Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2016 Windows Server 2019 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2

Θέματα ευπάθειας

Στις 14 Μαΐου 2019, η Intel δημοσίευσε πληροφορίες σχετικά με μια νέα υποκατηγορία ευπάθειας υποθετικής εκτέλεσης πλευρικού καναλιού, γνωστή ως Microarchitectural Data Sampling. Αυτές οι ευπάθειες αντιμετωπίζονται στα ακόλουθα CVE:

Σημαντικό: Αυτά τα προβλήματα θα επηρεάσουν άλλα λειτουργικά συστήματα, όπως Android, Chrome, iOS και MacOS. Σας συμβουλεύουμε να αναζητήσετε οδηγίες από αυτούς τους αντίστοιχους προμηθευτές.

Έχουμε κυκλοφορήσει ενημερώσεις που συμβάλλουν στον μετριασμό αυτών των ευπαθειών. Για να λάβετε όλα τα διαθέσιμα μέτρα προστασίας, απαιτούνται ενημερώσεις υλικολογισμικού (μικροκώδικας) και λογισμικού. Αυτό μπορεί να περιλαμβάνει μικροκώδικα από OEM συσκευής. Σε ορισμένες περιπτώσεις, η εγκατάσταση αυτών των ενημερώσεων θα έχει αντίκτυπο στις επιδόσεις. Έχουμε επίσης ενεργήσει για να εξασφαλίσουμε τις υπηρεσίες cloud. Συνιστάται ιδιαίτερα η ανάπτυξη αυτών των ενημερώσεων.

Για περισσότερες πληροφορίες σχετικά με αυτό το πρόβλημα, ανατρέξτε στο ακόλουθο Συμβουλευτικό δελτίο ασφαλείας και χρησιμοποιήστε οδηγίες βάσει σεναρίων για να προσδιορίσετε τις ενέργειες που είναι απαραίτητες για τον μετριασμό της απειλής:

Σημείωση: Συνιστάται να εγκαθιστάτε όλες τις πιο πρόσφατες ενημερώσεις από Windows Update πριν από την εγκατάσταση ενημερώσεων μικροκώδικα.

Στις 6 Αυγούστου 2019, η Intel δημοσίευσε λεπτομέρειες σχετικά με μια ευπάθεια αποκάλυψης πληροφοριών πυρήνα των Windows. Αυτή η ευπάθεια είναι μια παραλλαγή της ευπάθειας υποθετικής εκτέλεσης πλευρικού καναλιού Spectre Variant 1 και έχει εκχωρηθεί CVE-2019-1125.

Στις 9 Ιουλίου 2019, κυκλοφορήσαμε ενημερώσεις ασφαλείας για το λειτουργικό σύστημα Windows, για να μετριάσουμε αυτό το πρόβλημα. Λάβετε υπόψη ότι καθυστερήσαμε την τεκμηρίωση αυτού του μετριασμού δημοσίως μέχρι τη συντονισμένη αποκάλυψη του κλάδου την Τρίτη 6 Αυγούστου 2019.

Οι πελάτες που έχουν Windows Update ενεργοποιημένες και έχουν εφαρμόσει τις ενημερώσεις ασφαλείας που κυκλοφόρησαν στις 9 Ιουλίου 2019 προστατεύονται αυτόματα. Δεν απαιτείται περαιτέρω ρύθμιση παραμέτρων.

Σημείωση: Αυτή η ευπάθεια δεν απαιτεί ενημέρωση μικροκώδικα από τον κατασκευαστή της συσκευής σας (OEM).

Για περισσότερες πληροφορίες σχετικά με αυτή την ευπάθεια και τις κατάλληλες ενημερώσεις, ανατρέξτε στον Οδηγό ενημερώσεων ασφαλείας της Microsoft:

Στις 12 Νοεμβρίου 2019, η Intel δημοσίευσε ένα τεχνικό συμβουλευτικό δελτίο σχετικά με την ευπάθεια Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort στην οποία έχει εκχωρηθεί η ευπάθεια CVE-2019-11135. Κυκλοφορήσαμε ενημερώσεις που συμβάλλουν στον μετριασμό αυτής της ευπάθειας. Από προεπιλογή, τα μέτρα προστασίας λειτουργικού συστήματος είναι ενεργοποιημένα για τις εκδόσεις λειτουργικού συστήματος υπολογιστή-πελάτη των Windows.

Στις 14 Ιουνίου 2022, δημοσιεύσαμε ADV220002 | Οδηγίες της Microsoft για μη ενημερωμένες ευπάθειες δεδομένων Intel Processor MMIO. Οι ευπάθειες ευπάθειας αντιστοιχίζονται στα ακόλουθα CVE:

Προτεινόμενες ενέργειες

Θα πρέπει να κάνετε τις ακόλουθες ενέργειες για να προστατευτείτε από αυτές τις ευπάθειες:

  1. Εφαρμόστε όλες τις διαθέσιμες ενημερώσεις του λειτουργικού συστήματος Windows, συμπεριλαμβανομένων των μηνιαίων ενημερώσεων ασφαλείας των Windows.

  2. Εφαρμόστε την κατάλληλη ενημέρωση υλικολογισμικού (μικροκώδικα) που παρέχεται από τον κατασκευαστή της συσκευής.

