Applies ToAzure Local (formerly Azure Stack HCI) Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012

Dátum módosítása

A változás felosztása

2023. április 20.

  • MMIO beállításjegyzék-információ hozzáadva

2023. augusztus 8.

  • Eltávolítottuk a CVE-2022-23816-ról szóló tartalmat, mivel a CVE-szám nincs használatban

  • Hozzá van adva a "Branch Type Confusion" (Ágtípus zavara) elem a "Biztonsági rések" szakaszban

  • További információ hozzáadva a "CVE-2022-23825 | AMD CPU Branch Type Confusion (BTC)" registry section

2023. augusztus 9.

  • A "CVE-2022-23825 | AMD CPU Branch Type Confusion (BTC)" registry section

  • Hozzáfűzve: "CVE-2023-20569 | AMD CPU Return Address Predictor" to "Summary" section

  • A "CVE-2023-20569 | AMD CPU Return Address Predictor" beállításjegyzék szakasz

2024. április 9.

  • Hozzáadva: CVE-2022-0001 | Intel-ágelőzmények injektálás

2024. április 16.

  • A "Több kockázatcsökkentés engedélyezése" szakasz hozzáadva

Sebezhetőség

Ez a cikk a következő spekulatív végrehajtási biztonsági résekkel foglalkozik:

Windows Update Internet Explorert és Edge-et is biztosít. Továbbra is javítani fogjuk ezeket a kockázatcsökkentéseket a biztonsági rések ezen osztálya ellen.

A biztonsági rések ezen osztályával kapcsolatos további információkért lásd:

2019. május 14-én az Intel közzétette a mikroarchitekturális adatmintavétel néven ismert spekulatív végrehajtásoldali biztonsági rések új alosztályára vonatkozó információkat, és dokumentálta ADV190013 | Mikroarchitekturális adatmintavétel. A következő CVE-k lettek hozzárendelve:

Fontos: Ezek a problémák más rendszereket is érintenek, például Androidot, Chrome-ot, iOS-t és MacOS-t. Azt javasoljuk az ügyfeleknek, hogy kérjenek útmutatást ezektől a szállítóktól.

A Microsoft frissítéseket adott ki a biztonsági rések mérséklése érdekében. Az összes elérhető védelem beszerzéséhez belső vezérlőprogramra (mikrokódra) és szoftverfrissítésekre van szükség. Ide tartozhatnak az eszköz oem-jeiből származó mikrokódok is. Bizonyos esetekben a frissítések telepítése hatással lesz a teljesítményre. A felhőszolgáltatásaink védelme érdekében is cselekedtünk. Határozottan javasoljuk, hogy telepítse ezeket a frissítéseket.

A problémával kapcsolatos további információkért tekintse meg a következő biztonsági tanácsadást, és használja a forgatókönyvalapú útmutatót a fenyegetés mérsékléséhez szükséges műveletek meghatározásához:

Megjegyzés: Javasoljuk, hogy a mikrokód-frissítések telepítése előtt telepítse az Windows Update összes legújabb frissítését.

2019. augusztus 6-án az Intel kiadta a Windows kerneladatok felfedésével kapcsolatos biztonsági rés részleteit. Ez a biztonsági rés a Spectre, Variant 1 spekulatív végrehajtási oldalcsatorna biztonsági résének egy változata, és CVE-2019-1125 lett hozzárendelve.

2019. július 9-én biztonsági frissítéseket adtunk ki a Windows operációs rendszerhez a probléma megoldása érdekében. Kérjük, vegye figyelembe, hogy a kockázatcsökkentés nyilvános dokumentálását a 2019. augusztus 6-án, kedden összehangolt iparági közzétételig tartottuk.

Azok az ügyfelek, akik Windows Update engedélyezve vannak, és alkalmazták a 2019. július 9-én kiadott biztonsági frissítéseket, automatikusan védettek lesznek. Nincs szükség további konfigurációra.

Megjegyzés: Ez a biztonsági rés nem igényel mikrokód-frissítést az eszköz gyártójától (OEM).

A biztonsági résről és a vonatkozó frissítésekről a Microsoft biztonsági frissítési útmutatójában talál további információt:

2019. november 12-én az Intel műszaki tanácsadást tett közzé az Intel® transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort biztonsági résével kapcsolatban, amelyhez CVE-2019-11135 van hozzárendelve. A Microsoft frissítéseket adott ki a biztonsági rés csökkentése érdekében, és az operációs rendszer védelme alapértelmezés szerint engedélyezve van a Windows Server 2019-ben, de alapértelmezés szerint le van tiltva Windows Server 2016 és korábbi Windows Server operációs rendszerek kiadásaiban.

2022. június 14-én közzétettük ADV220002 | A Microsoft útmutatása az Intel Processzor MMIO elavult adatok biztonsági réseihez , és hozzárendelte az alábbi CVE-eket: 

Ajánlott műveletek

A biztonsági rések elleni védelem érdekében az alábbi műveleteket kell elvégeznie:

  1. Alkalmazza az összes elérhető Windows operációsrendszer-frissítést, beleértve a havi Windows biztonsági frissítéseket is.

  2. Alkalmazza az eszköz gyártója által biztosított megfelelő belsővezérlőprogram-frissítést (mikrokód).

  3. Értékelje ki a környezetre vonatkozó kockázatokat a Microsoft biztonsági tanácsadóiban található információk alapján: ADV180002, ADV180012, ADV190013 és ADV220002 a jelen tudásbázis cikkben megadott információkon kívül.

