Ações recomendadas

Os clientes devem tomar as seguintes medidas para se protegerem contra as vulnerabilidades:

  1. Aplica as atualizações disponíveis do sistema operacional Windows, incluindo as atualizações de segurança do Windows mensais.

  2. Aplica a atualização de firmware (microcódigo) aplicável fornecida pelo fabricante do dispositivo.

  3. Avalie o risco para o seu ambiente com base nas informações fornecidas nos Comunicados de Segurança da Microsoft: ADV180002, ADV180012, ADV190013 e informações fornecidas neste artigo da Base de Dados de Conhecimento.

  4. Tome as medidas necessárias usando os avisos e as informações da chave do Registro fornecidas neste artigo da base de conhecimento.

Observação Os clientes do Surface receberão uma atualização do microcódigo por meio do Windows Update. Para obter uma lista das atualizações disponíveis mais recentes do firmware do dispositivo Surface (microcódigo), consulte KB 4073065.

Configurações de mitigação para clientes Windows

Os comunicados de segurança ADV180002ADV180012 e ADV190013 fornecem informações sobre o risco dessas vulnerabilidades e ajudam a identificar o estado padrão de mitigações para sistemas cliente do Windows. A tabela a seguir resume o requisito do microcódigo da CPU e o status padrão das atenuações em clientes Windows.

CVE

Requer microcódigo/firmware da CPU?

Status padrão da mitigação

CVE-2017-5753

Não

Habilitado por padrão (nenhuma opção para desabilitar)

Consulte o ADV180002 para obter informações adicionais.

CVE-2017-5715

Sim

Habilitado por padrão. Usuários de sistemas baseados em processadores AMD devem consultar o número 15 das Perguntas Frequentes e usuários de processadores ARM devem consultar o número 20 das Perguntas Frequentes no ADV180002 para conhecer ações adicionais e este artigo da base de dados de conhecimento para conhecer as configurações de chaves do Registro aplicáveis.

Observação O “Retpoline” é habilitado por padrão em dispositivos Windows 10 versão 1809 ou mais recente quando o Spectre Variante 2 (CVE-2017-5715) está habilitado. Para obter mais informações sobre “Retpoline”, consulte orientação na postagem de blog sobre como Mitigar a Spectre Variant 2 com o Retpoline no Windows.

CVE-2017-5754

Não

Habilitado por padrão

Consulte o ADV180002 para obter informações adicionais.

CVE-2018-3639

Intel: Sim
AMD: Não
ARM: Sim

Intel e AMD: Desabilitado por padrão. Consulte o ADV180012 para obter mais informações e este artigo da base de dados de conhecimento para as configurações de chave do Registro aplicáveis.

ARM: Habilitado por padrão sem opção para desabilitar.

CVE-2018-11091

Intel: Sim

Habilitado por padrão.

Consulte o ADV190013 para obter mais informações e este artigo da base de dados de conhecimento para as configurações de chave do Registro aplicáveis.

CVE-2018-12126

Intel: Sim

Habilitado por padrão.

Consulte o ADV190013 para obter mais informações e este artigo da base de dados de conhecimento para as configurações de chave do Registro aplicáveis.

CVE-2018-12127

Intel: Sim

Habilitado por padrão.

Consulte o ADV190013 para obter mais informações e este artigo da base de dados de conhecimento para as configurações de chave do Registro aplicáveis.

CVE-2018-12130

Intel: Sim

Habilitado por padrão.

Consulte o ADV190013 para obter mais informações e este artigo da base de dados de conhecimento para as configurações de chave do Registro aplicáveis.

CVE-2019-11135

Intel: Sim

Habilitado por padrão.

Consulte a CVE-2019-11135 para obter mais informações e este artigo da base de dados de conhecimento para as configurações de chave do Registro aplicáveis.


Observação Habilitar mitigações que estão desativadas por padrão pode afetar o desempenho. O efeito real sobre o desempenho depende de vários fatores, como o chipset específico no dispositivo e as cargas de trabalho que estão sendo executadas.

