Applies ToAzure Stack HCI Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012

Keisti datą

Keitimo nutraukimas

2023 m. balandžio 20 d.

  • Įtraukta MMIO registro informacija

2023 m. rugpjūčio 8 d.

  • Pašalintas turinys apie CVE-2022-23816, nes CVE numeris nenaudojamas

  • Skyriuje "Pažeidžiamumas" pridėta "Šakos tipų sumaišimas"

  • Įtraukta daugiau informacijos į CVE-2022-23825 | AMD CPU šakų tipų sumaišimas (BTC)" registro skyrius

2023 m. rugpjūčio 9 d.

  • Atnaujinta CVE-2022-23825 | AMD CPU šakų tipų sumaišimas (BTC)" registro skyrius

  • Pridėta "CVE-2023-20569 | AMD CPU atgalinio adreso numatymas" į skyrių "Suvestinė"

  • Pridėtas CVE-2023-20569 | AMD CPU atgalinio adreso numatymas" registro skyrius

2024 m. balandžio 9 d.

  • Pridėta CVE-2022-0001 | "Intel Branch History" įdėjimas

2024 m. balandžio 16 d.

  • Pridėtas skyrius "Kelių rizikos mažinimų įgalinimas"

Pažeidžiamumą

Šiame straipsnyje aptariami šie su spėjamu vykdymu susijusios spragos:

"Windows Update" taip pat pateiks "Internet Explorer" ir "Edge" mažinimų. Mes ir toliau tobulinsime šias pažeidžiamumą mažinančias priemones atsižvelgdami į šią pažeidžiamumo klasę.

Norėdami sužinoti daugiau apie šią pažeidžiamumų klasę, žr.

2019 m. gegužės 14 d. "Intel" paskelbė informaciją apie naują spekuliacinių vykdymo šalutinių kanalų spragų, vadinamų mikroarchitektūros duomenų atranka, poklasį ir dokumentuotą ADV190013 | Mikroarchitektūros duomenų atranka. Jiems buvo priskirti šie CVEs:

Svarbu: Šios problemos paveiks kitas sistemas, pvz., "Android", "Chrome", "iOS" ir "MacOS". Rekomenduojame klientams ieškoti patarimų iš šių pardavėjų.

"Microsoft" išleido naujinimus, kad padėtų sušvelninti šiuos pažeidžiamumus. Norint gauti visas galimas apsaugos priemones, reikalinga programinė-aparatinė įranga (mikrokodas) ir programinės įrangos naujinimai. Tai gali apimti mikrokodą iš įrenginio OĮG. Kai kuriais atvejais šių naujinimų diegimas turės įtakos veikimui. Taip pat veikėme siekdami apsaugoti savo debesies paslaugas. Primygtinai rekomenduojame įdiegti šiuos naujinimus.

Daugiau informacijos apie šią problemą žr. toliau pateiktu saugos patarimu ir naudokite scenarijumi pagrįstas rekomendacijas, kad nustatytumėte veiksmus, kurių reikia grėsmei sumažinti:

Pastaba: Rekomenduojame įdiegti visus naujausius naujinimus iš "Windows Update" prieš diegiant mikrokodo naujinimus.

2019 m. rugpjūčio 6 d. "Intel" išleido išsamią informaciją apie "Windows" branduolio informacijos atskleidimo pažeidžiamumą. Šis pažeidžiamumas yra "Spectre", "Variant 1" spėjamo vykdymo šalutinio kanalo pažeidžiamumo variantas ir buvo priskirtas CVE-2019-1125.

2019 m. liepos 9 d. išleidome "Windows" operacinės sistemos saugos naujinimus, kad padėtumėte išspręsti šią problemą. Atkreipkite dėmesį, kad iki 2019 m. rugpjūčio 6 d., antradienį, rugpjūčio 6 d., koordinuotai pramonei neatskleidėme šio poveikio mažinimo dokumentų viešai.

Klientai, kurie "Windows Update" įgalinti ir pritaikė 2019 m. liepos 9 d. išleistus saugos naujinimus, yra apsaugoti automatiškai. Nereikia papildomai konfigūruoti.

Pastaba: Šis pažeidžiamumas nereikalauja mikrokodo naujinimo iš įrenginio gamintojo (OĮG).

Norėdami gauti daugiau informacijos apie šį pažeidžiamumą ir taikomus naujinimus, žr. "Microsoft" saugos naujinimo vadovą:

2019 m. lapkričio 12 d. "Intel" paskelbė techninį patarimą dėl "Intel"® operacijų sinchronizavimo plėtinių ("Intel TSX") operacijos asinchroninio nutraukimo pažeidžiamumo, kuriam priskirtas CVE-2019-11135. "Microsoft" išleido naujinimus, skirtus sušvelninti šį pažeidžiamumą, ir OS apsaugos yra įjungtas pagal numatytuosius parametrus Windows Server 2019 bet išjungtas pagal numatytuosius parametrus Windows Server 2016 ir ankstesnių Windows Server OS leidimai.