  4. Az ebben a tudásbázis cikkben szereplő tanácsadási és beállításkulcs-információk segítségével szükség szerint elvégezheti a szükséges lépéseket.

Megjegyzés: A Surface-ügyfelek mikrokódfrissítést kapnak Windows Update keresztül. A Surface-eszköz belső vezérlőprogramjának (mikrokódjának) legújabb frissítéseit a KB4073065 című témakörben találja.

2022. július 12-én megjelent a CVE-2022-23825 | AMD CPU-ágtípus – Az ág-előrejelző aliasai miatt előfordulhat, hogy egyes AMD-processzorok nem a megfelelő ágtípust jelzik előre. Ez a probléma információfelfedéshez vezethet.

A biztonsági rés elleni védelem érdekében javasoljuk, hogy telepítse a 2022 júliusában vagy azt követően dátumozott Windows-frissítéseket, majd végezze el a CVE-2022-23825 és az ebben a tudásbázis cikkben szereplő beállításkulcs-információk által megkövetelt lépéseket.

További információ: AMD-SB-1037 biztonsági közlemény.

2023. augusztus 8-án megjelent a CVE-2023-20569 | Return Address Predictor (más néven Inception), amely egy új spekulatív oldalcsatorna-támadást ír le, amely spekulatív végrehajtást eredményezhet egy támadó által vezérelt címen. Ez a probléma bizonyos AMD-processzorokat érint, és információfelfedéshez vezethet.

A biztonsági rés elleni védelem érdekében javasoljuk, hogy telepítse a 2023 augusztusában vagy azt követően dátummal ellátott Windows-frissítéseket, majd végezze el a CVE-2023-20569 és a beállításkulcsnak az ebben a tudásbázis cikkben megadott műveletet.

További információ: AMD-SB-7005 biztonsági közlemény.

2024. április 9-én megjelent a CVE-2022-0001 | Intel Branch History Injection ( Ágelőzmény-injektálás), amely az elágazási előzmények injektálását (BHI) ismerteti, amely a módon belüli BTI egy speciális formája. Ez a biztonsági rés akkor fordul elő, ha egy támadó manipulálhatja az ágelőzményeket, mielőtt a felhasználóról a felügyeleti módra vált (vagy a VMX nem gyökérszintű/vendég módból a gyökér módba). Ez a módosítás azt eredményezheti, hogy egy közvetett ág-előrejelző kiválaszt egy adott prediktorbejegyzést egy közvetett ághoz, és az előrejelzett célnál egy közzétételi minialkalmazás átmenetien végre lesz hajtva. Ez azért lehetséges, mert a vonatkozó ágelőzmények tartalmazhatnak korábbi biztonsági környezetekben, és különösen más előrejelző módokban vett ágakat.

A Windows Server és az Azure Stack HCI kockázatcsökkentési beállításai

A biztonsági tanácsadók (ADV-k) és a CVE-k információt nyújtanak a biztonsági rések által jelentett kockázatról. Emellett segítenek a biztonsági rések azonosításában és a Windows Server-rendszerek alapértelmezett kockázatcsökkentési állapotának azonosításában. Az alábbi táblázat összefoglalja a cpu-mikrokód követelményét és a Windows Serveren a kockázatcsökkentések alapértelmezett állapotát.

CVE

Processzor-mikrokódra/belső vezérlőprogramra van szüksége?

Kockázatcsökkentés – Alapértelmezett állapot

CVE-2017-5753

Nem

Alapértelmezés szerint engedélyezve (nincs lehetőség letiltására)

További információért tekintse meg a ADV180002

CVE-2017-5715

Igen

Alapértelmezés szerint le van tiltva.

További információért tekintse meg a ADV180002 és a vonatkozó beállításkulcs-beállításokról szóló tudásbáziscikket.

Megjegyzés A "Retpoline" alapértelmezés szerint engedélyezve van a Windows 10, 1809-es verzió és újabb rendszerű eszközökön, ha a Spectre Variant 2 (CVE-2017-5715) engedélyezve van. A "Retpoline"-ról további információt a Windows-blogbejegyzés A Spectre 2. változatának enyhítése a Retpoline használatával című blogbejegyzésben talál.

CVE-2017-5754

Nem

Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve. Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.

További információért tekintse meg a ADV180002 .

CVE-2018-3639

Intel: Igen

AMD: Nem

Alapértelmezés szerint le van tiltva. A vonatkozó beállításkulcs-beállításokról további információt a ADV180012 és ebben a cikkben talál.

CVE-2018-11091

Intel: Igen

Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve. Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.

A vonatkozó beállításkulcs-beállításokról további információt a ADV190013 című témakörben és ebben a cikkben talál.

CVE-2018-12126

Intel: Igen

Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve. Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.

A vonatkozó beállításkulcs-beállításokról további információt a ADV190013 című témakörben és ebben a cikkben talál.

CVE-2018-12127

Intel: Igen

Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve. Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.

A vonatkozó beállításkulcs-beállításokról további információt a ADV190013 című témakörben és ebben a cikkben talál.

CVE-2018-12130

Intel: Igen

Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve. Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.

A vonatkozó beállításkulcs-beállításokról további információt a ADV190013 című témakörben és ebben a cikkben talál.

