Ubah tanggal |
Dekripsi perubahan |
---|---|
20 April 2023 |
|
8 Agustus 2023 |
|
9 Agustus 2023 |
|
9 April 2024 |
|
16 April 2024 |
|
Rangkuman
Artikel ini menyediakan panduan untuk kelas baru silikon berbasis mikroarsitektural dan spekulatif eksekusi sisi-saluran kerentanan yang mempengaruhi banyak prosesor modern dan sistem operasi. Ini termasuk Intel, AMD, dan ARM. Detail spesifik untuk kerentanan berbasis silikon ini dapat ditemukan dalam ADVs (Security Advisories) dan CVEs berikut (Kerentanan Umum dan Eksposur):
-
ADV180002 |Â Panduan untuk mengurangi kerentanan saluran sisi eksekusi spekulatif
-
ADV180012 |Â Panduan Microsoft untuk Bypass Bursa Spekulatif
-
ADV180013 |Â Panduan Microsoft untuk Pendaftaran Sistem Nakal Dibaca
-
ADV180016 |Â Panduan Microsoft untuk Pemulihan Status FP Malas
-
ADV220002 |Â Panduan Microsoft tentang Kerentanan Data Prosesor Intel MMIO Basi
Penting:Â Masalah ini juga memengaruhi sistem operasi lainnya, seperti Android, Chrome, iOS, dan MacOS. Kami menyarankan pelanggan untuk mencari panduan dari vendor tersebut.
Kami telah merilis beberapa pembaruan untuk membantu mengurangi kerentanan ini. Kami juga telah mengambil tindakan untuk mengamankan layanan cloud kami. Lihat bagian berikut ini untuk detail selengkapnya.
Kami belum menerima informasi apa pun untuk menunjukkan bahwa kerentanan ini digunakan untuk menyerang pelanggan. Kami bekerja sama dengan mitra industri termasuk pembuat chip, OEM perangkat keras, dan vendor aplikasi untuk melindungi pelanggan. Untuk mendapatkan semua perlindungan yang tersedia, pembaruan firmware (mikrokode) dan perangkat lunak diperlukan. Ini termasuk kode mikro dari OEM perangkat dan, dalam beberapa kasus, pembaruan untuk perangkat lunak antivirus.
Kerentanan
Artikel ini membahas kerentanan eksekusi spekulatif berikut ini:
Windows Update juga akan menyediakan mitigasi Internet Explorer dan Edge. Kami akan terus meningkatkan mitigasi ini terhadap kelas kerentanan ini.
Untuk mempelajari selengkapnya tentang kelas kerentanan ini, lihat
Pada 14 Mei 2019, Intel menerbitkan informasi tentang subkelas baru kerentanan saluran sisi eksekusi spekulatif yang dikenal sebagai Microarchitectural Data Sampling dan didokumentasikan dalam ADV190013 | Microarchitectural Data Sampling. Mereka telah ditetapkan sebagai CVEs berikut:
-
CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)
-
CVE-2018-12127 | Microarchitectural Fill Buffer Data Sampling (MFBDS)
-
CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)
Penting:Â Masalah ini akan memengaruhi sistem lain seperti Android, Chrome, iOS, dan MacOS. Kami menyarankan pelanggan untuk mencari panduan dari vendor tersebut.
Microsoft telah merilis pembaruan untuk membantu mengurangi kerentanan ini. Untuk mendapatkan semua perlindungan yang tersedia, pembaruan firmware (mikrokode) dan perangkat lunak diperlukan. Ini mungkin termasuk kode mikro dari OEM perangkat. Dalam beberapa kasus, menginstal pembaruan ini akan berdampak pada kinerja. Kami juga telah bertindak untuk mengamankan layanan cloud kami. Kami sangat menyarankan untuk menyebarkan pembaruan ini.
Untuk informasi selengkapnya tentang masalah ini, lihat Panduan berbasis Skenario dan Konsultan Keamanan berikut ini untuk menentukan tindakan yang diperlukan untuk mengurangi ancaman:
-
ADV190013 | Panduan Microsoft untuk mengurangi kerentanan Pengambilan Sampel Data Microarchitectural
-
Panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif
Catatan:Â Kami menyarankan agar Anda menginstal semua pembaruan terkini dari Windows Update sebelum menginstal pembaruan kode mikro apa pun.
Pada 6 Agustus 2019 Intel merilis detail tentang kerentanan pengungkapan informasi kernel Windows. Kerentanan ini adalah varian spectre, varian 1 spekulatif eksekusi sisi-saluran kerentanan dan telah ditetapkan CVE-2019-1125.
Pada 9 Juli 2019, kami merilis pembaruan keamanan untuk sistem operasi Windows untuk membantu mengurangi masalah ini. Harap diperhatikan bahwa kami menahan pendokumentasian mitigasi ini secara publik hingga pengungkapan industri terkoordinasi pada selasa, 6 Agustus 2019.
Pelanggan yang telah Windows Update diaktifkan dan telah menerapkan pembaruan keamanan yang dirilis pada 9 Juli 2019 dilindungi secara otomatis. Tidak ada konfigurasi lebih lanjut yang diperlukan.
