Hướng dẫn khách hàng Windows cho chuyên gia CNTT để bảo vệ khỏi suy thực thi bên kênh lỗ hổng

Hành động được đề xuất

Khách hàng nên thực hiện các thao tác sau để giúp bảo vệ chống lại các lỗ hổng:

  1. Áp dụng tất cả các bản cập nhật hệ điều hành Windows có sẵn, bao gồm các bản Cập Nhật bảo mật Windows hàng tháng.

  2. Áp dụng bản cập nhật phần mềm (vi) áp dụng được cung cấp bởi nhà sản xuất thiết bị.

  3. Đánh giá rủi ro cho môi trường của bạn dựa trên thông tin được cung cấp trên Microsoft Security Advisories: ADV180002, ADV180012, ADV190013 và thông tin cung cấp trong bài viết cơ sở kiến thức này.

  4. Thực hiện hành động theo yêu cầu bằng cách sử dụng tư vấn và đăng ký thông tin quan trọng được cung cấp trong bài viết cơ sở kiến thức này.

Lưu ý Bề mặt khách hàng sẽ nhận được bản Cập Nhật vi thông qua Windows Update. Để có danh sách các bản cập nhật phần mềm (vi) mới nhất có bề mặt thiết bị, hãy xem KB 4073065.

Giảm thiểu cài đặt cho máy khách Windows

Tư vấn bảo mật ADV180002, ADV180012ADV190013 cung cấp thông tin về rủi ro được gây ra bởi các lỗ hổng, và họ giúp bạn xác định trạng thái mặc định của Mitigations cho hệ thống máy khách Windows. Bảng sau tóm tắt các yêu cầu của CPU vi và trạng thái mặc định của Mitigations trên máy khách Windows.

Cve

Yêu cầu microcode CPU/Firmware?

Giảm thiểu trạng thái mặc định

CVE-2017-5753

Không

Bật theo mặc định (không có tùy chọn để vô hiệu hóa)

Vui lòng tham khảo ADV180002 để biết thêm thông tin.

CVE-2017-5715

Được bật theo mặc định. Người dùng hệ thống dựa trên bộ xử lý AMD sẽ thấy câu hỏi thường gặp #15 và người dùng bộ xử lý ARM sẽ thấy câu hỏi thường gặp #20 trên ADV180002 để biết thêm hành động và bài viết trong kB này để cài đặt khoá đăng ký áp dụng.

Lưu ý "Retpoline" được bật theo mặc định cho các thiết bị chạy Windows 10 1809 hoặc mới hơn nếu Spectre biến thể 2 (CVE-2017-5715) được bật. Để biết thêm thông tin, xung quanh "retpoline", hãy làmtheo hướng dẫn trong các mitigating Spectre biến thể 2 với retpoline trên Windows blog post.

CVE-2017-5754

Không

Được bật theo mặc định

Vui lòng tham khảo ADV180002 để biết thêm thông tin.

CVE-2018-3639

Intel: có AMD: không có ARM: có

Intel và AMD: tắt theo mặc định. Xem ADV180012 để biết thêm thông tin và bài viết kB này để cài đặt khoá đăng ký áp dụng.

ARM: bật theo mặc định mà không có tùy chọn để vô hiệu hóa.

CVE-2018-11091

Intel: có

Được bật theo mặc định.

Xem ADV190013 để biết thêm thông tin và bài viết kB này để cài đặt khoá đăng ký áp dụng.

CVE-2018-12126

Intel: có

Được bật theo mặc định.

Xem ADV190013 để biết thêm thông tin và bài viết kB này để cài đặt khoá đăng ký áp dụng.

CVE-2018-12127

Intel: có

Được bật theo mặc định.

Xem ADV190013 để biết thêm thông tin và bài viết kB này để cài đặt khoá đăng ký áp dụng.

CVE-2018-12130

Intel: có

Được bật theo mặc định.

Xem ADV190013 để biết thêm thông tin và bài viết kB này để cài đặt khoá đăng ký áp dụng.

