Applies ToAzure Local (formerly Azure Stack HCI) Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012

Datuma maiņa

Izmaiņu noraksts

2023. gada 20. aprīlis

  • Pievienota MMIO reģistra informācija

2023. gada 8. augusts

  • Noņemtais saturs par CVE-2022-23816, jo CVE numurs netiek izmantots

  • Sadaļas "Ievainojamības" sadaļā "Zaru tipu sajaukšana" pievienojāt

  • Pievienota papildinformācija "CVE-2022-23825 | AMD centrālā procesora zaru sajaukšanas (BTC)" reģistra sadaļa

2023. gada 9. augusts

  • Atjaunināts "CVE-2022-23825 | AMD centrālā procesora zaru sajaukšanas (BTC)" reģistra sadaļa

  • Pievienots "CVE-2023-20569 | AMD centrālā procesora atpakaļadreses prognozēšana" uz "Kopsavilkuma" sadaļu

  • Pievienots "CVE-2023-20569 | AMD CENTRĀLĀ PROCESORA atpakaļadreses jutīgā" reģistra sadaļa

2024. gada 9. aprīlis

  • Pievienots CVE-2022-0001 | Intel Branch History Injection

2024. gada 16. aprīlis

  • Pievienota sadaļa Vairāku risku mazināšanas iespēju iespējošana

Ievainojamības

Šajā rakstā ir apskatītas šādas apzīmētās izpildes ievainojamības:

Windows Update arī Internet Explorer un Edge risku mazināšanas. Mēs turpināsim uzlabot šo ievainojamību, lai uzlabotu šīs ievainojamības risku.

Papildinformāciju par šo ievainojamību nodarbības skatiet rakstā

2019. gada 14. maijā Intel publicēja informāciju par jaunu specifikācijas izpildes puses kanāla ievainojamību, kas pazīstama kā Microar neskaitliskas datu iztveršana un dokumentēta ADV190013 | Mikrodatu iztveršana. Viņiem ir piešķirti šādi CV:

Svarīgi!: Šīs problēmas ietekmēs citas sistēmas, piemēram, Android, Chrome, iOS un MacOS. Iesakām klientiem meklēt norādījumus no šiem piegādātājiem.

Korporācija Microsoft ir izlaidusi atjauninājumus, lai palīdzētu novērst šādas ievainojamības. Lai iegūtu visas pieejamās aizsardzības, ir nepieciešami aparātprogrammatūras (mikrokoda) un programmatūras atjauninājumi. Tas var ietvert mikrokodu no ierīces OEM. Dažos gadījumos šo atjauninājumu instalēšana ietekmēs veiktspēju. Mēs esam arī rīkojušies, lai aizsargātu mūsu mākoņpakalpojumus. Iesakām izvietot šos atjauninājumus.

Papildinformāciju par šo problēmu skatiet tālāk sniegtajā drošības ieteikums un izmantojiet scenāriju balstītus norādījumus, lai noteiktu darbības, kas nepieciešamas, lai mazinātu apdraudējumu:

Piezīme.: Iesakām instalēt visus jaunākos atjauninājumus no programmas Windows Update, pirms instalējat mikrokoda atjauninājumus.

2019. gada 6. augustā Intel izlaida detalizētu informāciju par Windows kodola informācijas atklāšanas ievainojamību. Šī ievainojamība ir Sevī, 1. varianta apzīmētās izpildes puses kanāla ievainojamības variants, kam ir piešķirta CVE-2019-1125.

2019. gada 9. jūlijā izlaidām operētājsistēmas Windows drošības atjauninājumus, lai palīdzētu novērst šo problēmu. Ņemiet vērā, ka mēs publiski paturam šīs risku mazināšanas darbības, līdz 2019. gada 6. augustā tika publiski pieejama koordinēta nozares atklāšana.

Klienti, kuriem Windows Update iespējoti un kuriem ir lietoti 2019. gada 9. jūlijā izlaistie drošības atjauninājumi, tiek aizsargāti automātiski. Nav nepieciešama papildu konfigurēšana.

Piezīme.: Šai ievainojamībai nav nepieciešams mikrokoda atjauninājums no ierīces ražotāja (OEM).

Papildinformāciju par šo ievainojamību un attiecināmiem atjauninājumiem skatiet Microsoft drošības atjaunināšanas rokasgrāmatā:

2019. gada 12. novembrī Intel publicēja tehnisko konsultāciju par Intel® Transactional Synchronization Extensions (Intel TSX) transakciju asinhronā priekšlaikus pārtrauktas pārtraukšanas ievainojamību, kas tiek piešķirta CVE-2019-11135. Microsoft ir izlaidusi atjauninājumus, lai palīdzētu mazināt šo ievainojamību, un operētājsistēmas aizsardzība ir iespējota pēc noklusējuma windows Server 2019, bet pēc noklusējuma atspējota Windows Server 2016 un vecāku Windows Server OS izdevumu vajadzībām.

2022. gada 14. jūnijā mēs publicējām ADV220002 | Microsoft norādījumi par Intel procesora MMIO novecojušu datu ievainojamību un piešķīris šādus CV: 

Ieteicamās darbības

Lai palīdzētu aizsargāties pret ievainojamībām, ir jāveic šādas darbības:

  1. Lietojiet visus pieejamos operētājsistēmas Windows atjauninājumus, tostarp ikmēneša Windows drošības atjauninājumus.

  2. Lietojiet aparātprogrammatūras (mikrokoda) atjauninājumu, ko nodrošina ierīces ražotājs.

  3. Novērtējiet risku savā vidē, pamatojoties uz Informāciju, kas sniegta Microsoft drošības konsultantos: ADV180002, ADV180012, ADV190013 un ADV220002 papildus šajā rakstā zināšanu bāze sniegtā informācija.

