Applies ToAzure Stack HCI Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012

שנה תאריך

Decription of change

(יום שלישי 20 אפריל 2023)

  • נוסף מידע רישום MMIO

ה-8 באוגוסט 2023

  • הוסר תוכן אודות CVE-2022-23816 כאשר מספר ה- CVE אינו בשימוש

  • נוסף "בלבול סוג ענף" תחת המקטע 'פגיעויות'

  • נוסף מידע נוסף ל"CVE-2022-23825 | מקטע הרישום AMD CPU Branch Type Confusion (BTC)"

ה-9 באוגוסט 2023

  • עודכן "CVE-2022-23825 | מקטע הרישום AMD CPU Branch Type Confusion (BTC)"

  • נוסף "CVE-2023-20569 | AMD CPU Return Address Predictor" למקטע "Summary"

  • נוסף "CVE-2023-20569 | מקטע הרישום AMD CPU Return Address Predictor"

9 באפריל 2024

  • נוסף CVE-2022-0001 | הזרקת היסטוריה של ענף Intel

ה-16 באפריל 2024

  • נוסף המקטע 'הפעלת צמצום סיכונים מרובים'

פגיעויות

מאמר זה מטפל בפגיעויות הבאות של ביצוע ספקולטיבי:

Windows Update יספקו גם צמצום סיכונים של Internet Explorer ו- Edge. אנו נמשיך לשפר צמצום סיכונים אלה כנגד רמת פגיעויות זו.

לקבלת מידע נוסף על מחלקה זו של פגיעויות, ראה

ב- 14 במאי 2019, Intel פרסמה מידע על מחלקה חדשה של פגיעויות ערוץ צדדי של ביצוע ספקולטיבי הידועות כדגימה של נתונים של Microarchitectural ותעדו ב- ADV190013 | דגימת נתונים מיקרו-ארכיון. הוקצו להם ה- CVEs הבאים:

חשוב: בעיות אלה ישפיעו על מערכות אחרות כגון Android, Chrome, iOS ו- MacOS. אנו ממליצים ללקוחות לבקש הדרכה מספקים אלה.

Microsoft פרסמה עדכונים כדי לסייע בהפחתת פגיעויות אלה. כדי לקבל את כל הגנות הזמינות, נדרשים עדכוני קושחה (מיקרו-קוד) ותוכנה. זה עשוי לכלול מיקרו-קוד של יצרני ציוד מקורי של מכשיר. במקרים מסוימים, התקנת עדכונים אלה תשפיע על הביצועים. פעלנו גם כדי לאבטח את שירותי הענן שלנו. אנו ממליצים מאוד לפרוס עדכונים אלה.

לקבלת מידע נוסף אודות בעיה זו, עיין בהדרכה הבאה בנושא אבטחה מייעצת והשתמש בהדרכה מבוססת תרחישים כדי לקבוע את הפעולות הדרושות כדי לצמצם את האיום:

הערה: מומלץ להתקין את כל העדכונים האחרונים מ- Windows Update לפני התקנת עדכוני מיקרו-קוד.

ב- 6 באוגוסט 2019, Intel פרסמה פרטים על פגיעות גילוי מידע של הליבה של Windows. פגיעות זו היא משתנה של פגיעות ערוץ צדדי של ביצוע ספקולטיבי Spectre, Variant 1, שהוקצתה לה CVE-2019-1125.

ב- 9 ביולי 2019 הפצנו עדכוני אבטחה עבור מערכת ההפעלה Windows כדי לעזור לצמצם בעיה זו. שים לב שהחזקנו את המסמך לתיעוד צמצום סיכונים זה באופן ציבורי עד לחשיפה המתואמת בתעשייה ביום שלישי, 6 באוגוסט 2019.

לקוחות שהופעלו Windows Update את עדכוני האבטחה שהופצו ב- 9 ביולי, 2019 מוגנים באופן אוטומטי. אין צורך בתצורה נוספת.

הערה: פגיעות זו אינה דורשת עדכון מיקרו-קוד של יצרן המכשיר (OEM).

לקבלת מידע נוסף אודות פגיעות זו ועדכונים ישימים, עיין במדריך עדכון האבטחה של Microsoft:

ב- 12 בנובמבר 2019, Intel פרסמה בעיה מינורית טכנית סביב Intel® Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability that is assigned CVE-2019-11135. Microsoft פרסמה עדכונים כדי לסייע בהפחתת הפגיעות, וההגנת על מערכת ההפעלה מופעלת כברירת מחדל עבור Windows Server 2019, אך אינה זמינה כברירת מחדל עבור Windows Server 2016 ומהדורות קודמות של מערכת ההפעלה Windows Server.

ב- 14 ביוני 2022, פרסמנו את ADV220002 | הדרכה של Microsoft לגבי פגיעויות נתונים מיורכבות של מעבד Intel MMIO והקצית את ה- CVEs הבאים: 

פעולות מומלצות

עליך לבצע את הפעולות הבאות כדי לסייע בהגנה מפני פגיעויות:

  1. החל את כל העדכונים הזמינים למערכת ההפעלה Windows, כולל עדכוני האבטחה החודשיים של Windows.