CVE-2019-11135

Intel: có

Được bật theo mặc định.

Xem CVE-2019-11135 để biết thêm thông tin và bài viết kB này để cài đặt khoá đăng ký áp dụng.

Lưu ý Cho phép Mitigations tắt theo-mặc định có thể ảnh hưởng đến hiệu năng. Hiệu suất thực tế hiệu quả phụ thuộc vào nhiều yếu tố, chẳng hạn như chipset cụ thể trong thiết bị và khối lượng công việc đang chạy.

Thiết đặt đăng ký

Chúng tôi cung cấp thông tin đăng ký sau để cho phép Mitigations không được kích hoạt theo mặc định, như tài liệu trong bảo mật tư vấn ADV180002ADV180012. Ngoài ra, chúng tôi đang cung cấp cài đặt khoá đăng ký cho người dùng muốn vô hiệu hoá Mitigations liên quan đến CVE-2017-5715 và CVE-2017-5754 cho máy khách Windows.

Quan trọng Phần, phương pháp hoặc tác vụ này chứa các bước cho bạn biết làm thế nào để sửa đổi sổ đăng ký. Tuy nhiên, vấn đề nghiêm trọng có thể xảy ra nếu bạn sửa đổi sổ đăng ký không chính xác. Do đó, hãy chắc chắn rằng bạn làm theo các bước sau cẩn thận. Để bảo vệ thêm, sao lưu sổ đăng ký trước khi bạn sửa đổi nó. Sau đó, bạn có thể khôi phục sổ đăng ký nếu sự cố xảy ra. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy xem bài viết sau trong cơ sở kiến thức Microsoft:

322756 làm thế nào để sao lưu và khôi phục sổ đăng ký trong Windows

Quản lý Mitigations CVE-2017-5715 (Spectre biến thể 2) và CVE-2017-5754 (Meltdown)

Lưu ý quan trọng Retpoline được bật theo mặc định trên Windows 10, phiên bản 1809 thiết bị nếu Spectre, biến thể 2 (CVE-2017-5715) được bật. Cho phép Retpoline trên phiên bản Windows 10 mới nhất có thể nâng cao hiệu suất trên các thiết bị chạy Windows 10, phiên bản 1809 cho Spectre biến thể 2, đặc biệt là trên bộ xử lý cũ hơn.

Để kích hoạt mặc định Mitigations CVE-2017-5715 (bóng ma biến 2) và CVE-2017-5754 (Meltdown)

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverride/t REG_DWORD/d 0/f

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Khởi động lại máy tính để thay đổi có hiệu lực.

Để vô hiệu hoá Mitigations CVE-2017-5715 (Spectre biến thể 2) và CVE-2017-5754 (Meltdown)

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Khởi động lại máy tính để thay đổi có hiệu lực.

Lưu ý Giá trị 3 là chính xác cho FeatureSettingsOverrideMask cho cả hai "kích hoạt" và "vô hiệu hóa" cài đặt. (Xem phần "FAQ" để biết thêm chi tiết về khoá đăng ký.)

Quản lý thiểu cho CVE-2017-5715 (bóng ma biến 2)

Để vô hiệu hoá Mitigations CVE-2017-5715 (bóng ma Phiên bản 2) :

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverride/t REG_DWORD/d 1/f

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Khởi động lại máy tính để thay đổi có hiệu lực.

Để kích hoạt mặc định mitigations CVE-2017-5715 (Spectre biến thể 2) và CVE-2017-5754 (Meltdown):

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverride/t REG_DWORD/d 0/f

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Khởi động lại máy tính để thay đổi có hiệu lực.

Bộ xử lý AMD và ARM: cho phép giảm thiểu đầy đủ cho CVE-2017-5715 (Spectre biến thể 2)

Theo mặc định, bảo vệ người dùng đến hạt nhân cho CVE-2017-5715 bị vô hiệu hoá AMD và ARM CPU. Khách hàng phải cho phép giảm thiểu để nhận được bảo vệ bổ sung cho CVE-2017-5715. Để biết thêm thông tin, xem FAQ #15 trong ADV180002 cho bộ xử lý AMD và FAQ #20 trong ADV180002 cho bộ xử lý ARM.

