摘要
當其他資訊可供使用時,將會更新本文內容。 請定期返回查看是否有更新和新的常見問題集。
Microsoft 已知稱為「理論式執行端通道攻擊」的新公開揭露等級弱點,這些弱點影響許多新型處理器,其中包括 Intel、AMD、VIA 和 ARM。
注意:這個問題也影響其他作業系統,例如 Android、Chrome、iOS 和 macOS, 因此,建議客戶向那些廠商尋找指引。
我們已經發行數個更新,可協助防範這些弱點。 我們也已採取行動,保護我們的雲端服務。 請參閱下列章節,了解詳細資訊。
我們尚未收到任何資訊,指出客戶已遭受這些弱點的攻擊。 我們會持續與晶片製造商、硬體 OEM 和應用程式廠商等業界合作夥伴密切合作,一同保護客戶。 若要取得所有可用的保護,則必須安裝韌體 (微碼) 和軟體更新。 這包括來自裝置 OEM 的微碼,在某些情況下,還包括防毒軟體的更新。
本文解決下列弱點:
Windows Update 也將提供 Internet Explorer 和 Edge 緩和措施。 我們會持續改善這些緩和措施,以防範這個弱點等級。
若要深入了解這個弱點等級,請參閱
已於 2019 年 5 月 14 日更新:2019 年 5 月 14 日,Intel 已發佈有關名為「微結構資料取樣」之理論式執行端通道弱點新子類別的資訊。 這些弱點已指派為下列 CVE:
重要:這些問題將會影響其他系統,例如 Android、Chrome、iOS 和 MacOS。 建議客戶向個別廠商尋找指引。
Microsoft 已經發行更新,可協助防範這些弱點。 若要取得所有可用的保護,則必須安裝韌體 (微碼) 和軟體更新。 這包括來自裝置 OEM 的微碼。 在某些情況下,安裝這些更新將會對效能造成影響。 我們也已採取行動,保護我們的雲端服務。 強烈建議您部署這些更新。
如需有關這個問題的詳細資訊,請參閱下列資訊安全諮詢,並運用案例指引,判斷防範威脅所需執行的動作:
注意:建議您在安裝任何微碼更新之前,先安裝 Windows Update 中所有的最新更新。
已於 2019 年 8 月 6 日更新:Intel 已於 2019 年 8 月 6 日發行有關 Windows 核心資訊洩漏弱點的詳細資訊。 這個弱點是 Spectre Variant 1 理論式執行端通道弱點的變種,並且已指派為 CVE-2019-1125。
2019 年 7 月 9 日,我們已為 Windows 作業系統發行安全性更新,以協助防範此問題。 請注意,我們直到 2019 年 8 月 6 日星期二業界協調的公佈時間,才公開記載這項緩和措施。
若客戶已啟用 Windows Update 並套用 2019 年 7 月 9 日發行的安全性更新,則會自動受到保護。 不需要進行進一步設定。
注意:此弱點不需要裝置製造商 (OEM) 的微碼更新。
如需有關此弱點和適用更新的詳細資訊,請參閱 Microsoft 安全性更新導覽:
CVE-2019-1125 | Windows 核心資訊洩漏弱點
已於 2019 年 11 月 12 日更新,英特爾發佈了有關英特爾®事務同步擴展 (英特爾® TSX) 事務非同步中止漏洞的技術通報,該漏洞被分配為 CVE-2019-11135。 Microsoft 已經發行更新,可協助防範這些弱點,並且預設情況下為 Windows 伺服器 OS 版本啟用作業系統保護。
建議動作
客戶應採取下列動作,以協助防範弱點:
-
套用所有可用的 Windows 作業系統更新,其中包括每月 Windows 安全性更新。
-
套用裝置製造商所提供的適用韌體 (微碼) 更新。
-
根據 Microsoft 資訊安全諮詢: ADV180002、ADV180012、ADV190013 及這篇知識庫文章中的資訊,評估您環境的風險。
-
運用資訊安全諮詢和這篇知識庫文章提供的登錄機碼資訊,採取必要動作。
注意:Surface 客戶將會透過 Windows Update 取得微碼更新。 如需最新 Surface 裝置韌體 (微碼) 更新的清單,請參閱 KB 4073065。
適用於 Windows Server 的緩和措施設定
安全公告 ADV180002、ADV180012 和 ADV190013 提供有關這些漏洞所造成風險的資訊。 並可協助您識別適用於 Windows Server 系統的緩和措施預設狀態。 下列表格摘要說明 CPU 微碼的需求和 Windows Server 上的緩和措施預設狀態。
|
CVE |
需要 CPU 微碼/韌體? |
緩和措施預設狀態 |
|---|---|---|
|
CVE-2017-5753 |
否 |
預設為啟用 (無停用選項) 請參閱 ADV180002,以取得其他資訊 |
|
CVE-2017-5715 |
是 |
