שנה תאריך |
Decription of change |
---|---|
(יום שלישי 20 אפריל 2023) |
|
ה-8 באוגוסט 2023 |
|
ה-9 באוגוסט 2023 |
|
9 באפריל 2024 |
|
ה-16 באפריל 2024 |
|
סיכום
מאמר זה מספק הדרכה עבור כיתה חדשה של פגיעויות ערוץ צדדי המבוססות על מיקרו-ארכיון ומבוסס סיליקון וביצוע ספקולטיבי המשפיעות על מעבדים מודרניים ומערכות הפעלה רבות. הדבר כולל את Intel, AMD ו- ARM. ניתן למצוא פרטים ספציפיים עבור פגיעויות מבוססות סיליקון אלה ב- ADVs (בעיות אבטחה) וב- CVEs הבאים (פגיעויות נפוצות וחשיפה):
-
ADV180002 | הדרכה להפחתת פגיעויות ערוץ צדדי של ביצוע ספקולטיבי
-
ADV180013 | הדרכה של Microsoft עבור רישום מערכת נוכלים קריאה
-
ADV190013 | הדרכה של Microsoft להפחתת פגיעויות בדגימה של נתונים מיקרו-ארכיון
-
ADV220002 | הדרכה של Microsoft לגבי פגיעויות נתונים מיו החדשות של מעבד Intel MMIO
חשוב: בעיות אלה משפיעות גם על מערכות הפעלה אחרות, כגון Android, Chrome, iOS ו- MacOS. אנו ממליצים ללקוחות לבקש הדרכה מספקים אלה.
פרסמנו כמה עדכונים כדי לסייע בהפחתת פגיעויות אלה. בנוסף, נקטנו פעולה כדי לאבטח את שירותי הענן שלנו. עיין בסעיפים הבאים לקבלת פרטים נוספים.
עדיין לא קיבלנו מידע המציין כי פגיעויות אלה שימשו כדי לתקוף לקוחות. אנו עובדים בשיתוף פעולה עם שותפים בתעשייה, כולל יצרני שבבים, יצרני ציוד מקורי של חומרה וספקי יישומים כדי להגן על לקוחות. כדי לקבל את כל הגנות הזמינות, נדרשים עדכוני קושחה (מיקרו-קוד) ותוכנה. הדבר כולל מיקרו-קוד של יצרני ציוד מקורי (OEM) של המכשיר, ובמקרים מסוימים עדכונים בתוכנת אנטי-וירוס.
פגיעויות
מאמר זה מטפל בפגיעויות הבאות של ביצוע ספקולטיבי:
Windows Update יספקו גם צמצום סיכונים של Internet Explorer ו- Edge. אנו נמשיך לשפר צמצום סיכונים אלה כנגד רמת פגיעויות זו.
לקבלת מידע נוסף על מחלקה זו של פגיעויות, ראה
ב- 14 במאי 2019, Intel פרסמה מידע על מחלקה חדשה של פגיעויות ערוץ צדדי של ביצוע ספקולטיבי הידועות כדגימה של נתונים של Microarchitectural ותעדו ב- ADV190013 | דגימת נתונים מיקרו-ארכיון. הוקצו להם ה- CVEs הבאים:
-
CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | דגימה של נתוני מאגר מאגר של מיקרו-ארכיון (MSBDS)
-
CVE-2018-12127 | דגימה של נתוני מאגר מילוי מיקרו-ארכיון (MFBDS)
-
CVE-2018-12130 | דגימה של נתוני יציאת טעינה של מיקרו-ארכיון (MLPDS)
חשוב: בעיות אלה ישפיעו על מערכות אחרות כגון Android, Chrome, iOS ו- MacOS. אנו ממליצים ללקוחות לבקש הדרכה מספקים אלה.
Microsoft פרסמה עדכונים כדי לסייע בהפחתת פגיעויות אלה. כדי לקבל את כל הגנות הזמינות, נדרשים עדכוני קושחה (מיקרו-קוד) ותוכנה. זה עשוי לכלול מיקרו-קוד של יצרני ציוד מקורי של מכשיר. במקרים מסוימים, התקנת עדכונים אלה תשפיע על הביצועים. פעלנו גם כדי לאבטח את שירותי הענן שלנו. אנו ממליצים מאוד לפרוס עדכונים אלה.
לקבלת מידע נוסף אודות בעיה זו, עיין בהדרכה הבאה בנושא אבטחה מייעצת והשתמש בהדרכה מבוססת תרחישים כדי לקבוע את הפעולות הדרושות כדי לצמצם את האיום:
-
ADV190013 | הדרכה של Microsoft להפחתת פגיעויות בדגימה של נתונים מיקרו-ארכיון
-
הדרכה של Windows להגנה מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי
הערה: מומלץ להתקין את כל העדכונים האחרונים מ- Windows Update לפני התקנת עדכוני מיקרו-קוד.
ב- 6 באוגוסט 2019, Intel פרסמה פרטים על פגיעות גילוי מידע של הליבה של Windows. פגיעות זו היא משתנה של פגיעות ערוץ צדדי של ביצוע ספקולטיבי Spectre, Variant 1, שהוקצתה לה CVE-2019-1125.