  3. Αξιολογήστε τον κίνδυνο για το περιβάλλον σας με βάση τις πληροφορίες που παρέχονται στις Προειδοποιήσεις ασφαλείας της Microsoft ADV180002, ADV180012, ADV190013 και ADV220002,εκτός από τις πληροφορίες που παρέχονται σε αυτό το άρθρο.

  4. Αναλάβετε δράση όπως απαιτείται, χρησιμοποιώντας τις συμβουλές και τις πληροφορίες κλειδιού μητρώου που παρέχονται σε αυτό το άρθρο.

Σημείωση: Οι πελάτες Surface θα λάβουν μια ενημέρωση μικροκώδικα μέσω του Windows Update. Για μια λίστα με τις πιο πρόσφατες διαθέσιμες ενημερώσεις υλικολογισμικού (μικροκώδικα) συσκευής Surface, ανατρέξτε στο θέμα KB4073065.

Στις 12 Ιουλίου 2022, δημοσιεύσαμε το CVE-2022-23825 | Η σύγχυση τύπων κλάδου CPU της AMD, η οποία περιγράφει ότι τα ψευδώνυμα στον προγνωστικό κλάδου μπορεί να προκαλέσουν την πρόβλεψη εσφαλμένου τύπου κλάδου από ορισμένους επεξεργαστές AMD. Αυτό το ζήτημα μπορεί ενδεχομένως να οδηγήσει σε αποκάλυψη πληροφοριών.

Για να προστατευτείτε από αυτή την ευπάθεια, συνιστάται να εγκαταστήσετε τις ενημερώσεις των Windows που έχουν ημερομηνία Ιουλίου 2022 ή μεταγενέστερη του Ιουλίου 2022 και, στη συνέχεια, να λάβετε μέτρα όπως απαιτείται από το CVE-2022-23825 και τις πληροφορίες κλειδιού μητρώου που παρέχονται σε αυτό το άρθρο γνωσιακή βάση.

Για περισσότερες πληροφορίες, ανατρέξτε στο δελτίο ασφαλείας AMD-SB-1037 .

Στις 8 Αυγούστου 2023, δημοσιεύσαμε το CVE-2023-20569 | AMD CPU Return Address Predictor (γνωστό και ως Inception) που περιγράφει μια νέα υποθετική επίθεση πλευρικού καναλιού που μπορεί να οδηγήσει σε υποθετική εκτέλεση σε μια διεύθυνση ελεγχόμενη από εισβολέα. Αυτό το πρόβλημα επηρεάζει ορισμένους επεξεργαστές AMD και ενδέχεται να οδηγήσει σε αποκάλυψη πληροφοριών.

Για να προστατευτείτε από αυτή την ευπάθεια, συνιστάται να εγκαταστήσετε ενημερώσεις των Windows που έχουν ημερομηνία ή μετά τον Αύγουστο του 2023 και, στη συνέχεια, να λάβετε μέτρα όπως απαιτείται από το CVE-2023-20569 και τις πληροφορίες κλειδιού μητρώου που παρέχονται σε αυτό το άρθρο γνωσιακή βάση.

Για περισσότερες πληροφορίες, ανατρέξτε στο δελτίο ασφαλείας AMD-SB-7005 .

Στις 9 Απριλίου 2024 δημοσιεύσαμε το CVE-2022-0001 | Intel Branch History Injection που περιγράφει το Branch History Injection (BHI) που είναι μια συγκεκριμένη μορφή ενδο-λειτουργίας BTI. Αυτή η ευπάθεια παρουσιάζεται όταν ένας εισβολέας μπορεί να χειριστεί το ιστορικό διακλάδωσης πριν από τη μετάβαση από τη λειτουργία χρήστη σε λειτουργία εποπτείας (ή από τη λειτουργία VMX που δεν είναι ριζική/guest σε λειτουργία ρίζας). Αυτός ο χειρισμός θα μπορούσε να προκαλέσει την επιλογή μιας συγκεκριμένης πρόβλεψης πρόβλεψης για έναν έμμεσο κλάδο από έναν έμμεσο κλάδο, ενώ μια μικροεφαρμογή γνωστοποίησης στον προβλεπόμενο στόχο θα εκτελείται παροδικά. Αυτό μπορεί να είναι δυνατό, επειδή το σχετικό ιστορικό κλάδων μπορεί να περιέχει κλάδους που έχουν ληφθεί σε προηγούμενα περιβάλλοντα ασφαλείας, και ειδικότερα άλλες λειτουργίες πρόβλεψης.

Ρυθμίσεις μετριασμού για προγράμματα-πελάτες Windows

Οι προειδοποιήσεις ασφαλείας (ADV) και οι CVEs παρέχουν πληροφορίες σχετικά με τον κίνδυνο που θέτουν αυτές οι ευπάθειες και πώς σας βοηθούν να προσδιορίσετε την προεπιλεγμένη κατάσταση μετριασμών για τα συστήματα υπολογιστή-πελάτη Windows. Ο παρακάτω πίνακας συνοψίζει την απαίτηση του μικροκώδικα της CPU και την προεπιλεγμένη κατάσταση των μετριασμάτων στα προγράμματα-πελάτες Windows.

CVE

Απαιτεί μικροκώδικα/υλικολογισμικό CPU;

Προεπιλεγμένη κατάσταση μετριασμού

CVE-2017-5753

Όχι

Ενεργοποιήθηκε από προεπιλογή (δεν υπάρχει επιλογή απενεργοποίησης)

Ανατρέξτε στο ADV180002 για πρόσθετες πληροφορίες.

