تغيير التاريخ |
تغيير الوصف |
19 يوليو 2023 |
|
8 أغسطس 2023 |
|
9 أغسطس 2023 |
|
9 أبريل 2024 |
|
16 أبريل 2024 |
|
الملخص
توفر هذه المقالة إرشادات لفئة جديدة من الثغرات الأمنية في القناة الجانبية للتنفيذ الدقيق والتخميني المستندة إلى السيليكون والتي تؤثر على العديد من المعالجات وأنظمة التشغيل الحديثة. يتضمن ذلك Intel وAMD وARM. يمكن العثور على تفاصيل محددة لهذه الثغرات الأمنية المستندة إلى السيليكون في ADVs التالية (استشارات الأمان) و CVEs (نقاط الضعف والتعرض الشائعة):
-
ADV180002 | إرشادات للتخفيف من الثغرات الأمنية في القناة الجانبية للتنفيذ التخميني
-
ADV180013 | Microsoft Guidance for Rogue System Register Read
-
ADV190013 | إرشادات Microsoft للتخفيف من الثغرات الأمنية لأخذ عينات البيانات الدقيقة
-
ADV220002 | إرشادات Microsoft حول ثغرات البيانات التي لا معنى لها في معالج Intel MMIO
-
CVE-2023-20569 | متنبأ عنوان إرجاع وحدة المعالجة المركزية AMD
هام: تؤثر هذه المشكلة أيضا على أنظمة التشغيل الأخرى، مثل Android وChrome وiOS وmacOS. لذلك، ننصح العملاء بالبحث عن إرشادات من هؤلاء البائعين.
لقد أصدرنا العديد من التحديثات للمساعدة في التخفيف من هذه الثغرات الأمنية. لقد اتخذنا أيضا إجراءات لتأمين خدماتنا السحابية. راجع الأقسام التالية لمزيد من التفاصيل.
لم نتلق أي معلومات حتى الآن للإشارة إلى أن هذه الثغرات الأمنية تم استخدامها لمهاجمة العملاء. نحن نعمل عن كثب مع شركاء الصناعة بما في ذلك صناع الرقائق، وأجهزة OEMs، وموردي التطبيقات لحماية العملاء. للحصول على جميع الحماية المتوفرة، يلزم وجود تحديثات البرامج الثابتة (microcode) والبرامج. يتضمن ذلك الرمز الصغير من الأجهزة OEMs، وفي بعض الحالات، تحديثات لبرامج مكافحة الفيروسات.
تتناول هذه المقالة الثغرات الأمنية التالية:
ستوفر Windows Update أيضا عوامل التخفيف من المخاطر في Internet Explorer و Edge. سنواصل تحسين عوامل التخفيف هذه مقابل هذه الفئة من الثغرات الأمنية.
لمعرفة المزيد حول هذه الفئة من الثغرات الأمنية، راجع ما يلي:
نقاط الضعف
في 14 مايو 2019، نشرت Intel معلومات حول فئة فرعية جديدة من ثغرات القناة الجانبية للتنفيذ التخميني المعروفة باسم أخذ عينات البيانات الدقيقة. تتم معالجة هذه الثغرات الأمنية في CVEs التالية:
-
CVE-2019-11091 | ذاكرة غير قابلة لأخذ عينات البيانات الدقيقة (MDSUM)
-
CVE-2018-12126 | أخذ عينات بيانات المخزن المؤقت ل Microarchitectural Store (MSBDS)
-
CVE-2018-12127 | أخذ عينات بيانات المخزن المؤقت للتعبئة الدقيقة (MFBDS)
-
CVE-2018-12130 | أخذ عينات بيانات منفذ التحميل الجزئي (MLPDS)
هام: ستؤثر هذه المشكلات على أنظمة التشغيل الأخرى مثل Android وChrome وiOS وMacOS. ننصحك بالبحث عن إرشادات من هؤلاء البائعين المعنيين.
لقد أصدرنا تحديثات للمساعدة في التخفيف من هذه الثغرات الأمنية. للحصول على جميع الحماية المتوفرة، يلزم وجود تحديثات البرامج الثابتة (microcode) والبرامج. قد يتضمن ذلك رمزا مصغرا من الأجهزة OEMs. في بعض الحالات، سيكون لتثبيت هذه التحديثات تأثير على الأداء. لقد تصرفنا أيضا لتأمين خدماتنا السحابية. نوصي بشدة بنشر هذه التحديثات.
لمزيد من المعلومات حول هذه المشكلة، راجع الاستشارات الأمنية التالية واستخدم الإرشادات المستندة إلى السيناريو لتحديد الإجراءات اللازمة للتخفيف من التهديد:
-
ADV190013 | إرشادات Microsoft للتخفيف من الثغرات الأمنية لأخذ عينات البيانات الدقيقة
-
إرشادات Windows للحماية من الثغرات الأمنية في القناة الجانبية للتنفيذ التخميني
ملاحظة: نوصي بتثبيت جميع التحديثات الأخيرة من Windows Update قبل تثبيت أي تحديثات للرمز الصغير.
