Đăng nhập với Microsoft
Đăng nhập hoặc tạo tài khoản.
Xin chào,
Chọn một tài khoản khác.
Bạn có nhiều tài khoản
Chọn tài khoản bạn muốn đăng nhập.

Lưu ý: Bài viết này sẽ được cập nhật khi có thêm thông tin. Vui lòng kiểm tra lại tại đây thường xuyên để biết các bản cập nhật và câu hỏi thường gặp mới.

Lỗ hổng

Vào ngày 14 tháng 5 năm 2019, Intel đã công bố thông tin về một phân lớp mới của lỗ hổng thực hiện suy đoán phía kênh được gọi là Lấy mẫu Dữ liệu Vi cấu trúc. Các lỗ hổng này được khắc phục trong các CVEs sau:

Quan trọng: Các sự cố này sẽ ảnh hưởng đến các hệ điều hành khác như Android, Chrome, iOS và MacOS. Chúng tôi khuyên bạn nên tìm kiếm hướng dẫn từ các nhà cung cấp tương ứng này.

Chúng tôi đã phát hành các bản cập nhật để giúp giảm thiểu các lỗ hổng này. Để nhận được tất cả các tùy chọn bảo vệ có sẵn, cần có bản cập nhật vi chương trình (vi mã) và phần mềm. Điều này có thể bao gồm vi mã từ OEM của thiết bị. Trong một số trường hợp, việc cài đặt các bản cập nhật này sẽ có ảnh hưởng đến hiệu suất. Chúng tôi cũng đã hành động để bảo mật các dịch vụ đám mây của mình. Chúng tôi đặc biệt khuyên bạn nên triển khai các bản cập nhật này.

Để biết thêm thông tin về sự cố này, hãy xem Tư vấn Bảo mật sau và sử dụng hướng dẫn dựa trên kịch bản để xác định các hành động cần thiết để giảm thiểu mối đe dọa:

Lưu ý: Chúng tôi khuyên bạn nên cài đặt tất cả các bản cập nhật mới nhất từ Windows Update cài đặt bất kỳ bản cập nhật vi mã nào.

Vào ngày 6 tháng 8 năm 2019, Intel đã phát hành thông tin chi tiết về lỗ hổng tiết lộ thông tin nhân Windows. Lỗ hổng này là một biến thể của lỗ hổng thực hiện suy đoán phía kênh Spectre Biến thể 1 và đã được gán CVE-2019-1125.

Chúng tôi đã phát hành các bản cập nhật bảo mật cho hệ điều hành Windows vào ngày 9 tháng 7 năm 2019 để giúp giảm thiểu sự cố này. Xin lưu ý rằng chúng tôi đã tổ chức lại ghi lại biện pháp giảm nhẹ này công khai cho đến khi ngành công bố phối hợp vào thứ Ba, ngày 6 tháng 8 năm 2019.

Những khách hàng đã bật Windows Update và đã áp dụng các bản cập nhật bảo mật được phát hành vào ngày 9 tháng 7 năm 2019 sẽ được bảo vệ tự động. Không cần phải cấu hình thêm.

Lưu ý: Lỗ hổng này không yêu cầu cập nhật vi mã từ nhà sản xuất thiết bị của bạn (OEM).

Để biết thêm thông tin về lỗ hổng này và các bản cập nhật hiện hành, hãy xem Hướng dẫn Cập nhật Bảo mật của Microsoft:

Vào ngày 12 tháng 11 năm 2019, Intel đã xuất bản một tư vấn kỹ thuật liên quan đến lỗ hổng Hủy bỏ Không đồng bộ Giao dịch Intel Transactional Synchronization Extensions (Intel TSX) được gán là CVE-2019-11135. Chúng tôi đã phát hành các bản cập nhật để giúp giảm thiểu lỗ hổng này. Theo mặc định, các tùy chọn bảo vệ HĐH được bật cho các phiên bản HĐH Windows Client.

Vào ngày 14 tháng 6 năm 2022, chúng tôi đã xuất bản ADV220002 | Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities. Lỗ hổng thes được gán trong CVEs sau đây:

Các hành động được đề xuất

Bạn nên thực hiện các hành động sau đây để giúp bảo vệ chống lại các lỗ hổng này:

  1. Áp dụng tất cả các bản cập nhật hệ điều hành Windows hiện có, bao gồm cả các bản cập nhật bảo mật Windows hàng tháng.

