Napomena: Ovaj članak će biti ažuriran kada dodatne informacije postanu dostupne. Redovno proveravajte da li postoje ispravke i nova najčešća pitanja.

Ranjivosti

Intel je 14. maja 2019. objavio informacije o novoj potklasi spekulativnih ranjivosti bočnog kanala izvršavanja poznatog kao Microarchitectural Data Uzorkovanje. Ove ranjivosti su rešene u sledećim CV-ovima:

Važno: Ovi problemi će uticati na druge operativne sisteme kao što su Android, Chrome, iOS i MacOS. Preporučujemo vam da potražite uputstva od ovih odgovarajućih prodavaca.

Objavili smo ispravke koje će vam pomoći da umanjite ove ranjivosti. Da biste dobili sve dostupne zaštite, potrebne su firmver (mikrokod) i softverske ispravke. Ovo može da uključuje mikro kôd od OEM-ova uređaja. U nekim slučajevima, instaliranje tih ispravki imaće uticaj na performanse. Takođe smo reagovali da obezbedimo usluge u oblaku. Preporučujemo da primenite ove ispravke.

Više informacija o ovom problemu potražite u sledećim bezbednosnim savetima i koristite uputstva zasnovana na scenariju da biste utvrdili radnje potrebne za umanjivanje pretnje:

Napomena: Preporučujemo da instalirate sve najnovije ispravke iz usluge Windows Update biste instalirali ispravke za mikrokod.

6. avgusta 2019. Intel je objavio detalje o ranjivosti otkrivanja Windows informacija o jezgru. Ova ranjivost je varijanta spektra varijante 1 spekulativne ranjivosti bočnog kanala izvršavanja i dodeljena mu je FUNKCIJA-2019-1125.

9. jula 2019. objavili smo bezbednosne ispravke za operativni sistem Windows da bismo umanjili ovaj problem. Imajte na umu da smo zadržali dokumentovanje ovog umanjivanja javno do objavljivanja koordinisane industrije u utorak, 6. avgusta 2019.

Klijenti koji su Windows Update i primenili bezbednosne ispravke objavljene 9. jula 2019. automatski su zaštićeni. Nije potrebna dalja konfiguracija.

Napomena: Ova ranjivost ne zahteva ažuriranje mikrokoda od proizvođača uređaja (OEM).

Više informacija o ovoj ranjivosti i primenljivim ispravkama potražite u vodiču za Microsoft bezbednosne ispravke:

12. novembra 2019. Intel je objavio tehnički savet o Asinhronoj ranjivosti transakcije Intel transakcije (Intel TSX) koji se dodeljuje CVE-2019-11135. Objavili smo ispravke koje će vam pomoći da umanjite ovu ranjivost. Zaštite operativnog sistema Windows su podrazumevano omogućene za izdanja operativnog sistema Windows Client OS.

14. juna 2022. objavili smo ADV220002 | Microsoft smernice o ranjivosti intel procesora MMIO zauslenih podataka. Ranjivosti su dodeljene na sledećim CV-ovima:

Preporučene radnje

Trebalo bi da preduzmete sledeće radnje da biste se zaštitili od ovih ranjivosti:

  1. Primenite sve dostupne ispravke operativnog sistema Windows, uključujući mesečne bezbednosne ispravke za Windows.

  2. Primenite primenljivu ispravku firmvera (mikrokod) koju obezbeđuje proizvođač uređaja.

  3. Procenite rizik po okruženje na osnovu informacija pruženih u Microsoft savetima za bezbednost ADV180002, ADV180012, ADV190013 i ADV220002,pored informacija navedenih u ovom članku.

  4. Izvršite radnju po potrefi koristeći savete i ključne informacije registratora koje su navedene u ovom članku.

Napomena: Surface klijenti će primiti ispravku mikrokodom putem windows ispravke. Listu najnovijih dostupnih ispravki firmvera Surface uređaja (mikrokod) potražite u članku KB4073065.

Postavke umanjivanja za Windows klijente

Saveti za bezbednost ADV180002, ADV180012, ADV190013 i ADV220002 pružaju informacije o riziku koji predstavljaju te ranjivosti i kako vam pomažu da identifikujete podrazumevano stanje umanjivanja za Windows klijentske sisteme. Sledeća tabela rezimira zahtev CPU mikro koda i podrazumevani status umanjivanja u Windows klijentima.