2022 m. birželio 14 d. paskelbėme ADV220002 | "Microsoft" rekomendacijos dėl "Intel" procesoriaus MMIO pasenusių duomenų pažeidžiamumų ir priskirti šie CVEs: 

Rekomenduojami veiksmai

Turėtumėte imtis šių veiksmų, kad apsisaugotumėte nuo pažeidžiamumų:

  1. Taikykite visus galimus "Windows" operacinės sistemos naujinimus, įskaitant mėnesinius "Windows" saugos naujinimus.

  2. Taikykite galiojantį programinės-aparatinės įrangos (mikrokodo) naujinimą, kurį teikia įrenginio gamintojas.

  3. Įvertinkite riziką savo aplinkai pagal informaciją, pateiktą "Microsoft" saugos patarimuose: ADV180002, ADV180012, ADV190013 ir ADV220002, taip pat šiame žinių bazė straipsnyje pateiktą informaciją.

  4. Atlikite reikiamus veiksmus naudodami patarimus ir registro rakto informaciją, pateiktą šiame žinių bazė straipsnyje.

Pastaba: "Surface" klientai gaus mikrokodo naujinimą per "Windows Update". Naujausių "Surface" įrenginio programinės-aparatinės įrangos (mikrokodo) naujinimų sąrašą rasite KB4073065".

2022 m. liepos 12 d. paskelbėme CVE-2022-23825 | AMD CPU šakų tipų sumaišymas , kuris aprašo, kad pseudonimai šakų numatyme gali sukelti tam tikrų AMD procesorių nuspėti netinkamą šakos tipą. Ši problema gali sukelti informacijos atskleidimą.

Siekiant apsisaugoti nuo šio pažeidžiamumo, rekomenduojame įdiegti "Windows" naujinimus, išleistus 2022 m. liepos mėn. arba vėliau, tada imtis veiksmų, kaip reikalaujama CVE-2022-23825 ir registro rakto informacija, pateikta šiame žinių bazė straipsnyje.

Daugiau informacijos žr. AMD-SB-1037 saugos biuletenyje.

2023 m. rugpjūčio 8 d. paskelbėme CVE-2023-20569 | Atgalinio adreso numatymo priemonė (dar vadinama inception), kuri aprašo naują spekuliacinį šalutinių kanalų ataką, dėl kurios gali būti spekuliatyviai vykdomas užpuolikas valdomame adrese. Ši problema turi įtakos tam tikriems AMD procesoriams ir gali lemti informacijos atskleidimą.

Siekiant apsisaugoti nuo šio pažeidžiamumo, rekomenduojame įdiegti "Windows" naujinimus, kurių data yra 2023 m. rugpjūčio mėn. arba vėliau, tada imtis veiksmų, kaip reikalaujama CVE-2023-20569 ir registro rakto informacija, pateikta šiame žinių bazė straipsnyje.

Daugiau informacijos žr. AMD-SB-7005 saugos biuletenyje.

2024 m. balandžio 9 d. paskelbėme CVE-2022-0001 | "Intel Branch History" įdėjimas, kuris aprašo filialo istorijos įdėjimas (BHI), kuris yra konkrečios formos vidinio režimo BTI. Šis pažeidžiamumas atsiranda, kai pažeidėjas gali valdyti šakos retrospektyvą prieš pereidamas iš vartotojo į priežiūros režimą (arba iš VMX ne šakninio / svečio į šakninį režimą). Dėl šio manipuliavimo netiesioginis šakos numatymas gali pasirinkti konkretų netiesioginio šakos prognozės įrašą, o atskleidimo įtaisas, esantis numatytame tiksliniame objekte, bus laikinai vykdomas. Tai gali būti įmanoma, nes atitinkamoje šakų retrospektyvoje gali būti šakų, paimtų ankstesniuose saugos kontekstuose, ypač kitų prognozės režimų.

Rizikos mažinimo parametrai, skirti "Windows Server" ir "Azure Stack HCI"

Saugos patarimai (ADV) ir CVEs teikia informaciją apie pavojų, kurį kelia šie pažeidžiamumai. Jie taip pat padeda nustatyti pažeidžiamumą ir nustatyti numatytąją pažeidžiamumą mažinančių priemonių būseną "Windows Server" sistemose. Toliau pateiktoje lentelėje apibendrinami CPU mikrokodo reikalavimai ir numatytoji rizikos mažinimo būsena "Windows Server".

GYVENIMO APRAŠYMAS

Reikia CPU mikrokodo / programinės-aparatinės įrangos?

Rizikos mažinimo numatytoji būsena

CVE-2017-5753

Ne

Įgalinta pagal numatytuosius parametrus (nėra parinkties išjungti)

Papildomos informacijos ieškokite ADV180002

CVE-2017-5715

Taip

Išjungta pagal numatytuosius parametrus.

Daugiau informacijos žr . ADV180002 ir šiame KB straipsnyje apie taikomus registro rakto parametrus.

Pastaba Jei "Spectre Variant 2" (CVE-2017-5715) įgalintas "Retpoline" pagal numatytuosius nustatymus įrenginiuose, kuriuose veikia Windows 10 1809 ir naujesnė versija. Norėdami gauti daugiau informacijos apie "Retpoline", žr . "Spectre" 2 varianto švelninimas su "Retpoline" "Windows" tinklaraščio įraše.

CVE-2017-5754

Ne

"Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus."Windows Server 2016" ir ankstesnės versijos: išjungta pagal numatytuosius parametrus.

Papildomos informacijos ieškokite ADV180002 .

