Orientações de cliente do Windows para profissionais de TI proteger contra vulnerabilidades de canal do lado do execução especulativos

Acções recomendadas

Os clientes devem tomar as seguintes acções para ajudar a proteger contra as vulnerabilidades:

  1. Aplica todas as disponíveis Windows actualizações do sistema operativo, incluindo as actualizações de segurança mensais do Windows.

  2. Aplica a actualização de firmware aplicável (microcódigo) que é fornecida pelo fabricante do dispositivo.

  3. Avaliar o risco para o ambiente com base nas informações fornecidas sobre avisos de segurança da Microsoft: ADV180002, ADV180012, ADV190013 e as informações fornecidas neste artigo da Base de dados de conhecimento.

  4. Executar acções conforme necessário, utilizando os avisos e informações da chave de registo que são fornecidas neste artigo da Base de dados de conhecimento.

Nota Superfície clientes irão receber uma actualização de microcódigo através do Windows update. Para obter uma lista das actualizações de firmware (microcódigo) mais recentes do dispositivo de superfície disponível, consulte KB 4073065.

Definições de atenuação para clientes do Windows

Os avisos de segurança ADV180002, ADV180012e ADV190013 fornecem informações sobre o risco de que é originada por estas vulnerabilidades, e que o ajudam a identificar o estado predefinido do atenuações para sistemas de cliente do Windows. A tabela seguinte resume o requisito de microcódigo de CPU e o estado predefinido das medidas de atenuação nos clientes Windows.

CVE

Requer CPU microcódigo/firmware?

Estado predefinido de atenuação

CVE-2017-5753

Não

Activado por predefinição (nenhuma opção para desactivar)

Consulte ADV180002 para obter informações adicionais.

CVE-2017-5715

Sim

Activado por predefinição. Os utilizadores de sistemas baseados em processadores AMD deverão ver Perguntas mais frequentes #15 e os utilizadores de processadores ARM deverão ver Perguntas mais frequentes #20 no ADV180002 para acção adicional e do presente artigo KB para as definições de chave de registo aplicável.

Nota "Retpoline" é activado por predefinição para dispositivos com o Windows 1809 de 10 ou mais recente se espectro 2 variante (CVE-2017-5715) estiver activada. Para mais informações, à volta de "Retpoline", seguir as orientações aatenuantes espectro variante 2 com Retpoline no Windows no blogue.

CVE-2017-5754

Não

Activado por predefinição

Consulte ADV180002 para obter informações adicionais.

CVE-2018-3639

Intel: Sim AMD: N ARM: Sim

Intel e AMD: desactivado por predefinição. Consulte ADV180012 para mais informações e este artigo BDC para as definições de chave de registo aplicável.

ARM: Activada por predefinição sem a opção para desactivar.

CVE-2018-11091

Intel: Sim

Activado por predefinição.

Consulte ADV190013 para mais informações e este artigo BDC para as definições de chave de registo aplicável.

CVE-2018-12126

Intel: Sim

Activado por predefinição.

Consulte ADV190013 para mais informações e este artigo BDC para as definições de chave de registo aplicável.

CVE-2018-12127

Intel: Sim

Activado por predefinição.

Consulte ADV190013 para mais informações e este artigo BDC para as definições de chave de registo aplicável.

CVE-2018-12130

Intel: Sim

Activado por predefinição.

Consulte ADV190013 para mais informações e este artigo BDC para as definições de chave de registo aplicável.

CVE-2019-11135

Intel: Sim

Activado por predefinição.

Consulte 2019-CVE-11135 Para mais informações e este artigo BDC para as definições de chave de registo aplicável.

Nota Activar atenuações estão desactivados por predefinição poderá afectar o desempenho. O efeito de desempenho real depende de vários factores, tais como o chipset específico no dispositivo e as cargas de trabalho que estão em execução.