  2. החל את עדכון הקושחה (מיקרו-קוד) הרלוונטי שסופק על-ידי יצרן ההתקן.

  3. הערכת הסיכון לסביבה שלך בהתבסס על המידע הכלול ב- Microsoft Security Advisories: ADV180002, ADV180012, ADV190013ו- ADV220002, בנוסף למידע שסופק במאמר Knowledge Base זה.

  4. בצע פעולה בהתאם לצורך על-ידי שימוש בפרטי מפתח הרישום והתייעויות המסופקים במאמר Knowledge Base זה.

הערה: לקוחות Surface יקבלו עדכון מיקרו-קוד באמצעות Windows Update. לקבלת רשימה של עדכוני הקושחה (מיקרו-קוד) האחרונים של מכשיר Surface, ראה KB4073065.

ב- 12 ביולי 2022, פרסמנו את CVE-2022-23825 | AMD CPU Branch Type Confusion המתאר כי כינויים במנבא הענף עלולים לגרום למעבדי AMD מסוימים לחזות את סוג הענף הלא נכון. בעיה זו עשויה להוביל לגילוי מידע.

כדי לסייע בהגנה מפני פגיעות זו, מומלץ להתקין עדכוני Windows מתאריך יולי 2022 או לאחר מכן, ולאחר מכן לבצע פעולה בהתאם לצורך על-ידי CVE-2022-23825 ופרטי מפתח רישום המסופקים במאמר Knowledge Base זה.

לקבלת מידע נוסף, עיין בעלון האבטחה AMD-SB-1037 .

ב- 8 באוגוסט 2023, פרסמנו את CVE-2023-20569 | מנבא כתובת השולח (הידוע גם בשם Inception) המתאר מתקפה ערוץ צדדי ספקולטיבי חדשה שעלולה לגרום לביצוע ספקולטיבי בכתובת הנשלטת על-ידי תוקף. בעיה זו משפיעה על מעבדים מסוימים של AMD ועל שהיא עלולה להוביל לגילוי מידע.

כדי לסייע בהגנה מפני פגיעות זו, מומלץ להתקין עדכוני Windows מתאריך או לאחר אוגוסט 2023 ולאחר מכן לבצע פעולה בהתאם לצורך על-ידי CVE-2023-20569 ופרטי מפתח רישום המסופקים במאמר Knowledge Base זה.

לקבלת מידע נוסף, עיין בעלון האבטחה AMD-SB-7005 .

ב- 9 באפריל 2024 פרסמנו את CVE-2022-0001 | הזרקת היסטוריית ענף של Intel המתארת הזרקת היסטוריית ענף (BHI) שהיא צורה ספציפית של BTI במצב אינטרא-מצב. פגיעות זו מתרחשת כאשר תוקף עשוי לטפל בהיסטוריית הסתעפות לפני מעבר ממשתמש למצב מפקח (או מ- VMX שאינו בסיס/אורח למצב בסיס). טיפול זה עלול לגרום לחיזוי ענף עקיף לבחור ערך חיזוי ספציפי עבור ענף עקיף, וגאדג'ט גילוי ביעד החזוי יופעל זמנית. ייתכן שזה אפשרי מכיוון שהיסטוריית הענף הרלוונטית עשויה להכיל ענפים שבוצעו בהקשרי אבטחה קודמים, ובפרט מצבי חיזוי אחרים.

הגדרות צמצום סיכונים עבור Windows Server ו- Azure Stack HCI

בעיות אבטחה מינורית (ADVs) ו- CVEs מספקות מידע אודות הסיכון שפגיעות אלה גורמת לו. הן גם עוזרות לך לזהות את הפגיעויות ולזהות את מצב ברירת המחדל של צמצום סיכונים עבור מערכות Windows Server. הטבלה שלהלן מסכמת את הדרישה של מיקרו-קוד CPU ואת מצב ברירת המחדל של צמצום הסיכונים ב- Windows Server.

Cve

דורש מיקרו-קוד/קושחה של CPU?

מצב ברירת מחדל של צמצום סיכונים

CVE-2017-5753

לא

זמין כברירת מחדל (אין אפשרות להפוך ללא זמין)

עיין בנושא ADV180002 לקבלת מידע נוסף

CVE-2017-5715

כן

לא זמין כברירת מחדל.

עיין במאמר ADV180002 מידע נוסף ומאמר KB זה לקבלת הגדרות מפתח רישום ישימות.

הערה האפשרות Retpoline מופעלת כברירת מחדל עבור מכשירים שבהם פועל Windows 10, גירסה 1809 ואילך אם Spectre Variant 2 (CVE-2017-5715) זמין. לקבלת מידע נוסף על "Retpoline", עקוב אחר צמצום Spectre variant 2 באמצעות Retpoline בפרסום הבלוג של Windows .

CVE-2017-5754

לא

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל.Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.

עיין במאמר ADV180002 לקבלת מידע נוסף.

CVE-2018-3639

Intel: כן

AMD: לא

לא זמין כברירת מחדל. ראה ADV180012 מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות.

CVE-2018-11091

Intel: כן

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל.Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.

