KB4073065: Pokyny pre Surface na ochranu pred mikroarchitekturálou založenou na kremíku a špekulatívnymi zraniteľnosťami bočného kanála vykonávania

Tím surfaceu vie o nových variantoch útoku na mikroarchitekturálu založených na kremíku a špekulatívnom vykonávaní útokov na bočnom kanáli, ktoré ovplyvňujú aj produkty Surface. Ďalšie informácie o rizikách a zmierňovaní rizík nájdete v nasledujúcich upozorneniach na zabezpečenie: 

• Microsoft Security Advisory ADV220002

V spolupráci s našimi partnermi poskytujeme aktualizácie produktov Surface hneď, ako zabezpečíme, aby aktualizácie spĺňali naše požiadavky na kvalitu. 

Ďalšie informácie o aktualizáciách pre zariadenia Surface nájdete v histórii aktualizácií zariadenia Surface.

Tím surfaceu si je vedomý nových špekulatívnych variantov útokov bočného kanála, ktoré ovplyvňujú aj produkty Surface. Zmiernenie týchto chýb vyžaduje aktualizáciu operačného systému a aktualizáciu rozhrania Surface UEFI, ktorá obsahuje nový mikrokód. Ďalšie informácie o rizikách a zmierňovaní rizík nájdete v nasledujúcich upozorneniach na zabezpečenie:

• Microsoft Security Advisory ADV190013

  Toto upozornenie zahŕňa nasledujúce chyby:

  • CVE-2018-12126 | Vzorkovanie údajov medzipamäte v mikroarchitektúrnom ukladaní (MSBDS) 

  • CVE-2018-12130 | Vzorkovanie údajov medzipamätenej mikroarchitektúrovej výplne (MFBDS)

  • CVE-2018-12127 | Vzorkovanie údajov o prenose mikroarchitektúrového zaťaženia (MLPDS)

  • CVE-2019-11091 | Pamäť MDSUM (Microarchitectural Data Sampling Uncacheable Memory)

Okrem inštalácie aktualizácií zabezpečenia Windows operačného systému vydal Surface aktualizácie UEFI prostredníctvom Windows Update a Centra sťahovania softvéru pre nasledujúce zariadenia:

• Aktualizácia zariadenia Surface 3 – 11. júla 2019

• Surface Pro 3 – aktualizácia z 11. júla 2019

• Surface Pro 4 – aktualizácia z 27. júna 2019

• Surface Book – aktualizácia z 27. júna 2019

• Surface Studio – aktualizácia z 11. júla 2019

• Surface Pro (5^. generácie) – aktualizácia z 27. júna 2019

• Surface Laptop – aktualizácia z 27. júna 2019

• aktualizácia Surface Book 2. – 27. júna 2019

• Surface Pro 6 - aktualizácia z 27. júna 2019

• Surface Laptop 2 – aktualizácia z 27. júna 2019

• Surface Studio aktualizácia z 2. júla 2019 z 31. júla 2019

• Surface GO WiFi – aktualizácia z 23. júla 2019

• LTE pre Surface GO – aktualizácia z 23. júla 2019

Okrem nového mikrokódu bude pri inštalácii aktualizácie UEFI k dispozícii aj nové nastavenie UEFI známe ako Simultánne viacnásobné vlákna (SMT). Toto nastavenie umožňuje používateľovi zakázať hyperprocesovanie.

Poznámky

• Ak sa rozhodnete vypnúť Hyper-Threading, odporúčame vám použiť nové nastavenie SMT UEFI.

• Vypnutie SMT poskytuje dodatočnú ochranu pred týmito novými zraniteľnosťami a útokom L1 Terminal Fault , ktorý bol oznámený skôr. Táto metóda však ovplyvňuje aj výkon zariadenia.

• Surface 3 a Surface Studio s technológiou Intel Core i5 nemajú SMT. Preto tieto zariadenia nemajú toto nové nastavenie.

