简介
自 2018 年 1 月起,Surface 团队已针对涉及推理执行侧信道的新类型的硬件漏洞发布了固件更新。 Surface 团队尚未收到任何信息表明这些漏洞目前已用于攻击客户,该团队将持续与 Windows 团队和业内合作伙伴密切协作以保护客户。 要获得所有可用的保护,需要安装固件和 Windows 系统更新。
概要
Surface 团队意识到还会影响 Surface 产品的新推理执行侧信道攻击变体。 缓解这些漏洞需要操作系统更新和包含新微码的 Surface UEFI 更新。 有关漏洞和缓解措施的更多信息,请参阅以下安全通报:
我们正在与我们的合作伙伴合作以提供以下 Surface 产品的更新,只要我们能够确保更新符合我们的质量要求,就会尽快提供这些更新:
-
Surface 3 - 2019 年 7 月 11 日更新
-
Surface Pro 3 - 2019 年 7 月 11 日更新
-
Surface Pro 4 - 2019 年 6 月 27 日更新
-
Surface Book - 2019 年 6 月 27 日更新
-
Surface Studio - 2019 年 7 月 11 日更新
-
Surface Pro(第 5 代) - 2019 年 6 月 27 日更新
-
Surface Laptop - 2019 年 6 月 27 日更新
-
Surface Book 2 - 2019 年 6 月 27 日更新
-
Surface Pro 6 - 2019 年 6 月 27 日更新
-
Surface Laptop 2 - 2019 年 6 月 27 日更新
-
Surface Studio 2 - 2019 年 7 月 31 日更新
-
Surface GO WiFi
-
Surface GO LTE
除了新的微码之外,安装 UEFI 更新时,还将提供称为“同时多线程 (SMT)”的新 UEFI 设置。 此设置允许用户禁用超线程。
注意
-
如果你决定禁用超线程,我们建议你使用新的 SMT UEFI 设置。
-
禁用 SMT 可针对这些新漏洞和之前宣布的 L1 终端故障攻击提供额外的保护。 但是,此方法也会影响设备的性能。
-
配备 Intel Core i5 的 Surface 3 和 Surface Studio 没有SMT。 因此,这些设备没有这个新设置。
-
Microsoft Surface Enterprise Management Mode (SEMM) UEFI 配置器工具版本 2.43.139 或更新版本支持新的 SMT 设置。 工具可以从此网页下载。 下载以下所需工具:
-
SurfaceUEFI_Configurator_v2.43.139.0.msi
-
SurfaceUEFI_Manager_v2.43.139.0.msi
-
参考资料
Surface 团队注意到一种新的推理执行侧信道攻击,该攻击称为 L1 终端故障 (L1TF),并分配了 CVE-2018-3620(OS 和 SMM)以及 CVE-2018-3646 (VMM).。 受影响的 Surface 产品与本文中“2018 年 5 月宣布的漏洞”部分一样。 缓解 2018 年 5 月调查结果的微码更新也可缓解 L1TF (CVE-2018-3646)。 有关漏洞和缓解措施的更多信息,请参阅以下安全通报:
安全通报建议使用基于虚拟化的安全性 (VBS) 的客户(包括 Credential Guard 和 Device Guard 等安全功能)应考虑禁用超线程以完全消除 L1TF 风险。 客户目前无法在其 Surface 设备上禁用超线程。 默认情况下,Surface 设备上禁用 VBS 功能。 Surface 团队正在研究允许禁用超线程的选项。
参考
Surface 团队已意识到还会影响 Surface 产品的新推理执行侧信道攻击变体。 这些漏洞的缓解措施需要使用新微码的 UEFI 更新。 有关漏洞和缓解措施的更多信息,请参阅以下安全通报:
我们正在与我们的合作伙伴合作以提供以下 Surface 产品的更新,只要我们能够确保更新符合我们的质量要求,就会尽快提供这些更新:
-
Surface Book 2 - 2018 年 8 月 1 日更新
-
Surface Book - 2018 年 8 月 21 日更新
-
Surface Laptop - 2018 年 7 月 25 日更新
-
Surface Studio - 2018 年 10 月 1 日更新
-
Surface Pro 4 - 2018 年 7 月 25 日更新
-
Surface Pro 3 - 2018 年 8 月 7 日更新
-
Surface Pro 型号 1796 和 Surface Pro with Advanced LTE 型号 1807 - 2018 年 7 月 26 日更新
参考
Surface 团队已意识到公开披露的涉及推理执行侧信道的一类漏洞(称为 Spectre 和 Meltdown),这种漏洞会影响许多新式处理器和操作系统,包括 Intel、AMD 和 ARM。 有关漏洞和缓解措施的更多信息,请参阅以下安全通报:
有关 Windows 软件更新的更多信息,请参阅以下知识库文章:
除了安装 1 月 3 日 Windows 操作系统安全更新之外,Surface 已通过 Windows 更新和下载中心为下列设备发布了 UEFI 更新:
-
Surface Book 2 -(更新历史记录)
-
Surface Book -(更新历史记录)
-
Surface Laptop -(更新历史记录)
-
Surface Studio -(更新历史记录)
-
Surface Pro 4 -(更新历史记录)
-
Surface Pro 3 -(更新历史记录)
-
Surface 3 -(更新历史记录)
-
Surface Pro 型号 1796 和 Surface Pro with Advanced LTE 型号 1807-(更新历史记录)
这些更新适用于运行 Windows 10 创意者更新(内部版本 15063)和更高版本的设备。
参考
更多信息
Surface Hub 已实施了深度防御策略。 有关更多信息,请参阅 Windows IT 专业人员中心网站中的以下主题:
Surface Hub 和 Windows 10 企业版之间的差异
因此,我们认为在 Surface Hub 上利用这些漏洞进行攻击的情况会显著减少。
Surface 团队专注于确保我们的用户获得安全且可靠的体验。 我们将根据需要继续监视和更新设备,以修复这些漏洞并保护设备的可靠性和安全性。