Applies ToSurface Surface Devices

简介

自 2018 年 1 月以来,Surface 团队一直在发布一类基于硅的问题的固件更新,这些问题涉及微体系结构和推理执行侧通道漏洞。 Surface 团队将继续与 Windows 团队和行业合作伙伴密切合作,以保护客户。 要获得所有可用的保护,需要安装固件和 Windows 系统更新。

摘要

Surface 团队了解了新的基于硅的微架构和推理执行侧通道攻击变体,这些变体也会影响 Surface 产品。 有关漏洞和缓解措施的更多信息,请参阅以下安全通报: 

我们正在与合作伙伴合作,在确保更新符合我们的质量要求后,立即提供 Surface 产品的更新。 

有关 Surface 设备的更新的详细信息,请参阅 Surface 更新历史记录

Surface 团队知道新的推理执行侧通道攻击变体,这些变体也会影响 Surface 产品。 缓解这些漏洞需要操作系统更新和包含新微代码的 Surface UEFI 更新。 有关漏洞和缓解措施的更多信息,请参阅以下安全通报:

除了安装 Windows 操作系统安全更新之外,Surface 还通过 Windows 更新和下载中心为以下设备发布了 UEFI 更新:

除了新的微代码,安装 UEFI 更新时,还将提供称为“同时多线程 (SMT) ”的新 UEFI 设置。 此设置允许用户禁用超线程。

注意

  • 如果决定禁用超线程,建议使用新的 SMT UEFI 设置。

  • 禁用 SMT 可提供针对这些新漏洞和先前宣布的 L1 终端故障 攻击的额外保护。 但是,此方法也会影响设备的性能。

  • Surface 3 和带有 Intel Core i5 的 Surface Studio 没有 SMT。 因此,这些设备没有此新设置。

  • Microsoft Surface Enterprise Management Mode (SEMM) UEFI 配置器工具版本 2.43.139 或更高版本支持新的 SMT 设置。 可以从 此网页下载这些工具。 下载以下必需工具:

    • SurfaceUEFI_Configurator_v2.43.139.0.msi

    • SurfaceUEFI_Manager_v2.43.139.0.msi

Surface 团队意识到新的推理执行侧通道攻击称为 L1 终端故障 (L1TF) ,并分配了 CVE-2018-3620 (OS 和 SMM) 和 CVE-2018-3646 (VMM) 。 受影响的 Surface 产品与本文的“2018 年 5 月发布的漏洞”部分相同。 缓解 2018 年 5 月发现结果的微代码更新也缓解了 L1TF (CVE-2018-3646) 。 有关漏洞和缓解措施的更多信息,请参阅以下安全通报:

安全公告建议,使用基于虚拟化的安全性 (VBS) (包括 Credential Guard 和 Device Guard 等安全功能)的客户应考虑禁用 Hyper-Threading,以完全消除 L1TF 的风险。

Surface 团队已意识到还会影响 Surface 产品的新推理执行侧信道攻击变体。 这些漏洞的缓解措施需要使用新微码的 UEFI 更新。 有关漏洞和缓解措施的更多信息,请参阅以下安全通报:

除了安装 Windows 操作系统安全更新之外,Surface 还通过 Windows 更新和下载中心为以下设备发布了 UEFI 更新:

Surface 团队知道公开披露的一类漏洞,这些漏洞涉及推理执行侧通道 (称为 Spectre 和 Meltdown) ,这些漏洞会影响许多现代处理器和操作系统,包括 Intel、AMD 和 ARM。 有关漏洞和缓解措施的更多信息,请参阅以下安全通报:

有关 Windows 软件更新的详细信息,请参阅以下知识库文章:

除了安装 1 月 3 日 Windows 操作系统安全更新之外,Surface 已通过 Windows 更新和下载中心为下列设备发布了 UEFI 更新:

这些更新适用于运行 Windows 10 创意者更新(内部版本 15063)和更高版本的设备。

更多信息

Surface Hub 操作系统 Windows 10 团队已实施深层防御策略。 因此,我们认为,在运行 Windows 10 Team 操作系统时,Surface Hub 上使用这些漏洞的漏洞将显著减少。  有关详细信息,请参阅 Windows IT 专业人员中心网站上的以下主题: Surface Hub 与 Windows 10 企业版之间的差异。  

Surface 团队专注于确保我们的用户获得安全且可靠的体验。 我们将继续根据需要监视和更新设备,以解决这些漏洞并保持设备的可靠和安全。

参考

我们提供了第三方联系信息,以便你寻求技术支持。 该联系信息如有更改,恕不另行通知。 我们不保证此第三方联系信息的准确性。

需要更多帮助?

需要更多选项?

了解订阅权益、浏览培训课程、了解如何保护设备等。

社区可帮助你提出和回答问题、提供反馈,并听取经验丰富专家的意见。