Päivämäärän muuttaminen |
Muutoksen dekriptio |
---|---|
20. huhtikuuta 2023 |
|
8. elokuuta 2023 |
|
9. elokuuta 2023 |
|
9. huhtikuuta 2024 |
|
16. huhtikuuta 2024 |
|
Yhteenveto
Tässä artikkelissa annetaan ohjeita uuteen piipohjaisten mikroarkkitekturalisten ja spekulatiivisten suorituspuolen kanavahaavoittuvuuksien luokkaan, joka vaikuttaa moniin nykyaikaisiin suorittimiin ja käyttöjärjestelmiin. Tämä sisältää Intelin, AMD:n ja ARM:n. Näiden piipohjaisten haavoittuvuuksien tarkat tiedot ovat seuraavissa suojaustiedotteissa ja cve-tiedoissa (yleiset haavoittuvuudet ja altistukset):
-
ADV180002 | Ohjeita spekulatiivisen suorituspuolen kanavahaavoittuvuuksien lieventämiseen
-
ADV180012 | Microsoftin ohjeet spekulatiivisen Kaupan ohittamiseen
-
ADV180016 | Microsoftin ohjeet laiskan FP-tilan palauttamiseen
-
ADV180018 | Microsoftin ohjeet L1TF-variantin lieventämiseen
-
ADV190013 | Microsoftin ohjeet Mikroarkkitektural Data Sampling -haavoittuvuuksien lieventämiseen
-
ADV220002 | Microsoftin ohjeet Intel Processorin MMIO Stale Data -haavoittuvuuksista
Tärkeää: Nämä ongelmat vaikuttavat myös muihin käyttöjärjestelmiin, kuten Androidiin, Chromeen, iOS:ään ja MacOS:ään. Neuvomme asiakkaita pyytämään ohjeita näiltä toimittajilta.
Olemme julkaisseet useita päivityksiä näiden haavoittuvuuksien lieventämiseksi. Olemme myös ryhtyneet toimiin pilvipalveluidemme suojaamiseksi. Lisätietoja on seuraavissa osioissa.
Emme ole vielä saaneet mitään tietoja siitä, että näitä haavoittuvuuksia olisi käytetty asiakkaiden hyökkäyksiin. Teemme tiivistä yhteistyötä alan kumppaneiden, kuten siruvalmistajien, laitevalmistajien ja sovellustoimittajien, kanssa asiakkaiden suojaamiseksi. Kaikkien käytettävissä olevien suojausten saamiseksi tarvitaan laiteohjelmisto (mikrokoodi) ja ohjelmistopäivitykset. Tämä sisältää laitevalmistajien mikrokoodin ja joissakin tapauksissa virustentorjuntaohjelmiston päivitykset.
Haavoittuvuuksia
Tässä artikkelissa käsitellään seuraavia spekulatiivisia suoritushaavoittuvuuksia:
Windows Update tarjoaa myös Internet Explorerin ja Edgen lievennyksiä. Jatkamme näiden haavoittuvuuksien lieventämisen parantamista tämän luokan haavoittuvuuksiin nähden.
Lisätietoja tästä haavoittuvuusluokasta on ohjeaiheessa
Intel julkaisi 14. toukokuuta 2019 tietoja spekulatiivisen suorituspuolen kanavan haavoittuvuuksien uudesta alaluokasta, joka tunnetaan nimellä Microarchitectural Data Sampling ja dokumentoitu ADV190013 | Mikroarkkitektural dataotanta. Heille on määritetty seuraavat cv:t:
-
CVE-2019-11091 | Mikroarkkitektural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)
-
CVE-2018-12127 | Mikroarkkitektural fill buffer data sampling (MFBDS)
-
CVE-2018-12130 | Mikroarkkitectural Load Port Data Sampling (MLPDS)
Tärkeää: Nämä ongelmat vaikuttavat muihin järjestelmiin, kuten Androidiin, Chromeen, iOS:ään ja MacOS:ään. Neuvomme asiakkaita pyytämään ohjeita näiltä toimittajilta.
Microsoft on julkaissut päivityksiä näiden haavoittuvuuksien lieventämiseksi. Kaikkien käytettävissä olevien suojausten saamiseksi tarvitaan laiteohjelmisto (mikrokoodi) ja ohjelmistopäivitykset. Tämä voi sisältää laitteen alkuperäisten laitevalmistajien mikrokoodin. Joissakin tapauksissa näiden päivitysten asentaminen vaikuttaa suorituskykyyn. Olemme myös toimineet pilvipalveluidemme suojaamiseksi. On erittäin suositeltavaa ottaa nämä päivitykset käyttöön.
Lisätietoja tästä ongelmasta on seuraavissa suojausneuvonnassa ja skenaariopohjaisissa ohjeissa, joiden avulla määritetään uhan lieventämiseksi tarvittavat toimet:
-
ADV190013 | Microsoftin ohjeet Mikroarkkitektural Data Sampling -haavoittuvuuksien lieventämiseen
-
Windowsin ohjeet spekulatiivisen suorituspuolen kanavan haavoittuvuuksilta suojautumiseen
Huomautus: Suosittelemme, että asennat kaikki uusimmat päivitykset Windows Update ennen mikrokoodipäivitysten asentamista.
6. elokuuta 2019 Intel julkaisi tietoja Windows-ytimen tietojen paljastumisen haavoittuvuudesta. Tämä haavoittuvuus on Spectren variantti, variantti 1 spekulatiivisen suorituspuolen kanavahaavoittuvuus, ja sille on määritetty CVE-2019-1125.
Julkaisimme 9. heinäkuuta 2019 Windows-käyttöjärjestelmän suojauspäivitykset ongelman lieventämiseksi. Huomaa, että olemme pidättäneet tämän lievennyksen dokumentoinnin julkisesti, kunnes koordinoitu toimialatiedote on tiistaina 6. elokuuta 2019.
