KB4072698: Windows Server a Azure Stack HCI pokyny na ochranu pred mikroarchitekturálou založenou na kremíku a špekulatívne spustenie side-channel zraniteľnosti

Tento článok sa zaoberá nasledujúcimi špekulatívnymi chybami spustenia:

• CVE-2017-5715 | Cieľová injekcia vetvy

• CVE-2017-5753 | Hranice - Skontrolovať obídenie

• CVE-2017-5754 | Načítanie nečestnej vyrovnávacej pamäte údajov

• CVE-2018-3639 | Špekulatívne obídenie obchodu

Windows Update bude poskytovať aj obmedzenia rizík pre Internet Explorer a Edge. Tieto obmedzenia rizík budeme naďalej vylepšovať v porovnaní s touto triedou zraniteľných miest.

Ďalšie informácie o tejto triede chýb nájdete v téme

• ADV180002 | Pokyny na zmiernenie špekulatívnych chýb na strane kanála vykonávania

• ADV180012 | Pokyny spoločnosti Microsoft na špekulatívne obídenie obchodu

14. mája 2019 spoločnosť Intel zverejnila informácie o novej podtriede špekulatívneho spustenia chýb na strane kanála známych ako mikroarchitekturálne vzorkovanie údajov a zdokumentované v ADV190013 | Vzorkovanie mikroarchitekturálnych údajov. Boli im priradené nasledujúce CVE:

• CVE-2019-11091 | Pamäť MDSUM (Microarchitectural Data Sampling Uncacheable Memory)

• CVE-2018-12126 | Vzorkovanie údajov medzipamäte úložiska mikroarchitektúr (MSBDS)

• CVE-2018-12127 | Vzorkovanie údajov medzipamätenej mikroarchitektúrovej výplne (MFBDS)

• CVE-2018-12130 | Vzorkovanie údajov o prenose mikroarchitektúrového zaťaženia (MLPDS)

Spoločnosť Microsoft vydala aktualizácie, ktoré pomáhajú zmierniť tieto zraniteľné miesta. Ak chcete získať všetky dostupné ochrany, vyžadujú sa aktualizácie firmvéru (mikrokódu) a softvéru. Môže to zahŕňať mikrokód z OEM zariadení. V niektorých prípadoch bude mať inštalácia týchto aktualizácií vplyv na výkon. Konali sme aj na zabezpečenie našich cloudových služieb. Dôrazne odporúčame nasadiť tieto aktualizácie.

Ďalšie informácie o tomto probléme nájdete v nasledujúcom upozornení na zabezpečenie a pomocou scenárového sprievodného materiálu na určenie akcií potrebných na zmiernenie hrozby:

• ADV190013 | Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities

• Pokyny systému Windows na ochranu pred špekulatívnymi zraniteľnosťami vedľajšieho kanála spustenia

6. augusta 2019 spoločnosť Intel zverejnila podrobnosti o zraniteľnosti pri zverejňovaní informácií o jadre systému Windows. Táto zraniteľnosť je variant Spectre, Variant 1 špekulatívne spustenie side-kanál zraniteľnosť a bol pridelený CVE-2019-1125.

9. júla 2019 sme vydali aktualizácie zabezpečenia pre operačný systém Windows, aby sme pomohli zmierniť tento problém. Upozorňujeme, že sme toto zmiernenie verejne zdokumentovali až do koordinovaného zverejnenia v odvetví v utorok 6. augusta 2019.

Zákazníci, ktorí Windows Update povolili a použili aktualizácie zabezpečenia vydané 9. júla 2019, sú automaticky chránení. Nie je potrebná žiadna ďalšia konfigurácia.

Ďalšie informácie o tomto zraniteľnosti a príslušných aktualizáciách nájdete v príručke k aktualizácii zabezpečenia spoločnosti Microsoft:

• CVE-2019-1125 | Nedostatočné zverejnenie informácií o jadre systému Windows

12. novembra 2019 spoločnosť Intel zverejnila technické poradenstvo v oblasti® rozšírenia transakcií synchronizácie intel (Intel TSX) Transaction Asynchronous Abort vulnerability, ktoré má priradené CVE-2019-11135. Spoločnosť Microsoft vydala aktualizácie, ktoré pomáhajú zmierniť túto zraniteľnosť a ochrany operačného systému sú predvolene povolené pre Windows Server 2019, ale predvolene vypnuté pre vydania Windows Servera 2016 a starších operačných systému Windows Server.

