KB4072698: руководство по Windows Server и Azure Stack HCI для защиты от уязвимостей стороннего канала микроархитектурного и спекулятивного выполнения на основе кремния

Применяется к
Azure Local Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012
Журнал изменений
Дата изменения Декрипция изменений
20 апреля 2023 г.
  • Добавлены сведения о реестре MMIO
8 августа 2023 г.
  • Удалено содержимое о CVE-2022-23816, так как номер CVE не используется
  • Добавлена "Путаница типов ветви" в разделе "Уязвимости"
  • Добавлены дополнительные сведения в "CVE-2022-23825 | Неразбериха по типу ветви ЦП AMD (ЗАПИСЬ)" раздел реестра
9 августа 2023 г.
  • Обновлен cve-2022-23825 | Неразбериха по типу ветви ЦП AMD (ЗАПИСЬ)" раздел реестра
  • Добавлена "CVE-2023-20569 | Предиктор возвращаемого адреса ЦП AMD" в раздел "Сводка"
  • Добавлена "CVE-2023-20569 | Раздел реестра "Предиктор возвращаемого адреса ЦП AMD"
9 апреля 2024 г.
  • Добавлен CVE-2022-0001 | Внедрение журнала ветвей Intel
16 апреля 2024 г.
  • Добавлен раздел "Включение нескольких мер по устранению рисков"

Сводка

В этой статье приведены рекомендации по новому классу микроархитектурных микроархитектурных и спекулятивных уязвимостей на основе кремниевого выполнения, которые влияют на многие современные процессоры и операционные системы. Сюда входят Intel, AMD и ARM. Конкретные сведения об этих уязвимостях на основе кремния можно найти в следующих adv (рекомендации по безопасности) и CVEs (распространенные уязвимости и экспозиции):

Важно

Эти проблемы также влияют на другие операционные системы, такие как Android, Chrome, iOS и MacOS. Мы советуем клиентам обращаться за рекомендациями этих поставщиков.

Мы выпустили несколько обновлений для устранения этих уязвимостей. Мы также приняли меры по защите наших облачных служб. Дополнительные сведения см. в следующих разделах.

Мы еще не получили никакой информации о том, что эти уязвимости использовались для атак на клиентов. Мы тесно сотрудничаем с отраслевыми партнерами, включая производителей микросхем, изготовителей оборудования и поставщиков приложений для защиты клиентов. Чтобы получить все доступные средства защиты, требуются обновления встроенного ПО (микрокода) и программного обеспечения. Сюда входят микрокоды от изготовителей оборудования устройств и, в некоторых случаях, обновления антивирусного программного обеспечения.

Уязвимости

Спекулятивное выполнение

В этой статье рассматриваются следующие уязвимости спекулятивного выполнения:

клиентский компонент Центра обновления Windows также предоставят средства защиты от Обозреватель в Интернете и Edge. Мы будем продолжать совершенствовать эти способы устранения уязвимостей этого класса.

Дополнительные сведения об этом классе уязвимостей см. в разделе

Уязвимость микроархитектурной выборки данных

14 мая 2019 г. корпорация Intel опубликовала информацию о новом подклассе уязвимостей спекулятивного выполнения по боковому каналу, известном как выборка данных микроархитектуры и описанной в ADV190013 | Выборка микроархитектурных данных. Им назначены следующие cves:

Важно

Эти проблемы повлияют на другие системы, такие как Android, Chrome, iOS и MacOS. Мы советуем клиентам обращаться за рекомендациями этих поставщиков.

Корпорация Майкрософт выпустила обновления, которые помогут устранить эти уязвимости. Чтобы получить все доступные средства защиты, требуются обновления встроенного ПО (микрокода) и программного обеспечения. Это может быть микрокод от изготовителей оборудования устройств. В некоторых случаях установка этих обновлений влияет на производительность. Мы также приняли меры для защиты наших облачных служб. Настоятельно рекомендуется развернуть эти обновления.

Дополнительные сведения об этой проблеме см. в следующих рекомендациях по безопасности и в руководстве по использованию сценариев для определения действий, необходимых для устранения угрозы:

Примечание

Мы рекомендуем установить все последние обновления с клиентский компонент Центра обновления Windows перед установкой обновлений микрокодов.

Уязвимость Spectre, Variant 1

6 августа 2019 г. корпорация Intel опубликовала сведения об уязвимости раскрытия информации в ядре Windows. Эта уязвимость является вариантом уязвимости Spectre, Variant 1 спекулятивного выполнения бокового канала и назначена CVE-2019-1125.

9 июля 2019 г. мы выпустили обновления для системы безопасности для операционной системы Windows, которые помогут устранить эту проблему. Обратите внимание, что мы сдержим публичное документирование этой меры до скоординированного раскрытия информации о отрасли во вторник, 6 августа 2019 года.

Клиенты, которые клиентский компонент Центра обновления Windows включили и применили обновления для системы безопасности, выпущенные 9 июля 2019 г., защищаются автоматически. Дальнейшая настройка не требуется.

Примечание

Для этой уязвимости не требуется обновление микрокода от производителя устройства (OEM).

Дополнительные сведения об этой уязвимости и применимых обновлениях см. в руководстве по обновлению системы безопасности Майкрософт:

Уязвимость асинхронного прерывания транзакций

12 ноября 2019 г. корпорация Intel опубликовала технические рекомендации по уязвимости асинхронного прерывания транзакций Intel® Transactional Synchronization Extensions (Intel TSX), которой назначена cve-2019-11135. Корпорация Майкрософт выпустила обновления для устранения этой уязвимости, и защита ОС включена по умолчанию для Windows Server 2019 г., но отключена по умолчанию для Windows Server 2016 и более ранних версий ОС Windows Server.

