Vpišite se z Microsoftovim
Vpišite se ali ustvarite račun.
Pozdravljeni,
Izberite drug račun.
Imate več računov
Izberite račun, s katerim se želite vpisati.

Ranljivosti

14. maja 2019 je Intel objavil informacije o novem podrazredu ranljivosti stranskega kanala zaradi špekulativnega izvajanja, ki se imenujejo mikroarhiktično vzorčenje podatkov. Te ranljivosti so obravnavane v naslednjih cvI-jih:

Pomembno: Te težave bodo vplivale na druge operacijske sisteme, kot so Android, Chrome, iOS in MacOS. Svetujemo vam, da pri teh prodajalcih poiščete navodila.

Izdali smo posodobitve, ki pomagajo ublažiti te ranljivosti. Če želite pridobiti vso razpoložljivo zaščito, potrebujete posodobitve vdelane programske opreme (mikrokod) in programske opreme. To lahko vključuje mikrokod iz strojne opreme naprave. V nekaterih primerih bo namestitev teh posodobitev vplivala na učinkovitost delovanja. Prav tako smo se odzvali na varnost svojih storitev v oblaku. Toplo priporočamo, da uvedete te posodobitve.

Če želite več informacij o tej težavi, glejte spodnja navodila na podlagi varnostnega svetovanja in uporabe na podlagi scenarijev, da določite dejanja, potrebna za preprečevanje grožnje:

Opomba: Priporočamo, da namestite vse najnovejše posodobitve iz storitve Windows Update, preden namestite posodobitve mikro kode.

6. avgusta 2019 je Intel izdal podrobnosti o ranljivosti zaradi razkritja informacij v jedru sistema Windows. Ta ranljivost je različica ranljivosti stranskega kanala Spectre Variant 1 zaradi špekulativnega izvajanja in je bila dodeljena CVE-2019-1125.

9. julija 2019 smo izdali varnostne posodobitve za operacijski sistem Windows, s katerimi smo to težavo odpravili. Prosimo, upoštevajte, da smo držali nazaj dokumentiranje te ublažitve javno do razkritja usklajene industrije v torek, 6. avgusta 2019.

Stranke, ki imajo omogočeno storitev Windows Update in so uveljavile varnostne posodobitve, izdane 9. julija 2019, so samodejno zaščitene. Nadaljnje konfiguracije ni treba.

Opomba: Za to ranljivost ne potrebujete posodobitve mikro kode proizvajalca naprave.

Če želite več informacij o tej ranljivosti in veljavnih posodobitvah, glejte Vodnik po Microsoftovih varnostnih posodobitvah:

12. novembra 2019 je Intel objavil tehnično svetovanje glede nesinhrone ranljivosti transakcijskih razširitev Intel Transactional Synchronization Extensions (Intel TSX), ki je bila dodeljena CVE-2019-11135. Izdali smo posodobitve, ki pomagajo ublažiti to ranljivost. Za izdaje operacijskega sistema za odjemalca sistema Windows so privzeto omogočene zaščite operacijskega sistema.

14. junija 2022 smo objavili ADV220002 | Microsoftova navodila za ranljivosti zastarelih podatkov procesorja Intel MMIO. Ranljivosti so dodeljene v naslednjih cvI-jih:

Priporočena dejanja

Za zaščito pred temi ranljivostmi morate narediti nekaj od tega:

  1. Uporabite vse razpoložljive posodobitve operacijskega sistema Windows, vključno z mesečnimi varnostnimi posodobitvami sistema Windows.

  2. Uporabite posodobitev vdelane programske opreme (mikrokod), ki jo zagotovi izdelovalec naprave.

  3. Ocenite tveganje za okolje na podlagi informacij, ki so poleg informacij v tem članku na voljo v Microsoftovih varnostnih svetovalcih ADV180002, ADV180012, ADV190013 in ADV220002.