預設為停用。 請參閱 ADV180002,以了解其他資訊,並參閱這篇知識庫文章,以取得適用的登錄機碼設定。 注意:“Retpoline” 在執行 Windows 10 1809 或更新版本的裝置上預設為啟用 (若 Spectre Variant 2 (CVE-2017-5715) 已啟用)。 如需有關 “Retpoline” 的詳細資訊,請參閱在 Windows 使用 Retpoline 防範 Spectre Variant 2 (英文) 部落格文章。 |
|
CVE-2017-5754 |
否 |
Windows Server 2019: 預設為啟用。 請參閱 ADV180002,以取得其他資訊。 |
|
CVE-2018-3639 |
Intel: 是 AMD: 否 |
預設為停用。 請參閱 ADV180012,以了解詳細資訊,並參閱這篇知識庫文章,以取得適用的登錄機碼設定。 |
|
CVE-2018-11091 |
Intel: 是 |
Windows Server 2019: 預設為啟用。 請參閱 ADV190013,以了解詳細資訊,並參閱這篇知識庫文章,以取得適用的登錄機碼設定。 |
|
CVE-2018-12126 |
Intel: 是 |
Windows Server 2019: 預設為啟用。 請參閱 ADV190013,以了解詳細資訊,並參閱這篇知識庫文章,以取得適用的登錄機碼設定。 |
|
CVE-2018-12127 |
Intel: 是 |
Windows Server 2019: 預設為啟用。 請參閱 ADV190013,以了解詳細資訊,並參閱這篇知識庫文章,以取得適用的登錄機碼設定。 |
|
CVE-2018-12130 |
Intel: 是 |
Windows Server 2019: 預設為啟用。 請參閱 ADV190013,以了解詳細資訊,並參閱這篇知識庫文章,以取得適用的登錄機碼設定。 |
|
CVE-2019-11135 |
Intel: 是 |
Windows Server 2019: 預設為啟用。 請參閱 CVE-2019-11135,以了解詳細資訊,並參閱這篇知識庫文章,以取得適用的登錄機碼設定。 |
若客戶希望取得可防範這些弱點的所有可用保護,則必須進行登錄機碼變更,以啟用這些預設為停用的緩和措施。
啟用這些緩和措施可能會影響效能。 效能影響範圍取決於多個因素,例如實體主機中的特定晶片組,以及執行的工作負載。 我們建議客戶評估對其環境的效能影響,並進行任何必要的調整。
如果您的伺服器屬於下列其中一個類別,則會增加風險:
-
Hyper-V 主機 – 需要 VM 對 VM 和 VM 對主機攻擊的保護。
-
遠端桌面服務主機 (RDSH) – 需要一個工作階段到另一個工作階段或工作階段到主機攻擊的保護。
-
執行「未受信任程式碼」的實體主機或虛擬機器,例如資料庫的容器或未受信任的延伸模組、未受信任的 Web 內容,或是執行外部來源所提供之程式碼的工作負載。 這些都需要未受信任的處理程序到另一個處理程序或未受信任的處理程序到核心攻擊的保護。
請使用下列登錄機碼設定,在伺服器上啟用緩和措施,然後重新啟動系統,使變更生效。
注意:啟用預設為停用的緩和措施可能會影響效能。 實際的效能影響取決於多個因素,例如裝置中的特定晶片組,以及執行的工作負載。
登錄設定
下列提供的登錄資訊可用來啟用如資訊安全諮詢 ADV180002、ADV180012 和 ADV190013 所述,未預設為啟用的緩和措施。
此外,若使用者想要停用 Windows 用戶端中與 CVE-2017-5715 和 CVE-2017-5754 相關的緩和措施,我們提供的下列登錄機碼設定可供參考。
重要 此章節、方法或工作包含有關如何修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為加強保護,請先備份登錄再進行修改。 如果發生問題,您就可以還原登錄。 如需有關如何備份和還原登錄的詳細資訊,請按一下下列文章編號,檢視「Microsoft 知識庫」中的文章:
322756 如何在 Windows XP 中備份及還原登錄
管理 CVE-2017-5715 (Spectre Variant 2) 和 CVE-2017-5754 (Meltdown) 的緩和措施
重要事項:Retpoline 在 Windows 10 1809 版伺服器上預設為啟用 (若 Spectre Variant 2 (CVE-2017-5715) 已啟用)。 在最新 Windows 10 版本上啟用 Retpoline 以防範 Spectre Variant 2,可能會提升執行 Windows 10 1809 版的伺服器效能,對於舊版處理器更是顯著。
|
