Tarihi değiştir |
Açıklamayı değiştir |
19 Temmuz 2023, Temmuz 2023, Temmuz 2023, Temmuz 2023, Temmuz |
|
8 Ağustos 2023, Ağustos 2023 |
|
9 Ağustos 2023, Ağustos 2023 |
|
9 Nisan 2024 |
|
16 Nisan 2024, Mayıs 2024, Saat 2024, Mayıs 2024, Saat |
|
Özet
Bu makale, birçok modern işlemciyi ve işletim sistemini etkileyen yeni bir silikon tabanlı mikro mimari ve kurgusal yürütme yan kanal güvenlik açıkları sınıfı için rehberlik sağlar. Buna Intel, AMD ve ARM dahildir. Bu silikon tabanlı güvenlik açıkları için belirli ayrıntılar aşağıdaki ADV'lerde (Güvenlik Önerileri) ve CV'lerde (Ortak Güvenlik Açıkları ve Açığa Çıkarmalar) bulunabilir:
-
ADV180002 | Kurgusal yürütme yan kanal güvenlik açıklarını azaltma yönergeleri
-
ADV180013 | Rogue System Register Okuma için Microsoft Kılavuzu
-
ADV180016 | Gecikmeli FP Durumu Geri Yükleme için Microsoft Kılavuzu
-
ADV180018 | L1TF değişkenlerini azaltmaya yönelik Microsoft Kılavuzu
-
ADV190013 | Mikro Mimari Veri Örnekleme güvenlik açıklarını azaltmaya yönelik Microsoft Kılavuzu
-
ADV220002 | Intel İşlemci MMIO Eski Veri Güvenlik Açıklarına yönelik Microsoft Kılavuzu
Önemli: Bu sorun Android, Chrome, iOS ve macOS gibi diğer işletim sistemlerini de etkiler. Bu nedenle müşterilere bu satıcılardan rehberlik almalarını öneririz.
Bu güvenlik açıklarını azaltmaya yardımcı olmak için çeşitli güncelleştirmeler yayımladık. Bulut hizmetlerimizin güvenliğini sağlamak için de harekete geçtik. Diğer ayrıntılar için aşağıdaki bölümlere bakın.
Henüz bu güvenlik açıklarının müşterilere saldırmak için kullanıldığını belirten bir bilgi almadık. Müşterileri korumak için yonga üreticileri, donanım OEM'leri ve uygulama satıcıları dahil olmak üzere sektör iş ortaklarıyla yakın bir şekilde çalışıyoruz. Kullanılabilir tüm korumaları almak için üretici yazılımı (mikro kod) ve yazılım güncelleştirmeleri gereklidir. Buna cihaz OEM'lerinden mikro kod ve bazı durumlarda virüsten koruma yazılımı güncelleştirmeleri dahildir.
Bu makale aşağıdaki güvenlik açıklarını giderir:
Windows Update, Internet Explorer ve Edge risk azaltmaları da sağlar. Bu güvenlik açıkları sınıfına karşı bu risk azaltmaları iyileştirmeye devam edeceğiz.
Bu güvenlik açıkları sınıfı hakkında daha fazla bilgi edinmek için aşağıdakilere bakın:
Güvenlik açıkları
Intel, 14 Mayıs 2019'da Mikro mimari Veri Örnekleme olarak bilinen kurgusal yürütme yan kanal güvenlik açıklarının yeni bir alt sınıfı hakkında bilgi yayımladı. Bu güvenlik açıkları aşağıdaki CVE'lerde ele alınmaktadır:
-
CVE-2019-11091 | Mikro mimari veri örneklemesi seçilemez bellek (MDSUM)
-
CVE-2018-12126 | Mikro mimari deposu arabellek veri örneklemesi (MSBDS)
-
CVE-2018-12127 | Mikro mimari dolgu arabellek verileri örnekleme (MFBDS)
-
CVE-2018-12130 | Mikro mimari yük bağlantı noktası veri örneklemesi (MLPDS)
Önemli: Bu sorunlar Android, Chrome, iOS ve MacOS gibi diğer işletim sistemlerini etkiler. Bu ilgili satıcılardan rehberlik almanızı öneririz.
