Zmeniť dátum |
Zrušenie zmeny |
---|---|
20. apríla 2023 |
|
8. augusta 2023 |
|
9. augusta 2023 |
|
9. apríla 2024 |
|
16. apríla 2024 |
|
Zhrnutie
Tento článok obsahuje pokyny pre novú triedu mikroarchitekturálnych a špekulatívnych úloh na strane kanála kremíka, ktoré ovplyvňujú mnohé moderné procesory a operačné systémy. Patria sem intel, AMD a ARM. Konkrétne podrobnosti o týchto zraniteľnostiach založených na kremíku nájdete v nasledujúcich ADV (bezpečnostné poradenstvo) a CVE (Bežné zraniteľnosti a expozície):
-
ADV180002 | Pokyny na zmiernenie špekulatívnych chýb na strane kanála vykonávania
-
ADV180012 | Pokyny spoločnosti Microsoft na špekulatívne obídenie obchodu
-
ADV180013 | Microsoft Sprievodný materiál pre Rogue System Register Čítať
-
ADV180016 | Pokyny spoločnosti Microsoft na obnovenie stavu lenivého FP
-
ADV190013 | Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities
Dôležité: Tieto problémy sa týkajú aj iných operačných systémov, ako napríklad Android, Chrome, iOS a MacOS. Odporúčame zákazníkom, aby hľadali pomoc od týchto dodávateľov.
Vydali sme niekoľko aktualizácií, ktoré pomáhajú zmierniť tieto chyby. Podnikli sme aj kroky na zabezpečenie našich cloudových služieb. Ďalšie podrobnosti nájdete v nasledujúcich častiach.
Zatiaľ sme nedostali žiadne informácie, ktoré by naznačovali, že tieto chyby boli použité na útok na zákazníkov. Úzko spolupracujeme s partnermi v odvetví vrátane výrobcov čipov, hardvérových výrobcov OEM a dodávateľov aplikácií na ochranu zákazníkov. Ak chcete získať všetky dostupné ochrany, vyžadujú sa aktualizácie firmvéru (mikrokódu) a softvéru. Patria sem mikrokódy od výrobcov OEM zariadenia a v niektorých prípadoch aktualizácie antivírusového softvéru.
Zraniteľnosti
Tento článok sa zaoberá nasledujúcimi špekulatívnymi chybami spustenia:
Windows Update bude poskytovať aj obmedzenia rizík pre Internet Explorer a Edge. Tieto obmedzenia rizík budeme naďalej vylepšovať v porovnaní s touto triedou zraniteľných miest.
Ďalšie informácie o tejto triede chýb nájdete v téme
14. mája 2019 spoločnosť Intel zverejnila informácie o novej podtriede špekulatívneho spustenia chýb na strane kanála známych ako mikroarchitekturálne vzorkovanie údajov a zdokumentované v ADV190013 | Vzorkovanie mikroarchitekturálnych údajov. Boli im priradené nasledujúce CVE:
-
CVE-2019-11091 | Pamäť MDSUM (Microarchitectural Data Sampling Uncacheable Memory)
-
CVE-2018-12126 | Vzorkovanie údajov medzipamäte úložiska mikroarchitektúr (MSBDS)
-
CVE-2018-12127 | Vzorkovanie údajov medzipamätenej mikroarchitektúrovej výplne (MFBDS)
-
CVE-2018-12130 | Vzorkovanie údajov o prenose mikroarchitektúrového zaťaženia (MLPDS)
Dôležité: Tieto problémy sa prejavia v iných systémoch, ako sú napríklad Android, Chrome, iOS a MacOS. Odporúčame zákazníkom, aby hľadali pomoc od týchto dodávateľov.
Spoločnosť Microsoft vydala aktualizácie, ktoré pomáhajú zmierniť tieto zraniteľné miesta. Ak chcete získať všetky dostupné ochrany, vyžadujú sa aktualizácie firmvéru (mikrokódu) a softvéru. Môže to zahŕňať mikrokód z OEM zariadení. V niektorých prípadoch bude mať inštalácia týchto aktualizácií vplyv na výkon. Konali sme aj na zabezpečenie našich cloudových služieb. Dôrazne odporúčame nasadiť tieto aktualizácie.
Ďalšie informácie o tomto probléme nájdete v nasledujúcom upozornení na zabezpečenie a pomocou scenárového sprievodného materiálu na určenie akcií potrebných na zmiernenie hrozby:
-
ADV190013 | Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities
-
Pokyny systému Windows na ochranu pred špekulatívnymi zraniteľnosťami vedľajšieho kanála spustenia
Poznámka: Pred inštaláciou aktualizácií mikrokódu odporúčame nainštalovať všetky najnovšie aktualizácie z Windows Update.
6. augusta 2019 spoločnosť Intel zverejnila podrobnosti o zraniteľnosti pri zverejňovaní informácií o jadre systému Windows. Táto zraniteľnosť je variant Spectre, Variant 1 špekulatívne spustenie side-kanál zraniteľnosť a bol pridelený CVE-2019-1125.
9. júla 2019 sme vydali aktualizácie zabezpečenia pre operačný systém Windows, aby sme pomohli zmierniť tento problém. Upozorňujeme, že sme toto zmiernenie verejne zdokumentovali až do koordinovaného zverejnenia v odvetví v utorok 6. augusta 2019.