ב- 9 ביולי 2019 הפצנו עדכוני אבטחה עבור מערכת ההפעלה Windows כדי לעזור לצמצם בעיה זו. שים לב שהחזקנו את המסמך לתיעוד צמצום סיכונים זה באופן ציבורי עד לחשיפה המתואמת בתעשייה ביום שלישי, 6 באוגוסט 2019.
לקוחות שהופעלו Windows Update את עדכוני האבטחה שהופצו ב- 9 ביולי, 2019 מוגנים באופן אוטומטי. אין צורך בתצורה נוספת.
הערה: פגיעות זו אינה דורשת עדכון מיקרו-קוד של יצרן המכשיר (OEM).
לקבלת מידע נוסף אודות פגיעות זו ועדכונים ישימים, עיין במדריך עדכון האבטחה של Microsoft:
ב- 12 בנובמבר 2019, Intel פרסמה בעיה מינורית טכנית סביב Intel® Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability that is assigned CVE-2019-11135. Microsoft פרסמה עדכונים כדי לסייע בהפחתת הפגיעות, וההגנת על מערכת ההפעלה מופעלת כברירת מחדל עבור Windows Server 2019, אך אינה זמינה כברירת מחדל עבור Windows Server 2016 ומהדורות קודמות של מערכת ההפעלה Windows Server.
ב- 14 ביוני 2022, פרסמנו את ADV220002 | הדרכה של Microsoft לגבי פגיעויות נתונים מיורכבות של מעבד Intel MMIO והקצית את ה- CVEs הבאים:
פעולות מומלצות
עליך לבצע את הפעולות הבאות כדי לסייע בהגנה מפני פגיעויות:
-
החל את כל העדכונים הזמינים למערכת ההפעלה Windows, כולל עדכוני האבטחה החודשיים של Windows.
-
החל את עדכון הקושחה (מיקרו-קוד) הרלוונטי שסופק על-ידי יצרן ההתקן.
-
הערכת הסיכון לסביבה שלך בהתבסס על המידע הכלול ב- Microsoft Security Advisories: ADV180002, ADV180012, ADV190013ו- ADV220002, בנוסף למידע שסופק במאמר Knowledge Base זה.
-
בצע פעולה בהתאם לצורך על-ידי שימוש בפרטי מפתח הרישום והתייעויות המסופקים במאמר Knowledge Base זה.
הערה: לקוחות Surface יקבלו עדכון מיקרו-קוד באמצעות Windows Update. לקבלת רשימה של עדכוני הקושחה (מיקרו-קוד) האחרונים של מכשיר Surface, ראה KB4073065.
ב- 12 ביולי 2022, פרסמנו את CVE-2022-23825 | AMD CPU Branch Type Confusion המתאר כי כינויים במנבא הענף עלולים לגרום למעבדי AMD מסוימים לחזות את סוג הענף הלא נכון. בעיה זו עשויה להוביל לגילוי מידע.
כדי לסייע בהגנה מפני פגיעות זו, מומלץ להתקין עדכוני Windows מתאריך יולי 2022 או לאחר מכן, ולאחר מכן לבצע פעולה בהתאם לצורך על-ידי CVE-2022-23825 ופרטי מפתח רישום המסופקים במאמר Knowledge Base זה.
לקבלת מידע נוסף, עיין בעלון האבטחה AMD-SB-1037 .
ב- 8 באוגוסט 2023, פרסמנו את CVE-2023-20569 | מנבא כתובת השולח (הידוע גם בשם Inception) המתאר מתקפה ערוץ צדדי ספקולטיבי חדשה שעלולה לגרום לביצוע ספקולטיבי בכתובת הנשלטת על-ידי תוקף. בעיה זו משפיעה על מעבדים מסוימים של AMD ועל שהיא עלולה להוביל לגילוי מידע.
כדי לסייע בהגנה מפני פגיעות זו, מומלץ להתקין עדכוני Windows מתאריך או לאחר אוגוסט 2023 ולאחר מכן לבצע פעולה בהתאם לצורך על-ידי CVE-2023-20569 ופרטי מפתח רישום המסופקים במאמר Knowledge Base זה.
לקבלת מידע נוסף, עיין בעלון האבטחה AMD-SB-7005 .
ב- 9 באפריל 2024 פרסמנו את CVE-2022-0001 | הזרקת היסטוריית ענף של Intel המתארת הזרקת היסטוריית ענף (BHI) שהיא צורה ספציפית של BTI במצב אינטרא-מצב. פגיעות זו מתרחשת כאשר תוקף עשוי לטפל בהיסטוריית הסתעפות לפני מעבר ממשתמש למצב מפקח (או מ- VMX שאינו בסיס/אורח למצב בסיס). טיפול זה עלול לגרום לחיזוי ענף עקיף לבחור ערך חיזוי ספציפי עבור ענף עקיף, וגאדג'ט גילוי ביעד החזוי יופעל זמנית. ייתכן שזה אפשרי מכיוון שהיסטוריית הענף הרלוונטית עשויה להכיל ענפים שבוצעו בהקשרי אבטחה קודמים, ובפרט מצבי חיזוי אחרים.