  4. Po potrebi ukrepajte s svetovalci in informacijami o registrskem ključu, ki so na voljo v tem članku.

Opomba: Stranke naprav Surface bodo posodobitev mikro kode prejele prek storitve Windows Update. Če si želite ogledati seznam najnovejših posodobitev vdelane programske opreme naprave Surface (mikrokod), ki so na voljo, glejte KB4073065.

12. julija 2022 smo objavili CVE-2022-23825 | AMD CPU Branch Type Confusion, ki opisuje, da lahko vzdevki v napovedorju veje povzročijo, da nekateri procesorji AMD predvidijo napačno vrsto veje. Ta težava lahko povzroči razkritje informacij.

Za zaščito pred to ranljivostjo priporočamo, da namestite posodobitve sistema Windows, ki so z datumom ali po juliju 2022, nato pa ukrepate, kot zahteva CVE-2022-23825, in informacije o registrskem ključu, navedene v tem članku zbirka znanja.

Če želite več informacij, glejte varnostni bilten AMD-SB-1037 .

8. avgusta 2023 smo objavili CVE-2023-20569 | AMD CPU Return Address Predictor (znan tudi kot Inception), ki opisuje novo špekulativni napad stranskega kanala, ki lahko povzroči špekulativno izvedbo na naslov, ki ga nadzira napadalec. Ta težava vpliva na določene procesorje AMD in lahko vodi do razkritja informacij.

Za zaščito pred to ranljivostjo priporočamo, da namestite posodobitve sistema Windows, ki so z datumom ali po avgustu 2023, nato pa ukrepate, kot zahteva CVE-2023-20569, in informacije o registrskem ključu, navedene v tem članku zbirka znanja.

Če želite več informacij, glejte varnostni bilten AMD-SB-7005 .

Nastavitve ublažitve posledic za odjemalce sistema Windows

Varnostni svetovalci (ADV) in CVE zagotavljajo informacije o tveganju, ki ga predstavljajo te ranljivosti, in o tem, kako vam pomagajo prepoznati privzeto stanje ublažitev posledic za odjemalske sisteme Windows. V spodnji tabeli je povzetek zahtev mikro kode CPE in privzetega stanja ublažitev posledic za odjemalce sistema Windows.

CVE

Zahteva CPU mikrokod / firmware?

Stanje privzetega ublažitve posledic

CVE-2017-5753

Ne

Omogočeno privzeto (možnosti ni mogoče onemogočiti)

Za dodatne informacije glejte ADV180002 .

CVE-2017-5715

Da

Omogočeno privzeto. Uporabniki sistemov, ki uporabljajo procesorje AMD, naj si ogledajo pogosta vprašanja #15, uporabniki procesorjev ARM pa morajo videti pogosta vprašanja #20 v sistemu ADV180002 za dodatno ukrepanje in ta članek zbirke znanja za veljavne nastavitve registrskega ključa.

Opomba Retpoline je privzeto omogočen za naprave s sistemom Windows 10, različica 1809 ali novejša, če je omogočen Spectre Variant 2 (CVE-2017-5715). Če želite več informacij, o funkciji Retpoline, upoštevajte navodila v objavi v spletnem dnevniku »Mitiga Spectre različica 2« z aplikacijo Retpoline v spletnem dnevniku sistema Windows.

CVE-2017-5754

Ne

Privzeto omogočeno

Za dodatne informacije glejte ADV180002 .

CVE-2018-3639

Intel: Da
AMD: Ne
ARM: Da

Intel in AMD: privzeto onemogočena. Če želite več informacij, glejte ADV180012 in ta članek zbirke znanja za veljavne nastavitve registrskega ključa.

ARM: privzeto omogočen brez možnosti onemogočanja.

CVE-2019-11091

Intel: Da

Omogočeno privzeto.

Če želite več informacij, glejte ADV190013 in ta članek za veljavne nastavitve registrskega ključa.

CVE-2018-12126

Intel: Da

Omogočeno privzeto.

Če želite več informacij, glejte ADV190013 in ta članek za veljavne nastavitve registrskega ključa.

CVE-2018-12127

Intel: Da

Omogočeno privzeto.