Zákazníci, ktorí Windows Update povolili a použili aktualizácie zabezpečenia vydané 9. júla 2019, sú automaticky chránení. Nie je potrebná žiadna ďalšia konfigurácia.
Poznámka: Toto nedostatočné zabezpečenie nevyžaduje aktualizáciu mikrokódov od výrobcu zariadenia (OEM).
Ďalšie informácie o tomto zraniteľnosti a príslušných aktualizáciách nájdete v príručke k aktualizácii zabezpečenia spoločnosti Microsoft:
12. novembra 2019 spoločnosť Intel zverejnila technické poradenstvo v oblasti® rozšírenia transakcií synchronizácie intel (Intel TSX) Transaction Asynchronous Abort vulnerability, ktoré má priradené CVE-2019-11135. Spoločnosť Microsoft vydala aktualizácie, ktoré pomáhajú zmierniť túto zraniteľnosť a ochrany operačného systému sú predvolene povolené pre Windows Server 2019, ale predvolene vypnuté pre vydania Windows Servera 2016 a starších operačných systému Windows Server.
14. júna 2022 sme publikovali ADV220002 | Pokyny spoločnosti Microsoft týkajúce sa zraniteľností údajov mmia zastaraných procesora Intel a priradených týchto CVE:
-
CVE-2022-21123 | Čítanie údajov zdieľanej medzipamäte (SBDR)
-
CVE-2022-21125 | Vzorkovanie údajov zdieľanej medzipamäte (SBDS)
Odporúčané akcie
Na ochranu pred zraniteľnosťami by ste mali vykonať nasledujúce akcie:
-
Použite všetky dostupné aktualizácie operačného systému Windows vrátane mesačných aktualizácií zabezpečenia Windowsu.
-
Použite príslušnú aktualizáciu firmvéru (mikrokódu), ktorú poskytuje výrobca zariadenia.
-
Okrem informácií uvedených v tomto vedomostná databáza článku vyhodnoťte riziko pre vaše prostredie na základe informácií, ktoré sú k dispozícii na základe bezpečnostných poradcov spoločnosti Microsoft: ADV180002, ADV180012, ADV190013 a ADV220002.
-
Vykonajte akciu podľa potreby pomocou poradcov a informácií o kľúči databázy Registry, ktoré sú uvedené v tomto vedomostná databáza článku.
Poznámka: Zákazníci zariadenia Surface dostanú aktualizáciu mikrokódu prostredníctvom Windows Update. Zoznam najnovších aktualizácií firmvéru zariadenia Surface (mikrokód) nájdete v téme KB4073065.
12. júla 2022 sme publikovali CVE-2022-23825 | Zmätok typu vetvy procesora AMD , ktorý popisuje, že aliasy v prediktore vetvy môžu spôsobiť, že určité procesory AMD predpovedajú nesprávny typ vetvy. Tento problém môže potenciálne viesť k zverejneniu informácií.
Na ochranu pred týmto rizikom odporúčame nainštalovať aktualizácie Windowsu, ktoré sú datované dňa alebo po júli 2022, a potom vykonať kroky podľa potreby CVE-2022-23825 a informácie o kľúči databázy Registry, ktoré sú uvedené v tomto vedomostná databáza článku.
Ďalšie informácie nájdete v bulletine o zabezpečení AMD-SB-1037 .
8. augusta 2023 sme publikovali CVE-2023-20569 | Prediktor spiatočnej adresy (známy aj ako Počiatok), ktorý popisuje nový špekulatívny útok bočného kanála, ktorý môže mať za následok špekulatívne vykonanie na adrese kontrolovanej útočníkom. Tento problém sa týka niektorých procesorov AMD a môže potenciálne viesť k zverejneniu informácií.
Na ochranu pred týmto rizikom odporúčame nainštalovať aktualizácie Windowsu, ktoré sú datované v auguste 2023 alebo po jeho skončení, a potom vykonať akcie podľa požiadaviek CVE-2023-20569 a informácií o kľúčoch databázy Registry, ktoré sú uvedené v tomto vedomostná databáza článku.
Ďalšie informácie nájdete v bulletine o zabezpečení AMD-SB-7005 .
9. apríla 2024 sme publikovali CVE-2022-0001 | Intel Branch History Injection, ktorá popisuje vloženie histórie pobočky (BHI), čo je špecifická forma interného BTI. Toto nedostatočné zabezpečenie sa vyskytuje, keď útočník môže manipulovať s históriou vetvy pred prechodom z používateľa do režimu dohľadu (alebo z VMX non-root/hosť do koreňového režimu). Táto manipulácia by mohla spôsobiť, že nepriamy prediktor vetvy vyberie konkrétnu položku prediktora pre nepriamu vetvu a miniaplikácia zverejňovania v predpovedanom cieli sa prechodne spustí. Môže to byť možné, pretože príslušná história vetvy môže obsahovať vetvy v predchádzajúcich kontextoch zabezpečenia, a najmä iné režimy prediktora.