הגדרות צמצום סיכונים עבור Windows Server ו- Azure Stack HCI
בעיות אבטחה מינורית (ADVs) ו- CVEs מספקות מידע אודות הסיכון שפגיעות אלה גורמת לו. הן גם עוזרות לך לזהות את הפגיעויות ולזהות את מצב ברירת המחדל של צמצום סיכונים עבור מערכות Windows Server. הטבלה שלהלן מסכמת את הדרישה של מיקרו-קוד CPU ואת מצב ברירת המחדל של צמצום הסיכונים ב- Windows Server.
Cve |
דורש מיקרו-קוד/קושחה של CPU? |
מצב ברירת מחדל של צמצום סיכונים |
---|---|---|
לא |
זמין כברירת מחדל (אין אפשרות להפוך ללא זמין) עיין בנושא ADV180002 לקבלת מידע נוסף |
|
כן |
לא זמין כברירת מחדל. עיין במאמר ADV180002 מידע נוסף ומאמר KB זה לקבלת הגדרות מפתח רישום ישימות. הערה האפשרות Retpoline מופעלת כברירת מחדל עבור מכשירים שבהם פועל Windows 10, גירסה 1809 ואילך אם Spectre Variant 2 (CVE-2017-5715) זמין. לקבלת מידע נוסף על "Retpoline", עקוב אחר צמצום Spectre variant 2 באמצעות Retpoline בפרסום הבלוג של Windows . |
|
לא |
Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל. Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.עיין במאמר ADV180002 לקבלת מידע נוסף. |
|
Intel: כן AMD: לא |
לא זמין כברירת מחדל. ראה ADV180012 מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות. |
|
Intel: כן |
Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל. Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.ראה ADV190013 מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות. |
|
Intel: כן |
Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל. Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.ראה ADV190013 מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות. |
|
Intel: כן |
Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל. Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.ראה ADV190013 מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות. |
|
Intel: כן |
Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל. Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.ראה ADV190013 מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות. |
|
Intel: כן |
Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל. Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.ראה CVE-2019-11135 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות. |
|
CVE-2022-21123 (חלק מ- MMIO ADV220002) |
Intel: כן |
Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל. Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.*ראה CVE-2022-21123 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות. |
CVE-2022-21125 (חלק מ- MMIO ADV220002) |
Intel: כן |
Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל. Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.*ראה CVE-2022-21125 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות. |
CVE-2022-21127 (חלק מ- MMIO ADV220002) |
Intel: כן |
Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל. Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.*ראה CVE-2022-21127 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות. |
CVE-2022-21166 (חלק מ- MMIO ADV220002) |
Intel: כן |
Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל. Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.*ראה CVE-2022-21166 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות. |
CVE-2022-23825 (AMD CPU Branch Type Confusion) |
AMD: לא |
ראה CVE-2022-23825 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות. |
CVE-2023-20569 (AMD CPU Return Address Predictor) |
AMD: כן |
ראה CVE-2023-20569 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות. |
Intel: לא |
לא זמין כברירת מחדל ראה CVE-2022-0001 לקבלת מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות. |
* פעל בהתאם להדרכה בנושא צמצום סיכונים עבור Meltdown להלן.
אם ברצונך להשיג את כל הגנות הזמינות מפני פגיעויות אלה, עליך לבצע שינויים במפתח הרישום כדי לאפשר צמצום סיכונים אלה שאינם זמינים כברירת מחדל.
הפעלת צמצום סיכונים אלה עשויה להשפיע על הביצועים. קנה המידה של אפקטי הביצועים תלוי בגורמים מרובים, כגון ערכת השבבים הספציפית במארח הפיזי שלך ועומסי העבודה הפועלים. מומלץ להעריך את אפקטי הביצועים עבור הסביבה שלך ולבצע את ההתאמות הנחוצות.
השרת שלך נמצא בסיכון מוגבר אם הוא נמצא באחת מהקטגוריות הבאות:
-
מארחי Hyper-V: דורש הגנה עבור תקיפות VM-to-VM ו- VM-to-host.
-
מארחי שירותי שולחן עבודה מרוחק (RDSH): דורש הגנה מהפעלה אחת להפעלה אחרת או מפני תקיפות הפעלה למארח.
-
מארחים פיזיים או מחשבים וירטואליים שבהם פועל קוד לא מהימן , כגון גורמים מכילים או הרחבות לא מהימנה עבור מסד נתונים, תוכן אינטרנט לא מהימן או עומסי עבודה שמפעילים קוד ממקורות חיצוניים. תוכנות אלה דורשות הגנה מפני תקיפות תהליך-לתהליך אחר או תקיפות בלתי מהימנה של תהליך-ליבה.
השתמש בהגדרות מפתח הרישום הבאות כדי להפוך את צמצום הסיכונים לזמין בשרת והפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.
הערה: כברירת מחדל, הפיכת צמצום סיכונים לזמינים העשויים להשפיע על הביצועים. אפקט הביצועים בפועל תלוי בגורמים מרובים, כגון ערכת השבבים הספציפית במכשיר ועומסי העבודה הפועלים.
