Tarihi değiştir |
Değişikliğin tükenmesi |
---|---|
20 Nisan 2023, İstanbul |
|
8 Ağustos 2023, Ağustos 2023 |
|
9 Ağustos 2023, Ağustos 2023 |
|
9 Nisan 2024 |
|
16 Nisan 2024, Mayıs 2024, Saat 2024, Mayıs 2024, Saat |
|
Özet
Bu makale, birçok modern işlemciyi ve işletim sistemini etkileyen yeni bir silikon tabanlı mikro mimari ve kurgusal yürütme yan kanal güvenlik açıkları sınıfı için rehberlik sağlar. Buna Intel, AMD ve ARM dahildir. Bu silikon tabanlı güvenlik açıkları için belirli ayrıntılar aşağıdaki ADV'lerde (Güvenlik Önerileri) ve CV'lerde (Ortak Güvenlik Açıkları ve Açığa Çıkarmalar) bulunabilir:
-
ADV180002 | Kurgusal yürütme yan kanal güvenlik açıklarını azaltma yönergeleri
-
ADV180013 | Rogue System Register Okuma için Microsoft Kılavuzu
-
ADV180016 | Gecikmeli FP Durumu Geri Yükleme için Microsoft Kılavuzu
-
ADV180018 | L1TF değişkenlerini azaltmaya yönelik Microsoft Kılavuzu
-
ADV190013 | Mikro Mimari Veri Örnekleme güvenlik açıklarını azaltmaya yönelik Microsoft Kılavuzu
-
ADV220002 | Intel İşlemci MMIO Eski Veri Güvenlik Açıklarına yönelik Microsoft Kılavuzu
Önemli: Bu sorunlar Android, Chrome, iOS ve MacOS gibi diğer işletim sistemlerini de etkiler. Müşterilere bu satıcılardan rehberlik almalarını öneririz.
Bu güvenlik açıklarını azaltmaya yardımcı olmak için çeşitli güncelleştirmeler yayımladık. Bulut hizmetlerimizin güvenliğini sağlamak için de harekete geçtik. Diğer ayrıntılar için aşağıdaki bölümlere bakın.
Henüz bu güvenlik açıklarının müşterilere saldırmak için kullanıldığını belirten bir bilgi almadık. Müşterileri korumak için yonga üreticileri, donanım OEM'leri ve uygulama satıcıları dahil olmak üzere sektör iş ortaklarıyla yakın bir şekilde çalışıyoruz. Kullanılabilir tüm korumaları almak için üretici yazılımı (mikro kod) ve yazılım güncelleştirmeleri gereklidir. Buna cihaz OEM'lerinden mikro kod ve bazı durumlarda virüsten koruma yazılımı güncelleştirmeleri dahildir.
Güvenlik açıkları
Bu makalede aşağıdaki kurgusal yürütme güvenlik açıkları ele arilmektedir:
Windows Update, Internet Explorer ve Edge risk azaltmaları da sağlar. Bu güvenlik açıkları sınıfına karşı bu risk azaltmaları iyileştirmeye devam edeceğiz.
Bu güvenlik açığı sınıfı hakkında daha fazla bilgi edinmek için bkz.
Intel, 14 Mayıs 2019'da Mikro mimari Veri Örnekleme olarak bilinen ve ADV190013'de belgelenen kurgusal yürütme yan kanal güvenlik açıklarının yeni bir alt sınıfı hakkında bilgi yayımladı | Mikro mimari veri örnekleme. Bu kişilere aşağıdaki CVE'ler atanmış:
-
CVE-2019-11091 | Mikro mimari veri örneklemesi seçilemez bellek (MDSUM)
-
CVE-2018-12126 | Mikro mimari deposu arabellek veri örneklemesi (MSBDS)
-
CVE-2018-12127 | Mikro mimari dolgu arabellek verileri örnekleme (MFBDS)
-
CVE-2018-12130 | Mikro mimari yük bağlantı noktası veri örneklemesi (MLPDS)
Önemli: Bu sorunlar Android, Chrome, iOS ve MacOS gibi diğer sistemleri etkiler. Müşterilere bu satıcılardan rehberlik almalarını öneririz.
Microsoft, bu güvenlik açıklarının azaltılmasına yardımcı olmak için güncelleştirmeler yayımladı. Kullanılabilir tüm korumaları almak için üretici yazılımı (mikro kod) ve yazılım güncelleştirmeleri gereklidir. Bu, cihaz OEM'lerinden mikro kod içerebilir. Bazı durumlarda, bu güncelleştirmelerin yüklenmesi performansı etkiler. Bulut hizmetlerimizin güvenliğini sağlamak için de harekete geçtik. Bu güncelleştirmelerin dağıtılması önemle önerilir.
Bu sorun hakkında daha fazla bilgi için aşağıdaki Güvenlik Önerisi'ne bakın ve tehdidi azaltmak için gerekli eylemleri belirlemek için senaryo tabanlı kılavuzu kullanın:
-
ADV190013 | Mikro Mimari Veri Örnekleme güvenlik açıklarını azaltmaya yönelik Microsoft Kılavuzu
-
Kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için Windows kılavuzu
Not: Mikro kod güncelleştirmelerini yüklemeden önce Windows Update'dan en son güncelleştirmelerin tümünü yüklemenizi öneririz.
6 Ağustos 2019'da Intel, Windows çekirdek bilgilerinin açığa çıkması güvenlik açığıyla ilgili ayrıntıları yayımladı. Bu güvenlik açığı Spectre, Variant 1 kurgusal yürütme yan kanal güvenlik açığının bir çeşididir ve CVE-2019-1125 olarak atanmıştır.