Asiakkaat, joilla on Windows Update käytössä ja jotka ovat ottaneet käyttöön 9. heinäkuuta 2019 julkaistut suojauspäivitykset, suojataan automaattisesti. Lisämäärityksiä ei tarvita.
Huomautus: Tämä haavoittuvuus ei edellytä laitteen valmistajalta (OEM) mikrokoodipäivitystä.
Lisätietoja tästä haavoittuvuudesta ja soveltuvista päivityksistä on Microsoft security update -oppaassa:
Intel julkaisi 12. marraskuuta 2019 teknisen tiedotteen Intel® Transactional Syncation Extensions (Intel TSX) Transaction Asynchronous Abort -haavoittuvuudesta, jolle on määritetty CVE-2019-11135. Microsoft on julkaissut päivityksiä tämän haavoittuvuuden lieventämiseksi, ja käyttöjärjestelmäsuojaukset ovat oletusarvoisesti käytössä Windows Server 2019:ssä, mutta ne on oletusarvoisesti poistettu käytöstä Windows Server 2016:ssa ja aiemmissa Windows Server -käyttöjärjestelmäversioissa.
Julkaisimme 14.6.2022 ADV220002 | Microsoftin ohjeet Intel Processorin MMIO Stale Data -haavoittuvuuksista ja niille on määritetty seuraavat cv:t:
-
CVE-2022-21127 | Erityinen rekisteripuskuritietojen otantapäivitys (SRBDS-päivitys)
-
CVE-2022-21166 | Laiterekisteröi osittainen kirjoitus (DRPW)
Suositellut toimet
Sinun on ryhdyttävä seuraaviin toimiin, jotta voit suojautua haavoittuvuuksilta:
-
Ota käyttöön kaikki saatavilla olevat Windows-käyttöjärjestelmäpäivitykset, mukaan lukien kuukausittaiset Windowsin suojauspäivitykset.
-
Ota käyttöön laitteen valmistajan toimittama soveltuva laiteohjelmistopäivitys (mikrokoodi).
-
Arvioi ympäristöllesi aiheutuva riski Microsoftin suojaustiedotteita koskevien tietojen perusteella: ADV180002, ADV180012, ADV190013 ja ADV220002 tämän tietokanta artikkelin tietojen lisäksi.
-
Toimi tarvittaessa käyttämällä tässä tietokanta artikkelissa annettuja tietoja ja rekisteriavaintietoja.
Huomautus: Surface-asiakkaat saavat mikrokoodipäivityksen Windows Update kautta. Luettelo uusimmista Surface-laitteen laiteohjelmistopäivityksistä (mikrokoodi) on ohjeaiheessa KB4073065.
12. heinäkuuta 2022 julkaistiin CVE-2022-23825 | AMD-suoritinhaaran tyypin sekavuus , joka kuvaa, että haaran ennustajan aliakset voivat saada tietyt AMD-suorittimet ennustamaan väärän haaratyypin. Tämä ongelma saattaa johtaa tietojen paljastamiseen.
Jotta voit suojautua tältä haavoittuvuudelta, suosittelemme asentamaan Windows-päivitykset, jotka on päivätty heinäkuussa 2022 tai sen jälkeen, ja ryhtymään sitten toimenpiteisiin CVE-2022-23825-23825- ja rekisteriavaintietojen mukaisesti, jotka on annettu tässä tietokanta artikkelissa.
Lisätietoja on AMD-SB-1037 -tietoturvatiedotteessa.
8. elokuuta 2023 julkaistiin CVE-2023-20569 | Return Address Predictor (tunnetaan myös nimellä Inception), joka kuvaa uutta spekulatiivista sivukanavahyökkäystä, joka voi johtaa spekulatiivisiin suorituksiin hyökkääjän hallitsemassa osoitteessa. Tämä ongelma koskee tiettyjä AMD-suorittimia ja saattaa johtaa tietojen paljastamiseen.
Jotta voit suojautua tältä haavoittuvuudelta, suosittelemme asentamaan Windows-päivitykset, jotka on päivätty elokuussa 2023 tai sen jälkeen, ja ryhtymään sitten toimenpiteisiin CVE-2023-20569- ja rekisteriavaintietojen mukaisesti, jotka on annettu tässä tietokanta artikkelissa.
Lisätietoja on AMD-SB-7005 -tietoturvatiedotteessa.
9. huhtikuuta 2024 julkaisimme CVE-2022-0001 | Intel Branch History Injection, joka kuvaa haarahistorian lisäystä (BHI), joka on erityinen moodin sisäinen BTI. Tämä haavoittuvuus ilmenee, kun hyökkääjä voi käsitellä haarahistoriaa ennen siirtymistä käyttäjästä valvojatilaan (tai VMX:stä, joka ei ole pää-/vieras, päätilaan). Tämä manipulointi voi saada epäsuoran haaran ennustajaa valitsemaan tietyn ennustajamerkinnän epäsuoralle haaralle, ja ennustetun kohteen paljastusohjelma suoritetaan tilapäisesti. Tämä voi olla mahdollista, koska kyseisessä haarahistoriassa voi olla aikaisemmissa suojauskonteksteissa ja erityisesti muissa ennustajatiloissa otettuja haaroja.
Windows Serverin ja Azure Stack HCI:n lievennysasetukset
Suojaustiedotteet (ADVs) ja CVE:t antavat tietoja näiden haavoittuvuuksien aiheuttamasta riskistä. Niiden avulla voit myös tunnistaa haavoittuvuudet ja määrittää Windows Server -järjestelmien lievennysten oletustilan. Seuraavassa taulukossa on yhteenveto suorittimen mikrokoodin vaatimuksesta ja Windows Serverin lievennysten oletustilasta.