הגדרות רישום
אנו מספקים את פרטי הרישום הבאים כדי לאפשר צמצום סיכונים שאינם זמינים כברירת מחדל, כפי שצוין ב- Security Advisories (ADVs) וב- CVEs. בנוסף, אנו מספקים הגדרות מפתח רישום עבור משתמשים שברצונך לבטל את צמצום הסיכונים כאשר הדבר ישים עבור לקוחות Windows.
חשוב סעיף, שיטה או משימה אלה מכילים שלבים שמסבירים כיצד לשנות את הרישום. עם זאת, בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי. לכן, הקפד לבצע שלבים אלה בזהירות. לקבלת הגנה נוספת, גבה את הרישום לפני שינוי הרישום. לאחר מכן, תוכל לשחזר את הרישום במקרה של בעיה. לקבלת מידע נוסף על אופן גיבוי ושחזור הרישום, עיין במאמר הבא ב- Microsoft Knowledge Base:
KB322756 כיצד לגבות ולשחזר את הרישום ב- Windows
חשובכברירת מחדל, Retpoline מוגדר באופן הבא אם Spectre, Variant 2 mitigation (CVE-2017-5715) זמין:
- Retpoline mitigation מופעלת ב- Windows 10, גירסה 1809 ובגרסאות מתקדמות יותר של Windows.
- Retpoline mitigation אינה זמינה ב- Windows Server 2019 ובגרסאות מאוחרות יותר של Windows Server.
לקבלת מידע נוסף אודות קביעת התצורה של Retpoline, ראה צמצום Spectre variant 2 עם Retpoline ב- Windows.
|
הערה: הגדרת FeatureSettingsOverrideMask ל- 3 מדויקת הן עבור ההגדרות 'הפוך לזמין' והן עבור 'הפוך ללא זמין'. (עיין בסעיף "שאלות נפוצות " לקבלת פרטים נוספים אודות מפתחות רישום.)
כדי להפוך את משתנה 2 ללא זמין: (CVE-2017-5715 | הזרקת יעד הסתעפות) צמצום סיכונים: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. כדי להפוך משתנה 2 לזמין: (CVE-2017-5715 | הזרקת יעד הסתעפות) צמצום סיכונים: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. |
כברירת מחדל, הגנת משתמש-ליבה עבור CVE-2017-5715 אינה זמינה עבור יחידות CPU של AMD. לקוחות חייבים לאפשר צמצום סיכונים כדי לקבל הגנות נוספות עבור CVE-2017-5715. לקבלת מידע נוסף, ראה שאלות נפוצות #15 ADV180002.
אפשר הגנת משתמש-ליבה במעבדי AMD יחד עם הגנות אחרות עבור CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש. הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. |
כדי לאפשר צמצום סיכונים עבור CVE-2018-3639 (מעקף ספקולטיבי של החנות), CVE-2017-5715 (Spectre Variant 2) ו - CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש. הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. כדי לבטל צמצום סיכונים עבור CVE-2018-3639 (מעקף ספקולטיבי של החנות) צמצום סיכונים עבור CVE-2017-5715 (Spectre Variant 2) ו - CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. |
כברירת מחדל, הגנת משתמש-ליבה עבור CVE-2017-5715 אינה זמינה עבור מעבדי AMD. לקוחות חייבים לאפשר צמצום סיכונים כדי לקבל הגנות נוספות עבור CVE-2017-5715. לקבלת מידע נוסף, ראה שאלות נפוצות #15 ADV180002.
אפשר הגנה מפני משתמש-ליבה במעבדי AMD יחד עם הגנות אחרות עבור CVE 2017-5715 והגנתות עבור CVE-2018-3639 (מעקף ספקולטיבי של החנות): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש. הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. |
כדי לאפשר צמצום סיכונים עבור Intel Transactional Synchronization Extensions (Intel TSX) Transaction Synchronous Abort vulnerability (CVE-2019-11135) ו- Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2012 2018-12127 , CVE-2018-12130 ) יחד עם Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] משתנים, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, ו- CVE-2022-21166) כולל מעקף ספקולטיבי של Store Disable (SSBD) [CVE-2018-3639 ] וכן תקלת מסוף L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 ו- CVE-2018-3646] מבלי להפוך את Hyper-Threading ללא זמין: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש. הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. כדי לאפשר צמצום סיכונים עבור Intel Transactional Synchronization Extensions (Intel TSX) Transaction Synchronous Abort vulnerability (CVE-2019-11135) ו- Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2012 2018-12127 , CVE-2018-12130) יחד עם Spectre [CVE-2017-5753 & CVE-2017-5715] ו- Meltdown [CVE-2017-5754] משתנים, כולל מעקף ספקולטיבי של Store Disable (SSBD) [CVE-2018-3639] וכן תקלת מסוף של L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 ו- CVE-2018-3646] כאשר Hyper-Threading לא זמין: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש. הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. כדי לבטל צמצום סיכונים עבור Intel Transactional Synchronization Extensions (Intel TSX) Transaction Synchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2016 2018-12127 , CVE-2018-12130) יחד עם Spectre [CVE-2017-5753 & CVE-2017-5715] ו- Meltdown [CVE-2017-5754] משתנים, כולל מעקף ספקולטיבי של Store Disable (SSBD) [CVE-2018-3639] וכן תקלה במסוף L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 ו - CVE-2018-3646]: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף. |
כדי לאפשר צמצום סיכונים עבור CVE-2022-23825 במעבדי AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
כדי להיות מוגן באופן מלא, ייתכן שלקוחות יצטרכו גם להפוך את Hyper-Threading ללא זמין (המכונה גם ריבוי הליכי משנה (SMT)) בו-זמנית. ראה KB4073757 לקבלת הדרכה בנושא הגנה על מכשירי Windows.