Уязвимость MMIO, связанная с выборкой устаревших данных

14 июня 2022 г. мы опубликовали ADV220002 | Руководство Майкрософт по уязвимостям устаревших данных процессоров Intel MMIO и назначены следующие cvEs:

Рекомендуемые действия

Чтобы защититься от уязвимостей, необходимо выполнить следующие действия:

  1. Примените все доступные обновления операционной системы Windows, включая ежемесячные обновления системы безопасности Windows.
  2. Примените применимое обновление встроенного ПО (микрокода), предоставленное производителем устройства.
  3. Оцените риск для вашей среды на основе информации, предоставленной в рекомендациях по безопасности Майкрософт: ADV180002, ADV180012, ADV190013 и ADV220002, в дополнение к сведениям, приведенным в этой статье база знаний.
  4. Выполните необходимые действия, используя рекомендации и сведения раздела реестра, указанные в этой база знаний статье.

Примечание

Клиенты Surface получат обновление микрокода через клиентский компонент Центра обновления Windows. Список последних обновлений встроенного ПО устройства Surface (микрокода) см. в разделе KB4073065.

Путаница типов ветвей

12 июля 2022 г. мы опубликовали CVE-2022-23825 | Ошибка типа ветви ЦП AMD , которая описывает, что псевдонимы в предикторе ветви могут привести к тому, что некоторые процессоры AMD прогнозируют неправильный тип ветви. Эта проблема может привести к раскрытию информации.

Чтобы защититься от этой уязвимости, рекомендуется установить обновления Windows, датированные июлем 2022 г. или позже, а затем принять меры в соответствии с требованиями CVE-2022-23825 и разделом реестра, приведенными в этой база знаний статье.

Дополнительные сведения см. в бюллетене по безопасности AMD-SB-1037 .

Предиктор возвращаемого адреса

8 августа 2023 г. мы опубликовали CVE-2023-20569 | Предиктор возвращаемых адресов (также известный как Начало), описывающий новую спекулятивную атаку на стороне канала, которая может привести к спекулятивному выполнению по адресу, контролируемому злоумышленником. Эта проблема затрагивает некоторые процессоры AMD и может привести к раскрытию информации.

Чтобы защититься от этой уязвимости, рекомендуется установить обновления Windows, датируемые августом 2023 г. или позже, а затем принять меры в соответствии с требованиями CVE-2023-20569 и разделов реестра, приведенными в этой база знаний статье.

Дополнительные сведения см. в бюллетене по безопасности AMD-SB-7005 .

Внедрение журнала ветви

9 апреля 2024 г. мы опубликовали CVE-2022-0001 | Внедрение журнала ветвей Intel , описывающее внедрение журнала ветвей (BHI), которое является определенной формой внутрисемейной BTI. Эта уязвимость возникает, когда злоумышленник может управлять журналом ветви перед переходом из режима пользователя в режим супервизора (или из режима VMX, не корневого или гостевого, в корневой режим). Это может привести к тому, что прогностиктор непрямой ветви выберет определенную запись прогностика для непрямой ветви, и гаджет раскрытия информации в прогнозируемом целевом объекте будет выполняться временно. Это может быть возможно, так как соответствующий журнал ветви может содержать ветви, принятые в предыдущих контекстах безопасности, и, в частности, в других режимах прогнозирования.

Параметры устранения рисков для Windows Server и Azure Stack HCI

Рекомендации по безопасности (ADV) и CVEs предоставляют сведения о риске, который представляют эти уязвимости. Они также помогают выявить уязвимости и определить состояние по умолчанию для устранения рисков для Windows Server систем. В приведенной ниже таблице приведены требования к микрокоду ЦП и состояние по умолчанию для устранения рисков на Windows Server.