  2. Áp dụng bản cập nhật vi chương trình (vi mã) hiện hành do nhà sản xuất thiết bị cung cấp.

  3. Đánh giá rủi ro cho môi trường của bạn dựa trên thông tin được cung cấp trong Tư vấn Bảo mật của Microsoft ADV180002, ADV180012, ADV190013ADV220002,ngoài thông tin được cung cấp trong bài viết này.

  4. Hãy hành động theo yêu cầu bằng cách sử dụng thông tin về tư vấn và khóa đăng ký được cung cấp trong bài viết này.

Lưu ý: Khách hàng của Surface sẽ nhận được bản cập nhật vi mã thông qua Windows update. Để biết danh sách các bản cập nhật vi chương trình (vi mã) thiết bị Surface mới nhất, hãy xem KB4073065.

Cài đặt Giảm nhẹ cho máy khách Windows

Tư vấn bảo mật ADV180002, ADV180012, ADV190013ADV220002 cung cấp thông tin về rủi ro mà các lỗ hổng này gây ra và cách chúng giúp bạn xác định trạng thái giảm nhẹ mặc định cho hệ thống máy khách Windows. Bảng sau đây tóm tắt yêu cầu của vi mã CPU và trạng thái mặc định của các biện pháp giảm nhẹ trên máy khách Windows.

CVE

Yêu cầu vi mã/vi chương trình CPU?

Trạng thái Mặc định của Mitigation

CVE-2017-5753

Không

Được bật theo mặc định (không có tùy chọn nào để tắt)

Vui lòng tham khảo ADV180002 để biết thêm thông tin.

CVE-2017-5715

Được bật theo mặc định. Người dùng hệ thống dựa trên bộ xử lý AMD sẽ thấy Câu hỏi thường gặp #15 và người dùng bộ xử lý ARM sẽ thấy Câu hỏi thường gặp #20 trên ADV180002 để biết thêm hành động và bài viết KB này để biết các cài đặt khóa đăng ký có thể áp dụng.

Chú ý Theo mặc định, Bật Retpoline cho các thiết bị chạy Windows 10, phiên bản 1809 trở lên nếu Spectre Biến thể 2 (CVE-2017-5715) được bật. Để biết thêm thông tin, xung quanh Retpoline, hãy làm theo hướng dẫn trong bài đăng blog Giảm nhẹ Spectre biến thể 2 bằng Retpoline trên Windows .

CVE-2017-5754

Không

Được bật theo mặc định

Vui lòng tham khảo ADV180002 để biết thêm thông tin.

CVE-2018-3639

Intel: Có
AMD: Không
ARM: Có

Intel và AMD: Bị vô hiệu hóa theo mặc định. Xem ADV180012 để biết thêm thông tin và bài viết KB này để biết các cài đặt khóa đăng ký hiện hành.

ARM: Được bật theo mặc định mà không có tùy chọn để vô hiệu hóa.

CVE-2019-11091

Intel: Có

Được bật theo mặc định.

Xem ADV190013 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành.

CVE-2018-12126

Intel: Có

Được bật theo mặc định.

Xem ADV190013 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành.

CVE-2018-12127

Intel: Có

Được bật theo mặc định.

Xem ADV190013 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành.

CVE-2018-12130

Intel: Có

Được bật theo mặc định.

Xem ADV190013 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành.

CVE-2019-11135

Intel: Có

Được bật theo mặc định.

Xem CVE-2019-11135 để biết thêm thông tin và bài viết này để biết các cài đặt khóa đăng ký hiện hành.

CVE-2022-21123 (một phần của MMIO ADV220002)

Intel: Có

Windows Server 2019, Windows Server 2022: Được bật theo mặc định. 
Windows Server 2016 trở xuống: Bị vô hiệu hóa theo mặc định. 

Xem CVE-2022-21123 để biết thêm thông tin và bài viết này để biết cài đặt khóa đăng ký hiện hành.

CVE-2022-21125 (một phần của MMIO ADV220002)

Intel: Có

Windows Server 2019, Windows Server 2022: Được bật theo mặc định. 
Windows Server 2016 trở xuống: Bị vô hiệu hóa theo mặc định. 

Xem CVE-2022-21125 để biết thêm thông tin.

CVE-2022-21127 (một phần của MMIO ADV220002)

Intel: Có

Server 2019, Windows Server 2022: Được bật theo mặc định. 
Windows Server 2016 trở xuống: Bị vô hiệu hóa theo mặc định. 