CVE-2019-11135

Intel: Igen

Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve. Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.

A vonatkozó beállításkulcs-beállításokról további információt a CVE-2019-11135 című témakörben és ebben a cikkben talál.

CVE-2022-21123 (az MMIO ADV220002 része)

Intel: Igen

Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve.  Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.* 

A vonatkozó beállításkulcs-beállításokról további információt a CVE-2022-21123 című témakörben és ebben a cikkben talál.

CVE-2022-21125 (az MMIO ADV220002 része)

Intel: Igen

Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve.  Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.* 

A vonatkozó beállításkulcs-beállításokról további információt a CVE-2022-21125 című témakörben és ebben a cikkben talál.

CVE-2022-21127 (az MMIO ADV220002 része)

Intel: Igen

Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve.  Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.* 

A vonatkozó beállításkulcs-beállításokról további információt a CVE-2022-21127 című témakörben talál.

CVE-2022-21166 (az MMIO ADV220002 része)

Intel: Igen

Windows Server 2019, Windows Server 2022 és Azure Stack HCI: Alapértelmezés szerint engedélyezve.  Windows Server 2016 és korábbi verziók: Alapértelmezés szerint le van tiltva.* 

A vonatkozó beállításkulcs-beállításokról további információt a CVE-2022-21166 című cikkben talál.

CVE-2022-23825 (AMD CPU-ágtípus zavara)

AMD: Nem

A vonatkozó beállításkulcs-beállításokról további információt a CVE-2022-23825 című témakörben talál.

CVE-2023-20569 (AMD CPU return address predictor)

AMD: Igen

A vonatkozó beállításkulcs-beállításokról további információt a CVE-2023-20569 című témakörben és ebben a cikkben talál.

CVE-2022-0001

Intel: Nem

Alapértelmezés szerint letiltva

A vonatkozó beállításkulcs-beállításokról további információt a CVE-2022-0001 című témakörben és ebben a cikkben talál.

* Kövesse az alábbi Meltdownnal kapcsolatos hibaelhárítási útmutatót.

Ha minden rendelkezésre álló védelmet meg szeretne szerezni a biztonsági rések ellen, módosítania kell a beállításkulcsot az alapértelmezés szerint letiltott kockázatcsökkentések engedélyezéséhez.

A kockázatcsökkentések engedélyezése hatással lehet a teljesítményre. A teljesítményhatások mértéke több tényezőtől függ, például a fizikai gazdagép adott lapkakészletétől és a futó számítási feladatoktól. Javasoljuk, hogy mérje fel a környezetre gyakorolt teljesítményhatásokat, és végezze el a szükséges módosításokat.

A kiszolgáló nagyobb kockázatnak van kitéve, ha az a következő kategóriák egyikében található:

  • Hyper-V-gazdagépek: Védelmet igényel a virtuális gépek közötti és a virtuális gépek közötti támadások esetén.

  • Távoli asztali szolgáltatások gazdagépei (RDSH): Védelmet igényel az egyik munkamenetből a másikba vagy a munkamenetek közötti támadások ellen.

  • Nem megbízható kódot futtató fizikai gazdagépek vagy virtuális gépek, például tárolók vagy nem megbízható bővítmények az adatbázishoz, nem megbízható webes tartalmakhoz vagy olyan számítási feladatokhoz, amelyek külső forrásokból származó kódot futtatnak. Ezek védelmet igényelnek a nem megbízható folyamatok közötti vagy a nem megbízható folyamat–kernel támadások ellen.

A következő beállításkulcs-beállításokkal engedélyezheti a kockázatcsökkentéseket a kiszolgálón, és újraindíthatja az eszközt a módosítások érvénybe léptetéséhez.

Megjegyzés: Alapértelmezés szerint a kikapcsolt kockázatcsökkentések engedélyezése hatással lehet a teljesítményre. A tényleges teljesítményhatás több tényezőtől függ, például az eszköz adott lapkakészletétől és a futó számítási feladatoktól.

Beállításjegyzék-beállítások

A következő beállításjegyzék-információkat biztosítjuk az alapértelmezés szerint nem engedélyezett kockázatcsökkentések engedélyezéséhez, a Biztonsági tanácsadók (ADV-k) és a CVE-k című témakörben leírtak szerint. Emellett beállításkulcs-beállításokat is biztosítunk azoknak a felhasználóknak, akik le szeretnék tiltani a kockázatcsökkentéseket, ha azok alkalmazhatók a Windows-ügyfelekre.

FONTOS Ez a szakasz, metódus vagy feladat olyan lépéseket tartalmaz, amelyekből megtudhatja, hogyan módosíthatja a beállításjegyzéket. Ha azonban helytelenül módosítja a beállításjegyzéket, komoly problémák léphetnek fel. Ezért ügyeljen arra, hogy gondosan kövesse ezeket a lépéseket. A további védelem érdekében a módosítás előtt biztonsági másolatot készít a beállításjegyzékről. Ezután probléma esetén visszaállíthatja a beállításjegyzéket. A beállításjegyzék biztonsági mentéséről és visszaállításáról a Microsoft Tudásbázis következő cikkében talál további információt:

KB322756 A beállításjegyzék biztonsági mentése és visszaállítása a Windowsban

FONTOSAlapértelmezés szerint a Retpoline a következőképpen van konfigurálva, ha a Spectre, Variant 2 kockázatcsökkentés (CVE-2017-5715) engedélyezve van:

– A retpoline-kockázatcsökkentés engedélyezve van Windows 10, 1809-es verzió és újabb Windows-verziókban.

