Applies ToAzure Local (formerly Azure Stack HCI) Windows Server 2022 Windows Server 2019 Windows Server 2016 Windows Server 2012 R2 Windows Server 2012

Zmeniť dátum

Zrušenie zmeny

20. apríla 2023

  • Pridané informácie o databáze Registry MMIO

8. augusta 2023

  • Odstránený obsah o CVE-2022-23816, keďže číslo CVE sa nepoužíva

  • Pridané hlásenie Zámena typu vetvy v časti Chyby

  • Ďalšie informácie sa pridali k "CVE-2022-23825 | AMD CPU Branch Type Confusion (BTC)" Sekcia databázy Registry

9. augusta 2023

  • Aktualizované "CVE-2022-23825 | AMD CPU Branch Type Confusion (BTC)" Sekcia databázy Registry

  • Pridané "CVE-2023-20569 | AMD CPU Return Address Predictor" (Prediktor návratovej adresy procesora AMD) do časti Súhrn

  • Pridal sa "CVE-2023-20569 | AMD CPU Return Address Predictor" Registry section

9. apríla 2024

  • Pridané CVE-2022-0001 | Intel Branch History Injection

16. apríla 2024

  • Pridala sa časť Povolenie viacerých zmiernení

Zraniteľnosti

Tento článok sa zaoberá nasledujúcimi špekulatívnymi chybami spustenia:

Windows Update bude poskytovať aj obmedzenia rizík pre Internet Explorer a Edge. Tieto obmedzenia rizík budeme naďalej vylepšovať v porovnaní s touto triedou zraniteľných miest.

Ďalšie informácie o tejto triede chýb nájdete v téme

14. mája 2019 spoločnosť Intel zverejnila informácie o novej podtriede špekulatívneho spustenia chýb na strane kanála známych ako mikroarchitekturálne vzorkovanie údajov a zdokumentované v ADV190013 | Vzorkovanie mikroarchitekturálnych údajov. Boli im priradené nasledujúce CVE:

Dôležité: Tieto problémy sa prejavia v iných systémoch, ako sú napríklad Android, Chrome, iOS a MacOS. Odporúčame zákazníkom, aby hľadali pomoc od týchto dodávateľov.

Spoločnosť Microsoft vydala aktualizácie, ktoré pomáhajú zmierniť tieto zraniteľné miesta. Ak chcete získať všetky dostupné ochrany, vyžadujú sa aktualizácie firmvéru (mikrokódu) a softvéru. Môže to zahŕňať mikrokód z OEM zariadení. V niektorých prípadoch bude mať inštalácia týchto aktualizácií vplyv na výkon. Konali sme aj na zabezpečenie našich cloudových služieb. Dôrazne odporúčame nasadiť tieto aktualizácie.

Ďalšie informácie o tomto probléme nájdete v nasledujúcom upozornení na zabezpečenie a pomocou scenárového sprievodného materiálu na určenie akcií potrebných na zmiernenie hrozby:

Poznámka: Pred inštaláciou aktualizácií mikrokódu odporúčame nainštalovať všetky najnovšie aktualizácie z Windows Update.

6. augusta 2019 spoločnosť Intel zverejnila podrobnosti o zraniteľnosti pri zverejňovaní informácií o jadre systému Windows. Táto zraniteľnosť je variant Spectre, Variant 1 špekulatívne spustenie side-kanál zraniteľnosť a bol pridelený CVE-2019-1125.

9. júla 2019 sme vydali aktualizácie zabezpečenia pre operačný systém Windows, aby sme pomohli zmierniť tento problém. Upozorňujeme, že sme toto zmiernenie verejne zdokumentovali až do koordinovaného zverejnenia v odvetví v utorok 6. augusta 2019.

Zákazníci, ktorí Windows Update povolili a použili aktualizácie zabezpečenia vydané 9. júla 2019, sú automaticky chránení. Nie je potrebná žiadna ďalšia konfigurácia.

Poznámka: Toto nedostatočné zabezpečenie nevyžaduje aktualizáciu mikrokódov od výrobcu zariadenia (OEM).

Ďalšie informácie o tomto zraniteľnosti a príslušných aktualizáciách nájdete v príručke k aktualizácii zabezpečenia spoločnosti Microsoft:

12. novembra 2019 spoločnosť Intel zverejnila technické poradenstvo v oblasti® rozšírenia transakcií synchronizácie intel (Intel TSX) Transaction Asynchronous Abort vulnerability, ktoré má priradené CVE-2019-11135. Spoločnosť Microsoft vydala aktualizácie, ktoré pomáhajú zmierniť túto zraniteľnosť a ochrany operačného systému sú predvolene povolené pre Windows Server 2019, ale predvolene vypnuté pre vydania Windows Servera 2016 a starších operačných systému Windows Server.