Nastavenia obmedzenia rizík pre Windows Server a Azure Stack HCI
Bezpečnostné poradenstvo (ADV) a CVE poskytujú informácie o riziku, ktoré predstavujú tieto zraniteľné miesta. Pomáhajú tiež identifikovať zraniteľné miesta a identifikovať predvolený stav zmiernení rizík pre systémy Windows Server. Nasledujúca tabuľka obsahuje súhrn požiadaviek na mikrokód procesora a predvolený stav zmiernení rizík na Windows Serveri.
CVE |
Vyžaduje sa mikrokód procesora/firmvér procesora? |
Stav predvoleného obmedzenia rizík |
---|---|---|
Nie |
Predvolene povolené (bez možnosti vypnutia) Ďalšie informácie nájdete v ADV180002 |
|
Áno |
Predvolene vypnuté. Ďalšie informácie nájdete v ADV180002 a v tomto článku databázy KB nájdete príslušné nastavenia kľúča databázy Registry. Poznámka Funkcia Retpoline je predvolene povolená pre zariadenia s Windows 10 verzie 1809 a novšej, ak je povolené spectre variant 2 (CVE-2017-5715). Pre viac informácií o "Retpoline", postupujte po zmierňujúce Spectre variant 2 s Retpoline na Windows blog post. |
|
Nie |
Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené. Windows Server 2016 a staršie verzie: Predvolene vypnuté.Ďalšie informácie nájdete v ADV180002 . |
|
Intel: Áno AMD: Nie |
Predvolene vypnuté. Ďalšie informácie nájdete v ADV180012 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
|
Intel: Áno |
Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené. Windows Server 2016 a staršie verzie: Predvolene vypnuté.Ďalšie informácie nájdete v ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
|
Intel: Áno |
Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené. Windows Server 2016 a staršie verzie: Predvolene vypnuté.Ďalšie informácie nájdete v ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
|
Intel: Áno |
Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené. Windows Server 2016 a staršie verzie: Predvolene vypnuté.Ďalšie informácie nájdete v ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
|
Intel: Áno |
Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené. Windows Server 2016 a staršie verzie: Predvolene vypnuté.Ďalšie informácie nájdete v ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
|
Intel: Áno |
Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené. Windows Server 2016 a staršie verzie: Predvolene vypnuté.Ďalšie informácie nájdete v CVE-2019-11135 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
|
CVE-2022-21123 (súčasť MMIO ADV220002) |
Intel: Áno |
Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené. Windows Server 2016 a staršie verzie: Predvolene vypnuté.*Ďalšie informácie nájdete v CVE-2022-21123 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
CVE-2022-21125 (súčasť MMIO ADV220002) |
Intel: Áno |
Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené. Windows Server 2016 a staršie verzie: Predvolene vypnuté.*Ďalšie informácie nájdete v CVE-2022-21125 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
CVE-2022-21127 (súčasť MMIO ADV220002) |
Intel: Áno |
Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené. Windows Server 2016 a staršie verzie: Predvolene vypnuté.*Ďalšie informácie nájdete v CVE-2022-21127 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
CVE-2022-21166 (súčasť MMIO ADV220002) |
Intel: Áno |
Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené. Windows Server 2016 a staršie verzie: Predvolene vypnuté.*Ďalšie informácie nájdete v CVE-2022-21166 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
CVE-2022-23825 (zmätok typu vetvy procesora AMD) |
AMD: Nie |
Ďalšie informácie nájdete v cve-2022-23825 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
CVE-2023-20569 (Prediktor návratovej adresy procesora AMD) |
AMD: Áno |
Ďalšie informácie nájdete v cve-2023-20569 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
Intel: Nie |
Predvolene vypnuté Ďalšie informácie nájdete v cve-2022-0001 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry. |
* Postupujte podľa pokynov na obmedzenie rizík pre zrútenie nižšie.
Ak chcete získať všetky dostupné ochrany proti týmto rizikám, musíte vykonať kľúčové zmeny databázy Registry, aby ste povolili tieto obmedzenia rizík, ktoré sú predvolene zakázané.
Povolenie týchto zmiernení môže ovplyvniť výkon. Rozsah vplyvov výkonu závisí od viacerých faktorov, ako je napríklad špecifická čipová súprava vo fyzickom hostiteľskom systéme a spustené vyťaženia. Odporúčame vyhodnotiť vplyvy na výkon vášho prostredia a vykonať potrebné úpravy.
Váš server je ohrozený zvýšeným rizikom, ak sa nachádza v niektorej z nasledujúcich kategórií:
-
Hyper-V hostitelia: Vyžaduje ochranu pre VM-to-VM a VM-to-host útoky.
-
Remote Desktop Services Hosts (RDSH): Vyžaduje ochranu z jednej relácie do inej relácie alebo z relácie-k-hostiteľ útoky.
-
Fyzickí hostitelia alebo virtuálne počítače s nedôveryhodným kódom, ako sú napríklad kontajnery alebo nedôveryhodné rozšírenia pre databázu, nedôveryhodný webový obsah alebo vyťaženia s kódom, ktorý pochádza z externých zdrojov. Tieto vyžadujú ochranu pred nedôveryhodným procesom-k-inému procesu alebo nedôveryhodným útokom procesu k jadru.