כדי לאפשר צמצום סיכונים עבור CVE-2023-20569 במעבדי AMD:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
כדי לאפשר צמצום סיכונים עבור CVE-2022-0001 במעבדי Intel:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
הפעלת צמצום סיכונים מרובים
כדי לאפשר צמצום סיכונים מרובים, עליך להוסיף את ערך REG_DWORD של כל צמצום סיכונים יחד.
לדוגמה:
צמצום סיכונים עבור פגיעות ביטול אסינכרוני של טרנזקציה, דגימה של נתונים ב- Microarchitectural, Spectre, Meltdown, MMIO, מעקף ספקולטיבי של Store Disable (SSBD) ו- L1 Terminal Fault (L1TF) כאשר Hyper-Threading מושבת |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
הערה 8264 (במספר עשרוני) = 0x2048 (בהקסס) כדי להפוך את BHI לזמין יחד עם הגדרות קיימות אחרות, יהיה עליך להשתמש ב- OR לפי סיביות של הערך הנוכחי עם 8,388,608 (0x800000). 0x800000 OR 0x2048(8264 במספר עשרוני) והוא יהפוך ל- 8,396,872(0x802048). זהה ל- FeatureSettingsOverrideMask. |
|
צמצום סיכונים עבור CVE-2022-0001 במעבדי Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
צמצום סיכונים משולב |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
צמצום סיכונים עבור פגיעות ביטול אסינכרוני של טרנזקציה, דגימה של נתונים ב- Microarchitectural, Spectre, Meltdown, MMIO, מעקף ספקולטיבי של Store Disable (SSBD) ו- L1 Terminal Fault (L1TF) כאשר Hyper-Threading מושבת |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
צמצום סיכונים עבור CVE-2022-0001 במעבדי Intel |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
צמצום סיכונים משולב |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
מוודא שההגנה זמינה
כדי לעזור לוודא הגנות זמינות, פרסמנו קובץ Script של PowerShell שבאפשרותך להפעיל במכשירים שלך. התקן והפעל את קובץ ה- Script באמצעות אחת מהשיטות הבאות.
התקן את מודול PowerShell: PS> Install-Module SpeculationControl הפעל את מודול PowerShell כדי לוודא הגנות זמינות: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
התקן את מודול PowerShell מ- Technet ScriptCenter:
הפעל את מודול PowerShell כדי לוודא הגנות זמינות: הפעל את PowerShell ולאחר מכן השתמש בדוגמה הקודמת כדי להעתיק ולהפעיל את הפקודות הבאות: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
לקבלת הסבר מפורט על הפלט של קובץ ה- Script של PowerShell, ראה KB4074629 .
שאלות נפוצות
כדי לסייע במניעת השפעה לרעה על מכשירי הלקוחות, עדכוני האבטחה של Windows שהופצו בינואר ובינואר 2018 לא הוצעו לכל הלקוחות. לקבלת פרטים, ראה KB407269 .
המיקרו-קוד מועבר באמצעות עדכון קושחה. התייעץ עם יצרן הציוד המקורי לגבי גירסת הקושחה הכוללת את העדכון המתאים עבור המחשב שלך.
קיימים משתנים מרובים המשפיעים על הביצועים, החל מגירסה של המערכת עד עומסי העבודה הפועלים. עבור מערכות מסוימות, אפקט הביצועים יהיה זנילי. עבור אחרים, זה יהיה מאוד חשוב.
מומלץ להעריך את אפקטי הביצועים במערכות ולבצע התאמות לפי הצורך.
בנוסף להנחיות המופיעות במאמר זה בנוגע למחשבים וירטואליים, עליך לפנות לספק השירות שלך כדי לוודא שהמארחים המפעילים את המחשבים הווירטואליים שלך מוגנים כראוי.ספקולטיבי ב- Azure . לקבלת הדרכה לגבי השימוש ב- Azure Update Management כדי לצמצם בעיה זו במחשבים וירטואליים של אורח, ראה KB4077467.
עבור מחשבים וירטואליים של Windows Server הפועלים ב- Azure, ראה הדרכה לצמצום פגיעויות ערוץ צדדי של ביצועהעדכונים שפורסמו עבור תמונות הגורם המכיל של Windows Server עבור Windows Server 2016 ו- Windows 10, גירסה 1709 כוללים את צמצום הסיכונים עבור קבוצת פגיעויות זו. לא נדרשת תצורה נוספת.
הערה עדיין עליך לוודא שהמארח שבו פועלים גורמים מכילים אלה מוגדר לאפשר את צמצום הסיכונים המתאים.לא, סדר ההתקנה אינו משנה.
כן, עליך להפעיל מחדש לאחר עדכון הקושחה (מיקרו-קוד) ולאחר מכן שוב לאחר עדכון המערכת.
להלן הפרטים עבור מפתחות הרישום:
FeatureSettingsOverride מייצג מפת סיביות העוקפת את הגדרת ברירת המחדל ו קובעת אילו צמצום סיכונים יהפוך ללא זמין. Bit 0 שולטת בהפחתת הסיכון התואמת ל- CVE-2017-5715. סיבית 1 שולטת בהפחתת הסיכון התואמת ל- CVE-2017-5754. הסיביות מוגדרות ל- 0 כדי להפוך את צמצום הסיכונים לזמין ול- 1 כדי להפוך את צמצום הסיכונים ללא זמין.
FeatureSettingsOverrideMask מייצג מסיכת מפת סיביות המשמשת יחד עם FeatureSettingsOverride. במצב זה, אנו משתמשים בערך 3 (המיוצג כ- 11 במערכת הספרות הבינאריות או הספרות הבסיסיות 2) כדי לציין את שתי הסיביות הראשונות התואמות לסיכונים הזמינים. מפתח רישום זה מוגדר ל- 3 כדי להפוך את צמצום הסיכונים לזמין או ללא זמין.
MinVmVersionForCpuBasedMitigations מיועד למארחי Hyper-V. מפתח רישום זה מגדיר את גירסת ה- VM המינימלית הנדרשת כדי שתוכל להשתמש ביכולות הקושחה המעודכנת (CVE-2017-5715). הגדר זאת ל - 1.0 כדי לכסות את כל גירסאות ה- VM. שים לב שהמערכת תתעלם מערך רישום זה (בניח) במחשבים מארחים שאינם Hyper-V. לקבלת פרטים נוספים, ראה הגנה על מחשבים וירטואליים של אורח מ- CVE-2017-5715 (הזרקת יעד הסתעפות).
כן, אין תופעות לוואי אם הגדרות רישום אלה מוחלות לפני התקנת התיקונים הקשורים לינואר 2018.
עיין בתיאור מפורט של פלט קובץ ה- Script ב- KB4074629: הכרת פלט Script של ספקולטיוןControl של PowerShell .
כן, עבור מארחי Windows Server 2016 Hyper-V שעדיין אין להם את עדכון הקושחה, פרסמנו הדרכה חלופית שעשויה לעזור לצמצם את המחשב הווירטואלי למחשב וירטואלי או למחשב וירטואלי לתקיפות מארחות. ראה הגנות חלופיות עבור מארחי Windows Server 2016 Hyper-V מול פגיעויות ערוץ צדדי של ביצוע ספקולטיבי .
עדכוני אבטחה בלבד אינם מצטברים. בהתאם לגירסת מערכת ההפעלה שלך, ייתכן שתצטרך להתקין כמה עדכוני אבטחה כדי להגן באופן מלא. באופן כללי, הלקוחות יצטרכו להתקין את העדכונים של ינואר, פברואר, מרץ ואפריל 2018. מערכות עם מעבדי AMD זקוקות לעדכון נוסף, כפי שמוצג בטבלה הבאה:
גירסת מערכת הפעלה |
עדכון אבטחה |
Windows 8.1, Windows Server 2012 R2 |
KB4338815 - אוסף עדכונים חודשי |
KB4338824- אבטחה בלבד |
|
Windows 7 SP1, Windows Server 2008 R2 SP1 או Windows Server 2008 R2 SP1 (התקנת ליבת שרת) |
KB4284826 - אוסף עדכונים חודשי |
KB4284867 - אבטחה בלבד |
|
Windows Server 2008 SP2 |
KB4340583 - עדכון אבטחה |
אנו ממליצים להתקין את עדכוני האבטחה בלבד בסדר ההפצה.
הערה: גירסה קודמת של שאלות נפוצות אלה ציינה באופן שגוי שעדכון האבטחה בלבד של פברואר כלל את תיקוני האבטחה שפורסמו בינואר. למעשה, זה לא.
לא. עדכון KB4078130 היה תיקון ספציפי כדי למנוע אופני פעולה בלתי צפויים של המערכת, בעיות ביצועים והפעלות מחדש בלתי צפויות לאחר התקנת מיקרו-קוד. החלת עדכוני האבטחה במערכות הפעלה של לקוח Windows מאפשרת את כל שלושת צמצום הסיכונים. במערכות ההפעלה של Windows Server, עדיין עליך להפוך את צמצום הסיכונים לזמין לאחר ביצוע הבדיקות המתאימות. לקבלת מידע נוסף, ראה KB4072698.
בעיה זו נפתרה ב- KB4093118.
בפברואר 2018 , Intel הכריזה כי היא השלימה את האימות שלה והתחילה לשחרר מיקרו-קוד עבור פלטפורמות CPU חדשות יותר. Microsoft תפרסם עדכוני מיקרו-קוד שאומתו על-ידי Intel הנוגעים ל- Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | הזרקת יעד הסתעפות). KB4093836 רשימת מאמרים Knowledge Base לפי גירסת Windows. כל מאמר KB ספציפי מכיל את עדכוני המיקרו-קוד הזמינים של Intel לפי CPU.