  4. Rīkojieties, kā nepieciešams, izmantojot šajā rakstā sniegtos padomus un reģistra zināšanu bāze informāciju.

Piezīme.: Surface klienti saņems mikrokoda atjauninājumu, izmantojot Windows Update. Jaunāko Surface ierīces aparātprogrammatūras (mikrokoda) atjauninājumu sarakstu skatiet rakstā KB4073065.

2022. gada 12. jūlijā tika publicēts CVE-2022-23825 | AMD centrālā procesora zaru sajaukšanas veids, kas apraksta, kuri aizstājvārdi zaru prognozēšanas laikā var izraisīt noteiktu AMD procesoru izmantošanu, lai noteiktu nepareizu zaru veidu. Šāda problēma var radīt informācijas izpaušanu.

Lai palīdzētu novērst šo problēmu, iesakām instalēt Windows atjauninājumus, kas ir datēti ar 2022. gada jūliju vai pēc tam, un pēc tam rīkoties, kā to pieprasa CVE-2022-23825, un reģistra atslēgas informāciju, kas sniegta šajā zināšanu bāze rakstā.

Lai iegūtu papildinformāciju, skatiet AMD-SB-1037 drošības biļetenu.

2023. gada 8. augustā tika publicēts CVE-2023-20569 | Atpakaļadreses jutīgais (tiek dēvēts arī par inceptēšanu), kas apraksta jaunu speculatīvas puses kanāla uzbrukumu, kā rezultātā var tikt izraisīta speculatīva izpilde uzbrucēja kontrolētā adresē. Šāda problēma ietekmē noteiktus AMD procesorus un potenciāli var radīt informācijas izpaušanu.

Lai palīdzētu aizsargāties no šīs ievainojamības, iesakām instalēt Windows atjauninājumus, kas ir datēti ar 2023. gada augustu vai pēc tam, un pēc tam rīkoties, kā to pieprasa CVE-2023-20569, un reģistra atslēgas informāciju, kas sniegta šajā zināšanu bāze rakstā.

Papildinformāciju skatiet AMD-SB-7005 drošības biļetenā.

2024. gada 9. aprīlī tika publicēts CVE-2022-0001 | Intel Branch History Intra-mode BTI ir aprakstīta atzaru vēstures ievadīšanas (Branch History Injection — DARBLAPU) izveide, kas ir īpaša intra režīma BTI forma. Šī ievainojamība rodas, ja uzbrucējs var manipulēt ar zaru vēsturi pirms pārejas no lietotāja uz pārrauga režīmu (vai no VMX nav saknes/viesa uz saknes režīmu). Šāda manipulācija var izraisīt netiešu zaru prognozētāju atlasīt konkrētu prognozējamu ierakstu netiešam zaram, un atklāšanas sīkrīks prognozētā mērķī īslaicīgi tiks izpildīts. Tas var būt iespējams, jo attiecīgajā zaru vēsturē var būt zari, kas saistīti ar iepriekšējo drošības kontekstu, un jo īpaši citiem prognozētajiem režīmiem.

Windows Server un Azure Stack H UZ LAIKU risku mazināšanas iestatījumi

Drošības padomnieki (ADV) un CV sniedz informāciju par risku, ko rada šīs ievainojamības. Tās arī palīdz noteikt ievainojamību un noteikt Windows Server sistēmu risku mazināšanas pasākumu noklusējuma stāvokli. Tālāk esošajā tabulā apkopota centrālā procesora mikrokoda prasības un Windows Server risku mazināšanas pasākumu noklusējuma statuss.

CVE

Vai nepieciešams centrālais mikrokods/aparātprogrammatūra?

.

CVE-2017-5753

Iespējota pēc noklusējuma (nav atspējošanas opcijas)

Papildinformāciju skatiet ADV180002 datu sadaļā

CVE-2017-5715

Pēc noklusējuma ir atspējots.

Papildinformāciju skatiet ADV180002 šo KB rakstu par piemērojamiem reģistra atslēgas iestatījumiem.

Piezīme Opcija "Retpoline" ir iespējota pēc noklusējuma ierīcēs, kurās darbojas Windows 10, versija 1809 un jaunāka, ja ir iespējots Variant 2 (CVE-2017-5715). Lai iegūtu papildinformāciju par "Retpoline", sekojiet 2. varianta Mitigating Ar Retpoline Windows emuāra ziņā.

CVE-2017-5754

Windows Server 2019, Windows Server 2022 un Azure Stack H UZ LAIKU: iespējota pēc noklusējuma.Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma.

Papildinformāciju skatiet ADV180002 lapā.

CVE-2018-3639

Intel: Jā

AMD: Nē

Pēc noklusējuma ir atspējots. Papildinformāciju ADV180012 skatiet šajā rakstā, lai uzzinātu attiecīgos reģistra atslēgu iestatījumus.

CVE-2018-11091

Intel: Jā

Windows Server 2019, Windows Server 2022 un Azure Stack H UZ LAIKU: iespējota pēc noklusējuma.Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma.

Papildinformāciju ADV190013 skatiet šajā rakstā, lai uzzinātu attiecīgos reģistra atslēgu iestatījumus.

CVE-2018-12126

Intel: Jā

Windows Server 2019, Windows Server 2022 un Azure Stack H UZ LAIKU: iespējota pēc noklusējuma.Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma.

Papildinformāciju ADV190013 skatiet šajā rakstā, lai uzzinātu attiecīgos reģistra atslēgu iestatījumus.

CVE-2018-12127

Intel: Jā

Windows Server 2019, Windows Server 2022 un Azure Stack H UZ LAIKU: iespējota pēc noklusējuma.Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma.