CVE-2017-5715

Ναι

Ενεργοποιημένη από προεπιλογή. Οι χρήστες συστημάτων που βασίζονται σε επεξεργαστές AMD θα πρέπει να βλέπουν συνήθεις ερωτήσεις #15 και οι χρήστες των επεξεργαστών ARM θα πρέπει να βλέπουν συνήθεις ερωτήσεις #20 σε ADV180002 για πρόσθετες ενέργειες και αυτό το άρθρο της Γνωσιακής βάσης για τις ισχύουσες ρυθμίσεις κλειδιών μητρώου.

Σημείωση Από προεπιλογή, η δυνατότητα Retpoline είναι ενεργοποιημένη για συσκευές που εκτελούν Windows 10, έκδοση 1809 ή νεότερη, αν είναι ενεργοποιημένο το Spectre Variant 2 (CVE-2017-5715). Για περισσότερες πληροφορίες, σχετικά με το Retpoline, ακολουθήστε τις οδηγίες στη δημοσίευση ιστολογίου Mitigating Spectre variant 2 with Retpoline on Windows .

CVE-2017-5754

Όχι

Ενεργοποιημένη από προεπιλογή

Ανατρέξτε στο ADV180002 για πρόσθετες πληροφορίες.

CVE-2018-3639

Intel: Ναι AMD: Όχι ARM: Ναι

Intel και AMD: Απενεργοποιημένο από προεπιλογή. Ανατρέξτε στην ADV180012 για περισσότερες πληροφορίες και σε αυτό το άρθρο της Γνωσιακής βάσης για τις ισχύουσες ρυθμίσεις κλειδιών μητρώου.

ARM: Ενεργοποιημένο από προεπιλογή χωρίς επιλογή απενεργοποίησης.

CVE-2019-11091

Intel: Ναι

Ενεργοποιημένη από προεπιλογή.

Ανατρέξτε ADV190013 για περισσότερες πληροφορίες και αυτό το άρθρο για τις ρυθμίσεις των κατάλληλων κλειδιών μητρώου.

CVE-2018-12126

Intel: Ναι

Ενεργοποιημένη από προεπιλογή.

Ανατρέξτε ADV190013 για περισσότερες πληροφορίες και αυτό το άρθρο για τις ρυθμίσεις των κατάλληλων κλειδιών μητρώου.

CVE-2018-12127

Intel: Ναι

Ενεργοποιημένη από προεπιλογή.

Ανατρέξτε ADV190013 για περισσότερες πληροφορίες και αυτό το άρθρο για τις ρυθμίσεις των κατάλληλων κλειδιών μητρώου.

CVE-2018-12130

Intel: Ναι

Ενεργοποιημένη από προεπιλογή.

Ανατρέξτε ADV190013 για περισσότερες πληροφορίες και αυτό το άρθρο για τις ρυθμίσεις των κατάλληλων κλειδιών μητρώου.

CVE-2019-11135

Intel: Ναι

Ενεργοποιημένη από προεπιλογή.

Ανατρέξτε στο CVE-2019-11135 για περισσότερες πληροφορίες και σε αυτό το άρθρο για τις κατάλληλες ρυθμίσεις κλειδιών μητρώου.

CVE-2022-21123 (μέρος του ADV220002 MMIO)

Intel: Ναι

Windows 10, έκδοση 1809 και νεότερες εκδόσεις: Ενεργοποιημένη από προεπιλογή.  Windows 10, έκδοση 1607 και παλαιότερες: Απενεργοποιημένο από προεπιλογή. 

Ανατρέξτε στο CVE-2022-21123 για περισσότερες πληροφορίες και σε αυτό το άρθρο για τις κατάλληλες ρυθμίσεις κλειδιών μητρώου.

CVE-2022-21125 (μέρος του ADV220002 MMIO)

Intel: Ναι

Windows 10, έκδοση 1809 και νεότερες εκδόσεις: Ενεργοποιημένη από προεπιλογή.  Windows 10, έκδοση 1607 και παλαιότερες: Απενεργοποιημένο από προεπιλογή. 

Ανατρέξτε στο CVE-2022-21125 για περισσότερες πληροφορίες.

CVE-2022-21127 (μέρος του MMIO ADV220002)

Intel: Ναι

Windows 10, έκδοση 1809 και νεότερες εκδόσεις: Ενεργοποιημένη από προεπιλογή.  Windows 10, έκδοση 1607 και παλαιότερες: Απενεργοποιημένο από προεπιλογή. 

Ανατρέξτε στο CVE-2022-21127 για περισσότερες πληροφορίες.

CVE-2022-21166 (μέρος του MMIO ADV220002)

Intel: Ναι

Windows 10, έκδοση 1809 και νεότερες εκδόσεις: Ενεργοποιημένη από προεπιλογή.  Windows 10, έκδοση 1607 και παλαιότερες: Απενεργοποιημένο από προεπιλογή. 

Ανατρέξτε στο CVE-2022-21166 για περισσότερες πληροφορίες.

CVE-2022-23825 (Σύγχυση τύπου κλάδου CPU AMD)

AMD: Όχι

Ανατρέξτε στο CVE-2022-23825 για περισσότερες πληροφορίες και σε αυτό το άρθρο για τις κατάλληλες ρυθμίσεις κλειδιών μητρώου.