Pomocou nasledujúcich nastavení kľúča databázy Registry povoľte zmiernenia rizík na serveri a reštartujte zariadenie, aby sa zmeny prejavili.
Poznámka: Predvolene môže zapnutie vypnutých zmiernení ovplyvniť výkon. Efekt skutočného výkonu závisí od viacerých faktorov, ako je napríklad konkrétna čipová súprava v zariadení a spustené vyťaženia.
Nastavenie databázy Registry
Poskytujeme nasledujúce informácie databázy Registry na povolenie zmiernení rizík, ktoré nie sú predvolene povolené, ako je to zdokumentované v témach Security Advisories (ADV) a CVE. Okrem toho poskytujeme nastavenia kľúča databázy Registry pre používateľov, ktorí chcú zakázať obmedzenia rizík, ak je to relevantné pre klientov s Windowsom.
DÔLEŽITÉ Táto časť, metóda alebo úloha obsahuje kroky na zmenu databázy Registry. Ak však databázu Registry zmeníte nesprávne, môžu sa vyskytnúť vážne problémy. Preto sa uistite, že tieto kroky dodržiavajte opatrne. Na zvýšenie ochrany zálohujte databázu Registry ešte pred zmenou. Potom môžete obnoviť databázu Registry, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy Registry nájdete v nasledujúcom článku v databáze Microsoft Knowledge Base:
KB322756 Zálohovanie a obnovenie databázy Registry vo Windowse
DÔLEŽITÉPredvolene je Retpoline nakonfigurovaná takto, ak je povolené prízrak, variant 2 mitigation (CVE-2017-5715):
- Obmedzenie rizík Retpoline je povolené v Windows 10 verzii 1809 a novších verziách Windowsu.
- Obmedzenie rizík Retpoline je zakázané v systéme Windows Server 2019 a novších verziách Windows Servera.
Ďalšie informácie o konfigurácii Retpoline nájdete v časti Zmiernenie Spectre variant 2 s Retpoline vo Windowse.
|
Poznámka: Nastavenie vlastnosti FeatureSettingsOverrideMask na hodnotu 3 je presné pre nastavenia "enable" aj "disable". (Ďalšie podrobnosti o kľúčoch databázy Registry nájdete v časti Najčastejšie otázky .)
Vypnutie variantu 2: (CVE-2017-5715 | Obmedzenie cieľovej injekcie vetvy): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reštartujte zariadenie, aby sa zmeny prejavili. Povolenie variantu 2: (CVE-2017-5715 | Obmedzenie cieľovej injekcie vetvy): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reštartujte zariadenie, aby sa zmeny prejavili. |
Predvolene je pre procesory AMD zakázaná ochrana od používateľa k jadru pre CVE-2017-5715. Zákazníci musia povoliť zmiernenie, aby získali dodatočnú ochranu pre CVE-2017-5715. Ďalšie informácie nájdete v časti Najčastejšie otázky č. 15 v ADV180002.
Povoľte ochranu procesorov AMD od používateľa k jadru spolu s ďalšími ochranami pre CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní. Reštartujte zariadenie, aby sa zmeny prejavili. |
Povolenie zmiernení pre CVE-2018-3639 (špekulatívne obídenie obchodu), CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní. Reštartujte zariadenie, aby sa zmeny prejavili. Vypnutie zmiernení rizík pre CVE-2018-3639 (špekulatívne obídenie obchodu) AND zmiernenia pre CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reštartujte zariadenie, aby sa zmeny prejavili. |
Predvolene je ochrana od používateľa k jadru pre CVE-2017-5715 zakázaná pre procesory AMD. Zákazníci musia povoliť zmiernenie, aby získali dodatočnú ochranu pre CVE-2017-5715. Ďalšie informácie nájdete v téme Najčastejšie otázky č. 15 v ADV180002.
Povoľte ochranu procesorov AMD od používateľa k jadru spolu s inými ochranami cve 2017-5715 a ochranou pre CVE-2018-3639 (špekulatívne obídenie obchodu): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní. Reštartujte zariadenie, aby sa zmeny prejavili. |
Povolenie zmiernení rizík pre rozšírenia synchronizácie transakcií Intel (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) a Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-2018-2018-1 12127 , CVE-2018-12130 ) spolu s Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] varianty, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 a CVE-2022-21166) vrátane špekulatívneho vypnutia obídenia obchodu (SSBD) [CVE-2018-3639 ] ako aj L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646] bez vypnutia hyperprocesovania: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní. Reštartujte zariadenie, aby sa zmeny prejavili. Povolenie zmiernení rizík pre rozšírenia intel transactional synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) a Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) spolu s Spectre [CVE-2017-5753 & CVE-2017-5715] a Meltdown [CVE-2017-5754] varianty, vrátane vypnutia špekulatívneho obídu obchodu (SSBD) [CVE-2018-3639] ako aj L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646] s vypnutými Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní. Reštartujte zariadenie, aby sa zmeny prejavili. Vypnutie zmiernení rizík pre rozšírenia intel transactional synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) a Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) spolu s Spectre [CVE-2017-5753 & CVE-2017-5715] a Meltdown [CVE-2017-5754] varianty, vrátane vypnutia špekulatívneho obídu obchodu (SSBD) [CVE-2018-3639] ako aj L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646]: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Reštartujte zariadenie, aby sa zmeny prejavili. |
Povolenie zmiernenia pre CVE-2022-23825 v procesoroch AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Ak chcú byť zákazníci plne chránení, možno budú musieť vypnúť aj Hyper-Threading (známe aj ako simultánne viacprocesové (SMT)). Pokyny na ochranu zariadení s Windowsom nájdete v KB4073757.
