KB4072698: Útmutató a Windows Serverhez és az Azure Stack HCI-hez a szilíciumalapú mikroarchitekturális és spekulatív végrehajtási oldalcsatorna biztonsági rései elleni védelemhez

Ez a cikk a következő spekulatív végrehajtási biztonsági résekkel foglalkozik:

• CVE-2017-5715 | Ág célinjektálás

• CVE-2017-5753 | Korlátok – Megkerülés ellenőrzése

• CVE-2017-5754 | Rosszindulatú adatgyorsítótár-terhelés

• CVE-2018-3639 | Spekulatív tároló megkerülése

Windows Update Internet Explorert és Edge-et is biztosít. Továbbra is javítani fogjuk ezeket a kockázatcsökkentéseket a biztonsági rések ezen osztálya ellen.

A biztonsági rések ezen osztályával kapcsolatos további információkért lásd:

• ADV180002 | Útmutatás a spekulatív végrehajtás oldalcsatornás biztonsági réseinek csökkentéséhez

• ADV180012 | Microsoft-útmutató spekulatív áruház megkerüléséhez

2019. május 14-én az Intel közzétette a mikroarchitekturális adatmintavétel néven ismert spekulatív végrehajtásoldali biztonsági rések új alosztályára vonatkozó információkat, és dokumentálta ADV190013 | Mikroarchitekturális adatmintavétel. A következő CVE-k lettek hozzárendelve:

• CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

• CVE-2018-12126 | Mikroarchitekturális tároló pufferadatainak mintavételezése (MSBDS)

• CVE-2018-12127 | Mikroarchitekturális kitöltőpuffer adatmintázása (MFBDS)

• CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)

A Microsoft frissítéseket adott ki a biztonsági rések mérséklése érdekében. Az összes elérhető védelem beszerzéséhez belső vezérlőprogramra (mikrokódra) és szoftverfrissítésekre van szükség. Ide tartozhatnak az eszköz oem-jeiből származó mikrokódok is. Bizonyos esetekben a frissítések telepítése hatással lesz a teljesítményre. A felhőszolgáltatásaink védelme érdekében is cselekedtünk. Határozottan javasoljuk, hogy telepítse ezeket a frissítéseket.

A problémával kapcsolatos további információkért tekintse meg a következő biztonsági tanácsadást, és használja a forgatókönyvalapú útmutatót a fenyegetés mérsékléséhez szükséges műveletek meghatározásához:

• ADV190013 | A Microsoft útmutatója a mikroarchitekturális adatmintavétel biztonsági réseinek csökkentéséhez

• Windows-útmutató a spekulatív végrehajtás oldalcsatornás biztonsági rései elleni védelemhez

2019. augusztus 6-án az Intel kiadta a Windows kerneladatok felfedésével kapcsolatos biztonsági rés részleteit. Ez a biztonsági rés a Spectre, Variant 1 spekulatív végrehajtási oldalcsatorna biztonsági résének egy változata, és CVE-2019-1125 lett hozzárendelve.

2019. július 9-én biztonsági frissítéseket adtunk ki a Windows operációs rendszerhez a probléma megoldása érdekében. Kérjük, vegye figyelembe, hogy a kockázatcsökkentés nyilvános dokumentálását a 2019. augusztus 6-án, kedden összehangolt iparági közzétételig tartottuk.

Azok az ügyfelek, akik Windows Update engedélyezve vannak, és alkalmazták a 2019. július 9-én kiadott biztonsági frissítéseket, automatikusan védettek lesznek. Nincs szükség további konfigurációra.

A biztonsági résről és a vonatkozó frissítésekről a Microsoft biztonsági frissítési útmutatójában talál további információt:

• CVE-2019-1125 | A Windows Kernel információfelfedés biztonsági rése

2019. november 12-én az Intel műszaki tanácsadást tett közzé az Intel® transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort biztonsági résével kapcsolatban, amelyhez CVE-2019-11135 van hozzárendelve. A Microsoft frissítéseket adott ki a biztonsági rés csökkentése érdekében, és az operációs rendszer védelme alapértelmezés szerint engedélyezve van a Windows Server 2019-ben, de alapértelmezés szerint le van tiltva Windows Server 2016 és korábbi Windows Server operációs rendszerek kiadásaiban.