14. júna 2022 sme publikovali ADV220002 | Pokyny spoločnosti Microsoft týkajúce sa zraniteľností údajov mmia zastaraných procesora Intel a priradených týchto CVE: 

• CVE-2022-21123 | Čítanie údajov zdieľanej medzipamäte (SBDR)

• CVE-2022-21125 | Vzorkovanie údajov zdieľanej medzipamäte (SBDS)

• CVE-2022-21127 | Aktualizácia vzorkovania údajov medzipamäte špeciálneho registra (aktualizácia SRBDS)

• CVE-2022-21166 | Device Register Partial Write (DRPW)

Odporúčané akcie

Na ochranu pred zraniteľnosťami by ste mali vykonať nasledujúce akcie:

1. Použite všetky dostupné aktualizácie operačného systému Windows vrátane mesačných aktualizácií zabezpečenia Windowsu.

2. Použite príslušnú aktualizáciu firmvéru (mikrokódu), ktorú poskytuje výrobca zariadenia.

3. Okrem informácií uvedených v tomto vedomostná databáza článku vyhodnoťte riziko pre vaše prostredie na základe informácií, ktoré sú k dispozícii na základe bezpečnostných poradcov spoločnosti Microsoft: ADV180002, ADV180012, ADV190013 a ADV220002.

4. Vykonajte akciu podľa potreby pomocou poradcov a informácií o kľúči databázy Registry, ktoré sú uvedené v tomto vedomostná databáza článku.

12. júla 2022 sme publikovali CVE-2022-23825 | Zmätok typu vetvy procesora AMD , ktorý popisuje, že aliasy v prediktore vetvy môžu spôsobiť, že určité procesory AMD predpovedajú nesprávny typ vetvy. Tento problém môže potenciálne viesť k zverejneniu informácií.

Na ochranu pred týmto rizikom odporúčame nainštalovať aktualizácie Windowsu, ktoré sú datované dňa alebo po júli 2022, a potom vykonať kroky podľa potreby CVE-2022-23825 a informácie o kľúči databázy Registry, ktoré sú uvedené v tomto vedomostná databáza článku.

Ďalšie informácie nájdete v bulletine o zabezpečení AMD-SB-1037 .

8. augusta 2023 sme publikovali CVE-2023-20569 | Prediktor spiatočnej adresy (známy aj ako Počiatok), ktorý popisuje nový špekulatívny útok bočného kanála, ktorý môže mať za následok špekulatívne vykonanie na adrese kontrolovanej útočníkom. Tento problém sa týka niektorých procesorov AMD a môže potenciálne viesť k zverejneniu informácií.

Na ochranu pred týmto rizikom odporúčame nainštalovať aktualizácie Windowsu, ktoré sú datované v auguste 2023 alebo po jeho skončení, a potom vykonať akcie podľa požiadaviek CVE-2023-20569 a informácií o kľúčoch databázy Registry, ktoré sú uvedené v tomto vedomostná databáza článku.

Ďalšie informácie nájdete v bulletine o zabezpečení AMD-SB-7005 .

9. apríla 2024 sme publikovali CVE-2022-0001 | Intel Branch History Injection, ktorá popisuje vloženie histórie pobočky (BHI), čo je špecifická forma interného BTI. Toto nedostatočné zabezpečenie sa vyskytuje, keď útočník môže manipulovať s históriou vetvy pred prechodom z používateľa do režimu dohľadu (alebo z VMX non-root/hosť do koreňového režimu). Táto manipulácia by mohla spôsobiť, že nepriamy prediktor vetvy vyberie konkrétnu položku prediktora pre nepriamu vetvu a miniaplikácia zverejňovania v predpovedanom cieli sa prechodne spustí. Môže to byť možné, pretože príslušná história vetvy môže obsahovať vetvy v predchádzajúcich kontextoch zabezpečenia, a najmä iné režimy prediktora.

Predvolene je pre procesory AMD zakázaná ochrana od používateľa k jadru pre CVE-2017-5715. Zákazníci musia povoliť zmiernenie, aby získali dodatočnú ochranu pre CVE-2017-5715.  Ďalšie informácie nájdete v časti Najčastejšie otázky č. 15 v ADV180002.

Predvolene je ochrana od používateľa k jadru pre CVE-2017-5715 zakázaná pre procesory AMD. Zákazníci musia povoliť zmiernenie, aby získali dodatočnú ochranu pre CVE-2017-5715.  Ďalšie informácie nájdete v téme Najčastejšie otázky č. 15 v ADV180002.