Povolenie zmiernenia pre CVE-2023-20569 v procesoroch AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Povolenie zmiernenia pre CVE-2022-0001 v procesoroch Intel:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Povolenie viacerých zmiernení rizík
Ak chcete povoliť viacero zmiernení, musíte pridať REG_DWORD hodnotu každého zmiernenia dohromady.
Príklad:
Zmiernenie rizík pre asynchrónne prerušenie rizík transakcií, vzorkovanie údajov mikroarchitektúr, spectre, zrútenie, MMIO, vypnutie špekulatívneho ukladacieho priestoru (SSBD) a L1 Terminal Fault (L1TF) s vypnutými Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
POZNÁMKA 8264 (v desiatkovej sústave) = 0x2048 (v šestnástkovej sústave) Ak chcete povoliť BHI spolu s ďalšími existujúcimi nastaveniami, budete musieť použiť bitový operátor OR aktuálnej hodnoty s hodnotou 8 388 608 (0x800000). 0x800000 OR 0x2048(8264 v desiatkovej sústave) a bude 8 396 872 (0x802048). To isté platí aj pre FeatureSettingsOverrideMask. |
|
Obmedzenie rizík pre CVE-2022-0001 na procesoroch Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Kombinované obmedzenie rizík |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Zmiernenie rizík pre asynchrónne prerušenie rizík transakcií, vzorkovanie údajov mikroarchitektúr, spectre, zrútenie, MMIO, vypnutie špekulatívneho ukladacieho priestoru (SSBD) a L1 Terminal Fault (L1TF) s vypnutými Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Obmedzenie rizík pre CVE-2022-0001 na procesoroch Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Kombinované obmedzenie rizík |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Overenie, či sú povolené ochrany
Na overenie, či sú povolené ochrany, sme publikovali skript prostredia PowerShell, ktorý môžete spustiť vo svojich zariadeniach. Nainštalujte a spustite skript pomocou niektorej z nasledujúcich metód.
Nainštalujte modul prostredia PowerShell: PS> Install-Module SpeculationControl Spustením modulu PowerShell overte, či sú povolené ochrany: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Nainštalujte modul prostredia PowerShell z technet ScriptCenter:
Spustením modulu PowerShell overte, či sú povolené ochrany: Spustite prostredie PowerShell a potom pomocou predchádzajúceho príkladu skopírujte a spustite nasledujúce príkazy: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Podrobné vysvetlenie výstupu skriptu prostredia PowerShell nájdete v téme KB4074629 .
Najčastejšie otázky
Aby nedochádzalo k nepriaznivému vplyvu na zariadenia zákazníkov, aktualizácie zabezpečenia Windowsu, ktoré boli vydané v januári a februári 2018, neboli ponúkané všetkým zákazníkom. Podrobnosti nájdete v KB407269 .
Mikrokód sa doručuje prostredníctvom aktualizácie firmvéru. Informácie o verzii firmvéru, ktorá obsahuje príslušnú aktualizáciu pre váš počítač, získate od svojho OEM.
Výkon ovplyvňuje viacero premenných od verzie systému až po spustené vyťaženia. V prípade niektorých systémov bude účinok výkonu zanedbateľný. Pre ostatných to bude značné.
Odporúčame vyhodnotiť vplyvy na výkon vašich systémov a podľa potreby vykonať úpravy.
Okrem sprievodného materiálu, ktorý je v tomto článku o virtuálnych počítačoch, by ste sa mali obrátiť na svojho poskytovateľa služieb, aby ste sa uistili, že hostitelia, ktorí používajú vaše virtuálne počítače, sú primerane chránení.v téme Pokyny na zmiernenie špekulatívnych chýb na strane kanála spustenia v službe Azure . Pokyny na používanie služby Azure Update Management na zmiernenie tohto problému s virtuálnymi počítačmi hostí nájdete v téme KB4077467.
V prípade virtuálnych počítačov so systémom Windows Server, ktoré sú spustené v službe Azure, nájdeteAktualizácie, ktoré boli vydané pre obrázky kontajnerov Windows Servera pre Windows Server 2016 a Windows 10, verzia 1709, zahŕňajú zmiernenia rizík pre túto množinu chýb. Nevyžaduje sa žiadna ďalšia konfigurácia.
Poznámka Stále musíte skontrolovať, či je hostiteľ, v ktorom sú tieto kontajnery spustené, nakonfigurovaný tak, aby povoľoval príslušné obmedzenia rizík.Nie, na inštalačnej objednávke nezáleží.
Áno, musíte reštartovať po aktualizácii firmvéru (mikrokódu) a potom znova po aktualizácii systému.