CVE |
Edellyttääkö suorittimen mikrokoodia/laiteohjelmistoa? |
Lievennyksen oletustila |
---|---|---|
Ei |
Käytössä oletusarvoisesti (ei pois käytöstä poistamista) Lisätietoja on ADV180002 |
|
Kyllä |
Oletusarvoisesti poissa käytöstä. Lisätietoja on ADV180002 ja tässä KB-artikkelissa, jossa on tietoja sovellettavista rekisteriavainasetuksista. Huomautus "Retpoline" on oletusarvoisesti käytössä laitteissa, joissa on Windows 10, versio 1809 ja uudempi, jos Spectre-variantti 2 (CVE-2017-5715) on käytössä. Jos haluat lisätietoja Retpoline-versiosta, seuraa Spectre-variantin 2 lieventämistä Retpoline-toiminnolla Windowsin blogikirjoituksessa. |
|
Ei |
Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä. Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä.Lisätietoja on artikkelissa ADV180002 . |
|
Intel: Kyllä AMD: Ei |
Oletusarvoisesti poissa käytöstä. Katso lisätietoja ADV180012 ja tässä artikkelissa soveltuvista rekisteriavainasetuksista. |
|
Intel: Kyllä |
Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä. Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä.Katso lisätietoja ADV190013 ja tässä artikkelissa soveltuvista rekisteriavainasetuksista. |
|
Intel: Kyllä |
Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä. Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä.Katso lisätietoja ADV190013 ja tässä artikkelissa soveltuvista rekisteriavainasetuksista. |
|
Intel: Kyllä |
Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä. Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä.Katso lisätietoja ADV190013 ja tässä artikkelissa soveltuvista rekisteriavainasetuksista. |
|
Intel: Kyllä |
Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä. Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä.Katso lisätietoja ADV190013 ja tässä artikkelissa soveltuvista rekisteriavainasetuksista. |
|
Intel: Kyllä |
Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä. Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä.Lisätietoja on artikkelissa CVE-2019-11135 ja tässä artikkelissa soveltuvat rekisteriavainasetukset. |
|
CVE-2022-21123 (osa MMIO-ADV220002) |
Intel: Kyllä |
Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä. Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä.*Lisätietoja on artikkelissa CVE-2022-21123 ja tässä artikkelissa soveltuvat rekisteriavainasetukset. |
CVE-2022-21125 (osa MMIO-ADV220002) |
Intel: Kyllä |
Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä. Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä.*Lisätietoja on artikkelissa CVE-2022-21125 ja tässä artikkelissa soveltuvat rekisteriavainasetukset. |
CVE-2022-21127 (osa MMIO-ADV220002) |
Intel: Kyllä |
Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä. Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä.*Lisätietoja on artikkelissa CVE-2022-21127 ja tässä artikkelissa soveltuvat rekisteriavainasetukset. |
CVE-2022-21166 (osa MMIO-ADV220002) |
Intel: Kyllä |
Windows Server 2019, Windows Server 2022 ja Azure Stack HCI: Oletusarvoisesti käytössä. Windows Server 2016 ja sitä aiemmat versiot: Oletusarvoisesti poissa käytöstä.*Lisätietoja on artikkelissa CVE-2022-21166 ja tässä artikkelissa soveltuvat rekisteriavainasetukset. |
CVE-2022-23825 (AMD CPU Branch Type Confusion) |
AMD: Ei |
Lisätietoja on artikkelissa CVE-2022-23825 ja tässä artikkelissa soveltuvat rekisteriavainasetukset. |
CVE-2023-20569 (AMD CPU Return Address Predictor) |
AMD: Kyllä |
Lisätietoja on artikkelissa CVE-2023-20569 ja tässä artikkelissa soveltuvat rekisteriavainasetukset. |
Intel: Ei |
Oletusarvoisesti poissa käytöstä Lisätietoja on artikkelissa CVE-2022-0001 ja tässä artikkelissa soveltuvat rekisteriavainasetukset. |
* Noudata alla olevia Meltdownin lievennysohjeita.
Jos haluat saada kaikki käytettävissä olevat suojaukset näitä tietoturva-aukkoja vastaan, sinun on tehtävä rekisteriavainmuutoksia, jotta voit ottaa käyttöön nämä lievennykset, jotka on oletusarvoisesti poistettu käytöstä.
Näiden lievennysten käyttöönotto voi vaikuttaa suorituskykyyn. Suorituskykytehosteiden mittakaava riippuu useista tekijöistä, kuten fyysisen isännän tietystä piirisarjasta ja käynnissä olevista työkuormista. Suosittelemme, että arvioit ympäristösi suorituskykyvaikutukset ja teet tarvittavat muutokset.
Palvelin on suuremmassa vaarassa, jos se kuuluu johonkin seuraavista luokista:
-
Hyper-V-isännät: Edellyttää suojausta VM-to-VM- ja VM-to-host-hyökkäyksille.
-
Etätyöpöytäpalveluiden isännät (RDSH): Edellyttää suojausta istunnosta toiseen istuntoon tai istuntojen ja isännän hyökkäyksistä.
-
Fyysiset isännät tai virtuaalikoneet, joissa on ei-luotettu koodi, kuten säilöt tai ei-luotetut laajennukset tietokantaan, ei-luotettu verkkosisältö tai työkuormat, jotka suorittavat ulkoisista lähteistä peräisin olevan koodin. Ne edellyttävät suojaa ei-luotettamiselta prosessista toiseen tai ei-luotetuilta prosessista ytimeen -hyökkäyksiltä.
Ota lievennykset käyttöön palvelimessa seuraavien rekisteriavainasetusten avulla ja käynnistä laite uudelleen, jotta muutokset tulevat voimaan.
Huomautus: Oletusarvoisesti käytöstä poistettujen lievennysten ottaminen käyttöön voi vaikuttaa suorituskykyyn. Todellinen suorituskykytehoste riippuu useista tekijöistä, kuten laitteen tietystä piirisarjasta ja käynnissä olevien työkuormien.
Rekisteriasetukset
Tarjoamme seuraavat rekisteritiedot, jotta voimme ottaa käyttöön lievennykset, joita ei ole oletusarvoisesti otettu käyttöön suojaustiedotteissa (ADV) ja CVE:issä kuvatulla tavalla. Lisäksi tarjoamme rekisteriavainasetukset käyttäjille, jotka haluavat poistaa lievennykset käytöstä, kun niitä sovelletaan Windows-asiakasohjelmiin.
TÄRKEÄÄ Tässä osassa, menetelmässä tai tehtävässä on vaiheita, joissa kerrotaan, miten voit muuttaa rekisteriä. Rekisterin virheellinen muuttaminen voi kuitenkin aiheuttaa vakavia ongelmia. Varmista siksi, että noudatat näitä ohjeita huolellisesti. Jos haluat lisäsuojauksen, varmuuskopioi rekisteri ennen sen muuttamista. Tämän jälkeen voit palauttaa rekisterin, jos ongelma ilmenee. Lisätietoja rekisterin varmuuskopioinnista ja palauttamisesta on seuraavassa Microsoft Knowledge Base -tietokannan artikkelissa:
KB322756 Rekisterin varmuuskopiointi ja palauttaminen Windowsissa
TÄRKEÄÄRetpoline määritetään oletusarvoisesti seuraavasti, jos Spectre, Variant 2 mitigation (CVE-2017-5715) on käytössä:
- Retpoline-lievennys on käytössä Windows 10, versio 1809- ja uudemmissa Windows-versioissa.
- Retpoline-lievennys on poistettu käytöstä Windows Server 2019:ssä ja sitä uudemmissa Windows Server -versioissa.
Lisätietoja Retpolinen määrittämisestä on ohjeaiheessa Spectre-variantin 2 lieventäminen Retpolinella Windowsissa.
|
Huomautus: FeatureSettingsOverrideMask-asetuksen asettaminen 3 :een on oikein sekä ota käyttöön- että Poista käytöstä -asetuksissa. (Lisätietoja rekisteriavaimista on Usein kysytyt kysymykset -osassa.)
Variantin 2 poistaminen käytöstä: (CVE-2017-5715 | Haaran kohteen lisäys) lievennys: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. Variantin 2 käyttöönotto: (CVE-2017-5715 | Haaran kohteen lisäys) lievennys: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. |
Oletusarvoisesti käyttäjän ja ytimen suojaus CVE-2017-5715:lle on poistettu käytöstä AMD-suorittimien osalta. Asiakkaiden on otettava lievennys käyttöön saadakseen lisäsuojauksia CVE-2017-5715:lle. Lisätietoja on ADV180002 usein kysytyissä kysymyksissä #15.
Ota käyttöön käyttäjän ja ytimen suojaus AMD-suorittimilla sekä muita CVE 2017-5715 -suojausta: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jos Hyper-V-ominaisuus on asennettu, lisää seuraava rekisteriasetus: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jos kyseessä on Hyper-V-isäntä ja laiteohjelmistopäivityksiä on otettu käyttöön: Sammuta kaikki Näennäiskoneet. Tämä mahdollistaa laiteohjelmistoon liittyvän lievennyksen käytön isännässä ennen virtuaalikoneiden käynnistämistä. Siksi virtuaalikoneet päivitetään myös, kun ne käynnistetään uudelleen. Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. |
CVE-2018-3639:n (spekulatiivisen Storen ohitus), CVE-2017-5715:n (Spectre-variantti 2) ja CVE-2017-5754 (Meltdown) lievennysten mahdollistaminen: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jos Hyper-V-ominaisuus on asennettu, lisää seuraava rekisteriasetus: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jos kyseessä on Hyper-V-isäntä ja laiteohjelmistopäivityksiä on otettu käyttöön: Sammuta kaikki Näennäiskoneet. Tämä mahdollistaa laiteohjelmistoon liittyvän lievennyksen käytön isännässä ennen virtuaalikoneiden käynnistämistä. Siksi virtuaalikoneet päivitetään myös, kun ne käynnistetään uudelleen. Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. CVE-2018-3639:n (spekulatiivisen Storen ohitus) ja CVE-2017-5715:n (Spectre-variantti 2) ja CVE-2017-5754 (Meltdown) lievennysten poistaminen käytöstä reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. |
Oletusarvoisesti käyttäjän ja ytimen suojaus CVE-2017-5715:lle on poistettu käytöstä AMD-suorittimilla. Asiakkaiden on otettava lievennys käyttöön saadakseen lisäsuojauksia CVE-2017-5715:lle. Lisätietoja on ADV180002 usein kysytyissä kysymyksissä #15.