Bu güvenlik açıklarını azaltmaya yardımcı olacak güncelleştirmeler yayımladık. Kullanılabilir tüm korumaları almak için üretici yazılımı (mikro kod) ve yazılım güncelleştirmeleri gereklidir. Bu, cihaz OEM'lerinden mikro kod içerebilir. Bazı durumlarda, bu güncelleştirmelerin yüklenmesi performansı etkiler. Bulut hizmetlerimizin güvenliğini sağlamak için de harekete geçtik. Bu güncelleştirmelerin dağıtılması önemle önerilir.
Bu sorun hakkında daha fazla bilgi için aşağıdaki Güvenlik Önerisi'ne bakın ve tehdidi azaltmak için gerekli eylemleri belirlemek için senaryo tabanlı kılavuzu kullanın:
-
ADV190013 | Mikro Mimari Veri Örnekleme güvenlik açıklarını azaltmaya yönelik Microsoft Kılavuzu
-
Kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için Windows kılavuzu
Not: Mikro kod güncelleştirmelerini yüklemeden önce Windows Update'dan en son güncelleştirmelerin tümünü yüklemenizi öneririz.
6 Ağustos 2019'da Intel, Windows çekirdek bilgilerinin açığa çıkması güvenlik açığıyla ilgili ayrıntıları yayımladı. Bu güvenlik açığı Spectre Variant 1 kurgusal yürütme yan kanal güvenlik açığının bir çeşididir ve CVE-2019-1125 olarak atanmıştır.
9 Temmuz 2019'da bu sorunun azaltılmasına yardımcı olmak için Windows işletim sistemi için güvenlik güncelleştirmeleri yayımladık. 6 Ağustos 2019 Salı günü yapılan koordineli sektör açıklamasına kadar bu risk azaltmayı herkese açık olarak belgelediğimize dikkat edin.
Windows Update etkinleştirilen ve 9 Temmuz 2019'da yayımlanan güvenlik güncelleştirmelerini uygulayan müşteriler otomatik olarak korunur. Başka yapılandırma gerekmez.
Not: Bu güvenlik açığı, cihaz üreticinizden (OEM) bir mikro kod güncelleştirmesi gerektirmez.
Bu güvenlik açığı ve geçerli güncelleştirmeler hakkında daha fazla bilgi için bkz. Microsoft Güvenlik Güncelleştirmesi Kılavuzu:
Intel, 12 Kasım 2019'da CVE-2019-11135'e atanan Intel İşlem Eşitleme Uzantıları (Intel TSX) İşlem Zaman Uyumsuz Durdurma güvenlik açığı hakkında teknik bir öneri yayımladı. Bu güvenlik açığının azaltılmasına yardımcı olacak güncelleştirmeler yayımladık. Varsayılan olarak, işletim sistemi korumaları Windows İstemcisi işletim sistemi sürümleri için etkinleştirilir.
14 Haziran 2022'de ADV220002 yayımladık | Intel İşlemci MMIO Eski Veri Güvenlik Açıklarına yönelik Microsoft Kılavuzu. Güvenlik açıkları aşağıdaki CVE'lerde atanır:
-
CVE-2022-21125 | Paylaşılan Arabellek Verileri Örnekleme (SBDS)
-
CVE-2022-21127 | Özel Kayıt Arabellek Verileri Örnekleme Güncelleştirmesi (SRBDS Güncelleştirmesi)
Önerilen işlemler
Bu güvenlik açıklarına karşı korunmaya yardımcı olmak için aşağıdaki eylemleri gerçekleştirmeniz gerekir:
-
Aylık Windows güvenlik güncelleştirmeleri de dahil olmak üzere tüm kullanılabilir Windows işletim sistemi güncelleştirmelerini uygulayın.