CVE-2023-20569 (Πρόβλεψη διεύθυνσης αποστολέα CPU AMD)

AMD: Ναι

Ανατρέξτε στο CVE-2023-20569 για περισσότερες πληροφορίες και σε αυτό το άρθρο για τις κατάλληλες ρυθμίσεις κλειδιών μητρώου.

CVE-2022-0001

Intel: Όχι

Απενεργοποιημένο από προεπιλογή.

Ανατρέξτε στο CVE-2022-0001 για περισσότερες πληροφορίες και σε αυτό το άρθρο για τις ισχύουσες ρυθμίσεις κλειδιών μητρώου.

Σημείωση: Από προεπιλογή, η ενεργοποίηση μετριασμάτων που είναι απενεργοποιημένες μπορεί να επηρεάσει τις επιδόσεις της συσκευής. Η πραγματική επίδραση στις επιδόσεις εξαρτάται από πολλούς παράγοντες, όπως το συγκεκριμένο chipset στη συσκευή και τους φόρτους εργασίας που εκτελούνται.

Ρυθμίσεις μητρώου

Παρέχουμε τις ακόλουθες πληροφορίες μητρώου για την ενεργοποίηση μετριασμών που δεν είναι ενεργοποιημένες από προεπιλογή, όπως τεκμηριώνεται στις Προειδοποιήσεις ασφαλείας (ADV) και στις CVEs. Επιπλέον, παρέχουμε ρυθμίσεις κλειδιού μητρώου για τους χρήστες που θέλουν να απενεργοποιήσουν τους μετριασμούς όταν ισχύουν για τα προγράμματα-πελάτες Windows.

Σημαντικό: Αυτή η ενότητα, μέθοδος ή εργασία περιέχει βήματα που σας καθοδηγούν στον τρόπο τροποποίησης του μητρώου. Ωστόσο, εάν τροποποιήσετε εσφαλμένα το μητρώο, ενδέχεται να προκύψουν σοβαρά προβλήματα. Επομένως, φροντίστε να ακολουθήσετε προσεκτικά αυτά τα βήματα. Για πρόσθετη προστασία, δημιουργήστε ένα αντίγραφο ασφαλείας του μητρώου πριν το τροποποιήσετε. Στη συνέχεια, μπορείτε να επαναφέρετε το μητρώο εάν παρουσιαστεί πρόβλημα. Για περισσότερες πληροφορίες σχετικά με τον τρόπο δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου, ανατρέξτε στο ακόλουθο άρθρο στη Γνωσιακή βάση της Microsoft:322756 Τρόπος δημιουργίας αντιγράφων ασφαλείας και επαναφοράς του μητρώου στα Windows

Σημαντικό: Από προεπιλογή, η δυνατότητα Retpoline είναι ενεργοποιημένη σε συσκευές Windows 10, έκδοση 1809, αν είναι ενεργοποιημένη η Ευπάθμη, Μεταβλητή 2 (CVE-2017-5715). Η ενεργοποίηση του Retpoline στην τελευταία έκδοση του Windows 10 μπορεί να βελτιώσει τις επιδόσεις σε συσκευές που εκτελούν Windows 10, έκδοση 1809 για το Spectre παραλλαγή 2, ιδιαίτερα σε παλαιότερους επεξεργαστές.

Για να ενεργοποιήσετε προεπιλεγμένους μετριασμούς για CVE-2017-5715 (Spectre Variant 2) και CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές.

Για να απενεργοποιήσετε τους μετριασμούς για το CVE-2017-5715 (Spectre Variant 2) και το CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές.

Σημείωση: Η τιμή 3 είναι ακριβής για τις επιλογές FeatureSettingsOverrideMask τόσο για τις ρυθμίσεις "ενεργοποίησης" όσο και για τις ρυθμίσεις "απενεργοποίησης". (Ανατρέξτε στην ενότητα "Συνήθεις ερωτήσεις" για περισσότερες λεπτομέρειες σχετικά με τα κλειδιά μητρώου.)

Για να απενεργοποιήσετε τους μετριασμούς για το CVE-2017-5715 (Spectre Variant 2) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές.

Για να ενεργοποιήσετε προεπιλεγμένους μετριασμούς για CVE-2017-5715 (Spectre Variant 2) και CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές.

Από προεπιλογή, η προστασία από χρήστη σε πυρήνα για CVE-2017-5715 είναι απενεργοποιημένη για AMD και ARM CSU. Πρέπει να ενεργοποιήσετε τον μετριασμό για να λάβετε επιπλέον μέτρα προστασίας για το CVE-2017-5715. Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Συνήθεις ερωτήσεις #15 στο ADV180002 για επεξεργαστές AMD και Συνήθεις ερωτήσεις #20 σε ADV180002 για επεξεργαστές ARM.

Ενεργοποίηση προστασίας από χρήστη σε πυρήνα σε επεξεργαστές AMD και ARM μαζί με άλλα μέτρα προστασίας για CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές.

Για να ενεργοποιήσετε μετριασμούς για CVE-2018-3639 (Speculative Store Bypass), προεπιλεγμένους μετριασμούς για CVE-2017-5715 (Spectre Variant 2) και CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές.

Σημείωση: Οι επεξεργαστές AMD δεν είναι ευάλωτοι στο CVE-2017-5754 (Meltdown). Αυτό το κλειδί μητρώου χρησιμοποιείται σε συστήματα με επεξεργαστές AMD για την ενεργοποίηση προεπιλεγμένων μετριασμάτων για CVE-2017-5715 σε επεξεργαστές AMD και τον μετριασμό για CVE-2018-3639.