Tu sú podrobnosti o kľúčoch databázy Registry:
FeatureSettingsOverride predstavuje bitovú mapu, ktorá prepíše predvolené nastavenie a určuje, ktoré obmedzenia rizík budú zakázané. Bit 0 riadi obmedzenie rizík, ktoré zodpovedá CVE-2017-5715. Bit 1 určuje obmedzenie rizík, ktoré zodpovedá CVE-2017-5754. Bity sú nastavené na hodnotu 0 , čím sa povolí obmedzenie rizík, a na hodnotu 1 na vypnutie zmiernenia.
FeatureSettingsOverrideMask predstavuje masku bitovej mapy, ktorá sa používa spolu s funkciou FeatureSettingsOverride. V takomto prípade použijeme hodnotu 3 (vyjadrenú ako 11 v systéme binárnych číslic alebo základných čísel 2) na označenie prvých dvoch bitov, ktoré zodpovedajú dostupným obmedzeniam rizík. Tento kľúč databázy Registry je nastavený na hodnotu 3 na povolenie alebo zakázanie zmiernení rizík.
MinVmVersionForCpuBasedMitigations je určený pre hostiteľov Hyper-V. Tento kľúč databázy Registry definuje minimálnu verziu virtuálneho počítača, ktorá je potrebná na používanie aktualizovaných možností firmvéru (CVE-2017-5715). Nastavte túto možnosť na hodnotu 1.0 , aby sa vzťahovala na všetky verzie virtuálneho počítaču. Všimnite si, že táto hodnota databázy Registry sa bude ignorovať (benígna) v hostiteľoch iných ako Hyper-V. Ďalšie podrobnosti nájdete v téme Ochrana virtuálnych počítačov hostí z CVE-2017-5715 (cieľová injekcia vetvy).
Áno, ak sa tieto nastavenia databázy Registry použijú pred inštaláciou opráv súvisiacich s januárom 2018, neexistujú žiadne vedľajšie účinky.
Pozrite si podrobný popis výstupu skriptu na lokalite KB4074629: Vysvetlenie výstupu skriptu SpeculationControl prostredia PowerShell .
Áno, pre hostiteľov Hyper-V systému Windows Server 2016, ktorí ešte nemajú aktualizáciu firmvéru k dispozícii, sme publikovali alternatívne pokyny, ktoré môžu pomôcť zmierniť virtuálny počítač s virtuálnym počítačom alebo virtuálnym počítačom pri hosťovaní útokov. Pozrite si alternatívne ochrany pre Windows Server 2016 Hyper-V Hosts proti špekulatívne spustenie strane kanála zraniteľnosti .
Aktualizácie iba so zabezpečením nie sú kumulatívne. V závislosti od verzie operačného systému bude možno potrebné nainštalovať niekoľko aktualizácií zabezpečenia, aby ste mali úplnú ochranu. Vo všeobecnosti si zákazníci budú musieť nainštalovať aktualizácie z januára, februára, marca a apríla 2018. Systémy, ktoré majú procesory AMD, potrebujú ďalšiu aktualizáciu, ako je to znázornené v nasledujúcej tabuľke:
Verzia operačného systému |
Aktualizácia zabezpečenia |
Windows 8.1, Windows Server 2012 R2 |
KB4338815 – mesačný súhrn |
KB4338824 – iba zabezpečenie |
|
Windows 7 SP1, Windows Server 2008 R2 SP1 alebo Windows Server 2008 R2 SP1 (inštalácia servera Core) |
KB4284826 – mesačný súhrn |
KB4284867 – iba zabezpečenie |
|
Windows Server 2008 SP2 |
KB4340583 – aktualizácia zabezpečenia |
Odporúčame, aby ste si nainštalovali aktualizácie iba pre zabezpečenie v poradí od vydania.
Poznámka: V staršej verzii týchto najčastejších otázok sa nesprávne uvádzalo, že februárová aktualizácia zabezpečenia obsahovala opravy zabezpečenia, ktoré boli vydané v januári. V skutočnosti to tak nie je.
Nie. Aktualizácia zabezpečenia KB4078130 bola špecifická oprava, ktorá zabraňuje nepredvídateľnému správaniu systému, problémom s výkonom a neočakávaným reštartom po inštalácii mikrokódu. Použitie aktualizácií zabezpečenia v operačných systémoch Windows umožňuje všetky tri obmedzenia rizík. V operačných systémoch Windows Server je aj po správnom testovaní potrebné povoliť obmedzenia rizík. Ďalšie informácie nájdete v téme KB4072698.
Tento problém bol vyriešený v KB4093118.
Vo februári 2018 spoločnosť Intel oznámila , že dokončila overovanie a začala vydávať mikrokód pre novšie platformy procesora. Spoločnosť Microsoft sprístupňuje aktualizácie mikrokódov overené spoločnosťou Intel, ktoré sa týkajú Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Injekcia cieľa vetvy). KB4093836 uvádza konkrétne články vedomostná databáza podľa verzie Windowsu. Každý konkrétny článok vedomostnej databázy Knowledge Base obsahuje dostupné aktualizácie mikrokódu Intel podľa procesora.
