KB4073065: Surface-vägledning för skydd mot kiselbaserade säkerhetsproblem med mikroarkectural och spekulativ exekvering

Introduktion

Sedan januari 2018 har Surface-teamet publicerat uppdateringar av inbyggd programvara för en klass av silicon-baserade problem som involverar sårbarheter i mikroarchitectural och spekulativ exekvering. Surface-teamet fortsätter att samarbeta nära med Windows-teamet och branschpartners för att skydda kunderna. För att få allt tillgängligt skydd krävs både inbyggd programvara och Windows-systemuppdateringar.

Sammanfattning

Sårbarheter som tillkännagavs i juni 2022

Surface-teamet är medvetna om nya silicon-baserade mikroarchitectural och spekulativ exekvering sidokanal attack varianter som också påverkar Surface-produkter. Mer information om sårbarheter och lösningar finns i följande säkerhetsmeddelande:

• Microsoft Security Advisory ADV220002

Vi samarbetar med våra partner för att tillhandahålla uppdateringar av Surface-produkter så snart vi kan se till att uppdateringarna uppfyller våra kvalitetskrav. 

Mer information om uppdateringar för Surface-enheter finns i Uppdateringshistorik för Surface.

Sårbarheter som tillkännagavs i maj 2019

Surface-teamet är medvetna om nya spekulativa attackvarianter för spekulativ exekvering som också påverkar Surface-produkter. För att åtgärda dessa sårbarheter krävs en uppdatering av operativsystemet och en Surface UEFI-uppdatering som innehåller ny mikrokod. Mer information om sårbarheter och lösningar finns i följande säkerhetsmeddelande:

• Microsoft Security Advisory ADV190013

  Den här rådgivningen omfattar följande sårbarheter:

  • CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS) 
  • CVE-2018-12130 | Microarchitectural Fill Buffer Data Sampling (MFBDS)
  • CVE-2018-12127 | Microarchitectural Load Port Data Sampling (MLPDS)
  • CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

Förutom att installera säkerhetsuppdateringarna för Windows-operativsystemet har Surface släppt UEFI-uppdateringar via Windows Update och Download Center för följande enheter:

• Uppdatering för Surface 3 – 11 juli 2019
• uppdatering från 3 Surface Pro 11 juli 2019
• Surface Pro 4 - uppdatering 27 juni 2019
• Surface Book - uppdatering 27 juni 2019
• Surface Studio - uppdatering från 11 juli 2019
• Surface Pro (5^:e generationen) – uppdatering från 27 juni 2019
• Surface Laptop – uppdatering från 27 juni 2019
• Surface Book uppdatering 2 - 27 juni 2019
• Surface Pro uppdatering 6 – 27 juni 2019
• Surface Laptop 2 – uppdatering 27 juni 2019
• uppdatering från 2 Surface Studio 31 juli 2019
• Surface GO WiFi – uppdatering från 23 juli 2019
• Surface GO LTE – uppdatering från 23 juli 2019

Utöver det nya mikrokoden blir en ny UEFI-inställning som kallas "Samtidig multitrådning (SMT)" tillgänglig när UEFI-uppdateringen installeras. Med den här inställningen kan användaren inaktivera Hyper-Threading.

Obs!

• Om du bestämmer dig för att inaktivera Hyper-Threading rekommenderar vi att du använder den nya SMT UEFI-inställningen.

• Att inaktivera SMT ger ytterligare skydd mot dessa nya sårbarheter och L1 Terminal Fault-attacken som tillkännagavs tidigare. Men den här metoden påverkar också enhetens prestanda.

• Surface 3 och Surface Studio med Intel Core i5 har inte SMT. Därför har dessa enheter inte den här nya inställningen.

• Microsoft Surface Enterprise Management Mode (SEMM) UEFI-konfigurationsverktyg version 2.43.139 eller senare har stöd för den nya SMT-inställningen. Verktygen kan laddas ned från den här webbsidan. Ladda ned följande verktyg:

  • SurfaceUEFI_Configurator_v2.43.139.0.msi
  • SurfaceUEFI_Manager_v2.43.139.0.msi

Sårbarhet som tillkännagavs i augusti 2018

Surface-teamet är medvetna om en ny spekulativ exekveringsattack som kallas L1 Terminal Fault (L1TF) och tilldelat CVE-2018-3620 (OS och SMM) och CVE-2018-3646 (VMM). Berörda Surface-produkter är desamma som i avsnittet "Sårbarheter som tillkännagavs i maj 2018" i den här artikeln. Mikrokoduppdateringarna som mildrar resultaten från maj 2018 mildrar också L1TF (CVE-2018-3646). Mer information om säkerhetsrisker och lösningar finns i följande säkerhetsmeddelande:

• Microsoft Security Advisory ADV180018

  Den här rådgivningen omfattar följande sårbarheter:

  • CVE-2018-3620
  • CVE-2018-3646

Säkerhetsmeddelandet föreslår att kunder som använder Virtualization Based Security (VBS), som innehåller säkerhetsfunktioner som Credential Guard och Device Guard, bör överväga att inaktivera Hyper-Threading för att helt eliminera risken från L1TF.

Sårbarheter som tillkännagavs i maj 2018

Surface-teamet har blivit medvetna om nya spekulativa attackvarianter för spekulativ exekvering som också påverkar Surface-produkter. För att minska dessa sårbarheter krävs UEFI-uppdateringar som använder ny mikrokod. Mer information om sårbarheter och lösningar finns i följande säkerhetsrekommendationer:

• Microsoft Security Advisory ADV180012

  Den här rådgivningen omfattar följande sårbarhet:

  • CVE-2018-3639

• Microsoft Security Advisory ADV180013

  Den här rådgivningen omfattar följande sårbarhet:

  • CVE-2018-3640

Förutom att installera säkerhetsuppdateringarna för Windows-operativsystemet har Surface släppt UEFI-uppdateringar via Windows Update och Download Center för följande enheter:

• uppdatering från 2 Surface Book 1 augusti 2018
• Surface Book - uppdatering 21 augusti 2018
• Surface Laptop – uppdatering från 25 juli 2018
• Surface Studio - uppdatering från 1 oktober 2018
• Surface Pro 4 - uppdatering från 25 juli 2018
• Surface Pro uppdatering 3 - 7 augusti 2018
• Surface Pro modell 1796 och Surface Pro med uppdateringen Advanced LTE Model 1807 – 26 juli 2018

Sårbarheter som tillkännagavs i januari 2018

Surface-teamet är medvetna om den allmänt offentliggjorda säkerhetsklassen med spekulativ exekvering i sidokanaler (kallas Spectre och Meltdown) som påverkar många moderna processorer och operativsystem, inklusive Intel, AMD och ARM. Mer information om sårbarheter och lösningar finns i följande säkerhetsmeddelande:

• Microsoft Security Advisory ADV180002

  Den här rådgivningen omfattar följande sårbarheter:

  • CVE-2017-5753
  • CVE-2017-5715
  • CVE-2017-5754

Mer information om programuppdateringar för Windows finns i följande kunskapsbas artiklar:

• KB4073757 
• KB4073119 (klientvägledning)

Förutom att installera windows-Uppdateringar från 3 januari har Surface släppt UEFI-uppdateringar via Windows Update och Download Center för följande enheter:

• Surface Book 2 – (uppdateringshistorik)
• Surface Book – (uppdateringshistorik)
• Surface Laptop – (uppdateringshistorik)
• Surface Studio – (uppdateringshistorik)
• Surface Pro 4 – (uppdateringshistorik)
• Surface Pro 3 – (uppdateringshistorik)
• Surface 3 – (Uppdateringshistorik)
• Surface Pro modell 1796 och Surface Pro med Advanced LTE-modell 1807- (uppdateringshistorik)

Dessa uppdateringar är tillgängliga för enheter som kör Windows 10 Creators Update (version 15063) och senare versioner.

Mer information

Operativsystemet Surface Hub, Windows 10 Team, har implementerat djupförsvarsstrategier. Därför tror vi att sårbarheter som använder dessa sårbarheter minskar avsevärt på Surface Hub när Windows 10 Team operativsystem körs.  Mer information finns i följande avsnitt på Webbplatsen Windows IT Pro Center: Skillnader mellan Surface Hub och Windows 10 Enterprise.  

Surface-teamet fokuserar på att se till att våra användare får en säker och tillförlitlig upplevelse. Vi fortsätter att övervaka och uppdatera enheter efter behov för att åtgärda dessa sårbarheter och hålla enheterna tillförlitliga och säkra.

Referenser

Ansvarsfriskrivning från tredje part

Vi tillhandahåller kontaktinformation från tredje part som hjälper dig att hitta teknisk support. Denna kontaktinformation kan ändras utan föregående meddelande. Vi kan inte garantera att den här kontaktinformationen från tredje part är korrekt.