• Nástroj na konfiguráciu UEFI systému Microsoft Surface Enterprise Management Mode (SEMM) verzie 2.43.139 alebo novšej podporuje nové nastavenie SMT. Nástroje si môžete stiahnuť z tejto webovej stránky. Stiahnite si nasledujúce požadované nástroje:

  • SurfaceUEFI_Configurator_v2.43.139.0.msi

  • SurfaceUEFI_Manager_v2.43.139.0.msi

Tím surfaceu vie o novom špekulatívnom útoku bočného kanála s názvom L1 Terminal Fault (L1TF) a priradených CVE-2018-3620 (OS a SMM) a CVE-2018-3646 (VMM). Ovplyvnené produkty Surface sú rovnaké ako v časti Zraniteľnosti oznámené v máji 2018 v tomto článku. Aktualizácie mikrokódov, ktoré zmierňujú zistenia z mája 2018, zmierňujú aj L1TF (CVE-2018-3646). Ďalšie informácie o zraniteľnosti a zmiernení rizík nájdete v nasledujúcom upozornení zabezpečenia:

• Microsoft Security Advisory ADV180018

  Toto upozornenie zahŕňa nasledujúce chyby:

  • CVE-2018-3620

  • CVE-2018-3646

Bezpečnostné poradenstvo navrhuje, aby zákazníci, ktorí používajú Virtualization Based Security (VBS), ktorý zahŕňa bezpečnostné funkcie, ako sú Credential Guard a Device Guard, by mali zvážiť vypnutie Hyper-Threading s cieľom úplne eliminovať riziko z L1TF.

Tím surfaceu sa dozvedel o nových špekulatívnych variantoch útokov na bočnom kanáli spustenia, ktoré ovplyvňujú aj produkty Surface. Zmiernenie týchto chýb vyžaduje aktualizácie UEFI, ktoré používajú nový mikrokód. Ďalšie informácie o rizikách a zmierňovaní rizík nájdete v nasledujúcich upozorneniach zabezpečenia:

• Microsoft Security Advisory ADV180012

  Toto upozornenie zahŕňa nasledujúce nedostatočné zabezpečenie:

  • CVE-2018-3639

• Microsoft Security Advisory ADV180013

  Toto upozornenie zahŕňa nasledujúce nedostatočné zabezpečenie:

  • CVE-2018-3640

Okrem inštalácie aktualizácií zabezpečenia Windows operačného systému vydal Surface aktualizácie UEFI prostredníctvom Windows Update a Centra sťahovania softvéru pre nasledujúce zariadenia:

• aktualizácia Surface Book 2. – 1. augusta 2018

• Surface Book – aktualizácia z 21. augusta 2018

• Surface Laptop – aktualizácia z 25. júla 2018

• Surface Studio – aktualizácia z 1. októbra 2018

• Surface Pro 4 – aktualizácia z 25. júla 2018

• aktualizácia Surface Pro 3. – 7. augusta 2018

• Surface Pro Model 1796 a Surface Pro s rozšírenou aktualizáciou modelu LTE 1807 – aktualizácia z 26. júla 2018

Tím surfaceu si je vedomý verejne zverejnenej triedy zraniteľností, ktoré zahŕňajú špekulatívne spustenie bočného kanála (známeho ako Spectre a Meltdown), ktoré ovplyvňujú mnoho moderných procesorov a operačných systémov vrátane intel, AMD a ARM. Ďalšie informácie o rizikách a zmierňovaní rizík nájdete v nasledujúcich upozorneniach na zabezpečenie:

• Microsoft Security Advisory ADV180002

  Toto upozornenie zahŕňa nasledujúce chyby:

  • CVE-2017-5753

  • CVE 5715 2017

  • CVE-2017-5754

Ďalšie informácie o Windows aktualizáciách softvéru nájdete v nasledujúcich článkoch vedomostná databáza:

• KB4073757 

• KB4073119 (pokyny pre klientov)

Okrem inštalácie aktualizácií zabezpečenia operačného systému Windows 3. januára surface vydal aktualizácie UEFI prostredníctvom Windows Update a Centra sťahovania softvéru pre nasledujúce zariadenia:

• Surface Book 2 – (história aktualizácií)

• Surface Book – (história aktualizácií)

• Surface Laptop – (história aktualizácií)

• Surface Studio – (história aktualizácií)

• Surface Pro 4 – (história aktualizácií)

• Surface Pro 3 – (história aktualizácií)

• Surface 3 – (história aktualizácií)

• Surface Pro Model 1796 a Surface Pro s rozšíreným modelom LTE 1807- (história aktualizácií)

Tieto aktualizácie sú k dispozícii pre zariadenia, ktoré používajú Windows 10 Creators Update (zostava 15063) a novšie verzie.

Poskytujeme kontaktné informácie tretích strán, ktoré vám pomôžu nájsť technickú podporu. Tieto kontaktné informácie sa môžu zmeniť bez predchádzajúceho upozornenia. Nezaručujeme presnosť týchto kontaktných informácií tretích strán.