9 Temmuz 2019'da bu sorunun azaltılmasına yardımcı olmak için Windows işletim sistemi için güvenlik güncelleştirmeleri yayımladık. 6 Ağustos 2019 Salı günü yapılan koordineli sektör açıklamasına kadar bu risk azaltmayı herkese açık olarak belgelediğimize dikkat edin.
Windows Update etkinleştirilen ve 9 Temmuz 2019'da yayımlanan güvenlik güncelleştirmelerini uygulayan müşteriler otomatik olarak korunur. Başka yapılandırma gerekmez.
Not: Bu güvenlik açığı, cihaz üreticinizden (OEM) bir mikro kod güncelleştirmesi gerektirmez.
Bu güvenlik açığı ve geçerli güncelleştirmeler hakkında daha fazla bilgi için bkz. Microsoft Güvenlik Güncelleştirmesi Kılavuzu:
Intel, 12 Kasım 2019'da CVE-2019-11135'e atanan Intel® İşlem Eşitleme Uzantıları (Intel TSX) İşlem Zaman Uyumsuz Durdurma güvenlik açığı hakkında teknik bir öneri yayımladı. Microsoft, bu güvenlik açığının azaltılmasına yardımcı olmak için güncelleştirmeler yayımladı ve işletim sistemi korumaları Windows Server 2019 için varsayılan olarak etkindir, ancak Windows Server 2016 ve önceki Windows Server işletim sistemi sürümleri için varsayılan olarak devre dışı bırakılmıştır.
14 Haziran 2022'de ADV220002 yayımladık | Intel İşlemci MMIO Eski Veri Güvenlik Açıklarına yönelik Microsoft Kılavuzu ve bu CV'leri atadı:
-
CVE-2022-21125 | Paylaşılan Arabellek Verileri Örnekleme (SBDS)
-
CVE-2022-21127 | Özel Kayıt Arabellek Verileri Örnekleme Güncelleştirmesi (SRBDS Güncelleştirmesi)
Önerilen işlemler
Güvenlik açıklarına karşı korumaya yardımcı olmak için aşağıdaki eylemleri gerçekleştirmeniz gerekir:
-
Aylık Windows güvenlik güncelleştirmeleri de dahil olmak üzere tüm kullanılabilir Windows işletim sistemi güncelleştirmelerini uygulayın.
-
Cihaz üreticisi tarafından sağlanan ilgili üretici yazılımı (mikro kod) güncelleştirmesini uygulayın.
-
Bu bilgi bankası makalesinde sağlanan bilgilere ek olarak, Microsoft Güvenlik Önerileri'nde sağlanan bilgilere göre ortamınıza yönelik riski değerlendirin: ADV180002, ADV180012,ADV190013 ve ADV220002.
-
Bu bilgi bankası makalesinde sağlanan danışmanları ve kayıt defteri anahtarı bilgilerini kullanarak gerektiği gibi işlem yapın.
Not: Surface müşterileri Windows Update aracılığıyla bir mikro kod güncelleştirmesi alır. En son Surface cihaz üretici yazılımı (mikro kod) güncelleştirmelerinin listesi için bkz. KB4073065.
12 Temmuz 2022'de CVE-2022-23825 'i yayımladık | Dal tahmin aracındaki diğer adların bazı AMD işlemcilerinin yanlış dal türünü tahmin etmelerine neden olabileceğini açıklayan AMD CPU Dal Türü Karışıklığı. Bu sorun, bilgilerin açığa çıkmasına neden olabilir.
Bu güvenlik açığına karşı korunmaya yardımcı olmak için, Temmuz 2022 veya sonrasında tarihli Windows güncelleştirmelerini yüklemenizi ve ardından CVE-2022-23825 ve bu bilgi bankası makalesinde sağlanan kayıt defteri anahtarı bilgilerinin gerektirdiği şekilde işlem gerçekleştirmenizi öneririz.
Daha fazla bilgi için AMD-SB-1037 güvenlik bültenine bakın.
8 Ağustos 2023'te CVE-2023-20569 'ı yayımladık | Saldırgan denetimindeki bir adreste kurgusal yürütmeye neden olabilecek yeni bir kurgusal yan kanal saldırısını açıklayan Dönüş Adresi TahminCisi (Inception olarak da bilinir). Bu sorun belirli AMD işlemcilerini etkiler ve bilgilerin açığa çıkmasına neden olabilir.
Bu güvenlik açığına karşı korunmaya yardımcı olmak için Ağustos 2023 veya sonrasında tarihli Windows güncelleştirmelerini yüklemenizi ve ardından CVE-2023-20569 ve bu bilgi bankası makalesinde sağlanan kayıt defteri anahtarı bilgilerinin gerektirdiği şekilde işlem gerçekleştirmenizi öneririz.
Daha fazla bilgi için AMD-SB-7005 güvenlik bültenine bakın.
9 Nisan 2024'te CVE-2022-0001 yayımladık | Mod içi BTI'nın belirli bir biçimi olan Dal Geçmişi Ekleme (BHI) açıklayan Intel Dal Geçmişi Ekleme. Bu güvenlik açığı, bir saldırgan kullanıcıdan gözetmen moduna (veya VMX kök olmayan/konuk olmayan moddan kök moda) geçmeden önce dal geçmişini işleyebilecek olduğunda oluşur. Bu düzenleme, dolaylı dal tahmin aracının dolaylı dal için belirli bir tahmin aracı seçmesine neden olabilir ve tahmin edilen hedefteki bir açıklama aracı geçici olarak yürütülür. İlgili dal geçmişi önceki güvenlik bağlamlarında ve özellikle de diğer tahmin aracı modlarında alınan dalları içerebileceğinden bu mümkün olabilir.