14. júna 2022 sme publikovali ADV220002 | Pokyny spoločnosti Microsoft týkajúce sa zraniteľností údajov mmia zastaraných procesora Intel a priradených týchto CVE: 

Odporúčané akcie

Na ochranu pred zraniteľnosťami by ste mali vykonať nasledujúce akcie:

  1. Použite všetky dostupné aktualizácie operačného systému Windows vrátane mesačných aktualizácií zabezpečenia Windowsu.

  2. Použite príslušnú aktualizáciu firmvéru (mikrokódu), ktorú poskytuje výrobca zariadenia.

  3. Okrem informácií uvedených v tomto vedomostná databáza článku vyhodnoťte riziko pre vaše prostredie na základe informácií, ktoré sú k dispozícii na základe bezpečnostných poradcov spoločnosti Microsoft: ADV180002, ADV180012, ADV190013 a ADV220002.

  4. Vykonajte akciu podľa potreby pomocou poradcov a informácií o kľúči databázy Registry, ktoré sú uvedené v tomto vedomostná databáza článku.

Poznámka: Zákazníci zariadenia Surface dostanú aktualizáciu mikrokódu prostredníctvom Windows Update. Zoznam najnovších aktualizácií firmvéru zariadenia Surface (mikrokód) nájdete v téme KB4073065.

12. júla 2022 sme publikovali CVE-2022-23825 | Zmätok typu vetvy procesora AMD , ktorý popisuje, že aliasy v prediktore vetvy môžu spôsobiť, že určité procesory AMD predpovedajú nesprávny typ vetvy. Tento problém môže potenciálne viesť k zverejneniu informácií.

Na ochranu pred týmto rizikom odporúčame nainštalovať aktualizácie Windowsu, ktoré sú datované dňa alebo po júli 2022, a potom vykonať kroky podľa potreby CVE-2022-23825 a informácie o kľúči databázy Registry, ktoré sú uvedené v tomto vedomostná databáza článku.

Ďalšie informácie nájdete v bulletine o zabezpečení AMD-SB-1037 .

8. augusta 2023 sme publikovali CVE-2023-20569 | Prediktor spiatočnej adresy (známy aj ako Počiatok), ktorý popisuje nový špekulatívny útok bočného kanála, ktorý môže mať za následok špekulatívne vykonanie na adrese kontrolovanej útočníkom. Tento problém sa týka niektorých procesorov AMD a môže potenciálne viesť k zverejneniu informácií.

Na ochranu pred týmto rizikom odporúčame nainštalovať aktualizácie Windowsu, ktoré sú datované v auguste 2023 alebo po jeho skončení, a potom vykonať akcie podľa požiadaviek CVE-2023-20569 a informácií o kľúčoch databázy Registry, ktoré sú uvedené v tomto vedomostná databáza článku.

Ďalšie informácie nájdete v bulletine o zabezpečení AMD-SB-7005 .

9. apríla 2024 sme publikovali CVE-2022-0001 | Intel Branch History Injection, ktorá popisuje vloženie histórie pobočky (BHI), čo je špecifická forma interného BTI. Toto nedostatočné zabezpečenie sa vyskytuje, keď útočník môže manipulovať s históriou vetvy pred prechodom z používateľa do režimu dohľadu (alebo z VMX non-root/hosť do koreňového režimu). Táto manipulácia by mohla spôsobiť, že nepriamy prediktor vetvy vyberie konkrétnu položku prediktora pre nepriamu vetvu a miniaplikácia zverejňovania v predpovedanom cieli sa prechodne spustí. Môže to byť možné, pretože príslušná história vetvy môže obsahovať vetvy v predchádzajúcich kontextoch zabezpečenia, a najmä iné režimy prediktora.

Nastavenia obmedzenia rizík pre Windows Server a Azure Stack HCI

Bezpečnostné poradenstvo (ADV) a CVE poskytujú informácie o riziku, ktoré predstavujú tieto zraniteľné miesta. Pomáhajú tiež identifikovať zraniteľné miesta a identifikovať predvolený stav zmiernení rizík pre systémy Windows Server. Nasledujúca tabuľka obsahuje súhrn požiadaviek na mikrokód procesora a predvolený stav zmiernení rizík na Windows Serveri.

CVE

Vyžaduje sa mikrokód procesora/firmvér procesora?

Stav predvoleného obmedzenia rizík

CVE-2017-5753

Nie

Predvolene povolené (bez možnosti vypnutia)

Ďalšie informácie nájdete v ADV180002

CVE 5715 2017

Áno

Predvolene vypnuté.

Ďalšie informácie nájdete v ADV180002 a v tomto článku databázy KB nájdete príslušné nastavenia kľúča databázy Registry.

Poznámka Funkcia Retpoline je predvolene povolená pre zariadenia s Windows 10 verzie 1809 a novšej, ak je povolené spectre variant 2 (CVE-2017-5715). Pre viac informácií o "Retpoline", postupujte po zmierňujúce Spectre variant 2 s Retpoline na Windows blog post.

CVE-2017-5754

Nie

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené.Windows Server 2016 a staršie verzie: Predvolene vypnuté.

Ďalšie informácie nájdete v ADV180002 .

