KB4073119: 適用於 IT 專業人員的 Windows 用戶端指導方針，可防範晶片型微結構和推測執行旁路弱點

2019 年 5 月 14 日，Intel 已發佈有關名為「微結構資料取樣」之理論式執行端通道弱點新子類別的資訊。 這些弱點會在下列 CVE 中解決:

• CVE-2019-11091 | 微結構資料取樣不可快取記憶體 (MDSUM)

• CVE-2018-12126 | 微結構儲存緩衝區資料取樣 (MSBDS)

• CVE-2018-12127 | 微結構填滿緩衝區資料取樣 (MFBDS)

• CVE-2018-12130 | 微結構負載連接埠資料取樣 (MLPDS)

我們已經發行更新，可協助防範這些弱點。 若要取得所有可用的保護，則必須安裝韌體 (微碼) 和軟體更新。 這包括來自裝置 OEM 的微碼。 在某些情況下，安裝這些更新將會對效能造成影響。 我們也已採取行動，保護我們的雲端服務。 強烈建議您部署這些更新。

如需有關這個問題的詳細資訊，請參閱下列資訊安全諮詢，並運用案例指引，判斷防範威脅所需執行的動作：

• ADV190013 | 防範微結構資料取樣弱點的 Microsoft 指引

• 防範推測執行旁路弱點的 Windows 指引

Intel 已於 2019 年 8 月 6 日發行有關 Windows 核心資訊洩漏弱點的詳細資訊。 這個弱點是 Spectre Variant 1 推測執行旁路的變體，並且已指派CVE-2019-1125。

2019 年 7 月 9 日，我們已為 Windows 作業系統發行安全性更新，以協助防範此問題。 請注意，我們直到 2019 年 8 月 6 日星期二業界協調的公佈時間，才公開記載這項緩和措施。

若客戶已啟用 Windows Update 並套用 2019 年 7 月 9 日發行的安全性更新，則會自動受到保護。 不需要進行進一步設定。

如需有關此弱點和適用更新的詳細資訊，請參閱 Microsoft 安全性更新導覽：

• CVE-2019-1125 | Windows 核心資訊洩漏弱點

於 2019 年 11 月 12 日，英特爾發佈了有關英特爾事務同步擴 (Intel TSX) 交易非同步中止弱點的技術公告，該弱點被分配為 CVE-2019-11135。 我們已經發行更新，可協助防範此弱點。 根據預設，Windows 用戶端作業系統版本會啟用作業系統保護。

我們已在 2022 年 6 月 14 日發佈ADV220002 |有關 Intel 處理器 MMIO 過時資料弱點的 Microsoft 指引。 這些弱點會在下列 CVE 中指派:

• CVE-2022-21123 | 共用緩衝區資料讀取 (SBDR)

• CVE-2022-21125 | 共用緩衝區資料取樣 (SBDS)

• CVE-2022-21127 | 特殊登錄緩衝區資料取樣更新 (SRBDS 更新)

• CVE-2022-21166 | 裝置註冊部分寫入 (DRPW)

建議動作

您應採取下列動作，以協助防範這些弱點:

1. 套用所有可用的 Windows 作業系統更新，其中包括每月 Windows 安全性更新。

2. 套用裝置製造商所提供的適用韌體 (微碼) 更新。

3. 除了本文中提供的資訊外，請根據 Microsoft 安全性建議 ADV180002、ADV180012、ADV190013 和 ADV220002 來評估您的環境風險。

4. 運用諮詢和本文提供的登錄機碼資訊視需要採取動作。

我們已在 2022 年 7 月 12 日發佈 CVE-2022-23825 | AMD CPU 分支類型混淆，描述分支預測器中的別名可能會導致某些 AMD 處理器預測錯誤的分支類型。 此問題可能會導致資訊洩漏。

為了協助防範此弱點，建議您安裝日期為 2022 年 7 月或之後的 Windows 更新，然後按照本知識庫文章中所提供的 CVE-2022-23825 和登錄機碼資訊的要求來執行動作。