Cho phép người dùng-để-hạt nhân bảo vệ bộ xử lý AMD và ARM cùng với các biện pháp khác cho CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại máy tính để thay đổi có hiệu lực.

Quản lý Mitigations CVE-2018-3639 (suy cửa hàng bỏ qua), CVE-2017-5715 (Spectre biến thể 2) và CVE-2017-5754 (Meltdown)

Để kích hoạt Mitigations CVE-2018-3639 (suy cửa hàng bỏ qua), mặc định Mitigations CVE-2017-5715 (Spectre biến thể 2) và CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại máy tính để thay đổi có hiệu lực.

Lưu ý: Bộ xử lý AMD không dễ bị CVE-2017-5754 (Meltdown). Khoá đăng ký này được sử dụng trong hệ thống với bộ xử lý AMD để kích hoạt mặc định Mitigations CVE-2017-5715 trên bộ xử lý AMD và thiểu cho CVE-2018-3639.

Để vô hiệu hoá Mitigations CVE-2018-3639 (suy cửa hàng bỏ qua) * và * Mitigations CVE-2017-5715 (Spectre biến thể 2) và CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại máy tính để thay đổi có hiệu lực.

Bộ xử lý AMD chỉ: kích hoạt giảm thiểu đầy đủ cho CVE-2017-5715 (Spectre biến thể 2) và CVE 2018-3639 (suy cửa hàng bỏ qua)

Theo mặc định, bảo vệ người dùng đến hạt nhân cho CVE-2017-5715 bị vô hiệu hoá bộ xử lý AMD. Khách hàng phải cho phép giảm thiểu để nhận được bảo vệ bổ sung cho CVE-2017-5715.  Để biết thêm thông tin, xem câu hỏi thường gặp #15 trong ADV180002.

Cho phép người dùng-để-hạt nhân bảo vệ trên bộ xử lý AMD cùng với các biện pháp khác cho cve 2017-5715 và biện pháp phòng chống cho CVE-2018-3639 (suy cửa hàng bỏ qua):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại máy tính để thay đổi có hiệu lực.

Quản lý Intel® giao dịch đồng bộ hóa tiện ích mở rộng (Intel® TSX) thương (CVE-2019-11135) và mô hình dữ liệu Microarchitectural (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) cùng với Spectre (CVE-2017-5753 & CVE-2017-5715) và phiên bản Meltdown (CVE-2017-5754), bao gồm suy cửa hàng bỏ qua vô hiệu hoá (SSBD) (CVE-2018-3639) cũng như L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646)

Để kích hoạt Mitigations cho Intel® giao dịch đồng bộ hóa tiện ích mở rộng (Intel® TSX) thương (CVE-2019-11135) và cấu trúc dữ 2018-11091 liệu vi CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) cùng với Spectre (CVE-2017-5753 & CVE-2017-5715) và Meltdown (CVE-2017-5754) biến thể, bao gồm cả suy cửa hàng bỏ qua Disable (ssbd) ( CVE-2018-3639) cũng như L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646) mà không cần vô hiệu hoá Hyper-Threading:

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverride/t REG_DWORD/d 72/f

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Nếu tính năng Hyper-V được cài đặt, thêm thiết đặt đăng ký sau:

reg thêm "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

Nếu đây là một máy chủ Hyper-V và các bản cập nhật phần mềm đã được áp dụng: Hoàn toàn tắt tất cả các máy ảo. Điều này cho phép giảm thiểu liên quan đến phần mềm được áp dụng trên máy chủ trước khi các VM được khởi. Do đó, máy ảo cũng được cập nhật khi họ đang khởi động lại.

Khởi động lại máy tính để thay đổi có hiệu lực.