CVE Требуется микрокод ЦП или встроенное ПО? Состояние устранения рисков по умолчанию
CVE-2017-5753 Нет Включено по умолчанию (нет параметра для отключения)
Дополнительные сведения см. в ADV180002 .
CVE-2017-5715 Да Отключено по умолчанию.
Дополнительные сведения см. в ADV180002 и в этой статье базы знаний о соответствующих параметрах реестра.
Примечание Функция "Retpoline" включена по умолчанию для устройств под управлением Windows 10, версия 1809 и более поздних версий, если включен параметр Spectre Variant 2 (CVE-2017-5715). Дополнительные сведения о "Retpoline" см. в записи блога о смягчении рисков spectre версии 2 с помощью Retpoline в Windows .
CVE-2017-5754 Нет Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию.
Windows Server 2016 и более ранних версий: по умолчанию отключено.
Дополнительные сведения см. в ADV180002 .
CVE-2018-3639 Intel: Да
AMD: Нет
Отключено по умолчанию. Дополнительные сведения см. в ADV180012 и в этой статье о применимых параметрах раздела реестра.
CVE-2018-11091 Intel: Да Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию.
Windows Server 2016 и более ранних версий: по умолчанию отключено.
Дополнительные сведения см. в ADV190013 и в этой статье о применимых параметрах раздела реестра.
CVE-2018-12126 Intel: Да Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию.
Windows Server 2016 и более ранних версий: по умолчанию отключено.
Дополнительные сведения см. в ADV190013 и в этой статье о применимых параметрах раздела реестра.
CVE-2018-12127 Intel: Да Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию.
Windows Server 2016 и более ранних версий: по умолчанию отключено.
Дополнительные сведения см. в ADV190013 и в этой статье о применимых параметрах раздела реестра.
CVE-2018-12130 Intel: Да Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию.
Windows Server 2016 и более ранних версий: по умолчанию отключено.
Дополнительные сведения см. в ADV190013 и в этой статье о применимых параметрах раздела реестра.
CVE-2019-11135 Intel: Да Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию.
Windows Server 2016 и более ранних версий: по умолчанию отключено.
Дополнительные сведения см. в статье CVE-2019-11135 и в этой статье о применимых параметрах раздела реестра.
CVE-2022-21123 (часть MMIO ADV220002) Intel: Да Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию.
Windows Server 2016 и более ранних версий: по умолчанию отключено.*
Дополнительные сведения см. в разделе CVE-2022-21123 и в этой статье о применимых параметрах раздела реестра.
CVE-2022-21125 (часть ADV220002 MMIO) Intel: Да Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию.
Windows Server 2016 и более ранних версий: по умолчанию отключено.*
Дополнительные сведения см. в статье CVE-2022-21125 и в этой статье о применимых параметрах раздела реестра.
CVE-2022-21127 (часть MMIO ADV220002) Intel: Да Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию.
Windows Server 2016 и более ранних версий: по умолчанию отключено.*
Дополнительные сведения см. в статье CVE-2022-21127 и в этой статье о применимых параметрах раздела реестра.
CVE-2022-21166 (часть MMIO ADV220002) Intel: Да Windows Server 2019, Windows Server 2022 и Azure Stack HCI: включено по умолчанию.
Windows Server 2016 и более ранних версий: по умолчанию отключено.*
Дополнительные сведения см. в документе CVE-2022-21166 и в этой статье о применимых параметрах раздела реестра.
CVE-2022-23825 (путаница с типом ветви ЦП AMD) AMD: Нет Дополнительные сведения см. в разделе CVE-2022-23825 и в этой статье о применимых параметрах раздела реестра.
CVE-2023-20569
(Прогнозатор возвращаемого адреса ЦП AMD)
AMD: Да Дополнительные сведения см. в статье CVE-2023-20569 и в этой статье о применимых параметрах раздела реестра.
CVE-2022-0001 Intel: Нет Отключено по умолчанию
Дополнительные сведения см. в разделе CVE-2022-0001 и в этой статье о применимых параметрах реестра.

Примечание

* Следуйте приведенным ниже рекомендациям по устранению рисков для Meltdown.

Если вы хотите получить все доступные средства защиты от этих уязвимостей, необходимо внести изменения в раздел реестра, чтобы включить эти способы устранения рисков, которые отключены по умолчанию.

Включение этих мер защиты может повлиять на производительность. Масштаб влияния на производительность зависит от нескольких факторов, таких как конкретный набор микросхем в физическом узле и выполняемые рабочие нагрузки. Мы рекомендуем оценить влияние на производительность среды и внести необходимые корректировки.

Ваш сервер находится под повышенным риском, если он находится в одной из следующих категорий:

  • Узлы Hyper-V. Требуется защита от атак между виртуальными машинами и между виртуальными машинами.
  • Узлы служб удаленных рабочих столов (RDSH). Требуется защита от одного сеанса к другому сеансу или от атак между сеансами на узел.
  • Физические узлы или виртуальные машины, на которых выполняется ненадежный код, например контейнеры или недоверенные расширения для базы данных, ненадежный веб-контент или рабочие нагрузки, выполняющие код из внешних источников. Для этого требуется защита от ненадежных атак между процессами и другими процессами или ненадежными атаками между процессами и ядрами.

Используйте следующие параметры раздела реестра, чтобы включить устранение рисков на сервере и перезапустить устройство, чтобы изменения вступили в силу.

Примечание

По умолчанию включение отключенных мер по устранению рисков может повлиять на производительность. Фактическое влияние на производительность зависит от нескольких факторов, таких как конкретный набор микросхем на устройстве и выполняемые рабочие нагрузки.

Параметры реестра

Мы предоставляем следующие сведения о реестре, чтобы включить устранение рисков, которые не включены по умолчанию, как описано в разделах Рекомендации по безопасности (ADV) и CVEs. Кроме того, мы предоставляем параметры раздела реестра для пользователей, которые хотят отключить устранение рисков, если это применимо для клиентов Windows.

Примечание

  • ВАЖНО В этом разделе, методе или задаче содержатся инструкции по изменению реестра. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому будьте внимательны, выполняя описанные действия. Для дополнительной защиты создайте резервную копию реестра, прежде чем менять его. Тогда в случае возникновения проблемы вы сможете восстановить реестр. Дополнительные сведения о резервном копировании и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
  • KB322756 Резервное копирование и восстановление реестра в Windows

Управление устранением рисков для CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) и CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

Примечание

  • ВАЖНО По умолчанию Retpoline настраивается следующим образом, если включена защита от spectre, variant 2 (CVE-2017-5715):
    • Устранение рисков retpoline включено в Windows 10, версия 1809 и более поздних версиях Windows.
    • Устранение retpoline отключено в Windows Server 2019 г. и более поздних Windows Server версиях.
  • Дополнительные сведения о конфигурации Retpoline см. в статье Устранение рисков Spectre версии 2 с помощью Retpoline в Windows.
  • Включение мер по устранению рисков для CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) и CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    Если компонент Hyper-V установлен, добавьте следующий параметр реестра:
    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
    Если это узел Hyper-V и применены обновления встроенного ПО: Полностью завершите работу всех Виртуальные машины. Это позволяет применить к узлу устранение рисков, связанных с встроенным ПО, перед запуском виртуальных машин. Поэтому при перезапуске виртуальные машины также обновляются.
    Перезапустите устройство, чтобы изменения вступили в силу.
  • Отключение мер по устранению рисков для CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) и CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
    Перезапустите устройство, чтобы изменения вступили в силу.