Definições de registo

Estamos a fornecer as seguintes informações de registo para activar atenuações que não estão activadas por predefinição, conforme é documentado avisos de segurança ADV180002 e ADV180012. Além disso, estamos a fornecer definições de chave de registo para os utilizadores que pretende desactivar os atenuantes de que estão relacionados com 2017-CVE-5715 e 2017-CVE-5754 para clientes do Windows.

Importante Esta secção, método ou tarefa contém passos que explicam como modificar o registo. No entanto, poderão ocorrer problemas graves se modificar o registo incorrectamente. Por conseguinte, certifique-se de que segue estes passos cuidadosamente. Para uma maior protecção, efectuar cópias de segurança do registo antes de o modificar. Em seguida, pode restaurar o registo se ocorrer um problema. Para mais informações sobre como efectuar cópias de segurança e restaurar o registo, consulte o seguinte artigo na Microsoft Knowledge Base:

322756 como efectuar cópias de segurança e restaurar o registo no Windows

Gerir atenuações para CVE-2017-5715 (espectro de variante 2) e CVE-2017-5754 (ruína)

Nota importante Retpoline está activada por predefinição no Windows 10, dispositivos de 1809 versão se o espectro, de 2 de variante (CVE-2017-5715) estiver activado. Activar Retpoline sobre a versão mais recente do Windows 10 pode melhorar o desempenho em dispositivos com o Windows 10, versão 1809 para a variante de espectro 2, particularmente nos processadores mais antigos.

Para activar atenuações predefinido para o CVE-2017-5715 (espectro de variante 2) e CVE-2017-5754 (ruína)

REG adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

REG adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações entrem em vigor.

Para desactivar atenuações para CVE-2017-5715 (espectro de variante 2) e CVE-2017-5754 (ruína)

REG adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

REG adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações entrem em vigor.

Nota Um valor igual a 3 é preciso para FeatureSettingsOverrideMask para o "Activar" e "Desactivar" as definições. (Consulte a secção "FAQ" para obter mais detalhes sobre chaves de registo.)

Gerir a medida atenuante para CVE-2017-5715 (espectro de variante 2)

Para desactivar atenuações para 2017-CVE-5715 (espectro de 2 variante) :

REG adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

REG adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações entrem em vigor.

Para activar a predefinição atenuações para 2017-CVE-5715 (espectro de variante 2) e CVE-2017-5754 (ruína):

REG adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

REG adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações entrem em vigor.

Apenas processadores AMD e ARM: Activar atenuação completa para o CVE-2017-5715 (espectro de variante 2)

Por predefinição, a protecção de kernel do utilizador para 2017-CVE-5715 está desactivada para AMD e ARM CPUs. Medidas de atenuação receber protecções adicionais aos 2017-CVE-5715 tem de activar os clientes. Para mais informações, consulte a FAQ #15 no ADV180002 para processadores AMD e 20 do n. º de perguntas mais frequentes em ADV180002 para processadores ARM.

Activar a protecção do utilizador para o kernel em processadores AMD e ARM em conjunto com outras protecções para CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações entrem em vigor.

Gerir atenuações para CVE-2018-3639 (especulativos ajustável de arquivo), 2017-CVE-5715 (espectro de variante 2) e CVE-2017-5754 (ruína)

Para activar atenuações para CVE-2018-3639 (especulativos ajustável de arquivo), atenuações de predefinido para o CVE-2017-5715 (espectro de variante 2) e CVE-2017-5754 (ruína):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações entrem em vigor.

Nota: Processadores AMD não estão vulneráveis a CVE-2017-5754 (ruína). Esta chave de registo é utilizada em sistemas com processadores AMD para activar atenuações de predefinição para 2017-CVE-5715 em processadores AMD e a medida atenuante para CVE-2018-3639.

Para desactivar atenuações para CVE-2018-3639 (especulativos ajustável de arquivo) * e * atenuações para CVE-2017-5715 (espectro de variante 2) e CVE-2017-5754 (ruína)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações entrem em vigor.