CVE-2018-3639

"Intel": taip

AMD: Ne

Išjungta pagal numatytuosius parametrus. Daugiau informacijos žr. ADV180012 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2018-11091

"Intel": taip

"Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus."Windows Server 2016" ir ankstesnės versijos: išjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. ADV190013 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2018-12126

"Intel": taip

"Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus."Windows Server 2016" ir ankstesnės versijos: išjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. ADV190013 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2018-12127

"Intel": taip

"Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus."Windows Server 2016" ir ankstesnės versijos: išjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. ADV190013 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2018-12130

"Intel": taip

"Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus."Windows Server 2016" ir ankstesnės versijos: išjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. ADV190013 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2019-11135

"Intel": taip

"Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus."Windows Server 2016" ir ankstesnės versijos: išjungta pagal numatytuosius parametrus.

Daugiau informacijos žr. CVE-2019-11135 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2022-21123 (MMIO ADV220002 dalis)

"Intel": taip

"Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus. "Windows Server 2016" ir ankstesnės versijos: išjungta pagal numatytuosius parametrus.* 

Daugiau informacijos žr. CVE-2022-21123 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2022-21125 (MMIO ADV220002 dalis)

"Intel": taip

"Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus. "Windows Server 2016" ir ankstesnės versijos: išjungta pagal numatytuosius parametrus.* 

Daugiau informacijos žr. CVE-2022-21125 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2022-21127 (MMIO ADV220002 dalis)

"Intel": taip

"Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus. "Windows Server 2016" ir ankstesnės versijos: išjungta pagal numatytuosius parametrus.* 

Daugiau informacijos žr. CVE-2022-21127 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2022-21166 (MMIO ADV220002 dalis)

"Intel": taip

"Windows Server 2019", "Windows Server 2022" ir "Azure Stack HCI": įgalinta pagal numatytuosius parametrus. "Windows Server 2016" ir ankstesnės versijos: išjungta pagal numatytuosius parametrus.* 

Daugiau informacijos žr. CVE-2022-21166 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2022-23825 (AMD CPU šakų tipų sumaištis)

AMD: Ne

Daugiau informacijos žr. CVE-2022-23825 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2023-20569 (AMD CPU atgalinio adreso numatymas)

AMD: taip

Daugiau informacijos žr. CVE-2023-20569 ir šiame straipsnyje apie taikomus registro rakto parametrus.

CVE-2022-0001

"Intel": ne

Išjungta pagal numatytuosius parametrus

Daugiau informacijos žr. CVE-2022-0001 ir šiame straipsnyje apie taikomus registro rakto parametrus.

* Vadovaukitės toliau pateiktoms "Meltdown" rizikos mažinimo rekomendacijomis.

Jei norite gauti visas galimas apsaugos nuo šių pažeidžiamumų, turite atlikti registro rakto pakeitimus, kad įgalintumėte šias pažeidžiamumą mažinančias priemones, kurios yra išjungtos pagal numatytuosius parametrus.

Šių mažinimų įgalinimas gali turėti įtakos našumui. Našumo efektų mastas priklauso nuo kelių veiksnių, pvz., konkretaus jūsų fizinio pagrindinio kompiuterio lustų rinkinio ir veikiančių darbo krūvių. Rekomenduojame įvertinti veikimo poveikį jūsų aplinkai ir atlikti reikiamus pakeitimus.

Jūsų serveriui kyla pavojus, jei jis yra vienoje iš šių kategorijų:

  • "Hyper-V" pagrindiniai kompiuteriai: būtina apsauga nuo VM ir VM iki pagrindinio kompiuterio atakų.

  • Nuotolinio darbalaukio tarnybų pagrindiniai kompiuteriai (RDSH): reikia apsaugos nuo vieno seanso iki kito seanso arba iš seanso į pagrindinį kompiuterį atakų.

  • Fiziniai pagrindiniai kompiuteriai arba virtualiosios mašinos, kuriose veikia nepatikimas kodas, pvz., konteineriai arba nepatikimi plėtiniai, skirti duomenų bazei, nepatikimas žiniatinklio turinys arba darbo krūviai, vykdantys kodą iš išorinių šaltinių. Tam reikia apsaugos nuo nepatikimų proceso į kitą arba nepatikimų proceso ir branduolio atakų.

Naudokite šiuos registro rakto parametrus, kad įgalintumėte mažinimą serveryje, ir iš naujo paleiskite įrenginį, kad pakeitimai įsigaliotų.

Pastaba: Pagal numatytuosius parametrus išjungtų rizikos mažinimo priemonių įjungimas gali turėti įtakos našumui. Faktinis veikimo poveikis priklauso nuo kelių veiksnių, pvz., konkretaus įrenginio lustų rinkinio ir veikiančių darbo krūvių.

Registro parametrai

Pateikiame šią registro informaciją, kad įgalintume rizikos mažinimus, kurie nėra įjungti pagal numatytuosius parametrus, kaip aprašyta saugos patarimuose (ADV) ir CVEs. Be to, teikiame registro rakto parametrus vartotojams, kurie nori išjungti rizikos mažinimą, kai taikoma "Windows" klientams.

SVARBU Šiame skyriuje, metode arba užduotyje yra veiksmų, kurie nurodo, kaip pakeisti registrą. Tačiau gali kilti rimtų problemų, jei netinkamai pakeisite registrą. Todėl įsitikinkite, kad atidžiai atliekate šiuos veiksmus. Norėdami papildomai apsaugoti, prieš pakeisdami registrą sukurkite atsarginę jo kopiją. Tada galite atkurti registrą, jei kyla problemų. Daugiau informacijos apie tai, kaip sukurti atsarginę registro kopiją ir atkurti registrą, ieškokite šiame "Microsoft" žinių bazės straipsnyje:

KB322756 Kaip sukurti atsarginę registro kopiją ir atkurti registrą sistemoje "Windows"

SVARBUPagal numatytuosius parametrus Retpoline sukonfigūruotas taip, jei "Spectre", "Variant 2 mitigation" (CVE-2017-5715) įjungta:

– "Retpoline" mažinimas įgalintas Windows 10 1809 ir naujesnėse "Windows" versijose.

- "Retpoline" mažinimas išjungtas "Windows Server 2019" ir naujesnėse "Windows Server" versijose.

Daugiau informacijos apie "Retpoline" konfigūraciją žr. "Spectre" 2 varianto su "Retpoline" sistemoje "Windows" švelninimas.

  • Norėdami įgalinti rizikos mažinimą CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) ir CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    Jei tai yra "Hyper-V" pagrindinis kompiuteris ir buvo pritaikyti programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualiąsias mašinas. Tai įgalina su programine-aparatine įranga susijusį rizikos mažinimą taikyti pagrindiniame kompiuteryje prieš paleidžiant VM. Todėl VM taip pat atnaujinamas, kai jie iš naujo.

    Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

  • Norėdami išjungti cve-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) ir CVE-2022-21123 mažinimus, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Pastaba: FeatureSettingsOverrideMask nustatymas į 3 yra tikslus tiek "įgalinti", tiek "išjungti" parametrus. (Daugiau informacijos apie registro raktus žr. skyriuje "DUK ".)

Norėdami išjungti 2 variantą: (CVE-2017-5715 | Branch Target Injection) mažinimas:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Norėdami įjungti 2 variantą: (CVE-2017-5715 | Branch Target Injection) mažinimas:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Pagal numatytuosius parametrus CVE-2017-5715 vartotojo ir branduolio apsauga išjungta AMD CPU. Klientai turi įgalinti rizikos mažinimą, kad gautų papildomą CVE-2017-5715 apsaugą.  Daugiau informacijos žr. "ADV180002" DUK #15.

Įgalinkite vartotojo ir branduolio apsaugą AMD procesoriuose kartu su kitomis CVE 2017-5715 apsaugos.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra "Hyper-V" pagrindinis kompiuteris ir buvo pritaikyti programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualiąsias mašinas. Tai įgalina su programine-aparatine įranga susijusį rizikos mažinimą taikyti pagrindiniame kompiuteryje prieš paleidžiant VM. Todėl VM taip pat atnaujinamas, kai jie iš naujo.

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Norėdami įgalinti poveikio mažinimą CVE-2018-3639 ("Speculative Store Bypass"), CVE-2017-5715 (Spectre Variant 2) ir CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra "Hyper-V" pagrindinis kompiuteris ir buvo pritaikyti programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualiąsias mašinas. Tai įgalina su programine-aparatine įranga susijusį rizikos mažinimą taikyti pagrindiniame kompiuteryje prieš paleidžiant VM. Todėl VM taip pat atnaujinamas, kai jie iš naujo.

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Norėdami išjungti CVE-2018-3639 ("Speculative Store Bypass") IR rizikos mažinimo priemones , skirtas CVE-2017-5715 (Spectre Variant 2) ir CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Pagal numatytuosius parametrus VARTOTOJŲ apsauga nuo branduolio CVE-2017-5715 išjungta AMD procesoriams. Klientai turi įgalinti rizikos mažinimą, kad gautų papildomą CVE-2017-5715 apsaugą.  Daugiau informacijos žr. " ADV180002" DUK #15.

Vartotojų apsaugos nuo branduolio įgalinimas AMD procesoriuose kartu su kitomis CVE 2017-5715 apsaugos ir CVE-2018-3639 ("Speculative Store Bypass") apsauga:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra "Hyper-V" pagrindinis kompiuteris ir buvo pritaikyti programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualiąsias mašinas. Tai įgalina su programine-aparatine įranga susijusį rizikos mažinimą taikyti pagrindiniame kompiuteryje prieš paleidžiant VM. Todėl VM taip pat atnaujinamas, kai jie iš naujo.

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Norėdami įgalinti pažeidžiamumą mažinančias priemones, skirtas "Intel" operacijų sinchronizavimo plėtiniams ("Intel TSX") operacijai asinchroninio nutraukimo pažeidžiamumui (CVE-2019-11135) ir mikroarchitektūros duomenų atrankai ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kartu su Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] variantais, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 ir CVE-2022-21166), įskaitant "Speculative Store Bypass Disable" (SSBD) [CVE-2018-3639 ] taip pat L1 terminalo gedimą (L1TF) [CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646] neišjungiant "Hyper-Threading":

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra "Hyper-V" pagrindinis kompiuteris ir buvo pritaikyti programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualiąsias mašinas. Tai įgalina su programine-aparatine įranga susijusį rizikos mažinimą taikyti pagrindiniame kompiuteryje prieš paleidžiant VM. Todėl VM taip pat atnaujinamas, kai jie iš naujo.