Configurações do Registro

Estamos fornecendo as seguintes informações do Registro para habilitar as atenuações que não estão habilitadas por padrão, conforme documentado nos Comunicados de segurança ADV180002 e ADV180012. Além disso, estamos fornecendo configurações de chave do Registro para usuários que desejam desabilitar as atenuações relacionadas a CVE-2017-5715 e CVE-2017-5754 para clientes Windows.

Importante Esse método, seção ou tarefa contém etapas que explicam como modificar o Registro. Entretanto, sérios problemas poderão ocorrer caso você modifique o Registro incorretamente. Portanto, siga essas etapas cuidadosamente. Para obter mais proteção, faça backup do Registro antes de modificá-lo. Dessa forma, você poderá restaurar o Registro se ocorrer um problema. Para obter informações adicionais sobre como fazer backup e restaurar o Registro, consulte o seguinte artigo na Base de Dados de Conhecimento Microsoft:

322756 Como fazer o backup e a restauração do Registro no Windows

Gerenciar mitigações para a CVE-2017-5715 (Spectre Variant 2) e a CVE-2017-5754 (Meltdown)

Observação importante O Retpoline é habilitado por padrão em dispositivos Windows 10, versão 1809, quando o Spectre Variante 2 (CVE-2017-5715) está habilitado. A ação de habilitar o Retpoline na última versão do Windows 10 pode melhorar o desempenho em dispositivos que executam o Windows 10, versão 1809, para a Spectre variante 2, especialmente em processadores mais antigos.

Para habilitar mitigações padrão para a CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Para desabilitar mitigações para a CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Observação Um valor de3 é acurado para FeatureSettingsOverrideMask para as configurações "habilitar" e "desabilitar". (Consulte a seção "Perguntas frequentes" para obter mais detalhes sobre chaves do Registro.)

Gerenciar a mitigação para a CVE-2017-5715 (Spectre Variant 2)

Para desabilitar mitigações para  CVE-2017-5715 (Spectre  Variant 2) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Para habilitar mitigações padrão para  CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Apenas processadores AMD e ARM: Habilitar a mitigação completa para CVE-2017-5715 (Spectre Variant 2)

Por padrão, a proteção do usuário ao kernel para o CVE-2017-5715 está desabilitada para CPUs AMD e ARM. Os clientes devem habilitar a mitigação para receber proteções adicionais para CVE-2017-5715. Para obter mais informações, consulte o número 15 das Perguntas Frequentes em ADV180002 para processadores AMD e o número 20 das Perguntas Frequentes em ADV180002 para processadores ARM.

Habilite a proteção do usuário ao kernel em processadores AMD e ARM juntamente com outras proteções para CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Gerenciar mitigações para a CVE-2018-3639 (Speculative Store Bypass), a CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

Para habilitar mitigações para a CVE-2018-3639 (Speculative Store Bypass) e mitigações padrão para a CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Observação: Os processadores AMD não são vulneráveis a CVE-2017-5754 (Meltdown). Essa chave do Registro é usada em sistemas com processadores AMD para habilitar mitigações padrão para CVE-2017-5715 em processadores AMD e a mitigação para CVE-2018-3639.

Para desabilitar mitigações para CVE-2018-3639 (Speculative Store Bypass) *e* mitigações para CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Apenas processadores AMD: Habilite a mitigação completa para CVE-2017-5715 (Spectre Variant 2) e CVE 2018-3639 (Speculative Store Bypass)

Por padrão, a proteção do usuário ao kernel para o CVE-2017-5715 está desabilitada para processadores AMD. Os clientes devem habilitar a mitigação para receber proteções adicionais para CVE-2017-5715.  Para obter mais informações, consulte o número 15 das Perguntas Frequentes em ADV180002.