Để kích hoạt Mitigations cho Intel® giao dịch đồng bộ hóa tiện ích mở rộng (Intel® TSX) thương (CVE-2019-11135) và cấu trúc dữ 2018-11091 liệu vi CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) cùng với Spectre (CVE-2017-5753 & CVE-2017-5715) và Meltdown (CVE-2017-5754) biến thể, bao gồm cả suy cửa hàng bỏ qua Disable (ssbd) ( CVE-2018-3639) cũng như L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646) với Hyper-Threading vô hiệu hoá:

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverride/t REG_DWORD/d 8264/f

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Nếu tính năng Hyper-V được cài đặt, thêm thiết đặt đăng ký sau:

reg thêm "HKEY_LOCAL_MACHINE \SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization"/v MinVmVersionForCpuBasedMitigations/t REG_SZ/d "1,0"/f

 

Nếu đây là một máy chủ Hyper-V và các bản cập nhật phần mềm đã được áp dụng: Hoàn toàn tắt tất cả các máy ảo. Điều này cho phép giảm thiểu liên quan đến phần mềm được áp dụng trên máy chủ trước khi các VM được khởi. Do đó, máy ảo cũng được cập nhật khi họ đang khởi động lại.

Khởi động lại máy tính để thay đổi có hiệu lực.

Để vô hiệu hoá Mitigations cho Intel® giao dịch đồng bộ hóa tiện ích mở rộng (Intel® TSX) giao dịch vô hiệu hoá bị hủy bỏ lỗ hổng (CVE-2019-11135) và mẫu dữ liệu microarchitectural ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) cùng với Spectre (CVE-2017-5753 & CVE-2017-5715) và Meltdown (CVE-2017-5754) biến thể, bao gồm cả suy cửa hàng bỏ qua Disable (ssbd) ( CVE-2018-3639) cũng như L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646):

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverride/t REG_DWORD/d 3/f

reg thêm "HKEY_LOCAL_MACHINE \SYSTEM\CurrentControlSet\Control\Session Manager\Memory quản lý"/v FeatureSettingsOverrideMask/t REG_DWORD/d 3/f

Khởi động lại máy tính để thay đổi có hiệu lực.

Xác minh rằng bảo vệ được kích hoạt

Để giúp khách hàng xác minh rằng các biện pháp bảo vệ được bật, chúng tôi đã xuất bản một tập lệnh PowerShell mà khách hàng có thể chạy trên hệ thống của họ. Cài đặt và chạy tập lệnh bằng chạy các lệnh sau.

PowerShell xác minh bằng cách sử dụng thư viện PowerShell (Windows Server 2016 hoặc WMF 5.0/5.1)

Cài đặt mô-đun PowerShell:

PS > Cài đặt-mô-đun SpeculationControl

Chạy mô-đun PowerShell để xác minh rằng bảo vệ được kích hoạt:

PS > # lưu chính sách thực hiện hiện tại để nó có thể được thiết lập lại

PS > $SaveExecutionPolicy = Get-ExecutionPolicy

PS > Set-ExecutionPolicy RemoteSigned-phạm vi Currentuser

PS > nhập-mô-đun SpeculationControl

PS > Get-Speculationcontrolcài đặt

PS > # đặt lại chính sách thực hiện trạng thái ban đầu

PS > Set-ExecutionPolicy $SaveExecutionPolicy-phạm vi Currentuser

 

PowerShell xác minh bằng cách sử dụng tải xuống từ TechNet (Phiên bản hệ điều hành trước và phiên bản WMF trước)

Cài đặt mô-đun PowerShell từ TechNet ScriptCenter:

Truy cập https://aka.MS/SpeculationControlPS

Tải xuống SpeculationControl. zip vào cặp cục bộ.