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Norėdami įgalinti pažeidžiamumą mažinančias priemones, skirtas "Intel" operacijų sinchronizavimo plėtiniams ("Intel TSX") operacijai asinchroninio nutraukimo pažeidžiamumui (CVE-2019-11135) ir mikroarchitektūros duomenų atrankai ( CVE-2018-11091, CVE-2018-12126 , CVE-20 18-12127 , CVE-2018-12130) kartu su Spectre [CVE-2017-5753 & CVE-2017-5715] ir Meltdown [CVE-2017-5754] variantai, įskaitant Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] taip pat L1 terminalo klaida (L1TF) [CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646], kai Hyper-Threading išjungta:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Jei įdiegta "Hyper-V" funkcija, įtraukite šį registro parametrą:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Jei tai yra "Hyper-V" pagrindinis kompiuteris ir buvo pritaikyti programinės-aparatinės įrangos naujinimai: Visiškai išjunkite visas virtualiąsias mašinas. Tai įgalina su programine-aparatine įranga susijusį rizikos mažinimą taikyti pagrindiniame kompiuteryje prieš paleidžiant VM. Todėl VM taip pat atnaujinamas, kai jie iš naujo.

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Norėdami išjungti pažeidžiamumą mažinančias priemones, skirtas "Intel" operacijų sinchronizavimo plėtiniams ("Intel TSX") operacijai asinchroninio nutraukimo pažeidžiamumui (CVE-2019-11135) ir mikroarchitektūros duomenų atrankai ( CVE-2018-11091, CVE-2018-12126 , CVE-20 18-12127 , CVE-2018-12130) kartu su Spectre [CVE-2017-5753 & CVE-2017-5715] ir Meltdown [CVE-2017-5754] variantai, įskaitant Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] taip pat L1 terminalo klaida (L1TF) [CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Paleiskite įrenginį iš naujo, kad įsigaliotų keitimai.

Norėdami įjungti RIZIKOS mažinimą CVE-2022-23825 AMD procesoriuose:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Kad būtų visiškai apsaugoti, klientams taip pat gali tekti išjungti Hyper-Threading (dar vadinamą vienalaikiu kelių gijų gija (SMT).) Instrukcijas, kaip apsaugoti "Windows" įrenginius, rasite KB4073757.

Norėdami įjungti RIZIKOS mažinimą CVE-2023-20569 AMD procesoriuose:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Norėdami įjungti rizikos mažinimą CVE-2022-0001 "Intel" procesoriuose:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Kelių rizikos mažinimo priemonių įgalinimas

Norėdami įgalinti kelis mažinimus, turite įtraukti REG_DWORD reikšmę kiekvieną rizikos mažinimą kartu.

Toliau pateikiami keli pavyzdžiai.

Operacijos asinchroninio nutraukimo pažeidžiamumo, mikroarchitektūros duomenų pavyzdžių rinkimo, "Spectre", "Meltdown", MMIO, "Speculative Store Bypass Disable" (SSBD) ir L1 terminalo gedimo (L1TF) mažinimas su išjungtu Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

PASTABA 8264 (dešimtainiu tikslumu) = 0x2048 (heksu)

Norėdami įjungti BHI kartu su kitais esamais parametrais, turėsite naudoti dabartinę reikšmę OR bitais su 8 388 608 (0x800000). 

0x800000 ARBA 0x2048(8264 dešimtaine išraiška) ir ji taps 8 396 872(0x802048). Tas pats su FeatureSettingsOverrideMask.

"Mitigation for CVE-2022-0001" "Intel" procesoriais

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Suderintas mažinimas

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Operacijos asinchroninio nutraukimo pažeidžiamumo, mikroarchitektūros duomenų pavyzdžių rinkimo, "Spectre", "Meltdown", MMIO, "Speculative Store Bypass Disable" (SSBD) ir L1 terminalo gedimo (L1TF) mažinimas su išjungtu Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

"Mitigation for CVE-2022-0001" "Intel" procesoriais

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Suderintas mažinimas

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Tikrinimas, ar įgalintos apsaugos

Siekdami patikrinti, ar įjungta apsauga, paskelbėme "PowerShell" scenarijų, kurį galite paleisti savo įrenginiuose. Įdiekite ir vykdykite scenarijų vienu iš toliau nurodytų būdų.

Įdiekite "PowerShell" modulį:

PS> Install-Module SpeculationControl

Paleiskite "PowerShell" modulį, kad įsitikintumėte, jog įjungta apsauga:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Įdiekite "PowerShell" modulį iš "Technet ScriptCenter":

  1. Eikite į https://aka.ms/SpeculationControlPS .

  2. Atsisiųskite SpeculationControl.zip į vietinį aplanką.

  3. Išskleiskite turinį į vietinį aplanką. Pavyzdžiui: C:\ADV180002

Paleiskite "PowerShell" modulį, kad įsitikintumėte, jog įjungta apsauga:

Paleiskite "PowerShell", tada naudodami ankstesnį pavyzdį nukopijuokite ir paleiskite šias komandas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Išsamų "PowerShell" scenarijaus išvesties paaiškinimą žr. KB4074629

Dažnai užduodami klausimai

Siekiant išvengti neigiamos įtakos klientų įrenginiams, "Windows" saugos naujinimai, kurie buvo išleisti 2018 m. sausio ir vasario mėn., buvo siūlomi ne visiems klientams. Daugiau informacijos žr. KB407269 .