Ota käyttöön käyttäjästä ytimeen -suojaus AMD-suorittimilla sekä muita CVE 2017-5715 - suojausta ja CVE-2018-3639 -suojausta (spekulatiivisen Storen ohitus): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jos Hyper-V-ominaisuus on asennettu, lisää seuraava rekisteriasetus: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jos kyseessä on Hyper-V-isäntä ja laiteohjelmistopäivityksiä on otettu käyttöön: Sammuta kaikki Näennäiskoneet. Tämä mahdollistaa laiteohjelmistoon liittyvän lievennyksen käytön isännässä ennen virtuaalikoneiden käynnistämistä. Siksi virtuaalikoneet päivitetään myös, kun ne käynnistetään uudelleen. Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. |
Intel Transactional Syncation Extensions (Intel TSX) Transaction Asynchronous Abort -haavoittuvuuden (CVE-2019-11135) ja mikroarkkitektural data sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-1226 , CVE-2018-122127 , CVE-2018-12130 ) ja Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] variantit, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 ja CVE-2022-21166), mukaan lukien spekulatiivisen Kaupan ohitus käytöstä (SSBD) [CVE-2018-3639 ] sekä L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646] poistamatta Hyper-Threadingia käytöstä: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jos Hyper-V-ominaisuus on asennettu, lisää seuraava rekisteriasetus: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jos kyseessä on Hyper-V-isäntä ja laiteohjelmistopäivityksiä on otettu käyttöön: Sammuta kaikki Näennäiskoneet. Tämä mahdollistaa laiteohjelmistoon liittyvän lievennyksen käytön isännässä ennen virtuaalikoneiden käynnistämistä. Siksi virtuaalikoneet päivitetään myös, kun ne käynnistetään uudelleen. Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. Voit ottaa käyttöön Intel Transactional Syncation Extensions (Intel TSX) Transaction Asynchronous Abort -haavoittuvuuden (CVE-2019-11135) ja mikroarkkitektural datan näytteenoton ( CVE-2018-11091), CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) yhdessä Spectren [CVE-2017-5753 & CVE-2017-5715] ja Meltdown [CVE-2017-5754] variantit, mukaan lukien spekulatiivisen säilön ohitus käytöstä (SSBD) [CVE-2018-3639] sekä L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646] ja Hyper-Threading poistettu käytöstä: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jos Hyper-V-ominaisuus on asennettu, lisää seuraava rekisteriasetus: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jos kyseessä on Hyper-V-isäntä ja laiteohjelmistopäivityksiä on otettu käyttöön: Sammuta kaikki Näennäiskoneet. Tämä mahdollistaa laiteohjelmistoon liittyvän lievennyksen käytön isännässä ennen virtuaalikoneiden käynnistämistä. Siksi virtuaalikoneet päivitetään myös, kun ne käynnistetään uudelleen. Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. Voit poistaa käytöstä Intel Transactional Syncation Extensions (Intel TSX) Transaction Asynchronous Abort -haavoittuvuuden (CVE-2019-11135) ja mikroarkkitektural datan näytteenoton ( CVE-2018-11091), CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) yhdessä Spectren [CVE-2017-5753 & CVE-2017-5715] ja Meltdown [CVE-2017-5754] variantit, mukaan lukien spekulatiivisen säilön ohitus käytöstä (SSBD) [CVE-2018-3639] sekä L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646]: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Käynnistä laite uudelleen, jotta muutokset tulevat voimaan. |
Voit ottaa CVE-2022-23825 :n lievennyksen käyttöön AMD-suorittimilla seuraavasti:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Jotta asiakkaat olisivat täysin suojattuja, heidän on ehkä myös poistettava käytöstä Hyper-Threading (kutsutaan myös nimellä Simultaneous Multi Threading (SMT)). Katso KB4073757 ohjeita Windows-laitteiden suojaamiseen.
Voit ottaa CVE-2023-20569 :n lievennyksen käyttöön AMD-suorittimilla seuraavasti:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Voit ottaa CVE-2022-0001 :n lievennyksen käyttöön Intel-suorittimilla seuraavasti:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Useiden lievennysten ottaminen käyttöön
Jos haluat ottaa käyttöön useita lievennyksiä, sinun on lisättävä kunkin lievennyksen REG_DWORD arvo yhteen.
Esimerkki:
Tapahtuman asynkronisen keskeytyshaavoittuvuuden, mikroarchitectural Data Samplen, Spectren, Meltdownin, MMIO:n, spekulatiivisen säilön ohituksen käytöstä poistamisen (SSBD) ja L1-päätevirheen (L1TF) lieventäminen, kun Hyper-Threading poistettu käytöstä |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
HUOMAUTUS 8264 (desimaalilukuna) = 0x2048 (heksa) Jos haluat ottaa käyttöön BHI:n muiden aiemmin luotujen asetusten kanssa, sinun on käytettävä bittitasoa TAI nykyistä arvoa 8 388 608 (0x800000). 0x800000 TAI 0x2048(desimaalilukuna 8264), ja siitä tulee 8 396 872(0x802048). Sama koskee FeatureSettingsOverrideMask-ominaisuutta. |
|
CVE-2022-0001:n lievennys Intel-suorittimilla |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Yhdistetty lievennys |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Tapahtuman asynkronisen keskeytyshaavoittuvuuden, mikroarchitectural Data Samplen, Spectren, Meltdownin, MMIO:n, spekulatiivisen säilön ohituksen käytöstä poistamisen (SSBD) ja L1-päätevirheen (L1TF) lieventäminen, kun Hyper-Threading poistettu käytöstä |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f |
CVE-2022-0001:n lievennys Intel-suorittimilla |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Yhdistetty lievennys |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Suojausten asentaminen
Olemme julkaisseet PowerShell-komentosarjan, jonka voit suorittaa laitteissasi, jotta suojaukset ovat käytössä. Asenna ja suorita komentosarja jollakin seuraavista tavoista.
Asenna PowerShell-moduuli: PS> Install-Module SpeculationControl Varmista PowerShell-moduulin avulla, että suojaukset ovat käytössä: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Asenna PowerShell-moduuli Technet ScriptCenteristä:
Varmista PowerShell-moduulin avulla, että suojaukset ovat käytössä: Käynnistä PowerShell ja kopioi ja suorita sitten seuraavat komennot edellisen esimerkin avulla: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Lisätietoja PowerShell-komentosarjan tulosta on artikkelissa KB4074629 .
Usein kysytyt kysymykset
Jotta asiakaslaitteisiin ei aiheutuisi haittaa, tammi- ja helmikuussa 2018 julkaistuja Windowsin suojauspäivityksiä ei tarjottu kaikille asiakkaille. Lisätietoja on artikkelissa KB407269 .