2022. június 14-én közzétettük ADV220002 | A Microsoft útmutatása az Intel Processzor MMIO elavult adatok biztonsági réseihez , és hozzárendelte az alábbi CVE-eket: 

• CVE-2022-21123 | Megosztott pufferadatok olvasása (SBDR)

• CVE-2022-21125 | Megosztott pufferadatok mintavételezése (SBDS)

• CVE-2022-21127 | Speciális regiszterpufferadatok mintavételezési frissítése (SRBDS-frissítés)

• CVE-2022-21166 | Eszközregisztrálás részleges írása (DRPW)

Ajánlott műveletek

A biztonsági rések elleni védelem érdekében az alábbi műveleteket kell elvégeznie:

1. Alkalmazza az összes elérhető Windows operációsrendszer-frissítést, beleértve a havi Windows biztonsági frissítéseket is.

2. Alkalmazza az eszköz gyártója által biztosított megfelelő belsővezérlőprogram-frissítést (mikrokód).

3. Értékelje ki a környezetre vonatkozó kockázatokat a Microsoft biztonsági tanácsadóiban található információk alapján: ADV180002, ADV180012, ADV190013 és ADV220002 a jelen tudásbázis cikkben megadott információkon kívül.

4. Az ebben a tudásbázis cikkben szereplő tanácsadási és beállításkulcs-információk segítségével szükség szerint elvégezheti a szükséges lépéseket.

2022. július 12-én megjelent a CVE-2022-23825 | AMD CPU-ágtípus – Az ág-előrejelző aliasai miatt előfordulhat, hogy egyes AMD-processzorok nem a megfelelő ágtípust jelzik előre. Ez a probléma információfelfedéshez vezethet.

A biztonsági rés elleni védelem érdekében javasoljuk, hogy telepítse a 2022 júliusában vagy azt követően dátumozott Windows-frissítéseket, majd végezze el a CVE-2022-23825 és az ebben a tudásbázis cikkben szereplő beállításkulcs-információk által megkövetelt lépéseket.

További információ: AMD-SB-1037 biztonsági közlemény.

2023. augusztus 8-án megjelent a CVE-2023-20569 | Return Address Predictor (más néven Inception), amely egy új spekulatív oldalcsatorna-támadást ír le, amely spekulatív végrehajtást eredményezhet egy támadó által vezérelt címen. Ez a probléma bizonyos AMD-processzorokat érint, és információfelfedéshez vezethet.

A biztonsági rés elleni védelem érdekében javasoljuk, hogy telepítse a 2023 augusztusában vagy azt követően dátummal ellátott Windows-frissítéseket, majd végezze el a CVE-2023-20569 és a beállításkulcsnak az ebben a tudásbázis cikkben megadott műveletet.

További információ: AMD-SB-7005 biztonsági közlemény.

2024. április 9-én megjelent a CVE-2022-0001 | Intel Branch History Injection ( Ágelőzmény-injektálás), amely az elágazási előzmények injektálását (BHI) ismerteti, amely a módon belüli BTI egy speciális formája. Ez a biztonsági rés akkor fordul elő, ha egy támadó manipulálhatja az ágelőzményeket, mielőtt a felhasználóról a felügyeleti módra vált (vagy a VMX nem gyökérszintű/vendég módból a gyökér módba). Ez a módosítás azt eredményezheti, hogy egy közvetett ág-előrejelző kiválaszt egy adott prediktorbejegyzést egy közvetett ághoz, és az előrejelzett célnál egy közzétételi minialkalmazás átmenetien végre lesz hajtva. Ez azért lehetséges, mert a vonatkozó ágelőzmények tartalmazhatnak korábbi biztonsági környezetekben, és különösen más előrejelző módokban vett ágakat.

Alapértelmezés szerint a CVE-2017-5715 felhasználó–kernel védelme le van tiltva az AMD processzorok esetében. Az ügyfeleknek engedélyeznie kell a kockázatcsökkentést, hogy további védelmet kapjanak a CVE-2017-5715-höz.  További információt a gyakori kérdések #15 ADV180002 című témakörben talál.

Alapértelmezés szerint a CVE-2017-5715 felhasználó–kernel védelme le van tiltva az AMD processzorok esetében. Az ügyfeleknek engedélyeznie kell a kockázatcsökkentést, hogy további védelmet kapjanak a CVE-2017-5715-höz.  További információt a gyakori kérdések #15 ADV180002 című témakörben talál.

