017-5753 & CVE-2017-5715) un meltdown (CVE-2017-5754) variantus, tostarp spekulatīvu krātuves apiet atspējot (ssbd) ( CVE-2018-3639), kā arī L1 termināļa kļūme (L1TF) (CVE-2018-3615, CVE 2018-3620 un CVE-2018-3646):

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg pievienot "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\atmiņas pārvaldība"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Restartējiet datoru, lai izmaiņas stātos spēkā.

Tiek pārbaudīts, vai aizsardzība ir iespējota

Lai palīdzētu klientiem pārbaudīt, vai aizsardzība ir iespējota, mēs esam publicējuši PowerShell skriptu, ko klienti var palaist savās sistēmās. Instalēt un palaist skriptu, izpildot šādas komandas.

PowerShell pārbaude, izmantojot PowerShell galeriju (Windows Server 2016 vai WMF 5.0/5.1)

Instalējiet PowerShell moduli:

PS > Install-modulis SpeculationControl

Palaidiet PowerShell moduli, lai pārbaudītu, vai aizsardzība ir iespējota:

PS > # Saglabāt pašreizējo izpildes politiku, lai to varētu atiestatīt

PS > $SaveExecutionPolicy = get-ExecutionPolicy

PS > Set-ExecutionPolicy RemoteSigned-tvērums Currentuser

PS > importa moduļa SpeculationControl

PS > Get-SpeculationControlSettings

PS > # reset izpildes politiku sākotnējā stāvoklī

PS > Set-ExecutionPolicy $SaveExecutionPolicy-tvērums Currentuser

 

PowerShell pārbaude, izmantojot lejupielādi no TechNet (vecākas operētājsistēmas versijas un vecākas WMF versijas)

Instalējiet PowerShell modulis TechNet ScriptCenter:

Dodieties uz https://aka.MS/SpeculationControlPS

Lejupielādēt SpeculationControl. zip uz lokālo mapi.

Izvērst saturu uz lokālo mapi, piemēram, C:\ADV180002

Palaidiet PowerShell moduli, lai pārbaudītu, vai aizsardzība ir iespējota:

Start PowerShell, tad (izmantojot iepriekšējo piemēru) kopēt un palaist šādas komandas:

PS > # Saglabāt pašreizējo izpildes politiku, lai to varētu atiestatīt

PS > $SaveExecutionPolicy = get-ExecutionPolicy

PS > Set-ExecutionPolicy RemoteSigned-tvērums Currentuser

PS > CD C:\ADV180002\SpeculationControl

PS > importēšanas moduli .\SpeculationControl.psd1

PS > Get-SpeculationControlSettings

PS > # reset izpildes politiku sākotnējā stāvoklī

PS > Set-ExecutionPolicy $SaveExecutionPolicy-tvērums Currentuser

Detalizētu skaidrojumu par PowerShell skripta izvadi, lūdzu, skatiet zināšanu bāzes rakstā 4074629.

bieži uzdotie jautājumi

Mikrokoda tiek piegādāts, izmantojot programmaparatūras atjauninājumu. Klientiem ir jāpārbauda ar savu CPU (chipset) un ierīču ražotājiem par to konkrēto ierīci, tostarp Intel mikrokoda pārskatīšanas norādījumuspieejamību programmaparatūras drošības atjauninājumus.

Risinot aparatūras ievainojamību, izmantojot programmatūras atjauninājumu rada ievērojamas problēmas. Arī Mitigations vecākām operētājsistēmām nepieciešamas plašas arhitektūras izmaiņas. Mēs strādājam ar ietekmēto mikroshēmu ražotājiem, lai noteiktu vislabāko veidu, kā nodrošināt mitigations, kas var piegādāt turpmākos atjauninājumus.

Microsoft Surface ierīču atjauninājumi tiks piegādāti klientiem, izmantojot Windows Update kopā ar Windows operētājsistēmas atjauninājumus. Pieejamo Surface ierīces aparātprogrammatūras (mikrokoda) atjauninājumu sarakstu skatiet KB 4073065.

Ja jūsu ierīcē nav Microsoft, lietojiet aparātprogrammatūru no ierīces ražotāja. Lai iegūtu papildinformāciju, sazinieties ar OEM ierīces ražotāju.