Windows Server ve Azure Stack HCI için azaltma ayarları
Güvenlik önerileri (ADV) ve CVE'ler, bu güvenlik açıklarının neden olduğu riskler hakkında bilgi sağlar. Ayrıca güvenlik açıklarını belirlemenize ve Windows Server sistemleri için varsayılan risk azaltma durumunu belirlemenize yardımcı olur. Aşağıdaki tabloda CPU mikro kodu gereksinimi ve Windows Server'da risk azaltmaların varsayılan durumu özetlenmiştir.
CVE |
CPU mikro kodu/üretici yazılımı mı gerekiyor? |
Azaltma Varsayılan durumu |
---|---|---|
Hayır |
Varsayılan olarak etkindir (devre dışı bırakma seçeneği yoktur) Ek bilgi için lütfen ADV180002 bakın |
|
Evet |
Varsayılan olarak devre dışıdır. Ek bilgi için ADV180002 ve geçerli kayıt defteri anahtarı ayarları için bu KB makalesine bakın. Not Spectre Variant 2 (CVE-2017-5715) etkinse Windows 10, sürüm 1809 ve üzerini çalıştıran cihazlar için "Retpoline" varsayılan olarak etkinleştirilir. "Retpoline" hakkında daha fazla bilgi için Windows'da Retpoline ile Spectre değişken 2'yi azaltma blog gönderisini izleyin. |
|
Hayır |
Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir. Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.Ek bilgi için lütfen ADV180002 bakın. |
|
Intel: Evet AMD: Hayır |
Varsayılan olarak devre dışıdır. Daha fazla bilgi için ADV180012 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
|
Intel: Evet |
Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir. Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
|
Intel: Evet |
Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir. Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
|
Intel: Evet |
Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir. Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
|
Intel: Evet |
Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir. Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
|
Intel: Evet |
Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir. Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.Daha fazla bilgi için CVE-2019-11135 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
|
CVE-2022-21123 (MMIO ADV220002 parçası) |
Intel: Evet |
Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir. Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.*Daha fazla bilgi için CVE-2022-21123 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
CVE-2022-21125 (MMIO ADV220002 parçası) |
Intel: Evet |
Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir. Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.*Daha fazla bilgi için CVE-2022-21125 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
CVE-2022-21127 (MMIO ADV220002 parçası) |
Intel: Evet |
Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir. Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.*Daha fazla bilgi için CVE-2022-21127 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
CVE-2022-21166 (MMIO ADV220002 parçası) |
Intel: Evet |
Windows Server 2019, Windows Server 2022 ve Azure Stack HCI: Varsayılan olarak etkindir. Windows Server 2016 ve öncesi: Varsayılan olarak devre dışıdır.*Daha fazla bilgi için CVE-2022-21166 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
CVE-2022-23825 (AMD CPU Dal Türü Karışıklığı) |
AMD: Hayır |
Daha fazla bilgi için CVE-2022-23825 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
CVE-2023-20569 (AMD CPU Dönüş Adresi Tahmin Aracı) |
AMD: Evet |
Daha fazla bilgi için CVE-2023-20569 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
Intel: Hayır |
Varsayılan olarak devre dışı Daha fazla bilgi için CVE-2022-0001 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
* Aşağıdaki Meltdown için risk azaltma yönergelerini izleyin.
Bu güvenlik açıklarına karşı tüm kullanılabilir korumaları almak istiyorsanız, varsayılan olarak devre dışı bırakılan bu risk azaltmaları etkinleştirmek için kayıt defteri anahtarı değişiklikleri yapmanız gerekir.
Bu risk azaltmaların etkinleştirilmesi performansı etkileyebilir. Performans etkilerinin ölçeği, fiziksel konağınızdaki belirli yonga kümesi ve çalışan iş yükleri gibi birden çok faktöre bağlıdır. Ortamınız için performans etkilerini değerlendirmenizi ve gerekli ayarlamaları yapmanızı öneririz.
Sunucunuz aşağıdaki kategorilerden birindeyse daha fazla risk altındadır:
-
Hyper-V konakları: VM-VM ve VM-konak saldırıları için koruma gerektirir.
-
Uzak Masaüstü Hizmetleri Konakları (RDSH): Bir oturumdan başka bir oturuma veya oturumdan ana bilgisayara saldırılara karşı koruma gerektirir.
-
Kapsayıcılar veya veritabanı için güvenilmeyen uzantılar, güvenilmeyen web içeriği veya dış kaynaklardan gelen kodu çalıştıran iş yükleri gibi güvenilmeyen kod çalıştıran fiziksel konaklar veya sanal makineler. Bunlar, güvenilmeyen işlemden diğerine veya güvenilmeyen işlemden çekirdeklere saldırılara karşı koruma gerektirir.
Sunucudaki risk azaltmaları etkinleştirmek için aşağıdaki kayıt defteri anahtarı ayarlarını kullanın ve değişikliklerin etkili olması için cihazı yeniden başlatın.
Not: Varsayılan olarak, kapalı olan risk azaltmaların etkinleştirilmesi performansı etkileyebilir. Gerçek performans etkisi, cihazdaki belirli yonga kümesi ve çalışan iş yükleri gibi birden çok faktöre bağlıdır.