-
Cihaz üreticisi tarafından sağlanan ilgili üretici yazılımı (mikro kod) güncelleştirmesini uygulayın.
-
Bu makalede sağlanan bilgilere ek olarak Microsoft Güvenlik Önerileri ADV180002, ADV180012, ADV190013 ve ADV220002 sağlanan bilgilere göre ortamınıza yönelik riski değerlendirin.
-
Bu makalede sağlanan danışmanları ve kayıt defteri anahtarı bilgilerini kullanarak gerektiği gibi işlem yapın.
Not: Surface müşterileri Windows update aracılığıyla bir mikro kod güncelleştirmesi alır. En son kullanılabilir Surface cihaz üretici yazılımı (mikro kod) güncelleştirmelerinin listesi için bkz. KB4073065.
12 Temmuz 2022'de CVE-2022-23825 'i yayımladık | Dal tahmin aracındaki diğer adların bazı AMD işlemcilerinin yanlış dal türünü tahmin etmelerine neden olabileceğini açıklayan AMD CPU Dal Türü Karışıklığı. Bu sorun, bilgilerin açığa çıkmasına neden olabilir.
Bu güvenlik açığına karşı korunmaya yardımcı olmak için, Temmuz 2022 veya sonrasında tarihli Windows güncelleştirmelerini yüklemenizi ve bu bilgi bankası makalesinde sağlanan CVE-2022-23825 ve kayıt defteri anahtarı bilgilerinin gerektirdiği şekilde işlem gerçekleştirmenizi öneririz.
Daha fazla bilgi için AMD-SB-1037 güvenlik bültenine bakın.
8 Ağustos 2023'te CVE-2023-20569 'ı yayımladık | Saldırgan denetimindeki bir adreste kurgusal yürütmeye neden olabilecek yeni bir kurgusal yan kanal saldırısını açıklayan AMD CPU Dönüş Adresi Tahmin Aracı (Inception olarak da bilinir). Bu sorun belirli AMD işlemcilerini etkiler ve bilgilerin açığa çıkmasına neden olabilir.
Bu güvenlik açığına karşı korunmaya yardımcı olmak için Ağustos 2023 veya sonrasında tarihli Windows güncelleştirmelerini yüklemenizi ve ardından CVE-2023-20569 ve bu bilgi bankası makalesinde sağlanan kayıt defteri anahtarı bilgilerinin gerektirdiği şekilde işlem gerçekleştirmenizi öneririz.
Daha fazla bilgi için AMD-SB-7005 güvenlik bültenine bakın.
9 Nisan 2024'te CVE-2022-0001 yayımladık | Mod içi BTI'nın belirli bir biçimi olan Dal Geçmişi Ekleme (BHI) açıklayan Intel Dal Geçmişi Ekleme. Bu güvenlik açığı, bir saldırgan kullanıcıdan gözetmen moduna (veya VMX kök olmayan/konuk olmayan moddan kök moda) geçmeden önce dal geçmişini işleyebilecek olduğunda oluşur. Bu düzenleme, dolaylı dal tahmin aracının dolaylı dal için belirli bir tahmin aracı seçmesine neden olabilir ve tahmin edilen hedefteki bir açıklama aracı geçici olarak yürütülür. İlgili dal geçmişi önceki güvenlik bağlamlarında ve özellikle de diğer tahmin aracı modlarında alınan dalları içerebileceğinden bu mümkün olabilir.
Windows istemcileri için azaltma ayarları
Güvenlik önerileri (ADV' ler) ve CV'ler , bu güvenlik açıklarının neden olduğu riskler ve Windows istemci sistemleri için varsayılan risk azaltma durumunu belirlemenize nasıl yardımcı oldukları hakkında bilgi sağlar. Aşağıdaki tabloda CPU mikro kodu gereksinimi ve Windows istemcilerindeki risk azaltmaların varsayılan durumu özetlenmektedir.