ראה ADV190013 מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות.

CVE-2018-12126

Intel: כן

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל.Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.

ראה ADV190013 מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות.

CVE-2018-12127

Intel: כן

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל.Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.

ראה ADV190013 מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות.

CVE-2018-12130

Intel: כן

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל.Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.

ראה ADV190013 מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות.

CVE-2019-11135

Intel: כן

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל.Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.

ראה CVE-2019-11135 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות.

CVE-2022-21123 (חלק מ- MMIO ADV220002)

Intel: כן

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל. Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.* 

ראה CVE-2022-21123 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות.

CVE-2022-21125 (חלק מ- MMIO ADV220002)

Intel: כן

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל. Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.* 

ראה CVE-2022-21125 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות.

CVE-2022-21127 (חלק מ- MMIO ADV220002)

Intel: כן

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל. Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.* 

ראה CVE-2022-21127 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות.

CVE-2022-21166 (חלק מ- MMIO ADV220002)

Intel: כן

Windows Server 2019, Windows Server 2022 ו- Azure Stack HCI: מופעל כברירת מחדל. Windows Server 2016 וגירסאות קודמות: לא זמין כברירת מחדל.* 

ראה CVE-2022-21166 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות.

CVE-2022-23825 (AMD CPU Branch Type Confusion)

AMD: לא

ראה CVE-2022-23825 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות.

CVE-2023-20569 (AMD CPU Return Address Predictor)

AMD: כן

ראה CVE-2023-20569 לקבלת מידע נוסף ומאמר זה לקבלת מידע נוסף עבור הגדרות מפתח רישום ישימות.

CVE-2022-0001

Intel: לא

לא זמין כברירת מחדל

ראה CVE-2022-0001 לקבלת מידע נוסף ומאמר זה לקבלת הגדרות מפתח רישום ישימות.

* פעל בהתאם להדרכה בנושא צמצום סיכונים עבור Meltdown להלן.

אם ברצונך להשיג את כל הגנות הזמינות מפני פגיעויות אלה, עליך לבצע שינויים במפתח הרישום כדי לאפשר צמצום סיכונים אלה שאינם זמינים כברירת מחדל.

הפעלת צמצום סיכונים אלה עשויה להשפיע על הביצועים. קנה המידה של אפקטי הביצועים תלוי בגורמים מרובים, כגון ערכת השבבים הספציפית במארח הפיזי שלך ועומסי העבודה הפועלים. מומלץ להעריך את אפקטי הביצועים עבור הסביבה שלך ולבצע את ההתאמות הנחוצות.

השרת שלך נמצא בסיכון מוגבר אם הוא נמצא באחת מהקטגוריות הבאות:

  • מארחי Hyper-V: דורש הגנה עבור תקיפות VM-to-VM ו- VM-to-host.

  • מארחי שירותי שולחן עבודה מרוחק (RDSH): דורש הגנה מהפעלה אחת להפעלה אחרת או מפני תקיפות הפעלה למארח.

  • מארחים פיזיים או מחשבים וירטואליים שבהם פועל קוד לא מהימן , כגון גורמים מכילים או הרחבות לא מהימנה עבור מסד נתונים, תוכן אינטרנט לא מהימן או עומסי עבודה שמפעילים קוד ממקורות חיצוניים. תוכנות אלה דורשות הגנה מפני תקיפות תהליך-לתהליך אחר או תקיפות בלתי מהימנה של תהליך-ליבה.

השתמש בהגדרות מפתח הרישום הבאות כדי להפוך את צמצום הסיכונים לזמין בשרת והפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

הערה: כברירת מחדל, הפיכת צמצום סיכונים לזמינים העשויים להשפיע על הביצועים. אפקט הביצועים בפועל תלוי בגורמים מרובים, כגון ערכת השבבים הספציפית במכשיר ועומסי העבודה הפועלים.

הגדרות רישום

אנו מספקים את פרטי הרישום הבאים כדי לאפשר צמצום סיכונים שאינם זמינים כברירת מחדל, כפי שצוין ב- Security Advisories (ADVs) וב- CVEs. בנוסף, אנו מספקים הגדרות מפתח רישום עבור משתמשים שברצונך לבטל את צמצום הסיכונים כאשר הדבר ישים עבור לקוחות Windows.

חשוב סעיף, שיטה או משימה אלה מכילים שלבים שמסבירים כיצד לשנות את הרישום. עם זאת, בעיות חמורות עלולות להתרחש אם תשנה את הרישום באופן שגוי. לכן, הקפד לבצע שלבים אלה בזהירות. לקבלת הגנה נוספת, גבה את הרישום לפני שינוי הרישום. לאחר מכן, תוכל לשחזר את הרישום במקרה של בעיה. לקבלת מידע נוסף על אופן גיבוי ושחזור הרישום, עיין במאמר הבא ב- Microsoft Knowledge Base:

KB322756 כיצד לגבות ולשחזר את הרישום ב- Windows

חשובכברירת מחדל, Retpoline מוגדר באופן הבא אם Spectre, Variant 2 mitigation (CVE-2017-5715) זמין:

- Retpoline mitigation מופעלת ב- Windows 10, גירסה 1809 ובגרסאות מתקדמות יותר של Windows.