ב- 11 בינואר 2018, Intel דיווחה על בעיות במיקרו-קוד שהופצו לאחרונה, שנועדו לטפל ב- Spectre variant 2 (CVE-2017-5715 | הזרקת יעד הסתעפות). באופן ספציפי, Intel ציפתה שמיקרו-קוד זה עלול לגרום ל"אתחולים מחדש גבוהים מהצפוי ופעולות בלתי צפויות אחרות של המערכת" ושתרחישים אלה עלולים לגרום ל"אובדן נתונים או נזק."" הניסיון שלנו הוא שיציבות המערכת עלולה לגרום לאובדן נתונים או להשחתה בנסיבות מסוימות. ב- 22 בינואר, Intel ממליצה ללקוחות להפסיק לפרוס את גירסת המיקרו-קוד הנוכחית במעבדים המושפעים בזמן ש- Intel מבצעת בדיקות נוספות לגבי הפתרון המעודכן. אנו מבינים ש- Intel ממשיכה לחקור את ההשפעה הפוטנציאלית של גירסת המיקרו-קוד הנוכחית. אנו מעודדים את הלקוחות לסקור את ההנחיות שלהם באופן שוטף כדי ליידע את ההחלטות שלהם.
בזמן ש- Intel בודקת, מעדכנת ופריסת מיקרו-קוד חדש, אנו זמינים לעדכון מוכן לשימוש (OOB), KB4078130, אשר משבית באופן ספציפי רק את צמצום הסיכונים כנגד CVE-2017-5715. בבדיקות שלנו, עדכון זה נמצא כדי למנוע את אופן הפעולה המתואר. לקבלת הרשימה המלאה של המכשירים, עיין בהדרכה לגבי מהדורת מיקרו-קוד של Intel. עדכון זה מכסה את Windows 7 Service Pack 1 (SP1), Windows 8.1 ואת כל הגירסאות של Windows 10, הן הלקוח והן השרת. אם אתה משתמש במכשיר מושפע, ניתן להחיל עדכון זה על-ידי הורדתו מאתר האינטרנט Microsoft Update Catalog. היישום של תוכן מנה זה מבטל באופן ספציפי רק את צמצום הסיכונים כנגד CVE-2017-5715.
נכון לבעיה זו, אין דוחות ידועים המציינים כי Spectre Variant 2 זה (CVE-2017-5715 | הזרקת יעד הסתעפות) שימשה לתקוף לקוחות. אנו ממליצים, בהתאם לצורך, להפעיל מחדש את צמצום הסיכונים כנגד CVE-2017-5715 כאשר Intel מדווחת כי אופן פעולה בלתי צפוי זה של המערכת נפתר עבור המכשיר שלך.
בפברואר 2018, Intel הכריזה כי היא השלימה את האימות שלה והתחילה לשחרר מיקרו-קוד עבור פלטפורמות CPU חדשות יותר. Microsoft מבצעת עדכוני מיקרו-קוד שאומתו על-ידי Intel הקשורים ל- Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | הזרקת יעד הסתעפות). KB4093836 רשימת מאמרים Knowledge Base לפי גירסת Windows. רשימת KBs עדכוני מיקרו-קוד זמינים של Intel על-ידי CPU.
לקבלת מידע נוסף, ראה AMD Security עדכוניםו- AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . אלה זמינים בערוץ הקושחה של יצרן הציוד המקורי.
אנו זמינים עדכוני מיקרו-קוד שאומתו על-ידי Intel הנוגעים ל- Spectre Variant 2 (CVE-2017-5715 | הזרקת יעד הסתעפות). כדי לקבל את העדכונים האחרונים למיקרו-קוד של Intel באמצעות Windows Update, על הלקוחות להתקין מיקרו-קוד של Intel במכשירים שבהם פועלת מערכת הפעלה של Windows 10 לפני השדרוג לעדכון מאפריל 2018 של Windows 10 (גירסה 1803).
עדכון המיקרו-קוד זמין גם ישירות מ- Microsoft Update Catalog אם הוא לא הותקן במכשיר לפני שדרוג המערכת. מיקרו-קוד של Intel זמין באמצעות Windows Update, Windows Server Update Services (WSUS) או Microsoft Update Catalog. לקבלת מידע נוסף והוראות הורדה, ראה KB4100347.
לקבלת מידע נוסף, עיין במשאבים הבאים:
עיין במקטעים 'פעולות מומלצות' ו'שאלות נפוצות' של ADV180012 | הדרכה של Microsoft לגבי מעקף ספקולטיבי של החנות.
כדי לאמת את המצב של SSBD, קובץ ה- Script של PowerShell Get-SpeculationControlSettings עודכן כדי לזהות מעבדים מושפעים, מצב עדכוני מערכת ההפעלה SSBD ומצב המיקרו-קוד של המעבד, אם ישים. לקבלת מידע נוסף ולהשגת קובץ ה- Script של PowerShell, ראה KB4074629.