Για να απενεργοποιήσετε μετριασμούς για μετριασμούς για CVE-2018-3639 (Speculative Store Bypass) *και* για CVE-2017-5715 (Spectre Variant 2) και CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές.

Από προεπιλογή, η προστασία από χρήστη σε πυρήνα για CVE-2017-5715 είναι απενεργοποιημένη για τους επεξεργαστές AMD. Οι πελάτες πρέπει να επιτρέψουν στον μετριασμό να λάβει πρόσθετη προστασία για το CVE-2017-5715.  Για περισσότερες πληροφορίες, ανατρέξτε στο θέμα Συνήθεις ερωτήσεις #15 στο ADV180002.

Ενεργοποίηση προστασίας από χρήστη σε πυρήνα σε επεξεργαστές AMD μαζί με άλλα μέτρα προστασίας για CVE 2017-5715 και προστασία για CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές.

Για να ενεργοποιήσετε μετριασμούς για την ευπάθεια Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) και Microarchitectural Data Sampling (CVE-2019)2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) μαζί με τις παραλλαγές Spectre (CVE-2017-5753 & CVE-2017-5715) και Meltdown (CVE-2017-5754) συμπεριλαμβανομένης της απενεργοποίησης της παράκαμψης του speculative Store (SSBD) (CVE-2018-3639) καθώς και του L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 και CVE-2018-3646) χωρίς απενεργοποίηση υπερ-νημάτων:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Εάν είναι εγκατεστημένη η δυνατότητα Hyper-V, προσθέστε την ακόλουθη ρύθμιση μητρώου:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Αν πρόκειται για κεντρικό υπολογιστή Hyper-V και έχουν εφαρμοστεί οι ενημερώσεις υλικολογισμικού: Τερματίστε πλήρως όλες τις Εικονικές μηχανές. Αυτό επιτρέπει την εφαρμογή του μετριασμού που σχετίζεται με το υλικολογισμικό στον κεντρικό υπολογιστή πριν από την εκκίνηση των εικονικών μηχανών. Επομένως, οι εικονικές μηχανές ενημερώνονται επίσης κατά την επανεκκίνηση.

Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές.

To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) με απενεργοποιημένη Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Εάν είναι εγκατεστημένη η δυνατότητα Hyper-V, προσθέστε την ακόλουθη ρύθμιση μητρώου:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Αν πρόκειται για κεντρικό υπολογιστή Hyper-V και έχουν εφαρμοστεί οι ενημερώσεις υλικολογισμικού: Τερματίστε πλήρως όλες τις Εικονικές μηχανές. Αυτό επιτρέπει την εφαρμογή του μετριασμού που σχετίζεται με το υλικολογισμικό στον κεντρικό υπολογιστή πριν από την εκκίνηση των εικονικών μηχανών. Επομένως, οι εικονικές μηχανές ενημερώνονται επίσης κατά την επανεκκίνηση.

Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές.

To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and  Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Επανεκκινήστε τη συσκευή για να τεθούν σε ισχύ οι αλλαγές.

Για να ενεργοποιήσετε τον μετριασμό για CVE-2022-23825 σε επεξεργαστές AMD :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Για να προστατεύονται πλήρως, οι πελάτες μπορεί επίσης να χρειαστεί να απενεργοποιήσουν Hyper-Threading (γνωστό και ως Ταυτόχρονη πολυνηματικά (SMT)). Ανατρέξτε KB4073757για οδηγίες σχετικά με την προστασία συσκευών Windows. 

Για να ενεργοποιήσετε τον μετριασμό για το CVE-2023-20569 σε επεξεργαστές AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Για να ενεργοποιηθεί ο μετριασμός για CVE-2022-0001 σε επεξεργαστές Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Ενεργοποίηση πολλαπλών μετριασμάτων

Για να ενεργοποιήσετε πολλαπλούς μετριασμούς, πρέπει να προσθέσετε το REG_DWORD αξία κάθε μετριασμού μαζί. 

Για παράδειγμα:

Μετριασμός για ευπάθεια Asynchronous Abort συναλλαγών, δειγματοληψία δεδομένων Microarchitectural, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) και L1 Terminal Fault (L1TF) με απενεργοποιημένη Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

ΣΗΜΕΙΩΣΗ 8264 (σε δεκαδική) = 0x2048 (σε δεκαεξαδική)

Για να ενεργοποιήσετε το BHI μαζί με άλλες υπάρχουσες ρυθμίσεις, θα πρέπει να χρησιμοποιήσετε το or τρέχουσας τιμής σε επίπεδο bit με 8.388.608 (0x800000). 

0x800000 OR 0x2048(8264 σε δεκαδική) και θα μετατραπεί σε 8.396.872 (0x802048). Το ίδιο και με τη μάσκα FeatureSettingsOverride.

Μετριασμός για CVE-2022-0001 σε επεξεργαστές Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Συνδυασμένος μετριασμός

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Μετριασμός για ευπάθεια Asynchronous Abort συναλλαγών, δειγματοληψία δεδομένων Microarchitectural, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD) και L1 Terminal Fault (L1TF) με απενεργοποιημένη Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

Μετριασμός για CVE-2022-0001 σε επεξεργαστές Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Συνδυασμένος μετριασμός

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Επαλήθευση ότι τα μέτρα προστασίας είναι ενεργοποιημένα

Για να επαληθεύσουμε ότι είναι ενεργοποιημένα τα μέτρα προστασίας, δημοσιεύσαμε μια δέσμη ενεργειών του PowerShell την οποία μπορείτε να εκτελέσετε στις συσκευές σας. Εγκαταστήστε και εκτελέστε τη δέσμη ενεργειών χρησιμοποιώντας μία από τις παρακάτω μεθόδους.