CVE-2018-3639

Intel: Áno

AMD: Nie

Predvolene vypnuté. Ďalšie informácie nájdete v ADV180012 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2018-11091

Intel: Áno

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené.Windows Server 2016 a staršie verzie: Predvolene vypnuté.

Ďalšie informácie nájdete v ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2018-12126

Intel: Áno

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené.Windows Server 2016 a staršie verzie: Predvolene vypnuté.

Ďalšie informácie nájdete v ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2018-12127

Intel: Áno

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené.Windows Server 2016 a staršie verzie: Predvolene vypnuté.

Ďalšie informácie nájdete v ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2018-12130

Intel: Áno

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené.Windows Server 2016 a staršie verzie: Predvolene vypnuté.

Ďalšie informácie nájdete v ADV190013 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2019-11135

Intel: Áno

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené.Windows Server 2016 a staršie verzie: Predvolene vypnuté.

Ďalšie informácie nájdete v CVE-2019-11135 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2022-21123 (súčasť MMIO ADV220002)

Intel: Áno

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené. Windows Server 2016 a staršie verzie: Predvolene vypnuté.* 

Ďalšie informácie nájdete v CVE-2022-21123 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2022-21125 (súčasť MMIO ADV220002)

Intel: Áno

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené. Windows Server 2016 a staršie verzie: Predvolene vypnuté.* 

Ďalšie informácie nájdete v CVE-2022-21125 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2022-21127 (súčasť MMIO ADV220002)

Intel: Áno

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené. Windows Server 2016 a staršie verzie: Predvolene vypnuté.* 

Ďalšie informácie nájdete v CVE-2022-21127 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2022-21166 (súčasť MMIO ADV220002)

Intel: Áno

Windows Server 2019, Windows Server 2022 a Azure Stack HCI: Predvolene povolené. Windows Server 2016 a staršie verzie: Predvolene vypnuté.* 

Ďalšie informácie nájdete v CVE-2022-21166 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2022-23825 (zmätok typu vetvy procesora AMD)

AMD: Nie

Ďalšie informácie nájdete v cve-2022-23825 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2023-20569 (Prediktor návratovej adresy procesora AMD)

AMD: Áno

Ďalšie informácie nájdete v cve-2023-20569 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

CVE-2022-0001

Intel: Nie

Predvolene vypnuté

Ďalšie informácie nájdete v cve-2022-0001 a v tomto článku nájdete príslušné nastavenia kľúča databázy Registry.

* Postupujte podľa pokynov na obmedzenie rizík pre zrútenie nižšie.

Ak chcete získať všetky dostupné ochrany proti týmto rizikám, musíte vykonať kľúčové zmeny databázy Registry, aby ste povolili tieto obmedzenia rizík, ktoré sú predvolene zakázané.

Povolenie týchto zmiernení môže ovplyvniť výkon. Rozsah vplyvov výkonu závisí od viacerých faktorov, ako je napríklad špecifická čipová súprava vo fyzickom hostiteľskom systéme a spustené vyťaženia. Odporúčame vyhodnotiť vplyvy na výkon vášho prostredia a vykonať potrebné úpravy.

Váš server je ohrozený zvýšeným rizikom, ak sa nachádza v niektorej z nasledujúcich kategórií:

  • Hyper-V hostitelia: Vyžaduje ochranu pre VM-to-VM a VM-to-host útoky.

  • Remote Desktop Services Hosts (RDSH): Vyžaduje ochranu z jednej relácie do inej relácie alebo z relácie-k-hostiteľ útoky.

  • Fyzickí hostitelia alebo virtuálne počítače s nedôveryhodným kódom, ako sú napríklad kontajnery alebo nedôveryhodné rozšírenia pre databázu, nedôveryhodný webový obsah alebo vyťaženia s kódom, ktorý pochádza z externých zdrojov. Tieto vyžadujú ochranu pred nedôveryhodným procesom-k-inému procesu alebo nedôveryhodným útokom procesu k jadru.

Pomocou nasledujúcich nastavení kľúča databázy Registry povoľte zmiernenia rizík na serveri a reštartujte zariadenie, aby sa zmeny prejavili.

Poznámka: Predvolene môže zapnutie vypnutých zmiernení ovplyvniť výkon. Efekt skutočného výkonu závisí od viacerých faktorov, ako je napríklad konkrétna čipová súprava v zariadení a spustené vyťaženia.

Nastavenie databázy Registry

Poskytujeme nasledujúce informácie databázy Registry na povolenie zmiernení rizík, ktoré nie sú predvolene povolené, ako je to zdokumentované v témach Security Advisories (ADV) a CVE. Okrem toho poskytujeme nastavenia kľúča databázy Registry pre používateľov, ktorí chcú zakázať obmedzenia rizík, ak je to relevantné pre klientov s Windowsom.