若要啟用 CVE-2017-5715 (Spectre Variant 2) 和 CVE-2017-5754 (Meltdown) 的緩和措施 reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 如果已安裝 Hyper-V 功能,請新增下列登錄設定: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f 如果這是 Hyper-V 主機且已經套用韌體更新: 完全關閉所有虛擬機器。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此,重新啟動時 VM 也會更新。 重新啟動電腦,使變更生效。 若要停用 CVE-2017-5715 (Spectre Variant 2) 和 CVE-2017-5754 (Meltdown) 的緩和措施 reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動電腦,使變更生效。 |
注意:將 FeatureSettingsOverrideMask 設定為 3 對於「啟用」和「停用」設定都是正確的 (請參閱常見問題集,取得有關登錄機碼的詳細資訊)。
管理 CVE-2017-5715 (Spectre Variant 2) 的緩和措施
|
停用 Variant 2: (CVE-2017-5715 「分支目標導入」) 緩和措施: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動電腦,使變更生效。 啟用 Variant 2: (CVE-2017-5715 「分支目標導入」) 緩和措施: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動電腦,使變更生效。 |
僅適用於 AMD 處理器:啟用 CVE-2017-5715 (Spectre Variant 2) 的完整緩和措施
根據預設,AMD CPU 對 CVE-2017-5715 的使用者至核心保護是停用的。 客戶必須啟用緩和措施,才能收到對 CVE-2017-5715 的其他保護。 如需詳細資訊,請參閱 ADV180002 中<常見問題集>的問題 15。
|
在 AMD 處理器上啟用使用者至核心保護,以及對 CVE 2017-5715 的其他保護: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 如果已安裝 Hyper-V 功能,請新增下列登錄設定: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f 如果這是 Hyper-V 主機且已經套用韌體更新: 完全關閉所有虛擬機器。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此,重新啟動時 VM 也會更新。 重新啟動電腦,使變更生效。 |
管理 CVE-2018-3639 (理論式儲存略過)、CVE-2017-5715 (Spectre Variant 2) 和 CVE-2017-5754 (Meltdown) 的緩和措施
|
若要啟用 CVE-2018-3639 (理論式儲存略過)、CVE-2017-5715 (Spectre Variant 2) 和 CVE-2017-5754 (Meltdown) 的緩和措施: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 如果已安裝 Hyper-V 功能,請新增下列登錄設定: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f 如果這是 Hyper-V 主機且已經套用韌體更新: 完全關閉所有虛擬機器。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此,重新啟動時 VM 也會更新。 重新啟動電腦,使變更生效。 若要停用 CVE-2018-3639 (理論式儲存略過)、CVE-2017-5715 (Spectre Variant 2) 和 CVE-2017-5754 (Meltdown) 的緩和措施 reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動電腦,使變更生效。 |
僅適用於 AMD 處理器:啟用 CVE-2017-5715 (Spectre Variant 2) 和 CVE 2018-3639 (理論式儲存略過) 的完整緩和措施