Processadores AMD apenas: Activar atenuação completa para o CVE-2017-5715 (espectro de variante 2) e CVE 2018-3639 (especulativos ajustável de arquivo)

Por predefinição, a protecção do kernel do utilizador para 2017-CVE-5715 está desactivada para processadores AMD. Medidas de atenuação receber protecções adicionais aos 2017-CVE-5715 tem de activar os clientes.  Para mais informações, consulte FAQ #15 no ADV180002.

Activar protecção de utilizador para o kernel em processadores AMD em conjunto com outras protecções para CVE 2017 5715 e protecções aos CVE-2018-3639 (especulativos ajustável de arquivo):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações entrem em vigor.

Vulnerabilidade de abortar a transacção assíncrona de gerir Intel® transaccionais sincronização extensões (Intel® TSX) (CVE-2019-11135) e da microarquitectura recolha de dados (CVE-2018-11091, 2018-CVE-12126, 2018-CVE-12127, 2018-CVE-12130) juntamente com Espectro (CVE-2017-5753 & 2017-CVE-5715) e variantes de ruína (CVE-2017-5754), incluindo especulativos arquivo ignorar desactivar (SSBD) (CVE-2018-3639), bem como falhas de Terminal L1 (L1TF) (CVE-2018-3615, 2018-CVE-3620 e 2018-CVE-3646)

Para activar a factores atenuantes para vulnerabilidade abortar assíncrona do Intel® transaccionais sincronização extensões (Intel® TSX) transacção (CVE-2019-11135) e recolha de dados da microarquitectura ( 2018-CVE-11091 , 2018-CVE-12126 , 2018-CVE-12127 , 2018-CVE-12130 ) juntamente com o espectro (CVE-2017-5753 & 2017-CVE-5715) e variantes de ruína (CVE-2017-5754), incluindo (especulativos arquivo ignorar desactivar (SSBD) CVE-2018-3639), bem como falhas de Terminal L1 (L1TF) (CVE-2018-3615, 2018-CVE-3620 e 2018-CVE-3646) sem desactivar a funcionalidade Hyper-Threading:

REG adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

REG adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se a funcionalidade de Hyper-V está instalada, adicione a seguinte definição do registo:

REG adicionar "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se se tratar de um anfitrião de Hyper-V e tiverem sido aplicadas as actualizações de firmware: Encerre totalmente todas as máquinas virtuais. Isto permite que a atenuação relacionados com firmware ser aplicada no anfitrião antes dos VMs são iniciados. Por conseguinte, os VMs são também actualizadas quando se está a ser reiniciados.

Reinicie o computador para que as alterações entrem em vigor.

Para activar a factores atenuantes para vulnerabilidade abortar assíncrona do Intel® transaccionais sincronização extensões (Intel® TSX) transacção (CVE-2019-11135) e recolha de dados da microarquitectura ( 2018-CVE-11091 , 2018-CVE-12126 , 2018-CVE-12127 , 2018-CVE-12130 ) juntamente com o espectro (CVE-2017-5753 & 2017-CVE-5715) e variantes de ruína (CVE-2017-5754), incluindo (especulativos arquivo ignorar desactivar (SSBD) CVE-2018-3639), bem como falhas de Terminal L1 (L1TF) (CVE-2018-3615, 2018-CVE-3620 e 2018-CVE-3646) com Hyper-Threading desactivado:

REG adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

REG adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se a funcionalidade de Hyper-V está instalada, adicione a seguinte definição do registo:

REG adicionar "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

 

Se se tratar de um anfitrião de Hyper-V e tiverem sido aplicadas as actualizações de firmware: Encerre totalmente todas as máquinas virtuais. Isto permite que a atenuação relacionados com firmware ser aplicada no anfitrião antes dos VMs são iniciados. Por conseguinte, os VMs são também actualizadas quando se está a ser reiniciados.