Papildinformāciju ADV190013 skatiet šajā rakstā, lai uzzinātu attiecīgos reģistra atslēgu iestatījumus.

CVE-2018-12130

Intel: Jā

Windows Server 2019, Windows Server 2022 un Azure Stack H UZ LAIKU: iespējota pēc noklusējuma.Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma.

Papildinformāciju ADV190013 skatiet šajā rakstā, lai uzzinātu attiecīgos reģistra atslēgu iestatījumus.

CVE-2019-11135

Intel: Jā

Windows Server 2019, Windows Server 2022 un Azure Stack H UZ LAIKU: iespējota pēc noklusējuma.Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma.

Papildinformāciju un šo rakstu par piemērojamiem reģistra atslēgu iestatījumiem skatiet CVE-2019-11135.

CVE-2022-21123 (daļa no MMIO ADV220002)

Intel: Jā

Windows Server 2019, Windows Server 2022 un Azure Stack H UZ LAIKU: iespējota pēc noklusējuma. Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma.* 

Papildinformāciju un šo rakstu par piemērojamiem reģistra atslēgas iestatījumiem skatiet CVE-2022-21123.

CVE-2022-21125 (daļa no MMIO ADV220002)

Intel: Jā

Windows Server 2019, Windows Server 2022 un Azure Stack H UZ LAIKU: iespējota pēc noklusējuma. Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma.* 

Papildinformāciju un šo rakstu par piemērojamiem reģistra atslēgas iestatījumiem skatiet CVE-2022-21125.

CVE-2022-21127 (daļa no MMIO ADV220002)

Intel: Jā

Windows Server 2019, Windows Server 2022 un Azure Stack H UZ LAIKU: iespējota pēc noklusējuma. Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma.* 

Papildinformāciju un šo rakstu par piemērojamiem reģistra atslēgas iestatījumiem skatiet CVE-2022-21127.

CVE-2022-21166 (daļa no MMIO ADV220002)

Intel: Jā

Windows Server 2019, Windows Server 2022 un Azure Stack H UZ LAIKU: iespējota pēc noklusējuma. Windows Server 2016 un vecākas versijas: atspējotas pēc noklusējuma.* 

Papildinformāciju un šo rakstu par piemērojamiem reģistra atslēgas iestatījumiem skatiet CVE-2022-21166.

CVE-2022-23825 (AMD centrālā procesora zaru sajaukšanas darbības)

AMD: Nē

Papildinformāciju un šo rakstu par piemērojamiem reģistra atslēgas iestatījumiem skatiet CVE-2022-23825.

CVE-2023-20569 (AMD centrālā procesora atpakaļadreses prognozēājs)

AMD: Jā

Papildinformāciju un šo rakstu par piemērojamiem reģistra atslēgu iestatījumiem skatiet CVE-2023-20569.

CVE-2022-0001

Intel: Nē

Atspējots pēc noklusējuma

Papildinformāciju un šo rakstu par piemērojamiem reģistra atslēgu iestatījumiem skatiet CVE-2022-0001 .

* Zemāk sekojiet norādījumiem par risku mazināšanas pasākumiem attiecībā uz kūšanu.

Ja vēlaties iegūt visus pieejamos aizsardzībus pret šo ievainojamību, ir jāveic reģistra atslēgas izmaiņas, lai iespējotu pēc noklusējuma atspējoto risku mazināšanas iespēju.

Šo risku mazināšanas iespējošana var ietekmēt veiktspēju. Veiktspējas efektu mērogs ir atkarīgs no vairākiem faktoriem, piemēram, konkrētā mikroshēmu kopas jūsu fiziskajā resursdatorā un palaistās darba slodzes. Mēs iesakām novērtēt veiktspējas efektus jūsu vidē un veikt visus nepieciešamos pielāgojumus.

Serverī ir palielināts risks, ja tas atrodas kādā no šīm kategorijām:

  • Hyper-V resursdatori: Ir nepieciešama VM-to-VM un VM-to-host uzbrukumu aizsardzība.

  • Attālās darbvirsmas pakalpojumu resursdatori (Remote Desktop Services Hosts — RDSH): nepieciešama aizsardzība no vienas sesijas uz citu vai no sesijas uz resursdatora uzbrukumiem.

  • Fiziskie resursdatori vai virtuālās mašīnas, kurās darbojas neuzticams kods, piemēram, konteineri vai neuzticami paplašinājumi datu bāzei, neuzticams tīmekļa saturs vai darba slodzes, kas palaiž kodu no ārējiem avotiem. Tiem ir nepieciešama aizsardzība pret neuzticamiem procesam pret citiem procesiem vai neuzticamiem procesam nesoļa uzbrukumiem.

Izmantojiet tālāk norādītos reģistra atslēgas iestatījumus, lai iespējotu risku mazināšanas pasākumus serverī, un restartējiet ierīci, lai izmaiņas stātos spēkā.

Piezīme.: Pēc noklusējuma mazspīdināšanas iespēju iespējošana var ietekmēt veiktspēju. Faktiskā veiktspējas ietekme ir atkarīga no vairākiem faktoriem, piemēram, konkrētās mikroshēmas kopas ierīcē un darba slodzes, kas darbojas.

Reģistra iestatījumi

Mēs sniedzam tālāk norādīto reģistra informāciju, lai iespējotu risku mazināšanas darbības, kas nav iespējotas pēc noklusējuma, kā dokumentēts drošības konsultanti (Security Advisories - ADVS) un CV. Turklāt mēs nodrošinām reģistra atslēgas iestatījumus lietotājiem, kuri vēlas atspējot risku mazināšanas opcijas, ja tās attiecas uz Windows klientiem.