Mikrokoodi toimitetaan laiteohjelmistopäivityksen kautta. Ota yhteyttä alkuperäiseen laitevalmistajaan siitä laiteohjelmistoversiosta, jossa on tietokoneellesi sopiva päivitys.
Suorituskykyyn vaikuttaa useita muuttujia järjestelmäversiosta käynnissä olevaan työmäärään. Joissakin järjestelmissä suorituskykyvaikutus on mitätön. Muille se on huomattava.
Suosittelemme, että arvioit järjestelmiesi suorituskykyvaikutuksia ja teet tarvittaessa muutoksia.
Tämän virtuaalikoneita koskevan artikkelin ohjeiden lisäksi ota yhteyttä palveluntarjoajaan ja varmista, että virtuaalikoneitasi käyttävät isännät ovat riittävän suojattuja.artikkelista Ohjeita spekulatiivisen suorituspuolen kanavan haavoittuvuuksien lieventämiseen Azuressa . Lisätietoja Azure Updaten hallinnan käyttämisestä vieraskoneiden virtuaalikoneisiin liittyvän ongelman lieventämiseksi on artikkelissa KB4077467.
Katso Azuressa toimivat Windows Server -virtuaalikoneetWindows Server 2016:n ja Windows 10:n version 1709 Windows Server -säilön näköistöön julkaistut päivitykset sisältävät näiden haavoittuvuuksien lieventämisen. Lisämääritystä ei tarvita.
Huomautus Sinun on silti varmistettava, että isäntä, jossa nämä säilöt ovat käytössä, on määritetty ottamaan käyttöön asianmukaiset lievennykset.Ei, asennustilauksella ei ole väliä.
Kyllä, laiteohjelmiston (mikrokoodi) päivityksen jälkeen on käynnistettävä uudelleen ja sitten uudelleen järjestelmäpäivityksen jälkeen.
Rekisteriavainten tiedot ovat seuraavat:
FeatureSettingsOverride on bittikartta, joka ohittaa oletusasetuksen ja määrittää, mitkä lievennykset poistetaan käytöstä. Bitti 0 ohjaa CVE-2017-5715:tä vastaavaa lievennystä. Bitti 1 ohjaa CVE-2017-5754:ää vastaavaa lievennystä. Bittien arvoksi on määritetty 0 , jotta lievennys voidaan ottaa käyttöön, ja 1 , jotta lievennys voidaan poistaa käytöstä.
FeatureSettingsOverrideMask edustaa bittikartan naamiota, jota käytetään yhdessä FeatureSettingsOverride-toiminnon kanssa. Tässä tilanteessa käytämme arvoa 3 (esitetään binaariluku- tai perusnumerojärjestelmän arvona 11) ilmaisemaan kaksi ensimmäistä bittiä, jotka vastaavat käytettävissä olevia lievennyksiä. Tämä rekisteriavain on asetettu arvoon 3 , jotta lievennykset otetaan käyttöön tai poistetaan käytöstä.
MinVmVersionForCpuBasedMitigations on tarkoitettu Hyper-V-isännille. Tämä rekisteriavain määrittää virtuaalikoneen vähimmäisversion, joka tarvitaan päivitettyjen laiteohjelmisto-ominaisuuksien käyttämiseen (CVE-2017-5715). Määritä tämä arvoksi 1.0 , joka kattaa kaikki virtuaalikoneversiot. Huomaa, että tämä rekisteriarvo ohitetaan (hyvänlaatuinen) muissa kuin Hyper-V-isännissä. Lisätietoja on artikkelissa Vieraiden virtuaalikoneiden suojaaminen CVE-2017-5715:ltä (haarakohteen lisäys).
Kyllä, sivuvaikutuksia ei ole, jos näitä rekisteriasetuksia käytetään ennen tammikuun 2018 korjausten asentamista.
Katso yksityiskohtainen kuvaus komentosarjatuloksesta osoitteessa KB4074629: Understanding SpeculationControl PowerShell script output .
Kyllä, Jos Windows Server 2016 Hyper-V -isännällä ei vielä ole laiteohjelmistopäivitystä saatavilla, olemme julkaisseet vaihtoehtoisia ohjeita, joiden avulla virtuaalikonetta voidaan lieventää virtuaalikoneeseen tai virtuaalikoneeseen hyökkäysten isännöimiseksi. Katso Windows Server 2016 Hyper-V -isäntien vaihtoehtoiset suojaukset spekulatiivisia suorituspuolen kanavan haavoittuvuuksia vastaan .
Vain suojauspäivitykset eivät ole kumulatiivisia. Käyttöjärjestelmäversiosta riippuen sinun on ehkä asennettava useita suojauspäivityksiä, jotta saat täyden suojauksen. Asiakkaiden on yleensä asennettava tammikuun, helmikuun, maaliskuun ja huhtikuun 2018 päivitykset. Järjestelmät, joissa on AMD-suoritin, tarvitsevat lisäpäivityksen seuraavassa taulukossa esitetyllä tavalla:
Käyttöjärjestelmän versio |
suojauspäivitys |
Windows 8.1, Windows Server 2012 R2 |
KB4338815 – kuukausittainen koontiversio |
KB4338824- Vain suojaus |
|
Windows 7 SP1, Windows Server 2008 R2 SP1 tai Windows Server 2008 R2 SP1 (Server Core -asennus) |
KB4284826 – kuukausittainen koontiversio |
KB4284867 – vain suojaus |
|
Windows Server 2008 SP2 |
KB4340583 – suojauspäivitys |
Suosittelemme, että asennat vain suojauspäivitykset julkaisujärjestyksessä.