– A Retpoline kockázatcsökkentés le van tiltva a Windows Server 2019-ben és újabb Windows Server-verziókban.

A Retpoline konfigurálásával kapcsolatos további információkért lásd: A Spectre 2. változatának enyhítése a Windows retpoline-jával.

  • A CVE-2017-5715 (Spectre Variant 2), a CVE-2017-5754 (Meltdown) és a CVE-2022-21123 kockázatcsökkentésének engedélyezése CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Ha a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást:

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    Ha ez egy Hyper-V-gazdagép, és a belső vezérlőprogram frissítései alkalmazva lettek: Teljesen állítsa le az összes Virtual Machines. Ez lehetővé teszi a belső vezérlőprogrammal kapcsolatos kockázatcsökkentés alkalmazását a gazdagépen a virtuális gépek elindítása előtt. Ezért a virtuális gépek is frissülnek, amikor újraindulnak.

    A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

  • A CVE-2017-5715 (Spectre Variant 2), a CVE-2017-5754 (Meltdown) és a CVE-2022-21123 kockázatcsökkentéseinek letiltása CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

Megjegyzés: A FeatureSettingsOverrideMask 3 értékre állítása az "engedélyezés" és a "letiltás" beállításnál is pontos. (A beállításkulcsokkal kapcsolatos további részletekért tekintse meg a "GYIK " szakaszt.)

A 2. változat letiltása: (CVE-2017-5715 | Ágcél-injektálási) kockázatcsökkentés:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

A 2. változat engedélyezése: (CVE-2017-5715 | Ágcél-injektálási) kockázatcsökkentés:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

Alapértelmezés szerint a CVE-2017-5715 felhasználó–kernel védelme le van tiltva az AMD processzorok esetében. Az ügyfeleknek engedélyeznie kell a kockázatcsökkentést, hogy további védelmet kapjanak a CVE-2017-5715-höz.  További információt a gyakori kérdések #15 ADV180002 című témakörben talál.

A CVE 2017-5715 egyéb védelmi megoldásaival együtt engedélyezze a felhasználók és a kernelek védelmét az AMD processzorokon:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ha a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ha ez egy Hyper-V-gazdagép, és a belső vezérlőprogram frissítései alkalmazva lettek: Teljesen állítsa le az összes Virtual Machines. Ez lehetővé teszi a belső vezérlőprogrammal kapcsolatos kockázatcsökkentés alkalmazását a gazdagépen a virtuális gépek elindítása előtt. Ezért a virtuális gépek is frissülnek, amikor újraindulnak.

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

A CVE-2018-3639 (spekulatív tároló megkerülése), a CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Meltdown) kockázatcsökkentésének engedélyezése:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ha a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ha ez egy Hyper-V-gazdagép, és a belső vezérlőprogram frissítései alkalmazva lettek: Teljesen állítsa le az összes Virtual Machines. Ez lehetővé teszi a belső vezérlőprogrammal kapcsolatos kockázatcsökkentés alkalmazását a gazdagépen a virtuális gépek elindítása előtt. Ezért a virtuális gépek is frissülnek, amikor újraindulnak.

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

A CVE-2018-3639 (spekulatív tároló megkerülése) ÉS a CVE-2017-5715 (Spectre Variant 2) és a CVE-2017-5754 (Meltdown) kockázatcsökkentéseinek letiltása

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

Alapértelmezés szerint a CVE-2017-5715 felhasználó–kernel védelme le van tiltva az AMD processzorok esetében. Az ügyfeleknek engedélyeznie kell a kockázatcsökkentést, hogy további védelmet kapjanak a CVE-2017-5715-höz.  További információt a gyakori kérdések #15 ADV180002 című témakörben talál.

Engedélyezze a felhasználók és a kernelek védelmét az AMD processzorokon, valamint a CVE 2017-5715 és a CVE-2018-3639 (spekulatív tároló megkerülése) elleni védelmet:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ha a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ha ez egy Hyper-V-gazdagép, és a belső vezérlőprogram frissítései alkalmazva lettek: Teljesen állítsa le az összes Virtual Machines. Ez lehetővé teszi a belső vezérlőprogrammal kapcsolatos kockázatcsökkentés alkalmazását a gazdagépen a virtuális gépek elindítása előtt. Ezért a virtuális gépek is frissülnek, amikor újraindulnak.

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

Az Intel Tranzakciószinkronizálási bővítmények (Intel TSX) tranzakciószinkron megszakítási biztonsági résének (CVE-2019-11135) és a mikroarchitekturális adatok mintavételezésének engedélyezése ( CVE-2018-11091 , CVE-2018-12126 , CVE-2 018-12127 , CVE-2018-12130 ) és Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] változatok, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 és CVE-2022-21166), beleértve a spekulatív áruház megkerülési letiltását (SSBD) [CVE-2018-3639 ] és az L1 terminálhibát (L1TF) [CVE-2018-3615, CVE-2018-3620 és CVE-2018-3646] a hyper-threading letiltása nélkül:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ha a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ha ez egy Hyper-V-gazdagép, és a belső vezérlőprogram frissítései alkalmazva lettek: Teljesen állítsa le az összes Virtual Machines. Ez lehetővé teszi a belső vezérlőprogrammal kapcsolatos kockázatcsökkentés alkalmazását a gazdagépen a virtuális gépek elindítása előtt. Ezért a virtuális gépek is frissülnek, amikor újraindulnak.