Εγκαταστήστε τη Λειτουργική μονάδα PowerShell:

PS> Install-Module SpeculationControl

Εκτελέστε τη λειτουργική μονάδα PowerShell για να βεβαιωθείτε ότι είναι ενεργοποιημένα τα μέτρα προστασίας:

PS> # Αποθήκευση της τρέχουσας πολιτικής εκτέλεσης, ώστε να είναι δυνατή η επαναφορά της

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Επαναφορά της πολιτικής εκτέλεσης στην αρχική κατάσταση

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Εγκαταστήστε τη λειτουργική μονάδα PowerShell από το Technet ScriptCenter:

Μετάβαση στο https://aka.ms/SpeculationControlPS

Κάντε λήψη SpeculationControl.zip σε έναν τοπικό φάκελο.

Εξαγάγετε τα περιεχόμενα σε έναν τοπικό φάκελο, για παράδειγμα C:\ADV180002

Εκτελέστε τη λειτουργική μονάδα PowerShell για να βεβαιωθείτε ότι είναι ενεργοποιημένα τα μέτρα προστασίας:

Ξεκινήστε το PowerShell και, στη συνέχεια, (χρησιμοποιώντας το προηγούμενο παράδειγμα) αντιγράψτε και εκτελέστε τις ακόλουθες εντολές:

PS> # Αποθήκευση της τρέχουσας πολιτικής εκτέλεσης, ώστε να είναι δυνατή η επαναφορά της

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Επαναφορά της πολιτικής εκτέλεσης στην αρχική κατάσταση

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Για μια λεπτομερή επεξήγηση της εξόδου της δέσμης ενεργειών PowerShell, ανατρέξτε στο θέμα KB4074629.

Συνήθεις ερωτήσεις

Ο μικροκώδικας παρέχεται μέσω μιας ενημέρωσης υλικολογισμικού. Θα πρέπει να συμβουλευτείτε τη CPU (chipset) και τους κατασκευαστές συσκευών σχετικά με τη διαθεσιμότητα των κατάλληλων ενημερώσεων ασφαλείας υλικολογισμικού για τη συγκεκριμένη συσκευή τους, συμπεριλαμβανομένων των οδηγιών αναθεώρησης μικροκώδικα της Intel.

Η αντιμετώπιση μιας ευπάθειας υλικού μέσω μιας ενημέρωσης λογισμικού παρουσιάζει σημαντικές προκλήσεις. Επίσης, οι μετριασμούς για παλαιότερα λειτουργικά συστήματα απαιτούν εκτεταμένες αλλαγές αρχιτεκτονικής. Συνεργαζόμαστε με τους κατασκευαστές των επηρεαζόμενων chip, για να προσδιορίσουμε τον καλύτερο τρόπο παροχής μετριασμάτων, οι οποίοι ενδέχεται να παρέχονται σε μελλοντικές ενημερώσεις.

Ενημερώσεις για συσκευές Microsoft Surface θα παραδίδεται στους πελάτες μέσω Windows Update μαζί με τις ενημερώσεις για το λειτουργικό σύστημα Windows. Για μια λίστα με τις διαθέσιμες ενημερώσεις υλικολογισμικού συσκευής Surface (μικροκώδικα), ανατρέξτε στο θέμα KB4073065.

Αν η συσκευή σας δεν είναι από τη Microsoft, ενημερώστε το υλικολογισμικό από τον κατασκευαστή της συσκευής. Για περισσότερες πληροφορίες, επικοινωνήστε με τον κατασκευαστή της συσκευής OEM.

Τον Φεβρουάριο και τον Μάρτιο του 2018, η Microsoft κυκλοφόρησε μια πρόσθετη προστασία για ορισμένα συστήματα που βασίζονται σε x86. Για περισσότερες πληροφορίες, ανατρέξτε στο KB4073757 και στο Συμβουλευτικό ADV180002 ασφάλειας της Microsoft.

Ενημερώσεις να Windows 10 για το HoloLens είναι διαθέσιμες στους πελάτες του HoloLens μέσω Windows Update.

Μετά την εφαρμογή της Ενημέρωσης Ασφάλεια των Windows Φεβρουαρίου 2018, οι πελάτες του HoloLens δεν χρειάζεται να προβούν σε πρόσθετες ενέργειες για να ενημερώσουν το υλικολογισμικό της συσκευής τους. Αυτοί οι μετριασμούς θα συμπεριληφθούν επίσης σε όλες τις μελλοντικές εκδόσεις Windows 10 για το HoloLens.

Όχι. Οι ενημερώσεις αποκλειστικά για την ασφάλεια δεν είναι αθροιστικές. Ανάλογα με την έκδοση του λειτουργικού συστήματος που χρησιμοποιείτε, θα πρέπει να εγκαθιστάτε κάθε μηνιαία ενημέρωση αποκλειστικά για την ασφάλεια για να προστατευτείτε από αυτές τις ευπάθειες. Για παράδειγμα, αν εκτελείτε windows 7 για συστήματα 32 bit σε μια CPU intel που επηρεάζεται, πρέπει να εγκαταστήσετε όλες τις ενημερώσεις αποκλειστικά για την ασφάλεια. Συνιστάται να εγκαταστήσετε αυτές τις ενημερώσεις αποκλειστικά για την ασφάλεια κατά σειρά κυκλοφορίας.