Huomautus: Näiden usein kysyttyjen kyselyjen aiemmassa versiossa todettiin virheellisesti, että helmikuun vain suojauspäivitys sisälsi tammikuussa julkaistut suojauskorjaukset. Itse asiassa se ei.
Et. Suojauspäivityksen KB4078130 oli erityinen korjaus, jolla estettiin järjestelmän arvaamattomat toimintatavat, suorituskykyongelmat ja odottamattomat uudelleenkäynnistykset mikrokoodin asentamisen jälkeen. Suojauspäivitysten käyttöönotto Windows-asiakaskäyttöjärjestelmissä mahdollistaa kaikki kolme lievennystä. Windows Server -käyttöjärjestelmissä lievennykset on otettava käyttöön asianmukaisen testauksen jälkeen. Lisätietoja on artikkelissa KB4072698.
Tämä ongelma on korjattu KB4093118.
Helmikuussa 2018 Intel ilmoitti saaneensa validointinsa valmiiksi ja alkaneensa julkaista mikrokoodia uudempia suoritinympäristöjä varten. Microsoft tuo saataville Intelin vahvistamia mikrokoodipäivityksiä, jotka koskevat Spectre-varianttia 2 Spectre Variant 2 (CVE-2017-5715 | Haaran kohdelisäys). KB4093836 luetteloi tietyt tietokanta artikkelit Windows-version mukaan. Jokainen tietty KB-artikkeli sisältää suorittimen käytettävissä olevat Intel-mikrokoodipäivitykset.
11. tammikuuta 2018 Intel raportoi äskettäin julkaistun mikrokoodin ongelmista , joiden oli tarkoitus puuttua Spectre-varianttiin 2 (CVE-2017-5715 | Haaran kohdelisäys). Tarkemmin sanottuna Intel totesi, että tämä mikrokoodi voi aiheuttaa "odotettua suurempia uudelleenkäynnistyksiä ja muuta arvaamatonta järjestelmän toimintaa" ja että nämä skenaariot voivat aiheuttaa "tietojen menettämistä tai vioittumista." Kokemuksemme mukaan järjestelmän epävakaus voi joissakin tilanteissa aiheuttaa tietojen menettämistä tai vioittumista. Intel suositteli 22.1.2019, että asiakkaat lopettaisivat nykyisen mikrokoodiversion käyttöönoton suorittimilla, joihin ongelma vaikuttaa, kun intel suorittaa lisätestausta päivitetyssä ratkaisussa. Ymmärrämme, että Intel jatkaa nykyisen mikrokoodiversion mahdollisen vaikutuksen tutkimista. Kannustamme asiakkaita tarkistamaan ohjeistuksensa jatkuvasti, jotta he voivat ilmoittaa päätöksistään.
Kun Intel testaa, päivittää ja ottaa käyttöön uuden mikrokoodin, julkaisemme OOB(OOB) -päivityksen, KB4078130, joka poistaa vain CVE-2017-5715:n lievennyksen käytöstä. Testauksessamme tämän päivityksen on todettu estävän kuvatun toiminnan. Täydellinen laiteluettelo on Intelin mikrokoodin muokkausohjeissa . Tämä päivitys kattaa Windows 7 Service Pack 1:n (SP1), Windows 8.1:n ja kaikki Windows 10 versiot sekä asiakas- että palvelinversiot. Jos käytät laitetta, jota ongelma koskee, päivitys voidaan asentaa lataamalla se Microsoft Update -luettelon sivustosta. Tämän hyötykuorman soveltaminen poistaa vain CVE-2017-5715:n lievennyksen käytöstä.
Tästä ajasta alkaen ei ole tiedossa raportteja, jotka osoittaisivat, että tämä Spectre-variantti 2 (CVE-2017-5715 | Branch Target Injection) on käytetty hyökkäämään asiakkaiden kimppuun. Suosittelemme, että Windows-käyttäjät voivat tarvittaessa ottaa lievennyksen uudelleen käyttöön CVE-2017-5715-laitteessasi, kun Intel ilmoittaa, että tämä arvaamaton järjestelmän toiminta on ratkaistu laitteessasi.
Helmikuussa 2018 Intelilmoitti saaneensa validointinsa valmiiksi ja alkaneensa julkaista mikrokoodia uudempia suoritinympäristöjä varten. Microsoft tuo saataville Intelin vahvistamia mikrokoodipäivityksiä, jotka liittyvät Spectre-varianttiin 2 Spectre Variant 2 (CVE-2017-5715 | Haaran kohdelisäys). KB4093836 luetteloi tietyt tietokanta artikkelit Windows-version mukaan. KBs-luettelo saatavilla olevista Intel-mikrokoodipäivityksistä suorittimen mukaan.
Lisätietoja on artikkelissa AMD Security Päivitykset ja AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . Nämä ovat saatavilla OEM-laiteohjelmistokanavalta.
Olemme tuoneet saataville Intelin vahvistamia mikrokoodipäivityksiä, jotka koskevat Spectre-varianttia 2 (CVE-2017-5715 | Haaran kohdelisäys). Jotta asiakkaat voivat hankkia uusimmat Intel-mikrokoodipäivitykset Windows Update kautta, heidän on oltava asentaneet Intel-mikrokoodin laitteisiin, joissa on Windows 10 käyttöjärjestelmä, ennen päivittämistä Windows 10 huhtikuun 2018 päivitykseen (versio 1803).
Mikrokoodipäivitys on saatavilla myös suoraan Microsoft Update -luettelosta, jos sitä ei ole asennettu laitteeseen ennen järjestelmän päivittämistä. Intel-mikrokoodi on saatavilla Windows Update, Windows Server Update Services (WSUS) tai Microsoft Update -luettelon kautta. Lisätietoja ja latausohjeita on ohjeaiheessa KB4100347.