Kayıt defteri ayarları
Güvenlik Önerileri (ADV) ve CVE'lerde belirtildiği gibi varsayılan olarak etkinleştirilmeyen risk azaltmaları etkinleştirmek için aşağıdaki kayıt defteri bilgilerini sağlıyoruz. Ayrıca, Windows istemcileri için uygun olduğunda azaltmaları devre dışı bırakmak isteyen kullanıcılar için kayıt defteri anahtarı ayarları sağlıyoruz.
ÖNEMLİ Bu bölüm, yöntem veya görev, kayıt defterinin nasıl değiştirildiğini gösteren adımlar içerir. Ancak, kayıt defterini yanlış değiştirirseniz ciddi sorunlar oluşabilir. Bu nedenle, bu adımları dikkatle izlediğinize emin olun. Daha fazla koruma için, değiştirmeden önce kayıt defterini yedekleyin. Ardından, bir sorun oluşursa kayıt defterini geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için Microsoft Bilgi Bankası'ndaki aşağıdaki makaleye bakın:
KB322756 Windows'da kayıt defterini yedekleme ve geri yükleme
ÖNEMLİVarsayılan olarak, Spectre, Variant 2 risk azaltma (CVE-2017-5715) etkinse Retpoline aşağıdaki gibi yapılandırılır:
- Retpoline azaltma, Windows 10, sürüm 1809 ve sonraki Windows sürümlerinde etkinleştirilir.
- Windows Server 2019 ve sonraki Windows Server sürümlerinde Retpoline azaltma devre dışı bırakıldı.
Retpoline yapılandırması hakkında daha fazla bilgi için bkz. Windows üzerinde Retpoline ile Spectre değişken 2'yi azaltma.
|
Not: FeatureSettingsOverrideMask ayarının 3 olarak ayarlanması hem "etkinleştir" hem de "devre dışı bırak" ayarları için doğrudur. (Kayıt defteri anahtarları hakkında daha fazla ayrıntı için "SSS " bölümüne bakın.)
Değişken 2'yi devre dışı bırakmak için: (CVE-2017-5715 | Dal Hedefi Ekleme) azaltma: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Değişikliklerin etkili olması için cihazı yeniden başlatın. Değişken 2'yi etkinleştirmek için: (CVE-2017-5715 | Dal Hedefi Ekleme) azaltma: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Değişikliklerin etkili olması için cihazı yeniden başlatın. |
Varsayılan olarak, AMD CPU'lar için CVE-2017-5715 için kullanıcıdan çekirdeklere koruma devre dışı bırakılmıştır. Müşterilerin CVE-2017-5715 için ek korumalar almak için risk azaltmayı etkinleştirmesi gerekir. Daha fazla bilgi için bkz. ADV180002 SSS #15.
CVE 2017-5715 için diğer korumalarla birlikte AMD işlemcilerde kullanıcıdan çekirdeklere korumayı etkinleştirin: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Hyper-V özelliği yüklüyse aşağıdaki kayıt defteri ayarını ekleyin: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Bu bir Hyper-V konağıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce ana bilgisayara üretici yazılımıyla ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldığında da güncelleştirilir. Değişikliklerin etkili olması için cihazı yeniden başlatın. |
CVE-2018-3639 (Tahmini Mağaza Atlama), CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için azaltmaları etkinleştirmek için: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Hyper-V özelliği yüklüyse aşağıdaki kayıt defteri ayarını ekleyin: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Bu bir Hyper-V konağıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce ana bilgisayara üretici yazılımıyla ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldığında da güncelleştirilir. Değişikliklerin etkili olması için cihazı yeniden başlatın. CVE-2018-3639 (Tahmini Mağaza Atlama) VE CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için azaltmaları devre dışı bırakmak için reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Değişikliklerin etkili olması için cihazı yeniden başlatın. |
Varsayılan olarak, AMD işlemciler için CVE-2017-5715 için kullanıcıdan çekirdeklere koruma devre dışı bırakılmıştır. Müşterilerin CVE-2017-5715 için ek korumalar almak için risk azaltmayı etkinleştirmesi gerekir. Daha fazla bilgi için bkz. ADV180002 SSS #15.