11. januára 2018 spoločnosť Intel oznámila problémy v nedávno vydanom mikrokóde, ktorý mal riešiť prízrak variant 2 (CVE-2017-5715 | Injekcia cieľa vetvy). Spoločnosť Intel konkrétne poznamenala, že tento mikrokód môže spôsobiť "vyššie než očakávané reštarty a iné nepredvídateľné správanie systému" a že tieto scenáre môžu spôsobiť "stratu údajov alebo poškodenie." Naša skúsenosť je, že nestabilita systému môže za určitých okolností spôsobiť stratu údajov alebo korupciu. 22. januára spoločnosť Intel odporučila, aby zákazníci prestali nasadzovať aktuálnu verziu mikrokódu na ovplyvnených procesoroch, zatiaľ čo intel vykonáva ďalšie testovanie aktualizovaného riešenia. Chápeme, že spoločnosť Intel naďalej skúma potenciálny účinok aktuálnej verzie mikrokódu. Odporúčame zákazníkom, aby priebežne kontrolovali svoje pokyny na informovanie o svojich rozhodnutiach.
Zatiaľ čo Intel testuje, aktualizuje a nasadzuje nový mikrokód, sprístupňujeme neviazanú aktualizáciu (OOB) KB4078130, ktorá špecificky zakáže iba obmedzenie rizík voči CVE-2017-5715. Pri testovaní sa táto aktualizácia zistila, aby sa zabránilo popísanému správaniu. Úplný zoznam zariadení nájdete v pokynoch na revíziu mikrokódu od spoločnosti Intel. Táto aktualizácia sa týka balíka Windows 7 Service Pack 1 (SP1), Windows 8.1 a všetkých verzií Windows 10 klienta aj servera. Ak používate dotknuté zariadenie, túto aktualizáciu možno použiť tak, že ju stiahnete z webovej lokality katalógu služby Microsoft Update. Použitie tejto údajovej časti špecificky zakáže iba obmedzenie pre CVE-2017-5715.
Od tejto doby, neexistujú žiadne známe správy, ktoré naznačujú, že tento Spectre Variant 2 (CVE-2017-5715 | Pobočka Target Injection) bol použitý k útoku na zákazníkov. Odporúčame, aby v prípade potreby používatelia Windowsu opätovne povolili zmiernenie rizík voči CVE-2017-5715, keď spoločnosť Intel hlási, že toto nepredvídateľné správanie systému bolo vyriešené pre vaše zariadenie.
Vo februári 2018 spoločnosť Inteloznámila , že dokončila overovanie a začala vydávať mikrokód pre novšie platformy procesora. Spoločnosť Microsoft sprístupňuje aktualizácie mikrokódov overené spoločnosťou Intel, ktoré súvisia s prízrakom Variant 2 Spectre Variant 2 (CVE-2017-5715 | Injekcia cieľa vetvy). KB4093836 uvádza konkrétne články vedomostná databáza podľa verzie Windowsu. Zoznam KBS dostupných aktualizácií mikrokódov Intel podľa procesora.
Ďalšie informácie nájdete v technickej dokumentácii AMD Security Aktualizácie a AMD: Pokyny architektúry týkajúce sa nepriameho riadenia vetvy. Sú k dispozícii v kanáli firmvéru OEM.
Sprístupňujeme aktualizácie mikrokódov overené spoločnosťou Intel, ktoré sa týkajú spectre variantu 2 (CVE-2017-5715 | Injekcia cieľa vetvy). Ak chcú zákazníci získať najnovšie aktualizácie mikrokódov Intel prostredníctvom Windows Update, pred inováciou na aktualizáciu Windows 10 z apríla 2018 (verzia 1803) musia mať zákazníci nainštalovaný mikrokód Intel v zariadeniach s operačným systémom Windows 10.
Aktualizácia mikrokódu je k dispozícii aj priamo z katalógu služby Microsoft Update, ak nebola nainštalovaná v zariadení pred inováciou systému. Mikrokód Intel je k dispozícii prostredníctvom služieb Windows Update, Windows Server Update Services (WSUS) alebo Microsoft Update Catalog. Ďalšie informácie a pokyny na stiahnutie nájdete v téme KB4100347.
Ďalšie informácie nájdete v týchto zdrojoch:
-
ADV180012 | Pokyny spoločnosti Microsoft na obídenie špekulatívneho obchodu pre CVE-2018-3639
-
ADV180013 | Microsoft Pokyny pre Rogue System Register Čítanie cve-2018-3640 a KB 4073065 | Sprievodný materiál pre zákazníkov zariadenia Surface
-
Blog spoločnosti Microsoft o výskume a obrane zabezpečenia spoločnosti Microsoft
Pozrite si časti Odporúčané akcie a Najčastejšie otázky ADV180012 | Pokyny spoločnosti Microsoft na špekulatívne obídenie obchodu.
Na overenie stavu SSBD sa aktualizoval skript Prostredia PowerShell Get-SpeculationControlSettings , aby sa zistili dotknuté procesory, stav aktualizácií operačného systému SSBD a stav mikrokódu procesora, ak je to možné. Ďalšie informácie a informácie o získaní skriptu prostredia PowerShell nájdete v téme KB4074629.