CVE

Zahteva CPU mikrokod/firmver?

Podrazumevani status umanjivanja

CVE-2017-5753

Ne

Podrazumevano omogućeno (nema opcije za onemogućavanje)

Dodatne informacije potražite u članku ADV180002 .

CVE-2017-5715

Da

Podrazumevano omogućeno. Korisnici sistema zasnovanih na AMD procesorima trebalo bi da vide najčešća pitanja #15, a korisnici ARM procesora bi trebalo da vide najčešća pitanja #20 na sajtu ADV180002 za dodatne radnje i ovaj članak baze znanja za primenljive postavke ključa registratora.

Beleške Retpoline je podrazumevano omogućen za uređaje koji rade pod operativnim sistemom Windows 10 verzija 1809 ili novija ako je omogućena opcija Spectre Variant 2 (CVE-2017-5715). Za više informacija, u vezi sa retpolinom, pratite uputstva u objavi na blogu Ublažavanje spektra 2 pomoću posta na blogu Retpoline u operativnom sistemu Windows .

CVE-2017-5754

Ne

Podrazumevano omogućeno

Dodatne informacije potražite u članku ADV180002 .

CVE-2018-3639

Intel: Da
AMD: Ne
Da

Intel i AMD: Podrazumevano onemogućeno. Više informacija potražite u članku ADV180012 i u ovom članku baze znanja potražite primenljive postavke ključa registratora.

ARM: Podrazumevano omogućeno bez opcije onemogućavanje.

CVE-2019-11091

Intel: Da

Podrazumevano omogućeno.

Pogledajte ADV190013 za više informacija i ovaj članak za primenljive postavke ključa registratora.

CVE-2018-12126

Intel: Da

Podrazumevano omogućeno.

Pogledajte ADV190013 za više informacija i ovaj članak za primenljive postavke ključa registratora.

CVE-2018-12127

Intel: Da

Podrazumevano omogućeno.

Pogledajte ADV190013 za više informacija i ovaj članak za primenljive postavke ključa registratora.

CVE-2018-12130

Intel: Da

Podrazumevano omogućeno.

Pogledajte ADV190013 za više informacija i ovaj članak za primenljive postavke ključa registratora.

CVE-2019-11135

Intel: Da

Podrazumevano omogućeno.

Više informacija potražite u članku CVE-2019-11135 za više informacija i ovaj članak za primenljive postavke ključa registratora.

CVE-2022-21123 (deo MMIO ADV220002)

Intel: Da

Windows Server 2019, Windows Server 2022: Podrazumevano omogućen. 
Windows Server 2016 i starije verzije: Podrazumevano onemogućeno. 

Više informacija potražite u članku CVE-2022-21123 za više informacija i ovaj članak za primenljive postavke ključa registratora.

CVE-2022-21125 (deo MMIO ADV220002)

Intel: Da

Windows Server 2019, Windows Server 2022: Podrazumevano omogućen. 
Windows Server 2016 i starije verzije: Podrazumevano onemogućeno. 

Više informacija potražite u članku CVE-2022-21125 .

CVE-2022-21127 (deo MMIO ADV220002)

Intel: Da

Server 2019, Windows Server 2022: Podrazumevano omogućen. 
Windows Server 2016 i starije verzije: Podrazumevano onemogućeno. 

Više informacija potražite u članku CVE-2022-21127 .

CVE-2022-21166 (deo MMIO ADV220002)

Intel: Da

Windows Server 2019, Windows Server 2022: Podrazumevano omogućen. 
Windows Server 2016 i starije verzije: Podrazumevano onemogućeno. 

Više informacija potražite u članku CVE-2022-21166 .

CVE-2022-23825 (zabuna tipa AMD CPU grane)

AMD: Ne

Više informacija potražite u članku CVE-2022-23825 za više informacija i ovaj članak za primenljive postavke ključa registratora.

CVE-2022-23816 (zabuna tipa AMD CPU grane)

AMD: Ne

Pogledajte CVE-2022-23816za više informacija i ovaj članak za primenljive postavke ključa registratora.

Napomena: Omogućavanje ublaženih ograničenja podrazumevano može da utiče na performanse uređaja. Stvarni efekat performansi zavisi od više faktora, kao što su određeni skup čipova u uređaju i radna opterećenja koja se izvršavaju.