Reinicie o computador para que as alterações entrem em vigor.

Para desactivar a factores atenuantes para vulnerabilidade abortar assíncrona do Intel® transaccionais sincronização extensões (Intel® TSX) transacção (CVE-2019-11135) e recolha de dados da microarquitectura ( 2018-CVE-11091 , 2018-CVE-12126 , 2018-CVE-12127 , 2018-CVE-12130 ) juntamente com o espectro (CVE-2017-5753 & 2017-CVE-5715) e variantes de ruína (CVE-2017-5754), incluindo (especulativos arquivo ignorar desactivar (SSBD) CVE-2018-3639), bem como falhas de Terminal L1 (L1TF) (CVE-2018-3615, 2018-CVE-3620 e 2018-CVE-3646):

REG adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

REG adicionar "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reinicie o computador para que as alterações entrem em vigor.

Verificar se as protecções estão activadas

Para ajudar os clientes a verificar se estão activadas protecções, vamos ter publicado um script PowerShell que os clientes podem executar nos seus sistemas. Instale e execute o script, executando os seguintes comandos.

Verificação de PowerShell utilizando a Galeria de PowerShell (2016 de servidor do Windows ou WMF 5.0/5.1)

Instale o módulo de PowerShell:

PS > SpeculationControl do módulo de instalação

Execute o módulo de PowerShell para verificar se as protecções estão activadas:

PS > # guardar a actual política de execução, de modo que pode ser reposto

PS > $SaveExecutionPolicy = Get ExecutionPolicy

PS > ExecutionPolicy conjunto RemoteSigned-UtilizadorActual de âmbito

PS > Import-Module SpeculationControl

PS > Get-SpeculationControlSettings

PS > # Repor a política de execução para o estado original

PS > conjunto-ExecutionPolicy $SaveExecutionPolicy-UtilizadorActual de âmbito

 

Verificação de PowerShell através da utilização de uma transferência a partir da Technet (versões anteriores do sistema operativo e versões anteriores de ficheiros WMF)

Instale o módulo de PowerShell do ScriptCenter da Technet:

Ir para https://aka.ms/SpeculationControlPS

Transferir o SpeculationControl.zip para uma pasta local.

Extrair o conteúdo para uma pasta local, por exemplo C:\ADV180002

Execute o módulo de PowerShell para verificar se as protecções estão activadas:

Iniciar o PowerShell, em seguida, (utilizando o exemplo anterior) copiar e execute os seguintes comandos:

PS > # guardar a actual política de execução, de modo que pode ser reposto

PS > $SaveExecutionPolicy = Get ExecutionPolicy

PS > ExecutionPolicy conjunto RemoteSigned-UtilizadorActual de âmbito

PS > CD C:\ADV180002\SpeculationControl

PS > Import-Module.\SpeculationControl.psd1

PS > Get-SpeculationControlSettings

PS > # Repor a política de execução para o estado original

PS > conjunto-ExecutionPolicy $SaveExecutionPolicy-UtilizadorActual de âmbito

Para obter uma explicação detalhada da saída do PowerShell script, consulte o artigo 4074629 da Knowledge Base.

Perguntas mais frequentes

O microcódigo é entregue através de uma actualização de firmware. Devem verificar os clientes com os respectivos da CPU (chipset) e fabricantes de dispositivos sobre a disponibilidade das actualizações de segurança de firmware aplicável para o seu dispositivo específico, incluindo da Intel Microcódigo revisão orientações.

Uma vulnerabilidade de hardware através de uma actualização de software apresenta desafios significativos. Além disso, factores atenuantes para sistemas operativos mais antigos requerem alterações extensas de arquitecturais. Estamos a trabalhar com os fabricantes de chip afectado para determinar a melhor forma de fornecer atenuações, que podem ser entregues, no futuro, as actualizações.

Actualizações para Microsoft Surface dispositivos serão entregues aos clientes através do Windows Update, bem como as actualizações para o sistema operativo Windows. Para obter uma lista de actualizações de firmware (microcódigo) do dispositivo de superfície disponível, consulte 4073065 da KB.

Se o dispositivo não for da Microsoft, aplica o firmware do fabricante do dispositivo. Para mais informações, contacte o fabricante do dispositivo de OEM.

Em Fevereiro e Março de 2018, disponibilizada Microsoft adicionada protecção para alguns sistemas baseados em x86. Para mais informações, consulte 4073757 da KB e a Aviso de segurança da Microsoft ADV180002.

Actualizações do Windows 10 para HoloLens estão disponíveis para clientes de HoloLens através do Windows Update.

Depois de aplicar a actualização de segurança do Windows de Fevereiro de 2018, HoloLens os clientes não necessitam efectuar qualquer acção adicional de actualizar o firmware do dispositivo. Estes factores atenuantes também serão incluídas em todas as futuras versões do Windows 10 para HoloLens.

N. º Actualizações de segurança única não são cumulativas. Dependendo da versão de sistema operativo que está a executar, terá de instalar cada mensal que segurança só actualiza a proteger contra estas vulnerabilidades. Por exemplo, se estiver a executar o Windows 7 para sistemas 32 bits uma CPU Intel afectado tem de instalar todas as actualizações de segurança apenas. Recomendamos que instale estas actualizações apenas para a segurança por ordem de libertação.

Nota uma versão anterior desta FAQ indicar incorrectamente que a actualização de segurança de Fevereiro apenas incluídas as correcções de segurança disponibilizadas em Janeiro. De facto, não acontece.

N. º Actualização de segurança 4078130 foi uma correcção para evitar comportamentos inesperados do sistema, problemas de desempenho e/ou reinícios inesperados após a instalação de microcódigo específica. Aplicar as actualizações de segurança de Fevereiro de sistemas operativos Windows cliente permite que todos os atenuantes de três.

Intelrecentemente anunciadotiverem concluído as validações e iniciado para libertar o microcódigo para plataformas de CPU mais recentes. Microsoft está a efectuar actualizações de microcódigo Intel validado disponíveis à volta do espectro de 2 variante (CVE-2017-5715 "Injecção de destino do ramo"). KB 4093836 lista artigos da Base de dados de conhecimento específicos por versão do Windows. Cada KB específico contém as actualizações de microcódigo Intel disponíveis por CPU.

Este problema foi resolvido na 4093118 da KB.

AMD recentemente anunciado que sejam iniciados para libertar o microcódigo para plataformas de CPU mais recentes à volta do espectro de 2 variante (CVE-2017-5715 "Injecção de destino do ramo"). Para mais informações consulte o Actualizações de segurança AMD e documento técnico de AMD: directrizes de arquitectura à volta do controlo indirecto do ramo. Estes estão disponíveis a partir do canal de firmware do OEM.

Estamos a disponibilizar actualizações de microcódigo Intel validado disponíveis à volta do espectro de 2 de variante (CVE-2017-5715 "ramo destino injecção "). Para obter as actualizações mais recentes de microcódigo Intel através do Windows Update, os clientes tem de ter instalado Intel microcódigo em dispositivos com um sistema operativo do Windows 10 antes de actualizar para o Windows 10 de Abril de 2018 actualização (versão 1803).

A actualização de microcódigo também está disponível directamente a partir do catálogo se não foi instalado no dispositivo antes de actualizar o sistema operativo. Intel microcódigo está disponível através do Windows Update, WSUS e catálogo do Microsoft Update. Para mais informações e instruções de transferência, consulte 4100347 da KB.

Para obter detalhes, consulte o "Recomendado acções" e "FAQ" secções ADV180012 | Orientação da Microsoft para ignorar especulativos arquivo.