في 6 أغسطس 2019 أصدرت Intel تفاصيل حول ثغرة أمنية في الكشف عن معلومات Windows kernel. هذه الثغرة الأمنية هي متغير من ثغرة القناة الجانبية للتنفيذ التخميني Spectre Variant 1 وقد تم تعيين CVE-2019-1125.
في 9 يوليو 2019، أصدرنا تحديثات أمان لنظام التشغيل Windows للمساعدة في التخفيف من هذه المشكلة. يرجى ملاحظة أننا قمنا بتوثيق هذا التخفيف علنا حتى الكشف المنسق عن الصناعة يوم الثلاثاء 6 أغسطس 2019.
تتم حماية العملاء الذين Windows Update تمكين تحديثات الأمان التي تم إصدارها في 9 يوليو 2019 وتطبيقها تلقائيا. لا يوجد أي تكوين إضافي ضروري.
ملاحظة: لا تتطلب هذه الثغرة الأمنية تحديثا للرمز المصغر من الشركة المصنعة للجهاز (OEM).
لمزيد من المعلومات حول هذه الثغرة الأمنية والتحديثات القابلة للتطبيق، راجع دليل تحديث أمان Microsoft:
في 12 نوفمبر 2019، نشرت Intel استشاريا تقنيا حول ثغرة أمنية إجهاض غير متزامنة لمعاملات Intel Transactional Synchronization Extensions (Intel TSX) التي تم تعيينها CVE-2019-11135. لقد أصدرنا تحديثات للمساعدة في التخفيف من هذه الثغرة الأمنية. بشكل افتراضي، يتم تمكين حماية نظام التشغيل لإصدارات نظام تشغيل عميل Windows.
في 14 يونيو 2022، نشرنا ADV220002 | إرشادات Microsoft حول ثغرات البيانات التي لا معنى لها في معالج Intel MMIO. يتم تعيين الثغرات الأمنية في CVEs التالية:
-
CVE-2022-21125 | أخذ عينات بيانات المخزن المؤقت المشترك (SBDS)
-
CVE-2022-21127 | تحديث أخذ عينات بيانات المخزن المؤقت للتسجيل الخاص (تحديث SRBDS)
الإجراءات المستحسنة
يجب عليك اتخاذ الإجراءات التالية للمساعدة في الحماية من هذه الثغرات الأمنية:
-
تطبيق جميع تحديثات نظام التشغيل Windows المتوفرة، بما في ذلك تحديثات أمان Windows الشهرية.
-
تطبيق تحديث البرنامج الثابت (microcode) القابل للتطبيق الذي توفره الشركة المصنعة للجهاز.
-
قم بتقييم المخاطر التي تتعرض لها بيئتك استنادا إلى المعلومات المقدمة في ADV180002 استشارات أمان Microsoft ADV180012ADV190013ADV220002،بالإضافة إلى المعلومات الواردة في هذه المقالة.
-
اتخاذ إجراء كما هو مطلوب باستخدام النصائح ومعلومات مفتاح التسجيل المقدمة في هذه المقالة.
ملاحظة: سيتلقى عملاء Surface تحديثا للرمز الصغير من خلال تحديث Windows. للحصول على قائمة بأحدث تحديثات البرامج الثابتة لجهاز Surface (microcode)، راجع KB4073065.
في 12 يوليو 2022، نشرنا CVE-2022-23825 | ارتباك نوع فرع AMD CPU الذي يصف أن الأسماء المستعارة في متنبأ الفرع قد تتسبب في قيام بعض معالجات AMD بالتنبؤ بنوع الفرع الخطأ. قد تؤدي هذه المشكلة إلى الكشف عن المعلومات.
للمساعدة في الحماية من هذه الثغرة الأمنية، نوصي بتثبيت تحديثات Windows التي تم تحديثها في يوليو 2022 أو بعده ثم اتخاذ إجراء كما هو مطلوب من قبل CVE-2022-23825 ومعلومات مفتاح التسجيل المقدمة في هذه المقالة قاعدة معارف.
لمزيد من المعلومات، راجع نشرة الأمان AMD-SB-1037 .
في 8 أغسطس 2023، نشرنا CVE-2023-20569 | AMD CPU Return Address Predictor (المعروف أيضا باسم Inception) الذي يصف هجوم قناة جانبية تخمينية جديدة يمكن أن تؤدي إلى تنفيذ تخميني في عنوان يتحكم فيه المهاجم. تؤثر هذه المشكلة على معالجات AMD معينة وقد تؤدي إلى الكشف عن المعلومات.