Xem CVE-2022-21127 để biết thêm thông tin.

CVE-2022-21166 (một phần của MMIO ADV220002)

Intel: Có

Windows Server 2019, Windows Server 2022: Được bật theo mặc định. 
Windows Server 2016 trở xuống: Bị vô hiệu hóa theo mặc định. 

Xem CVE-2022-21166 để biết thêm thông tin.

CVE-2022-23825 (Nhầm lẫn loại nhánh CPU AMD)

AMD: Không

Xem CVE-2022-23825 để biết thêm thông tin và bài viết này để biết cài đặt khóa đăng ký hiện hành.

CVE-2022-23816 (Nhầm lẫn loại nhánh CPU AMD)

AMD: Không

Xem CVE-2022-23816để biết thêm thông tin và bài viết này để biết cài đặt khóa đăng ký hiện hành.

Lưu ý: Theo mặc định, bật các biện pháp giảm nhẹ đang tắt có thể ảnh hưởng đến hiệu suất của thiết bị. Hiệu ứng hiệu suất thực tế phụ thuộc vào nhiều yếu tố, chẳng hạn như chipset cụ thể trong thiết bị và khối lượng công việc đang chạy.

Cài đặt đăng ký

Chúng tôi cung cấp thông tin đăng ký sau đây để cho phép các biện pháp giảm nhẹ không được bật theo mặc định, như được ghi trong Tư vấn Bảo mật ADV180002ADV180012. Ngoài ra, chúng tôi cung cấp cài đặt khóa đăng ký cho người dùng muốn tắt các biện pháp giảm nhẹ liên quan đến CVE-2017-5715CVE-2017-5754 dành cho máy khách Windows.

Quan trọng: Phần, phương pháp hoặc tác vụ này chứa các bước chỉ dẫn bạn cách sửa đổi sổ đăng ký. Tuy nhiên, có thể xảy ra sự cố nghiêm trọng nếu bạn sửa đổi sổ đăng ký không đúng cách. Do đó, hãy đảm bảo rằng bạn làm theo các bước này cẩn thận. Để bảo vệ tốt hơn, hãy sao lưu sổ đăng ký trước khi bạn sửa đổi. Sau đó, bạn có thể khôi phục sổ đăng ký nếu xảy ra sự cố. Để biết thêm thông tin về cách sao lưu và khôi phục sổ đăng ký, hãy xem bài viết sau đây trong Cơ sở Tri thức Microsoft:

322756 Cách sao lưu và khôi phục sổ đăng ký trong Windows

Quan trọng: Theo mặc định, Retpoline được bật trên thiết bị Windows 10, phiên bản 1809 nếu spectre, Biến thể 2 (CVE-2017-5715) được bật. Việc bật Retpoline trên phiên bản mới nhất của Windows 10 có thể cải thiện hiệu suất trên các thiết bị chạy Windows 10, phiên bản 1809 cho Spectre biến thể 2, đặc biệt là trên các bộ xử lý cũ hơn.

Để bật các biện pháp giảm nhẹ mặc định cho CVE-2017-5715 (Spectre Biến thể 2) và CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Để tắt các biện pháp giảm nhẹ cho CVE-2017-5715 (Spectre Biến thể 2) và CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Lưu ý: Giá trị 3 chính xác đối với FeatureSettingsOverrideMask cho cả cài đặt "bật" và "tắt". (Xem phần "Câu hỏi thường gặp" để biết thêm chi tiết về khóa đăng ký.)

Để tắt các biện pháp giảm nhẹ cho CVE-2017-5715 (Spectre Biến thể 2) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Để bật các biện pháp giảm nhẹ mặc định cho CVE-2017-5715 (Spectre Biến thể 2) và CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Theo mặc định, tính năng bảo vệ từ người dùng đến nhân cho CVE-2017-5715 bị tắt đối với CPU AMD và ARM. Bạn phải bật biện pháp giảm nhẹ để nhận được các biện pháp bảo vệ bổ sung cho CVE-2017-5715. Để biết thêm thông tin, hãy xem Câu hỏi thường gặp # 15 trong ADV180002 dành cho bộ xử lý AMD và Câu hỏi thường gặp #20 trong ADV180002 dành cho bộ xử lý ARM.

