Promeni datum |
Promeni opis |
19. jul 2023. |
|
8. avgust 2023. |
|
9. avgust 2023. |
|
9. april 2024. |
|
16. april 2024. |
|
Rezime
Ovaj članak pruža uputstva za novu klasu mikroarhitekturalnih objekata zasnovanih na silikonima i spekulativne ranjivosti bočnog kanala koji utiču na mnoge moderne procesore i operativne sisteme. To obuhvata Intel, AMD i ARM. Određene detalje o ranjivosti zasnovanim na silikonima mogu se pronaći u sledećim ADV-ovima (bezbednosni saveti) i CV-ovima (uobičajene ranjivosti i izloženosti):
-
ADV180002 | Uputstva za umanjivanje spekulativnih ranjivosti bočnog kanala izvršavanja
-
ADV180012 | Microsoft vodič za zaobioženje spekulativne prodavnice
-
ADV180013 | Microsoft vodič za odstupanje od sistemskih registra je pročitan
-
ADV180016 | Microsoft vodič za vraćanje lenje FP stanja u prethodno stanje
-
ADV220002 | Microsoft smernice o ranjivosti intel procesora MMIO zauslenih podataka
Važno: Ovaj problem utiče i na druge operativne sisteme kao što su Android, Chrome, iOS i macOS. Zbog toga savetujemo klijentima da traže uputstva od tih prodavaca.
Objavili smo nekoliko ispravki koje će vam pomoći da umanjite ove ranjivosti. Takođe smo preduzeli radnju da bismo obezbedili usluge u oblaku. Više detalja potražite u sledećim odeljcima.
Još uvek nismo dobili informacije koje ukazuju na to da su te ranjivosti korišćene za napade klijenata. Blisko radimo sa industrijskim partnerima, uključujući proizvođače čipova, proizvođače hardvera i prodavce aplikacija da bismo zaštitili klijente. Da biste dobili sve dostupne zaštite, potrebne su firmver (mikrokod) i softverske ispravke. To uključuje mikro kôd sa OEM-ova uređaja i, u nekim slučajevima, ispravke antivirusnog softvera.
Ovaj članak se odnosi na sledeće ranjivosti:
Windows Update će takođe obezbediti umanjivanja za Internet Explorer i Edge. Nastavićemo da poboljšavamo ove umanjivanja u odnosu na ovu klasu ranjivosti.
Da biste saznali više o ovoj klasi ranjivosti, pogledajte sledeće članke:
Ranjivosti
Intel je 14. maja 2019. objavio informacije o novoj potklasi spekulativnih ranjivosti bočnog kanala izvršavanja poznatog kao Microarchitectural Data Uzorkovanje. Ove ranjivosti su rešene u sledećim CV-ovima:
-
CVE-2019-11091 | Microarchitectural Data Uzorkovanje nepotpune memorije (MDSUM)
-
CVE-2018-12126 | Uzorkovanje podataka mikroarhitekturalnog skladišta (MSBDS)
-
CVE-2018-12127 | Uzorkovanje podataka bafera mikroarhitekturalne popune (MFBDS)
-
CVE-2018-12130 | Uzorkovanje podataka mikroarhitekturalnog učitavanja porta (MLPDS)
Važno: Ovi problemi će uticati na druge operativne sisteme kao što su Android, Chrome, iOS i MacOS. Preporučujemo vam da potražite uputstva od ovih odgovarajućih prodavaca.
Objavili smo ispravke koje će vam pomoći da umanjite ove ranjivosti. Da biste dobili sve dostupne zaštite, potrebne su firmver (mikrokod) i softverske ispravke. Ovo može da uključuje mikro kôd od OEM-ova uređaja. U nekim slučajevima, instaliranje tih ispravki imaće uticaj na performanse. Takođe smo reagovali da obezbedimo usluge u oblaku. Preporučujemo da primenite ove ispravke.
Više informacija o ovom problemu potražite u sledećim bezbednosnim savetima i koristite uputstva zasnovana na scenariju da biste utvrdili radnje potrebne za umanjivanje pretnje:
Napomena: Preporučujemo da instalirate sve najnovije ispravke iz usluge Windows Update pre nego što instalirate ispravke mikro koda.
