Примечание: Эта статья будет обновлена по мере получения дополнительных сведений. Регулярно проверяйте наличие обновлений и новых часто задаваемых вопросов.
Аннотация
В этой статье приводятся рекомендации по новому классу уязвимостей микроархитекции на основе кремниевого и спекулятивного выполнения, влияющих на многие современные процессоры и операционные системы. К ним относятся Intel, AMD и ARM. Конкретные сведения об этих уязвимостях на основе кремниевых устройств можно найти в следующих рекомендациях по безопасности и CVE:
-
ADV180002 | Руководство по устранению уязвимостей спекулятивного выполнения на стороне канала
-
ADV180012 | Руководство Майкрософт по обходу спекулятивного хранилища
-
ADV180013 | Microsoft Guidance for Rogue System Register Read
-
ADV180016 | Руководство Майкрософт по восстановлению состояния отложенного FP
-
ADV180018 | Руководство Майкрософт по устранению рисков варианта L1TF
-
ADV190013 | Руководство Майкрософт по устранению уязвимостей микроархитектекстальной выборки данных
-
ADV220002 | Руководство Майкрософт по уязвимостям устаревших данных INTEL Processor MMIO
Важно: Эта проблема также затрагивает другие операционные системы, такие как Android, Chrome, iOS и macOS. Поэтому мы советуем клиентам обращаться за рекомендациями от этих поставщиков.
Мы выпустили несколько обновлений, которые помогут устранить эти уязвимости. Мы также предприняли действия для защиты наших облачных служб. Дополнительные сведения см. в следующих разделах.
Мы еще не получили никаких сведений, указывающих на то, что эти уязвимости использовались для атак на клиентов. Мы тесно работаем с отраслевыми партнерами, включая производителей микросхем, изготовителей оборудования и поставщиков приложений для защиты клиентов. Для получения всех доступных средств защиты требуется встроенное ПО (микрокод) и обновления программного обеспечения. В этот список также входят микрокоды от изготовителей устройств, а в некоторых случаях и обновления для антивирусного ПО.
В этой статье рассматриваются следующие уязвимости:
клиентский компонент Центра обновления Windows также предоставьте меры по устранению рисков Internet Explorer и Edge. Мы будем продолжать улучшать эти меры по устранению уязвимостей этого класса.
Дополнительные сведения об этом классе уязвимостей см. в следующих статьях:
Уязвимости
14 мая 2019 г. Корпорация Intel опубликовала сведения о новом подклассе уязвимостей спекулятивного выполнения на стороне канала, известного как микроархитективная выборка данных. Эти уязвимости устранены в следующих CVE:
-
CVE-2019-11091 | Микроархитекструктуральная выборка данных без кэшируемой памяти (MDSUM)
-
CVE-2018-12126 | Выборка данных буфера микроархитектора хранилища (MSBDS)
-
CVE-2018-12127 | Выборка данных буфера заполнения микроархитектора (MFBDS)
-
CVE-2018-12130 | Выборка данных порта для микроархитектора нагрузки (MLPDS)
Важно: Эти проблемы будут влиять на другие операционные системы, такие как Android, Chrome, iOS и MacOS. Мы рекомендуем вам получить рекомендации от этих соответствующих поставщиков.
Мы выпустили обновления для устранения этих уязвимостей. Для получения всех доступных средств защиты требуется встроенное ПО (микрокод) и обновления программного обеспечения. Это может быть микрокод от изготовителей оборудования устройств. В некоторых случаях установка этих обновлений повлияет на производительность. Мы также действовать для защиты наших облачных служб. Мы настоятельно рекомендуем развертывать эти обновления.
Дополнительные сведения об этой проблеме см. в следующих рекомендациях по безопасности и рекомендации по использованию сценариев для определения действий, необходимых для устранения угрозы:
-
ADV190013 | Руководство Майкрософт по устранению уязвимостей микроархитектекстальной выборки данных
-
Руководство windows по защите от уязвимостей спекулятивного выполнения на стороне канала
Примечание: Мы рекомендуем установить все последние обновления из клиентский компонент Центра обновления Windows перед установкой обновлений микрокодов.