Mikrokodas pristatomas naudojant programinės-aparatinės įrangos naujinimą. Pasitarkite su OĮG apie programinės-aparatinės įrangos versiją, kurioje yra tinkamas jūsų kompiuterio naujinimas.

Yra keli kintamieji, kurie turi įtakos našumui, pradedant nuo sistemos versijos iki veikiančių darbo krūvių. Kai kuriose sistemose veikimo poveikis bus nereikšmingas. Kitiems tai bus labai svarbu.

Rekomenduojame įvertinti sistemos veikimo poveikį ir, jei reikia, pakoreguoti.

Be šiame straipsnyje pateikiamų nurodymų dėl virtualiųjų mašinų, kreipkitės į paslaugų teikėją ir įsitikinkite, kad jūsų virtualiąsias mašinas naudojantys kompiuteriai yra tinkamai apsaugoti.Jei naudojate "Windows Server" virtualiąsias mašinas, veikiančias "Azure", žr . Patarimai, kaip sumažinti su spėjamu vykdymu susijusių šalutinių kanalų pažeidžiamumą "Azure ". Jei reikia patarimų, kaip naudoti "Azure Update Management" siekiant sušvelninti šią svečio VM problemą, žr. KB4077467.

Naujinimai, kurie buvo išleisti "Windows Server" konteinerio atvaizdams, skirtiems "Windows Server 2016" ir "Windows 10" 1709 versijai, apima pažeidžiamumą mažinančias priemones. Nereikia papildomos konfigūracijos.Pastaba Vis tiek turite įsitikinti, kad pagrindinis kompiuteris, kuriame veikia šie konteineriai, yra sukonfigūruotas įgalinti atitinkamus mažinimus.

Ne, diegimo užsakymas nesvarbus.

Taip, turite paleisti iš naujo po programinės-aparatinės įrangos (mikrokodo) naujinimo ir dar kartą po sistemos naujinimo.

Toliau pateikta išsami informacija apie registro raktus:

FeatureSettingsOverride – tai rastras, kuris perrašo numatytąjį parametrą ir valdiklius, kurie bus išjungti. Bit 0 valdo rizikos mažinimą, kuris atitinka CVE-2017-5715. Bitas 1 valdo rizikos mažinimą, kuris atitinka CVE-2017-5754. Bitai nustatyti į 0 , kad būtų įgalintas rizikos mažinimas, ir į 1 išjungti rizikos mažinimą.

FeatureSettingsOverrideMask – tai rastro šablonas, naudojamas kartu su FeatureSettingsOverride.  Tokiu atveju naudojame reikšmę 3 (išreikštą 11 dvejetainių skaičių arba 2 bazinių skaičių sistemoje), kad nurodytume pirmuosius du bitus, atitinkančius galimus mažinimus. Šis registro raktas nustatytas į 3 ir įjungti arba išjungti rizikos mažinimą.

MinVmVersionForCpuBasedMitigations skirta "Hyper-V" pagrindiniams kompiuteriams. Šis registro raktas apibrėžia minimalią VM versiją, reikalingą norint naudoti atnaujintas programinės-aparatinės įrangos galimybes (CVE-2017-5715). Nustatykite 1,0 , kad apimtų visas VM versijas. Atkreipkite dėmesį, kad šios registro reikšmės bus nepaisoma (gerybinė) ne "Hyper-V" pagrindiniuose kompiuteriuose. Daugiau informacijos žr . Svečio virtualiųjų mašinų apsauga nuo CVE-2017-5715 (šakos tikslinis įdėjimas).

Taip, jei šie registro parametrai taikomi prieš diegiant su 2018 m. sausio mėn. susijusias pataisas, nėra jokio šalutinio poveikio.

Taip, "Windows Server 2016 Hyper-V" pagrindiniams kompiuteriams, kurie dar neturi pasiekiamo programinės-aparatinės įrangos naujinimo, paskelbėme alternatyvias rekomendacijas, kurios gali padėti sumažinti VM iki virtualiosios mašinos arba virtualiosios mašinos pagrindinių atakų. Žr. Alternatyvi "Windows Server 2016 Hyper-V" pagrindinių kompiuterių apsauga nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų .

Tik saugos naujinimai nėra kaupiamieji. Atsižvelgiant į jūsų operacinės sistemos versiją, gali tekti įdiegti kelis saugos naujinimus, kad būtų galima užtikrinti visišką apsaugą. Paprastai klientai turės įdiegti 2018 m. sausio, vasario, kovo ir balandžio mėn. naujinimus. Sistemoms, kuriose yra AMD procesorių, reikia papildomo naujinimo, kaip parodyta toliau pateiktoje lentelėje:

Operacinės sistemos versija

Saugos naujinimas

"Windows 8".1", "Windows Server 2012 R2"

KB4338815 – mėnesio naujinimų paketas

KB4338824 – tik saugos

"Windows 7 SP1", "Windows Server 2008 R2" SP1 arba "Windows Server 2008 R2" SP1 ("Server Core" diegimas)

KB4284826 – mėnesio naujinimų paketas

KB4284867 – tik sauga

Windows Server 2008 SP2

KB4340583 – saugos naujinimas

Rekomenduojame įdiegti tik saugos naujinimus išleidimo tvarka.

Pastaba: Ankstesnėje šių DUK versijoje neteisingai nurodyta, kad vasario mėn. tik saugos naujinime buvo saugos pataisos, kurios buvo išleistos sausio mėn. Tiesą sakant, tai nėra.