Lisätietoja on seuraavissa resursseissa:
Katso ADV180012 suositellut toiminnot ja usein kysytyt kysymykset | Microsoftin ohjeet spekulatiivisen Kaupan ohittamiseen.
SSBD:n tilan tarkistamiseksi Get-SpeculationControlSettings PowerShell -komentosarja on päivitetty havaitsemaan prosessorit, joihin ongelma vaikuttaa, SSBD-käyttöjärjestelmäpäivitysten tilan ja suorittimen mikrokoodin tilan, jos sellainen on. Lisätietoja ja PowerShell-komentosarjan hankkiminen on artikkelissa KB4074629.
13. kesäkuuta 2018 ilmoitettiin lisähaavoittuvuus, johon liittyy sivukanavan spekulatiivista toteutusta, joka tunnetaan nimellä Lazy FP State Restore, ja sille annettiin CVE-2018-3665 . Lisätietoja tästä haavoittuvuudesta ja suositelluista toimista on suojaustiedotteen ADV180016 | Microsoftin ohjeet Laiskan FP-tilan palauttamiseen .
Huomautus Lazy Restore FP Restorelle ei ole pakollisia määritysasetuksia (rekisteriasetuksia).
Bounds Check Bypass Store (BCBS) julkistettiin 10. heinäkuuta 2018 ja sille annettiin CVE-2018-3693. Katsomme, että BCBS kuuluu samaan haavoittuvuusluokkaan kuin Bounds Check Bypass (muuttuja 1). Emme ole tällä hetkellä tietoisia BCBS-esiintymistä ohjelmistossamme. Jatkamme kuitenkin tämän haavoittuvuusluokan tutkimista ja teemme yhteistyötä alan kumppaneiden kanssa lieventämisen vapauttamiseksi tarpeen mukaan. Kannustamme tutkijoita lähettämään kaikki merkitykselliset havainnot Microsoftin spekulatiivisen suorituspuolen kanavan palkkio-ohjelmaan, mukaan lukien mahdolliset BCBS:n hyväksikäytettävät esiintymät. Ohjelmistokehittäjien tulee tarkastella BCBS:lle päivitettyjä kehittäjäohjeita osoitteessa C++ Developer Guidance spekulatiivisille suorituspuolen kanaville
14. elokuuta 2018 ilmoitettiin L1 Terminal Fault (L1TF) -terminaaliviasta , ja sille annettiin useita cv:tä. Näitä uusia spekulatiivisen suorituspuolen kanavan haavoittuvuuksia voidaan käyttää muistin sisällön lukemiseen luotetun rajan yli, ja jos niitä käytetään hyväksi, ne voivat johtaa tietojen paljastamiseen. On olemassa useita vektoreita, joiden avulla hyökkääjä voi laukaista haavoittuvuudet määritetyn ympäristön mukaan. L1TF vaikuttaa Intel® Core -® suorittimeen ja Intel® Xeon® -suorittimeen.
Lisätietoja tästä haavoittuvuudesta ja yksityiskohtainen näkymä skenaarioista, joihin ongelma vaikuttaa, mukaan lukien Microsoftin lähestymistapa L1TF:n lieventämiseen, on seuraavissa resursseissa:
Ohjeet Hyper-Threading eroavat alkuperäisestä laitevalmistajasta alkuperäiseen laitevalmistajaan, mutta ovat yleensä osa BIOS- tai laiteohjelmiston määritys- ja määritystyökaluja.
Asiakkaiden, jotka käyttävät 64-bittisiä ARM-suorittimia, tulee ottaa yhteyttä laitteen laiteohjelmistotukeen, koska ARM64-käyttöjärjestelmän suojaukset, jotka lieventävät CVE-2017-5715 :tä | Haaran kohdelisäys (Spectre, variantti 2) edellyttää laitteen alkuperäisten laitevalmistajien uusimman laiteohjelmistopäivityksen asentamista voimaan.
Lisätietoja on seuraavissa suojausneuvonannuksessa
Lisätietoja Azuresta on tässä artikkelissa: Ohjeita spekulatiivisen suorituspuolen kanavan haavoittuvuuksien lieventämiseen Azuressa.
Lisätietoja Retpoline-käyttöönotosta on blogikirjoituksessamme Spectre-variantin 2 lieventäminen Retpolinella Windowsissa .
Lisätietoja tästä haavoittuvuudesta on Microsoftin suojausoppaassa: CVE-2019-1125 | Windows-ytimen tietojen paljastumisen haavoittuvuus.
Emme ole tietoisia tämän tiedon paljastumisen haavoittuvuudesta, joka vaikuttaa pilvipalveluinfrastruktuuriimme.
Heti kun saimme tietää tästä ongelmasta, työskentelimme nopeasti sen korjaamiseksi ja päivityksen julkaisemiseksi. Uskomme vahvasti tiiviisiin kumppanuuksiin sekä tutkijoiden että alan kumppaneiden kanssa asiakkaiden turvallisuuden parantamiseksi, ja julkaisimme tiedot vasta tiistaina 6. elokuuta koordinoitujen haavoittuvuuksien paljastuskäytäntöjen mukaisesti.
Lisätietoja on ohjeissa Intel Transactional Synchronization Extensions (Intel TSX) -ominaisuuden poistaminen käytöstä.
Lisätietoja
Tässä artikkelissa mainitut kolmansien osapuolten tuotteet ovat Microsoftista riippumattomien yritysten valmistamia. Emme anna mitään oletettuja tai muita takuita näiden tuotteiden suorituskyvystä tai luotettavuudesta.
Tarjoamme kolmannen osapuolen yhteystiedot teknisen tuen löytämiseksi. Nämä yhteystiedot saattavat muuttua ilman ennakkoilmoitusta. Emme takaa näiden kolmannen osapuolen yhteystietojen oikeellisuutta.