Postavke registratora

Pružamo sledeće informacije registratora da bismo omogućili umanjivanja koja nisu podrazumevano omogućena, kao što je dokumentovano u bezbednosnim savetima ADV180002 i ADV180012. Pored toga, obezbeđujemo postavke ključa registratora za korisnike koji žele da onemoguće umanjivanja koja su povezana sa CVE-2017-5715 i CVE-2017-5754 za Windows klijente.

Važno: Ovaj odeljak, metod ili zadatak sadrže korake koji vam pokazuju kako da izmenite registrator. Međutim, može doći do ozbiljnih problema ako neispravno izmenite registrator. Zato obavezno pažljivo pratite ove korake. Radi dodatne zaštite, napravite rezervnu kopiju registratora pre nego što ga izmenite. Zatim možete da vratite registrator u prethodno stanje ako dođe do problema. Više informacija o tome kako da napravite rezervnu kopiju registratora i vratite ga u prethodno stanje potražite u sledećem članku u Microsoft bazi znanja:

322756 Kako da napravite rezervne kopije i vratite registrator u prethodno stanje u operativnom sistemu Windows

Važno: Retpoline je podrazumevano omogućen na Windows 10, verzija 1809 uređaja ako je omogućena opcija Spectre, Variant 2 (CVE-2017-5715). Omogućavanje retpolina na najnovijoj verziji programa Windows 10 može da poboljša performanse na uređajima koji rade pod operativnim sistemom Windows 10 verzija 1809 za Spectre varijantu 2, posebno na starijim procesorima.

Da biste omogućili podrazumevana ublaženja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Topljenje)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Onemogućavanje ublaživanja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Topljenje)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Napomena: Vrednost 3 je tačna za FeatureSettingsOverrideMask za postavke "enable" i "disable". (Pogledajte odeljak "Najčešća pitanja" za više detalja o ključevima registratora.)

Da biste onemogućili ublaženja za CVE-2017-5715 (Spectre Variant 2) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Da biste omogućili podrazumevana ublaženja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Topljenje):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Zaštita od korisnika prema međuslovnim vrednostima za CVE-2017-5715 podrazumevano je onemogućena za AMD i ARM CPU- e. Morate omogućiti umanjivanje da biste dobili dodatne zaštite za CVE-2017-5715. Više informacija potražite u članku Najčešća pitanja #15 u članku ADV180002 za AMD procesore i Najčešća pitanja #20 u članku ADV180002 za ARM procesore.

Omogućite zaštitu korisnika od međuslovnog razmaka na AMD i ARM procesorima zajedno sa drugim zaštitama za CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Da biste omogućili ublaženja za CVE-2018-3639 (zaobilaženje Spekulativne prodavnice), podrazumevana ublaženja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Topljenje):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Beleške: AMD procesori nisu ranjivi na CVE-2017-5754 (Topljenje). Ovaj ključ registratora se koristi u sistemima sa AMD procesorima da bi se omogućila podrazumevana umanjivanja za CVE-2017-5715 na AMD procesorima i umanjivanje za CVE-2018-3639.

Onemogućavanje ublaživanja za CVE-2018-3639 (zaobljivanje spekulativne prodavnice) *i* ublaživanja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Topljenje)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Zaštita od korisnika prema međuslovnim vrednostima za CVE-2017-5715 podrazumevano je onemogućena za AMD procesore. Klijenti moraju da omoguće umanjivanje da bi dobili dodatne zaštite za CVE-2017-5715.  Više informacija potražite u članku Najčešća pitanja #15 u usluzi ADV180002.

Omogućite zaštitu korisnika od međuslovnog razmaka na AMD procesorima zajedno sa drugim zaštitama za CVE 2017-5715 i zaštite za CVE-2018-3639 (zaobimanje specifikativne prodavnice):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Da biste omogućili umanjivanja za Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort ranjivost (CVE-2019-11135) i sampl microarchitectural podataka CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-1213 0 ) zajedno sa varijacijama Spektre (CVE-2017-5753 & CVE-2017-5715) i Meltdown (CVE-2017-5754), uključujući Speculaative Store Disable (SSBD) (CVE-2018-3639), kao i L1 kvar terminala (L1TF) (CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646) bez onemogućavanja Hyper-Niti:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je ovo Hyper-V host i ispravke firmvera su primenjene: Potpuno isključite sve virtuelne mašine. To omogućava umanjivanje u vezi sa firmverom da se primeni na host pre nego što se virtuelne mašine pokrenu. Zbog toga se virtuelne mašine ažuriraju i kada se ponovo pokrenu.