CVE |
CPU mikro kodu/üretici yazılımı mı gerekiyor? |
Azaltma Varsayılan durumu |
---|---|---|
CVE-2017-5753 |
Hayır |
Varsayılan olarak etkindir (devre dışı bırakma seçeneği yoktur) Ek bilgi için lütfen ADV180002 bakın. |
CVE-2017-5715 |
Evet |
Varsayılan olarak etkindir. AMD işlemcilerini temel alan sistemlerin kullanıcıları SSS #15'i ve ARM işlemci kullanıcıları ek eylem için ADV180002 SSS #20'ye ve geçerli kayıt defteri anahtarı ayarları için bu KB makalesine bakmalıdır. Not Varsayılan olarak, Spectre Variant 2 (CVE-2017-5715) etkinse Retpoline Windows 10, sürüm 1809 veya üzerini çalıştıran cihazlar için etkinleştirilir. Retpoline hakkında daha fazla bilgi için Windows'da Retpoline ile Spectre değişken 2'yi Azaltma blog gönderisindeki yönergeleri izleyin. |
CVE-2017-5754 |
Hayır |
Varsayılan olarak etkin Ek bilgi için lütfen ADV180002 bakın. |
CVE-2018-3639 |
Intel: Evet AMD: Hayır ARM: Evet |
Intel ve AMD: Varsayılan olarak devre dışıdır. Daha fazla bilgi için ADV180012 ve geçerli kayıt defteri anahtarı ayarları için bu KB makalesine bakın. ARM: Devre dışı bırakma seçeneği olmadan varsayılan olarak etkinleştirilir. |
CVE-2019-11091 |
Intel: Evet |
Varsayılan olarak etkindir. Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
CVE-2018-12126 |
Intel: Evet |
Varsayılan olarak etkindir. Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
CVE-2018-12127 |
Intel: Evet |
Varsayılan olarak etkindir. Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
CVE-2018-12130 |
Intel: Evet |
Varsayılan olarak etkindir. Daha fazla bilgi için ADV190013 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
CVE-2019-11135 |
Intel: Evet |
Varsayılan olarak etkindir. Daha fazla bilgi için CVE-2019-11135 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
CVE-2022-21123 (MMIO ADV220002 parçası) |
Intel: Evet |
Windows 10, sürüm 1809 ve üzeri: Varsayılan olarak etkindir. Windows 10, sürüm 1607 ve öncesi: Varsayılan olarak devre dışıdır.Daha fazla bilgi için CVE-2022-21123 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
CVE-2022-21125 (MMIO ADV220002 parçası) |
Intel: Evet |
Windows 10, sürüm 1809 ve üzeri: Varsayılan olarak etkindir. Windows 10, sürüm 1607 ve öncesi: Varsayılan olarak devre dışıdır.Daha fazla bilgi için bkz . CVE-2022-21125 . |
CVE-2022-21127 (MMIO ADV220002 parçası) |
Intel: Evet |
Windows 10, sürüm 1809 ve üzeri: Varsayılan olarak etkindir. Windows 10, sürüm 1607 ve öncesi: Varsayılan olarak devre dışıdır.Daha fazla bilgi için bkz . CVE-2022-21127 . |
CVE-2022-21166 (MMIO ADV220002 parçası) |
Intel: Evet |
Windows 10, sürüm 1809 ve üzeri: Varsayılan olarak etkindir. Windows 10, sürüm 1607 ve öncesi: Varsayılan olarak devre dışıdır.Daha fazla bilgi için bkz . CVE-2022-21166 . |
CVE-2022-23825 (AMD CPU Dal Türü Karışıklığı) |
AMD: Hayır |
Daha fazla bilgi için CVE-2022-23825 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
CVE-2023-20569 (AMD CPU Dönüş Adresi Tahmin Aracı) |
AMD: Evet |
Daha fazla bilgi için CVE-2023-20569 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
Intel: Hayır |
Varsayılan olarak devre dışıdır. Daha fazla bilgi için CVE-2022-0001 ve geçerli kayıt defteri anahtarı ayarları için bu makaleye bakın. |
Not: Varsayılan olarak, kapalı olan azaltmaların etkinleştirilmesi cihaz performansını etkileyebilir. Gerçek performans etkisi, cihazdaki belirli yonga kümesi ve çalışan iş yükleri gibi birden çok faktöre bağlıdır.