Trích xuất nội dung vào một thư mục cục bộ, ví dụ: C:\ADV180002

Chạy mô-đun PowerShell để xác minh rằng bảo vệ được kích hoạt:

Khởi động PowerShell, sau đó (bằng cách sử dụng ví dụ trước) sao chép và chạy các lệnh sau:

PS > # lưu chính sách thực hiện hiện tại để nó có thể được thiết lập lại

PS > $SaveExecutionPolicy = Get-ExecutionPolicy

PS > Set-ExecutionPolicy RemoteSigned-phạm vi Currentuser

PS > CD C:\ADV180002\SpeculationControl

PS > nhập khẩu mô-đun .\SpeculationControl.psd1

PS > Get-Speculationcontrolcài đặt

PS > # đặt lại chính sách thực hiện trạng thái ban đầu

PS > Set-ExecutionPolicy $SaveExecutionPolicy-phạm vi Currentuser

Để biết giải thích chi tiết về đầu ra của tập lệnh PowerShell, vui lòng xem bài viết cơ sở kiến thức 4074629.

Câu hỏi thường gặp

Vi được phân phối thông qua một bản cập nhật phần mềm. Khách hàng nên kiểm tra với CPU của họ (chipset) và các nhà sản xuất thiết bị trên sẵn có của bản Cập Nhật bảo mật phần mềm áp dụng cho thiết bị cụ thể của họ, bao gồm Intel microcode Revision hướng dẫn.

Giải quyết một lỗ hổng phần cứng thông qua bản cập nhật phần mềm trình bày những thách thức đáng kể. Ngoài, Mitigations cho hệ điều hành cũ yêu cầu thay đổi kiến trúc mở rộng. Chúng tôi đang làm việc với các nhà sản xuất chip bị ảnh hưởng để xác định cách tốt nhất để cung cấp Mitigations, mà có thể được phân phối trong bản Cập Nhật trong tương lai.

Bản Cập Nhật cho thiết bị Microsoft Surface sẽ được gửi đến khách hàng thông qua Windows Update cùng với các bản Cập Nhật cho hệ điều hành Windows. Để có danh sách các bản cập nhật phần mềm (vi) có bề mặt thiết bị, xem KB 4073065.

Nếu thiết bị của bạn không phải từ Microsoft, hãy áp dụng phần mềm từ nhà sản xuất thiết bị. Để biết thêm thông tin, hãy liên hệ với nhà sản xuất thiết bị OEM.

Trong tháng hai và tháng ba 2018, Microsoft phát hành thêm bảo vệ cho một số hệ thống dựa trên x86. Để biết thêm thông tin, hãy xem kB 4073757Microsoft Security tư vấn ADV180002.

Các bản Cập Nhật cho Windows 10 dành cho HoloLens có sẵn cho khách hàng HoloLens thông qua Windows Update.

Sau khi áp dụng bản Cập Nhật bảo mật Windows ngày 2018, khách hàng của hololens không phải thực hiện bất kỳ hành động bổ sung nào để cập nhật phần mềm thiết bị của họ. Các Mitigations này cũng sẽ được bao gồm trong tất cả các bản phát hành trong tương lai của Windows 10 cho HoloLens.

Không. Bảo mật chỉ Cập Nhật không tích lũy. Tuỳ thuộc vào phiên bản hệ điều hành bạn đang chạy, bạn sẽ phải cài đặt hàng tháng bảo mật chỉ Cập Nhật được bảo vệ chống lại các lỗ hổng. Ví dụ: nếu bạn đang chạy Windows 7 cho hệ thống 32-bit trên CPU Intel bị ảnh hưởng, bạn phải cài đặt tất cả các bản Cập Nhật bảo mật chỉ. Chúng tôi khuyên bạn nên cài đặt các bản Cập Nhật bảo mật chỉ theo thứ tự phát hành.

Lưu ý Phiên bản cũ hơn của FAQ này không chính xác nói rằng bản Cập Nhật bảo mật tháng 2 chỉ bao gồm các bản vá bảo mật phát hành vào tháng. Trong thực tế, nó không.

Không. Cập Nhật bảo mật 4078130 là một sửa chữa cụ thể để ngăn chặn hành vi hệ thống không dự đoán, vấn đề hiệu suất và/hoặc khởi động lại bất ngờ sau khi cài đặt vi. Áp dụng bản Cập Nhật bảo mật tháng trên hệ điều hành Windows khách hàng cho phép tất cả ba Mitigations.