如需詳細資訊，請參閱 AMD-SB-1037 安全性佈告欄。

我們已在 2023 年 8 月 8 日發佈 CVE-2023-20569 | AMD CPU 傳回位址預測器 (也稱為「Inception」)，它描述新的推測端通道攻擊，可能會導致攻擊者控制之位址的推測執行。 此問題會影響特定 AMD 處理器，並可能導致資訊洩漏。

為了協助防範此弱點，建議您安裝日期為 2023 年 8 月或之後的 Windows 更新，然後按照本知識庫文章中所提供的 CVE-2023-20569 和登錄機碼資訊的要求來執行動作。

如需詳細資訊，請參閱 AMD-SB-7005 安全性佈告欄。

我們已在 2024 年 4 月 9 日發佈 CVE-2022-0001 | Intel 分支歷程記錄注入 其描述分支歷程記錄 (BHI)，這是一種特定形式的內部模式 BTI。 當攻擊者可能會在從使用者轉換到主管模式 (或從 VMX 非根/來賓轉換為根模式) 之前，先操作分支歷程記錄時，就會發生此弱點。 此操作可能會導致間接分支預測器為間接分支選取特定的預測器項目，而預測目標的揭露小工具將暫時執行。 這可能是因為相關的分支歷程記錄可能包含先前安全性內容中所採用的分支，尤其是其他預測器模式。

若要啟用 CVE-2017-5715 (Spectre Variant 2) 和 CVE-2017-5754 (Meltdown) 的預設緩和措施 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動裝置讓變更生效。 若要停用 CVE-2017-5715 (Spectre Variant 2) 和 CVE-2017-5754 (Meltdown) 的緩和措施 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動裝置讓變更生效。

若要停用 CVE-2017-5715 (Spectre Variant 2) 的緩和措施： 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動裝置讓變更生效。 若要啟用 CVE-2017-5715 (Spectre Variant 2) 和 CVE-2017-5754 (Meltdown) 的預設緩和措施： 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動裝置讓變更生效。

根據預設，AMD 和 ARM CPU 對 CVE-2017-5715 的使用者至核心保護是停用的。 您必須啟用緩和措施，才能收到對 CVE-2017-5715 的其他保護。 如需詳細資訊，針對 ARM 處理器，請參閱 ADV180002 中的＜常見問題集＞的問題 15，針對 ARM 處理器，請參閱 ADV180002 中的＜常見問題集＞的問題 20。

在 AMD 和 ARM 處理器上啟用使用者至核心保護，以及對 CVE 2017-5715 的其他保護： reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動裝置讓變更生效。

若要啟用 CVE-2018-3639 (理論式儲存略過) 的緩和措施、CVE-2017-5715 (Spectre Variant 2) 和 CVE-2017-5754 (Meltdown) 的預設緩和措施： reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動裝置讓變更生效。 注意： AMD 處理器不易受 CVE-2017-5754 (Meltdown) 攻擊。 這個登錄機碼可以用於配備 AMD 處理器的系統，以啟用 AMD 處理器上 CVE-2017-5715 的預設緩和措施及 CVE-2018-3639 的緩和措施。 若要停用 CVE-2018-3639 (理論式儲存略過)、CVE-2017-5715 (Spectre Variant 2) 和 CVE-2017-5754 (Meltdown) 的緩和措施 reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動裝置讓變更生效。

根據預設，AMD 處理器對 CVE-2017-5715 的使用者至核心保護是停用的。 客戶必須啟用緩和措施，才能收到對 CVE-2017-5715 的其他保護。  如需詳細資訊，請參閱 ADV180002 中＜常見問題集＞的問題 15。

在 AMD 處理器上啟用使用者至核心保護，以及對 CVE 2017-5715 的其他保護和對 CVE 2018-3639 (理論式儲存略過) 的保護： reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動裝置讓變更生效。