Bật tính năng bảo vệ từ người dùng đến nhân trên bộ xử lý AMD và ARM cùng với các tùy chọn bảo vệ khác cho CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Để bật các biện pháp giảm nhẹ cho CVE-2018-3639 (Speculative Store Bypass), các biện pháp giảm nhẹ mặc định cho CVE-2017-5715 (Spectre Biến thể 2) và CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Lưu ý: Bộ xử lý AMD không dễ gặp phải CVE-2017-5754 (Meltdown). Khóa đăng ký này được sử dụng trong các hệ thống có bộ xử lý AMD để bật các biện pháp giảm nhẹ mặc định cho CVE-2017-5715 trên bộ xử lý AMD và biện pháp giảm nhẹ cho CVE-2018-3639.

Để tắt các biện pháp giảm nhẹ cho CVE-2018-3639 (Speculative Store Bypass) *và* để giảm nhẹ CVE-2017-5715 (Spectre Biến thể 2) và CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Theo mặc định, tính năng bảo vệ từ người dùng đến nhân cho CVE-2017-5715 bị tắt đối với bộ xử lý AMD. Khách hàng phải bật tính năng giảm thiểu để nhận được các biện pháp bảo vệ bổ sung cho CVE-2017-5715.  Để biết thêm thông tin, hãy xem Câu hỏi thường gặp #15 trong ADV180002.

Bật tính năng bảo vệ từ người dùng đến nhân trên bộ xử lý AMD cùng với các tùy chọn bảo vệ khác cho CVE 2017-5715 và các tùy chọn bảo vệ cho CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Để bật các biện pháp giảm thiểu lỗ hổng Hủy bỏ Không đồng bộ Giao dịch Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) và Lấy mẫu Dữ liệu Vi cấu trúc ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-121 30 ) cùng với các biến thể Spectre (CVE-2017-5753 & CVE-2017-5715) và Meltdown (CVE-2017-5754) bao gồm Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) cũng như Lỗi Thiết bị đầu cuối L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646) mà không tắt Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt đăng ký sau đây:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Nếu đây là máy chủ Hyper-V và các bản cập nhật vi chương trình đã được áp dụng: Tắt hoàn toàn tất cả máy ảo. Điều này cho phép các phần mềm liên quan đến giảm nhẹ được áp dụng trên máy chủ trước khi các máy ảo được bắt đầu. Do đó, máy ảo cũng được cập nhật khi khởi động lại.

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Để bật các biện pháp giảm thiểu lỗ hổng Hủy bỏ Không đồng bộ Giao dịch Intel Transactional Synchronization Extensions (Intel TSX) (CVE-2019-11135) và Lấy mẫu Dữ liệu Vi cấu trúc ( CVE-2019-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-121 30 ) cùng với các biến thể Spectre (CVE-2017-5753 & CVE-2017-5715) và Meltdown (CVE-2017-5754) bao gồm Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) cũng như Lỗi Thiết bị đầu cuối L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646) bị Hyper-Threading tắt:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Nếu đã cài đặt tính năng Hyper-V, hãy thêm thiết đặt đăng ký sau đây:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Nếu đây là máy chủ Hyper-V và các bản cập nhật vi chương trình đã được áp dụng: Tắt hoàn toàn tất cả máy ảo. Điều này cho phép các phần mềm liên quan đến giảm nhẹ được áp dụng trên máy chủ trước khi các máy ảo được bắt đầu. Do đó, máy ảo cũng được cập nhật khi khởi động lại.

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Để tắt các biện pháp giảm nhẹ cho Lỗ hổng Hủy bỏ Không đồng bộ Giao dịch Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) và Lấy mẫu Dữ liệu Vi cấu trúc( CVE-2019-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-121 30 ) cùng với các biến thể Spectre (CVE-2017-5753 & CVE-2017-5715) và Meltdown (CVE-2017-5754) bao gồm Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) cũng như Lỗi Thiết bị đầu cuối L1 (L1TF) (CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Khởi động lại thiết bị để các thay đổi có hiệu lực.

Bật bảo vệ người dùng sang nhân trên bộ xử lý AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Để được bảo vệ đầy đủ, khách hàng cũng có thể cần tắt Hyper-Threading chủ đề (còn được gọi là Đa Luồng Đồng thời (SMT)). Vui lòng xem KB4073757 để biếthướng dẫn về cách bảo vệ thiết bị Windows. 