Intelgần đây đã thông báohọ đã hoàn thành validations của họ và bắt đầu phát hành vi cho các nền tảng CPU mới hơn. Microsoft đang thực hiện có sẵn bản Cập Nhật vi Intel xác nhận xung quanh Spectre biến thể 2 (CVE-2017-5715 "nhánh đích tiêm"). KB 4093836 danh sách các bài viết cơ sở kiến thức cụ thể của phiên bản Windows. Mỗi KB cụ thể chứa các bản Cập Nhật vi Intel có sẵn bằng CPU.

Sự cố này được khắc phục trong KB 4093118.

AMD vừa công bố họ đã bắt đầu phát hành vi cho các nền tảng CPU mới xung quanh Spectre biến thể 2 (CVE-2017-5715 "nhánh đích tiêm"). Để biết thêm thông tin, hãy tham khảo các bản Cập Nhật bảo mật AMDAMD Whitepaper: hướng dẫn kiến trúc xung quanh gián tiếp chi nhánh kiểm soát. Chúng có sẵn từ kênh phần mềm OEM.

Chúng tôi đang làm sẵn có bản Cập Nhật vi Intel xác nhận xung quanh Spectre biến thể 2 (CVE-2017-5715 "nhánh đích tiêm "). Để nhận bản Cập Nhật vi Intel mới nhất thông qua Windows Update, khách hàng phải cài đặt vi Intel trên thiết bị chạy hệ điều hành Windows 10 trước khi nâng cấp lên Windows 10 ngày 2018 Cập Nhật (Phiên bản 1803).

Bản Cập Nhật vi cũng có sẵn trực tiếp từ danh mục nếu nó không được cài đặt trên thiết bị trước khi nâng cấp hệ điều hành. Intel vi có sẵn thông qua Windows Update, WSUS hoặc danh mục Cập Nhật của Microsoft. Để biết thêm thông tin và tải xuống hướng dẫn, xem KB 4100347.

Để biết chi tiết, hãy xem phần "hành động khuyến nghị" và "câu hỏi thường gặp" trong ADV180012 | Microsoft hướng dẫn để suy cửa hàng bỏ qua.

Để kiểm tra trạng thái của SSBD, lệnh Get-SpeculationControlSettings PowerShell được Cập Nhật để phát hiện các bộ xử lý bị ảnh hưởng, trạng thái của các bản cập nhật hệ điều hành SSBD và trạng thái của vi xử lý nếu áp dụng. Để biết thêm thông tin và tải xuống tập lệnh PowerShell, hãy xem KB 4074629.

Ngày 13 tháng 6 2018, một lỗ hổng bổ sung liên quan đến bên kênh suy đoán thực hiện, được gọi là khôi phục trạng thái lười FP, đã được công bố và chỉ định CVE-2018-3665. Không có cấu hình (đăng ký) cài đặt là cần thiết để khôi phục vội FP phục hồi.

Để biết thêm thông tin về lỗ hổng này và các hành động được khuyến nghị, hãy tham khảo tư vấn bảo mật ADV180016 | Microsoft hướng dẫn để khôi phục trạng thái vội FP.

Lưu ý Không có cấu hình (đăng ký) cài đặt là cần thiết để khôi phục vội FP phục hồi.

