簡介
自 2018 年 1 月起,Surface 團隊已經針對涉及理論式執行端通道的新等級硬體弱點發佈韌體更新。 Surface 團隊尚未收到任何資訊,指出客戶目前已遭受這些弱點的攻擊,並且團隊會繼續與 Windows 團隊及業界合作夥伴密切合作,以保護客戶。 若要取得所有可用的保護,則必須安裝韌體和 Windows 系統更新。
摘要
Surface 團隊已知新的理論式執行端通道攻擊變體也會影響 Surface 產品。 那些弱點的緩和措施需要作業系統更新,以及包含新微碼的 Surface UEFI 更新。 如需有關弱點及緩和措施的詳細資訊,請參閱下列資訊安全諮詢:
我們正與合作夥伴合作,一確認更新符合我們的品質需求,就會為下列 Surface 產品提供更新:
-
Surface 3 - 2019 年 7 月 11 日更新
-
Surface Pro 3 - 2019 年 7 月 11 日更新
-
Surface Pro 4 - 2019 年 6 月 27 日更新
-
Surface Book - 2019 年 6 月 27 日更新
-
Surface Studio - 2019 年 7 月 11 日更新
-
Surface Pro (5th Gen) - 2019 年 6 月 27 日更新
-
Surface Laptop - 2019 年 6 月 27 日更新
-
Surface Book 2 - 2019 年 6 月 27 日更新
-
Surface Pro 6 - 2019 年 6 月 27 日更新
-
Surface Laptop 2 - 2019 年 6 月 27 日更新
-
Surface Studio 2 - 2019 年 7 月 31 日更新
-
Surface GO WiFi
-
Surface GO LTE
除了新的微碼以外,安裝 UEFI 更新時,還會提供名為「同步多執行緒」(SMT) 的新 UEFI 設定。 此設定可讓使用者停用「超執行緒」。
注意事項
-
如果您決定停用「多執行緒」,建議您使用新的 SMT UEFI 設定。
-
停用 SMT 可為這些新弱點和先前宣布的 L1 終端機錯誤攻擊提供額外保護。 不過,這個方法也會對裝置的效能造成影響。
-
配備 Intel Core i5 的 Surface 3 和 Surface Studio 沒有 SMT。 因此,這些裝置沒有這個新設定。
-
Microsoft Surface Enterprise Management Mode (SEMM) UEFI 設定程式工具版本 2.43.139 或以後版本支援新的 SMT 設定。 您可以在這個網頁下載工具。 請下載下列必要工具:
-
SurfaceUEFI_Configurator_v2.43.139.0.msi
-
SurfaceUEFI_Manager_v2.43.139.0.msi
-
參考
Surface 團隊已知稱為「L1 終端機錯誤」(L1TF) 的新理論式執行端通道攻擊,並且已指派 CVE-2018-3620 (OS 和 SMM) 及 CVE-2018-3646 (VMM)。 受影響的 Surface 產品與本文<2018 年 5 月宣布的弱點>一節相同。 可用來防範 2018 年 5 月所發現弱點的微碼更新,也能防範 L1TF (CVE-2018-3646)。 如需有關弱點及緩和措施的詳細資訊,請參閱下列資訊安全諮詢:
資訊安全諮詢提出建議,若客戶使用「虛擬化型安全性」(VBS),其中包括 Credential Guard 和 Device Guard 等安全性功能,應考慮停用「超執行緒」,以便完全消除 L1TF 的風險。 客戶目前無法在自己的 Surface 裝置上停用「超執行緒」。 根據預設,Surface 裝置上的 VBS 功能是停用的。 Surface 團隊正在調查允許停用「超執行緒」的選項。
參考
Surface 團隊已經得知新的理論式執行端通道攻擊變體也會影響 Surface 產品。 那些弱點的緩和措施需要使用新微碼的 UEFI 更新。 如需有關弱點及緩和措施的詳細資訊,請參閱下列資訊安全諮詢:
我們正與合作夥伴合作,一確認更新符合我們的品質需求,就會為下列 Surface 產品提供更新:
-
Surface Book 2 - 2018 年 8 月 1 日更新
-
Surface Book - 2018 年 8 月 21 日更新
-
Surface Laptop - (2018 年 7 月 25 日更新)
-
Surface Studio - (2018 年 10 月 1 日更新)
-
Surface Pro 4 - (2018 年 7 月 25 日更新)
-
Surface Pro 3 - (2018 年 8 月 7 日更新)
-
Surface Pro 型號 1796 和 Surface Pro with Advanced LTE 型號 1807 - (2018 年 7 月 26 日更新)
參考
Surface 團隊已知涉及理論式執行端通道的公開揭露等級弱點 (稱為 Spectre 和 Meltdown),這些弱點會影響許多新型處理器和作業系統,其中包括 Intel、AMD 和 ARM。 如需有關弱點及緩和措施的詳細資訊,請參閱下列資訊安全諮詢:
如需有關 Windows 軟體更新的詳細資訊,請參閱下列知識庫文章:
除了安裝 1 月 3 日 Windows 作業系統安全性更新以外,Surface 已經透過 Windows Update 和下載中心,為下列裝置發行 UEFI 更新:
-
Surface Book 2 - (更新記錄)
-
Surface Book - (更新記錄)
-
Surface Laptop - (更新記錄)
-
Surface Studio - (更新記錄)
-
Surface Pro 4 - (更新記錄)
-
Surface Pro 3 - (更新記錄)
-
Surface 3 - (更新記錄)
-
Surface Pro 型號 1796 和 Surface Pro with Advanced LTE 型號 1807 - (更新記錄)
這些更新適用於執行 Windows 10 Creators Update (組建 15063) 和更新版本的裝置。
參考
其他相關資訊
Surface Hub 已經實作深度防禦策略。 如需詳細資訊,請參閱 Windows IT 專業人員中心網站上的下列主題:
Surface Hub 和 Windows 10 企業版之間的差異
因此,我們認為,使用這些弱點的惡意探索對 Surface Hub 的威脅已大幅降低。
Surface 團隊的重點在於,確保我們的使用者擁有安全和可靠的使用體驗。 我們會持續監視並更新裝置 (如有必要),以解決這些弱點並讓裝置保持可靠和安全。