Примечание

Установка параметра FeatureSettingsOverrideMask в значение 3 является точной для параметров "включить" и "отключить". (Дополнительные сведения о разделах реестра см. в разделе часто задаваемых вопросов .)

Управление устранением рисков для CVE-2017-5715 (Spectre Variant 2)
Отключение варианта 2: (CVE-2017-5715 | Устранение рисков для внедрения целевых ветвей:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Перезапустите устройство, чтобы изменения вступили в силу.
Включение варианта 2: (CVE-2017-5715 | Устранение рисков для внедрения целевых ветвей:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Перезапустите устройство, чтобы изменения вступили в силу.
Только процессоры AMD: включите полное устранение рисков для CVE-2017-5715 (Spectre Variant 2)

По умолчанию защита от взаимодействия пользователя с ядром для CVE-2017-5715 отключена для процессоров AMD. Клиенты должны включить устранение рисков, чтобы получить дополнительную защиту для CVE-2017-5715.  Дополнительные сведения см. в разделе Вопросы и ответы No 15 в ADV180002.

Включите защиту от взаимодействия пользователя с ядром на процессорах AMD вместе с другими средствами защиты для CVE 2017-5715:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Если компонент Hyper-V установлен, добавьте следующий параметр реестра:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Если это узел Hyper-V и применены обновления встроенного ПО: Полностью завершите работу всех Виртуальные машины. Это позволяет применить к узлу устранение рисков, связанных с встроенным ПО, перед запуском виртуальных машин. Поэтому при перезапуске виртуальные машины также обновляются.
Перезапустите устройство, чтобы изменения вступили в силу.
Управление устранением рисков для CVE-2018-3639 (обход спекулятивного хранилища), CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Meltdown)
Чтобы включить устранение рисков для CVE-2018-3639 (обход спекулятивного хранилища), CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Meltdown):
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Если компонент Hyper-V установлен, добавьте следующий параметр реестра:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Если это узел Hyper-V и применены обновления встроенного ПО: Полностью завершите работу всех Виртуальные машины. Это позволяет применить к узлу устранение рисков, связанных с встроенным ПО, перед запуском виртуальных машин. Поэтому при перезапуске виртуальные машины также обновляются.
Перезапустите устройство, чтобы изменения вступили в силу.
Отключение мер по устранению рисков для CVE-2018-3639 (обход спекулятивного хранилища) и устранения рисков для CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Meltdown)
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Перезапустите устройство, чтобы изменения вступили в силу.
Только процессоры AMD. Включите полное устранение рисков для CVE-2017-5715 (Spectre Variant 2) и CVE 2018-3639 (спекулятивный обход магазина)

По умолчанию защита от взаимодействия пользователя с ядром для CVE-2017-5715 отключена для процессоров AMD. Клиенты должны включить устранение рисков, чтобы получить дополнительную защиту для CVE-2017-5715.  Дополнительные сведения см. в разделе Вопросы и ответы No 15 в ADV180002.

Включите защиту от взаимодействия пользователя с ядром на процессорах AMD вместе с другими средствами защиты для CVE 2017-5715 и защитой для CVE-2018-3639 (спекулятивный обход хранилища):
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Если компонент Hyper-V установлен, добавьте следующий параметр реестра:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Если это узел Hyper-V и применены обновления встроенного ПО: Полностью завершите работу всех Виртуальные машины. Это позволяет применить к узлу устранение рисков, связанных с встроенным ПО, перед запуском виртуальных машин. Поэтому при перезапуске виртуальные машины также обновляются.
Перезапустите устройство, чтобы изменения вступили в силу.
Управление уязвимостью асинхронного прерывания транзакций, выборкой микроархитектурных данных, Spectre, Meltdown, MMIO, спекулятивным отключением обхода хранилища (SSBD) и ошибкой терминала L1 (L1TF)
Включение мер по устранению уязвимостей асинхронного прерывания транзакций Intel (CVE-2019-11135) и микроархитектурной выборки данных ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12126 , CVE-20 18-12127 , CVE-2018-12130 ) вместе с вариантами Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754], MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, и CVE-2022-21166), включая спекулятивное отключение обхода хранилища (SSBD) [CVE-2018-3639 ], а также ошибку терминала L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646] без отключения Hyper-Threading:
reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Если компонент Hyper-V установлен, добавьте следующий параметр реестра:
reg добавляет "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Если это узел Hyper-V и применены обновления встроенного ПО: Полностью завершите работу всех Виртуальные машины. Это позволяет применить к узлу устранение рисков, связанных с встроенным ПО, перед запуском виртуальных машин. Поэтому при перезапуске виртуальные машины также обновляются.
Перезапустите устройство, чтобы изменения вступили в силу.
Чтобы включить устранение рисков для уязвимостей асинхронного прерывания транзакций Intel TSX (CVE-2019-11135) и микроархитектурной выборки данных ( CVE-2018-11091), CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) вместе с вариантами Spectre [CVE-2017-5753 & CVE-2017-5715] и Meltdown [CVE-2017-5754], включая отключение обхода спекулятивного хранилища (SSBD) [CVE-2018-3639] а также ошибка терминала L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646] с Hyper-Threading отключена:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Если компонент Hyper-V установлен, добавьте следующий параметр реестра:
reg добавляет "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
Если это узел Hyper-V и применены обновления встроенного ПО: Полностью завершите работу всех Виртуальные машины. Это позволяет применить к узлу устранение рисков, связанных с встроенным ПО, перед запуском виртуальных машин. Поэтому при перезапуске виртуальные машины также обновляются.
Перезапустите устройство, чтобы изменения вступили в силу.
Чтобы отключить устранение рисков для уязвимостей асинхронного прерывания транзакций Intel (Intel TSX) (CVE-2019-11135) и микроархитектурной выборки данных ( CVE-2018-11091), CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) вместе с вариантами Spectre [CVE-2017-5753 & CVE-2017-5715] и Meltdown [CVE-2017-5754], включая отключение обхода спекулятивного хранилища (SSBD) [CVE-2018-3639] а также ошибка терминала L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646]:
reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Перезапустите устройство, чтобы изменения вступили в силу.
CVE-2022-23825 \| Путаница в типе ветви ЦП AMD (AMD)

Чтобы включить устранение рисков для CVE-2022-23825 на процессорах AMD, выполните следующие действия.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Чтобы обеспечить полную защиту, клиентам также может потребоваться отключить Hyper-Threading (также известное как одновременная многопотооковая (SMT)). Рекомендации по защите устройств Windows см. в KB4073757 .

CVE-2023-20569 \| Предиктор возвращаемого адреса ЦП AMD

Чтобы включить устранение рисков для CVE-2023-20569 на процессорах AMD, выполните следующие действия:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

CVE-2022-0001 \| Внедрение журнала ветвей Intel

Чтобы включить устранение рисков для CVE-2022-0001 на процессорах Intel, выполните следующие действия:

reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Включение нескольких мер по устранению рисков

Чтобы включить несколько мер по устранению рисков, необходимо добавить REG_DWORD значение каждой из них вместе.

Например:


Устранение уязвимостей асинхронного прерывания транзакций, выборки микроархитектурных данных, Spectre, Meltdown, MMIO, спекулятивного обхода хранилища (SSBD) и сбоя терминала L1 (L1TF) с Hyper-Threading отключены reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f
ПРИМЕЧАНИЕ 8264 (в десятичном формате) = 0x2048 (в шестнадцатеричном формате)
Чтобы включить BHI вместе с другими существующими параметрами, необходимо использовать битовую или с текущим значением с 8 388 608 (0x800000).
0x800000 OR 0x2048(8264 в десятичном разряде) и станет 8 396 872 (0x802048). То же самое и с FeatureSettingsOverrideMask.
Устранение рисков для CVE-2022-0001 на процессорах Intel reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
Комбинированное устранение рисков reg добавить "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Проверка включения защиты

Чтобы убедиться, что защита включена, мы опубликовали сценарий PowerShell, который можно запустить на ваших устройствах. Установите и запустите скрипт с помощью одного из следующих методов.

Способ 1. Проверка PowerShell с помощью коллекция PowerShell (Windows Server 2016 или WMF 5.0/5.1)
Установите модуль PowerShell:
PS> Install-Module SpeculationControl
Запустите модуль PowerShell, чтобы убедиться, что защита включена:
PS> # Save the current execution policy so it can be reset
PS> $SaveExecutionPolicy = Get-ExecutionPolicy
PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser
PS> Import-Module SpeculationControl
PS> Get-SpeculationControlSettings
PS> # Reset the execution policy to the original state
PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser
Способ 2. Проверка PowerShell с помощью скачивания из Technet (более ранние версии операционной системы и более ранние версии WMF)
Установите модуль PowerShell из Technet ScriptCenter:

  1. Перейдите к https://aka.ms/SpeculationControlPS .
  2. Скачайте SpeculationControl.zip в локальную папку.
  3. Извлеките содержимое в локальную папку. Например: C:\ADV180002
Запустите модуль PowerShell, чтобы убедиться, что защита включена:

Запустите PowerShell, а затем используйте предыдущий пример, чтобы скопировать и выполнить следующие команды:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Подробное описание выходных данных скрипта PowerShell см . в разделе KB4074629 .

Вопросы и ответы

Мне не предлагали обновления для системы безопасности Windows, выпущенные в январе и феврале 2018 года. Что мне делать?

Чтобы избежать негативного влияния на устройства клиентов, обновления для системы безопасности Windows, выпущенные в январе и феврале 2018 г., были предложены не всем клиентам. Дополнительные сведения см . в разделе KB407269 .

Как определить, установлена ли у меня правильная версия микрокода ЦП?

Микрокод доставляется через обновление встроенного ПО. Обратитесь к изготовителю оборудования о версии встроенного ПО с соответствующим обновлением для вашего компьютера.

Каково влияние на производительность мер по устранению рисков?

Существует несколько переменных, влияющих на производительность, от версии системы до выполняемых рабочих нагрузок. Для некоторых систем эффект производительности будет незначительным. Для других он будет значительным.

Рекомендуется оценить влияние производительности на системы и внести необходимые изменения.

Я работаю Windows Server в сторонней размещенной среде или облаке. Что мне делать?

В дополнение к рекомендациям, приведенным в этой статье о виртуальных машинах, обратитесь к поставщику услуг, чтобы убедиться, что узлы, на которых работают виртуальные машины, должным образом защищены.

Сведения о Windows Server виртуальных машинах, работающих в Azure, см. в статье Руководство по устранению уязвимостей спекулятивного выполнения на стороне канала в Azure . Инструкции по использованию управления обновлениями Azure для устранения этой проблемы на гостевых виртуальных машинах см. в разделе KB4077467.

Существуют ли какие-либо Windows Server рекомендации, относящиеся к контейнерам?

Обновления, выпущенные для Windows Server образов контейнеров для Windows Server 2016 и Windows 10 версии 1709, включают в себя устранение уязвимостей этого набора. Дополнительная настройка не требуется.

Примечание По-прежнему необходимо убедиться, что узел, на котором выполняются эти контейнеры, настроен для включения соответствующих мер по устранению рисков.

Нужно ли устанавливать обновления программного обеспечения и оборудования в определенном порядке?

Нет, порядок установки не имеет значения.

Будет ли несколько перезапусков?

Да, необходимо перезапустить после обновления встроенного ПО (микрокода), а затем снова после обновления системы.

Можете ли вы указать дополнительные сведения о разделах реестра?

Ниже приведены сведения о разделах реестра.

FeatureSettingsOverride представляет растровое изображение, которое переопределяет параметр по умолчанию и определяет, какие средства устранения рисков будут отключены. Бит 0 управляет устранением рисков, соответствующим CVE-2017-5715. Бит 1 управляет устранением рисков, соответствующим CVE-2017-5754. Биты имеют значение 0 , чтобы включить устранение рисков, и значение 1 , чтобы отключить эту меру.

FeatureSettingsOverrideMask представляет маску растрового изображения, которая используется вместе с FeatureSettingsOverride. В этой ситуации мы используем значение 3 (представленное как 11 в двоичной числовой системе или числовой системе base-2) для обозначения первых двух битов, соответствующих доступным способам устранения рисков. Для этого раздела реестра задано значение 3 для включения или отключения мер по устранению рисков.

MinVmVersionForCpuBasedMitigations предназначен для узлов Hyper-V. Этот раздел реестра определяет минимальную версию виртуальной машины, необходимую для использования обновленных возможностей встроенного ПО (CVE-2017-5715). Установите значение 1.0 , чтобы охватить все версии виртуальных машин. Обратите внимание, что это значение реестра будет игнорироваться (не является безопасным) на узлах, отличных от Hyper-V. Дополнительные сведения см. в статье Защита гостевых виртуальных машин от CVE-2017-5715 (внедрение целевой ветви).

Можно ли задать разделы реестра перед установкой обновления, а затем установить обновление и перезапустить, чтобы изменения вступили в силу?

Да, если эти параметры реестра применяются до установки исправлений, связанных с январем 2018 г., побочные эффекты отсутствуют.

Можно ли предоставить дополнительные сведения о выходных данных скрипта проверки PowerShell?

Подробное описание выходных данных скрипта см. в статье KB4074629: Общие сведения о выходных данных скрипта PowerShell Для управления спекуляциями.

Если обновление встроенного ПО (микрокод) еще не доступно для изготовителя оборудования, есть ли способ защитить узел Hyper-V?

Да, для Windows Server 2016 узлов Hyper-V, для которых еще не доступно обновление встроенного ПО, мы опубликовали альтернативное руководство, которое поможет устранить атаки на виртуальную машину или виртуальную машину для размещения. См. статью Альтернативные средства защиты для Windows Server 2016 узлов Hyper-V от уязвимостей спекулятивного выполнения бокового канала.

Если я нахожусь в ветви "Только безопасность", какие обновления только для системы безопасности необходимо установить, чтобы защититься от этих уязвимостей?

Обновления только для системы безопасности не являются накопительными. В зависимости от версии операционной системы может потребоваться установить несколько обновлений для системы безопасности для полной защиты. Как правило, клиентам потребуется установить обновления за январь, февраль, март и апрель 2018 г. Системам с процессорами AMD требуется дополнительное обновление, как показано в следующей таблице:

Версия операционной системы Обновление безопасности
Windows 8.1, Windows Server 2012 R2 KB4338815 — ежемесячный накопительный пакет
KB4338824 — только безопасность
Windows 7 с пакетом обновления 1 (SP1), Windows Server 2008 R2 с пакетом обновления 1 (SP1) или Windows Server 2008 R2 с пакетом обновления 1 (SP1) (установка основных серверных компонентов) KB4284826 — ежемесячный накопительный пакет
KB4284867 — только безопасность
Windows Server 2008 с пакетом обновления 2 (SP2) KB4340583 — обновление для системы безопасности

Мы рекомендуем установить обновления только для системы безопасности в порядке выпуска.

Примечание

В более ранней версии этого часто задаваемых вопросов неправильно говорилось, что февральское обновление для системы безопасности включало исправления безопасности, выпущенные в январе. На самом деле, это не так.

Если я применю какие-либо применимые обновления для системы безопасности, будут ли они отключать защиту для CVE-2017-5715 так же, как обновление безопасности KB4078130?

Нет. Обновление системы безопасности KB4078130 было особым исправлением, чтобы предотвратить непредсказуемое поведение системы, проблемы с производительностью и непредвиденные перезапуски после установки микрокода. Применение обновлений для системы безопасности в клиентских операционных системах Windows позволяет устранить все три проблемы. В Windows Server операционных системах по-прежнему необходимо включить устранение рисков после правильного тестирования. Дополнительные сведения см. в разделе KB4072698.

Известная проблема. Некоторые пользователи могут столкнуться с проблемами с сетевым подключением или потерять параметры IP-адресов после установки обновления для системы безопасности от 13 марта 2018 г. (KB 4088875)

Эта проблема устранена в KB4093118.

Корпорация Intel выявила проблемы с перезапуском, связанные с микрокодом на некоторых старых процессорах. Что мне делать?

В феврале 2018 года intel объявила о завершении проверок и начала выпускать микрокоды для новых платформ ЦП. Корпорация Майкрософт предоставляет проверенные обновления микрокодов Intel, касающиеся Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Внедрение целевых ветвей).  KB4093836 перечислены конкретные база знаний статьи по версии Windows. Каждая конкретная статья базы знаний содержит доступные обновления микрокодов Intel по ЦП.