A CVE-2022-23825 kockázatcsökkentésének engedélyezése AMD processzorokon:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

A teljes védelem érdekében előfordulhat, hogy az ügyfeleknek le kell tiltania a Hyper-Threading (más néven egyidejű többszálúság (SMT)). A Windows-eszközök védelmére vonatkozó útmutatásért lásd: KB4073757.

A CVE-2023-20569 kockázatcsökkentésének engedélyezése AMD processzorokon:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

A CVE-2022-0001 megoldásának engedélyezése Intel processzorokon:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

A PowerShell-szkript kimenetének részletes magyarázatáért lásd: KB4074629 . 

A 2018 januárjában és februárjában kiadott Windows biztonsági frissítéseket nem ajánlották fel minden ügyfélnek, hogy elkerülhesse az ügyfelek eszközeinek hátrányos befolyásolását. További részletekért lásd: KB407269 .

A mikrokód egy belső vezérlőprogram-frissítésen keresztül érhető el. Érdeklődjön az OEM-nek arról a belső vezérlőprogram-verzióról, amely rendelkezik a számítógép megfelelő frissítésével.

A teljesítményt több változó is befolyásolja, a rendszerverziótól kezdve a futó számítási feladatokig. Egyes rendszereknél a teljesítmény hatása elhanyagolható lesz. Mások számára ez jelentős lesz.

Javasoljuk, hogy mérje fel a rendszerekre gyakorolt teljesítményhatásokat, és szükség szerint végezze el a szükséges módosításokat.

A jelen cikkben található, a virtuális gépekkel kapcsolatos útmutatás mellett forduljon a szolgáltatóhoz, és győződjön meg arról, hogy a virtuális gépeket futtató gazdagépek megfelelően védettek.

Az Azure-ban futó Windows Server rendszerű virtuális gépek esetében lásd: Útmutató a spekulatív végrehajtás oldalcsatornás biztonsági réseinek csökkentéséhez az Azure-ban . A vendég virtuális gépeken a probléma elhárításához az Azure Update Management használatával kapcsolatos útmutatásért lásd: KB4077467.

A Windows Server 2016 és a Windows 10 1709-es verziójához kiadott Windows Server tárolólemezképekhez kiadott frissítések tartalmazzák a biztonsági rések ezen készletének elhárítását. Nincs szükség további konfigurációra.

Megjegyzés Továbbra is győződjön meg arról, hogy az a gazdagép, amelyen ezek a tárolók futnak, úgy van konfigurálva, hogy engedélyezze a megfelelő kockázatcsökkentéseket.

Nem, a telepítési sorrend nem számít.

Igen, a belső vezérlőprogram (mikrokód) frissítése után, majd a rendszerfrissítés után újra kell indulnia.

A beállításkulcsok részletei a következők:

A FeatureSettingsOverride egy bitkép, amely felülbírálja az alapértelmezett beállítást, és szabályozza, hogy mely kockázatcsökkentések lesznek letiltva. A 0. bit a CVE-2017-5715-nek megfelelő kockázatcsökkentést szabályozza. Az 1. bit a CVE-2017-5754-nek megfelelő kockázatcsökkentést szabályozza. A bitek 0-ra vannak állítva a kockázatcsökkentés engedélyezéséhez, és 1 értékre a kockázatcsökkentés letiltásához.

A FeatureSettingsOverrideMask a FeatureSettingsOverride paraméterrel együtt használt bitképmaszkot jelöli.  Ebben az esetben a 3 értéket használjuk (a bináris számrendszerben 11-ként jelenik meg) az elérhető kockázatcsökkentéseknek megfelelő első két bit jelzésére. Ez a beállításkulcs 3-ra van állítva a kockázatcsökkentés engedélyezéséhez vagy letiltásához.

A MinVmVersionForCpuBasedMitigations Hyper-V-gazdagépekhez készült. Ez a beállításkulcs határozza meg azt a minimális virtuálisgép-verziót, amely szükséges a frissített belsővezérlőprogram-funkciók használatához (CVE-2017-5715). Állítsa ezt 1.0-ra az összes virtuálisgép-verzió lefedéséhez. Figyelje meg, hogy ezt a beállításjegyzék-értéket a rendszer figyelmen kívül hagyja (jóindulatú) a nem Hyper-V-gazdagépeken. További részletekért lásd: Vendég virtuális gépek védelme a CVE-2017-5715-től (ágcél-injektálás).

Igen, nincsenek mellékhatások, ha ezeket a beállításjegyzék-beállításokat a 2018. januári javítások telepítése előtt alkalmazzák.