Xác minh rằng các tùy chọn bảo vệ được bật

Để giúp xác minh rằng tính năng bảo vệ được bật, chúng tôi đã phát hành tập lệnh PowerShell mà bạn có thể chạy trên thiết bị của mình. Cài đặt và chạy tập lệnh bằng cách sử dụng một trong các phương pháp sau đây.

Cài đặt Mô-đun PowerShell:

PS> Install-Module SpeculationControl

Chạy mô-đun PowerShell để xác minh rằng đã bật các tùy chọn bảo vệ:

PS> # Lưu chính sách thực thi hiện tại để có thể đặt lại

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

Ps> Get-SpeculationControlSettings

PS> # Đặt lại chính sách thực thi về trạng thái ban đầu

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Cài đặt Mô-đun PowerShell từ Technet ScriptCenter:

Đi tới https://aka.ms/SpeculationControlPS

Tải SpeculationControl.zip xuống thư mục cục bộ.

Trích xuất nội dung vào thư mục cục bộ, ví dụ: C:\ADV180002

Chạy mô-đun PowerShell để xác minh rằng đã bật các tùy chọn bảo vệ:

Khởi động PowerShell, sau đó (bằng cách sử dụng ví dụ trước đó) sao chép và chạy các lệnh sau đây:

PS> # Lưu chính sách thực thi hiện tại để có thể đặt lại

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

Ps> Get-SpeculationControlSettings

PS> # Đặt lại chính sách thực thi về trạng thái ban đầu

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Để được giải thích chi tiết về kết quả của tập lệnh PowerShell, vui lòng xem KB4074629.

Câu hỏi thường gặp

Vi mã được cung cấp thông qua bản cập nhật vi chương trình. Bạn nên kiểm tra với nhà sản xuất CPU (chipset) và thiết bị về tính khả dụng của các bản cập nhật bảo mật vi chương trình hiện hành cho thiết bị cụ thể của họ, bao gồm Cả Hướng dẫn Sửa đổi Vi Intels.

Việc khắc phục lỗ hổng bảo mật phần cứng thông qua bản cập nhật phần mềm hiển thị những thách thức lớn. Ngoài ra, các biện pháp giảm nhẹ cho hệ điều hành cũ hơn yêu cầu phải thay đổi kiến trúc rộng rãi. Chúng tôi đang làm việc với các nhà sản xuất chip bị ảnh hưởng để xác định cách tốt nhất để cung cấp các biện pháp giảm thiểu, có thể được cung cấp trong các bản cập nhật trong tương lai.

Cập nhật cho các thiết bị Microsoft Surface sẽ được giao cho khách hàng thông qua Windows Update cùng với các bản cập nhật cho hệ điều hành Windows. Để biết danh sách các bản cập nhật vi chương trình (vi mã) thiết bị Surface khả dụng, hãy xem KB4073065.

Nếu thiết bị của bạn không phải từ Microsoft, hãy áp dụng vi chương trình từ nhà sản xuất thiết bị. Để biết thêm thông tin, hãy liên hệ với nhà sản xuất thiết bị OEM.

Vào tháng 2 và tháng 3 năm 2018, Microsoft đã phát hành thêm bảo vệ cho một số hệ thống dựa trên x86. Để biết thêm thông tin, hãy xem KB4073757ADV180002 Tư vấn Bảo mật của Microsoft.

Cập nhật để Windows 10 holoLens có sẵn cho khách hàng HoloLens thông qua Windows Update.

Sau khi áp dụng Bản cập nhật Bảo mật Windows tháng 2 năm 2018, khách hàng HoloLens không phải thực hiện thêm bất kỳ hành động nào để cập nhật vi chương trình thiết bị của mình. Các biện pháp giảm thiểu này cũng sẽ được bao gồm trong tất cả các bản phát hành tương lai Windows 10 cho HoloLens.

Không. Bản cập nhật Dành riêng cho Bảo mật không tích lũy. Tùy thuộc vào phiên bản hệ điều hành bạn đang chạy, bạn sẽ phải cài đặt mỗi bản cập nhật Dành riêng cho Bảo mật hàng tháng để được bảo vệ chống lại các lỗ hổng này. Ví dụ: nếu bạn đang chạy Windows 7 dành cho Hệ thống 32 bit trên CPU Intel bị ảnh hưởng, bạn phải cài đặt tất cả các bản cập nhật Dành riêng cho Bảo mật. Chúng tôi khuyên bạn nên cài đặt các bản cập nhật Dành riêng cho Bảo mật này theo thứ tự phát hành.