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

Az Intel Tranzakciószinkronizálási bővítmények (Intel TSX) tranzakciószinkron megszakítási biztonsági résének (CVE-2019-11135) és a mikroarchitekturális adatok mintavételezésének engedélyezése ( CVE-2018-11091, CVE-2018-12126 , CVE-2 018-12127 , CVE-2018-12130) és Spectre [CVE-2017-5753 & CVE-2017-5715] és Meltdown [CVE-2017-5754] változatok, spekulatív tároló megkerülését letiltó (SSBD) [CVE-2018-3639] valamint L1 terminálhiba (L1TF) [CVE-2018-3615, CVE-2018-3620 és CVE-2018-3646] Hyper-Threading letiltva:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ha a Hyper-V szolgáltatás telepítve van, adja hozzá a következő beállításjegyzék-beállítást:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ha ez egy Hyper-V-gazdagép, és a belső vezérlőprogram frissítései alkalmazva lettek: Teljesen állítsa le az összes Virtual Machines. Ez lehetővé teszi a belső vezérlőprogrammal kapcsolatos kockázatcsökkentés alkalmazását a gazdagépen a virtuális gépek elindítása előtt. Ezért a virtuális gépek is frissülnek, amikor újraindulnak.

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

Az Intel Tranzakciószinkronizálási bővítmények (Intel TSX) tranzakciószinkron megszakítási biztonsági résének (CVE-2019-11135) és a mikroarchitekturális adatok mintavételezésének letiltása ( CVE-2018-11091, CVE-2018-12126 , CVE-2 018-12127 , CVE-2018-12130) és Spectre [CVE-2017-5753 & CVE-2017-5715] és Meltdown [CVE-2017-5754] változatok, spekulatív tároló megkerülését letiltó (SSBD) [CVE-2018-3639] valamint L1 terminálhiba (L1TF) [CVE-2018-3615, CVE-2018-3620 és CVE-2018-3646]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

A módosítások érvénybe léptetéséhez indítsa újra az eszközt.

A CVE-2022-23825 kockázatcsökkentésének engedélyezése AMD processzorokon:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

A teljes védelem érdekében előfordulhat, hogy az ügyfeleknek le kell tiltania a Hyper-Threading (más néven egyidejű többszálúság (SMT)). A Windows-eszközök védelmére vonatkozó útmutatásért lásd: KB4073757.

A CVE-2023-20569 kockázatcsökkentésének engedélyezése AMD processzorokon:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

A CVE-2022-0001 megoldásának engedélyezése Intel processzorokon:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Több kockázatcsökkentés engedélyezése

Több kockázatcsökkentés engedélyezéséhez össze kell adnia az egyes kockázatcsökkentések REG_DWORD értékét.

Például:

A tranzakciók aszinkron megszakításával kapcsolatos biztonsági rés, a mikroarchitekturális adatok mintavételezése, a spectre, a meltdown, az MMIO, a spekulatív tár megkerülési letiltása (SSBD) és az L1 terminálhiba (L1TF) elhárítása letiltott Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

MEGJEGYZÉS 8264 (decimális) = 0x2048 (hexadecimális)

A BHI és más meglévő beállítások engedélyezéséhez bitenkénti VAGY aktuális értéket kell használnia 8 388 608 -tal (0x800000). 

0x800000 VAGY 0x2048 (8264 decimális), és 8 396 872(0x802048) lesz. Ugyanaz a FeatureSettingsOverrideMask elemnél is.

A CVE-2022-0001 elhárítás Intel processzorokon

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Kombinált kockázatcsökkentés

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

A tranzakciók aszinkron megszakításával kapcsolatos biztonsági rés, a mikroarchitekturális adatok mintavételezése, a spectre, a meltdown, az MMIO, a spekulatív tár megkerülési letiltása (SSBD) és az L1 terminálhiba (L1TF) elhárítása letiltott Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

A CVE-2022-0001 elhárítás Intel processzorokon

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Kombinált kockázatcsökkentés

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

A védelem engedélyezésének ellenőrzése

A védelem engedélyezésének ellenőrzéséhez közzétettünk egy PowerShell-szkriptet, amelyet futtathat az eszközein. Telepítse és futtassa a szkriptet az alábbi módszerek egyikével.

Telepítse a PowerShell-modult:

PS> Install-Module SpeculationControl

Futtassa a PowerShell-modult a védelem engedélyezésének ellenőrzéséhez:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Telepítse a PowerShell-modult a Technet ScriptCenterból:

  1. Lépjen a https://aka.ms/SpeculationControlPS .

  2. Töltse le SpeculationControl.zip egy helyi mappába.

  3. Bontsa ki a tartalmat egy helyi mappába. Például: C:\ADV180002

Futtassa a PowerShell-modult a védelem engedélyezésének ellenőrzéséhez:

Indítsa el a PowerShellt, majd használja az előző példát a következő parancsok másolásához és futtatásához:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

A PowerShell-szkript kimenetének részletes magyarázatáért lásd: KB4074629

Gyakori kérdések

A 2018 januárjában és februárjában kiadott Windows biztonsági frissítéseket nem ajánlották fel minden ügyfélnek, hogy elkerülhesse az ügyfelek eszközeinek hátrányos befolyásolását. További részletekért lásd: KB407269 .