SVARĪGI! Šajā sadaļā, metodē vai uzdevumā ir ietvertas darbības, kas jāveic, lai mainītu reģistru. Tomēr, nepareizi mainot reģistru, iespējamas nopietnas problēmas. Tāpēc tālāk norādītās darbības jāveic uzmanīgi. Lai nodrošinātu papildu aizsardzību, dublējiet reģistru, pirms to maināt. Pēc tam varat atjaunot reģistru, ja rodas problēma. Lai iegūtu papildinformāciju par to, kā dublēt un atjaunot reģistru, skatiet šo Microsoft zināšanu bāzes rakstu:

KB322756 Kā dublēt un atjaunot reģistru operētājsistēmā Windows

SVARĪGI!Pēc noklusējuma Retpoline ir konfigurēts šādi, ja ir iespējots CVE-2017-5715( CVE-2017-5715) 2. varianta.

- Atjaunoto līniju risku mazināšana ir iespējota Windows 10 versijā 1809 un jaunākās Windows versijās.

- Operētājsistēmā Windows Server 2019 un jaunākās Windows Server versijās tiek atspējota mēģinājumu mazināšana.

Papildinformāciju par Retpoline konfigurāciju skatiet rakstā 2. varianta mitigēšana ar Repoline operētājsistēmā Windows.

  • Lai iespējotu CVE-2017-5715 (Nomus 2. variants), CVE-2017-5754 (Kūdown) un CVE-2022-21123 risku, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Ja ir instalēts Hyper-V līdzeklis, pievienojiet šo reģistra iestatījumu:

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    Ja šis ir Hyper-V resursdators un ir lietoti aparātprogrammatūras atjauninājumi: Pilnībā izslēdziet visas virtuālās mašīnas. Tas ļauj resursdatorā sākt ar aparātprogrammatūru saistītu risku. Tāpēc tūlīt pēc restartēšanas tiek atjaunināti arī tūlīt pēc to restartēšanas.

    Lai izmaiņas stātos spēkā, restartējiet ierīci.

  • Lai atspējotu CVE-2017-5715 (Nomus 2. variants), CVE-2017-5754 (Kūdown) un CVE-2022-21123 risku, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Lai izmaiņas stātos spēkā, restartējiet ierīci.

Piezīme.: Iestatot FeatureSettingsOverrideMask uz 3 , iestatījumiem "iespējot" un "atspējot" ir precīzi. (Papildinformāciju par reģistra atslēgām skatiet sadaļā "Bieži uzdotie jautājumi".

Lai atspējotu 2. variantu: (CVE-2017-5715 | Zaru mērķa ievadīšanas) risku mazināšana:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Lai iespējotu 2. variantu: (CVE-2017-5715 | Zaru mērķa ievadīšanas) risku mazināšana:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Pēc noklusējuma AMD CPU vajadzībām ir atspējota CVE-2017-5715 lietotāju-to-kernel aizsardzība. Klientiem ir jāiespējo risku mazināšana, lai saņemtu CVE-2017-5715 papildu aizsardzību.  Papildinformāciju skatiet rakstā Bieži uzdotie jautājumi #15 programmā ADV180002.

Iespējojiet LIETOTĀJA-to-kernel aizsardzību AMD procesoriem kopā ar citu aizsardzību attiecībā uz CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ja ir instalēts Hyper-V līdzeklis, pievienojiet šo reģistra iestatījumu:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ja šis ir Hyper-V resursdators un ir lietoti aparātprogrammatūras atjauninājumi: Pilnībā izslēdziet visas virtuālās mašīnas. Tas ļauj resursdatorā sākt ar aparātprogrammatūru saistītu risku. Tāpēc tūlīt pēc restartēšanas tiek atjaunināti arī tūlīt pēc to restartēšanas.

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Lai iespējotu CVE-2018-3639 (spārdēšanas krātuves apiešanu), CVE-2017-5715 (2. variants) un CVE-2017-5754 (Kūka) risku.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ja ir instalēts Hyper-V līdzeklis, pievienojiet šo reģistra iestatījumu:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ja šis ir Hyper-V resursdators un ir lietoti aparātprogrammatūras atjauninājumi: Pilnībā izslēdziet visas virtuālās mašīnas. Tas ļauj resursdatorā sākt ar aparātprogrammatūru saistītu risku. Tāpēc tūlīt pēc restartēšanas tiek atjaunināti arī tūlīt pēc to restartēšanas.

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Lai atspējotu CVE-2018-3639 risku mazināšanas pasākumu (specifikāciju krātuves apiešana) UN riskus attiecībā uz CVE-2017-5715 (Spee Variant 2) un CVE-2017-5754 (Kūka)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Pēc noklusējuma AMD procesoriem ir atspējota lietotāja -to-kernel aizsardzība pret CVE-2017-5715. Klientiem ir jāiespējo risku mazināšana, lai saņemtu CVE-2017-5715 papildu aizsardzību.  Papildinformāciju skatiet rakstā Bieži uzdotie jautājumi #15 programmā ADV180002.

Iespējojiet LIETOTĀJA-to-kernel aizsardzību AMD procesoriem kopā ar citu CVE 2017-5715 aizsardzību un CVE-2018-3639 aizsardzību (speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ja ir instalēts Hyper-V līdzeklis, pievienojiet šo reģistra iestatījumu:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ja šis ir Hyper-V resursdators un ir lietoti aparātprogrammatūras atjauninājumi: Pilnībā izslēdziet visas virtuālās mašīnas. Tas ļauj resursdatorā sākt ar aparātprogrammatūru saistītu risku. Tāpēc tūlīt pēc restartēšanas tiek atjaunināti arī tūlīt pēc to restartēšanas.