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Da biste omogućili umanjivanja za Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort ranjivost (CVE-2019-11135) i sampl microarchitectural podataka CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-1213 0 ) zajedno sa varijacijama Spectre (CVE-2017-5753 & CVE-2017-5715) i Meltdown (CVE-2017-5754), uključujući Speculaative Store Disable (SSBD) (CVE-2018-3639), kao i L1 kvar terminala (L1TF) (CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646) sa onemogućenim Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ako je ovo Hyper-V host i ispravke firmvera su primenjene: Potpuno isključite sve virtuelne mašine. To omogućava umanjivanje u vezi sa firmverom da se primeni na host pre nego što se virtuelne mašine pokrenu. Zbog toga se virtuelne mašine ažuriraju i kada se ponovo pokrenu.

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Onemogućavanje umanjivanja za Intel® Transactional Synchronization Extensions (Intel® TSX) ranjivost prekid ranjivosti (CVE-2019-11135) i microarchitectural Data UzorkplCVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-1213 0 ) zajedno sa varijacijama Spektre (CVE-2017-5753 & CVE-2017-5715) i Meltdown (CVE-2017-5754), uključujući Speculaative Store Disable (SSBD) (CVE-2018-3639), kao i L1 kvar terminala (L1TF) (CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ponovo pokrenite uređaj da bi promene slegle na snagu.

Omogući zaštitu korisnika od međuslovnog razmaka na AMD procesorima:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Da bi korisnici mogli da budu potpuno zaštićeni, klijenti će možda morati da onemoguće Hyper-Threading (poznat i kao Istovremeno sa više niti (SMT)). Pogledajte KB4073757 da biste dobiliuputstva o zaštiti Windows uređaja. 

Provera da li su zaštite omogućene

Da bismo potvrdili da su zaštite omogućene, objavili smo PowerShell skriptu koju možete da pokrenete na uređajima. Instalirajte i pokrenite skriptu pomoću jednog od sledećih metoda.

Instalirajte PowerShell modul:

PS> Install-Module SpeculationControl

Pokrenite PowerShell modul da biste potvrdili da su zaštite omogućene:

PS> # Sačuvaj trenutne smernice za izvršavanje tako da se mogu uspostaviti početne vrednosti

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Uspostavi početne vrednosti smernica za izvršavanje u originalno stanje

PS> Set-ExecutionPolicy $SaveExecutionPolicy – trenutni korisnik opsega

Instalirajte PowerShell modul sa sajta Technet ScriptCenter:

Idi na https://aka.ms/SpeculationControlPS

Preuzmite SpeculationControl.zip u lokalnu fasciklu.

Izdvojite sadržaj u lokalnu fasciklu, na primer C:\ADV180002

Pokrenite PowerShell modul da biste potvrdili da su zaštite omogućene:

Pokrenite PowerShell, a zatim (pomoću prethodnog primera) kopirajte i pokrenite sledeće komande:

PS> # Sačuvaj trenutne smernice za izvršavanje tako da se mogu uspostaviti početne vrednosti

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Uspostavi početne vrednosti smernica za izvršavanje u originalno stanje

PS> Set-ExecutionPolicy $SaveExecutionPolicy – trenutni korisnik opsega

Detaljno objašnjenje izlaza PowerShell skripte potražite u članku KB4074629.

Najčešća pitanja

Mikro kôd se isporučuje putem ažuriranja firmvera. Trebalo bi da se obratite CPU -u (skupu čipova) i proizvođačima uređaja da li su dostupne primenljive bezbednosne ispravke firmvera za određeni uređaj, uključujući Intels Microcode vodič za reviziju.

Rešavanje hardverske ranjivosti putem ažuriranja softvera predstavlja značajne izazove. Takođe, umanjivanja za starije operativne sisteme zahtevaju obimne arhitektonske promene. Radimo sa proizvođačima čipova na koje ovo utiče da bismo odredili najbolji način za pružanje umanjivanja koja se mogu isporučiti u budućim ispravkama.

Novosti Za Microsoft Surface uređaje klijentima će biti isporučeni putem Windows Update zajedno sa ispravkama za operativni sistem Windows. Listu dostupnih ispravki surface uređaja firmvera (mikro kôd) potražite u članku KB4073065.