Kayıt defteri ayarları
Güvenlik Önerileri (ADV) ve CVE'lerde belirtildiği gibi, varsayılan olarak etkinleştirilmemiş risk azaltmaları etkinleştirmek için aşağıdaki kayıt defteri bilgilerini sağlarız. Ayrıca, Windows istemcileri için uygun olduğunda azaltmaları devre dışı bırakmak isteyen kullanıcılar için kayıt defteri anahtarı ayarları sağlıyoruz.
Önemli: Bu bölüm, yöntem veya görev, kayıt defterini nasıl değiştirebileceğinizi belirten adımlar içerir. Ancak kayıt defterini yanlış değiştirirseniz ciddi sorunlar oluşabilir. Bu nedenle, bu adımları dikkatle izlediğinize emin olun. Daha fazla koruma için, değiştirmeden önce kayıt defterini yedekleyin. Ardından, bir sorun oluşursa kayıt defterini geri yükleyebilirsiniz. Kayıt defterini yedekleme ve geri yükleme hakkında daha fazla bilgi için, Microsoft Bilgi Bankası'ndaki aşağıdaki makaleye bakın:322756 Windows'da kayıt defterini yedekleme ve geri yükleme
Önemli: Spectre, Variant 2 (CVE-2017-5715) etkinse Retpoline varsayılan olarak Windows 10, sürüm 1809 cihazlarda etkinleştirilir. Retpoline'in en son Windows 10 sürümünde etkinleştirilmesi, spectre değişken 2 için Windows 10, sürüm 1809 çalıştıran cihazlarda, özellikle eski işlemcilerde performansı artırabilir.
CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için varsayılan azaltmaları etkinleştirmek için reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Değişikliklerin etkili olması için cihazı yeniden başlatın. CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için risk azaltmaları devre dışı bırakmak için reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Değişikliklerin etkili olması için cihazı yeniden başlatın. |
Not: FeatureSettingsOverrideMask için hem "etkinleştir" hem de "devre dışı bırak" ayarları için 3 değeri doğrudur. (Kayıt defteri anahtarları hakkında daha fazla bilgi için "SSS" bölümüne bakın.)
CVE-2017-5715 (Spectre Variant 2) için azaltmaları devre dışı bırakmak için: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Değişikliklerin etkili olması için cihazı yeniden başlatın. CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için varsayılan azaltmaları etkinleştirmek için: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Değişikliklerin etkili olması için cihazı yeniden başlatın. |
Varsayılan olarak, CVE-2017-5715 için kullanıcıdan çekirdeklere koruma AMD ve ARM CPU'lar için devre dışı bırakılmıştır. CVE-2017-5715 için ek korumalar almak için azaltmayı etkinleştirmeniz gerekir. Daha fazla bilgi için bkz. AMD işlemciler için ADV180002 SSS #15 ve ARM işlemciler için ADV180002 SSS #20.
CVE 2017-5715 için diğer korumalarla birlikte AMD ve ARM işlemcilerde kullanıcıdan çekirdeklere korumayı etkinleştirin: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Değişikliklerin etkili olması için cihazı yeniden başlatın. |
CVE-2018-3639 (Tahmini Mağaza Atlama), CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için varsayılan azaltmaları etkinleştirmek için: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Değişikliklerin etkili olması için cihazı yeniden başlatın. Not: AMD işlemcileri CVE-2017-5754'e (Meltdown) karşı savunmasız değildir. Bu kayıt defteri anahtarı, AMD işlemcilerde CVE-2017-5715 için varsayılan azaltmaları ve CVE-2018-3639 için azaltmayı etkinleştirmek için AMD işlemcili sistemlerde kullanılır. CVE-2018-3639 (Tahmini Mağaza Atlama) *ve* düzeltmelerini CVE-2017-5715 (Spectre Variant 2) ve CVE-2017-5754 (Meltdown) için devre dışı bırakmak için reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Değişikliklerin etkili olması için cihazı yeniden başlatın. |
Varsayılan olarak, AMD işlemciler için CVE-2017-5715 için kullanıcıdan çekirdeklere koruma devre dışı bırakılmıştır. Müşterilerin CVE-2017-5715 için ek korumalar almak için risk azaltmayı etkinleştirmesi gerekir. Daha fazla bilgi için bkz. ADV180002 SSS #15.