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Lai iespējotu intel transakciju sinhronizācijas paplašinājumu (Intel TSX) transakcijas asinhronās pārtraukšanas ievainojamību (CVE-2019-11135) un Microarbokectural datu iztveršanu ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) kopā ar Ios pasē [CVE-2017-5753 & CVE-2017-5715], Kūdown [CVE-2017-5754] varianti, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 un CVE-2022-21166), tostarp Speculative Store Bypass Disable (SSBD) [CVE-2018-3639 ] kā arī L1 termināļa kļūme (L1TF) [CVE-2018-3615, CVE-2018-3620 un CVE-2018-3646] bez hiperpave atspējošanas:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ja ir instalēts Hyper-V līdzeklis, pievienojiet šo reģistra iestatījumu:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ja šis ir Hyper-V resursdators un ir lietoti aparātprogrammatūras atjauninājumi: Pilnībā izslēdziet visas virtuālās mašīnas. Tas ļauj resursdatorā sākt ar aparātprogrammatūru saistītu risku. Tāpēc tūlīt pēc restartēšanas tiek atjaunināti arī tūlīt pēc to restartēšanas.

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Lai iespējotu intel transakciju sinhronizācijas paplašinājumu (Intel TSX) transakcijas asinhronās pārtraukšanas ievainojamību (CVE-2019-11135) un Microarbokectural datu iztveršanu ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) kopā ar slāpiem [CVE-2017-5753 & CVE-2017-5715] un Kūkli [CVE-2017-5754] varianti, tostarp Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] kā arī L1 termināļa kļūme (L1TF) [CVE-2018-3615, CVE-2018-3620 un CVE-2018-3646] ar atspējotiem Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ja ir instalēts Hyper-V līdzeklis, pievienojiet šo reģistra iestatījumu:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ja šis ir Hyper-V resursdators un ir lietoti aparātprogrammatūras atjauninājumi: Pilnībā izslēdziet visas virtuālās mašīnas. Tas ļauj resursdatorā sākt ar aparātprogrammatūru saistītu risku. Tāpēc tūlīt pēc restartēšanas tiek atjaunināti arī tūlīt pēc to restartēšanas.

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Lai atspējotu intel transakciju sinhronizācijas paplašinājumu (Intel TSX) transakcijas asinhronās pārtraukšanas ievainojamību (CVE-2019-11135) un Microarbokectural datu iztveršanu ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) kopā ar vēsmu [CVE-2017-5753 & CVE-2017-5715] un Kūkli [CVE-2017-5754] variantiem, tostarp Speculative Store Bypass Disable (SSBD) [CVE-2018-3639] kā arī L1 termināļa kļūme (L1TF) [CVE-2018-3615, CVE-2018-3620 un CVE-2018-3646]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Lai izmaiņas stātos spēkā, restartējiet ierīci.

Lai iespējotu riskus CVE-2022-23825 AMD procesoros:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Lai nodrošinātu pilnīgu aizsardzību, klientiem var būt nepieciešams arī Hyper-Threading (vienlaicīgu vairāku pavedienu pakalpojumus (Simultaneous Multi Threading — SMT)). Lūdzu, KB4073757 norādījumus par Windows ierīču aizsardzību.

Lai iespējotu riskus CVE-2023-20569 AMD procesoros:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Lai iespējotu riskus CVE-2022-0001 Intel procesoros:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Vairāku risku mazināšanas iespēju iespējošana

Lai iespējotu vairāku risku mazināšanas REG_DWORD, REG_DWORD vairāku risku mazināšanas vērtību.

Piemēram:

Transakciju asinhronā priekšlaikus pārtraukta ievainojamība, Microarhinectural datu iztveršana, iztveršana, kūpināšanas, MMIO, speculative store apiešanas atspējošana (SSBD) un L1 termināļa kļūme (L1TF), ja Hyper-Threading atspējota

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

NOTE 8264 (decimālajā) = 0x2048 (heksadecimālā vērtība)

Lai iespējotu BUTI kopā ar citiem esošajiem iestatījumiem, jāizmanto pašreizējās vērtības 8 388 608 (0x800000) bitu vērtība. 

0x800000 OR 0x2048(8264 aiz komata) un tas kļūs par 8 396 872(0x802048). Tas pats, izmantojot FeatureSettingsOverrideMask.

.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Kombinētā risku mazināšana

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Transakciju asinhronā priekšlaikus pārtraukta ievainojamība, Microarhinectural datu iztveršana, iztveršana, kūpināšanas, MMIO, speculative store apiešanas atspējošana (SSBD) un L1 termināļa kļūme (L1TF), ja Hyper-Threading atspējota

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

.

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Kombinētā risku mazināšana

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Pārbaude, vai aizsardzība ir iespējota

Lai palīdzētu pārbaudīt, vai ir iespējota aizsardzība, esam publicēuši PowerShell skriptu, ko varat palaist ierīcēs. Instalējiet un palaidiet skriptu, izmantojot kādu no tālāk aprakstītajām metodēm.

Instalējiet PowerShell moduli:

PS> Install-Module SpeculationControl

Palaidiet PowerShell moduli, lai pārbaudītu, vai ir iespējota aizsardzība:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Instalējiet PowerShell moduli no Technet ScriptCenter.

