KB4073065：表面指引，防範基於矽的微架構與推測執行側通道漏洞

簡介

自 2018 年 1 月起，Surface 團隊針對一類基於矽晶片的問題發布韌體更新，這些問題涉及微架構與推測執行側通道漏洞。 Surface 團隊持續與 Windows 團隊及產業夥伴密切合作，保護用戶安全。要獲得所有可用的防護，必須同時更新韌體和 Windows 系統。

摘要

2022 年 6 月公布的漏洞

Surface 團隊已知有新的矽基微架構及推測執行側信道攻擊變體，這些變體同樣影響 Surface 產品。欲了解更多漏洞與緩解措施，請參閱以下安全警示：

Microsoft 安全諮詢ADV220002

我們正與合作夥伴合作，盡快提供 Surface 產品的更新，確保更新符合我們的品質要求。

欲了解更多 Surface 裝置更新資訊，請參閱 Surface 更新歷史。

2019年5月公布的漏洞

Surface 團隊已知有新的推測性執行側信道攻擊變體，這些變體同樣影響 Surface 產品。要緩解這些漏洞，需要作業系統更新以及包含新微碼的 Surface UEFI 更新。欲了解更多漏洞與緩解措施，請參閱以下安全警示：

Microsoft 安全諮詢ADV190013

本警示包含以下漏洞：

除了安裝 Windows 作業系統的安全更新外，Surface 也透過 Windows Update 及下載中心釋出 UEFI 更新，適用於以下裝置：

Surface 3 - 2019年7月11日更新
Surface Pro 3 - 2019年7月11日更新
Surface Pro 4 - 2019年6月27日更新
Surface Book - 2019年6月27日更新
Surface Studio - 2019年7月11日更新
Surface Pro (第五^代) - 2019年6月27日更新
Surface Laptop - 2019 年 6 月 27 日更新
Surface Book 2 - 2019年6月27日更新
Surface Pro 6 - 2019年6月27日更新
Surface Laptop 2 - 2019 年 6 月 27 日更新
Surface Studio 2 - 2019年7月31日更新
Surface GO WiFi - 2019年7月23日更新
Surface GO LTE - 2019 年 7 月 23 日更新

除了新的微程式碼外，安裝 UEFI 更新後還會有一個名為「同時多線程 (SMT) 」的新 UEFI 設定。此設定允許使用者停用超執行緒。

附註

如果你決定關閉超執行緒，我們建議你使用新的 SMT UEFI 設定。
停用 SMT 可提供額外防護，防範這些新漏洞及先前宣布的 L1 終端故障攻擊。然而，這種方法也會影響裝置的效能。
Surface 3 和搭載 Intel Core i5 的 Surface Studio 沒有 SMT。因此，這些裝置沒有這個新設定。
Microsoft Surface Enterprise Management Mode (SEMM) UEFI 配置工具版本 2.43.139 或更新版本支援新的 SMT 設定。這些工具可從此網頁下載。請下載以下必需工具：
- SurfaceUEFI_Configurator_v2.43.139.0.msi
- SurfaceUEFI_Manager_v2.43.139.0.msi

漏洞於 2018 年 8 月公布

Surface 團隊已知有一種新的推測性執行側通道攻擊，稱為 L1 終端故障 (L1TF) ，並被分配 CVE-2018-3620 (作業系統與 SMM) ，以及 CVE-2018-3646 (VMM) 。受影響的 Surface 產品與本文「2018 年 5 月公布的漏洞」部分相同。緩解 2018 年 5 月發現的微碼更新同時也減輕了 L1TF (CVE-2018-3646) 。欲了解更多關於該漏洞及緩解措施的資訊，請參閱以下安全警示：

Microsoft 安全諮詢ADV180018

本警示包含以下漏洞：
- CVE-2018-3620
- CVE-2018-3646

安全公告建議使用虛擬化基礎安全 (VBS) （包含憑證守護與裝置守護等安全功能）的客戶，應考慮停用 Hyper-Threading，以完全消除L1TF的風險。

2018年5月公布的漏洞

Surface 團隊已注意到新的推測性執行側信道攻擊變體，這些變體同樣影響 Surface 產品。要緩解這些漏洞，需要使用新的微程式碼進行 UEFI 更新。欲了解更多關於漏洞與緩解措施的資訊，請參閱以下安全警示：

Microsoft 安全諮詢ADV180012

本公告包含以下漏洞：
- CVE-2018-3639
Microsoft 安全諮詢ADV180013

本公告包含以下漏洞：
- CVE-2018-3640

除了安裝 Windows 作業系統的安全更新外，Surface 也透過 Windows Update 及下載中心釋出 UEFI 更新，適用於以下裝置：

Surface Book 2 - 2018年8月1日更新
Surface Book - 2018年8月21日更新
Surface Laptop - 2018 年 7 月 25 日更新
Surface Studio - 2018 年 10 月 1 日更新
Surface Pro 4 - 2018 年 7 月 25 日更新
Surface Pro 3 - 2018年8月7日更新
Surface Pro 型號 1796 與搭載 Advanced LTE 型號 1807 的 Surface Pro - 2018 年 7 月 26 日更新

2018 年 1 月公布的漏洞

Surface 團隊已知一類公開的漏洞，涉及推測性執行側通道 (Spectre 與 Meltdown) ，影響許多現代處理器與作業系統，包括 Intel、AMD 與 ARM。欲了解更多漏洞與緩解措施，請參閱以下安全警示：

Microsoft 安全諮詢ADV180002

本警示包含以下漏洞：

欲了解更多關於 Windows 軟體更新的資訊，請參閱以下知識庫文章：

KB4073757
KB4073119 (客戶指導)

除了安裝 1 月 3 日的 Windows 作業系統安全匯報外，Surface 也透過 Windows Update 及下載中心釋出以下裝置的 UEFI 更新：

Surface Book 2 - (更新歷史)
Surface Book - (更新歷史)
Surface Laptop - (更新歷史)
Surface Studio - (更新歷史)
Surface Pro 4 - (更新歷史)
Surface Pro 3 - (更新歷史)
Surface 3 - (更新歷史)
Surface Pro 型號 1796 及 Surface Pro 配備先進 LTE 型號 1807 - (更新歷史)

這些更新適用於運行 build 15063) 及更新版本Windows 10 Creators Update (裝置。

其他資訊

Surface Hub 作業系統 Windows 10 團隊版實施了防禦縱深策略。因此，我們相信在使用 Windows 10 團隊版作業系統的 Surface Hub 上，利用這些漏洞的漏洞可大幅減少。欲了解更多資訊，請參閱 Windows IT Pro Center 網站上的主題：Surface Hub 與 Windows 10 企業版的差異。

Surface 團隊專注於確保用戶擁有安全且可靠的使用體驗。我們將持續監控並更新裝置，以解決這些漏洞，並保持裝置的可靠性與安全。

參考

協力廠商資訊免責聲明

我們提供協力廠商的連絡資訊，協助您尋找技術支援。此連絡資訊如有變更，恕不另行通知。我們不保證此協力廠商連絡資訊的正確性。