Chú ý Một phiên bản cũ hơn của Câu hỏi Thường Gặp này đã thông báo sai rằng bản cập nhật Dành riêng cho Bảo mật Tháng Hai bao gồm các bản sửa lỗi bảo mật được phát hành vào tháng 1. Trong thực tế, nó không.

Không. Bản cập nhật bảo mật 4078130 là một bản sửa lỗi cụ thể để ngăn chặn hành vi hệ thống không thể dự đoán, sự cố hiệu suất và/hoặc khởi động lại không mong muốn sau khi cài đặt vi mã. Việc áp dụng các bản cập nhật bảo mật Tháng Hai trên hệ điều hành máy khách Windows cho phép tất cả ba biện pháp giảm nhẹ.

Intel gần đây đã thông báo rằng họ đã hoàn tất các quá trình xác thực và bắt đầu phát hành vi mã cho các nền tảng CPU mới hơn. Microsoft đang cung cấp các bản cập nhật vi mã đã xác thực của Intel xung quanh Spectre Biến thể 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 liệt kê các bài viết cụ thể trong Cơ sở Kiến thức theo phiên bản Windows. Mỗi KB cụ thể đều chứa các bản cập nhật vi mã Intel có sẵn bằng CPU.

Sự cố này đã được khắc phục trong KB4093118.

AMD gần đây đã thông báo rằng họ đã bắt đầu phát hành vi mã cho các nền tảng CPU mới hơn xung quanh Spectre Biến thể 2 (CVE-2017-5715 "Branch Target Injection"). Để biết thêm thông tin, hãy tham khảo Hướng dẫn Bảo mật AMD Cập nhậtSách trắng AMD: Hướng dẫn Kiến trúc liên quan đến Kiểm soát Nhánh Gián tiếp. Các bản cập nhật này có sẵn từ kênh vi chương trình OEM.

Chúng tôi đang cung cấp các bản cập nhật vi mã đã được Intel xác thực liên quan đến Spectre Biến thể 2 (CVE-2017-5715 "Branch Target Injection "). Để nhận các bản cập nhật vi mã Intel mới nhất thông qua Windows Update, khách hàng phải cài đặt vi mã Intel trên thiết bị chạy hệ điều hành Windows 10 trước khi nâng cấp lên Bản cập nhật Windows 10 tháng 4 năm 2018 (phiên bản 1803).

Bản cập nhật vi mã cũng có sẵn trực tiếp từ Danh mục nếu chưa được cài đặt trên thiết bị trước khi nâng cấp HĐH. Vi mã Intel khả dụng thông qua Windows Update, WSUS hoặc Danh mục Microsoft Update. Để biết thêm thông tin và hướng dẫn tải xuống, hãy xem KB4100347.

Để biết chi tiết, hãy xem các phần "Hành động được đề xuất" và "Câu hỏi thường gặp" trong ADV180012 | Hướng dẫn Của Microsoft cho Bỏ qua Cửa hàng Suy đoán.

Để xác minh trạng thái của SSBD, tập lệnh Get-SpeculationControlSettings PowerShell đã được cập nhật để phát hiện các bộ xử lý bị ảnh hưởng, trạng thái của các bản cập nhật hệ điều hành SSBD và trạng thái của vi mã bộ xử lý nếu có. Để biết thêm thông tin và để có được tập lệnh PowerShell, hãy xem KB4074629.

Vào ngày 13 tháng 6 năm 2018, một lỗ hổng bổ sung liên quan đến thực hiện suy đoán phía kênh, được gọi là Lazy FP State Restore, đã được công bố và gán CVE-2018-3665. Không cần phải có cài đặt cấu hình (sổ đăng ký) để Khôi phục FP lười biếng.

Để biết thêm thông tin về lỗ hổng này và cho các hành động được đề xuất, hãy tham khảo tư vấn bảo mật ADV180016 | Microsoft Guidance for Lazy FP State Restore.

Lưu ý: Không cần phải có cài đặt cấu hình (sổ đăng ký) để Khôi phục FP lười biếng.