Povolenie zmiernenia pre CVE-2022-23825 v procesoroch AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Ak chcú byť zákazníci plne chránení, možno budú musieť vypnúť aj Hyper-Threading (známe aj ako simultánne viacprocesové (SMT)). Pokyny na ochranu zariadení s Windowsom nájdete v KB4073757.

Povolenie zmiernenia pre CVE-2023-20569 v procesoroch AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Povolenie zmiernenia pre CVE-2022-0001 v procesoroch Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Podrobné vysvetlenie výstupu skriptu prostredia PowerShell nájdete v téme KB4074629 . 

Aby nedochádzalo k nepriaznivému vplyvu na zariadenia zákazníkov, aktualizácie zabezpečenia Windowsu, ktoré boli vydané v januári a februári 2018, neboli ponúkané všetkým zákazníkom. Podrobnosti nájdete v KB407269 .

Mikrokód sa doručuje prostredníctvom aktualizácie firmvéru. Informácie o verzii firmvéru, ktorá obsahuje príslušnú aktualizáciu pre váš počítač, získate od svojho OEM.

Výkon ovplyvňuje viacero premenných od verzie systému až po spustené vyťaženia. V prípade niektorých systémov bude účinok výkonu zanedbateľný. Pre ostatných to bude značné.

Odporúčame vyhodnotiť vplyvy na výkon vašich systémov a podľa potreby vykonať úpravy.

Okrem sprievodného materiálu, ktorý je v tomto článku o virtuálnych počítačoch, by ste sa mali obrátiť na svojho poskytovateľa služieb, aby ste sa uistili, že hostitelia, ktorí používajú vaše virtuálne počítače, sú primerane chránení.

V prípade virtuálnych počítačov so systémom Windows Server, ktoré sú spustené v službe Azure, nájdete v téme Pokyny na zmiernenie špekulatívnych chýb na strane kanála spustenia v službe Azure . Pokyny na používanie služby Azure Update Management na zmiernenie tohto problému s virtuálnymi počítačmi hostí nájdete v téme KB4077467.

Aktualizácie, ktoré boli vydané pre obrázky kontajnerov Windows Servera pre Windows Server 2016 a Windows 10, verzia 1709, zahŕňajú zmiernenia rizík pre túto množinu chýb. Nevyžaduje sa žiadna ďalšia konfigurácia.

Poznámka Stále musíte skontrolovať, či je hostiteľ, v ktorom sú tieto kontajnery spustené, nakonfigurovaný tak, aby povoľoval príslušné obmedzenia rizík.

Nie, na inštalačnej objednávke nezáleží.

Áno, musíte reštartovať po aktualizácii firmvéru (mikrokódu) a potom znova po aktualizácii systému.

Tu sú podrobnosti o kľúčoch databázy Registry:

FeatureSettingsOverride predstavuje bitovú mapu, ktorá prepíše predvolené nastavenie a určuje, ktoré obmedzenia rizík budú zakázané. Bit 0 riadi obmedzenie rizík, ktoré zodpovedá CVE-2017-5715. Bit 1 určuje obmedzenie rizík, ktoré zodpovedá CVE-2017-5754. Bity sú nastavené na hodnotu 0 , čím sa povolí obmedzenie rizík, a na hodnotu 1 na vypnutie zmiernenia.

FeatureSettingsOverrideMask predstavuje masku bitovej mapy, ktorá sa používa spolu s funkciou FeatureSettingsOverride.  V takomto prípade použijeme hodnotu 3 (vyjadrenú ako 11 v systéme binárnych číslic alebo základných čísel 2) na označenie prvých dvoch bitov, ktoré zodpovedajú dostupným obmedzeniam rizík. Tento kľúč databázy Registry je nastavený na hodnotu 3 na povolenie alebo zakázanie zmiernení rizík.

MinVmVersionForCpuBasedMitigations je určený pre hostiteľov Hyper-V. Tento kľúč databázy Registry definuje minimálnu verziu virtuálneho počítača, ktorá je potrebná na používanie aktualizovaných možností firmvéru (CVE-2017-5715). Nastavte túto možnosť na hodnotu 1.0 , aby sa vzťahovala na všetky verzie virtuálneho počítaču. Všimnite si, že táto hodnota databázy Registry sa bude ignorovať (benígna) v hostiteľoch iných ako Hyper-V. Ďalšie podrobnosti nájdete v téme Ochrana virtuálnych počítačov hostí z CVE-2017-5715 (cieľová injekcia vetvy).