CVE 2017-5715 için diğer korumalar ve CVE-2018-3639 (Kurgusal Mağaza Atlama) için korumalarla birlikte AMD işlemcilerde kullanıcıdan çekirdeklere korumayı etkinleştirin: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Hyper-V özelliği yüklüyse aşağıdaki kayıt defteri ayarını ekleyin: reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Bu bir Hyper-V konağıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce ana bilgisayara üretici yazılımıyla ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldığında da güncelleştirilir. Değişikliklerin etkili olması için cihazı yeniden başlatın. |
Intel İşlem Eşitleme Uzantıları (Intel TSX) İşlem Zaman Uyumsuz Durdurma güvenlik açığı (CVE-2019-11135) ve Mikro Mimari Veri Örnekleme ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12126 , CVE-2018-11135 için azaltmaları etkinleştirmek için 2018-12127 , CVE-2018-12130 ) ve Spectre [CVE-2017-5753 & CVE-2017-5715], Meltdown [CVE-2017-5754] varyantları, MMIO (CVE-2022-21123, CVE-2022-21125, CVE-2022-21127 ve CVE-2022-21166) dahil olmak üzere Kurgusal Mağaza Atlama Devre Dışı Bırakma (SSBD) [CVE-2018-3639 ] ve L1 Terminal Hatası (L1TF) [CVE-2018-3615, CVE-2018-3620 ve CVE-2018-3646] Hyper-Threading devre dışı bırakılmadan: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Hyper-V özelliği yüklüyse aşağıdaki kayıt defteri ayarını ekleyin: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Bu bir Hyper-V konağıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce ana bilgisayara üretici yazılımıyla ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldığında da güncelleştirilir. Değişikliklerin etkili olması için cihazı yeniden başlatın. Intel İşlem Eşitleme Uzantıları (Intel TSX) İşlem Zaman Uyumsuz Durdurma güvenlik açığı (CVE-2019-11135) ve Mikro Mimari Veri Örnekleme ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) ve Spectre [CVE-2017-5753 & CVE-2017-5715] ve Meltdown [CVE-2017-5754] varyantları, Tahmini Mağaza Atlama Devre Dışı Bırakma (SSBD) dahil [CVE-2018-3639] ve L1 Terminal Hatası (L1TF) [CVE-2018-3615, CVE-2018-3620 ve CVE-2018-3646] ve Hyper-Threading devre dışı bırakıldı: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Hyper-V özelliği yüklüyse aşağıdaki kayıt defteri ayarını ekleyin: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Bu bir Hyper-V konağıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce ana bilgisayara üretici yazılımıyla ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldığında da güncelleştirilir. Değişikliklerin etkili olması için cihazı yeniden başlatın. Intel İşlem Eşitleme Uzantıları (Intel TSX) İşlem Zaman Uyumsuz Durdurma güvenlik açığı (CVE-2019-11135) ve Mikro Mimari Veri Örnekleme ( CVE-2018-11091, CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) ve Spectre [CVE-2017-5753 & CVE-2017-5715] ve Meltdown [CVE-2017-5754] varyantları, Tahmini Mağaza Atlama Devre Dışı Bırakma (SSBD) dahil [CVE-2018-3639] ve L1 Terminal Hatası (L1TF) [CVE-2018-3615, CVE-2018-3620 ve CVE-2018-3646]: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Değişikliklerin etkili olması için cihazı yeniden başlatın. |
AMD işlemcilerde CVE-2022-23825 için azaltmayı etkinleştirmek için:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Tamamen korunabilmek için müşterilerin Hyper-Threading (Eşzamanlı Çoklu İş Parçacığı Oluşturma (SMT) olarak da bilinir) devre dışı bırakması gerekebilir. Windows cihazlarını koruma yönergeleri için lütfen KB4073757 bakın.
AMD işlemcilerde CVE-2023-20569 için azaltmayı etkinleştirmek için:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Intel işlemcilerde CVE-2022-0001 için azaltmayı etkinleştirmek için:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Birden çok azaltmayı etkinleştirme
Birden çok azaltmayı etkinleştirmek için her azaltmanın REG_DWORD değerini birlikte eklemeniz gerekir.
Örneğin:
Hyper-Threading devre dışı bırakılmış İşlem Zaman Uyumsuz Durdurma güvenlik açığı, Mikro mimari Veri Örnekleme, Spectre, Meltdown, MMIO, Kurgusal Mağaza Atlama Devre Dışı Bırakma (SSBD) ve L1 Terminal Hatası (L1TF) için azaltma |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
NOT 8264 (Ondalık) = 0x2048 (Onaltılık) BHI'yi diğer mevcut ayarlarla birlikte etkinleştirmek için 8.388.608 (0x800000) ile bit düzeyinde VEYA geçerli değeri kullanmanız gerekir. 0x800000 OR 0x2048(ondalık olarak 8264) ve 8.396.872 (0x802048) olur. FeatureSettingsOverrideMask ile aynı. |
|
Intel işlemcilerde CVE-2022-0001 için azaltma |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Birleştirilmiş risk azaltma |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Hyper-Threading devre dışı bırakılmış İşlem Zaman Uyumsuz Durdurma güvenlik açığı, Mikro mimari Veri Örnekleme, Spectre, Meltdown, MMIO, Kurgusal Mağaza Atlama Devre Dışı Bırakma (SSBD) ve L1 Terminal Hatası (L1TF) için azaltma |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Intel işlemcilerde CVE-2022-0001 için azaltma |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Birleştirilmiş risk azaltma |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Korumaların etkinleştirildiğini doğrulama
Korumaların etkinleştirildiğini doğrulamaya yardımcı olmak için cihazlarınızda çalıştırabileceğiniz bir PowerShell betiği yayımladık. Aşağıdaki yöntemlerden birini kullanarak betiği yükleyin ve çalıştırın.
PowerShell Modülünü yükleyin: PS> Install-Module SpeculationControl Korumaların etkinleştirildiğini doğrulamak için PowerShell modülünü çalıştırın: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Technet ScriptCenter'nden PowerShell modülünü yükleyin:
Korumaların etkinleştirildiğini doğrulamak için PowerShell modülünü çalıştırın: PowerShell'i başlatın ve aşağıdaki komutları kopyalayıp çalıştırmak için önceki örneği kullanın: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
PowerShell betiğinin çıktısının ayrıntılı açıklaması için bkz. KB4074629 .
Sık sorulan sorular
Müşteri cihazlarını olumsuz yönde etkilememeye yardımcı olmak için Ocak ve Şubat 2018'de yayımlanan Windows güvenlik güncelleştirmeleri tüm müşterilere sunulmadı. Ayrıntılar için bkz. KB407269 .
Mikro kod bir üretici yazılımı güncelleştirmesi aracılığıyla teslim edilir. Bilgisayarınız için uygun güncelleştirmeye sahip üretici yazılımı sürümü hakkında OEM'nize başvurun.
Sistem sürümünden çalışmakta olan iş yüklerine kadar performansı etkileyen birden çok değişken vardır. Bazı sistemlerde performans etkisi göz ardı edilebilir. Diğerleri için önemli olacaktır.