根據預設,AMD 處理器對 CVE-2017-5715 的使用者至核心保護是停用的。 客戶必須啟用緩和措施,才能收到對 CVE-2017-5715 的其他保護。 如需詳細資訊,請參閱 ADV180002 中<常見問題集>的問題 15。
|
在 AMD 處理器上啟用使用者至核心保護,以及對 CVE 2017-5715 的其他保護和對 CVE 2018-3639 (理論式儲存略過) 的保護: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 如果已安裝 Hyper-V 功能,請新增下列登錄設定: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f 如果這是 Hyper-V 主機且已經套用韌體更新: 完全關閉所有虛擬機器。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此,重新啟動時 VM 也會更新。 重新啟動電腦,使變更生效。 |
管理英特爾®事務同步擴展(英特爾® TSX)事務非同步中止漏洞 (CVE-2019-11135)和微結構資料取樣 (CVE-2018-11091、CVE-2018-12126、CVE-2018-12127、CVE-2018-12130) 以及 Spectre (CVE-2017-5753 與 CVE-2017-5715) 和 Meltdown (CVE-2017-5754) 變種,包括理論式儲存旁路停用 (SSBD) (CVE-2018-3639) 以及 L1 終端機錯誤 (L1TF) (CVE-2018-3615、CVE-2018-3620 和 CVE-2018-3646)
|
若要啟用英特爾®事務同步擴展(英特爾® TSX)事務非同步中止漏洞 (CVE-2019-11135) 和微結構資料取樣 ( CVE-2018-11091 、 CVE-2018-12126 、 CVE-2018-12127 、 CVE-2018-12130 ) 以及 Spectre [CVE-2017-5753 & CVE-2017-5715] 和 Meltdown [CVE-2017-5754] variant,包括理論式儲存旁路停用 (SSBD) [CVE-2018-3639] 以及 L1 終端機錯誤 (L1TF) [CVE-2018-3615、CVE-2018-3620 和 CVE-2018-3646] 的緩和措施,而不停用超執行緒: 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 如果已安裝 Hyper-V 功能,請新增下列登錄設定: 登錄新增 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f 如果這是 Hyper-V 主機且已經套用韌體更新: 完全關閉所有虛擬機器。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此,重新啟動時 VM 也會更新。 重新啟動電腦,使變更生效。 若要啟用英特爾®事務同步擴展(英特爾® TSX)事務非同步中止漏洞 (CVE-2019-11135)和微結構資料取樣 ( CVE-2018-11091 、 CVE-2018-12126 、 CVE-2018-12127 、 CVE-2018-12130 ) 以及 Spectre [CVE-2017-5753 與 CVE-2017-5715] 和 Meltdown [CVE-2017-5754] variant,包括理論式儲存旁路停用 (SSBD) [CVE-2018-3639] 以及 L1 終端機錯誤 (L1TF) [CVE-2018-3615、CVE-2018-3620 和 CVE-2018-3646] 的緩和措施,並且停用超執行緒: 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 如果已安裝 Hyper-V 功能,請新增下列登錄設定: 登錄新增 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f 如果這是 Hyper-V 主機且已經套用韌體更新: 完全關閉所有虛擬機器。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此,重新啟動時 VM 也會更新。 重新啟動電腦,使變更生效。 若要停用英特爾®事務同步擴展(英特爾® TSX)事務非同步中止漏洞 (CVE-2019-11135)和微結構資料取樣 ( CVE-2018-11091 、 CVE-2018-12126 、 CVE-2018-12127 、 CVE-2018-12130 ) 以及 Spectre [CVE-2017-5753 與 CVE-2017-5715] 和 Meltdown [CVE-2017-5754] 變種,包括理論式儲存旁路停用(SSBD) [CVE-2018-3639] 以及 L1 終端機錯誤 (L1TF) [CVE-2018-3615、CVE-2018-3620 和 CVE-2018-3646] 的緩和措施: 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動電腦,使變更生效。 |