Februārī un martā 2018, Microsoft izlaida papildu aizsardzību dažas x86 tipa sistēmām. Lai iegūtu papildinformāciju, skatiet KB 4073757 un Microsoft drošības biļetenā ADV180002.

Windows 10 HoloLens atjauninājumi ir pieejami HoloLens klientiem, izmantojot Windows atjaunināšanu.

Pēc pieteikšanās februārī 2018 Windows drošības atjauninājumu, hololens klientiem nav jāveic nekādas papildu darbības, lai atjauninātu ierīces programmaparatūru. Šīs Mitigations arī tiks iekļauti visi turpmākie laidieniem Windows 10 HoloLens.

nē. Tikai drošības atjauninājumi nav kumulatīvi. Atkarībā no operētājsistēmas versiju, kas darbojas, jums ir jāinstalē katru ikmēneša drošības tikai atjauninājumi jāaizsargā pret šo ievainojamību. Piemēram, ja datorā darbojas sistēma Windows 7 32 bitu sistēmas attiecīgajā Intel CPU jāinstalē tikai drošības atjauninājumus. Ieteicams instalēt tikai drošības atjauninājumu izlaišanas secībā.

Piezīme vecākas versijas šo FAQ nepareizi norādīts, ka februāra drošības atjauninājumā iekļauts drošības labojumi, kas izlaisti janvārī. Faktiski, tā nav.

nē. Drošības atjauninājums 4078130 bija īpašs labojums, lai novērstu neparedzamas sistēmas uzvedību, veiktspējas problēmas un/vai neparedzēti reboots pēc mikrokoda instalēšanas. Februāra drošības atjauninājumu lietošana Windows klienta operētājsistēmās iespējo visus trīs Mitigations.

Intelnesen paziņoja, viņi ir pabeiguši savu apstiprinājumu un sāka izlaist mikrokoda jaunāku CPU platformām. Microsoft dara pieejamus Intel validētos mikrokoda atjauninājumus Spectre Variant 2 (CVE-2017-5715 "zara mērķa injekcija"). KB 4093836 Windows versijā ir norādīti specifiski zināšanu bāzes raksti. Katra konkrētā KB ir pieejams Intel mikrokoda atjauninājumu CPU.

Šī problēma tika atrisināta KB 4093118.

AMD nesen paziņoja , viņi ir sākuši izlaist mikrokoda jaunāku CPU platformas ap Spectre Variant 2 (CVE-2017-5715 "zara mērķa injekcija"). Lai iegūtu papildinformāciju, skatiet AMD drošības atjauninājumi un AMD whitepaper: arhitektūras vadlīnijas saistībā ar netiešās filiāles vadīklu. Tie ir pieejami OEM programmaparatūras kanāls.

Mēs darām pieejamus Intel validētos mikrokoda jauninājumus ap Spectre Variant 2 (CVE-2017-5715 "zara mērķa injekcija "). Lai iegūtu jaunākos Intel mikrokoda atjauninājumus, izmantojot Windows Update, klientiem jābūt instalētam Intel mikrokodam ierīcēs, kurās darbojas operētājsistēma Windows 10, pirms jaunināšanas uz Windows 10 aprīļa 2018 atjauninājumu (1803 versija).

Mikrokoda atjauninājums ir pieejams tieši no kataloga, ja tas nav instalēts ierīcē pirms operētājsistēmas jaunināšanas. Intel mikrokoda ir pieejama, izmantojot Windows atjaunināšanu, WSUS vai Microsoft atjauninājumu kataloga. Papildinformāciju un lejupielādes instrukcijas skatiet KB 4100347.

Lai iegūtu sīkāku informāciju, skatiet sadaļu "Ieteicamās darbības" un "FAQ" ADV180012 | Microsoft vadlīnijas spekulatīvu krātuves apiet.

Pārbaudīt statusu SSBD, get SpeculationControlSettings PowerShell skriptu tika atjaunināts, lai noteiktu attiecīgā procesori, SSBD operētājsistēmas atjauninājumu statusu un procesora mikrokoda, ja nepieciešams stāvokli. Lai iegūtu papildinformāciju un iegūt PowerShell skriptu, skatiet KB 4074629.

2018 jūnijs 13, papildu ievainojamība, kas ietver sānu kanālu spekulatīvu izpildes, pazīstams kā SLINKS FP stāvokļa atjaunošanas tika paziņots un piešķirts CVE-2018-3665. Nav konfigurācija (reģistrs) uzstādījumi ir nepieciešami slinks atjaunot FP atjaunot.

Lai iegūtu papildinformāciju par šo ievainojamību un ieteicamajām darbībām, skatiet drošības biļetenā ADV180016 | Microsoft vadlīnijas slinks FP stāvokļa atjaunošanai.

Ņemiet vērā Nav konfigurācija (reģistrs) uzstādījumi ir nepieciešami slinks atjaunot FP atjaunot.

Robežas pārbaudīt apiet veikals (BCBS) tika atklāta 2018 jūlijā 10 un piešķirto CVE-2018-3693. Mēs uzskatām, ka BCBS pieder tās pašas klases ievainojamību, kā robežas pārbaudīt apiet (variants 1). Mēs pašlaik nav informēti par visiem gadījumiem BCBS mūsu programmatūru, bet mēs turpinām pētīt šo ievainojamību klasi un strādās ar nozares partneriem atbrīvot mitigations, kā nepieciešams. Mēs turpināsim mudināt pētniekus iesniegt visus attiecīgos konstatējumus Microsoft spekulatīvo izpildes blakus kanālu Bounty programmu, tostarp visas izmantojamas gadījumos bcbs. Programmatūras izstrādātājiem ir jāpārskata izstrādātāju vadlīnijas, kas tika atjauninātas BCBS https://aka.MS/sescdevguide.

14. augustā 2018, L1 termināļa kļūme (L1TF) tika paziņots un piešķirtas vairākas cves. Šo jauno spekulatīvu izpildes blakus kanālu ievainojamība var izmantot, lai lasītu atmiņas saturu pāri uzticamo robežu un, ja to izmanto, var izraisīt informācijas atklāšanu. Uzbrucējs var izraisīt ievainojamību, izmantojot vairākas vektori, atkarībā no konfigurēta vidē. L1TF ietekmē Intel® Core® procesoriem un Intel® Xeon® procesoriem.

Lai iegūtu papildinformāciju par šo ievainojamību un detalizētu skatu uz ietekmēto scenāriju, tostarp Microsoft pieeja mazināt L1TF, skatiet šādus resursus:

Klientiem, kas izmanto 64 bitu ARM Procesori vajadzētu pārbaudīt ierīces OEM programmaparatūras atbalstu, jo ARM64 operētājsistēmas aizsardzību, kas mazina CVE 2017-5715 -zara mērķa injekcija (Spectre, variants 2) nepieciešama jaunākā programmaparatūras atjauninājums no ierīces OEM stātos spēkā.

Lai iegūtu vairāk informācijas par Retpoline aktivizēšana, skatiet mūsu blog post: mazināt Spectre variants 2 ar retpoline uz logiem.

Plašāku informāciju par šo ievainojamību skatiet Microsoft drošības ceļvedī: CVE-2019-1125 | Windows kodola informācijas atklāšana ievainojama.

Mēs neesam informēti par visiem šīs informācijas atklāšanas ievainojamības gadījumu, kas ietekmē mūsu mākoņpakalpojumu infrastruktūru.

Tiklīdz mēs uzzinājusi par šo jautājumu, mēs strādāja ātri, lai risinātu to un atbrīvot atjauninājumu. Mēs stingri ticam ciešām partnerībām ar pētniekiem un nozares partneriem, lai padarītu klientus drošāku un nepublicētu informāciju līdz Otrdiena, augusts 6, saskaņā ar koordinētu neaizsargātības atklāšanas praksi.

 

Vai nepieciešama papildu palīdzība?

Paplašiniet savas prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Microsoft Insider

Vai šī informācija bija noderīga?

Cik lielā mērā esat apmierināts ar valodas kvalitāti?
Kas ietekmēja jūsu pieredzi?

Paldies par jūsu atsauksmēm!

×