Sistemlerinizdeki performans etkilerini değerlendirmenizi ve gerekli ayarlamaları yapmanızı öneririz.
Bu makaledeki sanal makinelerle ilgili yönergelere ek olarak, sanal makinelerinizi çalıştıran konakların yeterli şekilde korunduğundan emin olmak için hizmet sağlayıcınıza başvurmanız gerekir.Azure'da kurgusal yürütme yan kanal güvenlik açıklarını azaltma yönergeleri. Konuk VM'lerde bu sorunu azaltmak için Azure Güncelleştirme Yönetimi'ni kullanma yönergeleri için bkz. KB4077467.
Azure'da çalışan Windows Server sanal makineleri için bkz.Windows Server 2016 ve Windows 10, sürüm 1709 için Windows Server kapsayıcı görüntüleri için yayımlanan güncelleştirmeler, bu güvenlik açıkları kümesinin risk azaltmalarını içerir. Ek yapılandırma gerekmez.
Not Yine de bu kapsayıcıların üzerinde çalıştığı konağın uygun azaltmaları etkinleştirecek şekilde yapılandırıldığından emin olmanız gerekir.Hayır, yükleme sırası önemli değil.
Evet, üretici yazılımı (mikrokod) güncelleştirmesinin ardından ve sistem güncelleştirmesinin ardından yeniden başlatmanız gerekir.
Kayıt defteri anahtarlarının ayrıntıları şunlardır:
FeatureSettingsOverride , varsayılan ayarı geçersiz kılan ve hangi azaltmaların devre dışı bırakılacağını denetleyen bir bit eşlemi temsil eder. Bit 0, CVE-2017-5715'e karşılık gelen azaltmayı denetler. Bit 1 , CVE-2017-5754'e karşılık gelen azaltmayı denetler. Bitler, azaltmayı etkinleştirmek için 0 , azaltmayı devre dışı bırakmak için 1 olarak ayarlanır.
FeatureSettingsOverrideMask , FeatureSettingsOverride ile birlikte kullanılan bit eşlem maskesini temsil eder. Bu durumda, kullanılabilir azaltmalara karşılık gelen ilk iki biti belirtmek için 3 değerini (ikili sayı veya temel 2 sayı sisteminde 11 olarak temsil edilir) kullanırız. Bu kayıt defteri anahtarı, azaltmaları etkinleştirmek veya devre dışı bırakmak için 3 olarak ayarlanır.
MinVmVersionForCpuBasedMitigations , Hyper-V konakları içindir. Bu kayıt defteri anahtarı, güncelleştirilmiş üretici yazılımı özelliklerini (CVE-2017-5715) kullanmanız için gereken en düşük VM sürümünü tanımlar. Tüm VM sürümlerini kapsayacak şekilde bunu 1.0 olarak ayarlayın. Bu kayıt defteri değerinin Hyper-V olmayan konaklarda yoksayılacağına (zararsız) dikkat edin. Diğer ayrıntılar için bkz. CVE-2017-5715'ten konuk sanal makineleri koruma (dal hedefi ekleme).
Evet, Ocak 2018 ile ilgili düzeltmeler yüklenmeden önce bu kayıt defteri ayarları uygulanırsa hiçbir yan etkisi yoktur.
Betik çıkışının ayrıntılı açıklamasını KB4074629: SpeculationControl PowerShell betik çıkışını anlama konusuna bakın.
Evet, henüz kullanılabilir üretici yazılımı güncelleştirmesi bulunmayan Windows Server 2016 Hyper-V konakları için, saldırıları barındırmak için VM'yi VM'ye veya VM'ye azaltmaya yardımcı olabilecek alternatif yönergeler yayımladık. Bkz. Windows Server 2016 Hyper-V Konakları için kurgusal yürütme yan kanal güvenlik açıklarına karşı alternatif korumalar.
Yalnızca güvenlik güncelleştirmeleri toplu değildir. İşletim sistemi sürümünüze bağlı olarak, tam koruma için birkaç güvenlik güncelleştirmesi yüklemeniz gerekebilir. Genel olarak müşterilerin Ocak, Şubat, Mart ve Nisan 2018 güncelleştirmelerini yüklemesi gerekir. AMD işlemcileri olan sistemlerin aşağıdaki tabloda gösterildiği gibi ek bir güncelleştirmeye ihtiyacı vardır:
İşletim Sistemi sürümü |
Güvenlik Güncelleştirmesi |
Windows 8.1, Windows Server 2012 R2 |
KB4338815 - Aylık Toplama |
KB4338824- Yalnızca güvenlik |
|
Windows 7 SP1, Windows Server 2008 R2 SP1 veya Windows Server 2008 R2 SP1 (Sunucu Çekirdeği yüklemesi) |
KB4284826 - Aylık Toplama |
KB4284867 - Yalnızca Güvenlik |
|
Windows Server 2008 SP2 |
KB4340583 - Güvenlik Güncelleştirmesi |
Yalnızca güvenlik güncelleştirmelerini yayın sırasına göre yüklemenizi öneririz.
Not: Bu SSS'nin önceki bir sürümü, Yalnızca Güvenlikle İlgili Şubat güncelleştirmesinin Ocak ayında yayımlanan güvenlik düzeltmelerini içerdiğini yanlış belirtiyordu. Aslında, öyle değil.