DÔLEŽITÉ Táto časť, metóda alebo úloha obsahuje kroky na zmenu databázy Registry. Ak však databázu Registry zmeníte nesprávne, môžu sa vyskytnúť vážne problémy. Preto sa uistite, že tieto kroky dodržiavajte opatrne. Na zvýšenie ochrany zálohujte databázu Registry ešte pred zmenou. Potom môžete obnoviť databázu Registry, ak sa vyskytne problém. Ďalšie informácie o zálohovaní a obnovení databázy Registry nájdete v nasledujúcom článku v databáze Microsoft Knowledge Base:

KB322756 Zálohovanie a obnovenie databázy Registry vo Windowse

DÔLEŽITÉPredvolene je Retpoline nakonfigurovaná takto, ak je povolené prízrak, variant 2 mitigation (CVE-2017-5715):

- Obmedzenie rizík Retpoline je povolené v Windows 10 verzii 1809 a novších verziách Windowsu.

- Obmedzenie rizík Retpoline je zakázané v systéme Windows Server 2019 a novších verziách Windows Servera.

Ďalšie informácie o konfigurácii Retpoline nájdete v časti Zmiernenie Spectre variant 2 s Retpoline vo Windowse.

  • Ak chcete povoliť zmiernenia pre CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) a CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry:

    reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

    Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní.

    Reštartujte zariadenie, aby sa zmeny prejavili.

  • Vypnutie zmiernení pre CVE-2017-5715 (Spectre Variant 2), CVE-2017-5754 (Meltdown) a CVE-2022-21123, CVE-2022-21125, CVE-2022-21127, CVE-2022-21166 (MMIO)

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

    reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

    Reštartujte zariadenie, aby sa zmeny prejavili.

Poznámka: Nastavenie vlastnosti FeatureSettingsOverrideMask na hodnotu 3 je presné pre nastavenia "enable" aj "disable". (Ďalšie podrobnosti o kľúčoch databázy Registry nájdete v časti Najčastejšie otázky .)

Vypnutie variantu 2: (CVE-2017-5715 | Obmedzenie cieľovej injekcie vetvy):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte zariadenie, aby sa zmeny prejavili.

Povolenie variantu 2: (CVE-2017-5715 | Obmedzenie cieľovej injekcie vetvy):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte zariadenie, aby sa zmeny prejavili.

Predvolene je pre procesory AMD zakázaná ochrana od používateľa k jadru pre CVE-2017-5715. Zákazníci musia povoliť zmiernenie, aby získali dodatočnú ochranu pre CVE-2017-5715.  Ďalšie informácie nájdete v časti Najčastejšie otázky č. 15 v ADV180002.

Povoľte ochranu procesorov AMD od používateľa k jadru spolu s ďalšími ochranami pre CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní.

Reštartujte zariadenie, aby sa zmeny prejavili.

Povolenie zmiernení pre CVE-2018-3639 (špekulatívne obídenie obchodu), CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní.

Reštartujte zariadenie, aby sa zmeny prejavili.

Vypnutie zmiernení rizík pre CVE-2018-3639 (špekulatívne obídenie obchodu) AND zmiernenia pre CVE-2017-5715 (Spectre Variant 2) a CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte zariadenie, aby sa zmeny prejavili.

Predvolene je ochrana od používateľa k jadru pre CVE-2017-5715 zakázaná pre procesory AMD. Zákazníci musia povoliť zmiernenie, aby získali dodatočnú ochranu pre CVE-2017-5715.  Ďalšie informácie nájdete v téme Najčastejšie otázky č. 15 v ADV180002.

Povoľte ochranu procesorov AMD od používateľa k jadru spolu s inými ochranami cve 2017-5715 a ochranou pre CVE-2018-3639 (špekulatívne obídenie obchodu):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry:

reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní.

Reštartujte zariadenie, aby sa zmeny prejavili.

Povolenie zmiernení rizík pre rozšírenia synchronizácie transakcií Intel (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) a Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-2018-2018-1 12127 , CVE-2018-12130 ) spolu s Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] varianty, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 a CVE-2022-21166) vrátane špekulatívneho vypnutia obídenia obchodu (SSBD) [CVE-2018-3639 ] ako aj L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646] bez vypnutia hyperprocesovania:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní.

Reštartujte zariadenie, aby sa zmeny prejavili.

Povolenie zmiernení rizík pre rozšírenia intel transactional synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) a Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) spolu s Spectre [CVE-2017-5753 & CVE-2017-5715] a Meltdown [CVE-2017-5754] varianty, vrátane vypnutia špekulatívneho obídu obchodu (SSBD) [CVE-2018-3639] ako aj L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646] s vypnutými Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Ak je nainštalovaná funkcia Hyper-V, pridajte toto nastavenie databázy Registry:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Ak ide o hostiteľa Hyper-V a použili sa aktualizácie firmvéru: Úplne vypnite všetky virtuálne počítače. To umožňuje, aby sa obmedzenie rizík súvisiace s firmvérom použilo na hostiteľa pred spustením virtuálnych počítačoch. Preto sa virtuálne počítačy aktualizujú aj po reštartovaní.

Reštartujte zariadenie, aby sa zmeny prejavili.