- Retpoline mitigation אינה זמינה ב- Windows Server 2019 ובגרסאות מאוחרות יותר של Windows Server.

לקבלת מידע נוסף אודות קביעת התצורה של Retpoline, ראה צמצום Spectre variant 2 עם Retpoline ב- Windows.

  • כדי לאפשר צמצום סיכונים עבור CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) ו - CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה:

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש.

    הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

  • כדי לבטל צמצום סיכונים עבור CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) ו - CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

הערה: הגדרת FeatureSettingsOverrideMask ל- 3 מדויקת הן עבור ההגדרות 'הפוך לזמין' והן עבור 'הפוך ללא זמין'. (עיין בסעיף "שאלות נפוצות " לקבלת פרטים נוספים אודות מפתחות רישום.)

כדי להפוך את משתנה 2 ללא זמין: (CVE-2017-5715 | הזרקת יעד הסתעפות) צמצום סיכונים:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי להפוך משתנה 2 לזמין: (CVE-2017-5715 | הזרקת יעד הסתעפות) צמצום סיכונים:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כברירת מחדל, הגנת משתמש-ליבה עבור CVE-2017-5715 אינה זמינה עבור יחידות CPU של AMD. לקוחות חייבים לאפשר צמצום סיכונים כדי לקבל הגנות נוספות עבור CVE-2017-5715.  לקבלת מידע נוסף, ראה שאלות נפוצות #15 ADV180002.

אפשר הגנת משתמש-ליבה במעבדי AMD יחד עם הגנות אחרות עבור CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש.

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי לאפשר צמצום סיכונים עבור CVE-2018-3639 (מעקף ספקולטיבי של החנות), CVE-2017-5715 (Spectre Variant 2) ו - CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש.

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי לבטל צמצום סיכונים עבור CVE-2018-3639 (מעקף ספקולטיבי של החנות) צמצום סיכונים עבור CVE-2017-5715 (Spectre Variant 2) ו - CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כברירת מחדל, הגנת משתמש-ליבה עבור CVE-2017-5715 אינה זמינה עבור מעבדי AMD. לקוחות חייבים לאפשר צמצום סיכונים כדי לקבל הגנות נוספות עבור CVE-2017-5715.  לקבלת מידע נוסף, ראה שאלות נפוצות #15 ADV180002.

אפשר הגנה מפני משתמש-ליבה במעבדי AMD יחד עם הגנות אחרות עבור CVE 2017-5715 והגנתות עבור CVE-2018-3639 (מעקף ספקולטיבי של החנות):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש.

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי לאפשר צמצום סיכונים עבור Intel Transactional Synchronization Extensions (Intel TSX) Transaction Synchronous Abort vulnerability (CVE-2019-11135) ו- Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2012 2018-12127 , CVE-2018-12130 ) יחד עם Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] משתנים, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, ו- CVE-2022-21166) כולל מעקף ספקולטיבי של Store Disable (SSBD) [CVE-2018-3639 ] וכן תקלת מסוף L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 ו- CVE-2018-3646] מבלי להפוך את Hyper-Threading ללא זמין:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש.

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי לאפשר צמצום סיכונים עבור Intel Transactional Synchronization Extensions (Intel TSX) Transaction Synchronous Abort vulnerability (CVE-2019-11135) ו- Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2012 2018-12127 , CVE-2018-12130) יחד עם Spectre [CVE-2017-5753 & CVE-2017-5715] ו- Meltdown [CVE-2017-5754] משתנים, כולל מעקף ספקולטיבי של Store Disable (SSBD) [CVE-2018-3639] וכן תקלת מסוף של L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 ו- CVE-2018-3646] כאשר Hyper-Threading לא זמין:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

אם התכונה Hyper-V מותקנת, הוסף את הגדרת הרישום הבאה:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

אם זהו מארח Hyper-V והוחלו עדכוני הקושחה: כבה באופן מלא את כל המחשבים הווירטואליים. פעולה זו מאפשרת להחיל את צמצום הסיכונים הקשור בקושחה במארח לפני הפעלת ה- VM. לכן, המחשבים הווירטואליים מתעדכנים גם כאשר הם מופעלים מחדש.

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי לבטל צמצום סיכונים עבור Intel Transactional Synchronization Extensions (Intel TSX) Transaction Synchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2016 2018-12127 , CVE-2018-12130) יחד עם Spectre [CVE-2017-5753 & CVE-2017-5715] ו- Meltdown [CVE-2017-5754] משתנים, כולל מעקף ספקולטיבי של Store Disable (SSBD) [CVE-2018-3639] וכן תקלה במסוף L1 (L1TF) [CVE-2018-3615, CVE-2018-3620 ו - CVE-2018-3646]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

הפעל מחדש את המכשיר כדי שהשינויים ייכנסו לתוקף.