若要啟用英特爾®事務同步擴展 (Intel TSX) 交易非同步中止弱點 (CVE-2019-11135) 及微結構資料取樣 (CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) 以及 Spectre (CVE-2017-5753 & CVE-2017-5715) 和 Meltdown (CVE-2017-5754) 變體，包括推測儲存旁路停用 (SSBD) (CVE-2018-3639) 以及 L1 終端機錯誤 (L1TF) (CVE-2018-3615、CVE-2018-3620 及 CVE-2018-3646) 的風險降低措施，而不停用超執行緒: 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 如果已安裝 Hyper-V 功能，請新增下列登錄設定： 登錄新增 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f 如果這是 Hyper-V 主機且已經套用韌體更新： 完全關閉所有虛擬機器。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此，重新啟動時 VM 也會更新。 重新啟動裝置讓變更生效。 若要啟用英特爾事務同步擴展 (Intel TSX) 交易非同步中止漏洞 (CVE-2019-11135) 和微結構資料取樣 ( CVE-2019-11091、CVE-2018-12126、CVE-2018-12127、CVE-2018-12130 ) 以及 Spectre (CVE-2017-5753 & CVE-2017-5715) 和 Meltdown (CVE-2017-5754) 變體，包括推測儲存旁路停用 (SSBD) (CVE-2018-3639) 以及 L1 終端機錯誤 (L1TF) (CVE-2018-3615、CVE-2018-3620 和 CVE-2018-3646) 的風險降低措施，並且停用超執行緒: 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 如果已安裝 Hyper-V 功能，請新增下列登錄設定： 登錄新增 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f 如果這是 Hyper-V 主機且已套用韌體更新: 將所有虛擬機器完全關機。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此，重新啟動時 VM 也會更新。 重新啟動裝置讓變更生效。 若要停用英特爾®事務同步擴展（英特爾® TSX）事務非同步中止漏洞 （CVE-2019-11135）和微結構資料取樣 ( CVE-2019-11091、CVE-2018-12126、CVE-2018-12127、CVE-2018-12130 ) 以及 Spectre (CVE-2017-5753 & CVE-2017-5715) 和 Meltdown [CVE-2017-5754] 變種，包括理論式儲存旁路停用(SSBD) (CVE-2018-3639) 以及 L1 終端機錯誤 (L1TF) (CVE-2018-3615、CVE-2018-3620 和 CVE-2018-3646) 的緩和措施: 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動裝置讓變更生效。

若要在 AMD 處理器上啟用 CVE-2022-23825 風險降低 ：

登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

若要受到完整保護，客戶可能也需要停用超執行緒 (也稱為同步多執行緒 (SMT))。 如需有關保護 Windows 裝置的指引，請參閱 KB4073757。 

若要在 AMD 處理器上啟用 CVE-2023-20569 風險降低：

登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

若要在 Intel 處理器上啟用 CVE-2022-0001 風險降低:

登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

安裝 PowerShell 模組： PS> Install-Module SpeculationControl 執行 PowerShell 模組，以驗證已啟用保護： PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

安裝 Technet 指令碼中心的 PowerShell 模組： 移至 https://aka.ms/SpeculationControlPS 將 SpeculationControl.zip 下載到本機資料夾。 將內容解壓縮到本機資料夾，例如 C:\ADV180002 執行 PowerShell 模組，以驗證已啟用保護： 啟動 PowerShell，然後 (使用先前的範例) 複製並執行下列命令： PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

如需有關 PowerShell 指令碼輸出的詳細說明，請參閱 KB4074629。

微碼是透過韌體更新提供。 您應洽詢您的 CPU (晶片組) 及裝置製造商，了解是否有特定裝置適用的韌體安全性更新可供使用，其中包括 Intel Microcode 修訂指南。

透過軟體更新解決硬體弱點會帶來許多挑戰。 此外，適用於舊版作業系統的緩和措施也需要進行大規模的架構變更。 我們會與受影響的晶片製造商合作，決定未來以更新形式提供緩和措施的最佳方式。

Microsoft Surface 裝置的更新將會與 Windows 作業系統的更新，一起透過 Windows Update 提供給客戶。 如需可用 Surface 裝置韌體 (微碼) 更新的清單，請參閱 KB4073065。