للمساعدة في الحماية من هذه الثغرة الأمنية، نوصي بتثبيت تحديثات Windows التي تم تحديثها في أغسطس 2023 أو بعده ثم اتخاذ إجراء كما هو مطلوب من قبل CVE-2023-20569 ومعلومات مفتاح التسجيل المقدمة في هذه المقالة قاعدة معارف.
لمزيد من المعلومات، راجع نشرة الأمان AMD-SB-7005 .
في 9 أبريل 2024 نشرنا CVE-2022-0001 | حقن محفوظات فرع Intel الذي يصف حقن محفوظات الفرع (BHI) وهو شكل محدد من أشكال BTI داخل الوضع. تحدث هذه الثغرة الأمنية عندما يقوم المهاجم بمعالجة محفوظات الفرع قبل الانتقال من وضع المستخدم إلى وضع المشرف (أو من VMX غير الجذر/الضيف إلى وضع الجذر). قد يتسبب هذا المعالجة في تحديد متنبأ فرع غير مباشر لإدخال تنبؤ معين لفرع غير مباشر، وسيتم تنفيذ الأداة الذكية للإفصاح عند الهدف المتوقع بشكل عابر. قد يكون هذا ممكنا لأن محفوظات الفروع ذات الصلة قد تحتوي على فروع مأخوذة في سياقات الأمان السابقة، وعلى وجه الخصوص، أوضاع التنبؤ الأخرى.
إعدادات التخفيف من المخاطر لعملاء Windows
توفر النصائح الأمنية (ADVs) و CVEs معلومات حول المخاطر التي تشكلها هذه الثغرات الأمنية، وكيف تساعدك على تحديد الحالة الافتراضية للتخفيف من المخاطر لأنظمة عملاء Windows. يلخص الجدول التالي متطلبات التعليمات البرمجية الدقيقة لوحدة المعالجة المركزية والحالة الافتراضية للتخفيف من المخاطر على عملاء Windows.
Cve |
هل يتطلب رمزا مصغرا لوحدة المعالجة المركزية/البرنامج الثابت؟ |
الحالة الافتراضية للتخفيف |
---|---|---|
CVE-2017-5753 |
لا |
ممكن بشكل افتراضي (لا يوجد خيار لتعطيل) يرجى الرجوع إلى ADV180002 للحصول على معلومات إضافية. |
CVE-2017-5715 |
نعم |
ممكن بشكل افتراضي. يجب أن يرى مستخدمو الأنظمة المستندة إلى معالجات AMD الأسئلة المتداولة #15 ويجب أن يرى مستخدمو معالجات ARM الأسئلة المتداولة #20 على ADV180002 لإجراء إضافي ومقالة KB هذه لإعدادات مفتاح التسجيل القابلة للتطبيق. ملاحظة بشكل افتراضي، يتم تمكين Retpoline للأجهزة التي تعمل Windows 10، الإصدار 1809 أو أحدث إذا تم تمكين Spectre Variant 2 (CVE-2017-5715). لمزيد من المعلومات، حول Retpoline، اتبع الإرشادات الواردة في متغير Spectre المخفف 2 مع Retpoline على منشور مدونة Windows. |
CVE-2017-5754 |
لا |
ممكن بشكل افتراضي يرجى الرجوع إلى ADV180002 للحصول على معلومات إضافية. |
CVE-2018-3639 |
Intel: نعم AMD: لا ARM: نعم |
Intel وAMD: معطلان بشكل افتراضي. راجع ADV180012 لمزيد من المعلومات ومقالة KB هذه لإعدادات مفتاح التسجيل القابلة للتطبيق. ARM: ممكن بشكل افتراضي دون خيار لتعطيل. |
CVE-2019-11091 |
Intel: نعم |
ممكن بشكل افتراضي. راجع ADV190013 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
CVE-2018-12126 |
Intel: نعم |
ممكن بشكل افتراضي. راجع ADV190013 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
CVE-2018-12127 |
Intel: نعم |
ممكن بشكل افتراضي. راجع ADV190013 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
CVE-2018-12130 |
Intel: نعم |
ممكن بشكل افتراضي. راجع ADV190013 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
CVE-2019-11135 |
Intel: نعم |
ممكن بشكل افتراضي. راجع CVE-2019-11135 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
CVE-2022-21123 (جزء من MMIO ADV220002) |
Intel: نعم |
الإصدار 1809 من Windows 10 والإصدارات الأحدث: ممكن بشكل افتراضي. Windows 10، الإصدار 1607 والإصدارات السابقة: معطل بشكل افتراضي.راجع CVE-2022-21123 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
CVE-2022-21125 (جزء من MMIO ADV220002) |
Intel: نعم |
الإصدار 1809 من Windows 10 والإصدارات الأحدث: ممكن بشكل افتراضي. Windows 10، الإصدار 1607 والإصدارات السابقة: معطل بشكل افتراضي.راجع CVE-2022-21125 لمزيد من المعلومات. |
CVE-2022-21127 (جزء من MMIO ADV220002) |
Intel: نعم |
الإصدار 1809 من Windows 10 والإصدارات الأحدث: ممكن بشكل افتراضي. Windows 10، الإصدار 1607 والإصدارات السابقة: معطل بشكل افتراضي.راجع CVE-2022-21127 لمزيد من المعلومات. |
CVE-2022-21166 (جزء من MMIO ADV220002) |
Intel: نعم |
الإصدار 1809 من Windows 10 والإصدارات الأحدث: ممكن بشكل افتراضي. Windows 10، الإصدار 1607 والإصدارات السابقة: معطل بشكل افتراضي.راجع CVE-2022-21166 لمزيد من المعلومات. |
CVE-2022-23825 (ارتباك نوع فرع وحدة المعالجة المركزية AMD) |
AMD: لا |
راجع CVE-2022-23825 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل المعمول بها. |
CVE-2023-20569 (متنبأ عنوان إرجاع وحدة المعالجة المركزية AMD) |
AMD: نعم |
راجع CVE-2023-20569 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
Intel: لا |
معطل بشكل افتراضي. راجع CVE-2022-0001 لمزيد من المعلومات وهذه المقالة لإعدادات مفتاح التسجيل القابلة للتطبيق. |
ملاحظة: بشكل افتراضي، قد يؤثر تمكين عوامل التخفيف التي تم إيقاف تشغيلها على أداء الجهاز. يعتمد تأثير الأداء الفعلي على عوامل متعددة، مثل مجموعة الرقائق المحددة في الجهاز وأحمال العمل قيد التشغيل.
إعدادات التسجيل
نحن نقدم معلومات التسجيل التالية لتمكين عمليات التخفيف التي لم يتم تمكينها بشكل افتراضي، كما هو موثق في Security Advisories (ADVs) و CVEs. بالإضافة إلى ذلك، نقدم إعدادات مفتاح التسجيل للمستخدمين الذين يرغبون في تعطيل عوامل التخفيف عند الاقتضاء لعملاء Windows.
هام: يحتوي هذا القسم أو الأسلوب أو المهمة على خطوات تخبرك بكيفية تعديل السجل. ومع ذلك، قد تحدث مشكلات خطيرة إذا قمت بتعديل السجل بشكل غير صحيح. لذلك، تأكد من اتباع هذه الخطوات بعناية. لمزيد من الحماية، قم بنسخ السجل احتياطيا قبل تعديله. بعد ذلك، يمكنك استعادة السجل في حالة حدوث مشكلة. لمزيد من المعلومات حول كيفية إجراء نسخ احتياطي للسجل واستعادته، راجع المقالة التالية في قاعدة معارف Microsoft:322756 كيفية إجراء نسخ احتياطي للسجل واستعادته في Windows
هام: بشكل افتراضي، يتم تمكين Retpoline على أجهزة الإصدار 1809 من Windows 10 إذا تم تمكين Spectre، Variant 2 (CVE-2017-5715). قد يؤدي تمكين Retpoline على أحدث إصدار من Windows 10 إلى تحسين الأداء على الأجهزة التي تعمل الإصدار 1809 من Windows 10 لمتغير Spectre 2، خاصة على المعالجات القديمة.
لتمكين عمليات التخفيف الافتراضية ل CVE-2017-5715 (Spectre Variant 2) وCVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f أعد تشغيل الجهاز حتى تسري التغييرات. لتعطيل عوامل التخفيف ل CVE-2017-5715 (Spectre Variant 2) وCVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f أعد تشغيل الجهاز حتى تسري التغييرات. |
ملاحظة: قيمة 3 دقيقة ل FeatureSettingsOverrideMask لكل من الإعدادات "تمكين" و"تعطيل". (راجع قسم "الأسئلة المتداولة" لمزيد من التفاصيل حول مفاتيح التسجيل.)
لتعطيل عوامل التخفيف ل CVE-2017-5715 (Spectre Variant 2) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f أعد تشغيل الجهاز حتى تسري التغييرات. لتمكين عمليات التخفيف الافتراضية ل CVE-2017-5715 (Spectre Variant 2) وCVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f أعد تشغيل الجهاز حتى تسري التغييرات. |
بشكل افتراضي، يتم تعطيل حماية المستخدم إلى النواة ل CVE-2017-5715 ل AMD ووحدات المعالجة المركزية ARM. يجب تمكين التخفيف من المخاطر لتلقي حماية إضافية ل CVE-2017-5715. لمزيد من المعلومات، راجع الأسئلة المتداولة #15 في ADV180002 لمعالجات AMD والأسئلة المتداولة #20 في ADV180002 لمعالجات ARM.
تمكين حماية المستخدم إلى النواة على معالجات AMD وARM جنبا إلى جنب مع الحماية الأخرى ل CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f أعد تشغيل الجهاز حتى تسري التغييرات. |
لتمكين عمليات التخفيف من المخاطر ل CVE-2018-3639 (تجاوز مخزن المضاربة)، التخفيفات الافتراضية ل CVE-2017-5715 (Spectre Variant 2) وCVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f أعد تشغيل الجهاز حتى تسري التغييرات. ملاحظة: معالجات AMD ليست عرضة ل CVE-2017-5754 (Meltdown). يتم استخدام مفتاح التسجيل هذا في الأنظمة التي تحتوي على معالجات AMD لتمكين عمليات التخفيف الافتراضية ل CVE-2017-5715 على معالجات AMD والتخفيف من حدة CVE-2018-3639. لتعطيل عمليات التخفيف من المخاطر ل CVE-2018-3639 (تجاوز المخزن المضارب) *و* التخفيف من المخاطر ل CVE-2017-5715 (Spectre Variant 2) وCVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f أعد تشغيل الجهاز حتى تسري التغييرات. |
بشكل افتراضي، يتم تعطيل حماية المستخدم إلى النواة ل CVE-2017-5715 لمعالجات AMD. يجب على العملاء تمكين التخفيف من المخاطر لتلقي حماية إضافية ل CVE-2017-5715. لمزيد من المعلومات، راجع الأسئلة المتداولة #15 في ADV180002.
تمكين حماية المستخدم إلى النواة على معالجات AMD جنبا إلى جنب مع الحماية الأخرى ل CVE 2017-5715 والحماية ل CVE-2018-3639 (تجاوز مخزن المضاربة): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f أعد تشغيل الجهاز حتى تسري التغييرات. |
لتمكين التخفيف من المخاطر لملحقات مزامنة المعاملات Intel (Intel TSX) ثغرة أمنية غير متزامنة للإجهاض (CVE-2019-11135) وأخذ عينات بيانات Microarchitectural ( CVE-2 019-11091 ، CVE-2018-12126 ، CVE-2018-12127 ، CVE-2018-12130 ) جنبا إلى جنب مع متغيرات Spectre (CVE-2017-5753 & CVE-2017-5715) وMeltdown (CVE-2017-5754)، بما في ذلك تعطيل تجاوز المخزن التخميني (SSBD) (CVE-2018-3639) بالإضافة إلى خطأ L1 Terminal (L1TF) (CVE-2018-3615، CVE-2018-3620 وCVE-2018-3646) دون تعطيل Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f إذا تم تثبيت ميزة Hyper-V، أضف إعداد التسجيل التالي: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f إذا كان هذا مضيف Hyper-V وتم تطبيق تحديثات البرامج الثابتة: إيقاف تشغيل جميع الأجهزة الظاهرية بالكامل. يتيح ذلك تطبيق التخفيف المتعلق بالبرنامج الثابت على المضيف قبل بدء تشغيل الأجهزة الظاهرية. لذلك، يتم أيضا تحديث الأجهزة الظاهرية عند إعادة تشغيلها. أعد تشغيل الجهاز حتى تسري التغييرات. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) مع تعطيل Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f إذا تم تثبيت ميزة Hyper-V، أضف إعداد التسجيل التالي: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f إذا كان هذا مضيف Hyper-V وتم تطبيق تحديثات البرامج الثابتة: إيقاف تشغيل جميع الأجهزة الظاهرية بالكامل. يتيح ذلك تطبيق التخفيف المتعلق بالبرنامج الثابت على المضيف قبل بدء تشغيل الأجهزة الظاهرية. لذلك، يتم أيضا تحديث الأجهزة الظاهرية عند إعادة تشغيلها. أعد تشغيل الجهاز حتى تسري التغييرات. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f أعد تشغيل الجهاز حتى تسري التغييرات. |
لتمكين التخفيف من المخاطر ل CVE-2022-23825 على معالجات AMD :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
لكي تكون محمية بالكامل، قد يحتاج العملاء أيضا إلى تعطيل Hyper-Threading (المعروفة أيضا باسم مؤشرات الترابط المتعددة المتزامنة (SMT)). يرجى الاطلاع على KB4073757للحصول على إرشادات حول حماية أجهزة Windows.
لتمكين التخفيف من المخاطر ل CVE-2023-20569 على معالجات AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
لتمكين التخفيف من المخاطر ل CVE-2022-0001 على معالجات Intel:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
تمكين عوامل التخفيف المتعددة
لتمكين عوامل تخفيف متعددة، يجب إضافة قيمة REG_DWORD لكل تخفيف معا.
على سبيل المثال:
التخفيف من حدة الثغرة الأمنية للإجهاض غير المتزامن للمعاملات، وأخذ عينات بيانات Microarchitectural، و Spectre، وMeltdown، وMMIO، وتعطيل تجاوز مخزن المضاربة (SSBD)، وخطأ L1 Terminal (L1TF) مع تعطيل Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
ملاحظة 8264 (بالالأرقام العشرية) = 0x2048 (ب Hex) لتمكين BHI مع الإعدادات الموجودة الأخرى، ستحتاج إلى استخدام bitwise OR من القيمة الحالية مع 8388608 (0x800000). 0x800000 OR 0x2048 (8264 بالالأرقام العشرية) وستصبح 8,396,872 (0x802048). نفس الشيء مع FeatureSettingsOverrideMask. |
|
التخفيف من المخاطر ل CVE-2022-0001 على معالجات Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
التخفيف المجمع |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
التخفيف من حدة الثغرة الأمنية للإجهاض غير المتزامن للمعاملات، وأخذ عينات بيانات Microarchitectural، و Spectre، وMeltdown، وMMIO، وتعطيل تجاوز مخزن المضاربة (SSBD)، وخطأ L1 Terminal (L1TF) مع تعطيل Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
التخفيف من المخاطر ل CVE-2022-0001 على معالجات Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
التخفيف المجمع |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
التحقق من تمكين الحماية
للمساعدة في التحقق من تمكين الحماية، قمنا بنشر برنامج نصي PowerShell يمكنك تشغيله على أجهزتك. قم بتثبيت البرنامج النصي وتشغيله باستخدام إحدى الطرق التالية.
تثبيت وحدة PowerShell النمطية: PS> Install-Module SpeculationControl قم بتشغيل وحدة PowerShell للتحقق من تمكين الحماية: PS> # حفظ نهج التنفيذ الحالي بحيث يمكن إعادة تعيينه PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl > Get-SpeculationControlSettings PS PS> # إعادة تعيين نهج التنفيذ إلى الحالة الأصلية PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
تثبيت وحدة PowerShell النمطية من Technet ScriptCenter: انتقل إلى https://aka.ms/SpeculationControlPS قم بتنزيل SpeculationControl.zip إلى مجلد محلي. استخراج المحتويات إلى مجلد محلي، على سبيل المثال C:\ADV180002 قم بتشغيل وحدة PowerShell للتحقق من تمكين الحماية: ابدأ تشغيل PowerShell، ثم (باستخدام المثال السابق) انسخ الأوامر التالية وقم بتشغيلها: PS> # حفظ نهج التنفيذ الحالي بحيث يمكن إعادة تعيينه PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 > Get-SpeculationControlSettings PS PS> # إعادة تعيين نهج التنفيذ إلى الحالة الأصلية PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
للحصول على شرح مفصل لإخراج البرنامج النصي PowerShell، يرجى مراجعة KB4074629.
الأسئلة المتداولة
يتم تسليم الرمز المصغر من خلال تحديث البرنامج الثابت. يجب عليك التحقق من وحدة المعالجة المركزية (مجموعة الشرائح) والشركات المصنعة للأجهزة بشأن توفر تحديثات أمان البرامج الثابتة القابلة للتطبيق لجهازها المحدد، بما في ذلك Intels Microcode Revision Guidance.
تمثل معالجة ثغرة أمنية في الأجهزة من خلال تحديث البرامج تحديات كبيرة. أيضا، تتطلب عوامل التخفيف لأنظمة التشغيل القديمة تغييرات معمارية واسعة النطاق. نحن نعمل مع الشركات المصنعة للشرائح المتأثرة لتحديد أفضل طريقة لتوفير عوامل التخفيف، والتي قد يتم تسليمها في التحديثات المستقبلية.
سيتم تسليم التحديثات لأجهزة Microsoft Surface للعملاء من خلال Windows Update مع تحديثات نظام التشغيل Windows. للحصول على قائمة بتحديثات البرامج الثابتة لجهاز Surface (microcode) المتوفرة، راجع KB4073065.
وإذا لم يكن جهازك من Microsoft، فاحصل على البرامج الثابتة من الشركة المصنعة للجهاز. لمزيد من المعلومات، اتصل بالشركة المصنعة لجهاز OEM.
في فبراير ومارس 2018، أصدرت Microsoft حماية إضافية لبعض الأنظمة المستندة إلى x86. لمزيد من المعلومات، راجع KB4073757وMicrosoft Security Advisory ADV180002.
تتوفر التحديثات إلى Windows 10 ل HoloLens لعملاء HoloLens من خلال Windows Update.
بعد تطبيق تحديث أمن Windows فبراير 2018، لا يتعين على عملاء HoloLens اتخاذ أي إجراء إضافي لتحديث البرامج الثابتة لجهازهم. سيتم أيضا تضمين عوامل التخفيف هذه في جميع الإصدارات المستقبلية من Windows 10 ل HoloLens.
لا. تحديثات الأمان فقط ليست تراكمية. اعتمادا على إصدار نظام التشغيل الذي تقوم بتشغيله، سيتعين عليك تثبيت تحديثات الأمان فقط كل شهر ليتم حمايتها من هذه الثغرات الأمنية. على سبيل المثال، إذا كنت تقوم بتشغيل Windows 7 لأنظمة 32 بت على وحدة المعالجة المركزية Intel المتأثرة، فيجب عليك تثبيت جميع تحديثات الأمان فقط. نوصي بتثبيت تحديثات الأمان فقط بترتيب الإصدار.
ملاحظة ذكر إصدار سابق من هذه الأسئلة المتداولة بشكل غير صحيح أن تحديث الأمان فقط لشهر فبراير تضمن إصلاحات الأمان التي تم إصدارها في يناير. في الواقع ، فإنه لا.
لا. كان تحديث الأمان 4078130 إصلاحا محددا لمنع سلوكيات النظام غير المتوقعة ومشكلات الأداء و/أو عمليات إعادة التشغيل غير المتوقعة بعد تثبيت الرمز المصغر. يتيح تطبيق تحديثات الأمان لشهر فبراير على أنظمة تشغيل عميل Windows جميع عوامل التخفيف الثلاثة.
أعلنت Intel مؤخرا أنها أكملت عمليات التحقق من الصحة وبدأت في إصدار التعليمات البرمجية المصغرة لمنصات وحدة المعالجة المركزية الأحدث. توفر Microsoft تحديثات التعليمات البرمجية المصغرة التي تم التحقق من صحتها من Intel حول Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). يسرد KB4093836 مقالات محددة لقاعدة المعارف حسب إصدار Windows. ويحتوي كل قاعدة معارف محددة على تحديثات التعليمات البرمجية ذات المستوى الأدنى (microcode) التي توفرها Intel عن طريق وحدة المعالجة المركزية.
تم حل هذه المشكلة في KB4093118.
أعلنت AMD مؤخرا أنها بدأت في إصدار microcode لمنصات وحدة المعالجة المركزية الأحدث حول Spectre Variant 2 (CVE-2017-5715 "حقن هدف الفرع"). لمزيد من المعلومات، راجع التحديثات AMD SecurityوAMD Whitepaper: إرشادات البنية حول التحكم في الفرع غير المباشر. تتوفر هذه من قناة البرنامج الثابت OEM.
نحن نقدم تحديثات التعليمات البرمجية المصغرة التي تم التحقق من صحتها من Intel حول Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection "). للحصول على آخر تحديثات Intel microcode من خلال Windows Update، يجب أن يكون العملاء قد قاموا بتثبيت Intel microcode على الأجهزة التي تعمل بنظام تشغيل Windows 10 قبل الترقية إلى تحديث أبريل 2018 Windows 10 (الإصدار 1803).
كما يتوفر تحديث الرمز الصغير مباشرة من "كتالوج" إذا لم يتم تثبيته على الجهاز قبل ترقية نظام التشغيل. يتوفر Intel microcode من خلال Windows Update أو WSUS أو كتالوج Microsoft Update. لمزيد من المعلومات وإرشادات التنزيل، راجع KB4100347.
لمزيد من المعلومات، راجع الموارد التالية:
للحصول على التفاصيل، راجع قسمي "الإجراءات الموصى بها" و"الأسئلة المتداولة" في ADV180012 | إرشادات Microsoft لتجاوز المتجر التخميني.
للتحقق من حالة SSBD، تم تحديث البرنامج النصي Get-SpeculationControlSettings PowerShell للكشف عن المعالجات المتأثرة وحالة تحديثات نظام التشغيل SSBD وحالة التعليمات البرمجية المصغرة للمعالج إذا كان ذلك ممكنا. لمزيد من المعلومات والحصول على البرنامج النصي PowerShell، راجع KB4074629.
في 13 يونيو 2018، تم الإعلان عن ثغرة أمنية إضافية تتضمن تنفيذا تخمينيا للقناة الجانبية، تعرف باسم استعادة حالة FP البطيئة، وتم تعيينها CVE-2018-3665. لا توجد إعدادات تكوين (سجل) ضرورية لاستعادة FP الاستعادة البطيئة.
لمزيد من المعلومات حول هذه الثغرة الأمنية والإجراءات الموصى بها، راجع ADV180016 النصائح الأمنية | إرشادات Microsoft لاستعادة حالة FP الكسولة.
ملاحظة: لا توجد إعدادات تكوين (سجل) ضرورية لاستعادة FP الاستعادة البطيئة.