Habilite a proteção do usuário ao kernel nos processadores AMD juntamente com outras proteções para CVE 2017-5715 e proteções para CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Gerenciar as vulnerabilidades Transaction Asynchronous Abort (CVE-2019-11135) e Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) do Intel® Transactional Synchronization Extensions (Intel® TSX), junto sem desativar as variantes Spectre (CVE-2017-5753 e CVE-2017-5715) e Meltdown (CVE-2017-5754), incluindo a Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) bem como a L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646)

Para habilitar mitigações para as vulnerabilidades Transaction Asynchronous Abort (CVE-2019-11135) e Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) do Intel® Transactional Synchronization Extensions (Intel® TSX), junto sem desativar as variantes Spectre (CVE-2017-5753 e CVE-2017-5715) e Meltdown [ CVE-2017-5754), incluindo a Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) bem como a L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646) sem desabilitar Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se o recurso Hyper-V estiver instalado, adicione a seguinte configuração de registro:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se este for um host Hyper-V e as atualizações de firmware tiverem sido aplicadas: Desligue completamente todas as máquinas virtuais. Isso permite que a mitigação relacionada ao firmware seja aplicada no host antes que as VMs sejam iniciadas. Portanto, as VMs também são atualizadas ao serem reiniciadas.

Reinicie o computador para que as alterações tenham efeito.

Para habilitar mitigações para as vulnerabilidades Transaction Asynchronous Abort (CVE-2019-11135) e Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) do Intel® Transactional Synchronization Extensions (Intel® TSX), junto com as variantes Spectre (CVE-2017-5753 e CVE-2017-5715) e Meltdown (CVE-2017-5754), incluindo a Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) bem como a L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646) com Hyper-Threading desabilitado:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se o recurso Hyper-V estiver instalado, adicione a seguinte configuração de registro:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

 

Se este for um host Hyper-V e as atualizações de firmware tiverem sido aplicadas: Desligue completamente todas as máquinas virtuais. Isso permite que a mitigação relacionada ao firmware seja aplicada no host antes que as VMs sejam iniciadas. Portanto, as VMs também são atualizadas ao serem reiniciadas.

Reinicie o computador para que as alterações tenham efeito.

Para desabilitar mitigações para as vulnerabilidades Transaction Asynchronous Abort (CVE-2019-11135) e Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) do Intel® Transactional Synchronization Extensions (Intel® TSX), junto sem desativar as variantes Spectre (CVE-2017-5753 e CVE-2017-5715) e Meltdown (CVE-2017-5754), incluindo a Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) bem como a L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações tenham efeito.

Verificando se as proteções estão habilitadas

Para ajudar os clientes a confirmar se as proteções foram habilitadas, publicamos um script PowerShell que os clientes podem executar em seus sistemas. Instale e execute o script executando os seguintes comandos.

Verificação do PowerShell usando a Galeria do PowerShell (Windows Server 2016 ou WMF 5.0/5.1)

Instale o módulo PowerShell:

PS> Install-Module SpeculationControl

Execute o módulo PowerShell para verificar se as proteções estão habilitadas:

PS> # Salvar a política de execução atual para que ela possa ser redefinida

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Redefinir a política de execução para o estado original

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

 

Verificação do PowerShell usando um download do Technet (versões anteriores do sistema operacional e versões anteriores do WMF)

Instale o módulo PowerShell do Technet ScriptCenter:

Acesse https://aka.ms/SpeculationControlPS

Baixe SpeculationControl.zip em uma pasta local.

Extraia o conteúdo em uma pasta local, por exemplo C:\ADV180002

Execute o módulo PowerShell para verificar se as proteções estão habilitadas:

Inicie o PowerShell e (usando o exemplo anterior) copie e execute os seguintes comandos:

PS> # Salvar a política de execução atual para que ela possa ser redefinida

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Redefinir a política de execução para o estado original

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Para uma explicação detalhada sobre a saída do script do PowerShell, consulte o artigo da Base de Dados de Conhecimento 4074629.

Perguntas frequentes

O microcódigo é fornecido através de uma atualização de firmware. Os clientes devem verificar com seus fabricantes de dispositivos e CPU (chipset) sobre a disponibilidade de atualizações de segurança de firmware aplicáveis ao dispositivo específico, incluindo a Orientação de revisão de microcódigo da Intel.

A resolução de uma vulnerabilidade de hardware por meio de uma atualização de software apresenta desafios significativos. Além disso, as mitigações para sistemas operacionais mais antigos exigem alterações arquitetônicas extensas. Estamos trabalhando com fabricantes de chips afetados para determinar a melhor maneira de proporcionar mitigações, que podem ser disponibilizadas em atualizações futuras.

