KB4073065: Wskazówki dotyczące ochrony urządzenia Surface przed lukami mikroarchitekturalnymi opartymi na krzemie i spekulacyjnymi lukami w zabezpieczeniach kanału bocznego

Wprowadzenie

Od stycznia 2018 r. zespół tabletu Surface publikuje aktualizacje oprogramowania układowego dla klasy problemów opartych na układach krzemowych, które obejmują luki w zabezpieczeniach mikroarchitectural i speculative execution side-channel. Zespół Surface nadal ściśle współpracuje z zespołem systemu Windows i partnerami branżowymi, aby chronić klientów. Aby uzyskać całą dostępną ochronę, wymagane są zarówno aktualizacje oprogramowania układowego, jak i systemu Windows.

Podsumowanie

Ogłoszono luki w zabezpieczeniach w czerwcu 2022 r.

Zespół surface zna nowe mikroarchitektury oparte na krzemie i spekulacyjne warianty ataków w kanałach bocznych, które mają również wpływ na produkty Surface. Aby uzyskać więcej informacji na temat luk w zabezpieczeniach i środków łagodzących, zobacz następujące porady dotyczące zabezpieczeń:

• Microsoft Security Advisory ADV220002

Współpracujemy z naszymi partnerami, aby dostarczać aktualizacje produktów Surface, gdy tylko będziemy mogli upewnić się, że aktualizacje spełniają nasze wymagania dotyczące jakości. 

Aby uzyskać więcej informacji o aktualizacjach dla urządzeń Surface, zobacz Historia aktualizacji tabletu Surface.

Luki w zabezpieczeniach ogłoszone w maju 2019 r.

Zespół Surface jest świadomy nowych spekulacyjnych wariantów ataków w kanałach bocznych, które mają również wpływ na produkty Surface. Ochrona tych luk wymaga aktualizacji systemu operacyjnego i aktualizacji interfejsu UEFI tabletu Surface, która zawiera nowy mikrokod. Aby uzyskać więcej informacji na temat luk w zabezpieczeniach i środków łagodzących, zobacz następujące porady dotyczące zabezpieczeń:

• Microsoft Security Advisory ADV190013

  Ta porada zawiera następujące luki w zabezpieczeniach:

  • CVE-2018-12126 | Pobieranie próbek buforu magazynu mikroarchitectural (MSBDS) 
  • CVE-2018-12130 | Pobieranie próbek buforu wypełniania mikroarchikturalnego (MFBDS)
  • CVE-2018-12127 | Pobieranie próbek danych z mikroarchitektury portów obciążenia (MLPDS)
  • CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

Oprócz instalowania aktualizacji zabezpieczeń systemu operacyjnego Windows urządzenie Surface wydało aktualizacje UEFI za pośrednictwem Windows Update i Centrum pobierania dla następujących urządzeń:

• Surface 3 — aktualizacja z 11 lipca 2019 r.
• Surface Pro 3 – 11 lipca 2019 r. aktualizacja
• Surface Pro 4 — aktualizacja z 27 czerwca 2019 r.
• Surface Book — aktualizacja z 27 czerwca 2019 r.
• Surface Studio — aktualizacja z 11 lipca 2019 r.
• Surface Pro (5^{. generacji}) — aktualizacja z 27 czerwca 2019 r.
• Surface Laptop — aktualizacja z 27 czerwca 2019 r.
• Surface Book 2 – 27 czerwca 2019 r. aktualizacja
• Surface Pro 6 czerwca — aktualizacja z 27 czerwca 2019 r.
• Surface Laptop 2 — aktualizacja z 27 czerwca 2019 r.
• Surface Studio 2– 31 lipca 2019 r. aktualizacja
• Surface GO WiFi — aktualizacja z 23 lipca 2019 r.
• Surface GO LTE — aktualizacja z 23 lipca 2019 r.

Oprócz nowego mikrokodu po zainstalowaniu aktualizacji UEFI będzie dostępne nowe ustawienie interfejsu UEFI nazywane "Jednoczesne wielowątkowe (SMT)". To ustawienie umożliwia użytkownikowi wyłączenie funkcji Hyper-Threading.

Uwagi

• Jeśli zdecydujesz się wyłączyć funkcję hyper-threading, zalecamy użycie nowego ustawienia interfejsu UEFI SMT.

• Wyłączenie usługi SMT zapewnia dodatkową ochronę przed tymi nowymi lukami i atakiem usterek terminali L1 , który został wcześniej ogłoszony. Jednak ta metoda ma również wpływ na wydajność urządzenia.

• Surface 3 i Surface Studio z procesorem Intel Core i5 nie mają SMT. W związku z tym te urządzenia nie mają tego nowego ustawienia.

• Narzędzie do konfigurowania interfejsu UEFI w wersji 2.43.139 lub nowszej microsoft Surface Enterprise Management Mode (SEMM) obsługuje nowe ustawienie SMT. Narzędzia można pobrać z tej strony internetowej. Pobierz następujące wymagane narzędzia:

  • SurfaceUEFI_Configurator_v2.43.139.0.msi
  • SurfaceUEFI_Manager_v2.43.139.0.msi

Luka w zabezpieczeniach ogłoszona w sierpniu 2018 r.

Zespół Surface jest świadomy nowego spekulacyjnego ataku na kanał boczny o nazwie L1 Terminal Fault (L1TF) i przypisanego CVE-2018-3620 (OS i SMM) i CVE-2018-3646 (VMM). Produkty Surface, których dotyczy problem, są takie same jak w sekcji "Luki w zabezpieczeniach ogłoszone w maju 2018 r." tego artykułu. Aktualizacje mikrokodu, które łagodzą ustalenia z maja 2018 r., łagodzą również L1TF (CVE-2018-3646). Aby uzyskać więcej informacji o lukach w zabezpieczeniach i ich łagodzeniu, zobacz następujące porady dotyczące zabezpieczeń:

• Microsoft Security Advisory ADV180018

  Ta porada zawiera następujące luki w zabezpieczeniach:

  • CVE-2018-3620
  • CVE-2018-3646

W poradach dotyczących zabezpieczeń zaproponowano, aby klienci korzystający z funkcji VBS (Virtualization Based Security, Virtualization Based Security), która zawiera funkcje zabezpieczeń, takie jak Credential Guard i Device Guard, rozważ wyłączenie Hyper-Threading, aby całkowicie wyeliminować ryzyko związane z funkcją L1TF.

Luki w zabezpieczeniach ogłoszone w maju 2018 r.

Zespół Surface dowiedział się o nowych wariantach ataków spekulacyjnych w kanałach bocznych, które mają również wpływ na produkty Surface. Aby można było łagodzić te luki, należy zaktualizować interfejs UEFI, które używają nowego mikrokodu. Aby uzyskać więcej informacji na temat luk w zabezpieczeniach i środków łagodzących, zobacz następujące porady dotyczące zabezpieczeń:

• Microsoft Security Advisory ADV180012

  Ta porada zawiera następującą lukę w zabezpieczeniach:

  • CVE-2018-3639

• Microsoft Security Advisory ADV180013

  Ta porada zawiera następującą lukę w zabezpieczeniach:

  • CVE-2018-3640

Oprócz instalowania aktualizacji zabezpieczeń systemu operacyjnego Windows urządzenie Surface wydało aktualizacje UEFI za pośrednictwem Windows Update i Centrum pobierania dla następujących urządzeń:

• Surface Book 2 – 1 sierpnia 2018 — aktualizacja
• Surface Book — aktualizacja z 21 sierpnia 2018 r.
• Surface Laptop — aktualizacja z 25 lipca 2018 r.
• Surface Studio — aktualizacja z 1 października 2018 r.
• Surface Pro 4 — aktualizacja z 25 lipca 2018 r.
• Surface Pro 3 — aktualizacja z 7 sierpnia 2018 r.
• Surface Pro Model 1796 i Surface Pro z zaawansowanym modelem LTE 1807 — aktualizacja z 26 lipca 2018 r.

Ogłoszono luki w zabezpieczeniach w styczniu 2018 r.

Zespół Surface jest świadomy publicznie ujawnionej klasy luk w zabezpieczeniach, które obejmują spekulacyjne wykonywanie w kanałach bocznych (znanych jako Spectre i Meltdown), które mają wpływ na wiele nowoczesnych procesorów i systemów operacyjnych, w tym Intel, AMD i ARM. Aby uzyskać więcej informacji na temat luk w zabezpieczeniach i środków łagodzących, zobacz następujące porady dotyczące zabezpieczeń:

• ADV180002 z poradami firmy Microsoft w zakresie zabezpieczeń

  Ta porada zawiera następujące luki w zabezpieczeniach:

  • CVE-2017-5753
  • CVE-2017-5715
  • CVE-2017-5754

Aby uzyskać więcej informacji na temat aktualizacji oprogramowania systemu Windows, zobacz następujące artykuły baza wiedzy:

• KB4073757 
• KB4073119 (wskazówki dla klientów)

Oprócz zainstalowania Aktualizacje zabezpieczeń systemu operacyjnego Windows z 3 stycznia tablet Surface wydał aktualizacje UEFI za pośrednictwem Windows Update i Centrum pobierania dla następujących urządzeń:

• Surface Book 2 — (historia aktualizacji)
• Surface Book — (historia aktualizacji)
• Surface Laptop — (historia aktualizacji)
• Surface Studio — (historia aktualizacji)
• Surface Pro 4 — (historia aktualizacji)
• Surface Pro 3 — (historia aktualizacji)
• Surface 3 — (historia aktualizacji)
• Surface Pro Model 1796 i Surface Pro z zaawansowanym modelem LTE 1807- (historia aktualizacji)

Te aktualizacje są dostępne dla urządzeń z systemem Aktualizacja systemu Windows 10 dla twórców (kompilacja 15063) i nowszymi wersjami.

Więcej informacji

System operacyjny Surface Hub, Windows 10 Team, wdrożył szczegółowe strategie obronne. W związku z tym uważamy, że luki w zabezpieczeniach, które wykorzystują te luki, są znacznie ograniczone na urządzeniu Surface Hub podczas korzystania Windows 10 Team systemu operacyjnego.  Aby uzyskać więcej informacji, zobacz następujący temat w witrynie internetowej Windows IT Pro Center: Różnice między urządzeniem Surface Hub a Windows 10 Enterprise.  

Zespół surface koncentruje się na zapewnieniu naszym użytkownikom bezpiecznego i niezawodnego środowiska. Będziemy nadal monitorować i aktualizować urządzenia zgodnie z wymaganiami, aby usunąć te luki w zabezpieczeniach i zapewnić niezawodność i bezpieczeństwo tych urządzeń.

Źródła informacji

Zastrzeżenie dotyczące innych firm

Udostępnimy informacje kontaktowe innych firm ułatwiające znajdowanie pomocy technicznej. Niniejsze informacje kontaktowe mogą ulec zmianie bez powiadomienia. Nie gwarantujemy, że podane informacje kontaktowe innych firm są dokładne.