تم الكشف عن مخزن تجاوز التحقق من الحدود (BCBS) في 10 يوليو 2018 وتعيين CVE-2018-3693. نحن نعتبر BCBS تنتمي إلى نفس فئة الثغرات الأمنية مثل تجاوز التحقق من الحدود (المتغير 1). نحن لسنا على علم حاليا بأي مثيلات من BCBS في برنامجنا، لكننا نواصل البحث في فئة الثغرات الأمنية هذه وسنعمل مع شركاء الصناعة لإصدار عوامل التخفيف حسب الحاجة. نواصل تشجيع الباحثين على تقديم أي نتائج ذات صلة إلى برنامج مكافأة القناة الجانبية للتنفيذ التخميني من Microsoft، بما في ذلك أي مثيلات قابلة للاستغلال من BCBS. يجب على مطوري البرامج مراجعة إرشادات المطور التي تم تحديثها ل BCBS في https://aka.ms/sescdevguide.
في 14 أغسطس 2018، تم الإعلان عن خطأ طرفي L1 (L1TF) وتعيين العديد من CVEs. يمكن استخدام هذه الثغرات الأمنية الجديدة في القناة الجانبية للتنفيذ التخميني لقراءة محتوى الذاكرة عبر حدود موثوق بها، وإذا تم استغلالها، يمكن أن تؤدي إلى الكشف عن المعلومات. يمكن للمهاجم تشغيل الثغرات الأمنية من خلال متجهات متعددة، اعتمادا على البيئة المكونة. يؤثر L1TF على معالجات Intel® Core® ومعالجات Intel® Xeon®.
لمزيد من المعلومات حول هذه الثغرة الأمنية وعرض مفصل للسيناريوهات المتأثرة، بما في ذلك نهج Microsoft للتخفيف من L1TF، راجع الموارد التالية:
يجب على العملاء الذين يستخدمون معالجات ARM 64 بت التحقق من الشركة المصنعة للمعدات الأصلية للجهاز للحصول على دعم البرامج الثابتة لأن حماية نظام التشغيل ARM64 التي تخفف من CVE-2017-5715 | يتطلب إدخال هدف الفرع (Spectre، Variant 2) أحدث تحديث للبرامج الثابتة من الأجهزة OEMs حتى يصبح ساري المفعول.
لمزيد من المعلومات، راجع النصائح الأمنية التالية
لمزيد من المعلومات، راجع النصائح الأمنية التالية
يمكن العثور على مزيد من الإرشادات في إرشادات Windows للحماية من الثغرات الأمنية في القناة الجانبية للتنفيذ التخميني
يرجى الرجوع إلى الإرشادات الواردة في إرشادات Windows للحماية من الثغرات الأمنية في القناة الجانبية للتنفيذ التخميني
للحصول على إرشادات Azure، يرجى الرجوع إلى هذه المقالة: إرشادات للتخفيف من الثغرات الأمنية في القناة الجانبية للتنفيذ التخميني في Azure.
لمزيد من المعلومات حول تمكين Retpoline، راجع منشور مدونتنا: التخفيف من متغير Spectre 2 مع Retpoline على Windows.
للحصول على تفاصيل حول هذه الثغرة الأمنية، راجع دليل أمان Microsoft: CVE-2019-1125 | ثغرة أمنية في الكشف عن معلومات Windows Kernel.
نحن لسنا على علم بأي مثيل من هذه الثغرة الأمنية في الكشف عن المعلومات التي تؤثر على البنية الأساسية للخدمة السحابية لدينا.
بمجرد أن أصبحنا على علم بهذه المشكلة، عملنا بسرعة على معالجتها وإصدار تحديث. نحن نؤمن بشدة بالشراكات الوثيقة مع كل من الباحثين وشركاء الصناعة لجعل العملاء أكثر أمانا، ولم ننشر التفاصيل حتى الثلاثاء 6 أغسطس، بما يتماشى مع ممارسات الكشف المنسقة عن الثغرات الأمنية.
يمكن العثور على مزيد من الإرشادات في إرشادات Windows للحماية من الثغرات الأمنية في القناة الجانبية للتنفيذ التخميني.
يمكن العثور على مزيد من الإرشادات في إرشادات Windows للحماية من الثغرات الأمنية في القناة الجانبية للتنفيذ التخميني.
يمكن العثور على مزيد من الإرشادات في إرشادات تعطيل إمكانية ملحقات مزامنة معاملات Intel® (Intel® TSX).
مراجع
نحن نقدم معلومات جهة اتصال خارجية لمساعدتك في العثور على الدعم التقني. قد تتغير معلومات الاتصال هذه بدون إشعار. نحن لا نضمن دقة معلومات جهة الاتصال هذه التابعة لجهة خارجية.