  1. Dodieties uz https://aka.ms/SpeculationControlPS .

  2. Lejupielādējiet SpeculationControl.zip failus lokālajā mapē.

  3. Izvilkt saturu lokālajā mapē. Piemēram: C:\ADV180002

Palaidiet PowerShell moduli, lai pārbaudītu, vai ir iespējota aizsardzība:

Startējiet programmu PowerShell un pēc tam izmantojiet iepriekšējo piemēru, lai kopētu un izpildītu šādas komandas:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Detalizētu skaidrojumu par PowerShell skripta izvadi skatiet rakstā KB4074629

Bieži uzdotie jautājumi

Lai nepieļautu klientu ierīču nelabvēlīgu ietekmēšanu, 2018. gada janvārī un februārī izlaistie Windows drošības atjauninājumi netika piedāvāti visiem klientiem. Papildinformāciju skatiet rakstā KB407269 .

Mikrokods tiek piegādāts, izmantojot aparātprogrammatūras atjauninājumu. Sazinieties ar OEM par aparātprogrammatūras versiju, kurā ir jūsu datoram atbilstošs atjauninājums.

Ir vairāki mainīgie, kas ietekmē veiktspēju, sākot no sistēmas versijas līdz darba slodzēm, kas darbojas. Dažām sistēmām veiktspējas efekts būs spēkā. Citiem tas būs ļoti svarīgi.

Iesakām novērtēt veiktspējas efektu sistēmās un pēc vajadzības veikt pielāgojumus.

Papildus norādījumiem šajā rakstā par virtuālajām mašīnām sazinieties ar pakalpojumu sniedzēju, lai pārliecinātos, vai jūsu virtuālo mašīnu resursdatori ir pietiekami labi aizsargāti.Windows Server virtuālajām mašīnām, kas darbojas azure, skatiet rakstu Norādījumi par apzīmētās izpildes blakus kanāla ievainojamību migrēšanu azure . Norādījumus par Azure Update pārvaldības izmantošana, lai mazinātu šo problēmu viesu virtuālās ierīces, skatiet rakstā KB4077467.

Atjauninājumi, kas tika izlaisti Windows Server konteinera attēliem operētājsistēmas Windows Server 2016 un Windows 10 versijā 1709, ietver ievainojamības mazināšanas pasākumus. Nav nepieciešama papildu konfigurācija.Piezīme Joprojām pārliecinieties, vai resursdators, kurā šie konteineri darbojas, ir konfigurēts, lai iespējotu atbilstošus riskus.

Nē, instalēšanas secībai nav nozīmes.

Jā, pēc aparātprogrammatūras (mikrokoda) atjaunināšanas ir jārestartē un pēc sistēmas atjaunināšanas.

Tālāk ir sniegta detalizēta informācija par reģistra atslēgām.

FeatureSettingsOverride apzīmē bitkarti, kas ignorē noklusējuma iestatījumu un vadīklas, kuras tiek atspējotas. 0 bits kontrolē CVE-2017-5715 atbilstošo risku. 1. bits kontrolē CVE-2017-5754 atbilstošo risku. Biti tiek iestatīti uz 0, lai iespējotu risku mazināšanas pasākumu, un 1, lai atspējotu risku.

FeatureSettingsOverrideMask apzīmē bitkartes masku, kas tiek izmantota kopā ar FeatureSettingsOverride.  Šajā gadījumā binārajā skaitļu sistēmā tiek izmantota vērtība 3 (binārajā skaitļu sistēmā tiek rādīta kā 11), lai norādītu pirmos divus bitus, kas atbilst pieejamajiem risku mazināšanas pasākumiem. Šī reģistra atslēga ir iestatīta uz 3 , lai iespējotu vai atspējotu atvieglojumus.

MinVmVersionForCpuBasedMitigations ir Paredzēts Hyper-V resursdatoriem. Šī reģistra atslēga definē minimālo VM versiju, kas nepieciešama atjauninātās aparātprogrammatūras iespēju (CVE-2017-5715) lietošanai. Iestatiet šo uz 1.0, lai ietvertu visas VM versijas. Ievērojiet, ka šī reģistra vērtība tiks ignorēta (benign) resursdatoros, kas nav Hyper-V. Papildinformāciju skatiet rakstā Viesu virtuālo mašīnu aizsardzība no CVE-2017-5715 (zaru mērķa ievadīšanas).

Jā, nav par efektu, ja šie reģistra iestatījumi tiek lietoti pirms 2018. gada janvāra saistīto labojumu instalēšanas.

Detalizētu skripta izvades aprakstu skatiet rakstā KB4074629: Izpratne par SpeculationControl PowerShell skripta izvadi .

Jā, ja jums ir Windows Server 2016 Hyper-V resursdatori, kam vēl nav pieejams aparātprogrammatūras atjauninājums, mēs publicējām alternatīvus norādījumus, kas var palīdzēt mazināt VM uz VM vai VM, lai viesotu uzbrukumus. Skatiet rakstu Windows Server 2016 Hyper-V hosts alternatīvā aizsardzība pret apzīmētās izpildes puses kanāla ievainojamību .

Tikai drošības atjauninājumi nav kumulatīvi. Atkarībā no operētājsistēmas versijas, iespējams, būs jāinstalē vairāki drošības atjauninājumi, lai nodrošinātu pilnu aizsardzību. Parasti klientiem būs jāinstalē 2018. gada janvāra, februāra, marta un aprīļa atjauninājumi. Sistēmām ar AMD procesoriem ir nepieciešams papildu atjauninājums, kā parādīts šajā tabulā:

Operētājsistēmas versija

drošības atjauninājums

Windows 8.1, Windows Server 2012 R2

KB4338815 - ikmēneša apkopojums

KB4338824- tikai drošības iestatījumi

Windows 7 SP1, Windows Server 2008 R2 SP1 vai Windows Server 2008 R2 SP1 (Server Core instalēšana)

KB4284826 - ikmēneša apkopojums

KB4284867 — tikai drošība

Windows Server 2008 SP2

KB4340583 — drošības atjauninājums

Ir ieteicams instalēt tikai drošības atjauninājumus izlaišanas secībā.

Piezīme.: Šī bieži uzdoto jautājumu vecāka versija nepareizi paziņoja, ka februāra tikai drošības atjauninājumā ir iekļauti drošības labojumi, kas tika izlaisti janvārī. Patiesībā tā tas nav.

Nē. Drošības atjauninājumu KB4078130 bija konkrēts labojums, lai novērstu neparedzētu sistēmas darbību, veiktspējas problēmas un neparedzētas restartēšanas pēc mikrokoda instalēšanas. Lietojot drošības atjauninājumus Windows klienta operētājsistēmās, var izmantot visus trīs riskus. Operētājsistēmās Windows Server joprojām ir jāiespējo atvieglojumus pēc pareizu pārbaužu veikšanas. Papildinformāciju skatiet rakstā KB4072698.

Šī problēma tika novērsta programmā KB4093118.

2018. gada februārī Intel paziņoja , ka ir pabeigusi validāciju un sācis izlaist mikrokodu jaunākām centrālā procesora platformām. Microsoft padara pieejamus Intel validētus mikrokoda atjauninājumus, kas attiecas uz Izdai 2. varianta 2 versiju (CVE-2017-5715 | zaru mērķa piemērošanu). KB4093836 ir uzskaitīti konkrēti zināšanu bāze ar Windows versiju. Katrā konkrētajā KB rakstā ir iekļauti pieejamie centrālā procesora Intel mikrokoda atjauninājumi.

2018 . gada 11. janvārī Intel ziņoja par problēmām nesen izlaistajā mikrokodā, kas tika paredzēts 2. varianta Adresēm Nodai (CVE-2017-5715) | zaru mērķa piemērošanu). Precīzāk, Intel atzīmēja, ka šis mikrokods var izraisīt "augstākas, nekā paredzēts, restartēšanu un citu neparedzētu sistēmas darbību", un ka šie scenāriji var izraisīt "datu zudumu vai bojājumus.""Mūsu pieredze ir tā, ka sistēmas neesība dažos gadījumos var izraisīt datu zudumu vai bojājumus. 22. janvārī Intel iesaka klientiem pārtraukt pašreizējās mikrokoda versijas izvietošanu ietekmētajos procesoros, kamēr Intel veic papildu pārbaudi par atjaunināto risinājumu. Mēs saprotam, ka Intel turpina izpētīt pašreizējās mikrokoda versijas iespējamo ietekmi. Iesakām klientiem regulāri pārskatīt norādījumus, lai informētu par saviem lēmumiem.

Intel pārbauda, atjaunina un izvieto jaunu mikrokodu, tāpēc mēs sniedzam iespēju izmantot ārpusjoslas (OOB) atjauninājumu KB4078130, kas īpaši atspējo tikai risku mazināšanas līdzekli attiecībā uz CVE-2017-5715. Mūsu pārbaudē tika konstatēts, ka šis atjauninājums novērš aprakstīto darbību. Pilnu ierīču sarakstu skatiet Intel mikrokoda pārskatīšanas norādījumos. Šis atjauninājums attiecas uz Windows 7 1. servisa pakotni (SP1), Windows 8.1 un visām Windows 10 versijām gan klientam, gan serverim. Ja izmantojat ietekmēto ierīci, šo atjauninājumu var lietot, lejupielādējot to no tīmekļa vietnes Microsoft atjaunināšanas katalogs. Šīs lietderīgās slodzes lietošana īpaši atspējo tikai risku, kas tiek piemērots CVE-2017-5715.

No šī laika nav nevienas zināmas atskaites, kas norāda, ka šīs Kategorijas 2. variants (CVE-2017-5715 | Zaru mērķa ievadīšanas metode) ir izmantota, lai uzbrukumus klientiem. Mēs iesakām, ja nepieciešams, Windows lietotāji attīstās risku mazināšana attiecībā uz CVE-2017-5715, ja Intel ziņo, ka šī neprognozējamā sistēmas darbība jūsu ierīcē ir atrisināta.

2018. gadafebruārī Intel paziņoja , ka ir pabeigusi validāciju un sākusi mikrokoda izlaišanu jaunākām centrālā procesora platformām. Microsoft padara pieejamus intelivalidētus mikrokoda atjauninājumus, kas saistīti ar Tajādu Variant 2 No 2. varianta (CVE-2017-5715 | zaru mērķa piemērošanu). KB4093836 ir uzskaitīti konkrēti zināšanu bāze ar Windows versiju. KBS saraksts ir pieejams intel microcode atjauninājumiem, ko veic centrālais procesors.

Papildinformāciju skatiet rakstā AMD drošības AtjauninājumiAMD Whitepaper: arhitektūras vadlīnijas attiecībā uz netiešās filiāles vadīklu . Tie ir pieejami OEM aparātprogrammatūras kanālā.

Mēs piedāvājam inteliģ validētus mikrokoda atjauninājumus, kas attiecas uz 2. variantu (CVE-2017-5715 | zaru mērķa piemērošanu). Lai iegūtu jaunākos Intel microcode atjauninājumus, izmantojot Windows Update, klientiem ir jāinstalē Intel microcode ierīcēs, kurās darbojas Windows 10 operētājsistēma, pirms jaunināšanas uz Windows 10 2018. gada aprīļa atjauninājumu (versija 1803).

Mikrokoda atjauninājums ir pieejams arī tieši no Microsoft atjauninājumu kataloga, ja tas netika instalēts ierīcē pirms sistēmas jaunināšanas. Intel microcode ir pieejams, izmantojot Windows Update, Windows Server Update Services (WSUS) vai Microsoft update katalogu. Papildinformāciju un lejupielādes norādījumus skatiet rakstā KB4100347.