Áno, ak sa tieto nastavenia databázy Registry použijú pred inštaláciou opráv súvisiacich s januárom 2018, neexistujú žiadne vedľajšie účinky.

Pozrite si podrobný popis výstupu skriptu na lokalite KB4074629: Vysvetlenie výstupu skriptu SpeculationControl prostredia PowerShell .

Áno, pre hostiteľov Hyper-V systému Windows Server 2016, ktorí ešte nemajú aktualizáciu firmvéru k dispozícii, sme publikovali alternatívne pokyny, ktoré môžu pomôcť zmierniť virtuálny počítač s virtuálnym počítačom alebo virtuálnym počítačom pri hosťovaní útokov. Pozrite si alternatívne ochrany pre Windows Server 2016 Hyper-V Hosts proti špekulatívne spustenie strane kanála zraniteľnosti .

Aktualizácie iba so zabezpečením nie sú kumulatívne. V závislosti od verzie operačného systému bude možno potrebné nainštalovať niekoľko aktualizácií zabezpečenia, aby ste mali úplnú ochranu. Vo všeobecnosti si zákazníci budú musieť nainštalovať aktualizácie z januára, februára, marca a apríla 2018. Systémy, ktoré majú procesory AMD, potrebujú ďalšiu aktualizáciu, ako je to znázornené v nasledujúcej tabuľke:

Odporúčame, aby ste si nainštalovali aktualizácie iba pre zabezpečenie v poradí od vydania.

Nie. Aktualizácia zabezpečenia KB4078130 bola špecifická oprava, ktorá zabraňuje nepredvídateľnému správaniu systému, problémom s výkonom a neočakávaným reštartom po inštalácii mikrokódu. Použitie aktualizácií zabezpečenia v operačných systémoch Windows umožňuje všetky tri obmedzenia rizík. V operačných systémoch Windows Server je aj po správnom testovaní potrebné povoliť obmedzenia rizík. Ďalšie informácie nájdete v téme KB4072698.

Tento problém bol vyriešený v KB4093118.

Vo februári 2018 spoločnosť Intel oznámila , že dokončila overovanie a začala vydávať mikrokód pre novšie platformy procesora. Spoločnosť Microsoft sprístupňuje aktualizácie mikrokódov overené spoločnosťou Intel, ktoré sa týkajú Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Injekcia cieľa vetvy). KB4093836 uvádza konkrétne články vedomostná databáza podľa verzie Windowsu. Každý konkrétny článok vedomostnej databázy Knowledge Base obsahuje dostupné aktualizácie mikrokódu Intel podľa procesora.

11. januára 2018  spoločnosť Intel oznámila problémy v nedávno vydanom mikrokóde, ktorý mal riešiť prízrak variant 2 (CVE-2017-5715 | Injekcia cieľa vetvy). Spoločnosť Intel konkrétne poznamenala, že tento mikrokód môže spôsobiť "vyššie než očakávané reštarty a iné nepredvídateľné správanie systému" a že tieto scenáre môžu spôsobiť "stratu údajov alebo poškodenie." Naša skúsenosť je, že nestabilita systému môže za určitých okolností spôsobiť stratu údajov alebo korupciu. 22. januára spoločnosť Intel odporučila, aby zákazníci prestali nasadzovať aktuálnu verziu mikrokódu na ovplyvnených procesoroch, zatiaľ čo intel vykonáva ďalšie testovanie aktualizovaného riešenia. Chápeme, že spoločnosť Intel naďalej skúma potenciálny účinok aktuálnej verzie mikrokódu. Odporúčame zákazníkom, aby priebežne kontrolovali svoje pokyny na informovanie o svojich rozhodnutiach.

Zatiaľ čo Intel testuje, aktualizuje a nasadzuje nový mikrokód, sprístupňujeme neviazanú aktualizáciu (OOB) KB4078130, ktorá špecificky zakáže iba obmedzenie rizík voči CVE-2017-5715. Pri testovaní sa táto aktualizácia zistila, aby sa zabránilo popísanému správaniu. Úplný zoznam zariadení nájdete v pokynoch na revíziu mikrokódu od spoločnosti Intel. Táto aktualizácia sa týka balíka Windows 7 Service Pack 1 (SP1), Windows 8.1 a všetkých verzií Windows 10 klienta aj servera. Ak používate dotknuté zariadenie, túto aktualizáciu možno použiť tak, že ju stiahnete z webovej lokality katalógu služby Microsoft Update. Použitie tejto údajovej časti špecificky zakáže iba obmedzenie pre CVE-2017-5715.

Od tejto doby, neexistujú žiadne známe správy, ktoré naznačujú, že tento Spectre Variant 2 (CVE-2017-5715 | Pobočka Target Injection) bol použitý k útoku na zákazníkov. Odporúčame, aby v prípade potreby používatelia Windowsu opätovne povolili zmiernenie rizík voči CVE-2017-5715, keď spoločnosť Intel hlási, že toto nepredvídateľné správanie systému bolo vyriešené pre vaše zariadenie.

Vo februári 2018 spoločnosť Inteloznámila , že dokončila overovanie a začala vydávať mikrokód pre novšie platformy procesora. Spoločnosť Microsoft sprístupňuje aktualizácie mikrokódov overené spoločnosťou Intel, ktoré súvisia s prízrakom Variant 2 Spectre Variant 2 (CVE-2017-5715 | Injekcia cieľa vetvy). KB4093836 uvádza konkrétne články vedomostná databáza podľa verzie Windowsu. Zoznam KBS dostupných aktualizácií mikrokódov Intel podľa procesora.

Ďalšie informácie nájdete v technickej dokumentácii AMD Security Aktualizácie a AMD: Pokyny architektúry týkajúce sa nepriameho riadenia vetvy. Sú k dispozícii v kanáli firmvéru OEM.

Sprístupňujeme aktualizácie mikrokódov overené spoločnosťou Intel, ktoré sa týkajú spectre variantu 2 (CVE-2017-5715 | Injekcia cieľa vetvy). Ak chcú zákazníci získať najnovšie aktualizácie mikrokódov Intel prostredníctvom Windows Update, pred inováciou na aktualizáciu Windows 10 z apríla 2018 (verzia 1803) musia mať zákazníci nainštalovaný mikrokód Intel v zariadeniach s operačným systémom Windows 10.

Aktualizácia mikrokódu je k dispozícii aj priamo z katalógu služby Microsoft Update, ak nebola nainštalovaná v zariadení pred inováciou systému. Mikrokód Intel je k dispozícii prostredníctvom služieb Windows Update, Windows Server Update Services (WSUS) alebo Microsoft Update Catalog. Ďalšie informácie a pokyny na stiahnutie nájdete v téme KB4100347.

Ďalšie informácie nájdete v týchto zdrojoch:

• ADV180012 | Pokyny spoločnosti Microsoft na obídenie špekulatívneho obchodu pre CVE-2018-3639

• ADV180013 | Microsoft Pokyny pre Rogue System Register Čítanie cve-2018-3640 a KB 4073065 | Sprievodný materiál pre zákazníkov zariadenia Surface

• Blog spoločnosti Microsoft o výskume a obrane zabezpečenia spoločnosti Microsoft

• Pokyny pre vývojárov pre špekulatívne obídenie obchodu

Pozrite si časti Odporúčané akcie a Najčastejšie otázky ADV180012  | Pokyny spoločnosti Microsoft na špekulatívne obídenie obchodu.

Na overenie stavu SSBD sa aktualizoval skript Prostredia PowerShell Get-SpeculationControlSettings , aby sa zistili dotknuté procesory, stav aktualizácií operačného systému SSBD a stav mikrokódu procesora, ak je to možné. Ďalšie informácie a informácie o získaní skriptu prostredia PowerShell nájdete v téme KB4074629.

Júna 13, 2018, ďalšie zraniteľnosť, ktorá zahŕňa side-kanál špekulatívne vykonanie, známy ako Lazy FP Stav Obnovenie, bol oznámený a priradený CVE-2018-3665 . Informácie o tomto zraniteľnosti a odporúčaných akciách nájdete v bezpečnostnom ADV180016 | Pokyny spoločnosti Microsoft na obnovenie stavu lazy FP .

Poznámka Neexistujú žiadne požadované nastavenia konfigurácie (databázy Registry) pre obnovenie FP lenivej obnovy.