As atualizações para dispositivos Microsoft Surface serão entregues aos clientes por meio do Windows Update, juntamente com as atualizações para o sistema operacional Windows. Para obter uma lista das atualizações disponíveis do firmware (microcódigo) do dispositivo Surface, consulte  KB 4073065.

Se seu dispositivo não for da Microsoft, aplique o firmware do fabricante do dispositivo. Para obter mais informações, contacte o fabricante do dispositivo OEM.

Em fevereiro e março de 2018, a Microsoft lançou uma proteção reforçada para alguns sistemas com base em x86. Para obter mais informações, consulte KB 4073757 e o Comunicado de Segurança da Microsoft ADV180002.

Atualizações no Windows 10 para o HoloLens estão disponíveis para os clientes do HoloLens por meio do Windows Update.

Depois de aplicar a Atualização de Segurança do Windows de fevereiro de 2018, os clientes do HoloLens não deverão tomar nenhuma ação adicional para atualizar o firmware do dispositivo. Essas atenuações também serão incluídas em todos os lançamentos futuros do Windows 10 para HoloLens.

Não. As atualizações Apenas segurança não são cumulativas. Dependendo da versão do sistema operacional que você está executando, você deverá instalar cada atualização Apenas segurança mensal para ficar protegido contra essas vulnerabilidades. Por exemplo, se você estiver executando o Windows 7 para sistemas de 32 bits em uma CPU Intel afetada, deverá instalar todas as atualizações Apenas segurança. Recomendamos a instalação dessas atualizações Apenas segurança na ordem de lançamento.

Observação uma versão anterior desta pergunta frequente afirmou incorretamente que a atualização Apenas segurança de fevereiro incluía apenas as correções de segurança lançadas em janeiro. Na verdade, isso não ocorre.

Não. A atualização de segurança 4078130 foi uma correção específica para evitar comportamentos imprevisíveis do sistema, problemas de desempenho e/ou reinicializações inesperadas após a instalação do microcódigo. A aplicação das atualizações de segurança de fevereiro nos sistemas operacionais Windows Client habilita todas as três mitigações.

A Intel recentemente anunciou que concluiu as validações e começou a lançar o microcódigo para plataformas de CPU mais recentes. A Microsoft está disponibilizando atualizações de microcódigo validadas pela Intel para a Spectre Variante 2 (CVE-2017-5715 "Branch Target Injection"). A KB 4093836 lista artigos específicos da Base de Dados de Conhecimento por versão do Windows. Cada KB específico contém as atualizações de microcódigo da Intel disponíveis por CPU.

Esse problema foi resolvido no KB 4093118.

A AMD recentemente anunciou que começou a lançar o microcódigo para plataformas de CPU mais recentes para a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Para obter mais informações, consulte as Atualizações de segurança da AMD e o Whitepaper da AMD: Diretrizes de arquitetura da AMD para Indirect Branch Control. Elas estão disponíveis no canal de firmware do OEM.

Estamos disponibilizando atualizações de microcódigo validadas pela Intel para a Spectre Variante 2 (CVE-2017-5715 “Branch Target Injection ). Para obterem as últimas atualizações de microcódigo da Intel por meio do Windows Update, os clientes devem ter instalado o microcódigo da Intel em dispositivos com um sistema operacional Windows 10 anterior à Atualização do Windows 10 de abril de 2018 (versão 1803).

A atualização do microcódigo também está disponível diretamente no Catálogo, caso não tenha sido instalada no dispositivo antes da atualização do sistema operacional. O microcódigo da Intel está disponível no Windows Update, no WSUS ou no Catálogo do Microsoft Update. Para obter mais informações e instruções de download, consulte KB 4100347.

Para mais detalhes, consulte as seções “Ações recomendadas” e “Perguntas frequentes” em ADV180012 | Orientação da Microsoft para a Speculative Store Bypass.