Vypnutie zmiernení rizík pre rozšírenia intel transactional synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) a Microarchitectural Data Sampling ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) spolu s Spectre [CVE-2017-5753 & CVE-2017-5715] a Meltdown [CVE-2017-5754] varianty, vrátane vypnutia špekulatívneho obídu obchodu (SSBD) [CVE-2018-3639] ako aj L1 Terminal Fault (L1TF) [CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646]:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Reštartujte zariadenie, aby sa zmeny prejavili.

Povolenie zmiernenia pre CVE-2022-23825 v procesoroch AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Ak chcú byť zákazníci plne chránení, možno budú musieť vypnúť aj Hyper-Threading (známe aj ako simultánne viacprocesové (SMT)). Pokyny na ochranu zariadení s Windowsom nájdete v KB4073757.

Povolenie zmiernenia pre CVE-2023-20569 v procesoroch AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Povolenie zmiernenia pre CVE-2022-0001 v procesoroch Intel:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Povolenie viacerých zmiernení rizík

Ak chcete povoliť viacero zmiernení, musíte pridať REG_DWORD hodnotu každého zmiernenia dohromady.

Príklad:

Zmiernenie rizík pre asynchrónne prerušenie rizík transakcií, vzorkovanie údajov mikroarchitektúr, spectre, zrútenie, MMIO, vypnutie špekulatívneho ukladacieho priestoru (SSBD) a L1 Terminal Fault (L1TF) s vypnutými Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

POZNÁMKA 8264 (v desiatkovej sústave) = 0x2048 (v šestnástkovej sústave)

Ak chcete povoliť BHI spolu s ďalšími existujúcimi nastaveniami, budete musieť použiť bitový operátor OR aktuálnej hodnoty s hodnotou 8 388 608 (0x800000). 

0x800000 OR 0x2048(8264 v desiatkovej sústave) a bude 8 396 872 (0x802048). To isté platí aj pre FeatureSettingsOverrideMask.

Obmedzenie rizík pre CVE-2022-0001 na procesoroch Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

Kombinované obmedzenie rizík

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f

Zmiernenie rizík pre asynchrónne prerušenie rizík transakcií, vzorkovanie údajov mikroarchitektúr, spectre, zrútenie, MMIO, vypnutie špekulatívneho ukladacieho priestoru (SSBD) a L1 Terminal Fault (L1TF) s vypnutými Hyper-Threading

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f"

Obmedzenie rizík pre CVE-2022-0001 na procesoroch Intel

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Kombinované obmedzenie rizík

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Overenie, či sú povolené ochrany

Na overenie, či sú povolené ochrany, sme publikovali skript prostredia PowerShell, ktorý môžete spustiť vo svojich zariadeniach. Nainštalujte a spustite skript pomocou niektorej z nasledujúcich metód.

Nainštalujte modul prostredia PowerShell:

PS> Install-Module SpeculationControl

Spustením modulu PowerShell overte, či sú povolené ochrany:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Nainštalujte modul prostredia PowerShell z technet ScriptCenter:

  1. Prejdite na https://aka.ms/SpeculationControlPS .

  2. Stiahnite SpeculationControl.zip do lokálneho priečinka.

  3. Extrahujte obsah do lokálneho priečinka. Príklad: C:\ADV180002

Spustením modulu PowerShell overte, či sú povolené ochrany:

Spustite prostredie PowerShell a potom pomocou predchádzajúceho príkladu skopírujte a spustite nasledujúce príkazy:

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Podrobné vysvetlenie výstupu skriptu prostredia PowerShell nájdete v téme KB4074629

Najčastejšie otázky

Aby nedochádzalo k nepriaznivému vplyvu na zariadenia zákazníkov, aktualizácie zabezpečenia Windowsu, ktoré boli vydané v januári a februári 2018, neboli ponúkané všetkým zákazníkom. Podrobnosti nájdete v KB407269 .

Mikrokód sa doručuje prostredníctvom aktualizácie firmvéru. Informácie o verzii firmvéru, ktorá obsahuje príslušnú aktualizáciu pre váš počítač, získate od svojho OEM.

Výkon ovplyvňuje viacero premenných od verzie systému až po spustené vyťaženia. V prípade niektorých systémov bude účinok výkonu zanedbateľný. Pre ostatných to bude značné.

Odporúčame vyhodnotiť vplyvy na výkon vašich systémov a podľa potreby vykonať úpravy.

Okrem sprievodného materiálu, ktorý je v tomto článku o virtuálnych počítačoch, by ste sa mali obrátiť na svojho poskytovateľa služieb, aby ste sa uistili, že hostitelia, ktorí používajú vaše virtuálne počítače, sú primerane chránení.V prípade virtuálnych počítačov so systémom Windows Server, ktoré sú spustené v službe Azure, nájdete v téme Pokyny na zmiernenie špekulatívnych chýb na strane kanála spustenia v službe Azure . Pokyny na používanie služby Azure Update Management na zmiernenie tohto problému s virtuálnymi počítačmi hostí nájdete v téme KB4077467.