如果您的裝置並非 Microsoft 所出產，請套用裝置製造商提供的韌體。 如需詳細資訊，請與 OEM 裝置製造商連絡。

Microsoft 已於 2018 年 2 月和 3 月，針對部分 x86 型系統發行額外保護。 如需詳細資訊，請參閱 KB4073757 和 Microsoft 安全性諮詢 ADV180002。

HoloLens 客戶可以透過 Windows Update 取得適用於 Windows 10 HoloLens 的更新。

套用 2018 年 2 月 Windows 安全性更新之後，HoloLens 客戶不必採取任何其他動作來更新他們的裝置韌體。 這些緩和措施也會隨附於 Windows 10 HoloLens 未來的所有版本。

否。 僅限安全性更新不是累積更新。 視您執行的作業系統版本而定，您必須安裝所有每月僅限安全性更新，才能防範這些弱點。 例如，如果您在受影響的 Intel CPU 上執行適用於 32 位元系統的 Windows 7，則必須安裝所有僅限安全性更新。 建議您依發行順序安裝這些僅限安全性更新。

附註： 先前的＜常見問題集＞版本不正確地指出，2 月僅限安全性更新包含 1 月發行的安全性修正程式。 其實並非如此。

否。 安全性更新 4078130 是特定的修正程式，用來防範安裝微碼後出現無法預測的系統行為、效能問題及/或未預期的重新開機。 在 Windows 用戶端作業系統上套用 2 月安全性更新，可啟用全部三個緩和措施。

Intel 最近宣布，他們已經完成驗證，並開始為新版 CPU 平台發行微碼。 Microsoft 會推出經過 Intel 驗證、與 Spectre Variant 2 (CVE-2017-5715「分支目標導入」) 有關的微碼更新。 KB4093836 依 Windows 版本列出特定知識庫文章。 每個特定 KB 都包含依 CPU 排列、可用的 Intel 微碼更新。

此問題已在 KB4093118 解決。

AMD 最近宣布，他們已開始針對 Spectre Variant 2 (CVE-2017-5715 分支目標導入) 發行適用於新版 CPU 平台的微碼。 如需詳細資訊，請參閱 AMD 安全性更新 和 AMD 白皮書: 有關間分支接控制的架構指引。 這些可從 OEM 韌體管道取得。

我們會推出經過 Intel 驗證、與 Spectre Variant 2 (CVE-2017-5715「分支目標導入」) 有關的微碼更新。 若要透過 Windows Update 取得最新的 Intel 微碼更新，執行 Windows 10 作業系統的裝置在升級為 Windows 10 2018 年 4 月更新 (版本 1803) 之前，必須先安裝 Intel 微碼。

此外，升級作業系統之前，也可以從 Catalog 直接取得微碼更新 (若未安裝)。 Intel 微碼會透過 Windows Update、WSUS 或 Microsoft Update Catalog 提供使用。 如需詳細資訊及下載指示，請參閱 KB4100347。

如需詳細資訊，請參閱下列資源：

• ADV180012 | 適用於 CVE-2018-3639 的推測儲存旁路的 Microsoft 指引

• ADV180013 | 適用於 CVE-2018-3640 和 KB4073065 的 Rogue 系統登錄讀取的 Microsoft 指引

• Microsoft 安全性研究和防禦部落格

• 適用於推測儲存旁路的開發人員指引

如需詳細資訊，請參閱 ADV180012 | 適用於理論式儲存略過的 Microsoft 指引中的＜建議動作＞和＜常見問題集＞章節。

若要確認 SSBD 的狀態，Get-SpeculationControlSettings PowerShell 指令碼已經過更新，可偵測受影響的處理器、SSBD 作業系統更新的狀態，以及處理器微碼的狀態 (若適用)。 如需詳細資訊，並且若要取得 PowerShell 指令碼，請參閱 KB4074629。