11 января 2018 г. корпорация Intel сообщила о проблемах в недавно выпущенном микрокоде, предназначенном для решения spectre варианта 2 (CVE-2017-5715 | Внедрение целевых ветвей). В частности, корпорация Intel отметила, что этот микрокод может привести к "более высоким, чем ожидалось, перезагрузкам и другим непредсказуемым поведению системы" и что эти сценарии могут привести к "потере или повреждению данных". Наш опыт заключается в том, что в некоторых случаях нестабильность системы может привести к потере данных или повреждению. 22 января корпорация Intel рекомендовала клиентам прекратить развертывание текущей версии микрокода на затронутых процессорах, пока Intel выполнит дополнительное тестирование обновленного решения. Мы понимаем, что корпорация Intel продолжает изучать потенциальное влияние текущей версии микрокода. Мы рекомендуем клиентам постоянно просматривать свои рекомендации, чтобы информировать их о своих решениях.

Пока Intel тестирует, обновляет и развертывает новые микрокоды, мы делаем доступным обновление вне диапазона (OOB) KB4078130, которое, в частности, отключает только защиту от CVE-2017-5715. В нашем тестировании было обнаружено, что это обновление предотвращает описанное поведение. Полный список устройств см. в руководстве intel по редакции микрокодов . Это обновление охватывает Windows 7 с пакетом обновления 1 (SP1), Windows 8.1 и все версии Windows 10, как клиентские, так и серверные. Если вы используете затронутое устройство, это обновление можно применить, скачав его с веб-сайта каталога Центра обновления Майкрософт. Применение этих полезных данных специально отключает только защиту от CVE-2017-5715.

По состоянию на этот раз нет известных отчетов, указывающих на то, что этот спектр вариант 2 (CVE-2017-5715 | Внедрение целевых ветвей) используется для атак на клиентов. Мы рекомендуем, чтобы при необходимости пользователи Windows повторно включили защиту от CVE-2017-5715, когда Intel сообщает, что это непредсказуемое поведение системы было разрешено для вашего устройства.

Я слышал, что Intel выпустила обновления микрокодов. Где их найти?

В феврале 2018 года корпорация Intel объявила о завершении проверок и приступила к выпуску микрокода для новых платформ ЦП. Корпорация Майкрософт предоставляет проверенные Intel обновления микрокодов, связанные с Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Внедрение целевых ветвей). KB4093836 перечислены конкретные база знаний статьи по версии Windows. Список доступных обновлений микрокода Intel по ЦП.

Дополнительные сведения см. в статье Amd Security Обновления и технический документ AMD: Рекомендации по архитектуре для управления непрямой ветвью. Они доступны в канале встроенного ПО OEM.

Я работаю Windows 10 обновлении за апрель 2018 г. (версия 1803). Доступен ли микрокод Intel для моего устройства? Где его найти?

Мы делаем доступными проверенные Intel обновления микрокодов, касающиеся Spectre Variant 2 (CVE-2017-5715 | Внедрение целевых ветвей). Чтобы получить последние обновления микрокодов Intel через клиентский компонент Центра обновления Windows, клиенты должны установить микрокод Intel на устройствах с операционной системой Windows 10 перед обновлением до обновления Windows 10 апреля 2018 г. (версия 1803).

Обновление микрокода также доступно непосредственно из каталога Центра обновления Майкрософт, если оно не было установлено на устройстве перед обновлением системы. Микрокод Intel доступен в клиентский компонент Центра обновления Windows, Windows Server Update Services (WSUS) или в каталоге Центра обновления Майкрософт. Дополнительные сведения и инструкции по скачиванию см. в KB4100347.

Где можно найти сведения о новых уязвимостях спекулятивного выполнения по боковому каналу (обход спекулятивного хранилища — CVE-2018-3639 и считывание несанкционированного реестра системы — CVE-2018-3640)?

Дополнительные сведения см. в указанных ниже ресурсах.

Где можно найти дополнительные сведения о поддержке Windows для спекулятивного отключения обхода хранилища (SSBD) в процессорах Intel?

См. разделы "Рекомендуемые действия" и "Вопросы и ответы" ADV180012 | Руководство Майкрософт по обходу спекулятивного хранилища.

Разделы справки определить, включен или отключен SSBD?

Чтобы проверить состояние SSBD, был обновлен скрипт PowerShell Get-SpeculationControlSettings для обнаружения затронутых процессоров, состояния обновлений операционной системы SSBD и состояния микрокода процессора, если применимо. Дополнительные сведения и сведения о получении скрипта PowerShell см. в разделе KB4074629.

Я слышал о "Ленивый восстановление состояния FP" (CVE-2018-3665). Выпустит ли корпорация Майкрософт меры по устранению рисков?

13 июня 2018 г. было объявлено о дополнительной уязвимости, которая включает в себя спекулятивное выполнение по боковому каналу, известное как Восстановление состояния Ленивый ПП, было объявлено и назначено CVE-2018-3665 . Сведения об этой уязвимости и рекомендуемых действиях см. в разделе Рекомендации по безопасности ADV180016 | Руководство Майкрософт по восстановлению состояния ленивого FP .

Примечание Для восстановления FP с отложенным восстановлением отсутствуют необходимые параметры конфигурации (реестра).

Я слышал, что CVE-2018-3693 (хранилище обхода проверки границ) связан с Spectre. Выпустит ли корпорация Майкрософт меры по устранению рисков?