CVE 2017-5715 için diğer korumalar ve CVE-2018-3639 (Kurgusal Mağaza Atlama) korumalarıyla birlikte AMD işlemcilerinde kullanıcıdan çekirdeklere korumayı etkinleştirin: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Değişikliklerin etkili olması için cihazı yeniden başlatın. |
Intel İşlem Eşitleme Uzantıları (Intel TSX) İşlem Zaman Uyumsuz Durdurma güvenlik açığı (CVE-2019-11135) ve Mikro Mimari Veri Örneklemesi (CVE-2) için azaltmaları etkinleştirmek için019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) Spectre (CVE-2017-5753 & CVE-2017-5715) ve Meltdown (CVE-2017-5754) varyantlarıyla birlikte, Spekülatif Mağaza Atlama Devre Dışı Bırakma (SSBD) (CVE-2018-3639) ve L1 Terminal Hatası (L1TF) (CVE-2018-3615, CVE-2018-3620 ve CVE-2018-3646) Hyper-Threading'i devre dışı bırakmadan: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Hyper-V özelliği yüklüyse aşağıdaki kayıt defteri ayarını ekleyin: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Bu bir Hyper-V konağıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce ana bilgisayara üretici yazılımıyla ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldığında da güncelleştirilir. Değişikliklerin etkili olması için cihazı yeniden başlatın. To enable mitigations for Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646) Hyper-Threading devre dışı bırakılmıştır: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Hyper-V özelliği yüklüyse aşağıdaki kayıt defteri ayarını ekleyin: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f Bu bir Hyper-V konağıysa ve üretici yazılımı güncelleştirmeleri uygulanmışsa: Tüm Sanal Makineler tamamen kapatın. Bu, VM'ler başlatılmadan önce ana bilgisayara üretici yazılımıyla ilgili azaltmanın uygulanmasını sağlar. Bu nedenle, VM'ler yeniden başlatıldığında da güncelleştirilir. Değişikliklerin etkili olması için cihazı yeniden başlatın. To disable mitigations for Intel® Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort vulnerability (CVE-2019-11135) and Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) along with Spectre (CVE-2017-5753 & CVE-2017-5715) and Meltdown (CVE-2017-5754) variants, including Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) as well as L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620, and CVE-2018-3646: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f Değişikliklerin etkili olması için cihazı yeniden başlatın. |
AMD işlemcilerde CVE-2022-23825 için azaltmayı etkinleştirmek için :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Tamamen korunabilmek için müşterilerin Hyper-Threading (Eşzamanlı Çoklu İş Parçacığı Oluşturma (SMT) olarak da bilinir) devre dışı bırakması gerekebilir. Windows cihazlarını koruma yönergeleri için lütfen KB4073757bakın.
AMD işlemcilerde CVE-2023-20569 için azaltmayı etkinleştirmek için:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Intel işlemcilerde CVE-2022-0001 için azaltmayı etkinleştirmek için:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Birden çok azaltmayı etkinleştirme
Birden çok azaltmayı etkinleştirmek için her azaltmanın REG_DWORD değerini birlikte eklemeniz gerekir.