כדי לאפשר צמצום סיכונים עבור CVE-2022-23825 במעבדי AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

כדי להיות מוגן באופן מלא, ייתכן שלקוחות יצטרכו גם להפוך את Hyper-Threading ללא זמין (המכונה גם ריבוי הליכי משנה (SMT)) בו-זמנית. ראה KB4073757 לקבלת הדרכה בנושא הגנה על מכשירי Windows.

כדי לאפשר צמצום סיכונים עבור CVE-2023-20569 במעבדי AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

כדי לאפשר צמצום סיכונים עבור CVE-2022-0001 במעבדי Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

הפעלת צמצום סיכונים מרובים

כדי לאפשר צמצום סיכונים מרובים, עליך להוסיף את ערך REG_DWORD של כל צמצום סיכונים יחד.

לדוגמה:

צמצום סיכונים עבור פגיעות ביטול אסינכרוני של טרנזקציה, דגימה של נתונים ב- Microarchitectural, Spectre, Meltdown, MMIO, מעקף ספקולטיבי של Store Disable (SSBD) ו- L1 Terminal Fault (L1TF) כאשר Hyper-Threading מושבת

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

הערה 8264 (במספר עשרוני) = 0x2048 (בהקסס)

כדי להפוך את BHI לזמין יחד עם הגדרות קיימות אחרות, יהיה עליך להשתמש ב- OR לפי סיביות של הערך הנוכחי עם 8,388,608 (0x800000). 

0x800000 OR 0x2048(8264 במספר עשרוני) והוא יהפוך ל- 8,396,872(0x802048). זהה ל- FeatureSettingsOverrideMask.

צמצום סיכונים עבור CVE-2022-0001 במעבדי Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

צמצום סיכונים משולב

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

צמצום סיכונים עבור פגיעות ביטול אסינכרוני של טרנזקציה, דגימה של נתונים ב- Microarchitectural, Spectre, Meltdown, MMIO, מעקף ספקולטיבי של Store Disable (SSBD) ו- L1 Terminal Fault (L1TF) כאשר Hyper-Threading מושבת

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

צמצום סיכונים עבור CVE-2022-0001 במעבדי Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

צמצום סיכונים משולב

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

מוודא שההגנה זמינה

כדי לעזור לוודא הגנות זמינות, פרסמנו קובץ Script של PowerShell שבאפשרותך להפעיל במכשירים שלך. התקן והפעל את קובץ ה- Script באמצעות אחת מהשיטות הבאות.

התקן את מודול PowerShell:

PS> Install-Module SpeculationControl

הפעל את מודול PowerShell כדי לוודא הגנות זמינות:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

התקן את מודול PowerShell מ- Technet ScriptCenter:

  1. עבור אל https://aka.ms/SpeculationControlPS .

  2. הורד SpeculationControl.zip לתיקיה מקומית.

  3. חלץ את התוכן לתיקיה מקומית. לדוגמה: C:\ADV180002

הפעל את מודול PowerShell כדי לוודא הגנות זמינות:

הפעל את PowerShell ולאחר מכן השתמש בדוגמה הקודמת כדי להעתיק ולהפעיל את הפקודות הבאות:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

לקבלת הסבר מפורט על הפלט של קובץ ה- Script של PowerShell, ראה KB4074629

שאלות נפוצות

כדי לסייע במניעת השפעה לרעה על מכשירי הלקוחות, עדכוני האבטחה של Windows שהופצו בינואר ובינואר 2018 לא הוצעו לכל הלקוחות. לקבלת פרטים, ראה KB407269 .

המיקרו-קוד מועבר באמצעות עדכון קושחה. התייעץ עם יצרן הציוד המקורי לגבי גירסת הקושחה הכוללת את העדכון המתאים עבור המחשב שלך.

קיימים משתנים מרובים המשפיעים על הביצועים, החל מגירסה של המערכת עד עומסי העבודה הפועלים. עבור מערכות מסוימות, אפקט הביצועים יהיה זנילי. עבור אחרים, זה יהיה מאוד חשוב.

מומלץ להעריך את אפקטי הביצועים במערכות ולבצע התאמות לפי הצורך.

בנוסף להנחיות המופיעות במאמר זה בנוגע למחשבים וירטואליים, עליך לפנות לספק השירות שלך כדי לוודא שהמארחים המפעילים את המחשבים הווירטואליים שלך מוגנים כראוי.עבור מחשבים וירטואליים של Windows Server הפועלים ב- Azure, ראה הדרכה לצמצום פגיעויות ערוץ צדדי של ביצוע ספקולטיבי ב- Azure . לקבלת הדרכה לגבי השימוש ב- Azure Update Management כדי לצמצם בעיה זו במחשבים וירטואליים של אורח, ראה KB4077467.

העדכונים שפורסמו עבור תמונות הגורם המכיל של Windows Server עבור Windows Server 2016 ו- Windows 10, גירסה 1709 כוללים את צמצום הסיכונים עבור קבוצת פגיעויות זו. לא נדרשת תצורה נוספת.הערה עדיין עליך לוודא שהמארח שבו פועלים גורמים מכילים אלה מוגדר לאפשר את צמצום הסיכונים המתאים.

לא, סדר ההתקנה אינו משנה.

כן, עליך להפעיל מחדש לאחר עדכון הקושחה (מיקרו-קוד) ולאחר מכן שוב לאחר עדכון המערכת.