Bounds Check Bypass Store (BCBS) bol zverejnený 10. júla 2018 a priradený CVE-2018-3693. Domnievame sa, že BCBS patrí do rovnakej triedy zraniteľností ako obídenie kontroly hraníc (Variant 1). Momentálne nevieme o žiadnych inštanciách BCBS v našom softvéri. Naďalej však skúmame túto triedu zraniteľnosti a budeme spolupracovať s partnermi v odvetví, aby sa podľa potreby uvoľnili zmiernenia. Odporúčame výskumníkom, aby predložili všetky relevantné zistenia do programu odmien Microsoft Speculative Execution Side Channel vrátane všetkých vykorisťovateľných inštancií BCBS. Softvéroví vývojári by mali skontrolovať pokyny pre vývojárov, ktoré boli aktualizované pre BCBS, na lokalite C++ Pokyny pre vývojárov pre špekulatívne kanály spúšťania 

Augusta 14, 2018, L1 Terminal Fault (L1TF) bola oznámená a pridelených viac CVE. Tieto nové špekulatívne spustenie side-kanál zraniteľnosti možno použiť na čítanie obsahu pamäte cez dôveryhodné hranice, a ak je využitá, môže viesť k zverejneniu informácií. Existuje viacero vektorov, pomocou ktorých útočník môže spustiť chyby v závislosti od nakonfigurovaného prostredia. L1TF ovplyvňuje procesory Intel® Core® a procesory Intel® Xeon®.

Ďalšie informácie o tomto zraniteľnosti a podrobnom zobrazení ovplyvnených scenárov vrátane prístupu spoločnosti Microsoft k zmierneniu L1TF nájdete v nasledujúcich zdrojoch:

• ADV180018 | Microsoft Guidance to mitigate L1TF variant

• Blog o výskume zabezpečenia poradenstva v oblasti bezpečnosti

• Pokyny na serveri pre poruchu terminálu L1

Kroky na vypnutie Hyper-Threading sa líšia od OEM po OEM, ale vo všeobecnosti sú súčasťou systému BIOS alebo nástrojov na nastavenie a konfiguráciu firmvéru.

Zákazníci, ktorí používajú 64-bitové procesory ARM, by sa mali obrátiť na zariadenie OEM pre podporu firmvéru, pretože arm64 operačný systém ochrany, ktoré zmierňujú CVE-2017-5715 | Vsunutie cieľovej vetvy (Spectre, Variant 2) vyžaduje, aby sa prejavila najnovšia aktualizácia firmvéru zo zariadení OEM.

Ďalšie informácie nájdete v nasledujúcich bezpečnostných upozorneniach

• Poradenstvo v oblasti zabezpečenia spoločnosti Intel

• ADV190013 | Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities

Ďalšie pokyny nájdete v pokynoch systému Windows na ochranu pred špekulatívnym spustením chýb bočného kanála

Pozrite si sprievodný materiál k pokynom vo Windowse na ochranu pred špekulatívnymi zraniteľnosťami vedľajšieho kanála spustenia

Sprievodný materiál k službe Azure nájdete v tomto článku: Pokyny na zmiernenie špekulatívnych chýb na strane kanála spustenia v službe Azure.

Ďalšie informácie o povolení Retpoline nájdete v našom blogovom príspevku: Mitigating Spectre variant 2 with Retpoline on Windows .

Podrobnosti o tomto zraniteľnosti nájdete v Príručke zabezpečenia spoločnosti Microsoft: CVE-2019-1125 | Nedostatočné zverejnenie informácií o jadre systému Windows.

Nie sme si vedomí žiadnej inštancie tejto zraniteľnosti pri zverejňovaní informácií, ktorá by ovplyvnila našu infraštruktúru cloudových služieb.

Hneď ako sme sa dozvedeli o tomto probléme, rýchlo sme pracovali na jeho vyriešení a vydaní aktualizácie. Pevne veríme v úzke partnerstvá s výskumnými pracovníkmi a partnermi v odvetví, aby sa zákazníci bezpečnejšie, a nezverejnil podrobnosti až do utorka 6.srpna, v súlade s koordinovanými postupmi zraniteľnosti zverejňovanie.

Ďalšie pokyny nájdete v pokynoch systému Windows na ochranu pred špekulatívnym spustením chýb bočného kanála.

Ďalšie pokyny nájdete v pokynoch systému Windows na ochranu pred špekulatívnym spustením chýb bočného kanála.

Ďalšie pokyny nájdete v pokynoch na vypnutie funkcie intel transactional synchronization Extensions (Intel TSX).

Produkty tretích strán, ktorými sa tento článok zaoberá, vyrábajú spoločnosti, ktoré sú nezávislé od spoločnosti Microsoft. Neposkytujeme žiadnu záruku, implicitnú ani inú, týkajúcu sa výkonu alebo spoľahlivosti týchto produktov.

Poskytujeme kontaktné informácie tretích strán, ktoré vám pomôžu nájsť technickú podporu. Tieto kontaktné informácie môžu zmeniť bez predchádzajúceho upozornenia. Nezaručujeme presnosť týchto kontaktných informácií tretích strán.