A mikrokód egy belső vezérlőprogram-frissítésen keresztül érhető el. Érdeklődjön az OEM-nek arról a belső vezérlőprogram-verzióról, amely rendelkezik a számítógép megfelelő frissítésével.

A teljesítményt több változó is befolyásolja, a rendszerverziótól kezdve a futó számítási feladatokig. Egyes rendszereknél a teljesítmény hatása elhanyagolható lesz. Mások számára ez jelentős lesz.

Javasoljuk, hogy mérje fel a rendszerekre gyakorolt teljesítményhatásokat, és szükség szerint végezze el a szükséges módosításokat.

A jelen cikkben található, a virtuális gépekkel kapcsolatos útmutatás mellett forduljon a szolgáltatóhoz, és győződjön meg arról, hogy a virtuális gépeket futtató gazdagépek megfelelően védettek.Az Azure-ban futó Windows Server rendszerű virtuális gépek esetében lásd: Útmutató a spekulatív végrehajtás oldalcsatornás biztonsági réseinek csökkentéséhez az Azure-ban . A vendég virtuális gépeken a probléma elhárításához az Azure Update Management használatával kapcsolatos útmutatásért lásd: KB4077467.

A Windows Server 2016 és a Windows 10 1709-es verziójához kiadott Windows Server tárolólemezképekhez kiadott frissítések tartalmazzák a biztonsági rések ezen készletének elhárítását. Nincs szükség további konfigurációra.Megjegyzés Továbbra is győződjön meg arról, hogy az a gazdagép, amelyen ezek a tárolók futnak, úgy van konfigurálva, hogy engedélyezze a megfelelő kockázatcsökkentéseket.

Nem, a telepítési sorrend nem számít.

Igen, a belső vezérlőprogram (mikrokód) frissítése után, majd a rendszerfrissítés után újra kell indulnia.

A beállításkulcsok részletei a következők:

A FeatureSettingsOverride egy bitkép, amely felülbírálja az alapértelmezett beállítást, és szabályozza, hogy mely kockázatcsökkentések lesznek letiltva. A 0. bit a CVE-2017-5715-nek megfelelő kockázatcsökkentést szabályozza. Az 1. bit a CVE-2017-5754-nek megfelelő kockázatcsökkentést szabályozza. A bitek 0-ra vannak állítva a kockázatcsökkentés engedélyezéséhez, és 1 értékre a kockázatcsökkentés letiltásához.

A FeatureSettingsOverrideMask a FeatureSettingsOverride paraméterrel együtt használt bitképmaszkot jelöli.  Ebben az esetben a 3 értéket használjuk (a bináris számrendszerben 11-ként jelenik meg) az elérhető kockázatcsökkentéseknek megfelelő első két bit jelzésére. Ez a beállításkulcs 3-ra van állítva a kockázatcsökkentés engedélyezéséhez vagy letiltásához.

A MinVmVersionForCpuBasedMitigations Hyper-V-gazdagépekhez készült. Ez a beállításkulcs határozza meg azt a minimális virtuálisgép-verziót, amely szükséges a frissített belsővezérlőprogram-funkciók használatához (CVE-2017-5715). Állítsa ezt 1.0-ra az összes virtuálisgép-verzió lefedéséhez. Figyelje meg, hogy ezt a beállításjegyzék-értéket a rendszer figyelmen kívül hagyja (jóindulatú) a nem Hyper-V-gazdagépeken. További részletekért lásd: Vendég virtuális gépek védelme a CVE-2017-5715-től (ágcél-injektálás).

Igen, nincsenek mellékhatások, ha ezeket a beállításjegyzék-beállításokat a 2018. januári javítások telepítése előtt alkalmazzák.

A szkript kimenetének részletes leírását a KB4074629: Understanding SpeculationControl PowerShell-szkript kimenete című cikkben találja.

Igen, Windows Server 2016 olyan Hyper-V-gazdagépek esetében, amelyek még nem rendelkeznek a belső vezérlőprogram frissítésével, közzétettünk egy alternatív útmutatót, amely segíthet a virtuális gépek vagy virtuális gépek elleni támadások elhárításában. Lásd: Alternatív védelem Windows Server 2016 Hyper-V-gazdagépekhez a spekulatív végrehajtási oldalcsatorna biztonsági rései ellen.

A csak biztonsági frissítések nem összesítettek. Az operációs rendszer verziójától függően előfordulhat, hogy a teljes védelem érdekében több biztonsági frissítést is telepítenie kell. Az ügyfeleknek általában telepíteniük kell a 2018. januári, februári, márciusi és áprilisi frissítéseket. Az AMD processzorokkal rendelkező rendszereknek további frissítést kell elvégezniük az alábbi táblázatban látható módon:

Operációs rendszer verziója

Biztonsági frissítés

Windows 8.1, Windows Server 2012 R2

KB4338815 – Havi összesítés

KB4338824 – csak biztonsági

Windows 7 SP1, Windows Server 2008 R2 SP1 vagy Windows Server 2008 R2 SP1 (Server Core telepítés)

KB4284826 – Havi összesítés

KB4284867 – Csak biztonság

Windows Server 2008 SP2

KB4340583 – Biztonsági frissítés

Javasoljuk, hogy a csak biztonsági frissítéseket a kiadás sorrendjében telepítse.