驗證已啟用保護
為協助客戶驗證已啟用保護,Microsoft 已經發行 PowerShell 指令碼,可讓客戶在他們的系統上執行。 請執行下列命令,以安裝並執行指令碼。
|
使用 PowerShell 資源庫的 PowerShell 驗證 (Windows Server 2016 或 WMF 5.0/5.1) |
|
安裝 PowerShell 模組: PS> Install-Module SpeculationControl 執行 PowerShell 模組,以驗證已啟用保護: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
|
使用 Technet 下載的 PowerShell 驗證 (舊版作業系統和舊版 WMF) |
|
安裝 Technet 指令碼中心的 PowerShell 模組:
執行 PowerShell 模組,以驗證已啟用保護: 啟動 PowerShell,然後使用先前的範例複製並執行下列命令: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
如需有關 PowerShell 指令碼輸出的詳細說明,請參閱知識庫文章 4074629。
常見問題集
為協助避免對客戶裝置造成負面影響,2018 年 1 月和 2 月發行的 Windows 安全性更新未提供給所有客戶。 如需詳細資訊,請參閱 Microsoft 知識庫文章 4072699。
微碼是透過韌體更新提供。 請洽詢您的 OEM,以取得具有您電腦適用更新的韌體版本。
有多個變數會影響效能,例如系統版本、正在執行的工作負載等。 對於某些系統,效果影響將無關緊要。 對於其他系統則值得考慮。
建議您根據系統評估效能影響,並視需要進行調整。
除了本文中有關虛擬機器的指引外,您還應連絡您的服務提供者,以確保執行您虛擬機器的主機適當地受到保護。
對於在 Azure 中執行的 Windows Server 虛擬機器,請參閱防範 Azure 中理論式執行端通道攻擊弱點的指導。 若要在客體 VM 使用「Azure 更新管理」防範此問題,請參閱 Microsoft 知識庫文章 4077467 。
針對 Windows Server 2016 和 Windows 10 1709 版的 Windows Server 容器映像而發行的更新,包含適用於這組弱點的緩和措施。 並且不需要額外設定。
注意:您仍必須確認這些容器執行所在的主機已設定為使用適當的緩和措施。
否,安裝順序不重要。
是,您必須在韌體 (微碼) 更新後重新啟動,然後在系統更新後再次重新啟動。
下列是登錄機碼的詳細資訊:
FeatureSettingsOverride 代表覆寫預設設定及控制停用哪個緩和措施的點陣圖。 Bit 0 控制對應至 CVE-2017-5715 的緩和措施。 Bit 1 控制對應至 CVE-2017-5754 的緩和措施。 位元設定為 0 可以啟用緩和措施,設定為 1 可以停用緩和措施。
FeatureSettingsOverrideMask 代表與 FeatureSettingsOverride 搭配使用的點陣圖遮罩。 在這個情況中,我們使用值 3 (在二進位數字或 base-2 數字系統中,以 11 表示),表示對應至可用緩和措施的前兩個位元。 啟用及停用緩和措施時,都會將此登錄機碼設定為 3。
MinVmVersionForCpuBasedMitigations 是用於 Hyper-V 主機。 此登錄機碼會定義使用更新韌體功能的最小 VM 版本 (CVE-2017-5715)。 將此機碼設定為 1.0,以涵蓋所有 VM 版本。 請注意,在非 Hyper-V 主機上,此登錄值將會遭到忽略 (有益的)。 如需更多詳細資訊,請參閱客體虛擬機器防範 CVE-2017-5715 (分支目標導入) (部分機器翻譯)。
可以,在安裝 2018 年 1 月相關修正程式之前套用這些登錄設定,沒有任何副作用。
如需有關指令碼輸出的詳細說明,請參閱了解 Get-SpeculationControlSettings PowerShell 指令碼輸出。
可以,對於尚無可用韌體更新的 Windows Server 2016 Hyper-V 主機,我們已經發行替代指引,有助於避免 VM 對 VM 或 VM 對主機的攻擊。 請參閱 Windows Server 2016 Hyper-V 主機防範理論式執行端通道弱點的替代保護措施 (部分機器翻譯)。
僅限安全性更新不是累積更新。 根據您的作業系統版本,您可能需要安裝多個安全更新才能獲得全面防護。 一般而言,客戶需要安裝 2018 年一月、二月、三月和四月更新。 搭載 AMD 處理器的系統需要下表中顯示的額外更新:
|
作業系統版本 |
安全性更新 |
|
Windows 8.1、Windows Server 2012 R2 |
4338815 - 每月彙總套件 |
|
4338824 - 僅限安全性 |
|
|
Windows 7 SP1、Windows Server 2008 R2 SP1 或 Windows Server 2008 R2 SP1 (Server Core 安裝) |
4284826 - 每月彙總套件 |
|
4284867 - 僅限安全性 |
|
|
Windows Server 2008 SP2 |
4340583 - 安全性更新 |
建議您依發行順序安裝僅限安全性更新。
注意: 先前的<常見問題集>版本不正確地指出,2 月僅限安全性更新包含 1 月發行的安全性修正程式。 其實並非如此。
不會。安全性更新 KB 4078130 是特定的修正程式,用來防範安裝微碼後出現無法預測的系統行為、效能問題,以及未預期的重新啟動情形。 在 Windows 用戶端作業系統上套用安全性更新,可啟用全部三個緩和措施。 在 Windows 伺服器作業系統上,經過適當的測試之後,您仍必須啟用緩和措施。 如需詳細資訊,請參閱 Microsoft 知識庫文章 4072698。
此問題已在 KB 4093118 解決。
2018 年 2 月,Intel 宣布,他們已經完成驗證,並開始為新版 CPU 平台發行微碼。Microsoft 會推出經過 Intel 驗證、與 Spectre Variant 2 (CVE-2017-5715 –「分支目標導入」) 有關的微碼更新。KB 4093836 依 Windows 版本列出特定知識庫文章。 每個特定知識庫文章都包含依 CPU 排列、可用的 Intel 微碼更新。
2018 年 1 月 11 日:Intel 已經針對最近發行來解決 Spectre Variant 2 (CVE-2017-5715 –「分支目標導入」) 的微碼回報問題。 具體而言,Intel 發現此微碼可能會導致重新開機次數多於預期,以及其他無法預測的系統行為,然後這些情況可能導致資料遺失或損毀。 我們的經驗是,系統不穩定可能會在某些情況下造成資料遺失或損毀。 Intel 已在 1 月 22 日建議擁有受影響處理器的客戶,停止部署目前微碼版本,因為 Intel 會對更新的解決方案進行其他測試。 我們了解 Intel 會持續調查目前微碼版本的潛在影響, 並鼓勵客戶繼續檢閱指引,以掌握 Intel 的決定。
在 Intel 測試、更新和部署新微碼的同時,我們會推出不定期 (OOB) 更新 KB 4078130,此更新只會特別停用防範 CVE-2017-5715 的緩和措施。 依據我們測試的結果,發現此更新能防範所述的行為。 如需完整裝置清單,請參閱 Intel 的微碼修訂指引。 此更新涵蓋 Windows 7 Service Pack 1 (SP1)、Windows 8.1,以及適用於用戶端和伺服器的所有 Windows 10 版本。 如果您執行受影響的裝置,請從 Microsoft Update Catalog 網站下載並套用此更新。 此裝載的應用程式只會特別停用防範 CVE-2017-5715 的緩和措施。
到目前為止,我們尚未收到任何回報,指出客戶已遭受此 Spectre Variant 2 (CVE-2017-5715 –「分支目標導入」) 的攻擊。 當 Intel 報告裝置的這個無法預測的系統行為已經解決時,我們建議 Windows 客戶適時重新啟用防範 CVE-2017-5715 的緩和措施。
2018 年 2 月,Intel 宣布,他們已經完成驗證,並開始為新版 CPU 平台發行微碼。 Microsoft 會推出經過 Intel 驗證、與 Spectre Variant 2 (CVE-2017-5715 –「分支目標導入」) 相關的微碼更新。 KB 4093836 依 Windows 版本列出特定知識庫文章。 KB 會列出依 CPU 排列、可用的 Intel 微碼更新。
如需詳細資訊,請參閱 AMD 安全性更新和 AMD 白皮書: 間接分支控制的基礎架構準則 (英文)。 這些可從 OEM 韌體管道取得。
我們即將推出經過 Intel 驗證、與 Spectre Variant 2 (CVE-2017-5715 –「分支目標導入」) 有關的微碼更新。 若要透過 Windows Update 取得最新的 Intel 微碼更新,執行 Windows 10 作業系統的裝置在升級為 Windows 10 2018 年 4 月更新 (版本 1803) 之前,必須先安裝 Intel 微碼。
此外,升級系統之前,也可以從 Microsoft Update Catalog 直接取得微碼更新 (若未安裝)。Intel 微碼會透過 Windows Update、Windows Server Update Services (WSUS) 或 Microsoft Update Catalog 提供使用。 如需詳細資訊和下載指示,請參閱 KB 4100347。
如需詳細資訊,請參閱下列資源:
請參閱 ADV180012 | 適用於理論式儲存略過的 Microsoft 指引中的<建議動作>和<常見問題集>章節。
若要確認 SSBD 的狀態,Get-SpeculationControlSettings PowerShell 指令碼已經過更新,可偵測受影響的處理器、SSBD 作業系統更新的狀態,以及處理器微碼的狀態 (若適用)。 如需詳細資訊,並且若要取得 PowerShell 指令碼,請參閱 KB 4074629。
在 2018 年 6 月 13 日,我們宣佈了另一個與側通道理論式執行有關、名為「消極式 FP 狀態還原」的弱點並指派為 CVE-2018-3665。如需有關此弱點和建議動作的詳細資訊,請參閱資訊安全諮詢 ADV180016 | 適用於消極式 FP 狀態還原的 Microsoft 指引。
注意:「消極式還原 FP 還原」不需要設定 (登錄) 設定。
「範圍檢查略過存放區」(Bounds Check Bypass Store,BCBS) 已於 2018 年 7 月 10 日揭露,並指派為 CVE-2018-3693。 我們認為 BCBS 與範圍檢查略過 (Variant 1) 屬於同一類型的弱點。 我們目前未在軟體中發現 BCBS 實例。 不過我們會繼續研究這個弱點等級並與業界合作夥伴合作,視需要發行緩和措施。 我們鼓勵研究人員向 Microsoft 理論式執行端通道獎金計劃 (英文) 提交任何相關發現,包括任何可利用進行攻擊的 BCBS 實例。 軟體開發人員應從理論式執行端通道 C++ 開發人員指引檢視已更新的 BCBS 開發人員指導。
我們已於 2018 年 8 月 14 日宣布 L1 終端機錯誤 (L1TF) 並指派多個 CVE。 這些新的理論式執行端通道弱點可能會用來讀取受信任邊界間的記憶體內容,並且若遭到利用,可能導致資訊洩漏。 視設定的環境而定,攻擊者可能會利用多個媒介來觸發弱點。 L1TF 會影響 Intel® Core® 處理器和 Intel® Xeon® 處理器。
如需有關此弱點的詳細資訊,以及受影響案例的詳細概觀,包括 Microsoft 防範 L1TF 的方法,請參閱下列資源:
停用「超執行緒」的步驟會依 OEM 而有所不同,但一般來說,屬於 BIOS 或韌體設定和組態工具的內容。
使用 64 位元 ARM 處理器的客戶應連絡裝置 OEM 以取得韌體支援,因為採用可防範 CVE-2017-5715 - 分支目標導入 (Spectre,Variant 2) 的 ARM64 作業系統保護時,必須具備裝置 OEM 提供的最新韌體更新,如此才會發揮作用。
如需詳細資訊,請參閱下列資訊安全諮詢:
如需進一步指引,請參閱防範理論式執行端通道弱點的 Windows 指引
如需 Azure 指引,請參閱下列文章: 防範 Azure 中理論式執行端通道攻擊弱點的指導。
如需有關 Retpoline 啟用的詳細資訊,請參閱我們的部落格文章: 在 Windows 使用 Retpoline 防範 Spectre Variant 2 (英文)。
如需有關這個弱點的詳細資訊,請參閱 Microsoft 安全性導覽: CVE-2019-1125 | Windows 核心資訊洩漏弱點。
我們尚未發現這個影響我們雲端服務基礎結構的資訊洩漏弱點的情況。
我們一發現這個問題,即迅速地努力解決問題並發行更新。 我們堅信與研究人員和業界合作夥伴的密切關係可讓客戶更加安全,並且依照一貫的協調弱點洩漏作法,直到 8 月 6 日星期二才發佈詳細資料。
如需進一步指引,請參閱防範理論式執行端通道弱點的 Windows 指引
如需進一步指引,請參閱防範理論式執行端通道弱點的 Windows 指引
如需進一步指引,請參閱禁用英特爾®事務同步擴展(英特爾® TSX)功能的指引。
參考
協力廠商資訊免責聲明
本文提及的協力廠商產品是由與 Microsoft 無關的獨立廠商所製造。 Microsoft 不以默示或其他方式,提供與這些產品的效能或可靠性有關的擔保。