Aktualizácie, ktoré boli vydané pre obrázky kontajnerov Windows Servera pre Windows Server 2016 a Windows 10, verzia 1709, zahŕňajú zmiernenia rizík pre túto množinu chýb. Nevyžaduje sa žiadna ďalšia konfigurácia.Poznámka Stále musíte skontrolovať, či je hostiteľ, v ktorom sú tieto kontajnery spustené, nakonfigurovaný tak, aby povoľoval príslušné obmedzenia rizík.

Nie, na inštalačnej objednávke nezáleží.

Áno, musíte reštartovať po aktualizácii firmvéru (mikrokódu) a potom znova po aktualizácii systému.

Tu sú podrobnosti o kľúčoch databázy Registry:

FeatureSettingsOverride predstavuje bitovú mapu, ktorá prepíše predvolené nastavenie a určuje, ktoré obmedzenia rizík budú zakázané. Bit 0 riadi obmedzenie rizík, ktoré zodpovedá CVE-2017-5715. Bit 1 určuje obmedzenie rizík, ktoré zodpovedá CVE-2017-5754. Bity sú nastavené na hodnotu 0 , čím sa povolí obmedzenie rizík, a na hodnotu 1 na vypnutie zmiernenia.

FeatureSettingsOverrideMask predstavuje masku bitovej mapy, ktorá sa používa spolu s funkciou FeatureSettingsOverride.  V takomto prípade použijeme hodnotu 3 (vyjadrenú ako 11 v systéme binárnych číslic alebo základných čísel 2) na označenie prvých dvoch bitov, ktoré zodpovedajú dostupným obmedzeniam rizík. Tento kľúč databázy Registry je nastavený na hodnotu 3 na povolenie alebo zakázanie zmiernení rizík.

MinVmVersionForCpuBasedMitigations je určený pre hostiteľov Hyper-V. Tento kľúč databázy Registry definuje minimálnu verziu virtuálneho počítača, ktorá je potrebná na používanie aktualizovaných možností firmvéru (CVE-2017-5715). Nastavte túto možnosť na hodnotu 1.0 , aby sa vzťahovala na všetky verzie virtuálneho počítaču. Všimnite si, že táto hodnota databázy Registry sa bude ignorovať (benígna) v hostiteľoch iných ako Hyper-V. Ďalšie podrobnosti nájdete v téme Ochrana virtuálnych počítačov hostí z CVE-2017-5715 (cieľová injekcia vetvy).

Áno, ak sa tieto nastavenia databázy Registry použijú pred inštaláciou opráv súvisiacich s januárom 2018, neexistujú žiadne vedľajšie účinky.

Áno, pre hostiteľov Hyper-V systému Windows Server 2016, ktorí ešte nemajú aktualizáciu firmvéru k dispozícii, sme publikovali alternatívne pokyny, ktoré môžu pomôcť zmierniť virtuálny počítač s virtuálnym počítačom alebo virtuálnym počítačom pri hosťovaní útokov. Pozrite si alternatívne ochrany pre Windows Server 2016 Hyper-V Hosts proti špekulatívne spustenie strane kanála zraniteľnosti .

Aktualizácie iba so zabezpečením nie sú kumulatívne. V závislosti od verzie operačného systému bude možno potrebné nainštalovať niekoľko aktualizácií zabezpečenia, aby ste mali úplnú ochranu. Vo všeobecnosti si zákazníci budú musieť nainštalovať aktualizácie z januára, februára, marca a apríla 2018. Systémy, ktoré majú procesory AMD, potrebujú ďalšiu aktualizáciu, ako je to znázornené v nasledujúcej tabuľke:

Verzia operačného systému

Aktualizácia zabezpečenia

Windows 8.1, Windows Server 2012 R2

KB4338815 – mesačný súhrn

KB4338824 – iba zabezpečenie

Windows 7 SP1, Windows Server 2008 R2 SP1 alebo Windows Server 2008 R2 SP1 (inštalácia servera Core)

KB4284826 – mesačný súhrn

KB4284867 – iba zabezpečenie

Windows Server 2008 SP2

KB4340583 – aktualizácia zabezpečenia

Odporúčame, aby ste si nainštalovali aktualizácie iba pre zabezpečenie v poradí od vydania.

Poznámka: V staršej verzii týchto najčastejších otázok sa nesprávne uvádzalo, že februárová aktualizácia zabezpečenia obsahovala opravy zabezpečenia, ktoré boli vydané v januári. V skutočnosti to tak nie je.

Nie. Aktualizácia zabezpečenia KB4078130 bola špecifická oprava, ktorá zabraňuje nepredvídateľnému správaniu systému, problémom s výkonom a neočakávaným reštartom po inštalácii mikrokódu. Použitie aktualizácií zabezpečenia v operačných systémoch Windows umožňuje všetky tri obmedzenia rizík. V operačných systémoch Windows Server je aj po správnom testovaní potrebné povoliť obmedzenia rizík. Ďalšie informácie nájdete v téme KB4072698.

Tento problém bol vyriešený v KB4093118.

Vo februári 2018 spoločnosť Intel oznámila , že dokončila overovanie a začala vydávať mikrokód pre novšie platformy procesora. Spoločnosť Microsoft sprístupňuje aktualizácie mikrokódov overené spoločnosťou Intel, ktoré sa týkajú Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Injekcia cieľa vetvy). KB4093836 uvádza konkrétne články vedomostná databáza podľa verzie Windowsu. Každý konkrétny článok vedomostnej databázy Knowledge Base obsahuje dostupné aktualizácie mikrokódu Intel podľa procesora.

11. januára 2018  spoločnosť Intel oznámila problémy v nedávno vydanom mikrokóde, ktorý mal riešiť prízrak variant 2 (CVE-2017-5715 | Injekcia cieľa vetvy). Spoločnosť Intel konkrétne poznamenala, že tento mikrokód môže spôsobiť "vyššie než očakávané reštarty a iné nepredvídateľné správanie systému" a že tieto scenáre môžu spôsobiť "stratu údajov alebo poškodenie." Naša skúsenosť je, že nestabilita systému môže za určitých okolností spôsobiť stratu údajov alebo korupciu. 22. januára spoločnosť Intel odporučila, aby zákazníci prestali nasadzovať aktuálnu verziu mikrokódu na ovplyvnených procesoroch, zatiaľ čo intel vykonáva ďalšie testovanie aktualizovaného riešenia. Chápeme, že spoločnosť Intel naďalej skúma potenciálny účinok aktuálnej verzie mikrokódu. Odporúčame zákazníkom, aby priebežne kontrolovali svoje pokyny na informovanie o svojich rozhodnutiach.

Zatiaľ čo Intel testuje, aktualizuje a nasadzuje nový mikrokód, sprístupňujeme neviazanú aktualizáciu (OOB) KB4078130, ktorá špecificky zakáže iba obmedzenie rizík voči CVE-2017-5715. Pri testovaní sa táto aktualizácia zistila, aby sa zabránilo popísanému správaniu. Úplný zoznam zariadení nájdete v pokynoch na revíziu mikrokódu od spoločnosti Intel. Táto aktualizácia sa týka balíka Windows 7 Service Pack 1 (SP1), Windows 8.1 a všetkých verzií Windows 10 klienta aj servera. Ak používate dotknuté zariadenie, túto aktualizáciu možno použiť tak, že ju stiahnete z webovej lokality katalógu služby Microsoft Update. Použitie tejto údajovej časti špecificky zakáže iba obmedzenie pre CVE-2017-5715.

Od tejto doby, neexistujú žiadne známe správy, ktoré naznačujú, že tento Spectre Variant 2 (CVE-2017-5715 | Pobočka Target Injection) bol použitý k útoku na zákazníkov. Odporúčame, aby v prípade potreby používatelia Windowsu opätovne povolili zmiernenie rizík voči CVE-2017-5715, keď spoločnosť Intel hlási, že toto nepredvídateľné správanie systému bolo vyriešené pre vaše zariadenie.

Vo februári 2018 spoločnosť Inteloznámila , že dokončila overovanie a začala vydávať mikrokód pre novšie platformy procesora. Spoločnosť Microsoft sprístupňuje aktualizácie mikrokódov overené spoločnosťou Intel, ktoré súvisia s prízrakom Variant 2 Spectre Variant 2 (CVE-2017-5715 | Injekcia cieľa vetvy). KB4093836 uvádza konkrétne články vedomostná databáza podľa verzie Windowsu. Zoznam KBS dostupných aktualizácií mikrokódov Intel podľa procesora.

Ďalšie informácie nájdete v technickej dokumentácii AMD Security Aktualizácie a AMD: Pokyny architektúry týkajúce sa nepriameho riadenia vetvy. Sú k dispozícii v kanáli firmvéru OEM.

Sprístupňujeme aktualizácie mikrokódov overené spoločnosťou Intel, ktoré sa týkajú spectre variantu 2 (CVE-2017-5715 | Injekcia cieľa vetvy). Ak chcú zákazníci získať najnovšie aktualizácie mikrokódov Intel prostredníctvom Windows Update, pred inováciou na aktualizáciu Windows 10 z apríla 2018 (verzia 1803) musia mať zákazníci nainštalovaný mikrokód Intel v zariadeniach s operačným systémom Windows 10.

Aktualizácia mikrokódu je k dispozícii aj priamo z katalógu služby Microsoft Update, ak nebola nainštalovaná v zariadení pred inováciou systému. Mikrokód Intel je k dispozícii prostredníctvom služieb Windows Update, Windows Server Update Services (WSUS) alebo Microsoft Update Catalog. Ďalšie informácie a pokyny na stiahnutie nájdete v téme KB4100347.

Pozrite si časti Odporúčané akcie a Najčastejšie otázky ADV180012  | Pokyny spoločnosti Microsoft na špekulatívne obídenie obchodu.

Na overenie stavu SSBD sa aktualizoval skript Prostredia PowerShell Get-SpeculationControlSettings , aby sa zistili dotknuté procesory, stav aktualizácií operačného systému SSBD a stav mikrokódu procesora, ak je to možné. Ďalšie informácie a informácie o získaní skriptu prostredia PowerShell nájdete v téme KB4074629.

Júna 13, 2018, ďalšie zraniteľnosť, ktorá zahŕňa side-kanál špekulatívne vykonanie, známy ako Lazy FP Stav Obnovenie, bol oznámený a priradený CVE-2018-3665 . Informácie o tomto zraniteľnosti a odporúčaných akciách nájdete v bezpečnostnom ADV180016 | Pokyny spoločnosti Microsoft na obnovenie stavu lazy FP .

Poznámka Neexistujú žiadne požadované nastavenia konfigurácie (databázy Registry) pre obnovenie FP lenivej obnovy.

Bounds Check Bypass Store (BCBS) bol zverejnený 10. júla 2018 a priradený CVE-2018-3693. Domnievame sa, že BCBS patrí do rovnakej triedy zraniteľností ako obídenie kontroly hraníc (Variant 1). Momentálne nevieme o žiadnych inštanciách BCBS v našom softvéri. Naďalej však skúmame túto triedu zraniteľnosti a budeme spolupracovať s partnermi v odvetví, aby sa podľa potreby uvoľnili zmiernenia. Odporúčame výskumníkom, aby predložili všetky relevantné zistenia do programu odmien Microsoft Speculative Execution Side Channel vrátane všetkých vykorisťovateľných inštancií BCBS. Softvéroví vývojári by mali skontrolovať pokyny pre vývojárov, ktoré boli aktualizované pre BCBS, na lokalite C++ Pokyny pre vývojárov pre špekulatívne kanály spúšťania 

Augusta 14, 2018, L1 Terminal Fault (L1TF) bola oznámená a pridelených viac CVE. Tieto nové špekulatívne spustenie side-kanál zraniteľnosti možno použiť na čítanie obsahu pamäte cez dôveryhodné hranice, a ak je využitá, môže viesť k zverejneniu informácií. Existuje viacero vektorov, pomocou ktorých útočník môže spustiť chyby v závislosti od nakonfigurovaného prostredia. L1TF ovplyvňuje procesory Intel® Core® a procesory Intel® Xeon®.

Ďalšie informácie o tomto zraniteľnosti a podrobnom zobrazení ovplyvnených scenárov vrátane prístupu spoločnosti Microsoft k zmierneniu L1TF nájdete v nasledujúcich zdrojoch:

Kroky na vypnutie Hyper-Threading sa líšia od OEM po OEM, ale vo všeobecnosti sú súčasťou systému BIOS alebo nástrojov na nastavenie a konfiguráciu firmvéru.

Zákazníci, ktorí používajú 64-bitové procesory ARM, by sa mali obrátiť na zariadenie OEM pre podporu firmvéru, pretože arm64 operačný systém ochrany, ktoré zmierňujú CVE-2017-5715 | Vsunutie cieľovej vetvy (Spectre, Variant 2) vyžaduje, aby sa prejavila najnovšia aktualizácia firmvéru zo zariadení OEM.

Sprievodný materiál k službe Azure nájdete v tomto článku: Pokyny na zmiernenie špekulatívnych chýb na strane kanála spustenia v službe Azure.

Ďalšie informácie o povolení Retpoline nájdete v našom blogovom príspevku: Mitigating Spectre variant 2 with Retpoline on Windows .

Podrobnosti o tomto zraniteľnosti nájdete v Príručke zabezpečenia spoločnosti Microsoft: CVE-2019-1125 | Nedostatočné zverejnenie informácií o jadre systému Windows.

Nie sme si vedomí žiadnej inštancie tejto zraniteľnosti pri zverejňovaní informácií, ktorá by ovplyvnila našu infraštruktúru cloudových služieb.

Hneď ako sme sa dozvedeli o tomto probléme, rýchlo sme pracovali na jeho vyriešení a vydaní aktualizácie. Pevne veríme v úzke partnerstvá s výskumnými pracovníkmi a partnermi v odvetví, aby sa zákazníci bezpečnejšie, a nezverejnil podrobnosti až do utorka 6.srpna, v súlade s koordinovanými postupmi zraniteľnosti zverejňovanie.

Referencie

Produkty tretích strán, ktorými sa tento článok zaoberá, vyrábajú spoločnosti, ktoré sú nezávislé od spoločnosti Microsoft. Neposkytujeme žiadnu záruku, implicitnú ani inú, týkajúcu sa výkonu alebo spoľahlivosti týchto produktov.

Poskytujeme kontaktné informácie tretích strán, ktoré vám pomôžu nájsť technickú podporu. Tieto kontaktné informácie môžu zmeniť bez predchádzajúceho upozornenia. Nezaručujeme presnosť týchto kontaktných informácií tretích strán.

Potrebujete ďalšiu pomoc?

Chcete ďalšie možnosti?

Môžete preskúmať výhody predplatného, prehľadávať školiace kurzy, naučiť sa zabezpečiť svoje zariadenie a ešte oveľa viac.

Komunity pomôžu s kladením otázok a odpovedaním na ne, s poskytovaním pripomienok a so získavaním informácií od odborníkov s bohatými znalosťami.