A szkript kimenetének részletes leírását a KB4074629: Understanding SpeculationControl PowerShell-szkript kimenete című cikkben találja.

Igen, Windows Server 2016 olyan Hyper-V-gazdagépek esetében, amelyek még nem rendelkeznek a belső vezérlőprogram frissítésével, közzétettünk egy alternatív útmutatót, amely segíthet a virtuális gépek vagy virtuális gépek elleni támadások elhárításában. Lásd: Alternatív védelem Windows Server 2016 Hyper-V-gazdagépekhez a spekulatív végrehajtási oldalcsatorna biztonsági rései ellen.

A csak biztonsági frissítések nem összesítettek. Az operációs rendszer verziójától függően előfordulhat, hogy a teljes védelem érdekében több biztonsági frissítést is telepítenie kell. Az ügyfeleknek általában telepíteniük kell a 2018. januári, februári, márciusi és áprilisi frissítéseket. Az AMD processzorokkal rendelkező rendszereknek további frissítést kell elvégezniük az alábbi táblázatban látható módon:

Javasoljuk, hogy a csak biztonsági frissítéseket a kiadás sorrendjében telepítse.

Nem. A biztonsági frissítési KB4078130 a mikrokód telepítése után a rendszer előre nem látható viselkedésének, teljesítményproblémáinak és váratlan újraindulásának megelőzésére szolgáló javítás volt. A biztonsági frissítések windowsos ügyféloldali operációs rendszereken való alkalmazása mindhárom kockázatcsökkentést lehetővé teszi. Windows Server operációs rendszereken a megfelelő tesztelés után is engedélyeznie kell a kockázatcsökkentéseket. További információ: KB4072698.

Ezt a problémát a KB4093118 megoldottuk.

2018 februárjában az Intel bejelentette , hogy befejezte az ellenőrzést, és megkezdte a mikrokód kiadását az újabb PROCESSZORplatformokhoz. A Microsoft elérhetővé teszi az Intel által ellenőrzött mikrokód-frissítéseket, amelyek a Spectre Variant 2 Spectre Variant 2-re vonatkoznak (CVE-2017-5715 | Branch Target Injektálás). KB4093836 a Windows-verziónként tudásbázis cikkeket sorolja fel. Minden egyes tudásbáziscikk tartalmazza a processzoronként elérhető Intel mikrokód-frissítéseket.

2018 . január 11-én az Intel a közelmúltban kiadott mikrokódokkal kapcsolatos problémákról számolt be, amelyek a Spectre 2. változatának (CVE-2017-5715) kezelésére szolgáltak . Branch Target Injektálás). Pontosabban, az Intel megállapította, hogy ez a mikrokód "a vártnál magasabb újraindításokat és más kiszámíthatatlan rendszerviselkedést" okozhat, és ezek a forgatókönyvek "adatvesztést vagy -sérülést" okozhatnak." Tapasztalatunk szerint a rendszer instabilitása bizonyos körülmények között adatvesztést vagy sérülést okozhat. Január 22-én az Intel azt javasolta az ügyfeleknek, hogy az érintett processzorokon ne helyezzenek üzembe a jelenlegi mikrokódverziót , miközben az Intel további tesztelést végez a frissített megoldáson. Tisztában vagyunk azzal, hogy az Intel továbbra is vizsgálja a jelenlegi mikrokódverzió lehetséges hatását. Javasoljuk ügyfeleinknek, hogy határozataikat folyamatosan áttekintsék.

Amíg az Intel teszteli, frissíti és üzembe helyezi az új mikrokódokat, elérhetővé teszünk egy sávon kívüli (OOB) frissítést , KB4078130, amely kifejezetten letiltja a CVE-2017-5715 elleni kockázatcsökkentést. A tesztelés során ezt a frissítést találtuk, hogy megakadályozzuk a leírt viselkedést. Az eszközök teljes listájáért tekintse meg az Intel mikrokód-változatának útmutatóját . Ez a frissítés a Windows 7 Service Pack 1 (SP1), a Windows 8.1 és a Windows 10 összes verzióját érinti, mind az ügyfelet, mind a kiszolgálót. Ha érintett eszközt futtat, ezt a frissítést a Microsoft Update Katalógus webhelyéről töltheti le. A hasznos adatok alkalmazása kifejezetten csak a CVE-2017-5715 elleni kockázatcsökkentést tiltja le.