Хранилище обхода обхода границ (BCBS) было раскрыто 10 июля 2018 г. И присвоено значение CVE-2018-3693. Мы считаем, что BCBS принадлежит к тому же классу уязвимостей, что и обход проверки границ (вариант 1). В настоящее время мы не знаем о каких-либо экземплярах BCBS в нашем программном обеспечении. Тем не менее, мы продолжаем исследовать этот класс уязвимостей и будем работать с отраслевыми партнерами для выпуска мер по устранению рисков по мере необходимости. Мы призываем исследователей представить любые соответствующие результаты в программу поощрения стороннего канала спекулятивного выполнения Майкрософт, включая любые эксплуатируемые экземпляры BCBS. Разработчики программного обеспечения должны ознакомиться с руководством для разработчиков, которое было обновлено для BCBS, в руководстве разработчика C++ для спекулятивного выполнения боковых каналов

Я слышал, что L1 Terminal Fault (L1TF) был раскрыт. Где можно найти дополнительные сведения о нем и поддержке Windows?

14 августа 2018 г. было объявлено о сбое терминала L1 (L1TF) и назначено несколько cves. Эти новые уязвимости спекулятивного выполнения по боковому каналу можно использовать для чтения содержимого памяти через доверенную границу и в случае их использования может привести к раскрытию информации. Существует несколько векторов, с помощью которых злоумышленник может активировать уязвимости в зависимости от настроенной среды. L1TF влияет на процессоры Intel® Core® и Intel® Xeon®.

Дополнительные сведения об этой уязвимости и подробное представление затронутых сценариев, включая подход Корпорации Майкрософт к устранению рисков L1TF, см. в следующих ресурсах:

Разделы справки отключить Hyper-Threading для L1TF на устройстве?

Действия по отключению Hyper-Threading отличаются от OEM к OEM, но обычно являются частью средств настройки и настройки BIOS или встроенного ПО.

Где можно получить встроенное ПО ARM64, которое устраняет уязвимости CVE-2017-5715 \| Внедрение целевой ветви (Spectre Variant 2)?

Клиенты, использующие 64-разрядные процессоры ARM, должны обратиться к изготовителю оборудования для получения поддержки встроенного ПО, так как защита операционной системы ARM64 снижает уязвимость CVE-2017-5715 | Внедрение целевых ветвей (Spectre, Variant 2) требуется последнее обновление встроенного ПО от изготовителей оборудования устройств.

Где можно найти сведения о раскрытии intel информации о выборке микроархитектурных данных (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130)

Дополнительные сведения см. в следующих рекомендациях по безопасности.

Где можно найти руководство по сценарию для определения действий, необходимых для устранения уязвимостей выборки микроархитектурных данных?

Дополнительные рекомендации можно найти в руководстве Windows по защите от уязвимостей спекулятивного выполнения по боковому каналу.

Разделы справки отключить Hyper-Threading mds на устройстве?

Ознакомьтесь с рекомендациями в руководстве по Windows, чтобы защититься от уязвимостей спекулятивного выполнения на стороне канала.

Где можно найти рекомендации по Azure?

Рекомендации по Azure см. в этой статье: Руководство по устранению уязвимостей спекулятивного выполнения на стороне канала в Azure.

Где можно узнать больше о включении Retpoline на Windows 10, версия 1809?

Дополнительные сведения о включении Retpoline см. в записи блога: Устранение рисков spectre версии 2 с помощью Retpoline в Windows .

Я слышал, что существует вариант спекулятивной уязвимости канала spectre Variant 1. Где можно узнать больше?

Дополнительные сведения об этой уязвимости см. в руководстве по безопасности Майкрософт : CVE-2019-1125 | Уязвимость ядра Windows, связанная с раскрытием информации.

Выполняется CVE-2019-1125 \| Уязвимость, связанная с раскрытием информации в ядре Windows, влияет на облачные службы Майкрософт?

Мы не знаем о каких-либо случаях этой уязвимости раскрытия информации, затрагивающей нашу инфраструктуру облачных служб.

Если обновления для CVE-2019-1125 \| Уязвимость ядра Windows, связанная с раскрытием информации, была выпущена 9 июля 2019 г., почему подробные сведения были опубликованы 6 августа 2019 г.?

Как только нам стало известно об этой проблеме, мы быстро поработали над ее решением и выпуском обновления. Мы твердо верим в тесные партнерские отношения как с исследователями, так и с отраслевыми партнерами, чтобы сделать клиентов более безопасными, и не публиковали подробности до вторника, 6 августа, в соответствии с скоординированной практикой раскрытия уязвимостей.

Где можно найти основанное на сценарии руководство по определению действий, необходимых для устранения уязвимости асинхронного прерывания транзакций Intel TSX (CVE-2019-11135)?

Дополнительные рекомендации см. в руководстве по защите windows от уязвимостей спекулятивного выполнения по боковому каналу.

Нужно ли отключить Hyper-Threading для уязвимости асинхронного прерывания транзакций Intel TSX (CVE-2019-11135) на устройстве?

Дополнительные рекомендации см. в руководстве по защите windows от уязвимостей спекулятивного выполнения по боковому каналу.

Можно ли отключить возможность расширения синхронизации транзакций Intel (Intel TSX)?

Дополнительные рекомендации см. в статье Руководство по отключению возможностей расширения синхронизации транзакций Intel (Intel TSX).

Ссылки

Заявление об отказе от ответственности со сторонними сведениями

Продукты сторонних разработчиков, рассмотренные в этой статье, выпущены компаниями, независимыми от корпорации Майкрософт. Мы не предоставляем гарантий, подразумеваемых или иных, относительно производительности или надежности этих продуктов.

Мы предоставляем контактные данные третьих лиц, чтобы вы могли получить техническую поддержку. Эти контактные данные могут меняться без уведомления. Мы не гарантируем точность контактных данных третьих лиц.