6. avgusta 2019. Intel je objavio detalje o ranjivosti otkrivanja Windows informacija o jezgru. Ova ranjivost je varijanta spektra varijante 1 spekulativne ranjivosti bočnog kanala izvršavanja i dodeljena mu je FUNKCIJA-2019-1125.
9. jula 2019. objavili smo bezbednosne ispravke za operativni sistem Windows da bismo umanjili ovaj problem. Imajte na umu da smo zadržali dokumentovanje ovog umanjivanja javno do objavljivanja koordinisane industrije u utorak, 6. avgusta 2019.
Klijenti koji su Windows Update i primenili bezbednosne ispravke objavljene 9. jula 2019. automatski su zaštićeni. Nije potrebna dalja konfiguracija.
Napomena: Ova ranjivost ne zahteva ažuriranje mikrokoda od proizvođača uređaja (OEM).
Više informacija o ovoj ranjivosti i primenljivim ispravkama potražite u vodiču za Microsoft bezbednosne ispravke:
12. novembra 2019. Intel je objavio tehnički savet o Asinhronoj ranjivosti transakcije Intel transakcije (Intel TSX) koji se dodeljuje CVE-2019-11135. Objavili smo ispravke koje će vam pomoći da umanjite ovu ranjivost. Zaštite operativnog sistema Windows su podrazumevano omogućene za izdanja operativnog sistema Windows Client OS.
14. juna 2022. objavili smo ADV220002 | Microsoft smernice o ranjivosti intel procesora MMIO zauslenih podataka. Ranjivosti su dodeljene na sledećim CV-ovima:
-
CVE-2022-21125 | Uzorkovanje podataka deljenog bafera (SBDS)
-
CVE-2022-21127 | Specijalna ispravka uzorkovanje podataka bafera registratora (SRBDS ispravka)
-
CVE-2022-21166 | Registracija delimičnog pisanja uređaja (DRPW)
Preporučene radnje
Trebalo bi da preduzmete sledeće radnje da biste se zaštitili od ovih ranjivosti:
-
Primenite sve dostupne ispravke operativnog sistema Windows, uključujući mesečne bezbednosne ispravke za Windows.
-
Primenite primenljivu ispravku firmvera (mikrokod) koju obezbeđuje proizvođač uređaja.
-
Procenite rizik po okruženje na osnovu informacija pruženih u Microsoft savetima za bezbednost ADV180002, ADV180012, ADV190013 i ADV220002, pored informacija pruženih u ovom članku.
-
Izvršite radnju po potrefi koristeći savete i ključne informacije registratora koje su navedene u ovom članku.
Napomena: Surface klijenti će primiti ispravku mikrokodom putem windows ispravke. Listu najnovijih dostupnih ispravki firmvera Surface uređaja (mikrokod) potražite u KB4073065.
12. jula 2022. objavili smo CVE-2022-23825 | Konfuzija tipa AMD CPU grane koja opisuje da pseudonimi u predviđanju grana mogu dovesti do toga da određeni AMD procesori predvide pogrešan tip grane. Ovaj problem može da dovede do otkrivanja informacija.
Da biste se zaštitili od ove ranjivosti, preporučujemo da instalirate Windows ispravke koje su navedene od jula 2022. do jula 2022, a zatim da preduzmete neku radnju prema potrebi od STRANE CVE-2022-23825 i informacija o ključu registratora koje su pružene u ovom baza znanja članku.
Više informacija potražite u bezbednosnom biblionu AMD-SB-1037 .
8. avgusta 2023. objavili smo CVE-2023-20569 | Predviđač AMD CPU povratne adrese (poznat i kao Inception) koji opisuje novi spekulativni napad bočnog kanala koji može dovesti do spekulativnog izvršavanja na adresi koju kontroliše napadač. Ovaj problem utiče na određene AMD procesore i može potencijalno dovesti do otkrivanja informacija.
Da biste se zaštitili od ove ranjivosti, preporučujemo da instalirate Windows ispravke koje su navedene od avgusta 2023. do avgusta 2023. i da zatim preduzmu korake koje zahteva FUNKCIJA CVE-2023-20569 i informacije o ključu registratora koje su pružene u ovom baza znanja članku.