Če želite več informacij, glejte ADV190013 in ta članek za veljavne nastavitve registrskega ključa.

CVE-2018-12130

Intel: Da

Omogočeno privzeto.

Če želite več informacij, glejte ADV190013 in ta članek za veljavne nastavitve registrskega ključa.

CVE-2019-11135

Intel: Da

Omogočeno privzeto.

Če želite več informacij, glejte CVE-2019-11135 in ta članek za veljavne nastavitve registrskega ključa.

CVE-2022-21123 (del MMIO ADV220002)

Intel: Da

Windows 10 različica 1809 in novejša: privzeto omogočena. 
Windows 10 različica 1607 in starejše: privzeto onemogočeno. 

Če želite več informacij, glejte CVE-2022-21123 in ta članek za veljavne nastavitve registrskega ključa.

CVE-2022-21125 (del MMIO ADV220002)

Intel: Da

Windows 10 različica 1809 in novejša: privzeto omogočena. 
Windows 10 različica 1607 in starejše: privzeto onemogočeno. 

Če želite več informacij, glejte CVE-2022-21125 .

CVE-2022-21127 (del MMIO ADV220002)

Intel: Da

Windows 10 različica 1809 in novejša: privzeto omogočena. 
Windows 10 različica 1607 in starejše: privzeto onemogočeno. 

Če želite več informacij, glejte CVE-2022-21127 .

CVE-2022-21166 (del MMIO ADV220002)

Intel: Da

Windows 10 različica 1809 in novejša: privzeto omogočena. 
Windows 10 različica 1607 in starejše: privzeto onemogočeno. 

Če želite več informacij, glejte CVE-2022-21166 .

CVE-2022-23825 (AMD CPU Branch Type Confusion)

AMD: Ne

Če želite več informacij, glejte CVE-2022-23825 in ta članek za veljavne nastavitve registrskega ključa.

CVE-2023-20569
(AMD CPU Return Address Predictor)

AMD: Da

Če želite več informacij, glejte CVE-2023-20569 in ta članek za veljavne nastavitve registrskega ključa.

Opomba: Če omogočite izklopljene ublažitve posledic, to privzeto vpliva na učinkovitost delovanja naprave. Dejanski učinek učinkovitosti delovanja je odvisen od več dejavnikov, na primer od določenega nabora vezij v napravi in delovnih obremenitev, ki se izvajajo.

Nastavitve registra

Na voljo so te informacije registra, ki omogočajo ublažitev posledic, ki privzeto niso omogočene, kot je dokumentirano v varnostnih svetovalcih (ADV) in CVE. Poleg tega zagotavljamo nastavitve registrskega ključa za uporabnike, ki želijo onemogočiti ublažitve posledic, če so na voljo za odjemalce sistema Windows.

Pomembno: V tem razdelku, načinu ali opravilu so navodila za spreminjanje registra. Če register spremenite nepravilno, lahko pride do resnih težav. Zato pozorno upoštevajte ta navodila. Za dodatno zaščito pred spreminjanjem registra varnostno kopirajte register. Če pride do težave, lahko register obnovite. Če želite več informacij o tem, kako varnostno kopirati in obnoviti register, glejte naslednji članek v Microsoftovi zbirki znanja:

322756 Kako varnostno kopirati in obnoviti register v sistemu Windows

Pomembno: Retpoline je privzeto omogočen v napravah s sistemom Windows 10, različica 1809, če je omogočen Spectre, Variant 2 (CVE-2017-5715). Če omogočite Retpoline v najnovejši različici sistema Windows 10, lahko izboljšate učinkovitost delovanja v napravah s sistemom Windows 10, različica 1809, za Spectre različica 2, zlasti v starejših procesorjih.

Omogočanje privzetih ublažitev posledic za CVE-2017-5715 (Spectre Variant 2) in CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Znova zaženite napravo, da bodo spremembe uveljavile.

Onemogočanje ublažitve posledic CVE-2017-5715 (Spectre Variant 2) in CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Znova zaženite napravo, da bodo spremembe uveljavile.