Jelenleg nincsenek olyan ismert jelentések, amelyek arra utalnak, hogy ez a Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection) használatával támadták meg az ügyfeleket. Azt javasoljuk, hogy ha szükséges, a Windows-felhasználók újraélesítsék a CVE-2017-5715-re vonatkozó kockázatcsökkentést, ha az Intel arról számol be, hogy ez a kiszámíthatatlan rendszerviselkedés megoldódott az eszközén.

2018 februárjában az Intelbejelentette , hogy befejezte az ellenőrzést, és megkezdte a mikrokód kiadását az újabb CPU-platformokhoz. A Microsoft elérhetővé teszi a Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715) termékhez kapcsolódó, Intel által ellenőrzött mikrokód-frissítéseket | Branch Target Injektálás). KB4093836 a Windows-verziónként tudásbázis cikkeket sorolja fel. A KB-k listája az elérhető Intel mikrokód-frissítések processzor szerint.

További információ: AMD security Frissítések és AMD Whitepaper: Architecture Guidelines around Indirect Branch Control (Az AMD biztonsági Frissítések és AZ AMD útmutatója: Architecture Guidelines around Indirect Branch Control (Az AMD biztonsági Frissítések és az AMD útmutatója: Architecture Guidelines around Indirect Branch Control (Az AMD biztonsági Frissítések és az AMD útmutató Ezek az OEM belső vezérlőprogram-csatornáján érhetők el.

A Spectre Variant 2-re (CVE-2017-5715 | Branch Target Injektálás). A legújabb Intel mikrokódfrissítések Windows Update keresztüli beszerzéséhez az ügyfeleknek telepíteniük kell az Intel mikrokódját az Windows 10 operációs rendszert futtató eszközökre a 2018. áprilisi Windows 10 frissítésre (1803-es verzió) való frissítés előtt.

A mikrokód-frissítés közvetlenül a Microsoft Update katalógusból is elérhető, ha a rendszer frissítése előtt nem telepítette az eszközre. Az Intel mikrokódja Windows Update, Windows Server Update Services (WSUS) vagy a Microsoft Update Katalóguson keresztül érhető el. További információkért és a letöltési utasításokért lásd: KB4100347.

További információt a következő forrásanyagokban talál:

• ADV180012 | Microsoft-útmutató spekulatív áruház megkerüléséhez a CVE-2018-3639-hez

• ADV180013 | Microsoft-útmutató a CVE-2018-3640-hez és a KB-4073065 rendszerhez készült rogue rendszerregisztráció olvasásához | Útmutatás Surface-ügyfeleknek

• Microsoft Security Research and Defense Blog

• Fejlesztői útmutató a spekulatív áruház megkerüléséhez

Lásd a ADV180012 | "Javasolt műveletek" és "GYIK" szakaszát  Microsoft-útmutató spekulatív áruház megkerüléséhez.

Az SSBD állapotának ellenőrzéséhez a Get-SpeculationControlSettings PowerShell-szkript frissült, hogy észlelje az érintett processzorokat, az SSBD operációs rendszer frissítéseinek állapotát és a processzor mikrokódjának állapotát, ha van ilyen. További információkért és a PowerShell-szkript beszerzéséhez lásd: KB4074629.

2018. június 13-án bejelentették és hozzárendelték a CVE-2018-3665 nevű, oldalcsatornás spekulatív végrehajtást magában foglaló, lazy FP State Restore nevű biztonsági rést. A biztonsági résről és az ajánlott műveletekről a biztonsági tanácsadási ADV180016 | A Microsoft útmutatója a szakaszolt FP-állapot visszaállításához .

Megjegyzés Az FP-visszaállítás szakaszos visszaállításához nincs szükség konfigurációs (beállításjegyzékbeli) beállításokra.

A Bounds Check Bypass Store (BCBS) 2018. július 10-én került nyilvánosságra, és hozzárendelte a CVE-2018-3693-at. Úgy véljük, hogy a BCBS ugyanahhoz a biztonsági résosztályhoz tartozik, mint a Bounds Check Bypass (1. változat). Jelenleg nem tudunk a szoftverünkben található BCBS-példányokról. Azonban továbbra is kutatjuk ezt a biztonságirés-osztályt, és az iparági partnerekkel együttműködve szükség szerint kiadjuk a kockázatcsökkentéseket. Arra biztatjuk a kutatókat, hogy küldjenek el minden releváns megállapítást a Microsoft spekulatív végrehajtási oldal csatorna bounty programba, beleértve a BCBS bármely kihasználható példányát is. A szoftverfejlesztőknek át kell tekinteniük a BCBS-hez frissített fejlesztői útmutatót a C++ Fejlesztői útmutató spekulatív végrehajtási oldal csatornáihoz című cikkben. 