Örneğin:
Hyper-Threading devre dışı bırakılmış İşlem Zaman Uyumsuz Durdurma güvenlik açığı, Mikro mimari Veri Örnekleme, Spectre, Meltdown, MMIO, Kurgusal Mağaza Atlama Devre Dışı Bırakma (SSBD) ve L1 Terminal Hatası (L1TF) için azaltma |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
NOT 8264 (Ondalık) = 0x2048 (Onaltılık) BHI'yi diğer mevcut ayarlarla birlikte etkinleştirmek için 8.388.608 (0x800000) ile bit düzeyinde VEYA geçerli değeri kullanmanız gerekir. 0x800000 OR 0x2048 (ondalık olarak 8264) ve 8.396.872 (0x802048) olur. FeatureSettingsOverrideMask ile aynı. |
|
Intel işlemcilerde CVE-2022-0001 için azaltma |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
Birleştirilmiş risk azaltma |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
Hyper-Threading devre dışı bırakılmış İşlem Zaman Uyumsuz Durdurma güvenlik açığı, Mikro mimari Veri Örnekleme, Spectre, Meltdown, MMIO, Kurgusal Mağaza Atlama Devre Dışı Bırakma (SSBD) ve L1 Terminal Hatası (L1TF) için azaltma |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Intel işlemcilerde CVE-2022-0001 için azaltma |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Birleştirilmiş risk azaltma |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
Korumaların etkinleştirildiğini doğrulama
Korumaların etkinleştirildiğini doğrulamaya yardımcı olmak için cihazlarınızda çalıştırabileceğiniz bir PowerShell betiği yayımladık. Aşağıdaki yöntemlerden birini kullanarak betiği yükleyin ve çalıştırın.
PowerShell Modülünü yükleyin: PS> Install-Module SpeculationControl Korumaların etkinleştirildiğini doğrulamak için PowerShell modülünü çalıştırın: PS> # Geçerli yürütme ilkesini sıfırlanacak şekilde kaydedin PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Yürütme ilkesini özgün duruma sıfırlama PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
Technet ScriptCenter'nden PowerShell Modülünü yükleyin: https://aka.ms/SpeculationControlPS'a gidin SpeculationControl.zip yerel bir klasöre indirin. İçeriği yerel bir klasöre ayıklayın, örneğin C:\ADV180002 Korumaların etkinleştirildiğini doğrulamak için PowerShell modülünü çalıştırın: PowerShell'i başlatın, ardından (önceki örneği kullanarak) aşağıdaki komutları kopyalayın ve çalıştırın: PS> # Geçerli yürütme ilkesini sıfırlanacak şekilde kaydedin PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Yürütme ilkesini özgün duruma sıfırlama PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
PowerShell betiğinin çıktısının ayrıntılı açıklaması için bkz. KB4074629.
Sık sorulan sorular
Mikro kod bir üretici yazılımı güncelleştirmesi aracılığıyla teslim edilir. Intels Mikro Kod Düzeltme Kılavuzu da dahil olmak üzere, CPU (yonga kümesi) ve cihaz üreticilerinize kendi cihazları için geçerli üretici yazılımı güvenlik güncelleştirmelerinin kullanılabilirliğini denetlemeniz gerekir.
Yazılım güncelleştirmesi aracılığıyla bir donanım güvenlik açığının giderilmesi önemli zorluklara neden olabilir. Ayrıca, eski işletim sistemleri için azaltmalar kapsamlı mimari değişiklikler gerektirir. Etkilenen yonga üreticileriyle birlikte çalışarak, gelecekteki güncelleştirmelerde sağlanabilir risk azaltmaları sağlamanın en iyi yolunu belirlemek için çalışıyoruz.
Microsoft Surface cihazları için Güncelleştirmeler, Windows işletim sistemi güncelleştirmeleriyle birlikte Windows Update aracılığıyla müşterilere teslim edilecek. Kullanılabilir Surface cihaz üretici yazılımı (mikro kod) güncelleştirmelerinin listesi için bkz. KB4073065.
Cihazınız Microsoft tarafından üretilmemişse cihaz üreticisinden edindiğiniz üretici yazılımını uygulayın. Daha fazla bilgi için OEM cihaz üreticisine başvurun.
Microsoft, Şubat ve Mart 2018'de bazı x86 tabanlı sistemler için ek koruma yayımladı. Daha fazla bilgi için bkz. KB4073757 ve Microsoft Güvenlik Danışmanlığı ADV180002.