Ne. Saugos naujinimo KB4078130 buvo konkreti pataisa, skirta išvengti neprognozuojamo sistemos veikimo, efektyvumo problemų ir netikėto paleidimo iš naujo įdiegus mikrokodą. Saugos naujinimų taikymas "Windows" kliento operacinėse sistemose įgalina visus tris mažinimus. "Windows Server" operacinėse sistemose vis tiek turite įgalinti mažinimą atlikus tinkamus testus. Daugiau informacijos žr. KB4072698.

Ši problema buvo išspręsta KB4093118.

2018 m. vasario mėn. "Intel" paskelbė , kad užbaigė savo tikrinimus ir pradėjo išleisti mikrokodą naujesnėms CPU platformoms. "Microsoft" pateikia "Intel" patvirtintus mikrokodo naujinimus, susijusius su "Spectre Variant 2 Spectre Variant 2" (CVE-2017-5715 | Šakų tikslinis įdėjimas). KB4093836 pateikiami konkretūs žinių bazė straipsniai pagal "Windows" versiją. Kiekviename konkrečiame KB straipsnyje pateikiami galimi "Intel" mikrokodo naujinimai pagal CPU.

2018  m. sausio 11 d. "Intel" pranešė apie problemas neseniai išleistame mikrokodo, kuris buvo skirtas adresuoti "Spectre" 2 variantą (CVE-2017-5715 | Šakų tikslinis įdėjimas). Konkrečiai "Intel" pažymėjo, kad šis mikrokodas gali sukelti "didesnį nei tikėtasi perkrovimą ir kitą nenuspėjamą sistemos veikimą" ir kad šie scenarijai gali sukelti "duomenų praradimą arba sugadinimą."Mūsų patirtis yra ta, kad sistemos nestabilumas gali sukelti duomenų praradimą ar sugadinimą tam tikromis aplinkybėmis. Sausio 22 d. "Intel" rekomendavo klientams sustabdyti dabartinės mikrokodo versijos diegimą paveiktuose procesoriuose, kol "Intel" atlieka papildomus atnaujinto sprendimo testus. Suprantame, kad "Intel" toliau tiria dabartinės mikrokodo versijos galimą poveikį. Raginame klientus nuolat peržiūrėti rekomendacijas, kad būtų galima informuoti apie savo sprendimus.

Kol "Intel" tikrina, atnaujina ir diegia naują mikrokodą, pateikiame ne juostos (OOB) naujinimą , KB4078130, kuris išjungia tik poveikio sumažinimą dėl CVE-2017-5715. Tikrinant aptiktas šis naujinimas, kad būtų išvengta aprašyto veikimo. Visą įrenginių sąrašą rasite mikrokodo peržiūros rekomendacijose iš "Intel". Šis naujinimas taikomas "Windows 7" 1 pakeitimų paketui (SP1), "Windows 8".1" ir visoms Windows 10 versijoms , tiek klientui, tiek serveriui. Jei naudojate paveiktą įrenginį, šį naujinimą galima taikyti atsisiunčiant jį iš "Microsoft Update" katalogo svetainės. Šio paketo turinio taikymas išjungia tik rizikos mažinimą dėl CVE-2017-5715.

Šiuo metu nėra žinomų ataskaitų, nurodančių, kad šis "Spectre" 2 variantas (CVE-2017-5715 | "Branch Target Injection") buvo naudojamas atakoms klientams. Rekomenduojame, kai reikia, "Windows" vartotojams iš naujo įjungti poveikio mažinimą dėl CVE-2017-5715, kai "Intel" praneša, kad jūsų įrenginyje buvo išspręstas šis neprognozuojamas sistemos veikimas.

2018 m. vasario mėn. "Intel"paskelbė , kad užbaigė savo tikrinimus ir pradėjo išleisti mikrokodą naujesnėms CPU platformoms. "Microsoft" pateikia "Intel" patvirtintus mikrokodo naujinimus, susijusius su "Spectre Variant 2 Spectre Variant 2" (CVE-2017-5715 | Šakų tikslinis įdėjimas). KB4093836 pateikiami konkretūs žinių bazė straipsniai pagal "Windows" versiją. KB sąraše pateikiami "Intel" mikrokodo naujinimai pagal CPU.

Daugiau informacijos žr. AMD saugos Naujinimai ir AMD techninę dokumentaciją: Architektūros gairės dėl netiesioginio šakų valdymo. Jas galima gauti iš OĮG programinės-aparatinės įrangos kanalo.

Pateikiame "Intel" patvirtintus mikrokodo naujinimus, susijusius su "Spectre Variant 2" (CVE-2017-5715 | Šakų tikslinis įdėjimas). Norėdami gauti naujausius "Intel" mikrokodo naujinimus per ""Windows Update"", klientai turi įdiegti "Intel" mikrokodą įrenginiuose, kuriuose veikia Windows 10 operacinė sistema, prieš atnaujindami versiją į Windows 10 2018 m. balandžio mėn. naujinimą (1803 versiją).

Mikrokodo naujinimas taip pat pasiekiamas tiesiogiai iš "Microsoft Update" katalogo, jei jis nebuvo įdiegtas įrenginyje prieš atnaujinant sistemą. "Intel" mikrokodas pasiekiamas per ""Windows Update"", "Windows Server Update Services" (WSUS) arba "Microsoft Update" katalogą. Daugiau informacijos ir atsisiuntimo instrukcijas žr. KB4100347.