Megjegyzés: A gyik egy korábbi verziója helytelenül állította, hogy a februári csak biztonsági frissítés tartalmazza a januárban kiadott biztonsági javításokat. Valójában nem.

Nem. A biztonsági frissítési KB4078130 a mikrokód telepítése után a rendszer előre nem látható viselkedésének, teljesítményproblémáinak és váratlan újraindulásának megelőzésére szolgáló javítás volt. A biztonsági frissítések windowsos ügyféloldali operációs rendszereken való alkalmazása mindhárom kockázatcsökkentést lehetővé teszi. Windows Server operációs rendszereken a megfelelő tesztelés után is engedélyeznie kell a kockázatcsökkentéseket. További információ: KB4072698.

Ezt a problémát a KB4093118 megoldottuk.

2018 februárjában az Intel bejelentette , hogy befejezte az ellenőrzést, és megkezdte a mikrokód kiadását az újabb PROCESSZORplatformokhoz. A Microsoft elérhetővé teszi az Intel által ellenőrzött mikrokód-frissítéseket, amelyek a Spectre Variant 2 Spectre Variant 2-re vonatkoznak (CVE-2017-5715 | Branch Target Injektálás). KB4093836 a Windows-verziónként tudásbázis cikkeket sorolja fel. Minden egyes tudásbáziscikk tartalmazza a processzoronként elérhető Intel mikrokód-frissítéseket.

2018 . január 11-én az Intel a közelmúltban kiadott mikrokódokkal kapcsolatos problémákról számolt be, amelyek a Spectre 2. változatának (CVE-2017-5715) kezelésére szolgáltak . Branch Target Injektálás). Pontosabban, az Intel megállapította, hogy ez a mikrokód "a vártnál magasabb újraindításokat és más kiszámíthatatlan rendszerviselkedést" okozhat, és ezek a forgatókönyvek "adatvesztést vagy -sérülést" okozhatnak." Tapasztalatunk szerint a rendszer instabilitása bizonyos körülmények között adatvesztést vagy sérülést okozhat. Január 22-én az Intel azt javasolta az ügyfeleknek, hogy az érintett processzorokon ne helyezzenek üzembe a jelenlegi mikrokódverziót , miközben az Intel további tesztelést végez a frissített megoldáson. Tisztában vagyunk azzal, hogy az Intel továbbra is vizsgálja a jelenlegi mikrokódverzió lehetséges hatását. Javasoljuk ügyfeleinknek, hogy határozataikat folyamatosan áttekintsék.

Amíg az Intel teszteli, frissíti és üzembe helyezi az új mikrokódokat, elérhetővé teszünk egy sávon kívüli (OOB) frissítést , KB4078130, amely kifejezetten letiltja a CVE-2017-5715 elleni kockázatcsökkentést. A tesztelés során ezt a frissítést találtuk, hogy megakadályozzuk a leírt viselkedést. Az eszközök teljes listájáért tekintse meg az Intel mikrokód-változatának útmutatóját . Ez a frissítés a Windows 7 Service Pack 1 (SP1), a Windows 8.1 és a Windows 10 összes verzióját érinti, mind az ügyfelet, mind a kiszolgálót. Ha érintett eszközt futtat, ezt a frissítést a Microsoft Update Katalógus webhelyéről töltheti le. A hasznos adatok alkalmazása kifejezetten csak a CVE-2017-5715 elleni kockázatcsökkentést tiltja le.

Jelenleg nincsenek olyan ismert jelentések, amelyek arra utalnak, hogy ez a Spectre Variant 2 (CVE-2017-5715 | Branch Target Injection) használatával támadták meg az ügyfeleket. Azt javasoljuk, hogy ha szükséges, a Windows-felhasználók újraélesítsék a CVE-2017-5715-re vonatkozó kockázatcsökkentést, ha az Intel arról számol be, hogy ez a kiszámíthatatlan rendszerviselkedés megoldódott az eszközén.

2018 februárjában az Intelbejelentette , hogy befejezte az ellenőrzést, és megkezdte a mikrokód kiadását az újabb CPU-platformokhoz. A Microsoft elérhetővé teszi a Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715) termékhez kapcsolódó, Intel által ellenőrzött mikrokód-frissítéseket | Branch Target Injektálás). KB4093836 a Windows-verziónként tudásbázis cikkeket sorolja fel. A KB-k listája az elérhető Intel mikrokód-frissítések processzor szerint.

További információ: AMD security Frissítések és AMD Whitepaper: Architecture Guidelines around Indirect Branch Control (Az AMD biztonsági Frissítések és AZ AMD útmutatója: Architecture Guidelines around Indirect Branch Control (Az AMD biztonsági Frissítések és az AMD útmutatója: Architecture Guidelines around Indirect Branch Control (Az AMD biztonsági Frissítések és az AMD útmutató Ezek az OEM belső vezérlőprogram-csatornáján érhetők el.

A Spectre Variant 2-re (CVE-2017-5715 | Branch Target Injektálás). A legújabb Intel mikrokódfrissítések Windows Update keresztüli beszerzéséhez az ügyfeleknek telepíteniük kell az Intel mikrokódját az Windows 10 operációs rendszert futtató eszközökre a 2018. áprilisi Windows 10 frissítésre (1803-es verzió) való frissítés előtt.