להלן הפרטים עבור מפתחות הרישום:

FeatureSettingsOverride מייצג מפת סיביות העוקפת את הגדרת ברירת המחדל ו קובעת אילו צמצום סיכונים יהפוך ללא זמין. Bit 0 שולטת בהפחתת הסיכון התואמת ל- CVE-2017-5715. סיבית 1 שולטת בהפחתת הסיכון התואמת ל- CVE-2017-5754. הסיביות מוגדרות ל- 0 כדי להפוך את צמצום הסיכונים לזמין ול- 1 כדי להפוך את צמצום הסיכונים ללא זמין.

FeatureSettingsOverrideMask מייצג מסיכת מפת סיביות המשמשת יחד עם FeatureSettingsOverride.  במצב זה, אנו משתמשים בערך 3 (המיוצג כ- 11 במערכת הספרות הבינאריות או הספרות הבסיסיות 2) כדי לציין את שתי הסיביות הראשונות התואמות לסיכונים הזמינים. מפתח רישום זה מוגדר ל- 3 כדי להפוך את צמצום הסיכונים לזמין או ללא זמין.

MinVmVersionForCpuBasedMitigations מיועד למארחי Hyper-V. מפתח רישום זה מגדיר את גירסת ה- VM המינימלית הנדרשת כדי שתוכל להשתמש ביכולות הקושחה המעודכנת (CVE-2017-5715). הגדר זאת ל - 1.0 כדי לכסות את כל גירסאות ה- VM. שים לב שהמערכת תתעלם מערך רישום זה (בניח) במחשבים מארחים שאינם Hyper-V. לקבלת פרטים נוספים, ראה הגנה על מחשבים וירטואליים של אורח מ- CVE-2017-5715 (הזרקת יעד הסתעפות).

כן, אין תופעות לוואי אם הגדרות רישום אלה מוחלות לפני התקנת התיקונים הקשורים לינואר 2018.

עיין בתיאור מפורט של פלט קובץ ה- Script ב- KB4074629: הכרת פלט Script של ספקולטיוןControl של PowerShell .

כן, עבור מארחי Windows Server 2016 Hyper-V שעדיין אין להם את עדכון הקושחה, פרסמנו הדרכה חלופית שעשויה לעזור לצמצם את המחשב הווירטואלי למחשב וירטואלי או למחשב וירטואלי לתקיפות מארחות. ראה הגנות חלופיות עבור מארחי Windows Server 2016 Hyper-V מול פגיעויות ערוץ צדדי של ביצוע ספקולטיבי .

עדכוני אבטחה בלבד אינם מצטברים. בהתאם לגירסת מערכת ההפעלה שלך, ייתכן שתצטרך להתקין כמה עדכוני אבטחה כדי להגן באופן מלא. באופן כללי, הלקוחות יצטרכו להתקין את העדכונים של ינואר, פברואר, מרץ ואפריל 2018. מערכות עם מעבדי AMD זקוקות לעדכון נוסף, כפי שמוצג בטבלה הבאה:

גירסת מערכת הפעלה

עדכון אבטחה

Windows 8.1, Windows Server 2012 R2

KB4338815 - אוסף עדכונים חודשי

KB4338824- אבטחה בלבד

Windows 7 SP1, Windows Server 2008 R2 SP1 או Windows Server 2008 R2 SP1 (התקנת ליבת שרת)

KB4284826 - אוסף עדכונים חודשי

KB4284867 - אבטחה בלבד

Windows Server 2008 SP2

KB4340583 - עדכון אבטחה

אנו ממליצים להתקין את עדכוני האבטחה בלבד בסדר ההפצה.

הערה: גירסה קודמת של שאלות נפוצות אלה ציינה באופן שגוי שעדכון האבטחה בלבד של פברואר כלל את תיקוני האבטחה שפורסמו בינואר. למעשה, זה לא.

לא. עדכון KB4078130 היה תיקון ספציפי כדי למנוע אופני פעולה בלתי צפויים של המערכת, בעיות ביצועים והפעלות מחדש בלתי צפויות לאחר התקנת מיקרו-קוד. החלת עדכוני האבטחה במערכות הפעלה של לקוח Windows מאפשרת את כל שלושת צמצום הסיכונים. במערכות ההפעלה של Windows Server, עדיין עליך להפוך את צמצום הסיכונים לזמין לאחר ביצוע הבדיקות המתאימות. לקבלת מידע נוסף, ראה KB4072698.

בעיה זו נפתרה ב- KB4093118.

בפברואר 2018 , Intel הכריזה כי היא השלימה את האימות שלה והתחילה לשחרר מיקרו-קוד עבור פלטפורמות CPU חדשות יותר. Microsoft תפרסם עדכוני מיקרו-קוד שאומתו על-ידי Intel הנוגעים ל- Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | הזרקת יעד הסתעפות). KB4093836 רשימת מאמרים Knowledge Base לפי גירסת Windows. כל מאמר KB ספציפי מכיל את עדכוני המיקרו-קוד הזמינים של Intel לפי CPU.