Žr. ADV180012 | skyrius   "Rekomenduojami veiksmai" ir "DUK""Microsoft" rekomendacijos dėl "Speculative Store Bypass".

Norint patikrinti SSBD būseną, buvo atnaujintas " PowerShell" scenarijus Get-SpeculationControlSettings , kad aptiktų paveiktus procesorius, SSBD operacinės sistemos naujinimų būseną ir procesoriaus mikrokodo būseną, jei taikoma. Norėdami gauti daugiau informacijos ir gauti "PowerShell" scenarijų, žr. KB4074629.

2018 m. birželio 13 d. buvo paskelbta apie papildomą pažeidžiamumą, kuris apima šalutinių kanalų spekuliacinį vykdymą, vadinamą "Lazy FP State Restore", ir priskirtas CVE-2018-3665 . Informacijos apie šį pažeidžiamumą ir rekomenduojamus veiksmus ieškokite saugos patarime ADV180016 | "Microsoft" rekomendacijos dėl "Lazy FP State Restore" .

Pastaba Nėra būtinų konfigūracijos (registro) parametrų, skirtų "Lazy Restore FP Restore".

"Bounds Check Bypass Store" (BCBS) buvo atskleista 2018 m. liepos 10 d. ir priskirta CVE-2018-3693. Mes laikome, kad BCBS priklauso tai pačiai spragų klasei kaip "Bounds Check Bypass" (1 variantas). Šiuo metu nežinome apie jokius BCBS egzempliorius savo programinėje įrangoje. Tačiau mes ir toliau tiriame šią pažeidžiamumo klasę ir dirbsime su pramonės partneriais, kad galėtume išleisti pažeidžiamumą mažinančias priemones, kaip reikalaujama. Raginame tyrėjus pateikti atitinkamas išvadas į "Microsoft Speculative Execution Side Channel bounty" programą, įskaitant bet kokius išnaudojamus BCBS egzempliorius. Programinės įrangos kūrėjai turėtų peržiūrėti kūrėjo rekomendacijas, kurios buvo atnaujintos BCBS C++ kūrėjų rekomendacijose dėl su spėjamu vykdymu susijusių šalutinių kanalų 

2018 m. rugpjūčio 14 d. paskelbta apie L1 terminalo gedimą (L1TF) ir priskirti keli CVEs. Šios naujos su spėjamu vykdymu susijusios šalutinių kanalų spragos gali būti naudojamos atminties turiniui skaityti per patikimas ribas ir, jei išnaudojamos, gali lemti informacijos atskleidimą. Yra keli vektoriai, pagal kuriuos programišius gali sukelti pažeidžiamumus, atsižvelgiant į sukonfigūruotą aplinką. L1TF turi įtakos "Intel Core®"® procesoriams ir "Intel Xeon®"® procesoriams.

Norėdami gauti daugiau informacijos apie šį pažeidžiamumą ir išsamų peržiūrėti paveiktus scenarijus, įskaitant "Microsoft" požiūrį į L1TF, žr. šiuos išteklius:

Veiksmai, kaip išjungti Hyper-Threading skiriasi nuo OĮG iki OĮG, bet paprastai yra BIOS arba programinės-aparatinės įrangos sąrankos ir konfigūravimo įrankių dalis.

Klientai, naudojantys 64 bitų ARM procesorius, turėtų kreiptis į įrenginio OĮG dėl programinės-aparatinės įrangos palaikymo, nes ARM64 operacinės sistemos apsaugos sumažina CVE-2017-5715 | Branch target injection (Spectre, Variant 2) require the latest firmware update from device OĮG to effect.

Norėdami gauti daugiau informacijos apie "Retpoline" įgalinimą, žr. mūsų tinklaraščio įrašą: "Spectre" 2 varianto švelninimas naudojant "Retpoline" sistemoje "Windows" .

Daugiau informacijos apie šį pažeidžiamumą žr. "Microsoft" saugos vadove: CVE-2019-1125 | "Windows" branduolio informacijos atskleidimo pažeidžiamumas.

Mes nežinome apie jokius šios informacijos atskleidimo pažeidžiamumus, kurie daro įtaką mūsų debesies tarnybų infrastruktūrai.

Kai tik sužinome apie šią problemą, mes greitai dirbome, kad išstengtume ją išspręsti ir išleistume naujinimą. Esame tvirtai įsitikinę, kad reikia glaudžiai bendradarbiauti su tyrėjais ir pramonės partneriais, kad klientai būtų saugesni, ir nepaskelbėme išsamios informacijos iki antradienį, rugpjūčio 6 d., pagal koordinuotą pažeidžiamumo atskleidimo praktiką.

Nuorodos

Šiame straipsnyje aptariamus trečiųjų šalių produktus gamina „Microsoft‟ nepriklausančios įmonės. Dėl šių produktų našumo ar patikimumo neteikiame jokių numanomų ar kitokių garantijų.

Teikiame trečiųjų šalių kontaktinę informaciją, kad galėtumėte lengviau rasti techninės pagalbos. Ši kontaktinė informacija gali būti keičiama be pranešimo. Negarantuojame, kad ši trečiosios šalies kontaktinė informacija bus tiksli.

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.