Ako vaš uređaj nije korporacije Microsoft, primenite firmver proizvođača uređaja. Za više informacija obratite se proizvođaču OEM uređaja.

U februaru i martu 2018. Microsoft je objavio dodatnu zaštitu za neke sisteme zasnovane na x86 procesorima. Više informacija potražite u člancima KB4073757 i ADV180002 microsoft bezbednosnog saveta.

Novosti da Windows 10 HoloLens dostupni su HoloLens klijentima putem Windows Update.

Nakon primene ispravke iz februara 2018. Windows bezbednost, HoloLens klijenti ne moraju da preduzimaju dodatne radnje da bi ažurirali firmver uređaja. Ova umanjivanja će takođe biti uključena u sva buduća izdanja programa Windows 10 HoloLens.

Ne. Samo bezbednosne ispravke nisu kumulativne. U zavisnosti od verzije operativnog sistema koju koristite, svakog meseca ćete morati da instalirate samo bezbednosne ispravke da biste se zaštitili od ovih ranjivosti. Na primer, ako koristite Windows 7 za 32-bitne sisteme na intel CPU-u na koji ovo utiče, morate da instalirate sve ispravke samo za bezbednost. Preporučujemo da instalirate ove samo bezbednosne ispravke u redosledu izdavanja.

Beleške U starijoj verziji ovog najčešća pitanja pogrešno je navedeno da je ispravka za februar "Samo za bezbednost" obuhvatila bezbednosne ispravke objavljene u januaru. Zapravo, ne znaиi.

Ne. Bezbednosna ispravka 4078130 je bila specifična ispravka za sprečavanje nepredvidivih ponašanja sistema, problema sa performansama i/ili neočekivanih ponovnih pokretanja nakon instalacije mikro koda. Primena bezbednosnih ispravki iz februara na operativnim sistemima Windows klijenta omogućava sva tri umanjivanja.

Intel je nedavno najavio da je završio proveru valjanosti i počeo da izdaje mikro kôd za novije CPU platforme. Microsoft pravi dostupna ažuriranja mikrokoda proverenog intel-a oko spektra Variant 2 (CVE-2017-5715 "Umetanje ciljne grane"). KB4093836 navodi određene članke baze znanja po verziji operativnog sistema Windows. Svaka određena KB sadrži dostupne Ispravke Intel mikrokodova po CPU-u.

Ovaj problem je rešen u KB4093118.

AMD je nedavno saopštio da je počeo da izdaje microcode za novije CPU platforme oko spektra varijanta 2 (CVE-2017-5715 "Grana ciljne umetanja"). Za više informacija pogledajte AMD Security NovostiAMD Whitepaper: Uputstva za arhitekturu u vezi sa kontrolom indirektne grane. One su dostupne na kanalu OEM firmvera.

Pravimo dostupna ažuriranja mikrokoda proverenog intel-a oko spektra Variant 2 (CVE-2017-5715 "Umetanje ciljne grane "). Da bi dobili najnovije ispravke Intel microcode putem Windows Update, klijenti moraju da instaliraju Intel microcode na uređajima koji rade pod operativnim sistemom Windows 10 pre nadogradnje na ispravku za Windows 10. aprila 2018. (verzija 1803).

Ispravka za mikrokod dostupna je i direktno iz kataloga ako nije instalirana na uređaju pre nadogradnje operativnog sistema. Intel microcode je dostupan putem Windows Update, WSUS ili Microsoft Update kataloga. Više informacija i uputstva za preuzimanje potražite u članku KB4100347.

Detalje potražite u odeljcima "Preporučene radnje" i "Najčešća pitanja" u članku ADV180012 | Microsoft vodič za zaobioženje spekulativne prodavnice.

Da bi se potvrdio status SSBD-a, Get-SpeculationControlSettings PowerShell skripta je ažurirana da bi se otkrili ugroženi procesori, status ispravki operativnog sistema SSBD i stanje mikrokodora procesora ako je primenljivo. Dodatne informacije i dobijanje PowerShell skripte potražite u članku KB4074629.

13. juna 2018. godine objavljena je i dodeljena funkcija CVE-2018-3665. Nisu neophodne postavke konfiguracije (registratora) za vraćanje funkcije Lezy Restore FP u prethodno stanje.

Više informacija o ovoj ranjivosti i preporučenim radnjama potražite u članku ADV180016 | Microsoft vodič za vraćanje lenje FP stanja u prethodno stanje.