Júna 13, 2018, ďalšie zraniteľnosť, ktorá zahŕňa side-kanál špekulatívne vykonanie, známy ako Lazy FP Stav Obnovenie, bol oznámený a priradený CVE-2018-3665 . Informácie o tomto zraniteľnosti a odporúčaných akciách nájdete v bezpečnostnom ADV180016 | Pokyny spoločnosti Microsoft na obnovenie stavu lazy FP .
Poznámka Neexistujú žiadne požadované nastavenia konfigurácie (databázy Registry) pre obnovenie FP lenivej obnovy.
Bounds Check Bypass Store (BCBS) bol zverejnený 10. júla 2018 a priradený CVE-2018-3693. Domnievame sa, že BCBS patrí do rovnakej triedy zraniteľností ako obídenie kontroly hraníc (Variant 1). Momentálne nevieme o žiadnych inštanciách BCBS v našom softvéri. Naďalej však skúmame túto triedu zraniteľnosti a budeme spolupracovať s partnermi v odvetví, aby sa podľa potreby uvoľnili zmiernenia. Odporúčame výskumníkom, aby predložili všetky relevantné zistenia do programu odmien Microsoft Speculative Execution Side Channel vrátane všetkých vykorisťovateľných inštancií BCBS. Softvéroví vývojári by mali skontrolovať pokyny pre vývojárov, ktoré boli aktualizované pre BCBS, na lokalite C++ Pokyny pre vývojárov pre špekulatívne kanály spúšťania
Augusta 14, 2018, L1 Terminal Fault (L1TF) bola oznámená a pridelených viac CVE. Tieto nové špekulatívne spustenie side-kanál zraniteľnosti možno použiť na čítanie obsahu pamäte cez dôveryhodné hranice, a ak je využitá, môže viesť k zverejneniu informácií. Existuje viacero vektorov, pomocou ktorých útočník môže spustiť chyby v závislosti od nakonfigurovaného prostredia. L1TF ovplyvňuje procesory Intel® Core® a procesory Intel® Xeon®.
Ďalšie informácie o tomto zraniteľnosti a podrobnom zobrazení ovplyvnených scenárov vrátane prístupu spoločnosti Microsoft k zmierneniu L1TF nájdete v nasledujúcich zdrojoch:
Kroky na vypnutie Hyper-Threading sa líšia od OEM po OEM, ale vo všeobecnosti sú súčasťou systému BIOS alebo nástrojov na nastavenie a konfiguráciu firmvéru.
Zákazníci, ktorí používajú 64-bitové procesory ARM, by sa mali obrátiť na zariadenie OEM pre podporu firmvéru, pretože arm64 operačný systém ochrany, ktoré zmierňujú CVE-2017-5715 | Vsunutie cieľovej vetvy (Spectre, Variant 2) vyžaduje, aby sa prejavila najnovšia aktualizácia firmvéru zo zariadení OEM.
Ďalšie informácie nájdete v nasledujúcich bezpečnostných upozorneniach
Ďalšie pokyny nájdete v pokynoch systému Windows na ochranu pred špekulatívnym spustením chýb bočného kanála
Pozrite si sprievodný materiál k pokynom vo Windowse na ochranu pred špekulatívnymi zraniteľnosťami vedľajšieho kanála spustenia
Sprievodný materiál k službe Azure nájdete v tomto článku: Pokyny na zmiernenie špekulatívnych chýb na strane kanála spustenia v službe Azure.
Ďalšie informácie o povolení Retpoline nájdete v našom blogovom príspevku: Mitigating Spectre variant 2 with Retpoline on Windows .
Podrobnosti o tomto zraniteľnosti nájdete v Príručke zabezpečenia spoločnosti Microsoft: CVE-2019-1125 | Nedostatočné zverejnenie informácií o jadre systému Windows.
Nie sme si vedomí žiadnej inštancie tejto zraniteľnosti pri zverejňovaní informácií, ktorá by ovplyvnila našu infraštruktúru cloudových služieb.
Hneď ako sme sa dozvedeli o tomto probléme, rýchlo sme pracovali na jeho vyriešení a vydaní aktualizácie. Pevne veríme v úzke partnerstvá s výskumnými pracovníkmi a partnermi v odvetví, aby sa zákazníci bezpečnejšie, a nezverejnil podrobnosti až do utorka 6.srpna, v súlade s koordinovanými postupmi zraniteľnosti zverejňovanie.
Ďalšie pokyny nájdete v pokynoch systému Windows na ochranu pred špekulatívnym spustením chýb bočného kanála.
Ďalšie pokyny nájdete v pokynoch systému Windows na ochranu pred špekulatívnym spustením chýb bočného kanála.
Ďalšie pokyny nájdete v pokynoch na vypnutie funkcie intel transactional synchronization Extensions (Intel TSX).
Referencie
Produkty tretích strán, ktorými sa tento článok zaoberá, vyrábajú spoločnosti, ktoré sú nezávislé od spoločnosti Microsoft. Neposkytujeme žiadnu záruku, implicitnú ani inú, týkajúcu sa výkonu alebo spoľahlivosti týchto produktov.
Poskytujeme kontaktné informácie tretích strán, ktoré vám pomôžu nájsť technickú podporu. Tieto kontaktné informácie môžu zmeniť bez predchádzajúceho upozornenia. Nezaručujeme presnosť týchto kontaktných informácií tretích strán.