A mikrokód-frissítés közvetlenül a Microsoft Update katalógusból is elérhető, ha a rendszer frissítése előtt nem telepítette az eszközre. Az Intel mikrokódja Windows Update, Windows Server Update Services (WSUS) vagy a Microsoft Update Katalóguson keresztül érhető el. További információkért és a letöltési utasításokért lásd: KB4100347.

Lásd a ADV180012 | "Javasolt műveletek" és "GYIK" szakaszát  Microsoft-útmutató spekulatív áruház megkerüléséhez.

Az SSBD állapotának ellenőrzéséhez a Get-SpeculationControlSettings PowerShell-szkript frissült, hogy észlelje az érintett processzorokat, az SSBD operációs rendszer frissítéseinek állapotát és a processzor mikrokódjának állapotát, ha van ilyen. További információkért és a PowerShell-szkript beszerzéséhez lásd: KB4074629.

2018. június 13-án bejelentették és hozzárendelték a CVE-2018-3665 nevű, oldalcsatornás spekulatív végrehajtást magában foglaló, lazy FP State Restore nevű biztonsági rést. A biztonsági résről és az ajánlott műveletekről a biztonsági tanácsadási ADV180016 | A Microsoft útmutatója a szakaszolt FP-állapot visszaállításához .

Megjegyzés Az FP-visszaállítás szakaszos visszaállításához nincs szükség konfigurációs (beállításjegyzékbeli) beállításokra.

A Bounds Check Bypass Store (BCBS) 2018. július 10-én került nyilvánosságra, és hozzárendelte a CVE-2018-3693-at. Úgy véljük, hogy a BCBS ugyanahhoz a biztonsági résosztályhoz tartozik, mint a Bounds Check Bypass (1. változat). Jelenleg nem tudunk a szoftverünkben található BCBS-példányokról. Azonban továbbra is kutatjuk ezt a biztonságirés-osztályt, és az iparági partnerekkel együttműködve szükség szerint kiadjuk a kockázatcsökkentéseket. Arra biztatjuk a kutatókat, hogy küldjenek el minden releváns megállapítást a Microsoft spekulatív végrehajtási oldal csatorna bounty programba, beleértve a BCBS bármely kihasználható példányát is. A szoftverfejlesztőknek át kell tekinteniük a BCBS-hez frissített fejlesztői útmutatót a C++ Fejlesztői útmutató spekulatív végrehajtási oldal csatornáihoz című cikkben. 

2018. augusztus 14-én bejelentették az L1 terminálhibát (L1TF), és több CVE-t rendeltek hozzá. Ezek az új spekulatív végrehajtási oldalcsatorna-biztonsági rések felhasználhatók a memória tartalmának megbízható határokon keresztüli olvasására, és ha kihasználják, információfelfedéshez vezethetnek. A konfigurált környezettől függően több vektor is aktiválhatja a biztonsági réseket. Az L1TF az Intel® Core® processzorokat és az Intel® Xeon® processzorokat érinti.

A biztonsági résről és az érintett forgatókönyvek részletes áttekintéséről, beleértve a Microsoft L1TF-et csökkentő megközelítését, az alábbi forrásanyagokban talál további információt:

A Hyper-Threading letiltásának lépései eltérnek az OEM-től az OEM-től, de általában a BIOS vagy a belső vezérlőprogram beállítási és konfigurációs eszközeinek részei.

A 64 bites ARM-processzorokat használó ügyfeleknek a belső vezérlőprogram támogatásáért az eszköz OEM-éhez kell fordulniuk, mert a CVE-2017-5715-öt enyhítő ARM64 operációsrendszer-védelem | Az elágazási célinjektálás (Spectre, Variant 2) működéséhez az eszköz operációs rendszereinek legújabb belsővezérlőprogram-frissítése szükséges.

A retpoline engedélyezésével kapcsolatos további információkért tekintse meg a Következő blogbejegyzést: A Spectre 2. változatának enyhítése a Windows retpoline-jával .

A biztonsági rés részleteiért tekintse meg a Microsoft biztonsági útmutatóját: CVE-2019-1125 | A Windows Kernel információfelfedés biztonsági rése.

Nem tudunk arról, hogy ez az információfelfedési biztonsági rés hatással lehet a felhőszolgáltatás infrastruktúrájára.

Amint tudomást szereztünk a problémáról, gyorsan dolgoztunk a megoldásán, és kiadtunk egy frissítést. Határozottan hiszünk a kutatókkal és az iparági partnerekkel kialakított szoros partnerségekben, hogy az ügyfelek biztonságosabbak legyenek, és augusztus 6., keddig nem tették közzé a részleteket, összhangban az összehangolt biztonságirés-közzétételi gyakorlatokkal.

Referenciák

A külső gyártók ebben a cikkben említett termékeit a Microsofttól független vállalatok gyártják. A termékek teljesítményére vagy megbízhatóságára semmilyen vélelmezett vagy egyéb garanciát nem vállalunk.

Harmadik féltől származó kapcsolattartási adatokat adunk meg, hogy segítséget nyújtsunk a technikai támogatás megtalálásához. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. Nem garantáljuk a harmadik fél kapcsolattartási adatainak pontosságát.

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.