Bounds Check Bypass Store (BCBS) đã được tiết lộ vào ngày 10 tháng 7 năm 2018 và được gán CVE-2018-3693. Chúng tôi coi BCBS là thuộc cùng loại lỗ hổng như Bounds Check Bypass (Biến thể 1). Chúng tôi hiện chưa biết về bất kỳ phiên bản nào của BCBS trong phần mềm của mình, nhưng chúng tôi đang tiếp tục nghiên cứu lớp lỗ hổng này và sẽ làm việc với các đối tác trong ngành để phát hành các biện pháp giảm thiểu theo yêu cầu. Chúng tôi tiếp tục khuyến khích các nhà nghiên cứu gửi mọi phát hiện liên quan đến chương trình tiền thưởng Kênh Thực hiện Suy đoán Phía của Microsoft, bao gồm mọi trường hợp khai thác được của BCBS. Các nhà phát triển phần mềm nên xem lại hướng dẫn dành cho nhà phát triển đã được cập nhật cho BCBS https://aka.ms/sescdevguide.

Vào ngày 14 tháng 8 năm 2018, Lỗi Terminal L1 (L1TF) đã được công bố và gán nhiều CVEs. Các lỗ hổng thực hiện suy đoán phía kênh có thể được sử dụng để đọc nội dung của bộ nhớ qua ranh giới đáng tin cậy và, nếu khai thác, có thể dẫn đến tiết lộ thông tin. Kẻ tấn công có thể kích hoạt các lỗ hổng thông qua nhiều véc-tơ, tùy thuộc vào môi trường được đặt cấu hình. L1TF ảnh hưởng đến bộ xử lý Intel® Core® và bộ xử lý Intel® Xeon®.

Để biết thêm thông tin về lỗ hổng này và xem chi tiết các kịch bản bị ảnh hưởng, bao gồm cả phương pháp tiếp cận của Microsoft để giảm nhẹ L1TF, hãy xem các tài nguyên sau đây:

Khách hàng sử dụng bộ xử lý ARM 64 bit nên kiểm tra với thiết bị OEM để được hỗ trợ vi chương trình vì hệ điều hành ARM64 có các tùy chọn bảo vệ giảm thiểu khả năng hỗ trợ hệ điều hành CVE-2017-5715 | Branch target injection (Spectre, Variant 2) yêu cầu bản cập nhật vi chương trình mới nhất từ OEM thiết bị có hiệu lực.

Để biết hướng dẫn Azure, vui lòng tham khảo bài viết này: Hướng dẫn giảm thiểu lỗ hổng thực hiện suy đoán phía kênh trong Azure.  

Để biết thêm thông tin về việc bật Retpoline, hãy tham khảo bài đăng blog của chúng tôi: Giảm nhẹ Spectre biến thể 2 bằng Retpoline trên Windows

Để biết chi tiết về lỗ hổng này, hãy xem Hướng dẫn Bảo mật microsoft: CVE-2019-1125 | Windows Kernel Information Disclosure Vulnerability.

Chúng tôi không biết về bất kỳ trường hợp nào của lỗ hổng tiết lộ thông tin này ảnh hưởng đến cơ sở hạ tầng dịch vụ đám mây của chúng tôi.

Ngay sau khi chúng tôi biết về sự cố này, chúng tôi đã làm việc nhanh chóng để giải quyết sự cố đó và phát hành bản cập nhật. Chúng tôi thực sự tin tưởng vào mối quan hệ đối tác chặt đẹp với cả các nhà nghiên cứu và đối tác trong ngành để làm cho khách hàng an toàn hơn và không công bố chi tiết cho đến thứ Ba, ngày 6 tháng 8, phù hợp với các thực hành tiết lộ lỗ hổng phối hợp.

Bạn có thể tìm thấy hướng dẫn thêm trong mục Hướng dẫn để tắt tính năng Intel® Transactional Synchronization Extensions (Intel® TSX).

Tham khảo

Chúng tôi cung cấp thông tin liên hệ bên thứ ba để giúp bạn tìm hỗ trợ kỹ thuật. Thông tin liên hệ này có thể thay đổi mà không cần thông báo. Chúng tôi không đảm bảo tính chính xác của thông tin liên hệ bên thứ ba này.

Bạn cần thêm trợ giúp?

Phát triển các kỹ năng của bạn
Khám phá nội dung đào tạo
Sở hữu tính năng mới đầu tiên
Tham gia Microsoft dùng nội bộ

Thông tin này có hữu ích không?

Bạn hài lòng đến đâu với chất lượng dịch thuật?
Điều gì ảnh hưởng đến trải nghiệm của bạn?

Cảm ơn phản hồi của bạn!

×