ב- 11 בינואר 2018, Intel דיווחה על בעיות במיקרו-קוד שהופצו לאחרונה, שנועדו לטפל ב- Spectre variant 2 (CVE-2017-5715 | הזרקת יעד הסתעפות). באופן ספציפי, Intel ציפתה שמיקרו-קוד זה עלול לגרום ל"אתחולים מחדש גבוהים מהצפוי ופעולות בלתי צפויות אחרות של המערכת" ושתרחישים אלה עלולים לגרום ל"אובדן נתונים או נזק."" הניסיון שלנו הוא שיציבות המערכת עלולה לגרום לאובדן נתונים או להשחתה בנסיבות מסוימות. ב- 22 בינואר, Intel ממליצה ללקוחות להפסיק לפרוס את גירסת המיקרו-קוד הנוכחית במעבדים המושפעים בזמן ש- Intel מבצעת בדיקות נוספות לגבי הפתרון המעודכן. אנו מבינים ש- Intel ממשיכה לחקור את ההשפעה הפוטנציאלית של גירסת המיקרו-קוד הנוכחית. אנו מעודדים את הלקוחות לסקור את ההנחיות שלהם באופן שוטף כדי ליידע את ההחלטות שלהם.

בזמן ש- Intel בודקת, מעדכנת ופריסת מיקרו-קוד חדש, אנו זמינים לעדכון מוכן לשימוש (OOB), KB4078130, אשר משבית באופן ספציפי רק את צמצום הסיכונים כנגד CVE-2017-5715. בבדיקות שלנו, עדכון זה נמצא כדי למנוע את אופן הפעולה המתואר. לקבלת הרשימה המלאה של המכשירים, עיין בהדרכה לגבי מהדורת מיקרו-קוד של Intel. עדכון זה מכסה את Windows 7 Service Pack 1 (SP1), Windows 8.1 ואת כל הגירסאות של Windows 10, הן הלקוח והן השרת. אם אתה משתמש במכשיר מושפע, ניתן להחיל עדכון זה על-ידי הורדתו מאתר האינטרנט Microsoft Update Catalog. היישום של תוכן מנה זה מבטל באופן ספציפי רק את צמצום הסיכונים כנגד CVE-2017-5715.

נכון לבעיה זו, אין דוחות ידועים המציינים כי Spectre Variant 2 זה (CVE-2017-5715 | הזרקת יעד הסתעפות) שימשה לתקוף לקוחות. אנו ממליצים, בהתאם לצורך, להפעיל מחדש את צמצום הסיכונים כנגד CVE-2017-5715 כאשר Intel מדווחת כי אופן פעולה בלתי צפוי זה של המערכת נפתר עבור המכשיר שלך.

בפברואר 2018, Intel הכריזה כי היא השלימה את האימות שלה והתחילה לשחרר מיקרו-קוד עבור פלטפורמות CPU חדשות יותר. Microsoft מבצעת עדכוני מיקרו-קוד שאומתו על-ידי Intel הקשורים ל- Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | הזרקת יעד הסתעפות). KB4093836 רשימת מאמרים Knowledge Base לפי גירסת Windows. רשימת KBs עדכוני מיקרו-קוד זמינים של Intel על-ידי CPU.

לקבלת מידע נוסף, ראה AMD Security עדכוניםו- AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . אלה זמינים בערוץ הקושחה של יצרן הציוד המקורי.

אנו זמינים עדכוני מיקרו-קוד שאומתו על-ידי Intel הנוגעים ל- Spectre Variant 2 (CVE-2017-5715 | הזרקת יעד הסתעפות). כדי לקבל את העדכונים האחרונים למיקרו-קוד של Intel באמצעות Windows Update, על הלקוחות להתקין מיקרו-קוד של Intel במכשירים שבהם פועלת מערכת הפעלה של Windows 10 לפני השדרוג לעדכון מאפריל 2018 של Windows 10 (גירסה 1803).

עדכון המיקרו-קוד זמין גם ישירות מ- Microsoft Update Catalog אם הוא לא הותקן במכשיר לפני שדרוג המערכת. מיקרו-קוד של Intel זמין באמצעות Windows Update, Windows Server Update Services (WSUS) או Microsoft Update Catalog. לקבלת מידע נוסף והוראות הורדה, ראה KB4100347.

עיין במקטעים 'פעולות מומלצות' ו'שאלות נפוצות' של  ADV180012 | הדרכה של Microsoft לגבי מעקף ספקולטיבי של החנות.

כדי לאמת את המצב של SSBD, קובץ ה- Script של PowerShell Get-SpeculationControlSettings עודכן כדי לזהות מעבדים מושפעים, מצב עדכוני מערכת ההפעלה SSBD ומצב המיקרו-קוד של המעבד, אם ישים. לקבלת מידע נוסף ולהשגת קובץ ה- Script של PowerShell, ראה KB4074629.

ב- 13 ביוני 2018, הוכרז על פגיעות נוספת הכרוכה בביצוע ספקולטיבי בערוץ צדדי, הידוע בשם 'שחזור מצב FP עצלן', והוכרז כי הוא הוקצה ל- CVE-2018-3665 . לקבלת מידע אודות פגיעות זו ופעולות מומלצות, עיין במדריך בנושא ADV180016 | הדרכה של Microsoft לשחזור מצב FP עצלן .