Hayır. Güvenlik güncelleştirmesi KB4078130 , mikro kod yüklendikten sonra öngörülemeyen sistem davranışlarını, performans sorunlarını ve beklenmeyen yeniden başlatmaları önlemeye yönelik belirli bir düzeltmeydi. Windows istemci işletim sistemlerinde güvenlik güncelleştirmelerinin uygulanması üç azaltmayı da etkinleştirir. Windows Server işletim sistemlerinde, düzgün test yaptıktan sonra da risk azaltmaları etkinleştirmeniz gerekir. Daha fazla bilgi için bkz. KB4072698.
Bu sorun KB4093118'da giderilmiştir.
Şubat 2018'de Intel, doğrulamalarını tamamladıklarını ve daha yeni CPU platformları için mikro kod yayınlamaya başladıklarını duyurdu . Microsoft Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Dal Hedefi Ekleme). KB4093836, Windows sürümüne göre belirli bilgi bankası makaleleri listeler. Belirli her KB makalesi, CPU'ya göre kullanılabilir Intel mikro kod güncelleştirmelerini içerir.
11 Ocak 2018'de Intel, spectre variant 2 (CVE-2017-5715 | Dal Hedefi Ekleme). Özellikle Intel, bu mikro kodun "beklenenden daha yüksek yeniden başlatmalara ve diğer öngörülemeyen sistem davranışlarına" neden olabileceğini ve bu senaryoların "veri kaybına veya bozulmasına neden olabileceğini" belirtmektedir."Deneyimlerimiz, sistem dengesizliklerinin bazı durumlarda veri kaybına veya bozulmasına neden olabileceğidir. Intel, 22 Ocak'ta müşterilerin etkilenen işlemcilere geçerli mikro kod sürümünü dağıtmayı durdurmasını önerirken, Intel güncelleştirilmiş çözüm üzerinde ek test gerçekleştirir. Intel'in geçerli mikro kod sürümünün olası etkisini araştırmaya devam ettiğini anlıyoruz. Müşterilerin kararlarını bildirmek için kılavuzlarını sürekli olarak gözden geçirmelerini öneririz.
Intel yeni mikro kodu test ederken, güncelleştirir ve dağıtırken, cve-2017-5715'e karşı yalnızca azaltmayı özellikle devre dışı bırakabilen bant dışı (OOB) bir güncelleştirme KB4078130 kullanıma sunuluyor. Yaptığımız testte, açıklanan davranışı önlemek için bu güncelleştirme bulundu. Cihazların tam listesi için Intel'in mikro kod düzeltme kılavuzuna bakın. Bu güncelleştirme Windows 7 Service Pack 1 (SP1), Windows 8.1 ve hem istemci hem de sunucu Windows 10 tüm sürümlerini kapsar. Etkilenen bir cihaz çalıştırıyorsanız, bu güncelleştirme Microsoft Update Kataloğu web sitesinden indirilerek uygulanabilir. Bu yükün uygulanması özellikle CVE-2017-5715'e karşı azaltmayı devre dışı bırakır.
Şu anda bu Spectre Variant 2(CVE-2017-5715 | Dal Hedefi Ekleme) müşterilere saldırmak için kullanılmıştır. Uygun olduğunda, Intel cihazınız için bu öngörülemeyen sistem davranışının çözümlendiğini bildirdiğinde Windows kullanıcılarının CVE-2017-5715'e karşı azaltmayı yeniden etkinleştirmesini öneririz.
Şubat 2018'de Intel, doğrulamalarını tamamladıklarını ve daha yeni CPU platformları için mikro kod yayınlamaya başladıklarınıduyurdu . Microsoft Spectre Variant 2 Spectre Variant 2 (CVE-2017-5715 | Dal Hedefi Ekleme). KB4093836, Windows sürümüne göre belirli bilgi bankası makaleleri listeler. KB'ler, CPU'ya göre kullanılabilir Intel mikro kod güncelleştirmelerini listeler.
Daha fazla bilgi için bkz. AMD Güvenlik Güncelleştirmeler ve AMD Teknik İncelemesi: Dolaylı Dal Denetimi Ile İlgili Mimari Yönergeleri . Bunlar OEM üretici yazılımı kanalından kullanılabilir.
Spectre Variant 2 (CVE-2017-5715 | Dal Hedefi Ekleme). Windows Update aracılığıyla en son Intel mikro kod güncelleştirmelerini almak için müşterilerin Windows 10 Nisan 2018 Güncelleştirmesi'ne (sürüm 1803) yükseltmeden önce Windows 10 işletim sistemi çalıştıran cihazlara Intel mikro kodu yüklemiş olması gerekir.
Mikro kod güncelleştirmesi, sistemi yükseltmeden önce cihaza yüklenmediyse doğrudan Microsoft Update Kataloğu'ndan da kullanılabilir. Intel mikro kodu Windows Update, Windows Server Update Services (WSUS) veya Microsoft Update Kataloğu aracılığıyla kullanılabilir. Daha fazla bilgi ve indirme yönergeleri için bkz. KB4100347.
Daha fazla bilgi için aşağıdaki kaynaklara bakın:
-
ADV180012 | CVE-2018-3639 için Kurgusal Mağaza Atlama için Microsoft Kılavuzu
-
ADV180013 | CVE-2018-3640 ve KB 4073065 için Rogue System Register Okuma için Microsoft Kılavuzu | Surface Müşterileri için Rehberlik
ADV180012 'in "Önerilen eylemler" ve "SSS" bölümlerine bakın | Kurgusal Mağaza Atlama için Microsoft Kılavuzu.
SSBD'nin durumunu doğrulamak için Get-SpeculationControlSettings PowerShell betiği etkilenen işlemcileri, SSBD işletim sistemi güncelleştirmelerinin durumunu ve varsa işlemci mikro kodunun durumunu algılayacak şekilde güncelleştirildi. Daha fazla bilgi edinmek ve PowerShell betiğini edinmek için bkz. KB4074629.