ב- 13 ביוני 2018, הוכרז על פגיעות נוספת הכרוכה בביצוע ספקולטיבי בערוץ צדדי, הידוע בשם 'שחזור מצב FP עצלן', והוכרז כי הוא הוקצה ל- CVE-2018-3665 . לקבלת מידע אודות פגיעות זו ופעולות מומלצות, עיין במדריך בנושא ADV180016 | הדרכה של Microsoft לשחזור מצב FP עצלן .
הערה אין הגדרות תצורה נדרשות (רישום) עבור שחזור FP של שחזור עצלן.
Bounds Check Bypass Store (BCBS) פורסם ב- 10 ביולי 2018, והקצה את CVE-2018-3693. אנו מחשיבים את BCBS להשתייך לאותה רמת פגיעויות של עקיפת בדיקת גבול (משתנה 1). איננו מודעים כעת למופעים של BCBS בתוכנה שלנו. עם זאת, אנו ממשיכים לחקור את רמת הפגיעות הזו ויפעלו עם שותפים בתעשייה כדי לשחרר צמצום סיכונים כ הנדרש. אנו מעודדים חוקרים להגיש את הממצאים הרלוונטיים לתוכנית הפרסים של Microsoft Speculative Execution Side Channel, כולל כל המופעים הניתנים לניצול של BCBS. מפתחי תוכנה צריכים לסקור את ההנחיות למפתחים שכבר עודכנו עבור BCBS ב- C++ הדרכה למפתחים עבור ערוצים צדדיים של ביצוע ספקולטיבי
ב- 14 באוגוסט 2018, הוכרז על תקלת מסוף L1 (L1TF) שהוקצתה להם מספר CVEs. פגיעויות ערוץ צדדי חדשות אלה של ביצוע ספקולטיבי יכולות לשמש לקריאת תוכן הזיכרון בגבול מהימן, ואם ייעשה בהם שימוש לרעה, עלולות להוביל לגילוי מידע. קיימים וקטורים מרובים שבהם תוקף עשוי להפעיל את הפגיעויות, בהתאם לסביבה שתצורתה נקבעה. L1TF משפיע על מעבדי Intel® Core® ועל מעבדי Intel® Xeon®.
לקבלת מידע נוסף על פגיעות זו ותצוגה מפורטת של תרחישים מושפעים, כולל הגישה של Microsoft לצמצום L1TF, עיין במשאבים הבאים:
השלבים להפוך את Hyper-Threading ליצרן ציוד מקורי ללא זמינים, אך הם בדרך כלל חלק מכלי ההתקנה והתצורה של ה- BIOS או הקושחה.
לקוחות המשתמשים במעבדי ARM של 64 סיביות צריכים לפנות ליצרן הציוד המקורי (OEM) של המכשיר לקבלת תמיכה בקושחה מכיוון שהגנת מערכת ההפעלה ARM64 אשר מצמצם את CVE-2017-5715 | הזרקת יעד הסתעפות (Spectre, Variant 2) מחייבת שימוש בעדכון הקושחה האחרון של יצרני ציוד מקורי (OEM) של המכשיר כדי להיכנס לתוקף.
לקבלת מידע נוסף, עיין בנושאים המינורית הבאים בנושא אבטחה
ניתן למצוא הדרכה נוספת בהדרכה של Windows להגנה מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי
עיין בהדרכה בנושא Windows כדי להגן מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי
לקבלת הדרכה עבור Azure, עיין במאמר זה: הדרכה לצמצום פגיעויות ערוץ צדדי של ביצוע ספקולטיבי ב- Azure.
לקבלת מידע נוסף על הפעלת Retpoline, עיין בפרסום הבלוג שלנו: צמצום Spectre variant 2 באמצעות Retpoline ב- Windows .
לקבלת פרטים על פגיעות זו, עיין במדריך האבטחה של Microsoft: CVE-2019-1125 | פגיעות גילוי מידע של הליבה של Windows.
איננו מודעים לפגיעות זו של גילוי מידע המשפיעה על תשתית שירות הענן שלנו.
ברגע שנוהרנו לבעיה זו, עבדנו במהירות כדי לטפל בה ולשחרר עדכון. אנו מאמינים מאוד ששותפויות הדוקות עם חוקרים ושותפים בתעשייה כדי להפוך את הלקוחות לאבטחים יותר, ולא פרסמנו פרטים עד יום שלישי, 6 באוגוסט, בהתאם לנוהלי גילוי פגיעויות מתואמים.
ניתן למצוא הדרכה נוספת בהדרכה של Windows כדי להגן מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי.
ניתן למצוא הדרכה נוספת בהדרכה של Windows כדי להגן מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי.
ניתן למצוא הדרכה נוספת בהדרכה לה השבתת יכולת Intel Transactional Synchronization Extensions (Intel TSX).
ספרי עזר
מוצרי הצד השלישי שבהם דן מאמר זה מיוצרים על-ידי חברות שאינן קשורות ל- Microsoft. איננו עורכים כל אחריות, משתמעת או אחרת, לגבי הביצועים או המהימנות של מוצרים אלה.
אנו מספקים פרטי קשר של ספקים חיצוניים כדי לסייע לך למצוא תמיכה טכנית. פרטי קשר אלה עשויים להשתנות ללא הודעה. איננו מבטיחים את מידת הדיוק של פרטי הקשר של ספק חיצוני זה.