6 августа 2019 г. Корпорация Intel выпустила сведения об уязвимости раскрытия информации ядра Windows. Эта уязвимость является вариантом уязвимости spectre Variant 1 спекулятивного выполнения на стороне канала и была назначена CVE-2019-1125.
9 июля 2019 г. мы выпустили обновления для системы безопасности операционной системы Windows, чтобы устранить эту проблему. Обратите внимание, что мы не отключались от документирования этой меры до координированного раскрытия информации в отрасли во вторник, 6 августа 2019 г.
Клиенты, клиентский компонент Центра обновления Windows включены и применили обновления для системы безопасности, выпущенные 9 июля 2019 г., защищены автоматически. Дальнейшая настройка не требуется.
Примечание: Для этой уязвимости не требуется обновление микрокода от изготовителя устройства (OEM).
Дополнительные сведения об этой уязвимости и применимых обновлениях см. в руководстве по обновлению системы безопасности Майкрософт:
12 ноября 2019 г. Корпорация Intel опубликовала техническое руководство по уязвимости асинхронного прерывания транзакций Intel Transaction Extensions (Intel TSX), назначенной CVE-2019-11135. Мы выпустили обновления для устранения этой уязвимости. По умолчанию для выпусков КЛИЕНТСКОЙ ОС Windows включены средства защиты ОС.
14 июня 2022 г. мы опубликовали ADV220002 | Руководство Майкрософт по уязвимостям устаревших данных процессора Intel MMIO. Уязвимости назначаются в следующих CVE:
-
CVE-2022-21127 | Обновление выборки данных буфера специального регистра (обновление SRBDS)
-
CVE-2022-21166 | Частичная запись регистрации устройств (DRPW)
Рекомендуемые действия
Чтобы защититься от этих уязвимостей, необходимо выполнить следующие действия:
-
Примените все доступные обновления операционной системы Windows, включая ежемесячные обновления системы безопасности Windows.
-
Примените применимое обновление встроенного ПО (микрокода), предоставляемое производителем устройства.
-
Оцените риск для своей среды на основе информации, предоставленной в помощниках по безопасности Майкрософт ADV180002, ADV180012, ADV190013 и ADV220002,а также сведения, приведенные в этой статье.
-
Выполните необходимые действия, используя рекомендации и сведения о разделе реестра, приведенные в этой статье.
Примечание: Клиенты Surface получат обновление микрокода через Центр обновления Windows. Список последних доступных обновлений встроенного ПО устройства Surface (микрокод) см. в статье KB4073065.
Параметры устранения рисков для клиентов Windows
В рекомендациях по безопасности ADV180002, ADV180012, ADV190013 и ADV220002 содержатся сведения о рисках, связанных с этими уязвимостями, и о том, как они помогают определить состояние по умолчанию для защиты клиентских систем Windows. В следующей таблице перечислены требования микрокода ЦП и состояние по умолчанию для устранения рисков на клиентах Windows.
|
CVE |
Требуется микрокод ЦП или встроенное ПО? |
Состояние по умолчанию для устранения рисков |
|---|---|---|
|
CVE-2017-5753 |
Нет |
Включено по умолчанию (отключение не требуется) Дополнительные сведения см. в ADV180002 . |
|
CVE-2017-5715 |
Да |
Включено по умолчанию. Пользователи систем на основе процессоров AMD должны видеть часто задаваемые вопросы No 15, а пользователи процессоров ARM должны видеть часто задаваемые вопросы No 20 в ADV180002 для дополнительных действий и в этой статье базы знаний для применимых параметров раздела реестра. Примечание. По умолчанию retpoline включен для устройств под управлением Windows 10 версии 1809 или более поздней, если включен Spectre Variant 2 (CVE-2017-5715). Для получения дополнительных сведений о Retpoline следуйте указаниям в записи блога о устранении рисков Spectre версии 2 с помощью Retpoline в Windows . |
|
CVE-2017-5754 |
Нет |
Включено по умолчанию Дополнительные сведения см. в ADV180002 . |
|
CVE-2018-3639 |
Intel: Да |
Intel и AMD: отключены по умолчанию. Дополнительные сведения см. в ADV180012 , а также в этой статье базы знаний о применимых параметрах раздела реестра. ARM: включено по умолчанию без возможности отключения. |
|
CVE-2019-11091 |
Intel: Да |
Включено по умолчанию. Дополнительные сведения и сведения о применимых параметрах раздела реестра см. в статье ADV190013 . |
|
CVE-2018-12126 |
Intel: Да |
Включено по умолчанию. Дополнительные сведения и сведения о применимых параметрах раздела реестра см. в статье ADV190013 . |
|
CVE-2018-12127 |
Intel: Да |
Включено по умолчанию. Дополнительные сведения и сведения о применимых параметрах раздела реестра см. в статье ADV190013 . |
|
CVE-2018-12130 |
Intel: Да |
Включено по умолчанию. Дополнительные сведения и сведения о применимых параметрах раздела реестра см. в статье ADV190013 . |
|
CVE-2019-11135 |
Intel: Да |
Включено по умолчанию. Дополнительные сведения и сведения о применимых параметрах раздела реестра см. в CVE-2019-11135. |
|
CVE-2022-21123 (часть MMIO ADV220002) |
Intel: Да |
Windows Server 2019, Windows Server 2022: включено по умолчанию. Дополнительные сведения и сведения о применимых параметрах раздела реестра см. в CVE-2022-21123 . |
|
CVE-2022-21125 (часть MMIO ADV220002) |
Intel: Да |
Windows Server 2019, Windows Server 2022: включено по умолчанию. |
|
CVE-2022-21127 (часть MMIO ADV220002) |
Intel: Да |
Server 2019, Windows Server 2022: включен по умолчанию. |
|
CVE-2022-21166 (часть MMIO ADV220002) |
Intel: Да |
Windows Server 2019, Windows Server 2022: включено по умолчанию. |
|
CVE-2022-23825 (путаница типа ветви ЦП AMD) |
AMD: Нет |
Дополнительные сведения и сведения о применимых параметрах раздела реестра см. в CVE-2022-23825. |
|
CVE-2022-23816 (путаница с типом ветви ЦП AMD) |
AMD: Нет |
Дополнительные сведения и сведения о применимых параметрах раздела реестра см. в CVE-2022-23816. |
Примечание: По умолчанию включение отключенных мер защиты может повлиять на производительность устройства. Фактическое влияние на производительность зависит от нескольких факторов, таких как конкретный набор микросхем на устройстве и выполняемые рабочие нагрузки.
Параметры реестра
Мы предоставляем следующие сведения реестра, чтобы включить устранение рисков, которые не включены по умолчанию, как описано в рекомендациях по безопасности ADV180002 и ADV180012. Кроме того, мы предоставляем параметры раздела реестра для пользователей, которые хотят отключить средства устранения рисков, связанные с CVE-2017-5715 и CVE-2017-5754 для клиентов Windows.
Важно: В этом разделе, описании метода или задачи содержатся сведения о внесении изменений в реестр. Однако неправильное изменение параметров реестра может привести к возникновению серьезных проблем. Поэтому следует точно выполнять приведенные инструкции. В качестве дополнительной защитной меры перед изменением реестра необходимо создать его резервную копию. Это позволит восстановить реестр в случае возникновения проблем. Дополнительные сведения о резервном копировании и восстановлении реестра см. в следующей статье базы знаний Майкрософт:
322756 Как создать резервную копию и восстановить реестр в Windows
Важно: По умолчанию retpoline включен на Windows 10, версия 1809 устройствах, если включен Spectre, Variant 2 (CVE-2017-5715). Включение Retpoline в последней версии Windows 10 может повысить производительность на устройствах под управлением Windows 10, версия 1809 spectre версии 2, особенно на более старых процессорах.
|
Включение мер по умолчанию для CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Размыкание) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. Отключение устранения рисков для CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (вяло) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. |
Примечание: Значение 3 является точным для FeatureSettingsOverrideMask для параметров enable и disable. (Дополнительные сведения о разделах реестра см. в разделе "Часто задаваемые вопросы".)
|
Чтобы отключить устранение рисков для CVE-2017-5715 (Spectre Variant 2): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. Чтобы включить меры по умолчанию для CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Down): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. |
По умолчанию защита от пользователя к ядру для CVE-2017-5715 отключена для процессоров AMD и ARM. Необходимо включить устранение рисков для получения дополнительных мер защиты для CVE-2017-5715. Дополнительные сведения см. в разделе часто задаваемых вопросов No 15 в ADV180002 для процессоров AMD и часто задаваемых вопросов No 20 в ADV180002 для процессоров ARM.
|
Включите защиту от пользователя к ядру на процессорах AMD и ARM вместе с другими средствами защиты для CVE 2017–5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. |
|
Чтобы включить меры по устранению рисков для CVE-2018-3639 (обход спекулятивного хранилища), меры по умолчанию для CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Неявный режим): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. Примечание. Процессоры AMD не уязвимы к CVE-2017-5754 (Down). Этот раздел реестра используется в системах с процессорами AMD для включения мер по умолчанию для CVE-2017-5715 на процессорах AMD и устранения рисков для CVE-2018-3639. Отключение мер для CVE-2018-3639 (обход спекулятивного хранилища) *и* для CVE-2017-5715 (Spectre Variant 2) и CVE-2017-5754 (Развертка) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. |
По умолчанию защита от пользователя к ядру для CVE-2017-5715 отключена для процессоров AMD. Клиенты должны включить устранение рисков, чтобы получить дополнительные средства защиты для CVE-2017-5715. Дополнительные сведения см. в разделе вопросов и ответов No 15 в ADV180002.
|
Включите защиту от пользователя к ядру на процессорах AMD вместе с другими средствами защиты для CVE 2017-5715 и защиты CVE-2018-3639 (обход спекулятивного хранилища): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. |
|
Включение мер для уязвимости асинхронного прерывания транзакций Intel Transaction Synchronization Extensions (Intel TSX) (CVE-2019-11135) и микроархитекционной выборки данных (CVE-20) 19-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) вместе с вариантами Spectre (CVE-2017-5753 & CVE-2017-5715) иDown (CVE-2017-5754) в включая отключение обхода спекулятивного хранилища (SSBD) (CVE-2018-3639), а также ошибку терминала L1 (L1TF) (CVE-2018-3615); CVE-2018-3620 и CVE-2018-3646) без отключения Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Если компонент Hyper-V установлен, добавьте следующий параметр реестра: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Если это узел Hyper-V и были применены обновления встроенного ПО: Полностью завершите работу всех Виртуальные машины. Это позволяет применять меры по устранению рисков, связанных с встроенным ПО, на узле перед запуском виртуальных машин. Таким образом, виртуальные машины также обновляются при перезапуске. Перезапустите устройство, чтобы изменения вступили в силу. Включение мер для уязвимости асинхронного прерывания транзакций Intel Transaction Synchronization Extensions (Intel TSX) (CVE-2019-11135) и микроархитекционной выборки данных (CVE-20) 19-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 ) вместе с вариантами Spectre (CVE-2017-5753 & CVE-2017-5715) иDown (CVE-2017-5754) в включая отключение обхода спекулятивного хранилища (SSBD) (CVE-2018-3639), а также ошибку терминала L1 (L1TF) (CVE-2018-3615); CVE-2018-3620 и CVE-2018-3646) с Hyper-Threading отключен: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Если компонент Hyper-V установлен, добавьте следующий параметр