Napomena: Nisu neophodne postavke konfiguracije (registratora) za vraćanje funkcije Lezy Restore FP u prethodno stanje.

Prodavnica zaobiliska provere granica (BCBS) objavljena je 10. jula 2018. i dodeljena je CVE-2018-3693. Smatramo da BCBS pripada istoj klasi ranjivosti kao i zaobionik provere granica (Varijanta 1). Trenutno ne znamo nijednu instancu BCBS-a u našem softveru, ali nastavljamo da istražujemo ovu klasu ranjivosti i radićemo sa industrijskim partnerima na otklanjanju umanjivanja po potrebi. Nastavljamo da podstičemo istraživače da proslede relevantne rezultate Microsoft-ovom spekulativnom programu za ucenjeni kanal, uključujući sve primerljive instance BCBS- a. Projektanti softvera treba da pregledaju uputstva za projektante koja su ažurirana za BCBS https://aka.ms/sescdevguide.

14. avgusta 2018. godine objavljena je L1 greška terminala (L1TF) i dodeljeno je više CV-ove. Ove nove spekulativne ranjivosti na bočnom kanalu mogu se koristiti za čitanje sadržaja memorije preko pouzdane granice i, ako su iskorišćene, mogu dovesti do otkrivanja informacija. Napadač može da izazove ranjivosti kroz više vektora, u zavisnosti od konfigurisanog okruženja. L1TF utiče na Intel® Core procesore® i Intel® Xeon procesore®.

Za više informacija o ovoj ranjivosti i detaljnom prikazu ugroženih scenarija, uključujući pristup korporacije Microsoft umanjivanja L1TF-a, pogledajte sledeće resurse:

Klijenti koji koriste 64-bitne ARM procesore trebalo bi da provere da li postoji podrška za firmver na uređaju OEM jer arm64 zaštita operativnog sistema umanjivanje CVE-2017-5715 | Ciljna injekcija grane (Spectre, Variant 2) zahteva najnoviju ispravku firmvera od OEM-a uređaja da bi stupanje na snagu.

Pogledajte uputstva u Uputstvima za Windows da biste se zaštitili od spekulativnih ranjivosti bočnog kanala izvršavanja

Za Azure uputstva pogledajte ovaj članak: Uputstva za umanjivanje spekulativnih ranjivosti na bočnom kanalu izvršavanja u usluzi Azure.  

Više informacija o omogućavanju retpolina potražite u našoj objavi na blogu: Ublažavanje spektra varijante 2 pomoću retpolina u operativnom sistemu Windows

Detalje o ovoj ranjivosti potražite u Microsoft vodiču za bezbednost: CVE-2019-1125 | Ranjivost otkrivanja informacija o Windows jezgru.

Ne znamo nijednu instancu ovog otkrivanja informacija koje utiču na infrastrukturu usluge u oblaku.

Čim smo postali svesni ovog problema, brzo smo radili na tome da ga rešimo i izdamo ispravku. Mi čvrsto verujemo u bliska partnerstva sa istraživačima i partnerima u industriji kako bismo klijente učinili bezbednijim i nismo objavili detalje do utorka, 6. avgusta, u skladu sa koordinisanim praksama otkrivanja ranjivosti.

Dalja uputstva možete pronaći u Windows uputstvima da biste se zaštitili od spekulativnih ranjivosti na bočnom kanalu izvršavanja.

Dalja uputstva možete pronaći u Windows uputstvima da biste se zaštitili od spekulativnih ranjivosti na bočnom kanalu izvršavanja.

Dalja uputstva možete pronaći u vodiču za onemogućavanje mogućnosti Intel® Transactional Synchronization Extensions (Intel® TSX).

Reference

Pružamo kontakt informacije nezavisnih proizvođača koje će vam pomoći da pronađete tehničku podršku. Ove kontakt informacije mogu da se promene bez obaveštenja. Ne garantujemo tačnost ove kontakt informacije nezavisnog proizvođača.

Potrebna vam je dodatna pomoć?

Unapredite veštine
Istražite obuku
Prvi nabavite nove funkcije
Pridružite se Microsoft insajdere

Da li su vam ove informacije koristile?

Koliko ste zadovoljni kvalitetom jezika?
Šta je uticalo na vaše iskustvo?

Hvala vam na povratnim informacijama!

×