Više informacija potražite u bezbednosnom biblioteku AMD-SB-7005 .
9. aprila 2024. objavili smo CVE-2022-0001 | Ubrizgavanje istorije grana koje opisuje umetanja istorije grana (BHI), što je specifičan oblik intra-mode BTI- a. Do ove ranjivosti dolazi kada napadač može da manipuliše istorijom grananja pre prelaska sa korisnika na režim nadzora (ili iz VMX-a koji nije koren/gost u osnovni režim). Ova manipulacija može da dovede do toga da indirektni predviđač grane izabere određeni unos predviđača za indirektnu granu, a gadžet za otkrivanje kod predviđenog cilja će se transijentivno izvršavati. To je možda moguće zato što relevantna istorija grana može da sadrži grane preuzete u prethodnim bezbednosnim kontekstima, a posebno u drugim režimima predviđanja.
Postavke umanjivanja za Windows klijente
Saveti za bezbednost (ADV-ovi) i CV-ovi pružaju informacije o riziku koji predstavljaju ove ranjivosti i kako vam pomažu da identifikujete podrazumevano stanje umanjivanja za Windows klijentske sisteme. Sledeća tabela rezimira zahtev CPU mikro koda i podrazumevani status umanjivanja u Windows klijentima.
CVE |
Zahteva CPU mikrokod/firmver? |
Podrazumevani status umanjivanja |
---|---|---|
CVE-2017-5753 |
Ne |
Podrazumevano omogućeno (nema opcije za onemogućavanje) Dodatne informacije potražite ADV180002 informacije. |
CVE-2017-5715 |
Da |
Podrazumevano omogućeno. Korisnici sistema zasnovanih na AMD procesorima trebalo bi da vide najčešća pitanja #15 i korisnici ARM procesora bi trebalo da vide najčešća pitanja #20 na ADV180002 za dodatne radnje i ovaj članak u bazi znanja za primenljive postavke ključa registratora. Napomena Retpoline je podrazumevano omogućen za uređaje koji rade pod operativnim sistemom Windows 10 verzija 1809 ili novija ako je omogućena opcija Spectre Variant 2 (CVE-2017-5715). Za više informacija, u vezi sa retpolinom, pratite uputstva u objavi na blogu Ublažavanje spektra 2 pomoću posta na blogu Retpoline u operativnom sistemu Windows . |
CVE-2017-5754 |
Ne |
Podrazumevano omogućeno Dodatne informacije potražite ADV180002 informacije. |
CVE-2018-3639 |
Intel: Da AMD: Ne Da |
Intel i AMD: Podrazumevano onemogućeno. Dodatne ADV180012 potražite u ovom članku baze znanja da biste dobili primenljive postavke ključa registratora. ARM: Podrazumevano omogućeno bez opcije onemogućavanje. |
CVE-2019-11091 |
Intel: Da |
Podrazumevano omogućeno. Više informacija ADV190013 potražite u ovom članku za primenljive postavke ključa registratora. |
CVE-2018-12126 |
Intel: Da |
Podrazumevano omogućeno. Više informacija ADV190013 potražite u ovom članku za primenljive postavke ključa registratora. |
CVE-2018-12127 |
Intel: Da |
Podrazumevano omogućeno. Više informacija ADV190013 potražite u ovom članku za primenljive postavke ključa registratora. |
CVE-2018-12130 |
Intel: Da |
Podrazumevano omogućeno. Više informacija ADV190013 potražite u ovom članku za primenljive postavke ključa registratora. |
CVE-2019-11135 |
Intel: Da |
Podrazumevano omogućeno. Više informacija potražite u članku CVE-2019-11135 za više informacija i ovaj članak za primenljive postavke ključa registratora. |
CVE-2022-21123 (deo mmIO ADV220002) |
Intel: Da |
Windows 10, verzija 1809 i novije verzije: Podrazumevano omogućeno. Windows 10, verzija 1607 i starije verzije: podrazumevano onemogućeno.Više informacija potražite u članku CVE-2022-21123 za više informacija i ovaj članak za primenljive postavke ključa registratora. |
CVE-2022-21125 (deo mmIO ADV220002) |
Intel: Da |
Windows 10, verzija 1809 i novije verzije: Podrazumevano omogućeno. Windows 10, verzija 1607 i starije verzije: podrazumevano onemogućeno. |
CVE-2022-21127 (deo mmIO ADV220002) |
Intel: Da |
Windows 10, verzija 1809 i novije verzije: Podrazumevano omogućeno. Windows 10, verzija 1607 i starije verzije: podrazumevano onemogućeno. |
CVE-2022-21166 (deo mmIO ADV220002) |
Intel: Da |
Windows 10, verzija 1809 i novije verzije: Podrazumevano omogućeno. Windows 10, verzija 1607 i starije verzije: podrazumevano onemogućeno. |
CVE-2022-23825 (zabuna tipa AMD CPU grane) |
AMD: Ne |
Više informacija potražite u članku CVE-2022-23825 za više informacija i ovaj članak za primenljive postavke ključa registratora. |
CVE-2023-20569 (predvidilac AMD CPU povratne adrese) |
AMD: Da |
Više informacija potražite u članku CVE-2023-20569 za više informacija i ovaj članak za primenljive postavke ključa registratora. |
Intel: ne |
Podrazumevano onemogućeno. Više informacija potražite u članku CVE-2022-0001 za više informacija i ovaj članak za primenljive postavke ključa registratora. |
Napomena: Omogućavanje ublaženih ograničenja podrazumevano može da utiče na performanse uređaja. Stvarni efekat performansi zavisi od više faktora, kao što su određeni skup čipova u uređaju i radna opterećenja koja se izvršavaju.
Postavke registratora
Pružamo sledeće informacije registratora da bismo omogućili umanjivanja koja nisu podrazumevano omogućena, kao što je dokumentovano u bezbednosnim savetima (ADV-ovima) i CV-ovima. Pored toga, obezbeđujemo postavke ključa registratora za korisnike koji žele da onemoguće umanjivanja kada su primenljiva za Windows klijente.
Važno: Ovaj odeljak, metod ili zadatak sadrže korake koji vam pokazuju kako da izmenite registrator. Međutim, može doći do ozbiljnih problema ako neispravno izmenite registrator. Zato obavezno pažljivo pratite ove korake. Radi dodatne zaštite, napravite rezervnu kopiju registratora pre nego što ga izmenite. Zatim možete da vratite registrator u prethodno stanje ako dođe do problema. Više informacija o tome kako da napravite rezervnu kopiju registratora i vratite ga u prethodno stanje potražite u sledećem članku u Microsoft bazi znanja:322756 Kako da napravite rezervne kopije i vratite registrator u prethodno stanje u operativnom sistemu Windows
Važno: Retpoline je podrazumevano omogućen na Windows 10, verzija 1809 uređaja ako je omogućena opcija Spectre, Variant 2 (CVE-2017-5715). Omogućavanje retpolina na najnovijoj verziji programa Windows 10 može da poboljša performanse na uređajima koji rade pod operativnim sistemom Windows 10 verzija 1809 za Spectre varijantu 2, posebno na starijim procesorima.
Da biste omogućili podrazumevana ublaženja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Topljenje) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovo pokrenite uređaj da bi promene slegle na snagu. Onemogućavanje ublaživanja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Topljenje) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovo pokrenite uređaj da bi promene slegle na snagu. |
Napomena: Vrednost 3 je tačna za FeatureSettingsOverrideMask za postavke "enable" i "disable". (Pogledajte odeljak "Najčešća pitanja" za više detalja o ključevima registratora.)
Da biste onemogućili ublaženja za CVE-2017-5715 (Spectre Variant 2) : reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovo pokrenite uređaj da bi promene slegle na snagu. Da biste omogućili podrazumevana ublaženja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Topljenje): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovo pokrenite uređaj da bi promene slegle na snagu. |
Zaštita od korisnika prema međuslovnim vrednostima za CVE-2017-5715 podrazumevano je onemogućena za AMD i ARM CPU- e. Morate omogućiti umanjivanje da biste dobili dodatne zaštite za CVE-2017-5715. Dodatne informacije potražite u članku Najčešća pitanja #15 u članku ADV180002 za AMD procesore i najčešća pitanja #20 u članku ADV180002 ARM procesorima .
Omogućite zaštitu korisnika od međuslovnog razmaka na AMD i ARM procesorima zajedno sa drugim zaštitama za CVE 2017-5715: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovo pokrenite uređaj da bi promene slegle na snagu. |
Da biste omogućili ublaženja za CVE-2018-3639 (zaobilaženje Spekulativne prodavnice), podrazumevana ublaženja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Topljenje): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovo pokrenite uređaj da bi promene slegle na snagu. Beleške: AMD procesori nisu ranjivi na CVE-2017-5754 (Topljenje). Ovaj ključ registratora se koristi u sistemima sa AMD procesorima da bi se omogućila podrazumevana umanjivanja za CVE-2017-5715 na AMD procesorima i umanjivanje za CVE-2018-3639. Onemogućavanje ublaživanja za CVE-2018-3639 (zaobljivanje spekulativne prodavnice) *i* ublaživanja za CVE-2017-5715 (Spectre Variant 2) i CVE-2017-5754 (Topljenje) reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovo pokrenite uređaj da bi promene slegle na snagu. |
Zaštita od korisnika prema međuslovnim vrednostima za CVE-2017-5715 podrazumevano je onemogućena za AMD procesore. Klijenti moraju da omoguće umanjivanje da bi dobili dodatne zaštite za CVE-2017-5715. Više informacija potražite u članku Najčešća pitanja #15 u članku ADV180002.
Omogućite zaštitu korisnika od međuslovnog razmaka na AMD procesorima zajedno sa drugim zaštitama za CVE 2017-5715 i zaštitama za CVE-2018-3639 (zaobimanje specifikativne prodavnice): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovo pokrenite uređaj da bi promene slegle na snagu. |
Da biste omogućili umanjivanja za Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort ranjivost (CVE-2019-11135) i sampl microarchitectural podataka CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-1213 0 ) zajedno sa varijacijama Spektre (CVE-2017-5753 & CVE-2017-5715) i Meltdown (CVE-2017-5754), uključujući Speculaative Store Disable (SSBD) (CVE-2018-3639), kao i L1 kvar terminala (L1TF) (CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646) bez onemogućavanja Hyper-Niti: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ako je ovo Hyper-V host i ispravke firmvera su primenjene: Potpuno isključite sve virtuelne mašine. To omogućava umanjivanje u vezi sa firmverom da se primeni na host pre nego što se virtuelne mašine pokrenu. Zbog toga se virtuelne mašine ažuriraju i kada se ponovo pokrenu. Ponovo pokrenite uređaj da bi promene slegle na snagu. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) sa onemogućenim Hyper-Threading: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ako je funkcija Hyper-V instalirana, dodajte sledeću postavku registratora: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Ako je ovo Hyper-V host i ispravke firmvera su primenjene: Potpuno isključite sve virtuelne mašine. To omogućava umanjivanje u vezi sa firmverom da se primeni na host pre nego što se virtuelne mašine pokrenu. Zbog toga se virtuelne mašine ažuriraju i kada se ponovo pokrenu. Ponovo pokrenite uređaj da bi promene slegle na snagu. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646): reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Ponovo pokrenite uređaj da bi promene slegle na snagu. |
Da biste omogućili umanjivanje za CVE-2022-23825 na AMD procesorima :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Da bi korisnici mogli da budu potpuno zaštićeni, klijenti će možda morati da onemoguće Hyper-Threading (poznat i kao Istovremeno sa više niti (SMT)). Pogledajte KB4073757uputstva o zaštiti Windows uređaja.
Da biste omogućili umanjivanje za CVE-2023-20569 na AMD procesorima:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Da biste omogućili umanjivanje za CVE-2022-0001 na Intel procesorima:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Omogućavanje više ublažavanja
Da biste omogućili više umanjivanja, morate da dodate REG_DWORD vrednost svakog umanjivanja zajedno.
Na primer:
Ublažavanje za ranjivost asinhronog prekid transakcije, uzorkovanje microarchitectural podataka, Spectre, Meltdown, MMIO, Speculative Store Bypas Disable (SSBD) i L1 Kvar terminala (L1TF) sa onemogućenim Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
NAPOMENA 8264 (u decimalnom broju) = 0x2048 (u heksadecimalanom) Da biste omogućili BHI zajedno sa drugim postojećim postavkama, moraćete da koristite bitwise OR trenutne vrednosti sa 8.388.608 (0x800000). 0x800000 OR 0x2048(8264 u decimalnom broju) i postaće 8.396.872 (0x802048). Isto je i sa FeatureSettingsOverrideMask. |
|
Umanjivanje za CVE-2022-0001 na Intel procesorima |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Kombinovano umanjivanje |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Ublažavanje za ranjivost asinhronog prekid transakcije, uzorkovanje microarchitectural podataka, Spectre, Meltdown, MMIO, Speculative Store Bypas Disable (SSBD) i L1 Kvar terminala (L1TF) sa onemogućenim Hyper-Threading |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Umanjivanje za CVE-2022-0001 na Intel procesorima |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Kombinovano umanjivanje |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Provera da li su zaštite omogućene
Da bismo potvrdili da su zaštite omogućene, objavili smo PowerShell skriptu koju možete da pokrenete na uređajima. Instalirajte i pokrenite skriptu pomoću jednog od sledećih metoda.
Instalirajte PowerShell modul: PS> Install-Module SpeculationControl Pokrenite PowerShell modul da biste potvrdili da su zaštite omogućene: PS> # Sačuvaj trenutne smernice za izvršavanje tako da se mogu uspostaviti početne vrednosti PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Uspostavi početne vrednosti smernica za izvršavanje u originalno stanje PS> Set-ExecutionPolicy $SaveExecutionPolicy – trenutni korisnik opsega |
Instalirajte PowerShell modul sa sajta Technet ScriptCenter: Idi na https://aka.ms/SpeculationControlPS Preuzmite SpeculationControl.zip u lokalnu fasciklu. Izdvojite sadržaj u lokalnu fasciklu, na primer C:\ADV180002 Pokrenite PowerShell modul da biste potvrdili da su zaštite omogućene: Pokrenite PowerShell, a zatim (pomoću prethodnog primera) kopirajte i pokrenite sledeće komande: PS> # Sačuvaj trenutne smernice za izvršavanje tako da se mogu uspostaviti početne vrednosti PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Uspostavi početne vrednosti smernica za izvršavanje u originalno stanje PS> Set-ExecutionPolicy $SaveExecutionPolicy – trenutni korisnik opsega |
Detaljno objašnjenje izlaza PowerShell skripte potražite u KB4074629.
Najčešća pitanja
Mikro kôd se isporučuje putem ažuriranja firmvera. Trebalo bi da se obratite CPU-u (skupu čipova) i proizvođačima uređaja da li su dostupne primenljive bezbednosne ispravke firmvera za određeni uređaj, uključujući Intels Microcode vodič za reviziju.
Rešavanje hardverske ranjivosti putem ažuriranja softvera predstavlja značajne izazove. Takođe, umanjivanja za starije operativne sisteme zahtevaju obimne arhitektonske promene. Radimo sa proizvođačima čipova na koje ovo utiče da bismo odredili najbolji način za pružanje umanjivanja koja se mogu isporučiti u budućim ispravkama.
Novosti microsoft Surface uređajima će biti isporučene korisnicima putem Windows Update zajedno sa ispravkama za operativni sistem Windows. Listu dostupnih ispravki firmvera Surface uređaja (mikrokod) potražite u KB4073065.
Ako vaš uređaj nije korporacije Microsoft, primenite firmver proizvođača uređaja. Za više informacija obratite se proizvođaču OEM uređaja.
U februaru i martu 2018. Microsoft je objavio dodatnu zaštitu za neke sisteme zasnovane na x86 procesorima. Više informacija potražite u članku KB4073757 i Microsoft savet za bezbednost ADV180002.
Novosti da Windows 10 HoloLens dostupni su HoloLens klijentima putem Windows Update.
Nakon primene ispravke iz februara 2018. Windows bezbednost, HoloLens klijenti ne moraju da preduzimaju dodatne radnje da bi ažurirali firmver uređaja. Ova umanjivanja će takođe biti uključena u sva buduća izdanja programa Windows 10 HoloLens.
Ne. Samo bezbednosne ispravke nisu kumulativne. U zavisnosti od verzije operativnog sistema koju koristite, svakog meseca ćete morati da instalirate samo bezbednosne ispravke da biste se zaštitili od ovih ranjivosti. Na primer, ako koristite Windows 7 za 32-bitne sisteme na intel CPU-u na koji ovo utiče, morate da instalirate sve ispravke samo za bezbednost. Preporučujemo da instalirate ove samo bezbednosne ispravke u redosledu izdavanja.
Napomena U starijoj verziji ovog najčešćih pitanja pogrešno je navedeno da je ispravka za februar "Samo za bezbednost" obuhvatila bezbednosne ispravke objavljene u januaru. Zapravo, ne znaиi.
Ne. Bezbednosna ispravka 4078130 je bila specifična ispravka za sprečavanje nepredvidivih ponašanja sistema, problema sa performansama i/ili neočekivanih ponovnih pokretanja nakon instalacije mikro koda. Primena bezbednosnih ispravki iz februara na operativnim sistemima Windows klijenta omogućava sva tri umanjivanja.
Intel je nedavno najavio da je završio proveru valjanosti i počeo da izdaje mikro kôd za novije CPU platforme. Microsoft pravi dostupna ažuriranja mikrokoda proverenog intel-a oko spektra Variant 2 (CVE-2017-5715 "Umetanje ciljne grane"). KB4093836 navodi određene članke baze znanja po verziji operativnog sistema Windows. Svaka određena KB sadrži dostupne Ispravke Intel mikrokodova po CPU-u.
Ovaj problem je rešen u KB4093118.
AMD je nedavno saopštio da je počeo da izdaje mikro kôd za novije CPU platforme oko spektra varijanta 2 (CVE-2017-5715 "Grana ciljne umetanja"). Za više informacija pogledajte AMD Security NovostiAMD Whitepaper: Uputstva za arhitekturu u vezi sa kontrolom indirektne grane. One su dostupne na kanalu OEM firmvera.
Pravimo dostupne ispravke za Mikro kôd proverenog intel-a oko spektra Variant 2 (CVE-2017-5715 "Umetanja ciljne grane "). Da bi dobili najnovije ispravke Intel microcode putem Windows Update, klijenti moraju da instaliraju Intel microcode na uređajima koji rade pod operativnim sistemom Windows 10 pre nadogradnje na ispravku Windows 10. aprila 2018. (verzija 1803).
Ispravka za mikrokod dostupna je i direktno iz kataloga ako nije instalirana na uređaju pre nadogradnje operativnog sistema. Intel microcode je dostupan putem Windows Update, WSUS ili Microsoft Update kataloga. Više informacija i uputstva za preuzimanje potražite u članku KB4100347.
Dodatne informacije potražite u sledećim resursima:
Detalje potražite u odeljcima "Preporučene radnje" i "Najčešća pitanja" u članku ADV180012 | Microsoft vodič za zaobioženje spekulativne prodavnice.
Da bi se potvrdio status SSBD-a, Get-SpeculationControlSettings PowerShell skripta je ažurirana da bi se otkrili ugroženi procesori, status ispravki operativnog sistema SSBD i stanje mikrokodora procesora ako je primenljivo. Dodatne informacije i dobijanje PowerShell skripte potražite u članku KB4074629.
13. juna 2018. godine objavljena je i dodeljena funkcija CVE-2018-3665. Nisu neophodne postavke konfiguracije (registratora) za vraćanje funkcije Lezy Restore FP u prethodno stanje.
Dodatne informacije o ovoj ranjivosti i preporučenim radnjama potražite u članku Savetodavstva ADV180016 | Microsoft vodič za vraćanje lenje FP stanja u prethodno stanje.
Napomena: Nisu neophodne postavke konfiguracije (registratora) za vraćanje funkcije Lezy Restore FP u prethodno stanje.
Prodavnica zaobiliska provere granica (BCBS) objavljena je 10. jula 2018. i dodeljena je CVE-2018-3693. Smatramo da BCBS pripada istoj klasi ranjivosti kao i zaobionik provere granica (Varijanta 1). Trenutno ne znamo nijednu instancu BCBS-a u našem softveru, ali nastavljamo da istražujemo ovu klasu ranjivosti i radićemo sa industrijskim partnerima na otklanjanju umanjivanja po potrebi. Nastavljamo da podstičemo istraživače da proslede sve relevantne rezultate Microsoft-ovom spekulativnom programu za ucenjeni kanal na strani izvršavanja, uključujući sve primerljive instance BCBS. Projektanti softvera treba da pregledaju uputstva za projektante koja su ažurirana za BCBS https://aka.ms/sescdevguide.
14. avgusta 2018. godine objavljena je greška L1 terminala (L1TF) i dodeljeno je više CV-ove. Ove nove spekulativne ranjivosti na bočnom kanalu mogu da se koriste za čitanje sadržaja memorije preko pouzdane granice i, ako su iskorišćene, mogu dovesti do otkrivanja informacija. Napadač može da izazove ranjivosti kroz više vektora, u zavisnosti od konfigurisanog okruženja. L1TF utiče na Intel® Core procesore® i Intel® Xeon procesore®.
Za više informacija o ovoj ranjivosti i detaljnom prikazu ugroženih scenarija, uključujući pristup korporacije Microsoft umanjivanja L1TF-a, pogledajte sledeće resurse:
Klijenti koji koriste 64-bitne ARM procesore trebalo bi da provere da li postoji podrška za firmver uređaja sa uređajem OEM zato što arm64 zaštita operativnog sistema umanjivanje CVE-2017-5715 | Ciljna injekcija grane (Spectre, Variant 2) zahteva najnoviju ispravku firmvera od OEM-a uređaja da bi stupanje na snagu.
Dodatne informacije potražite u sledećim bezbednosnim savetima
Dodatne informacije potražite u sledećim bezbednosnim savetima
Dodatna uputstva se mogu pronaći u Windows vodiču za zaštitu od spekulativnih ranjivosti na strani kanala izvršavanja
Pogledajte uputstva u Uputstvima za Windows da biste se zaštitili od spekulativnih ranjivosti bočnog kanala izvršavanja
Za Azure uputstva pogledajte ovaj članak: Uputstva za umanjivanje spekulativnih ranjivosti na bočnom kanalu izvršavanja u usluzi Azure.
Više informacija o omogućavanju retpolina potražite u našoj objavi na blogu: Ublažavanje spektra varijante 2 pomoću retpolina u operativnom sistemu Windows.
Detalje o ovoj ranjivosti potražite u Microsoft vodiču za bezbednost: CVE-2019-1125 | Ranjivost otkrivanja informacija o Windows jezgru.
Ne znamo nijednu instancu ovog otkrivanja informacija koje utiču na infrastrukturu usluge u oblaku.
Čim smo postali svesni ovog problema, brzo smo radili na tome da ga rešimo i izdamo ispravku. Mi čvrsto verujemo u bliska partnerstva sa istraživačima i partnerima u industriji kako bismo klijente učinili bezbednijim i nismo objavili detalje do utorka, 6. avgusta, u skladu sa koordinisanim praksama otkrivanja ranjivosti.
Dalja uputstva možete pronaći u Windows uputstvima da biste se zaštitili od spekulativnih ranjivosti na bočnom kanalu izvršavanja.
Dalja uputstva možete pronaći u Windows uputstvima da biste se zaštitili od spekulativnih ranjivosti na bočnom kanalu izvršavanja.
Dalja uputstva možete pronaći u vodiču za onemogućavanje mogućnosti Intel® Transactional Synchronization Extensions (Intel® TSX).
Reference
Pružamo kontakt informacije nezavisnih proizvođača koje će vam pomoći da pronađete tehničku podršku. Ove kontakt informacije mogu da se promene bez obaveštenja. Ne garantujemo tačnost ove kontakt informacije nezavisnog proizvođača.