2018. augusztus 14-én bejelentették az L1 terminálhibát (L1TF), és több CVE-t rendeltek hozzá. Ezek az új spekulatív végrehajtási oldalcsatorna-biztonsági rések felhasználhatók a memória tartalmának megbízható határokon keresztüli olvasására, és ha kihasználják, információfelfedéshez vezethetnek. A konfigurált környezettől függően több vektor is aktiválhatja a biztonsági réseket. Az L1TF az Intel® Core® processzorokat és az Intel® Xeon® processzorokat érinti.

A biztonsági résről és az érintett forgatókönyvek részletes áttekintéséről, beleértve a Microsoft L1TF-et csökkentő megközelítését, az alábbi forrásanyagokban talál további információt:

• ADV180018 | A Microsoft útmutatója az L1TF-változatok mérsékléséhez

• Security Advisory Security Research Blog

• Kiszolgálói útmutató az L1 terminálhibához

A Hyper-Threading letiltásának lépései eltérnek az OEM-től az OEM-től, de általában a BIOS vagy a belső vezérlőprogram beállítási és konfigurációs eszközeinek részei.

A 64 bites ARM-processzorokat használó ügyfeleknek a belső vezérlőprogram támogatásáért az eszköz OEM-éhez kell fordulniuk, mert a CVE-2017-5715-öt enyhítő ARM64 operációsrendszer-védelem | Az elágazási célinjektálás (Spectre, Variant 2) működéséhez az eszköz operációs rendszereinek legújabb belsővezérlőprogram-frissítése szükséges.

További információért tekintse meg a következő biztonsági tanácsokat

• Az Intel biztonsági tanácsadója

• ADV190013 | A Microsoft útmutatója a mikroarchitekturális adatmintavétel biztonsági réseinek csökkentéséhez

További útmutatást a Windows útmutatójában talál a spekulatív végrehajtás oldalcsatorna biztonsági rései elleni védelemhez

A spekulatív végrehajtás oldalcsatorna biztonsági rései elleni védelemhez tekintse meg a Windows útmutatójában található útmutatást

Az Azure-ra vonatkozó útmutatásért tekintse meg ezt a cikket: Útmutatás a spekulatív végrehajtás oldalcsatornás biztonsági réseinek csökkentéséhez az Azure-ban.

A retpoline engedélyezésével kapcsolatos további információkért tekintse meg a Következő blogbejegyzést: A Spectre 2. változatának enyhítése a Windows retpoline-jával .

A biztonsági rés részleteiért tekintse meg a Microsoft biztonsági útmutatóját: CVE-2019-1125 | A Windows Kernel információfelfedés biztonsági rése.

Nem tudunk arról, hogy ez az információfelfedési biztonsági rés hatással lehet a felhőszolgáltatás infrastruktúrájára.

Amint tudomást szereztünk a problémáról, gyorsan dolgoztunk a megoldásán, és kiadtunk egy frissítést. Határozottan hiszünk a kutatókkal és az iparági partnerekkel kialakított szoros partnerségekben, hogy az ügyfelek biztonságosabbak legyenek, és augusztus 6., keddig nem tették közzé a részleteket, összhangban az összehangolt biztonságirés-közzétételi gyakorlatokkal.

További útmutatást a Windows útmutatójában talál a spekulatív végrehajtás oldalcsatorna biztonsági rései elleni védelemhez.

További útmutatást a Windows útmutatójában talál a spekulatív végrehajtás oldalcsatorna biztonsági rései elleni védelemhez.

További útmutatást az Intel tranzakciós szinkronizálási bővítmények (Intel TSX) képességeinek letiltására vonatkozó útmutatóban talál.

A külső gyártók ebben a cikkben említett termékeit a Microsofttól független vállalatok gyártják. A termékek teljesítményére vagy megbízhatóságára semmilyen vélelmezett vagy egyéb garanciát nem vállalunk.

Harmadik féltől származó kapcsolattartási adatokat adunk meg, hogy segítséget nyújtsunk a technikai támogatás megtalálásához. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. Nem garantáljuk a harmadik fél kapcsolattartási adatainak pontosságát.