KB4073065：用于防范基于硅的微体系结构和推理执行侧通道漏洞的 Surface 指南

简介

自 2018 年 1 月以来，Surface 团队一直在发布一类基于硅的问题的固件更新，这些问题涉及微体系结构和推理执行侧通道漏洞。 Surface 团队将继续与 Windows 团队和行业合作伙伴密切合作，以保护客户。 若要获取所有可用的保护，需要固件和 Windows 系统更新。

摘要

2022 年 6 月宣布的漏洞

Surface 团队了解了新的基于硅的微架构和推理执行侧通道攻击变体，这些变体也会影响 Surface 产品。 有关漏洞和缓解措施的详细信息，请参阅以下安全公告：

• Microsoft安全公告ADV220002

我们正在与合作伙伴合作，在确保更新符合我们的质量要求后，立即提供 Surface 产品的更新。 

有关 Surface 设备的更新的详细信息，请参阅 Surface 更新历史记录。

2019 年 5 月宣布的漏洞

Surface 团队知道新的推理执行侧通道攻击变体，这些变体也会影响 Surface 产品。 缓解这些漏洞需要操作系统更新和包含新微代码的 Surface UEFI 更新。 有关漏洞和缓解措施的详细信息，请参阅以下安全公告：

• Microsoft安全咨询ADV190013

  此公告包括以下漏洞：

  • CVE-2018-12126 | 微架构存储缓冲区数据采样 (MSBDS) 
  • CVE-2018-12130 | 微体系结构填充缓冲区数据采样 (MFBDS)
  • CVE-2018-12127 | 微体系结构加载端口数据采样 (MLPDS)
  • CVE-2019-11091 |微体系结构数据采样不可缓存内存 (MDSUM)

除了安装 Windows 操作系统安全更新外，Surface 还通过 Windows 更新 和下载中心为以下设备发布了 UEFI 更新：

• Surface 3 - 2019 年 7 月 11 日更新
• Surface Pro 3 - 2019 年 7 月 11 日更新
• Surface Pro 4 - 2019 年 6 月 27 日更新
• Surface Book - 2019 年 6 月 27 日更新
• Surface Studio - 2019 年 7 月 11 日更新
• Surface Pro (^{第 5 代}) - 2019 年 6 月 27 日更新
• Surface Laptop - 2019 年 6 月 27 日更新
• Surface Book 2 - 2019 年 6 月 27 日更新
• Surface Pro 6 - 2019 年 6 月 27 日更新
• Surface Laptop 2 - 2019 年 6 月 27 日更新
• Surface Studio 2- 2019 年 7 月 31 日更新
• Surface GO WiFi - 2019 年 7 月 23 日更新
• Surface GO LTE - 2019 年 7 月 23 日更新

除了新的微代码，安装 UEFI 更新时，还将提供称为“同时多线程 (SMT) ”的新 UEFI 设置。 此设置允许用户禁用超线程。

注意

• 如果决定禁用超线程，建议使用新的 SMT UEFI 设置。

• 禁用 SMT 可提供针对这些新漏洞和先前宣布的 L1 终端故障 攻击的额外保护。 但是，此方法也会影响设备的性能。

• Surface 3 和带有 Intel Core i5 的Surface Studio没有 SMT。 因此，这些设备没有此新设置。

• Microsoft Surface Enterprise Management Mode (SEMM) UEFI 配置器工具版本 2.43.139 或更高版本支持新的 SMT 设置。 可以从 此网页下载这些工具。 下载以下必需工具：

  • SurfaceUEFI_Configurator_v2.43.139.0.msi
  • SurfaceUEFI_Manager_v2.43.139.0.msi