Σημείωση Μια παλαιότερη έκδοση αυτών των συνήθων ερωτήσεις ανέφερε εσφαλμένα ότι η ενημέρωση Μόνο για την ασφάλεια του Φεβρουαρίου περιελάμβανε τις επιδιορθώσεις ασφαλείας που κυκλοφόρησαν τον Ιανουάριο. Στην πραγματικότητα, δεν το κάνει.

Όχι. Η ενημέρωση ασφαλείας 4078130 ήταν μια συγκεκριμένη επιδιόρθωση για την αποτροπή απρόβλεπτων συμπεριφορών του συστήματος, ζητημάτων επιδόσεων ή/και μη αναμενόμενων επανεκκινήσεων μετά την εγκατάσταση μικροκώδικα. Η εφαρμογή των ενημερώσεων ασφαλείας του Φεβρουαρίου σε λειτουργικά συστήματα υπολογιστή-πελάτη Windows ενεργοποιεί και τους τρεις μετριασμούς.

Η Intel ανακοίνωσε πρόσφατα ότι ολοκλήρωσε τις επικυρώσεις της και άρχισε να κυκλοφορεί μικροκώδικα για νεότερες πλατφόρμες CPU. Η Microsoft κυκλοφορεί επικυρωμένες ενημερώσεις μικροκώδικα της Intel γύρω από το Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 παραθέτει συγκεκριμένα άρθρα της Γνωσιακής βάσης ανά έκδοση των Windows. Κάθε συγκεκριμένο KB περιέχει τις διαθέσιμες ενημερώσεις μικροκώδικα της Intel με βάση τον επεξεργαστή.

Αυτό το πρόβλημα επιλύθηκε στο KB4093118.

Η AMD ανακοίνωσε πρόσφατα ότι άρχισε να κυκλοφορεί μικροκώδικα για νεότερες πλατφόρμες CPU γύρω από το Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Για περισσότερες πληροφορίες, ανατρέξτε στο Ενημερώσεις ασφάλειας AMD και στο AMD Whitepaper: Αρχιτεκτονικές οδηγίες σχετικά με τον έμμεσο έλεγχο κλάδων. Αυτά είναι διαθέσιμα από το κανάλι υλικολογισμικού OEM.

Διαθέτουμε επικυρωμένες ενημερώσεις μικροκώδικα της Intel γύρω από το Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection "). Για να λάβουν τις πιο πρόσφατες ενημερώσεις μικροκώδικα της Intel μέσω Windows Update, οι πελάτες πρέπει να έχουν εγκαταστήσει μικροκώδικα της Intel σε συσκευές που εκτελούν λειτουργικό σύστημα Windows 10 πριν από την αναβάθμιση στην Ενημέρωση Απριλίου 2018 Windows 10 (έκδοση 1803).

Η ενημέρωση μικροκώδικα είναι επίσης διαθέσιμη απευθείας από τον κατάλογο, αν δεν εγκαταστάθηκε στη συσκευή πριν από την αναβάθμιση του λειτουργικού συστήματος. Ο μικροκώδικας της Intel είναι διαθέσιμος μέσω του Windows Update, του WSUS ή του Καταλόγου του Microsoft Update. Για περισσότερες πληροφορίες και οδηγίες λήψης, ανατρέξτε στο θέμα KB4100347.

Για λεπτομέρειες, ανατρέξτε στις ενότητες "Προτεινόμενες ενέργειες" και "Συνήθεις ερωτήσεις" στο ADV180012 | Οδηγίες της Microsoft για υποθετική παράκαμψη του Store.

Για να επαληθευτεί η κατάσταση της SSBD, η δέσμη ενεργειών του Get-SpeculationControlSettings PowerShell ενημερώθηκε για τον εντοπισμό των επηρεαζόμενων επεξεργαστών, την κατάσταση των ενημερώσεων του λειτουργικού συστήματος SSBD και την κατάσταση του μικροκώδικα επεξεργαστή, εάν υπάρχει. Για περισσότερες πληροφορίες και για να λάβετε τη δέσμη ενεργειών του PowerShell, ανατρέξτε στο θέμα KB4074629.

Στις 13 Ιουνίου 2018, ανακοινώθηκε και εκχωρήθηκε στο CVE-2018-3665 μια πρόσθετη ευπάθεια που αφορά την υποθετική εκτέλεση πλευρικού καναλιού, γνωστή ως Lazy FP State Restore. Δεν απαιτούνται ρυθμίσεις παραμέτρων (μητρώου) για την Επαναφορά τεμπελιάς επαναφοράς FP.

Για περισσότερες πληροφορίες σχετικά με αυτή την ευπάθεια και για τις προτεινόμενες ενέργειες, ανατρέξτε στο συμβουλευτικό ADV180016 ασφαλείας | Οδηγίες της Microsoft για lazy FP State Restore.

Σημείωση: Δεν απαιτούνται ρυθμίσεις παραμέτρων (μητρώου) για την Επαναφορά τεμπελιάς επαναφοράς FP.