Para verificar o status do SSBD, o script PowerShell Get-SpeculationControlSettings foi atualizado para detectar processadores afetados, status das atualizações do sistema operacional SSBD e estado do microcódigo do processador, se aplicável. Para obter mais informações e para obter o script do PowerShell, consulte KB 4074629.

Em 13 de junho de 2018, uma vulnerabilidade adicional envolvendo execução especulativa de canal lateral, conhecida como Lazy FP State Restore, foi anunciada e designada como CVE-2018-3665. Nenhuma configuração (registro) é necessária  para o Lazy Restore FP Restore.

Para obter mais informações sobre essa vulnerabilidade e as ações recomendadas, consulte o comunicado de segurança ADV180016 | Diretrizes da Microsoft para Lazy FP State Restore.

Observação: Não são necessárias definições de configuração (Registro) para Lazy Restore FP Restore.

A "Bounds Check Bypass Store" (BCBS) foi divulgada em 10 de julho de 2018 e designada como CVE-2018-3693. Consideramos que a BCBS pertence à mesma classe de vulnerabilidades que a "Bounds Check Bypass" (Variante 1). No momento, não estamos cientes de nenhuma instância da BCBS em nosso software, mas continuamos a pesquisar essa classe de vulnerabilidade e trabalharemos com parceiros do setor para liberar as mitigações conforme necessário. Continuamos incentivando os pesquisadores a enviarem quaisquer conclusões relevantes ao Speculative Execution Side Channel bounty program da Microsoft, incluindo quaisquer instâncias exploráveis da BCBS. Os desenvolvedores de software devem rever a orientação para desenvolvedores que foi atualizada para a BCBS em https://aka.ms/sescdevguide.

Em 14 de agosto de 2018, a L1 Terminal Fault (L1TF) foi anunciada e atribuída a várias CVEs. Essas novas vulnerabilidades de canal paralelo de execução especulativa podem ser usadas para ler o conteúdo da memória em um limite confiável e, se exploradas, poderão resultar na divulgação não autorizada de informações. Um invasor pode disparar as vulnerabilidades por meio de vários vetores, dependendo do ambiente configurado. A L1TF afeta processadores Intel® Core® e Intel® Xeon®.

Para obter mais informações sobre essa vulnerabilidade e uma visão detalhada dos cenários afetados, incluindo a abordagem da Microsoft para atenuar a L1TF,  consulte os seguintes recursos:

Os clientes que usam processadores ARM de 64 bits devem consultar o OEM do dispositivo para obter suporte de firmware, pois as proteções de sistema operacional do ARM64 que mitigam a CVE-2017-5715 - Branch target injection (Spectre, Variante 2) exigem a atualização mais recente do firmware dos OEMs dos dispositivos para terem efeito.

Para obter orientações do Azure, consulte este artigo: Guia para mitigar vulnerabilidades do canal lateral de execução especulativa no Azure.  

Para obter mais informações sobre a ativação do Retpoline, consulte nossa postagem de blog: Mitigar a Spectre Variante 2 com o  Retpoline  no Windows

Para obter detalhes sobre essa vulnerabilidade, consulte o Guia de Segurança da Microsoft: CVE-2019-1125 | Vulnerabilidade de divulgação de informações do kernel do Windows

Não estamos cientes de nenhuma instância dessa vulnerabilidade de divulgação de informações que afete nossa infraestrutura de serviços em nuvem.

Assim que tomamos conhecimento desse problema, trabalhamos rapidamente para solucioná-lo e lançar uma atualização. Acreditamos firmemente em parcerias estreitas com pesquisadores e parceiros do setor para tornar os clientes mais seguros, e não publicamos detalhes até terça-feira, 6 de agosto, de forma consistente com práticas coordenadas de divulgação de vulnerabilidades.

 

Precisa de mais ajuda?

Expanda suas habilidades
Explore o treinamento
Obtenha novos recursos primeiro
Ingressar no Microsoft Insider

Estas informações foram úteis?

Qual é o seu grau de satisfação com a qualidade da tradução?

O que afetou sua experiência?

Algum comentário adicional? (Opcional)

Obrigado por seus comentários!

×