2018 年 8 月宣布的漏洞

Surface 团队意识到新的推理执行侧通道攻击称为 L1 终端故障 (L1TF) ，并分配了 CVE-2018-3620 (OS 和 SMM) 和 CVE-2018-3646 (VMM) 。 受影响的 Surface 产品与本文的“2018 年 5 月发布的漏洞”部分相同。 缓解 2018 年 5 月发现结果的微代码更新也缓解了 L1TF (CVE-2018-3646) 。 有关漏洞和缓解措施的详细信息，请参阅以下安全公告：

• Microsoft安全咨询ADV180018

  此公告包括以下漏洞：

  • CVE-2018-3620
  • CVE-2018-3646

安全公告建议，使用基于虚拟化的安全性 (VBS) （包括 Credential Guard 和 Device Guard 等安全功能）的客户应考虑禁用 Hyper-Threading，以完全消除 L1TF 的风险。

2018 年 5 月宣布的漏洞

Surface 团队已经意识到了也会影响 Surface 产品的新投机执行侧通道攻击变体。 缓解这些漏洞需要使用新微代码的 UEFI 更新。 有关漏洞和缓解措施的详细信息，请参阅以下安全公告：

• Microsoft安全咨询ADV180012

  此公告包括以下漏洞：

  • CVE-2018-3639

• Microsoft安全公告ADV180013

  此公告包括以下漏洞：

  • CVE-2018-3640

除了安装 Windows 操作系统安全更新外，Surface 还通过 Windows 更新 和下载中心为以下设备发布了 UEFI 更新：

• Surface Book 2 - 2018 年 8 月 1 日更新
• Surface Book - 2018 年 8 月 21 日更新
• Surface Laptop - 2018 年 7 月 25 日更新
• Surface Studio - 2018 年 10 月 1 日更新
• Surface Pro 4 - 2018 年 7 月 25 日更新
• Surface Pro 3 - 2018 年 8 月 7 日更新
• Surface Pro型号 1796 和高级 LTE 型号 1807 的Surface Pro - 2018 年 7 月 26 日更新

2018 年 1 月宣布的漏洞

Surface 团队知道公开披露的一类漏洞，这些漏洞涉及推理执行侧通道 (称为 Spectre 和 Meltdown) ，这些漏洞会影响许多现代处理器和操作系统，包括 Intel、AMD 和 ARM。 有关漏洞和缓解措施的详细信息，请参阅以下安全公告：

• Microsoft安全咨询ADV180002

  此公告包括以下漏洞：

  • CVE-2017-5753
  • CVE-2017-5715
  • CVE-2017-5754

有关 Windows 软件更新的详细信息，请参阅以下知识库文章：

• KB4073757 
• KB4073119 (客户端指南)

除了安装 1 月 3 日 Windows 操作系统安全汇报外，Surface 还通过以下设备的Windows 更新和下载中心发布了 UEFI 更新：

• Surface Book 2 - (更新历史记录)
• Surface Book - (更新历史记录)
• Surface Laptop - (更新历史记录)
• Surface Studio - (更新历史记录)
• Surface Pro 4 - (更新历史记录)
• Surface Pro 3 - (更新历史记录)
• Surface 3 - (更新历史记录)
• Surface Pro型号 1796 和高级 LTE 型号 1807 (Surface Pro 更新历史记录)

这些更新适用于运行Windows 10 创意者更新 (内部版本 15063) 及更高版本的设备。

详细信息

Surface Hub 操作系统（Windows 10 协同版）已实施深层防御策略。 因此，我们认为，在运行 Windows 10 协同版 操作系统时，Surface Hub 上使用这些漏洞的漏洞会大大减少。  有关详细信息，请参阅 Windows IT 专业人员中心网站上的以下主题：Surface Hub 与Windows 10 企业版之间的差异。  

Surface 团队致力于确保我们的用户获得安全可靠的体验。 我们将继续根据需要监视和更新设备，以解决这些漏洞并保持设备的可靠和安全。

参考

第三方信息免责声明

我们提供了第三方联系信息，以便你寻求技术支持。 该联系信息如有更改，恕不另行通知。 我们不保证此第三方联系信息的准确性。