реестра: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Если это узел Hyper-V и были применены обновления встроенного ПО: Полностью завершите работу всех Виртуальные машины. Это позволяет применять меры по устранению рисков, связанных с встроенным ПО, на узле перед запуском виртуальных машин. Таким образом, виртуальные машины также обновляются при перезапуске. Перезапустите устройство, чтобы изменения вступили в силу. Отключение устранения уязвимости асинхронного прерывания транзакций Intel Transaction Synchronization Extensions (Intel® TSX) (CVE-2019-11135) и микроархитекционной выборки данных (CVE-2) 11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 ) наряду с вариантами Spectre (CVE-2017-5753 & CVE-2017-5715) иDown (CVE-2017-5754), включая отключение обхода спекулятивного хранилища (SSBD) (CVE-2018-3639), а также ошибку терминала L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 и® CVE-2018-3646: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Перезапустите устройство, чтобы изменения вступили в силу. |
Включите защиту от пользователя к ядру на процессорах AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Чтобы обеспечить полную защиту, клиентам также может потребоваться отключить Hyper-Threading (также известный как одновременная многопотовая обработка (SMT)). Рекомендации по защите устройств Windows см. в статье KB4073757.
Проверка включения защиты
Чтобы убедиться, что защита включена, мы опубликовали сценарий PowerShell, который можно запустить на ваших устройствах. Установите и запустите скрипт одним из следующих методов.
|
Установите модуль PowerShell: Ps> Install-Module Автоконтроллер Запустите модуль PowerShell, чтобы убедиться, что защита включена: PS> # Сохранить текущую политику выполнения, чтобы ее можно было сбросить. PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser Ps> Import-Module Автоконтроллер Ps> Get-SpeculationControlSettings PS> # Сброс политики выполнения до исходного состояния PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
Установите модуль PowerShell из Technet ScriptCenter: Перейдите к https://aka.ms/SpeculationControlPS Скачайте SpeculationControl.zip в локальную папку. Извлечение содержимого в локальную папку, например C:\ADV180002 Запустите модуль PowerShell, чтобы убедиться, что защита включена: Запустите PowerShell, а затем (с помощью предыдущего примера) скопируйте и выполните следующие команды: PS> # Сохранить текущую политику выполнения, чтобы ее можно было сбросить. PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\Веб-интерфейс PS> Import-Module .\Веб-сайтЕ.\Веб-сайте.psd1 Ps> Get-SpeculationControlSettings PS> # Сброс политики выполнения до исходного состояния PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Подробное описание выходных данных сценария PowerShell см. в статье KB4074629.
Типичные вопросы
Микрокод доставляется через обновление встроенного ПО. Обратитесь к изготовителям ЦП и устройств, чтобы узнать о доступности применимых обновлений безопасности встроенного ПО для конкретного устройства, включая руководство по редакции Микрокода Intels.
Устранение уязвимости оборудования с помощью обновления программного обеспечения представляет значительные проблемы. Кроме того, для устранения рисков для старых операционных систем требуются значительные изменения архитектуры. Мы работаем с затронутыми производителями микросхем, чтобы определить оптимальный способ устранения рисков, которые могут быть доставлены в будущих обновлениях.
Обновления устройства Microsoft Surface будут доставляться клиентам через клиентский компонент Центра обновления Windows вместе с обновлениями операционной системы Windows. Список доступных обновлений встроенного ПО устройства Surface (микрокод) см. в статье KB4073065.
Если устройство не является корпорацией Майкрософт, примените встроенное ПО от изготовителя устройства. Для получения дополнительных сведений обратитесь к изготовителю устройства изготовителя оборудования.
В феврале и марте 2018 г. корпорация Майкрософт выпустила добавленную защиту для некоторых систем на основе x86. Дополнительные сведения см. в статьях KB4073757 и Microsoft Security Advisory ADV180002.
Обновления Windows 10 holoLens доступны клиентам HoloLens через клиентский компонент Центра обновления Windows.
После применения обновления Безопасность Windows за февраль 2018 г. клиентам HoloLens не нужно выполнять никаких дополнительных действий по обновлению встроенного ПО устройства. Эти меры также будут включены во все будущие выпуски Windows 10 для HoloLens.
Нет. Обновления только для системы безопасности не являются накопительными. В зависимости от используемой версии операционной системы для защиты от этих уязвимостей необходимо устанавливать ежемесячные обновления только для системы безопасности. Например, если вы используете Windows 7 для 32-разрядных систем на затронутом ЦП Intel, необходимо установить все обновления только для системы безопасности. Мы рекомендуем устанавливать эти обновления только для системы безопасности в порядке выпуска.
Примечание. В более ранней версии этого часто задаваемых вопросов неправильно указано, что обновление "Только безопасность за февраль" содержит исправления безопасности, выпущенные в январе. На самом деле это не так.
Нет. Обновление системы 4078130 было конкретным исправлением для предотвращения непредсказуемого поведения системы, проблем с производительностью и (или) непредвиденной перезагрузки после установки микрокода. Применение февральских обновлений безопасности в клиентских операционных системах Windows позволяет устранить все три рисков.
Корпорация Intel недавно сообщила о завершении проверки и начала выпускать микрокод для новых платформ ЦП. Корпорация Майкрософт делает доступными проверенные Intel обновления микрокодов для Spectre Variant 2 (CVE-2017-5715 "Внедрение целевого объекта ветви"). Статья KB4093836 содержит определенные статьи базы знаний по версии Windows. Каждая конкретная база знаний содержит доступные обновления микрокодов Intel по ЦП.
Эта проблема устранена в KB4093118.
AMD недавно объявили о том, что начали выпускать микрокод для новых платформ ЦП для Spectre Variant 2 (CVE-2017-5715 "Внедрение целевого объекта ветви"). Дополнительные сведения см. в техническом документе по безопасности AMD Обновлениядокументации amD: рекомендации по архитектуре для косвенного управления ветвью. Они доступны в канале встроенного ПО изготовителя оборудования.
Мы выпускаем доступные проверенные Intel обновления микрокодов для Spectre Variant 2 (CVE-2017-5715 "Внедрение целевого объекта ветви "). Чтобы получить последние обновления Intel microcode через клиентский компонент Центра обновления Windows, клиенты должны установить микрокод Intel на устройствах под управлением операционной системы Windows 10 перед обновлением до обновления Windows 10 за апрель 2018 г. (версия 1803).
Обновление микрокода также доступно непосредственно из каталога, если оно не было установлено на устройстве перед обновлением ОС. Микрокод Intel доступен через клиентский компонент Центра обновления Windows, WSUS или каталог Центра обновления Майкрософт. Дополнительные сведения и инструкции по скачии см. в статье KB4100347.
Дополнительные сведения см. в следующих ресурсах:
Дополнительные сведения см. в разделах "Рекомендуемые действия" и "Часто задаваемые вопросы" в ADV180012 | Руководство Майкрософт по обходу спекулятивного хранилища.
Чтобы проверить состояние SSBD, скрипт Get-SpeculationControlSettings PowerShell был обновлен для обнаружения затронутых процессоров, состояния обновлений операционной системы SSBD и состояния микрокода процессора, если применимо. Дополнительные сведения и получение скрипта PowerShell см. в статье KB4074629.
13 июня 2018 г. была объявлена и назначена CVE-2018-3665 дополнительная уязвимость, которая включает спекулятивное выполнение на стороне канала, известное как отложенное восстановление состояния FP. Для восстановления FP отложенного восстановления параметры конфигурации (реестра) не нужны.
Дополнительные сведения об этой уязвимости и рекомендуемых действиях см. в рекомендациях по безопасности ADV180016 | Руководство Майкрософт по восстановлению состояния отложенного FP.
Примечание: Для восстановления FP отложенного восстановления параметры конфигурации (реестра) не нужны.
Хранилище обхода проверки границ (BCBS) было раскрыно 10 июля 2018 г. и назначено CVE-2018-3693. Мы считают, что BCBS принадлежит к одному классу уязвимостей, что и обход проверки границ (вариант 1). В настоящее время нам не известно о каких-либо экземплярах BCBS в нашем программном обеспечении, но мы продолжаем исследовать этот класс уязвимостей и будем работать с отраслевыми партнерами для устранения рисков по мере необходимости. Мы по-прежнему рекомендуем исследователям отправлять все соответствующие результаты в программу каналов спекулятивного выполнения Корпорации Майкрософт, включая любые экземпляры BCBS, которые могут быть эксплойтами. Разработчикам программного обеспечения следует ознакомиться с рекомендациями разработчиков, которые были обновлены для BCBS на https://aka.ms/sescdevguide.
14 августа 2018 г. было объявлено о сбое терминала L1 (L1TF) и назначено несколько ЦС. Эти новые уязвимости спекулятивного выполнения на стороне канала можно использовать для чтения содержимого памяти через доверенную границу и при использовании может привести к раскрытию информации. Злоумышленник может активировать уязвимости с помощью нескольких векторов в зависимости от настроенной среды. L1TF влияет на процессоры Intel® Core® и Процессоры Intel® Xeon®.
Дополнительные сведения об этой уязвимости и подробное представление затронутых сценариев, включая подход Корпорации Майкрософт к устранению рисков L1TF, см. в следующих ресурсах:
Клиенты, использующие 64-разрядные процессоры ARM, должны проверить у изготовителя оборудования устройства поддержку встроенного ПО, так как средства защиты операционной системы ARM64, которые устраняют проблемы с CVE-2017-5715 | Внедрение целевого объекта ветви (Spectre, вариант 2) требует, чтобы вступает в силу последнее обновление встроенного ПО от изготовителей оборудования устройства.
Дополнительные сведения см. в следующих рекомендациях по безопасности.
Дополнительные сведения см. в следующих рекомендациях по безопасности.
Дополнительные рекомендации см. в руководстве windows по защите от уязвимостей спекулятивного выполнения на стороне канала.
Ознакомьтесь с рекомендациями в Windows по защите от уязвимостей спекулятивного выполнения на стороне канала.
Руководство по Azure см. в этой статье. Руководство по устранению уязвимостей спекулятивного выполнения в Azure.
Дополнительные сведения о включении Retpoline см. в нашей записи блога: Устранение рисков Spectre версии 2 с помощью Retpoline в Windows.
Дополнительные сведения об этой уязвимости см. в руководстве по безопасности Майкрософт: CVE-2019-1125 | Уязвимость раскрытия информации ядра Windows.
Нам не известно об этой уязвимости раскрытия информации, которая влияет на нашу инфраструктуру облачных служб.
Как только мы ознакомились с этой проблемой, мы быстро поработали над ее устранением и выпуском обновления. Мы настоятельно верим в тесное сотрудничество как с исследователями, так и с отраслевыми партнерами, чтобы сделать клиентов более безопасными, и не публикуем подробные сведения до вторника, 6 августа, в соответствии с согласованными методиками раскрытия уязвимостей.
Дополнительные рекомендации по защите от уязвимостей спекулятивного выполнения на стороне канала см. в руководстве по Windows.
Дополнительные рекомендации по защите от уязвимостей спекулятивного выполнения на стороне канала см. в руководстве по Windows.
Дополнительные рекомендации см. в руководстве по отключению возможностей intel Transactional Synchronization Extensions (Intel® TSX).®
Ссылки
Мы предоставляем контактные данные сторонних разработчиков, которые помогут вам найти техническую поддержку. Эти данные могут быть изменены без предварительного уведомления. Мы не гарантируем точность этих контактных данных сторонних разработчиков.