Giới hạn kiểm tra bỏ qua cửa hàng (BCBS) đã được công bố vào ngày 10 tháng 7 năm 2018 và chỉ định CVE-2018-3693. Chúng tôi xem xét BCBS thuộc cùng một lớp các lỗ hổng như bỏ qua kiểm tra giới hạn (Phiên bản 1). Chúng tôi hiện không biết bất kỳ trường hợp nào của BCBS trong phần mềm của chúng tôi, nhưng chúng tôi đang tiếp tục nghiên cứu lớp lỗ hổng bảo mật này và sẽ làm việc với đối tác trong ngành để giải phóng Mitigations theo yêu cầu. Chúng tôi tiếp tục khuyến khích các nhà nghiên cứu để gửi bất kỳ kết quả có liên quan đến chương trình tiền thưởng bên kênh suy đoáncủa Microsoft, bao gồm bất kỳ trường hợp khai thác của BCBS. Nhà phát triển phần mềm nên đánh giá hướng dẫn dành cho nhà phát triển đã được Cập Nhật cho BCBS tại https://aka.MS/sescdevguide.

Vào ngày 14 tháng 8, 2018, L1 Terminal Fault (L1TF) đã được công bố và giao nhiều cves. Các lỗ hổng bên kênh suy thực thi mới có thể được sử dụng để đọc nội dung của bộ nhớ trên một ranh giới đáng tin cậy, và nếu khai thác, có thể dẫn đến tiết lộ thông tin. Kẻ tấn công có thể gây ra các lỗ hổng thông qua nhiều vectơ, tuỳ thuộc vào môi trường được cấu hình. L1TF ảnh hưởng đến bộ xử lý Intel® Core® và bộ xử lý Intel® Xeon®.

Để biết thêm thông tin về lỗ hổng này và xem chi tiết các trường hợp bị ảnh hưởng, bao gồm cách tiếp cận của Microsoft để giảm nhẹ L1TF, hãy xem các tài nguyên sau:

Khách hàng sử dụng bộ xử lý ARM 64-bit nên kiểm tra với thiết bị OEM hỗ trợ phần mềm do bảo vệ hệ điều hành ARM64 giảm CVE 2017-5715 -nhánh đích tiêm (bóng ma, phiên bản 2) yêu cầu cập nhật phần mềm mới nhất từ thiết bị OEM có hiệu lực.

Hướng dẫn thêm có thể được tìm thấy trong Windows hướng dẫn để bảo vệ chống suy thực thi bên kênh lỗ hổng

Hướng dẫn Azure, vui lòng tham khảo bài viết này: hướng dẫn giảm nhẹ suy thực thi bên kênh lỗ hổng trong Azure.

Để biết thêm thông tin về hoạt động Retpoline, tham khảo bài đăng blog của chúng tôi: Mitigating Spectre biến thể 2 với retpoline trên Windows.

Để biết chi tiết về lỗ hổng này, hãy xem hướng dẫn bảo mật của Microsoft: CVE-2019-1125 | Windows lõi thông tin công bố lỗ hổng bảo mật.

Chúng tôi không biết bất kỳ trường hợp thông tin tiết lộ lỗ hổng bảo mật này ảnh hưởng đến cơ sở hạ tầng dịch vụ đám mây của chúng tôi.

Ngay sau khi chúng tôi trở thành nhận thức của vấn đề này, chúng tôi đã làm việc nhanh chóng để giải quyết nó và phát hành một bản Cập Nhật. Chúng tôi tin tưởng mạnh mẽ vào quan hệ đối tác chặt chẽ với cả các nhà nghiên cứu và đối tác trong ngành để làm cho khách hàng an toàn hơn và không công bố chi tiết cho đến thứ ba, ngày 6 tháng 8, phù hợp với thực hành tiết lộ dễ bị tổn thương phối hợp

Hướng dẫn thêm có thể được tìm thấy trong Windows hướng dẫn để bảo vệ khỏi suy thực thi bên kênh lỗ hổng.

Hướng dẫn thêm có thể được tìm thấy trong Windows hướng dẫn để bảo vệ khỏi suy thực thi bên kênh lỗ hổng.

 

Bạn cần thêm trợ giúp?

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Microsoft dùng nội bộ

Thông tin này có hữu ích không?

Cảm ơn phản hồi của bạn!

Cảm ơn bạn đã phản hồi! Để trợ giúp tốt hơn, có lẽ chúng tôi sẽ kết nối bạn với một trong những nhân viên hỗ trợ Office của chúng tôi.

×