13 Haziran 2018'de, Tembel FP Durum Geri Yükleme olarak bilinen yan kanal kurgusal yürütmeyi içeren ek bir güvenlik açığı duyuruldu ve CVE-2018-3665 olarak atandı. Bu güvenlik açığı ve önerilen eylemler hakkında bilgi için bkz. Güvenlik Önerisi ADV180016 | Gecikmeli FP Durumu Geri Yükleme için Microsoft Kılavuzu .
Not Gecikmeli Geri Yükleme FP Geri Yükleme için gerekli yapılandırma (kayıt defteri) ayarı yoktur.
Sınır Denetimi Atlama Deposu (BCBS) 10 Temmuz 2018'de açıklandı ve CVE-2018-3693 olarak atandı. BCBS'nin Sınır Denetimi Atlama (Değişken 1) ile aynı güvenlik açığı sınıfına ait olduğunu düşünüyoruz. Şu anda yazılımımızdaki BCBS örneklerinin hiçbirinin farkında değiliz. Bununla birlikte, bu güvenlik açığı sınıfını araştırmaya devam ediyoruz ve sektör iş ortaklarıyla birlikte çalışarak risk azaltmaları gerektiği gibi serbest bırakacağız. Araştırmacıları, BCBS'nin herhangi bir sömürülebilir örneği de dahil olmak üzere Microsoft Kurgusal Yürütme Tarafı Kanalı ödül programına ilgili bulguları göndermelerini öneririz. Yazılım geliştiricileri, Kurgusal Yürütme Tarafı Kanalları için C++ Geliştirici Kılavuzu'nda BCBS için güncelleştirilen geliştirici kılavuzunu gözden geçirmelidir
14 Ağustos 2018'de L1 Terminal Hatası (L1TF) duyuruldu ve birden çok CV'ye atandı. Bu yeni kurgusal yürütme yan kanal güvenlik açıkları, güvenilir bir sınırdaki belleğin içeriğini okumak için kullanılabilir ve yararlanılırsa bilgilerin açığa çıkmasına neden olabilir. Yapılandırılan ortama bağlı olarak saldırganın güvenlik açıklarını tetikleyebileceği birden çok vektör vardır. L1TF, Intel® Core® işlemcileri ve Intel® Xeon® işlemcileri etkiler.
Bu güvenlik açığı hakkında daha fazla bilgi ve Microsoft'un L1TF'yi azaltma yaklaşımı da dahil olmak üzere etkilenen senaryoların ayrıntılı bir görünümü için aşağıdaki kaynaklara bakın:
Hyper-Threading devre dışı bırakma adımları OEM'den OEM'e farklılık gösterir ancak genellikle BIOS veya üretici yazılımı kurulum ve yapılandırma araçlarının bir parçasıdır.
CVE-2017-5715'i azaltan ARM64 işletim sistemi korumaları nedeniyle 64 bit ARM işlemcileri kullanan müşteriler üretici yazılımı desteği için cihaz OEM'sine başvurmalıdır | Dal hedefi ekleme (Spectre, Variant 2), cihaz OEM'lerinden en son üretici yazılımı güncelleştirmesinin etkili olmasını gerektirir.
Daha fazla bilgi için aşağıdaki güvenlik önerilerine bakın
Kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için Windows kılavuzunda daha fazla kılavuz bulunabilir
Azure kılavuzu için lütfen şu makaleye bakın: Azure'da kurgusal yürütme yan kanal güvenlik açıklarını azaltma kılavuzu.
Retpoline etkinleştirmesi hakkında daha fazla bilgi için blog gönderimize bakın: Windows üzerinde Retpoline ile Spectre değişken 2'yi azaltma .
Bu güvenlik açığı hakkında ayrıntılar için bkz. Microsoft Güvenlik Kılavuzu: CVE-2019-1125 | Windows Çekirdek Bilgilerinin Açığa Çıkması Güvenlik Açığı.
Bulut hizmeti altyapımızı etkileyen bu bilgilerin açığa çıkması güvenlik açığının herhangi bir örneğinden haberdar değiliz.
Bu sorunun farkına vardığımız anda bu sorunu çözmek ve bir güncelleştirme yayınlamak için hızlı bir şekilde çalıştık. Müşterileri daha güvenli hale getirmek için hem araştırmacılar hem de sektör iş ortakları ile yakın iş ortaklıklarına kesinlikle inanıyoruz ve 6 Ağustos Salı gününe kadar eşgüdümlü güvenlik açığı açıklama uygulamalarıyla tutarlı olarak ayrıntıları yayımlamadık.
Kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için Windows kılavuzunda daha fazla kılavuz bulunabilir.
Kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için Windows kılavuzunda daha fazla kılavuz bulunabilir.
Intel İşlem Eşitleme Uzantıları (Intel TSX) özelliğini devre dışı bırakma yönergeleri bölümünde daha fazla kılavuz bulunabilir.
Başvurular
Bu makalede belirtilen üçüncü taraf ürünler, Microsoft’tan bağımsız şirketler tarafından üretilmektedir. Bu ürünlerin performansı veya güvenilirliği hakkında zımni veya başka bir şekilde hiçbir garanti vermeyeceğiz.
Teknik destek bulmanıza yardımcı olmak için üçüncü taraf iletişim bilgileri sağlıyoruz. Bu kişi bilgileri bildirilmeksizin değiştirilebilir. Bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmeyiz.