Руководство windows для клиентов для ИТ-специалистов для защиты от спекулятивных уязвимостей бокового канала выполнения

Рекомендуемые действия

Клиенты должны принять следующие меры, чтобы защититься от уязвимостей:

  1. Применяйте все доступные обновления операционной системы Windows, включая ежемесячные обновления безопасности Windows.

  2. Примените применимое обновление прошивки (микрокод), которое предоставляется производителем устройства.

  3. Оцените риск для вашей среды на основе информации, которая предоставляется в Microsoft Security Advisories: ADV180002, ADV180012, ADV190013 и информации, представленной в настоящей статье Базы знаний.

  4. При необходимости примите меры, используя рекомендации и ключевую информацию реестра, которая содержится в настоящей статье базы знаний.

Заметка Surface клиенты будут получать обновление микрокода через обновление Windows. Список последних доступных обновлений прошивки устройства Surface (микрокод) можно найти в KB 4073065.

Настройки смягчения для клиентов Windows

Рекомендации по безопасности ADV180002,ADV180012и ADV190013 предоставляют информацию о риске, который представляют эти уязвимости, и они помогают определить состояние смягчения последствий по умолчанию для клиентских систем Windows. В следующей таблице кратко излагаются требования к микрокоду процессора и состояние по умолчанию мер по смягчению последствий для клиентов Windows.

Cve

Требуется микрокод/прошивка процессора?

Статус смягчения по умолчанию

CVE-2017-5753

Нет

Включено по умолчанию (без возможности отключить)

Пожалуйста, обратитесь к ADV180002 для получения дополнительной информации.

CVE-2017-5715

Да

Включено по умолчанию. Пользователи систем, основанных на процессорах AMD, должны видеть часто задаваемые вопросы #15 и пользователи процессоров ARM должны видеть #20 часто задаваемых вопросов на ADV180002 для дополнительных действий и этой статьи КБ для применимых параметров ключей реестра.

Заметка "Retpoline" включен по умолчанию для устройств под управлением Windows 10 1809 или более новый, если Spectre Variant 2(CVE-2017-5715) включен. Для получения дополнительной информации, вокруг "Retpoline", следуйте указаниям вварианте Mitigating Spectre 2 с Retpoline на блоге Windows.

CVE-2017-5754

Нет

Включено по умолчанию

Пожалуйста, обратитесь к ADV180002 для получения дополнительной информации.

CVE-2018-3639

Intel: Да AMD: Нет ARM: Да

Intel и AMD: отключены по умолчанию. См ADV180012 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.

ARM: Включено по умолчанию без возможности отключить.

CVE-2018-11091

Intel: Да

Включено по умолчанию.

См ADV190013 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.

CVE-2018-12126

Intel: Да

Включено по умолчанию.

См ADV190013 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.

CVE-2018-12127

Intel: Да

Включено по умолчанию.

См ADV190013 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.

CVE-2018-12130

Intel: Да

Включено по умолчанию.

См ADV190013 для получения дополнительной информации и этой статьи КБ для применимых параметров ключов реестра.

CVE-2019-11135

Intel: Да

Включено по умолчанию.

Более подробную информацию можно узнать на CVE-2019-11135, а также о соответствующих настройках ключей реестра.

Заметка Включение мер по умолчанию может повлиять на производительность. Фактический эффект производительности зависит от нескольких факторов, таких как конкретный набор микросхем в устройстве и рабочие нагрузки.

Настройки реестра

Мы предоставляем следующую информацию реестра, чтобы позволить смягчения, которые не включены по умолчанию, как это описано в security Advisories ADV180002 и ADV180012. Кроме того, мы предоставляем настройки ключей реестра для пользователей, которые хотят отключить меры по смягчению последствий, связанных с CVE-2017-5715 и CVE-2017-5754 для клиентов Windows.

Важно Этот раздел, метод или задача содержит шаги, которые подскажут, как изменить реестр. Однако при неправильном изменении реестра могут возникнуть серьезные проблемы. Поэтому убедитесь, что вы внимательно следуете этим шагам. Для дополнительной защиты, резервное копирование реестра, прежде чем изменить его. Затем можно восстановить реестр, если возникнет проблема. Для получения дополнительной информации о том, как создать резервную базу и восстановить реестр, смотрите следующую статью в базе знаний Майкрософт:

322756 Как создать резервную часть и восстановить реестр в Windows

Управление смягчением для CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)

Важное примечание Retpoline включен по умолчанию на Windows 10, версия 1809 устройств, если Spectre, Вариант 2 (CVE-2017-5715) включен. Включение Retpoline в последнюю версию Windows 10 может повысить производительность на устройствах под управлением Windows 10, версия 1809 для Spectre вариант 2, особенно на старых процессорах.

Для смягчения обязательств для CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3/f

Перезапустите компьютер для вхотворемых изменений.

Для устранения смягчения последствий для CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverride /t REG_DWORD /d 3/f

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3/f

Перезапустите компьютер для вхотворемых изменений.

Заметка Значение 3 точно для FeatureSettingsOverrideMask как для "включить" и "отключить" настройки. (См. раздел "Часто задаваемые вопросы" для получения более подробной информации о ключах реестра.)

Управление смягчением для CVE-2017-5715 (Спектр Вариант 2)

Для устранения смягчения последствий для CVE-2017-5715 (Спектр Вариант 2):

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverride /t REG_DWORD /d 1/f

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3/f

Перезапустите компьютер для вхотворемых изменений.

Для смягчения обязательств по CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown):

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3/f

Перезапустите компьютер для вхотворемых изменений.

AMD и ARM процессоры только: Включить полное смягчение для CVE-2017-5715 (Спектр Вариант 2)

По умолчанию защита от пользователя к ядру для CVE-2017-5715 отключена для процессоров AMD и ARM. Клиенты должны предоставить возможность смягчения последствий для получения дополнительной защиты для CVE-2017-5715. Для получения дополнительной информации см. часто задаваемые вопросы #15 в ADV180002 для процессоров AMD и #20 часто задаваемых вопросов в ADV180002 для процессоров ARM.

Включите защиту от пользователя к ядру на процессорах AMD и ARM вместе с другими мерами защиты для CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите компьютер для вхотворемых изменений.

Управление смягчением для CVE-2018-3639 (Спекулятивный обход магазина), CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)

Для смягчения последствий для CVE-2018-3639 (спекулятивный обход магазина), смягчения обязательств для CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите компьютер для вхотворемых изменений.

Примечание: Процессоры AMD не уязвимы для CVE-2017-5754 (Meltdown). Этот ключ реестра используется в системах с процессорами AMD для смягчения обязательств для cVE-2017-5715 на процессорах AMD и смягчения для CVE-2018-3639.

Для устранения смягчения последствий для CVE-2018-3639 (Спекулятивный обход магазина) и смягчения последствий для CVE-2017-5715 (Спектр Вариант 2) и CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите компьютер для вхотворемых изменений.

Только процессоры AMD: Включить полное смягчение для CVE-2017-5715 (Спектр Вариант 2) и CVE 2018-3639 (Спекулятивный обход магазина)

По умолчанию защита от пользователя к ядру для CVE-2017-5715 отключена для процессоров AMD. Клиенты должны предоставить возможность смягчения последствий для получения дополнительной защиты для CVE-2017-5715.  Для получения дополнительной информации смотрите #15 часто задаваемых вопросов в ADV180002.

Включить защиту от пользователя к ядру на процессорах AMD вместе с другими защиты для CVE 2017-5715 и защиты для CVE-2018-3639 (Спекулятивный обход магазина):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Перезапустите компьютер для вхотворемых изменений.

Управление Intel® Транзакционные расширения синхронизации (Intel® TSX) Уязвимость транзакций Asynchronous Abort (CVE-2019-11135) и микроархитектурная выборка данных (CVE-2018-11091, CVE-2018-12126, CVE-2018-1212 Спектр (CVE-2017-5753 и CVE-2017-5715) и Meltdown (CVE-2017-5754) варианты, включая спекулятивный магазин Обход отключать (SSBD) (CVE-2018-3639), а также L1 Терминал неисправности (L1TF) (CVE-2018-3615, CVE-2018-3620, и CVE-2018-3646)

Для смягчения последствий для Intel® транзакционных продлений синхронизации (Intel® TSX) Транзакционная уязвимость abort(CVE-2019-11135)и микроархитектурная выборка данных (CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127, CVE-2018-12130) вместе сSpectre (CVE-2017-5753 и CVE-2017-5715) и Meltdown (CVE-2017-5754) варианты, втомли Спекулятивный магазин Обход Отключительный (SSBD) ( CVE-2018-3639), а также L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646) без отключения Hyper-Threading:

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3/f

Если функция Hyper-V установлена, добавьте следующую настройку реестра:

reg добавить "HKEY_LOCAL_MACHINE»-"ПРОНИОРТА"Microsoft-Windows NT-Текущая Версия/Виртуализация" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Если это хост Hyper-V и были применены обновления прошивки: Полностью выключите все виртуальные машины. Это позволяет применять к усею, связанным с микропрограммой, до запуска ВМ. Таким образом, VMs также обновляются при перезапущени.

Перезапустите компьютер для вхотворемых изменений.

Для смягчения последствий для Intel® транзакционных продлений синхронизации (Intel® TSX) Транзакционная уязвимость abort(CVE-2019-11135)и микроархитектурная выборка данных (CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127, CVE-2018-12130) вместе сSpectre (CVE-2017-5753 и CVE-2017-5715) и Meltdown (CVE-2017-5754) варианты, втомли Спекулятивный магазин Обход Отключительный (SSBD) ( CVE-2018-3639), а также L1 Терминал неисправности (L1TF) (CVE-2018-3615, CVE-2018-3620, и CVE-2018-3646) с гипер-поток отключен:

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3/f

Если функция Hyper-V установлена, добавьте следующую настройку реестра:

reg добавить "HKEY_LOCAL_MACHINE»-"ПРОНИОРТА"Microsoft-Windows NT-Текущая Версия/Виртуализация" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

 

Если это хост Hyper-V и были применены обновления прошивки: Полностью выключите все виртуальные машины. Это позволяет применять к усею, связанным с микропрограммой, до запуска ВМ. Таким образом, VMs также обновляются при перезапущени.

Перезапустите компьютер для вхотворемых изменений.

Чтобы отключить смягчение последствий для Intel® транзакционных продлений синхронизации (Intel® TSX) Транзакционная уязвимость прерывания(CVE-2019-11135)и микроархитектурная выборка данных ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127, CVE-2018-12130) вместе сSpectre (CVE-2017-5753 и CVE-2017-5715) и Meltdown (CVE-2017-5754) варианты, втомли Спекулятивный магазин Обход Отключительный (SSBD) ( CVE-2018-3639), а также неисправность терминала L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646):

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverride /t REG_DWORD /d 3/f

reg добавить "HKEY_LOCAL_MACHINE-SYSTEM-CurrentControlSet/Контроль/Управление сеансом"/Управление памятью" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3/f

Перезапустите компьютер для вхотворемых изменений.

Проверка включения средств защиты

Чтобы помочь клиентам проверить, включена ли защита, мы опубликовали скрипт PowerShell, который клиенты могут запускать в своих системах. Установите и запустите скрипт, запустив следующие команды.

Проверка PowerShell с помощью галереи PowerShell (Windows Server 2016 или WMF 5.0/5.1)

Установка модуля PowerShell:

ПСЗgt; Установка-Модуль СпекуляцияКонтроль

Выполнить модуль PowerShell, чтобы убедиться, что защита включена:

PS'gt;

Ps'gt; $SaveExecutionPolicy - Get-ExecutionPolicy

PS-gt; Установить-ИсполнениеПолитика RemoteSigned-Область Currentuser

ПСЗт; Импортно-модульный спекулятивный контроль

ПСЗтт; Получить-СпекуляцияControlSettings

PS-gt; - Перезаложить политику выполнения в исходное состояние

PS-gt; Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

 

Проверка PowerShell с помощью загрузки из Technet (более ранние версии операционной системы и более ранние версии WMF)

Установите модуль PowerShell из Technet ScriptCenter:

Перейти к https://aka.ms/SpeculationControlPS

Скачать SpeculationControl.zip в локальную папку.

Извлеките содержимое в локальную папку, например C:ADV180002

Выполнить модуль PowerShell, чтобы убедиться, что защита включена:

Запустите PowerShell, затем (используя предыдущий пример) скопировать и запустить следующие команды:

PS'gt;

Ps'gt; $SaveExecutionPolicy - Get-ExecutionPolicy

PS-gt; Установить-ИсполнениеПолитика RemoteSigned-Область Currentuser

ПСЗтт; CD C:ADV180002 -Спекуляционный контроль

ПСЗтт; Импорт-Модуль .-СпекуляцияControl.psd1

ПСЗтт; Получить-СпекуляцияControlSettings

PS-gt; - Перезаложить политику выполнения в исходное состояние

PS-gt; Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Для подробного объяснения вывода сценария PowerShell, пожалуйста, смотрите статья Базы знаний 4074629.

Типичные вопросы

Микрокод доставляется через обновление прошивки. Клиенты должны проверить с их процессор (чипсет) и производителей устройств на наличие применимых обновлений безопасности прошивки для их конкретного устройства, в том числе Intel Microcode Пересмотр Руководства.

Устранение аппаратной уязвимости с помощью обновления программного обеспечения сопряжено со значительными трудностями. Кроме того, смягчение последствий для старых операционных систем требует обширных архитектурных изменений. Мы работаем с пострадавшими производителями чипов, чтобы определить наилучший способ предоставления мер по смягчению последствий, которые могут быть доставлены в будущих обновлениях.

Обновления для устройств Microsoft Surface будут доставляться клиентам через Windows Update вместе с обновлениями для операционной системы Windows. Список доступных обновлений прошивки устройства Surface (микрокод) см.

Если устройство не от корпорации Майкрософт, примените прошивку от производителя устройства. Для получения дополнительной информации обратитесь к производителю устройств OEM.

В феврале и марте 2018 года Microsoft выпустила дополнительную защиту для некоторых систем на основе x86. Для получения дополнительной информации см. KB 4073757 и Microsoft Security Advisory ADV180002.

Обновления для Windows 10 для HoloLens доступны клиентам HoloLens через Windows Update.

После применения обновления безопасности Windows в феврале 2018года клиентам HoloLens не придется предпринимать никаких дополнительных действий для обновления прошивки устройства. Эти меры по смягчению последствий будут также включены во все будущие выпуски Windows 10 для HoloLens.

Нет. Обновления только для безопасности не являются кумулятивными. В зависимости от запущенной вами версии операционной системы, вам придется устанавливать каждый ежемесячный обновления Security Only, чтобы быть защищенными от этих уязвимостей. Например, если вы работаете под управлением Windows 7 для 32-битных систем на пострадавшем процессоре Intel, необходимо установить все обновления только для безопасности. Мы рекомендуем устанавливать эти обновления Security Только в порядке выпуска.

Примечание Более ранняя версия этого часто задаваемых вопросов неправильно заявил, что февраль безопасности Только обновление включены исправления безопасности выпущен в январе. На самом деле, это не так.

Нет. Обновление безопасности 4078130 было специфическим исправлением для предотвращения непредсказуемого поведения системы, проблем с производительностью и/или неожиданных перезагрузок после установки микрокода. Применение февральских обновлений безопасности на операционных системах клиентов Windows позволяет использовать все три средства.

Intelнедавно объявили,что они завершили проверку и начали выпускать микрокод для новых платформ процессора. Корпорация Майкрософт предоставляет intel проверенные обновления микрокода вокруг Spectre Variant 2 (CVE-2017-5715 "Ветвь целевая инъекция"). KB 4093836 перечисляет конкретные статьи базы знаний версии Windows. Каждый конкретный КБ содержит доступные обновления микрокода Intel по цП.

Эта проблема была решена в КБ 4093118.

AMD недавно объявили, что они начали выпускать микрокод для новых платформ процессора вокруг Spectre Variant 2 (CVE-2017-5715 "Ветвь целевой инъекции"). Для получения дополнительной информации обратитесь к AMD обновления безопасности и AMD Whitepaper: Архитектура Руководящие принципы вокруг косвенного управления филиалом. Они доступны на канале прошивки OEM.

Мы делаем доступными Intel проверенные обновления микрокода вокруг Spectre Variant 2 (CVE-2017-5715 "Ветвь Целевая инъекция "). Чтобы получить последние обновления микрокода Intel через Windows Update, клиенты должны установить микрокод Intel на устройствах под управлением операционной системы Windows 10 до обновления до Windows 10 Апрель 2018 Обновление (версия 1803).

Обновление микрокода также доступно непосредственно из Каталога, если оно не было установлено на устройстве до обновления ОС. Микрокод Intel доступен через Windows Update, WSUS или каталог обновления Майкрософт. Для получения дополнительной информации и загрузки инструкции, см KB 4100347.

Для получения подробной информации см. разделы "Рекомендуемые действия" и разделы "Часто задаваемые вопросы" в aDV180012 Microsoft Руководство для спекулятивного обхода магазина.

Для проверки состояния SSBD, Get-SpeculationControlSettings PowerShell скрипт был обновлен для обнаружения пострадавших процессоров, состояние обновлений операционной системы SSBD, и состояние микрокода процессора, если это применимо. Для получения дополнительной информации и получения сценария PowerShell см. KB 4074629.

13 июня 2018 года была объявлена дополнительная уязвимость, связанная со спекулятивным исполнением по сторонним каналам, известная как Lazy FP State Restore, и назначена CVE-2018-3665. Настройки конфигурации (реестра) не требуются для ленивого восстановления FP Restore.

Для получения дополнительной информации об этой уязвимости и рекомендуемых действиях, обратитесь к безопасности консультативных ADV180016 Руководство Microsoft для Ленивый FP состояние Восстановление.

Заметка Настройки конфигурации (реестра) не требуются для ленивого восстановления FP Restore.

Обвилость от 10 июля 2018 года было раскрыто и назначено CVE-2018-3693. Мы считаем, что BCBS относится к тому же классу уязвимостей, что и обход Чека (вариант 1). В настоящее время нам не известно о каких-либо случаях BCBS в нашем программном обеспечении, но мы продолжаем исследовать этот класс уязвимости и будем работать с отраслевыми партнерами, чтобы освободить смягчения по мере необходимости. Мы по-прежнему призываем исследователей представить любые соответствующие выводы в Microsoft в спекулятивного исполнения Side Channel щедрость программы, в том числе любые эксплуатируемые экземпляры BCBS. Разработчики программного обеспечения должны пересмотреть руководство разработчика, которое было обновлено для BCBS в https://aka.ms/sescdevguide.

14 августа 2018 года было объявлено о неисправности терминала L1 (L1TF) и назначено несколько CVE. Эти новые уязвимости спекулятивного выполнения бокового канала могут быть использованы для чтения содержимого памяти через доверенную границу и, если они будут использованы, могут привести к раскрытию информации. Злоумышленник может вызвать уязвимости через несколько векторов, в зависимости от настроенной среды. L1TF влияет на процессоры Intel® Core® и процессоры Intel® Xeon®.

Для получения дополнительной информации об этой уязвимости и подробном обзоре затронутых сценариев, включая подход корпорации Майкрософт к смягчению Последствий L1TF, см.

Клиенты, использующие 64-разрядные процессоры ARM, должны проверить с устройством OEM для поддержки прошивки, потому что arm64 операционная система защиты, которые смягчают CVE-2017-5715 - Ветвь целевой инъекции (Spectre, Вариант 2) требуют последнего обновления прошивки от устройства OEM-клиентов, чтобы ввести силу.

Для получения дополнительной информации обратитесь к следующим рекомендациям по безопасности

Для получения дополнительной информации обратитесь к следующим рекомендациям по безопасности

Для руководства Azure, пожалуйста, обратитесь к этой статье: Руководство по смягчению уязвимостей спекулятивного выполнения боковых каналов в Azure.

Для получения дополнительной информации о Retpoline включения, обратитесь к нашему блогу: Смягчение Spectre вариант 2 с Retpoline на Windows.

Подробнее об этой уязвимости читайте в руководстве по безопасности Корпорации Майкрософт: CVE-2019-1125 Уязвимость раскрытия информации о ядрах Windows.

Нам не известно ни о каком случае уязвимости раскрытия информации, затрагивающей нашу инфраструктуру облачных сервисов.

Как только нам стало известно об этой проблеме, мы быстро работали над ее устранением и выпуском обновления. Мы твердо верим в тесные партнерские отношения как с исследователями, так и с отраслевыми партнерами, чтобы сделать клиентов более безопасными, и не публиковали детали до вторника, 6 августа, в соответствии с скоординированной практикой раскрытия уязвимости.

 

Нужна дополнительная помощь?

Совершенствование навыков
Перейти к обучению
Первоочередный доступ к новым возможностям
Присоединение к программе предварительной оценки Майкрософт

Были ли сведения полезными?

Спасибо за ваш отзыв!

×