Opomba: Vrednost 3 je pravilna za FeatureSettingsOverrideMask tako za nastavitve »omogoči« kot tudi za »onemogočanje«. (Če želite več informacij o registrskih ključih, glejte razdelek »Pogosta vprašanja«.)

Če želite onemogočiti ublažitev posledic CVE-2017-5715 (Spectre Variant 2) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Znova zaženite napravo, da bodo spremembe uveljavile.

Če želite omogočiti privzete ublažitve posledic za CVE-2017-5715 (Spectre Variant 2) in CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Znova zaženite napravo, da bodo spremembe uveljavile.

Zaščita med uporabniki in jedrnicami za CVE-2017-5715 je privzeto onemogočena za AMD in CPE ARM. Za ublažitev morate omogočiti dodatno zaščito za CVE-2017-5715. Če želite več informacij, glejte Pogosta vprašanja #15 v brskalniku ADV180002 za procesorje AMD in pogosta vprašanja #20 v brskalniku ADV180002 za procesorje ARM.

Omogočite zaščito med uporabniki v jedru procesorjev AMD in ARM skupaj z drugimi zaščitami za CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Znova zaženite napravo, da bodo spremembe uveljavile.

Če želite omogočiti ublažitev posledic CVE-2018-3639 (obhod špekulativnega shranjevanja), privzete ublažitve posledic CVE-2017-5715 (Spectre Variant 2) in CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Znova zaženite napravo, da bodo spremembe uveljavile.

Opomba: Procesorji AMD niso ranljivi za CVE-2017-5754 (Meltdown). Ta registrski ključ se uporablja v sistemih s procesorji AMD za omogočanje privzetih ublažitev posledic CVE-2017-5715 v procesorjih AMD in ublažitev posledic CVE-2018-3639.

Če želite onemogočiti ublažitev posledic CVE-2018-3639 (obhod špekulativnega shranjevanja) *in* mitigations za CVE-2017-5715 (Spectre Variant 2) in CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Znova zaženite napravo, da bodo spremembe uveljavile.

Zaščita uporabnika do jedra za CVE-2017-5715 je privzeto onemogočena za procesorje AMD. Stranke morajo omogočiti ublažitev posledic dodatne zaščite za CVE-2017-5715.  Če želite več informacij, glejte Pogosta vprašanja #15 v adv180002.

Omogočite zaščito med uporabniki in jedrami procesorjev AMD skupaj z drugimi zaščitami za CVE 2017-5715 in zaščitami za CVE-2018-3639 (obhod špekulativnega shranjevanja):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Znova zaženite napravo, da bodo spremembe uveljavile.

Če želite omogočiti ublažitev ranljivosti zaradi asinhrone ranljivosti transakcijske sinhronizacije Intela (Intel TSX) (CVE-2019-11135) in microarchitectural Data Sampling (CVE-201) 9-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) z različicama Spectre (CVE-2017-5753 & CVE-2017-5715) in Meltdown (CVE-2017-5754), vključno z obhodom špekulativnega shranjevanja (SSBD) (CVE-2018-3639) in napako terminala L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 in CVE-2018-3646) brez onemogočanja funkcije Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Če je funkcija Hyper-V nameščena, dodajte to nastavitev registra:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Če gre za gostitelja Hyper-V in so bile uporabljene posodobitve vdelane programske opreme: Povsem zaustavite vse navidezne računalnike. To omogoča, da se ublažitev posledic, povezana z vdelano programsko opremo, uporabi v gostitelju, preden se zaženejo navidezni računalniki. Zato se navidezni računalniki posodobijo tudi ob vnovičnem zagonu.

Znova zaženite napravo, da bodo spremembe uveljavile.

To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) z Hyper-Threading onemogočeno:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Če je funkcija Hyper-V nameščena, dodajte to nastavitev registra:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Če gre za gostitelja Hyper-V in so bile uporabljene posodobitve vdelane programske opreme: Povsem zaustavite vse navidezne računalnike. To omogoča, da se ublažitev posledic, povezana z vdelano programsko opremo, uporabi v gostitelju, preden se zaženejo navidezni računalniki. Zato se navidezni računalniki posodobijo tudi ob vnovičnem zagonu.

Znova zaženite napravo, da bodo spremembe uveljavile.

To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and  Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Znova zaženite napravo, da bodo spremembe uveljavile.

Če želite omogočiti ublažitev posledic cve-2022-23825 v procesorjih AMD :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Zaradi popolnoma zaščite bodo stranke morda tudi morali onemogočiti Hyper-Threading (znano tudi kot hkratno večnitni niz (SMT)). Glejte KB4073757 za navodilao zaščiti naprav s sistemom Windows. 

Če želite omogočiti ublažitev posledic za CVE-2023-20569 v procesorjih AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Preverjanje, ali so omogočene zaščite

Da bi preverili, ali so zaščite omogočene, smo objavili skript ogrodja PowerShell, ki ga lahko zaženete v svojih napravah. Namestite in zaženite skript na enega od teh načinov.

Namestite modul PowerShell:

PS> Install-Module SpeculationControl

Zaženite modul PowerShell in preverite, ali so omogočene zaščite:

PS> # Shrani trenutni pravilnik za izvajanje, da ga je mogoče ponastaviti

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

Ps> Get-SpeculationControlSettings

PS> # Ponastavite pravilnik za izvajanje na prvotno stanje

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Namestite modul PowerShell iz spletnega mesta Technet ScriptCenter:

Odprite https://aka.ms/SpeculationControlPS

Prenesite SpeculationControl.zip v lokalno mapo.

Ekstrahiranje vsebine v lokalno mapo, na primer C:\ADV180002

Zaženite modul PowerShell in preverite, ali so omogočene zaščite:

Zaženite PowerShell, nato pa (z uporabo prejšnjega primera) kopirajte in zaženite te ukaze:

PS> # Shrani trenutni pravilnik za izvajanje, da ga je mogoče ponastaviti

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

Ps> Get-SpeculationControlSettings

PS> # Ponastavite pravilnik za izvajanje na prvotno stanje

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Za podrobno razlago izhoda skripta ogrodja PowerShell glejte KB4074629.

Pogosta vprašanja

Mikrokod je dostavljena s posodobitvijo vdelane programske opreme. Pri svojem procesorju (naboru vezij) in izdelovalcih naprav preverite, ali so na voljo ustrezne varnostne posodobitve vdelane programske opreme za njihovo določeno napravo, vključno z navodili intels Microcode Revision Guidance.

Odpravljanje ranljivosti strojne opreme s posodobitvijo programske opreme predstavlja pomembne izzive. Poleg tega je treba za ublažitev posledic za starejše operacijske sisteme izvesti obsežne arhitekturne spremembe. S proizvajalci mikročir, na katere to vpliva, se trudimo določiti najboljši način za zagotavljanje ublažitev posledic, ki bodo morda na voljo v prihodnjih posodobitvah.

Posodobitve za naprave Microsoft Surface bodo strankam dostavljene prek storitve Windows Update skupaj s posodobitvami za operacijski sistem Windows. Če si želite ogledati seznam posodobitev vdelane programske opreme (mikro kode) naprave Surface, ki so na voljo, glejte KB4073065.

Če vaša naprava ni Microsoftova, uporabite vdelano programsko opremo proizvajalca naprave. Če želite več informacij, se obrnite na proizvajalca strojne opreme.

V februarju in marcu 2018 je Microsoft izdal dodatno zaščito za nekatere sisteme, ki uporabljajo x86. Če želite več informacij, glejte POSODOBITEV KB4073757 in Microsoft Security Advisory ADV180002.

Posodobitve za Windows 10 holoLens so uporabnikom naprave HoloLens na voljo prek storitve Windows Update.

Po uporabi februarski posodobitvi sistema Varnost sistema Windows 2018 uporabnikom naprave HoloLens ni treba izvesti nobenega dodatnega dejanja za posodobitev vdelane programske opreme naprave. Te ublažitve posledic bodo vključene tudi v vse prihodnje izdaje Windows 10 za HoloLens.

Ne. Samo varnostne posodobitve niso zbirne. Odvisno od različice operacijskega sistema, ki jo uporabljate, boste morali namestiti vse mesečne varnostne posodobitve, ki bodo zaščitene pred temi ranljivostmi. Če na primer uporabljate Windows 7 za 32-bitne sisteme v prizadetem procesorju Intel, morate namestiti vse samo varnostne posodobitve. Priporočamo, da te samo varnostne posodobitve namestite v vrstnem redu izdaje.

Opomba V prejšnji različici teh pogostih vprašanj je bilo nepravilno navedeno, da so v februarski samo varnostni posodobitvi vključeni varnostni popravki, izdani januarja. Pravzaprav ne.

Ne. Varnostna posodobitev 4078130 je bil poseben popravek za preprečevanje nepredvidljivega delovanja sistema, težav z učinkovitostjo delovanja in/ali nepričakovanih vnovičnih zagonov po namestitvi mikro kode. Uporaba februarski varnostnih posodobitev v odjemalskih operacijskih sistemih Windows omogoča vse tri ublažitve posledic.

Intel je pred kratkim napovedal, da so dokončali preverjanje veljavnosti in začeli izdajati mikrokod za novejše platforme CPE. Microsoft bo na voljo posodobitve mikro kode, preverjene s strani Intela, glede na Spectre Variant 2 (CVE-2017-5715 »Branch Target Injection«). KB4093836 navaja določene članke iz zbirke znanja glede na različico sistema Windows. Vsak KB posebej vsebuje Intelove posodobitve mikro kode procesorja, ki so na voljo.

Ta težava je bila odpravljena v posodobitvi KB4093118.

AMD pred kratkim napovedal , da so začeli izdajati mikrokod za novejše platforme CPU okoli Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Če želite več informacij, glejte Pravilniki o varnosti AMD PosodobitveAMD Whitepaper: Smernice za arhitekturo za nadzor posredne podveje. Te so na voljo v kanalu vdelane programske opreme proizvajalca strojne opreme.

Intel bo posodobil mikrokod, preverjene s strani Intela, glede na Spectre Variant 2 (CVE-2017-5715 " Branch Target Injection "). Če želijo stranke najnovejše posodobitve mikro kode Intel prenesti prek storitve Windows Update, morajo imeti pred nadgradnjo na posodobitev sistema Windows 10 v aprilu 2018 (različica 1803) nameščeno Intelov mikrokod v napravah, v katerih se izvaja operacijski sistem Windows 10.

Posodobitev mikro kode je na voljo tudi neposredno iz Kataloga, če ni bila nameščena v napravi pred nadgradnjo operacijskega sistema. Mikrokod Intel je na voljo prek storitve Windows Update, WSUS ali kataloga Microsoft Update. Če želite več informacij in navodila za prenos, glejte posodobitev KB4100347.

Če želite več informacij, glejte razdelka »Priporočena dejanja« in »Pogosta vprašanja« v brskalniku ADV180012 | Microsoftova navodila za obhod špekulativnega shranjevanja.

Za preverjanje stanja SSBD je bil skript ogrodja Get-SpeculationControlSettings PowerShell posodobljen tako, da zazna prizadete procesorje, stanje posodobitev operacijskega sistema SSBD in stanje mikro kode procesorja, če je na voljo. Če želite več informacij in če želite pridobiti skript ogrodja PowerShell, glejte POSODOBITEV KB4074629.

13. junija 2018 je bila objavljena dodatna ranljivost stranskega kanala, ki vključuje špekulativno izvajanje, znano kot obnovitev stanja Lazy FP, in dodeljena CVE-2018-3665. Za obnovitev FP pri lenih obnovitvi niso potrebne nastavitve konfiguracije (registra).