Skatiet sadaļas Ieteicamās darbības un Bieži uzdotie jautājumi un ADV180012  | Microsoft norādījumi par apzīmētā veikala apiešanu.

Lai pārbaudītu SSBD statusu, skripts Get-SpeculationControlSettings PowerShell ir atjaunināts, lai noteiktu ietekmētos procesorus, operētājsistēmas SSBD atjauninājumu statusu un procesora mikrokoda stāvokli, ja piemērojams. Papildinformāciju un PowerShell skripta iegūšanas iespējas skatiet rakstā KB4074629.

2018. gada 13. jūnijā tika paziņota papildu ievainojamība, kas ietver sānkanālu specifikācijas izpildi, kas tiek dēvēta par Lazy FP valsts atjaunošanu, tika paziņota un piešķirta CVE-2018-3665 . Informāciju par šo ievainojamību un ieteicamajām darbībām skatiet drošības konsultāciju ADV180016 | Microsoft norādījumi par lazāmu FP stāvokļa atjaunošanu .

Piezīme Lazy Restore FP Restore (Atjaunošana FP atjaunošana) nav nepieciešami konfigurācijas (reģistra) iestatījumi.

Bounds Check Bypass Store (BCBS) ir izpausta 2018. gada 10. jūlijā ar piešķirtu CVE-2018-3693. Mēs uzskatām, ka BCBS ietilpst vienā un tajā pašā ievainojamību klasē kā Bounds Check Bypass (1. variants). Pašlaik mēs neesam informēti par BCBS instancēm mūsu programmatūrā. Tomēr mēs turpinām izpētīt šo ievainojamības nodarbības un sadarboties ar nozares partneriem, lai pēc vajadzības atbrīvotu riskus. Mēs iesakām zinātniekiem iesniegt visus atbilstošos rezultātus programmai Microsoft Speculative Execution Side Channel bounty, tostarp visas izmantojamās BCBS instances. Programmatūras izstrādātājiem ir jāpārskata izstrādātāja norādījumi, kas ir atjaunināti BCBS vietnē C++ izstrādātāju norādījumi par apzīmētās izpildes puses kanāliem 

2018. gada 14. augustā L1 termināļa kļūme (L1TF) tika paziņota un piešķirta vairākiem CV. Šīs jaunās potenciālās izpildes blakus kanāla ievainojamības var izmantot, lai lasītu atmiņas saturu uzticamā robežas gadījumā, un, ja tā tiek izmantota, var radīt informācijas izpaušanu. Ir vairāki vektori, pēc kuriem uzbrukums var izraisīt ievainojamību atkarībā no konfigurētās vides. L1TF ietekmē Intel® Core® procesorus un Intel® Xeon procesorus®.

Lai iegūtu papildinformāciju par šo ievainojamību un detalizētu skatu par ietekmētajiem scenārijiem, tostarp Microsoft pieeju L1TF migrēšanasm, skatiet šos resursus:

Darbības, lai atspējotu Hyper-Threading atšķiras no OEM uz OEM, bet parasti ir daļa no BIOS vai aparātprogrammatūras iestatīšanas un konfigurācijas rīkiem.

Klientiem, kuri izmanto 64 bitu ARM procesorus, ir jāsazinās ar ierīces OEM, lai saņemtu aparātprogrammatūras atbalstu, jo ARM64 operētājsistēmas aizsardzība, kas mazināt CVE-2017-5715 | Zaru mērķa ievadīšanas laikā (Ar roku, Variant 2) ir nepieciešams jaunākais aparātprogrammatūras atjauninājums no ierīces OEMs, lai tā stāsies spēkā.

Lai iegūtu papildinformāciju, skatiet tālāk norādītos drošības konsultantus.

Lai saņemtu Azure norādījumus, skatiet šo rakstu: Norādījumi par apzīmētās izpildes sānu kanāla ievainojamību imitēšanu azure.

Papildinformāciju par Retpoline iespējošanu skatiet mūsu emuāra ziņā: 2. varianta mitigēšana ar Retpoline operētājsistēmā Windows .

Detalizētu informāciju par šo ievainojamību skatiet Microsoft drošības rokasgrāmatā: CVE-2019-1125 | Windows kernel information disclosure vulnerability.

Mēs neapzināmies nevienu šādas informācijas atklāšanas ievainojamību, kas ietekmē mūsu mākoņpakalpojumu infrastruktūru.

Tiklīdz kļuva zināms par šo problēmu, mēs ātri strādājām, lai novērstu šo problēmu un izlaistu atjauninājumu. Mēs cieši ticam sadarbību gan ar zinātniekiem, gan nozares partneriem, lai padarītu klientus drošākus, un nepublicējām informāciju līdz otrdienai un 6. augustam saskaņā ar koordinētu ievainojamības atklāšanas praksi.

Papildu norādījumi ir atrodami Windows norādījumos, lai aizsargātu pret speculative execution side-channel vulnerabilities.

Papildu norādījumi ir atrodami Windows norādījumos, lai aizsargātu pret speculative execution side-channel vulnerabilities.

Uzziņas

Šajā rakstā pieminēto trešās puses produktu ražotāji ir no korporācijas Microsoft neatkarīgi uzņēmumi. Mēs nesniedzam nekādas garantijas, tiešas vai netiešas, par šo produktu veiktspēju vai uzticamību.

Mēs nodrošinām trešās puses kontaktinformāciju, kas palīdzēs jums atrast tehnisko atbalstu. Šī kontaktinformācija var tikt mainīta bez iepriekšēja paziņojuma. Mēs negarantējam šīs trešās puses kontaktinformācijas precizitāti.

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.