在 2018 年 6 月 13 日，我們宣布另一個與側通道理論式執行有關、名為「消極式 FP 狀態還原」的弱點，並指派為 CVE-2018-3665。 消極式還原 FP 還原不需要設定 (登錄) 設定。

如需有關這個弱點和建議動作的詳細資訊，請參閱安全性諮詢 ADV180016 | 適用於消極式 FP 狀態還原的 Microsoft 指引。

「範圍檢查略過存放區」(Bounds Check Bypass Store，BCBS) 已於 2018 年 7 月 10 日揭露，並指派為 CVE-2018-3693。 我們認為 BCBS 與範圍檢查略過 (Variant 1) 屬於同一類型的弱點。 目前我們的軟體中尚未發現 BCBS 實例，但我們會繼續研究這一弱點類型並與業界合作夥伴合作，根據需要發行緩和措施。 我們會繼續鼓勵研究人員向 Microsoft 理論式執行端通道獎金計劃 (英文) 提交任何相關發現，包括任何可利用進行攻擊的 BCBS 實例。 軟體開發人員應在 https://aka.ms/sescdevguide 檢閱已針對 BCBS 進行更新的開發人員指引。

在 2018 年 8 月 14 日，我們已宣布 L1 終端機錯誤 (L1TF) 並指派多個 CVE。 這些新的理論式執行端通道弱點可能會用來讀取受信任邊界間的記憶體內容，並且若遭到利用，可能導致資訊洩漏。 攻擊者可能會透過多個媒介來觸發弱點，視設定的環境而定。 L1TF 會影響 Intel® Core® 處理器和 Intel® Xeon® 處理器。

如需有關此弱點的詳細資訊，以及受影響案例的詳細概觀，包括 Microsoft 防範 L1TF 的方法，請參閱下列資源：

• ADV180018 | 防範 L1TF 變體的 Microsoft 指引

• 資訊安全諮詢的安全性研究部落格

• 適用於 L1 終端機錯誤的伺服器指引

若客戶使用 64 位元 ARM 處理器，建議洽詢裝置 OEM 以取得韌體支援，因為採用可防範 CVE-2017-5715 - 分支目標導入 (Spectre，Variant 2) 的 ARM64 作業系統保護時，必須具備裝置 OEM 提供的最新韌體更新，如此才會發揮作用。

如需詳細資訊，請參閱下列資訊安全諮詢： 

• Intel 的資訊安全諮詢

• ADV190013 | 防範微結構資料取樣弱點的 Microsoft 指引

如需詳細資訊，請參閱下列資訊安全諮詢：

• Intel 的資訊安全諮詢

• ADV190013 | 防範微結構資料取樣弱點的 Microsoft 指引

如需進一步指引，請參閱 防範推測執行旁路弱點的 Windows 指引

請參閱防範理論式執行端通道弱點的 Windows 指引

如需 Azure 指引，請參閱這篇文章: 防範 Azure 中推測執行旁路弱點的指引。 

如需有關啟用 Retpoline 的詳細資訊，請參閱我們的部落格文章: 在 Windows 使用 Retpoline 防範 Spectre variant 2。 

如需此弱點的詳細資訊，請參閱 Microsoft 安全性指南: CVE-2019-1125 | Windows 核心資訊揭露弱點。

我們尚未發現這個影響我們雲端服務基礎結構的資訊洩漏弱點的情況。

我們一發現這個問題，即迅速地努力解決問題並發行更新。 我們堅信與研究人員和業界合作夥伴的密切關係可讓客戶更加安全，並且依照一貫的協調弱點洩漏作法，直到 8 月 6 日星期二才發佈詳細資料。

如需進一步指引，請參閱防範理論式執行端通道弱點的 Windows 指引

如需進一步指引，請參閱防範理論式執行端通道弱點的 Windows 指引

如需進一步指引，請參閱禁用英特爾®事務同步擴展（英特爾® TSX）功能的指引。

我們提供協力廠商的連絡資訊，協助您尋找技術支援。 此連絡資訊如有變更，恕不另行通知。 我們不保證此協力廠商連絡資訊的正確性。