הערה אין הגדרות תצורה נדרשות (רישום) עבור שחזור FP של שחזור עצלן.

Bounds Check Bypass Store (BCBS) פורסם ב- 10 ביולי 2018, והקצה את CVE-2018-3693. אנו מחשיבים את BCBS להשתייך לאותה רמת פגיעויות של עקיפת בדיקת גבול (משתנה 1). איננו מודעים כעת למופעים של BCBS בתוכנה שלנו. עם זאת, אנו ממשיכים לחקור את רמת הפגיעות הזו ויפעלו עם שותפים בתעשייה כדי לשחרר צמצום סיכונים כ הנדרש. אנו מעודדים חוקרים להגיש את הממצאים הרלוונטיים לתוכנית הפרסים של Microsoft Speculative Execution Side Channel, כולל כל המופעים הניתנים לניצול של BCBS. מפתחי תוכנה צריכים לסקור את ההנחיות למפתחים שכבר עודכנו עבור BCBS ב- C++ הדרכה למפתחים עבור ערוצים צדדיים של ביצוע ספקולטיבי 

ב- 14 באוגוסט 2018, הוכרז על תקלת מסוף L1 (L1TF) שהוקצתה להם מספר CVEs. פגיעויות ערוץ צדדי חדשות אלה של ביצוע ספקולטיבי יכולות לשמש לקריאת תוכן הזיכרון בגבול מהימן, ואם ייעשה בהם שימוש לרעה, עלולות להוביל לגילוי מידע. קיימים וקטורים מרובים שבהם תוקף עשוי להפעיל את הפגיעויות, בהתאם לסביבה שתצורתה נקבעה. L1TF משפיע על מעבדי Intel® Core® ועל מעבדי Intel® Xeon®.

לקבלת מידע נוסף על פגיעות זו ותצוגה מפורטת של תרחישים מושפעים, כולל הגישה של Microsoft לצמצום L1TF, עיין במשאבים הבאים:

השלבים להפוך את Hyper-Threading ליצרן ציוד מקורי ללא זמינים, אך הם בדרך כלל חלק מכלי ההתקנה והתצורה של ה- BIOS או הקושחה.

לקוחות המשתמשים במעבדי ARM של 64 סיביות צריכים לפנות ליצרן הציוד המקורי (OEM) של המכשיר לקבלת תמיכה בקושחה מכיוון שהגנת מערכת ההפעלה ARM64 אשר מצמצם את CVE-2017-5715 | הזרקת יעד הסתעפות (Spectre, Variant 2) מחייבת שימוש בעדכון הקושחה האחרון של יצרני ציוד מקורי (OEM) של המכשיר כדי להיכנס לתוקף.

לקבלת מידע נוסף, עיין בנושאים המינורית הבאים בנושא אבטחה

לקבלת הדרכה עבור Azure, עיין במאמר זה: הדרכה לצמצום פגיעויות ערוץ צדדי של ביצוע ספקולטיבי ב- Azure.

לקבלת מידע נוסף על הפעלת Retpoline, עיין בפרסום הבלוג שלנו: צמצום Spectre variant 2 באמצעות Retpoline ב- Windows .

לקבלת פרטים על פגיעות זו, עיין במדריך האבטחה של Microsoft: CVE-2019-1125 | פגיעות גילוי מידע של הליבה של Windows.

איננו מודעים לפגיעות זו של גילוי מידע המשפיעה על תשתית שירות הענן שלנו.

ברגע שנוהרנו לבעיה זו, עבדנו במהירות כדי לטפל בה ולשחרר עדכון. אנו מאמינים מאוד ששותפויות הדוקות עם חוקרים ושותפים בתעשייה כדי להפוך את הלקוחות לאבטחים יותר, ולא פרסמנו פרטים עד יום שלישי, 6 באוגוסט, בהתאם לנוהלי גילוי פגיעויות מתואמים.

ניתן למצוא הדרכה נוספת בהדרכה לה השבתת יכולת Intel Transactional Synchronization Extensions (Intel TSX).

ספרי עזר

מוצרי הצד השלישי שבהם דן מאמר זה מיוצרים על-ידי חברות שאינן קשורות ל- Microsoft. איננו עורכים כל אחריות, משתמעת או אחרת, לגבי הביצועים או המהימנות של מוצרים אלה.

אנו מספקים פרטי קשר של ספקים חיצוניים כדי לסייע לך למצוא תמיכה טכנית. פרטי קשר אלה עשויים להשתנות ללא הודעה. איננו מבטיחים את מידת הדיוק של פרטי הקשר של ספק חיצוני זה.

זקוק לעזרה נוספת?

מעוניין באפשרויות נוספות?

גלה את יתרונות המנוי, עיין בקורסי הדרכה, למד כיצד לאבטח את המכשיר שלך ועוד.

קהילות עוזרות לך לשאול שאלות ולהשיב עליהן, לתת משוב ולשמוע ממומחים בעלי ידע עשיר.