Če želite več informacij o tej ranljivosti in za priporočena dejanja, glejte varnostni svetovalec ADV180016 | Microsoftova navodila za obnovitev stanja lenih FP.

Opomba: Za obnovitev FP pri lenih obnovitvi niso potrebne nastavitve konfiguracije (registra).

Trgovina BCBS (Bounds Check Bypass Store) je bila razkrita 10. julija 2018 in dodeljena cve-2018-3693. Priporočamo, da BCBS pripadajo istemu razredu ranljivosti kot obhod preverjanja mej (Različica 1). Trenutno ne vemo za noben primerek BCBS v naši programski opremi, vendar še naprej raziskujemo ta razred ranljivosti in bomo s partnerji panoge izdajali ublažitve posledic, kot je potrebno. Raziskovalce še naprej spodbujamo, da vse ustrezne ugotovitve predložijo v Microsoftov program nagrado stranskega kanala špekulativnega izvajanja, vključno z vsemi izkoriščevalimi primeri BCBS. Razvijalci programske opreme naj pregledajo navodila za razvijalce, ki so bila posodobljena za BCBS https://aka.ms/sescdevguide.

14. avgusta 2018 je bila napovedana terminalska napaka L1 (L1TF) in je bila dodeljena več cvEs. Te nove ranljivosti stranskega kanala zaradi špekulativnega izvajanja je mogoče uporabiti za branje vsebine pomnilnika prek zaupanja vredne meje in lahko, če so izkoriščane, privede do razkritja informacij. Napadalec lahko sproži ranljivosti prek več vektorjev, odvisno od konfiguriranega okolja. Funkcija L1TF vpliva na procesorje Intel® Core® in procesorje Intel® Xeon®.

Če želite več informacij o tej ranljivosti in podrobnem pogledu scenarijev, na katere to vpliva, vključno z Microsoftovim pristopom k omenjuje L1TF, glejte te vire:

Stranke, ki uporabljajo 64-bitne procesorje ARM, morajo pri proizvajalcu strojne opreme preveriti, ali podpira vdelano programsko opremo, saj zaščite operacijskega sistema ARM64, ki ublažijo CVE-2017-5715 | Ciljna injekcija veje (Spectre, Variant 2) mora veljati najnovejša posodobitev vdelane programske opreme proizvajalca strojne opreme.

Navodila za Azure najdete v tem članku: Navodila za odpravljanje ranljivosti stranskega kanala zaradi špekulativnega izvajanja v storitvi Azure.  

Če želite več informacij o omogočanju funkcije Retpoline, glejte našo objavo v spletnem dnevniku: Omiliti Spectre različica 2 z Retpoline v sistemu Windows

Podrobnosti o tej ranljivosti najdete v Microsoftovem varnostnem priročniku: CVE-2019-1125 | Ranljivost razkritja informacij v sistemu Windows.

Ne zavedamo se nobene ranljivosti zaradi razkritja informacij, ki vpliva na infrastrukturo naših storitev v oblaku.

Takoj ko smo se zavedali te težave, smo se hitro odpravili in izdali posodobitev. Trdno verjamemo v tesna partnerstva z raziskovalci in industrijskimi partnerji, da bi izboljšali varnost strank, in do torka 6. avgusta niso objavili podrobnosti, ki so v skladu s usklajenimi praksami razkritja ranljivosti.

Sklici

Za pomoč pri tehničnih podpori vam zagotavljamo podatke za stik tretjih oseb. Ti podatki za stik se lahko spremenijo brez obvestila. Ne zagotavljamo točnosti teh podatkov za stik tretjih oseb.

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.

Vam je bila informacija v pomoč?

Kako ste zadovoljni s kakovostjo jezika?
Kaj je vplivalo na vašo izkušnjo?
Če pritisnete »Pošlji«, bomo vaše povratne informacije uporabili za izboljšanje Microsoftovih izdelkov in storitev. Vaš skrbnik za IT bo lahko zbiral te podatke. Izjavi o zasebnosti.

Zahvaljujemo se vam za povratne informacije.

×