Para verificar o estado de SSBD, o script PowerShell Get-SpeculationControlSettings foi actualizado para detectar processadores afectados, o estado das actualizações do sistema operativo SSBD e estado de microcódigo o processador, se for caso disso. Para obter mais informações e para obter o script PowerShell, consulte 4074629 da KB.

Em 13 de Junho, 2018, uma vulnerabilidade adicionais que envolvam lado canal especulativos execução, conhecidas como Estado FP lenta restaurar, foi anunciado e atribuído 2018-CVE-3665. Não existem definições de configuração (registo) são necessárias para lenta restaurar FP restaurar.

Para mais informações sobre esta vulnerabilidade e para acções recomendadas, consulte o aviso de segurança ADV180016 | Orientação da Microsoft para restauro Estado FP lenta.

Nota Não existem definições de configuração (registo) são necessárias para lenta restaurar FP restaurar.

Arquivo de Ignorar verificação de limites (BCBS) foi divulgado em 10 de Julho de 2018 e atribuído 2018-CVE-3693. A Microsoft considere BCBS como pertencendo à mesma classe de vulnerabilidades como limites verificar ignorar (1 variante). Não temos conhecimento de quaisquer ocorrências de BCBS no nosso software, mas podemos continuar a investigação desta classe de vulnerabilidade e irá trabalhar com parceiros de indústria para libertar atenuações conforme necessário. Continuamos a encorajar a investigadores submeter quaisquer conclusões relevantes do programa de prosperidade de canal de lado de execução remota de Speculative, incluindo quaisquer ocorrências exploráveis de BCBS da Microsoft. Os programadores de software devem consultar as indicações de programação que tenha sido actualizada por BCBS em https://aka.ms/sescdevguide.

Em 14 de Agosto de 2018, L1 Terminal falhas (L1TF) foi anunciado e atribuídas várias CVEs. Estas novas vulnerabilidades de canal de lado especulativos execução podem ser utilizadas para ler o conteúdo da memória através de um limite de confiança e, se explorada, poderá conduzir à divulgação de informações. Um intruso poderia desencadear as vulnerabilidades através de vários vectores, dependendo do ambiente configurado. L1TF afecta Intel Core® processadores e processadores Xeon® da Intel.

Para mais informações sobre esta vulnerabilidade e uma vista detalhada de cenários afectados, incluindo a abordagem da Microsoft para atenuantes L1TF, consulte os seguintes recursos:

Os clientes que utilizem processadores ARM de 64 bits devem verificar com o dispositivo OEM para suporte de firmware porque Protecções do sistema operativo de ARM64 que atenuam o 2017-CVE-5715 - injecção de destino do ramo (espectro, variante 2) requerem a actualização mais recente do firmware do dispositivo OEMs tenham efeito.

Para mais informações sobre activação de Retpoline, consulte a nossa mensagem no blogue: atenuantes espectro variante 2 com Retpoline no Windows.

Para obter detalhes sobre esta vulnerabilidade, consulte o guia de segurança da Microsoft: 2019-CVE-1125 | Vulnerabilidade de divulgação de informações de Kernel do Windows.

Não estamos teve conhecimento de todas as ocorrências desta vulnerabilidade de divulgação de informações que afectem a nossa infra-estrutura de serviço de nuvem.

Logo que a Microsoft tomou conhecimento deste problema, vamos trabalhadas rapidamente para endereçar e lançar uma actualização. É vivamente crer fechar parcerias com investigadores e parceiros da indústria para tornar os clientes mais seguro e não publicar detalhes até terça-feira, 6 de Agosto, consistente com as práticas de divulgação de vulnerabilidade coordenado.

 

Precisa de mais ajuda?

Aumente os seus conhecimentos
Explore as formações
Seja o primeiro a obter novas funcionalidades
Aderir ao Microsoft insiders

As informações foram úteis?

Obrigado pelos seus comentários!

Obrigado pelo seu feedback! Parece que poderá ser benéfico reencaminhá-lo para um dos nossos agentes de suporte do Office.

×