Catatan:Â Kerentanan ini tidak memerlukan pembaruan kode mikro dari produsen perangkat Anda (OEM).
Untuk informasi selengkapnya tentang kerentanan ini dan pembaruan yang berlaku, lihat Panduan Pembaruan Keamanan Microsoft:
Pada 12 November 2019, Intel menerbitkan konsultasi teknis tentang Intel® Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability that is assigned CVE-2019-11135. Microsoft telah merilis pembaruan untuk membantu mengurangi kerentanan ini dan perlindungan OS diaktifkan secara default untuk Windows Server 2019 tetapi dinonaktifkan secara default untuk Windows Server 2016 dan edisi OS Windows Server yang lebih lama.
Pada tanggal 14 Juni 2022, kami menerbitkan ADV220002 |Â Panduan Microsoft tentang Kerentanan Data Mmio Prosesor Intel Basi dan menetapkan CV Ini:Â
-
CVE-2022-21125 |Â Pengambilan sampel data penyangga bersama (SBDS)
-
CVE-2022-21127 |Â Special Register Buffer Data Sampling Update (Pembaruan SRBDS)
Tindakan yang disarankan
Anda harus melakukan tindakan berikut untuk membantu melindungi dari kerentanan:
-
Terapkan semua pembaruan sistem operasi Windows yang tersedia, termasuk pembaruan keamanan Windows bulanan.
-
Terapkan pembaruan firmware (microcode) yang berlaku yang disediakan oleh produsen perangkat.
-
Evaluasi risiko terhadap lingkungan Anda berdasarkan informasi yang disediakan di Microsoft Security Advisories: ADV180002, ADV180012, ADV190013, dan ADV220002, selain informasi yang disediakan dalam artikel Pangkalan Pengetahuan ini.
-
Lakukan tindakan sesuai keperluan menggunakan informasi kunci registri dan konsultan yang disediakan dalam artikel Pangkalan Pengetahuan ini.
Catatan:Â Pelanggan Surface akan menerima pembaruan kode mikro melalui Windows Update. Untuk daftar pembaruan firmware perangkat Surface (microcode) terbaru, lihat KB4073065.
Pada 12 Juli 2022, kami menerbitkan CVE-2022-23825 | AMD CPU Branch Type Confusion yang menjelaskan bahwa alias di branch predictor dapat menyebabkan prosesor AMD tertentu untuk memprediksi jenis cabang yang salah. Masalah ini mungkin berpotensi menyebabkan pengungkapan informasi.
Untuk membantu melindungi dari kerentanan ini, sebaiknya instal pembaruan Windows yang tertanggal pada atau setelah Juli 2022 lalu lakukan tindakan sesuai keharusan CVE-2022-23825 dan informasi kunci registri yang disediakan dalam artikel Pangkalan Pengetahuan ini.
Untuk informasi selengkapnya, lihat buletin keamanan AMD-SB-1037 .
Pada 8 Agustus 2023, kami menerbitkan CVE-2023-20569 | Return Address Predictor (juga dikenal sebagai Inception) yang menjelaskan serangan saluran sisi spekulatif baru yang dapat mengakibatkan eksekusi spekulatif pada alamat yang dikontrol penyerang. Masalah ini memengaruhi prosesor AMD tertentu dan mungkin berpotensi menyebabkan pengungkapan informasi.
Untuk membantu melindungi dari kerentanan ini, sebaiknya instal pembaruan Windows yang tertanggal pada atau setelah Agustus 2023 lalu lakukan tindakan sesuai keharusan CVE-2023-20569 dan informasi kunci registri yang disediakan dalam artikel Pangkalan Pengetahuan ini.
Untuk informasi selengkapnya, lihat buletin keamanan AMD-SB-7005 .
Pada 9 April 2024, kami menerbitkan CVE-2022-0001 | Injeksi Riwayat Cabang Intel yang menjelaskan Injeksi Riwayat Cabang (BHI) yang merupakan bentuk tertentu dari intra-mode BTI. Kerentanan ini terjadi ketika penyerang dapat memanipulasi riwayat cabang sebelum beralih dari pengguna ke mode supervisor (atau dari VMX non-akar/tamu ke mode akar). Manipulasi ini dapat menyebabkan prediktor cabang tidak langsung memilih entri prediktor tertentu untuk cabang tidak langsung, dan gadget pengungkapan pada target yang diprediksi akan dijalankan secara sementara. Ini mungkin dimungkinkan karena riwayat cabang yang relevan mungkin berisi cabang yang diambil dalam konteks keamanan sebelumnya, dan khususnya, mode prediktor lainnya.
Pengaturan mitigasi untuk Windows Server dan Azure Stack HCI
Penasihat keamanan (ADV) dan CV Menyediakan informasi tentang risiko yang ditimbulkan oleh kerentanan ini. Mereka juga membantu Anda mengidentifikasi kerentanan dan mengidentifikasi status default mitigasi untuk sistem Windows Server. Tabel di bawah ini merangkum persyaratan kode mikro CPU dan status default mitigasi di Windows Server.
CVE |
Memerlukan kode mikro/firmware CPU? |
Status Default Mitigasi |
---|---|---|
Tidak |
Diaktifkan secara default (tidak ada opsi untuk menonaktifkan) Silakan lihat ADV180002 untuk informasi tambahan |
|
Ya |
Dinonaktifkan secara default. Silakan lihat ADV180002 untuk informasi tambahan dan artikel KB ini untuk pengaturan kunci registri yang berlaku. Catatan "Retpoline" diaktifkan secara default untuk perangkat yang menjalankan Windows 10, versi 1809, dan yang lebih baru jika Spectre Varian 2 (CVE-2017-5715) diaktifkan. Untuk informasi selengkapnya tentang "Retpoline", ikuti Mitigating Spectre varian 2 dengan Retpoline di posting blog Windows. |
|
Tidak |
Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default. Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.Silakan lihat ADV180002 untuk informasi tambahan. |
|
Intel: Ya AMD: Tidak |
Dinonaktifkan secara default. Lihat ADV180012 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
|
Intel: Ya |
Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default. Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.Lihat ADV190013 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
|
Intel: Ya |
Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default. Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.Lihat ADV190013 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
|
Intel: Ya |
Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default. Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.Lihat ADV190013 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
|
Intel: Ya |
Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default. Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.Lihat ADV190013 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
|
Intel: Ya |
Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default. Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.Lihat CVE-2019-11135 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
|
CVE-2022-21123 (bagian dari mmio ADV220002) |
Intel: Ya |
Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default. Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.*ÂLihat CVE-2022-21123 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
CVE-2022-21125 (bagian dari mmio ADV220002) |
Intel: Ya |
Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default. Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.*ÂLihat CVE-2022-21125 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
CVE-2022-21127 (bagian dari mmio ADV220002) |
Intel: Ya |
Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default. Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.*ÂLihat CVE-2022-21127 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
CVE-2022-21166 (bagian dari mmio ADV220002) |
Intel: Ya |
Windows Server 2019, Windows Server 2022, dan Azure Stack HCI: Diaktifkan secara default. Windows Server 2016 dan yang lebih lama: Dinonaktifkan secara default.*ÂLihat CVE-2022-21166 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
CVE-2022-23825 (Amd CPU Branch Type Confusion) |
AMD: Tidak |
Lihat CVE-2022-23825 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
CVE-2023-20569 (Prediktor Alamat Pengirim CPU AMD) |
AmD: Ya |
Lihat CVE-2023-20569 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
Intel: Tidak |
Dinonaktifkan secara default Lihat CVE-2022-0001 untuk informasi selengkapnya dan artikel ini untuk pengaturan kunci registri yang berlaku. |
* Ikuti panduan mitigasi untuk Meltdown di bawah ini.
Jika Anda ingin mendapatkan semua perlindungan yang tersedia terhadap kerentanan ini, Anda harus membuat perubahan kunci registri untuk mengaktifkan mitigasi ini yang dinonaktifkan secara default.
Mengaktifkan mitigasi ini dapat memengaruhi kinerja. Skala efek kinerja bergantung pada beberapa faktor, seperti chipset tertentu dalam host fisik Anda dan beban kerja yang berjalan. Kami menyarankan agar Anda menilai efek kinerja untuk lingkungan Anda dan melakukan penyesuaian yang diperlukan.
Server Anda berisiko meningkat jika berada dalam salah satu kategori berikut:
-
Host Hyper-V: Memerlukan perlindungan untuk serangan VM-to-VM dan VM-to-host.
-
Host Layanan Desktop Jarak Jauh (RDSH): Memerlukan perlindungan dari satu sesi ke sesi lain atau dari serangan sesi-ke-host.
-
Host fisik atau mesin virtual yang menjalankan kode yang tidak tepercaya, seperti kontainer atau ekstensi yang tidak tepercaya untuk database, konten web yang tidak tepercaya, atau beban kerja yang menjalankan kode yang berasal dari sumber eksternal. Ini memerlukan perlindungan dari proses yang tidak tepercaya ke proses lain atau serangan proses-ke-kernel yang tidak tepercaya.
Gunakan pengaturan kunci registri berikut ini untuk mengaktifkan mitigasi pada server, dan mulai ulang perangkat agar perubahan dapat diterapkan.
Catatan:Â Secara default, mengaktifkan mitigasi yang nonaktif dapat memengaruhi kinerja. Efek kinerja aktual bergantung pada beberapa faktor, seperti chipset tertentu dalam perangkat dan beban kerja yang berjalan.
Pengaturan registri
Kami menyediakan informasi registri berikut ini untuk mengaktifkan mitigasi yang tidak diaktifkan secara default, seperti yang didokumentasikan dalam Konsultan Keamanan (ADV) dan CVEs. Selain itu, kami menyediakan pengaturan kunci registri untuk pengguna yang ingin menonaktifkan mitigasi jika berlaku untuk klien Windows.
PENTING Bagian, metode, atau tugas ini berisi langkah-langkah yang memberi tahu Anda cara mengubah registri. Namun, masalah serius mungkin terjadi jika Anda salah mengubah registri. Oleh karena itu, pastikan Anda mengikuti langkah-langkah ini dengan hati-hati. Untuk perlindungan tambahan, cadangkan registri sebelum Anda mengubahnya. Lalu, Anda dapat memulihkan registri jika terjadi masalah. Untuk informasi selengkapnya tentang cara mencadangkan dan memulihkan registri, lihat artikel berikut ini di Pangkalan Pengetahuan Microsoft:
KB322756 Cara mencadangkan dan memulihkan registri di Windows
PENTINGSecara default, Retpoline dikonfigurasi sebagai berikut jika Spectre, Varian 2 mitigasi (CVE-2017-5715) diaktifkan:
- Mitigasi retpoline diaktifkan pada Windows 10, versi 1809 dan versi Windows yang lebih baru.
- Mitigasi retpoline dinonaktifkan di Windows Server 2019 dan versi Windows Server yang lebih baru.
Untuk informasi selengkapnya tentang konfigurasi Retpoline, lihat Mengurangi Spectre varian 2 dengan Retpoline di Windows.
|
Catatan:Â Pengaturan FeatureSettingsOverrideMask ke 3 akurat untuk pengaturan "aktifkan" dan "nonaktifkan". (Lihat bagian "FAQ " untuk detail selengkapnya tentang kunci registri.)
Untuk menonaktifkan Varian 2: (CVE-2017-5715 |Â Mitigasi Target Cabang) mitigasi: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. Untuk mengaktifkan Varian 2: (CVE-2017-5715 |Mitigasi Target Cabang) mitigasi: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. |
Secara default, perlindungan pengguna ke kernel untuk CVE-2017-5715 dinonaktifkan untuk CPU AMD. Pelanggan harus mengaktifkan mitigasi untuk menerima perlindungan tambahan untuk CVE-2017-5715. Untuk informasi selengkapnya, lihat FAQ #15 di ADV180002.
Aktifkan perlindungan user-to-kernel pada prosesor AMD bersama dengan perlindungan lain untuk CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jika fitur Hyper-V diinstal, tambahkan pengaturan registri berikut: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jika ini adalah host Hyper-V dan pembaruan firmware telah diterapkan: Matikan semua Virtual Machines. Hal ini memungkinkan mitigasi terkait firmware diterapkan pada host sebelum VM dimulai. Oleh karena itu, VM juga diperbarui saat VM dimulai ulang. Mulai ulang perangkat agar perubahan dapat diterapkan. |
Untuk mengaktifkan mitigasi untuk CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Varian 2), dan CVE-2017-5754 (Meltdown): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jika fitur Hyper-V diinstal, tambahkan pengaturan registri berikut: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jika ini adalah host Hyper-V dan pembaruan firmware telah diterapkan: Matikan semua Virtual Machines. Hal ini memungkinkan mitigasi terkait firmware diterapkan pada host sebelum VM dimulai. Oleh karena itu, VM juga diperbarui saat VM dimulai ulang. Mulai ulang perangkat agar perubahan dapat diterapkan. Untuk menonaktifkan mitigasi CVE-2018-3639 (Bypass Store Spekulatif) DAN mitigasi CVE-2017-5715 (Varian Spectre 2) dan CVE-2017-5754 (Meltdown) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. |
Secara default, perlindungan user-to-kernel untuk CVE-2017-5715 dinonaktifkan untuk prosesor AMD. Pelanggan harus mengaktifkan mitigasi untuk menerima perlindungan tambahan untuk CVE-2017-5715. Untuk informasi selengkapnya, lihat FAQ #15 di ADV180002.
Memungkinkan perlindungan pengguna-ke-kernel pada prosesor AMD bersama dengan perlindungan lain untuk CVE 2017-5715 dan perlindungan untuk CVE-2018-3639 (Bypass Store Spekulatif): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jika fitur Hyper-V diinstal, tambahkan pengaturan registri berikut: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jika ini adalah host Hyper-V dan pembaruan firmware telah diterapkan: Matikan semua Virtual Machines. Hal ini memungkinkan mitigasi terkait firmware diterapkan pada host sebelum VM dimulai. Oleh karena itu, VM juga diperbarui saat VM dimulai ulang. Mulai ulang perangkat agar perubahan dapat diterapkan. |
Untuk mengaktifkan mitigasi untuk Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) dan Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) bersama dengan Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] varian, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, dan CVE-2022-21166) termasuk Speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ] serta L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620, dan CVE-2018-3646] tanpa menonaktifkan Hyper-Threading: reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jika fitur Hyper-V diinstal, tambahkan pengaturan registri berikut: reg tambahkan "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jika ini adalah host Hyper-V dan pembaruan firmware telah diterapkan: Matikan semua Virtual Machines. Hal ini memungkinkan mitigasi terkait firmware diterapkan pada host sebelum VM dimulai. Oleh karena itu, VM juga diperbarui saat VM dimulai ulang. Mulai ulang perangkat agar perubahan dapat diterapkan. Untuk mengaktifkan mitigasi untuk Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) dan Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) bersama dengan Spectre [CVE-2017-5753 & CVE-2017-5715] dan Meltdown [CVE-2017-5754] varian, termasuk Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] serta L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620, dan CVE-2018-3646] dengan Hyper-Threading nonaktif: reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Jika fitur Hyper-V diinstal, tambahkan pengaturan registri berikut: reg tambahkan "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Jika ini adalah host Hyper-V dan pembaruan firmware telah diterapkan: Matikan semua Virtual Machines. Hal ini memungkinkan mitigasi terkait firmware diterapkan pada host sebelum VM dimulai. Oleh karena itu, VM juga diperbarui saat VM dimulai ulang. Mulai ulang perangkat agar perubahan dapat diterapkan. Untuk menonaktifkan mitigasi untuk Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) dan Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) bersama dengan Spectre [CVE-2017-5753 & CVE-2017-5715] dan Meltdown [CVE-2017-5754] varian, termasuk Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] serta L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620, dan CVE-2018-3646]: reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Mulai ulang perangkat agar perubahan dapat diterapkan. |
Untuk mengaktifkan mitigasi untuk CVE-2022-23825 pada prosesor AMD:
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /fÂ
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fÂ
Agar sepenuhnya terlindungi, pelanggan mungkin juga perlu menonaktifkan Hyper-Threading (juga dikenal sebagai Simultaneous Multi Threading (SMT)). Silakan lihat KB4073757 untuk panduan tentang melindungi perangkat Windows.
Untuk mengaktifkan mitigasi untuk CVE-2023-20569 pada prosesor AMD:
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /fÂ
Untuk mengaktifkan mitigasi untuk CVE-2022-0001 pada prosesor Intel:
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Mengaktifkan beberapa mitigasi
Untuk mengaktifkan beberapa mitigasi, Anda harus menambahkan nilai REG_DWORD setiap mitigasi bersama-sama.
Contohnya:
Mitigation for Transaction Asynchronous Abort vulnerability, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD), dan L1 Terminal Fault (L1TF) dengan Hyper-Threading dinonaktifkan |
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
CATATAN 8264 (dalam Desimal) = 0x2048 (dalam Hex) Untuk mengaktifkan BHI bersama dengan pengaturan lain yang sudah ada, Anda perlu menggunakan bitwise OR dari nilai saat ini dengan 8.388.608 (0x800000). 0x800000 OR 0x2048(8264 dalam desimal) dan akan menjadi 8.396.872(0x802048). Sama dengan FeatureSettingsOverrideMask. |
|
Mitigasi untuk CVE-2022-0001 pada prosesor Intel |
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Mitigasi gabungan |
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Mitigation for Transaction Asynchronous Abort vulnerability, Microarchitectural Data Sampling, Spectre, Meltdown, MMIO, Speculative Store Bypass Disable (SSBD), dan L1 Terminal Fault (L1TF) dengan Hyper-Threading dinonaktifkan |
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Mitigasi untuk CVE-2022-0001 pada prosesor Intel |
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Mitigasi gabungan |
reg tambahkan "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Memverifikasi bahwa proteksi diaktifkan
Untuk membantu memverifikasi bahwa proteksi diaktifkan, kami telah menerbitkan skrip PowerShell yang dapat Anda jalankan di perangkat Anda. Instal dan jalankan skrip dengan menggunakan salah satu metode berikut.
Instal Modul PowerShell: PS> Install-Module SpeculationControl Jalankan modul PowerShell untuk memverifikasi bahwa proteksi diaktifkan: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Instal modul PowerShell dari Technet ScriptCenter:
Jalankan modul PowerShell untuk memverifikasi bahwa proteksi diaktifkan: Mulai PowerShell, lalu gunakan contoh sebelumnya untuk menyalin dan menjalankan perintah berikut: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Untuk penjelasan mendetail tentang output skrip PowerShell, lihat KB4074629 .Â
Pertanyaan umum
Untuk membantu menghindari dampak buruk pada perangkat pelanggan, pembaruan keamanan Windows yang dirilis pada Bulan Januari dan Februari 2018 tidak ditawarkan kepada semua pelanggan. Untuk detailnya, lihat KB407269 .
Kode mikro dikirimkan melalui pembaruan firmware. Hubungi OEM Anda tentang versi firmware yang memiliki pembaruan yang sesuai untuk komputer Anda.
Ada beberapa variabel yang memengaruhi kinerja, mulai dari versi sistem hingga beban kerja yang berjalan. Untuk beberapa sistem, efek kinerja akan diabaikan. Untuk orang lain, itu akan sangat penting.
Kami menyarankan agar Anda menilai efek kinerja pada sistem Anda dan melakukan penyesuaian seperlunya.
Selain panduan yang ada dalam artikel ini mengenai mesin virtual, Anda harus menghubungi penyedia layanan Anda untuk memastikan bahwa host yang menjalankan mesin virtual Anda dilindungi secara memadai.Panduan untuk memitigasi kerentanan saluran sisi eksekusi spekulatif di Azure . Untuk panduan tentang penggunaan Azure Update Management untuk mengurangi masalah ini pada VM tamu, lihat KB4077467.
Untuk mesin virtual Windows Server yang berjalan di Azure, lihatPembaruan yang dirilis untuk gambar wadah Windows Server untuk Windows Server 2016 dan Windows 10, versi 1709 menyertakan mitigasi untuk rangkaian kerentanan ini. Tidak diperlukan konfigurasi tambahan.
Catatan Anda harus tetap memastikan bahwa host yang menjalankan kontainer ini dikonfigurasi untuk mengaktifkan mitigasi yang sesuai.Tidak, pesanan instalasi tidak masalah.
Ya, Anda harus memulai ulang setelah pembaruan firmware (kode mikro) lalu lagi setelah pembaruan sistem.
Berikut adalah detail untuk kunci registri:
FeatureSettingsOverride mewakili bitmap yang menimpa pengaturan default dan kontrol mitigasi mana yang akan dinonaktifkan. Bit 0 mengontrol mitigasi yang terkait dengan CVE-2017-5715. Bit 1 mengontrol mitigasi yang terkait dengan CVE-2017-5754. Bit diatur ke 0 untuk mengaktifkan mitigasi dan ke 1 untuk menonaktifkan mitigasi.
FeatureSettingsOverrideMask mewakili masker bitmap yang digunakan bersama dengan FeatureSettingsOverride. Â Dalam situasi ini, kami menggunakan nilai 3 (dinyatakan sebagai 11 dalam sistem angka biner atau basis-2) untuk menunjukkan dua bit pertama yang sesuai dengan mitigasi yang tersedia. Kunci registri ini diatur ke 3 untuk mengaktifkan atau menonaktifkan mitigasi.
MinVmVersionForCpuBasedMitigations adalah untuk host Hyper-V. Kunci registri ini menentukan versi VM minimum yang diperlukan agar Anda dapat menggunakan kapabilitas firmware yang diperbarui (CVE-2017-5715). Atur ini ke 1.0 untuk mencakup semua versi VM. Perhatikan bahwa nilai registri ini akan diabaikan (jinak) pada host non-Hyper-V. Untuk detail selengkapnya, lihat Melindungi mesin virtual tamu dari CVE-2017-5715 (injeksi target cabang).
Ya, tidak ada efek samping jika pengaturan registri ini diterapkan sebelum menginstal perbaikan terkait Januari 2018.
Lihat deskripsi mendetail tentang output skrip di KB4074629: Memahami output skrip SpeculationControl PowerShell .
Ya, untuk host Hyper-V Windows Server 2016 yang belum memiliki pembaruan firmware yang tersedia, kami telah menerbitkan panduan alternatif yang dapat membantu mengurangi VM ke VM atau VM untuk menghosting serangan. Lihat Perlindungan alternatif untuk Host Hyper-V Windows Server 2016 terhadap kerentanan saluran sisi eksekusi spekulatif .
Pembaruan keamanan saja tidak bersifat kumulatif. Tergantung pada versi sistem operasi, Anda mungkin perlu menginstal beberapa pembaruan keamanan untuk perlindungan penuh. Secara umum, pelanggan perlu menginstal pembaruan Januari, Februari, Maret, dan April 2018. Sistem yang memiliki prosesor AMD memerlukan pembaruan tambahan seperti yang diperlihatkan dalam tabel berikut:
Versi Sistem Operasi |
Pembaruan Keamanan |
Windows 8.1, Windows Server 2012 R2 |
KB4338815 - Rollup Bulanan |
KB4338824- Keamanan saja |
|
Windows 7 SP1, Windows Server 2008 R2 SP1, atau Windows Server 2008 R2 SP1 (instalasi Server Core) |
KB4284826 - Rollup Bulanan |
KB4284867 - Hanya Keamanan |
|
Windows Server 2008 SP2 |
KB4340583 - Pembaruan Keamanan |
Kami menyarankan agar Anda menginstal pembaruan Keamanan saja dalam urutan rilis.
Catatan:Â Versi faq yang lebih lama ini secara tidak benar menyatakan bahwa pembaruan khusus Keamanan bulan Februari menyertakan perbaikan keamanan yang dirilis pada bulan Januari. Bahkan, tidak.
Tidak. Pembaruan keamanan KB4078130 adalah perbaikan khusus untuk mencegah perilaku sistem yang tidak terduga, masalah kinerja, dan mulai ulang yang tidak diharapkan setelah penginstalan kode mikro. Menerapkan pembaruan keamanan pada sistem operasi klien Windows memungkinkan ketiga mitigasi. Pada sistem operasi Windows Server, Anda masih harus mengaktifkan mitigasi setelah Anda melakukan pengujian yang tepat. Untuk informasi selengkapnya, lihat KB4072698.
Masalah ini telah diatasi dalam KB4093118.
Pada Februari 2018, Intel mengumumkan bahwa mereka telah menyelesaikan validasi mereka dan mulai merilis kode mikro untuk platform CPU yang lebih baru. Microsoft menyediakan pembaruan mikrokode tervalidasi Intel yang menyangkut Varian Spectre 2 Spectre Varian 2 (CVE-2017-5715 | Injeksi Target Cabang). KB4093836 mencantumkan artikel Pangkalan Pengetahuan tertentu menurut versi Windows. Setiap artikel KB tertentu berisi pembaruan kode mikro Intel yang tersedia oleh CPU.
Pada 11 Januari 2018, Intel melaporkan masalah dalam mikrokode yang baru dirilis yang dimaksudkan untuk mengatasi Spectre varian 2 (CVE-2017-5715 | Injeksi Target Cabang). Secara khusus, Intel mencatat bahwa kode mikro ini dapat menyebabkan "reboot yang lebih tinggi dari yang diharapkan dan perilaku sistem tak terduga lainnya" dan bahwa skenario ini dapat menyebabkan "hilangnya data atau kerusakan." Pengalaman kami adalah ketidakstabilan sistem dapat menyebabkan hilangnya data atau kerusakan dalam beberapa situasi. Pada 22 Januari, Intel menyarankan agar pelanggan berhenti menyebarkan versi kode mikro saat ini pada prosesor yang terpengaruh sementara Intel melakukan pengujian tambahan pada solusi yang diperbarui. Kami memahami bahwa Intel terus menyelidiki potensi efek dari versi kode mikro saat ini. Kami mendorong pelanggan untuk meninjau panduan mereka secara berkelanjutan untuk menginformasikan keputusan mereka.
Saat Intel menguji, memperbarui, dan menyebarkan kode mikro baru, kami menyediakan pembaruan out-of-band (OOB), KB4078130, yang secara khusus menonaktifkan mitigasi terhadap CVE-2017-5715. Dalam pengujian kami, pembaruan ini ditemukan untuk mencegah perilaku yang dijelaskan. Untuk daftar lengkap perangkat, lihat panduan revisi kode mikro dari Intel. Pembaruan ini mencakup Windows 7 Service Pack 1 (SP1), Windows 8.1, dan semua versi Windows 10, baik klien maupun server. Jika Anda menjalankan perangkat yang terpengaruh, pembaruan ini dapat diterapkan dengan mengunduhnya dari situs web Katalog Pembaruan Microsoft. Aplikasi muatan ini secara khusus hanya menonaktifkan mitigasi terhadap CVE-2017-5715.
Pada saat ini, tidak ada laporan yang diketahui yang menunjukkan bahwa Varian Spectre 2 ini (CVE-2017-5715 | Injeksi Target Cabang) telah digunakan untuk menyerang pelanggan. Kami menyarankan agar, jika diperlukan, pengguna Windows dapat memperbanyak mitigasi terhadap CVE-2017-5715 ketika Intel melaporkan bahwa perilaku sistem yang tidak dapat diprediksi ini telah diatasi untuk perangkat Anda.
Pada Februari 2018, Intelmengumumkan bahwa mereka telah menyelesaikan validasi mereka dan mulai merilis kode mikro untuk platform CPU yang lebih baru. Microsoft menyediakan pembaruan mikrokode yang divalidasi Intel yang terkait dengan Varian Spectre 2 Spectre Varian 2 (CVE-2017-5715 |Â Injeksi Target Cabang). KB4093836 mencantumkan artikel Pangkalan Pengetahuan tertentu menurut versi Windows. Daftar KB tersedia pembaruan kode mikro Intel oleh CPU.
Untuk informasi selengkapnya, lihat Updates Keamanan AMD dan Whitepaper AMD: Panduan Arsitektur di sekitar Kontrol Cabang Tidak Langsung . Ini tersedia dari saluran firmware OEM.
Kami menyediakan pembaruan mikrokode tervalidasi Intel yang menyangkut Spectre Varian 2 (CVE-2017-5715 | Injeksi Target Cabang). Untuk mendapatkan pembaruan kode mikro Intel terbaru melalui Windows Update, pelanggan harus telah menginstal kode mikro Intel pada perangkat yang menjalankan sistem operasi Windows 10 sebelum memutakhirkan ke pembaruan Windows 10 April 2018 (versi 1803).
Pembaruan kode mikro juga tersedia secara langsung dari Katalog Pembaruan Microsoft jika tidak diinstal di perangkat sebelum memutakhirkan sistem. Kode mikro Intel tersedia melalui Windows Update, Windows Server Update Services (WSUS), atau Katalog Pembaruan Microsoft. Untuk informasi selengkapnya dan instruksi pengunduhan, lihat KB4100347.
Untuk informasi selengkapnya, lihat sumber daya berikut ini:
Lihat bagian "Tindakan yang Direkomendasikan" dan "FAQ" ADV180012 Â | Panduan Microsoft untuk Bypass Bursa Spekulatif.
Untuk memverifikasi status SSBD, skrip Get-SpeculationControlSettings PowerShell telah diperbarui untuk mendeteksi prosesor yang terpengaruh, status pembaruan sistem operasi SSBD, dan status kode mikro prosesor, jika berlaku. Untuk informasi selengkapnya dan untuk mendapatkan skrip PowerShell, lihat KB4074629.
Pada 13 Juni 2018, kerentanan tambahan yang melibatkan eksekusi spekulatif saluran sisi, yang dikenal sebagai Pemulihan Negara FP Malas, diumumkan dan ditetapkan CVE-2018-3665 . Untuk informasi tentang kerentanan dan tindakan yang direkomendasikan ini, lihat ADV180016 Penasihat Keamanan | Panduan Microsoft untuk Pemulihan Status FP Malas .
Catatan Tidak ada pengaturan konfigurasi (registri) yang diperlukan untuk Pemulihan FP Malas.
Bounds Check Bypass Store (BCBS) diungkapkan pada 10 Juli 2018, dan ditetapkan CVE-2018-3693. Kami menganggap BCBS termasuk dalam kelas kerentanan yang sama dengan Bypass Pemeriksaan Batas (Varian 1). Saat ini kami belum mengetahui contoh BCBS dalam perangkat lunak kami. Namun, kami terus meneliti kelas kerentanan ini dan akan bekerja dengan mitra industri untuk merilis mitigasi sesuai kebutuhan. Kami mendorong peneliti untuk mengirimkan temuan yang relevan ke program hadiah Saluran Sisi Eksekusi Spekulatif Microsoft, termasuk setiap contoh BCBS yang dapat dieksploitasi. Pengembang perangkat lunak harus meninjau panduan pengembang yang telah diperbarui untuk BCBS di C++ Panduan Pengembang untuk Saluran Sisi Eksekusi SpekulatifÂ
Pada 14 Agustus 2018, L1 Terminal Fault (L1TF) diumumkan dan ditetapkan beberapa CVEs. Kerentanan saluran sisi spekulatif baru ini dapat digunakan untuk membaca konten memori di seluruh batas tepercaya dan, jika dieksploitasi, dapat menyebabkan pengungkapan informasi. Ada beberapa vektor di mana penyerang bisa memicu kerentanan, tergantung pada lingkungan yang dikonfigurasi. L1TF memengaruhi prosesor Intel® Core® dan prosesor Intel® Xeon®.
Untuk informasi selengkapnya tentang kerentanan ini dan tampilan mendetail skenario yang terpengaruh, termasuk pendekatan Microsoft untuk memitigasi L1TF, lihat sumber daya berikut ini:
Langkah-langkah untuk menonaktifkan Hyper-Threading berbeda dari OEM ke OEM tetapi umumnya merupakan bagian dari alat konfigurasi dan penyiapan bios atau firmware.
Pelanggan yang menggunakan prosesor ARM 64-bit harus menghubungi OEM perangkat untuk dukungan firmware karena perlindungan sistem operasi ARM64 yang mengurangi CVE-2017-5715 |Â Injeksi target cabang (Spectre, Varian 2) memerlukan pembaruan firmware terbaru dari OEM perangkat agar dapat diterapkan.
Untuk informasi selengkapnya, lihat saran keamanan berikut
Panduan lebih lanjut dapat ditemukan dalam panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif
Silakan lihat panduan dalam panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif
Untuk panduan Azure, silakan lihat artikel ini: Panduan untuk memitigasi kerentanan saluran sisi eksekusi spekulatif di Azure.
Untuk informasi selengkapnya tentang pemberdayaan Retpoline, lihat postingan blog kami: Mitigating Spectre varian 2 dengan Retpoline di Windows .
Untuk detail tentang kerentanan ini, lihat Panduan Keamanan Microsoft: CVE-2019-1125 | Kerentanan Pengungkapan Informasi Kernel Windows.
Kami tidak menyadari adanya kerentanan pengungkapan informasi ini yang memengaruhi infrastruktur layanan cloud kami.
Segera setelah kami menyadari masalah ini, kami bekerja cepat untuk mengatasinya dan merilis pembaruan. Kami sangat percaya pada kemitraan yang erat dengan peneliti dan mitra industri untuk membuat pelanggan lebih aman, dan tidak menerbitkan detail hingga Selasa, 6 Agustus, konsisten dengan praktik pengungkapan kerentanan terkoordinasi.
Panduan lebih lanjut dapat ditemukan dalam panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif.
Panduan lebih lanjut dapat ditemukan dalam panduan Windows untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif.
Panduan lebih lanjut dapat ditemukan dalam Panduan untuk menonaktifkan kemampuan Intel Transactional Synchronization Extensions (Intel TSX).
Referensi
Produk pihak ketiga yang dibahas dalam artikel ini dibuat oleh perusahaan yang bukan merupakan bagian dari Microsoft. Kami tidak memberikan jaminan, tersirat atau tersurat, tentang kinerja atau keandalan produk ini.
Kami menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan dukungan teknis. Informasi kontak ini mungkin berubah tanpa pemberitahuan. Kami tidak menjamin keakuratan informasi kontak pihak ketiga ini.