Το Store παράκαμψης ελέγχου ορίων (BCBS) γνωστοποιήθηκε στις 10 Ιουλίου 2018 και εκχωρήθηκε CVE-2018-3693. Θεωρούμε ότι το BCBS ανήκει στην ίδια κατηγορία ευπαθειών με την Bounds Check Bypass (Παραλλαγή 1). Επί του παρόντος, δεν γνωρίζουμε περιπτώσεις BCBS στο λογισμικό μας, αλλά συνεχίζουμε να ερευνούμε αυτή την κλάση ευπάθειας και θα συνεργαστούμε με συνεργάτες του κλάδου για την κυκλοφορία μετριασμών όπως απαιτείται. Συνεχίζουμε να ενθαρρύνουμε τους ερευνητές να υποβάλουν τυχόν σχετικά ευρήματα στο πρόγραμμα επικήρυξης Speculative Execution Side Channel της Microsoft, συμπεριλαμβανομένων οποιωνδήποτε αξιοποιήσιμων περιπτώσεων BCBS. Οι προγραμματιστές λογισμικού θα πρέπει να εξετάσουν τις οδηγίες για προγραμματιστές που ενημερώθηκαν για το BCBS στις https://aka.ms/sescdevguide.

Στις 14 Αυγούστου 2018, ανακοινώθηκε το σφάλμα τερματικού L1 (L1TF) και του ανατέθηκαν πολλά CVEs. Αυτές οι νέες ευπάθειες υποθετικής εκτέλεσης πλευρικού καναλιού μπορούν να χρησιμοποιηθούν για την ανάγνωση του περιεχομένου της μνήμης πέρα από ένα αξιόπιστο όριο και, εάν αξιοποιηθούν, μπορούν να οδηγήσουν σε αποκάλυψη πληροφοριών. Ένας εισβολέας θα μπορούσε να προκαλέσει τις ευπάθειες μέσω πολλών διανυσμάτων, ανάλογα με το ρυθμισμένο περιβάλλον. Το L1TF επηρεάζει τους επεξεργαστές Intel® Core® και τους επεξεργαστές Intel® Xeon®.

Για περισσότερες πληροφορίες σχετικά με αυτή την ευπάθεια και μια λεπτομερή προβολή των επηρεαζόμενων σεναρίων, συμπεριλαμβανομένης της προσέγγισης της Microsoft για τον μετριασμό του L1TF, ανατρέξτε στους ακόλουθους πόρους:

Οι πελάτες που χρησιμοποιούν επεξεργαστές ARM 64 bit θα πρέπει να επικοινωνούν με τον OEM της συσκευής για υποστήριξη υλικολογισμικού, επειδή οι προστασίες λειτουργικού συστήματος ARM64 που μετριάζουν το CVE-2017-5715 | Για την ένεση προορισμού κλάδου (Spectre, Variant 2) απαιτείται η πιο πρόσφατη ενημέρωση υλικολογισμικού από OEM συσκευής.

Για περισσότερες πληροφορίες, ανατρέξτε στις ακόλουθες προειδοποιήσεις ασφαλείας 

Για περισσότερες πληροφορίες, ανατρέξτε στις ακόλουθες προειδοποιήσεις ασφαλείας

Για περισσότερες πληροφορίες σχετικά με την ενεργοποίηση retpoline, ανατρέξτε στη δημοσίευση ιστολογίου μας: Mitigating Spectre variant 2 with Retpoline on Windows

Για λεπτομέρειες σχετικά με αυτή την ευπάθεια, ανατρέξτε στον Οδηγό ασφαλείας της Microsoft: CVE-2019-1125 | Ευπάθεια αποκάλυψης πληροφοριών πυρήνα των Windows.

Δεν γνωρίζουμε καμία περίπτωση ευπάθειας αποκάλυψης πληροφοριών που επηρεάζει την υποδομή της υπηρεσίας cloud.

Μόλις συνειδητοποιήσαμε αυτό το πρόβλημα, εργαστήκαμε γρήγορα για να το αντιμετωπίσουμε και να κυκλοφορήσει μια ενημέρωση. Πιστεύουμε ακράδαντα σε στενές συνεργασίες τόσο με ερευνητές όσο και με συνεργάτες του κλάδου για να κάνουμε τους πελάτες πιο ασφαλείς και δεν δημοσιεύσαμε λεπτομέρειες μέχρι την Τρίτη 6 Αυγούστου, συνεπείς με συντονισμένες πρακτικές γνωστοποίησης ευπαθειών.

Αναφορές

Παρέχουμε στοιχεία επικοινωνίας τρίτων για να σας βοηθήσουμε να βρείτε τεχνική υποστήριξη. Αυτά τα στοιχεία επικοινωνίας μπορεί να αλλάξουν χωρίς προειδοποίηση. Δεν εγγυόμαστε την ακρίβεια αυτών των στοιχείων επικοινωνίας τρίτου κατασκευαστή.

Χρειάζεστε περισσότερη βοήθεια;

Θέλετε περισσότερες επιλογές;

Εξερευνήστε τα πλεονεκτήματα της συνδρομής, περιηγηθείτε σε εκπαιδευτικά σεμινάρια, μάθετε πώς μπορείτε να προστατεύσετε τη συσκευή σας και πολλά άλλα.

Οι κοινότητες σάς βοηθούν να κάνετε και να απαντάτε σε ερωτήσεις, να δίνετε σχόλια και να ακούτε από ειδικούς με πλούσια γνώση.