HoloLens için Güncelleştirmeler Windows 10 Windows Update aracılığıyla HoloLens müşterileri tarafından kullanılabilir.
Şubat 2018 Windows Güvenliği Güncelleştirmesini uyguladıktan sonra HoloLens müşterilerinin cihaz üretici yazılımını güncelleştirmek için ek bir işlem yapması gerekmez. Bu risk azaltmalar, HoloLens için Windows 10'nin gelecekteki tüm sürümlerine de dahil edilecek.
Hayır. Yalnızca Güvenlik güncelleştirmeleri toplu değildir. Çalıştırdığınız işletim sistemi sürümüne bağlı olarak, bu güvenlik açıklarına karşı korunmak için her aylık Yalnızca Güvenlik Güncelleştirmelerini yüklemeniz gerekir. Örneğin, etkilenen bir Intel CPU üzerinde 32 bit Sistemler için Windows 7 çalıştırıyorsanız, tüm Yalnızca Güvenlik güncelleştirmelerini yüklemeniz gerekir. Bu Yalnızca Güvenlik güncelleştirmelerini yayın sırasına göre yüklemenizi öneririz.
Not Bu SSS'nin önceki bir sürümü, Yalnızca Şubat Güvenlik güncelleştirmesinin Ocak ayında yayımlanan güvenlik düzeltmelerini içerdiğini yanlış belirtmektedir. Aslında, öyle değil.
Hayır. Güvenlik güncelleştirmesi 4078130, mikro kod yüklendikten sonra öngörülemeyen sistem davranışlarını, performans sorunlarını ve/veya beklenmeyen yeniden başlatmaları önlemeye yönelik belirli bir düzeltmeydi. Windows istemci işletim sistemlerine Şubat güvenlik güncelleştirmelerinin uygulanması üç azaltmayı da etkinleştirir.
Intel kısa süre önce doğrulamalarını tamamladıklarını ve daha yeni CPU platformları için mikro kod yayınlamaya başladıklarını duyurdu. Microsoft, Spectre Variant 2 (CVE-2017-5715 "Dal Hedefi Ekleme") ile ilgili intel tarafından doğrulanmış mikro kod güncelleştirmeleri sunmaktadır. KB4093836, Windows sürümüne göre belirli Bilgi Bankası makalelerini listeler. Her belirli KB, CPU tarafından kullanılabilir Intel mikro kodu güncelleştirmelerini içermektedir.
Bu sorun KB4093118'da giderilmiştir.
AMD kısa süre önce Spectre Variant 2 (CVE-2017-5715 "Dal Hedefi Ekleme") çevresindeki daha yeni CPU platformları için mikro kod yayınlamaya başladıklarını duyurdu. Daha fazla bilgi için BKZ. AMD Güvenlik Güncelleştirmeler ve AMD Teknik İncelemesi: Dolaylı Dal Denetimi Ile İlgili Mimari Yönergeleri. Bunlar OEM üretici yazılımı kanalından kullanılabilir.
Spectre Variant 2 (CVE-2017-5715 "Dal Hedefi Ekleme " ile ilgili intel tarafından doğrulanmış mikro kod güncelleştirmeleri yapıyoruz. Windows Update aracılığıyla en son Intel mikro kod güncelleştirmelerini almak için müşterilerin Windows 10 Nisan 2018 Güncelleştirmesi'ne (sürüm 1803) yükseltmeden önce Windows 10 işletim sistemi çalıştıran cihazlara Intel mikro kodu yüklemiş olması gerekir.
Mikro kod güncelleştirmesi, işletim sistemini yükseltmeden önce cihaza yüklenmediyse doğrudan Katalog'dan kullanılabilir. Intel mikro kodu Windows Update, WSUS veya Microsoft Update Kataloğu aracılığıyla kullanılabilir. Daha fazla bilgi ve indirme yönergeleri için bkz. KB4100347.
Daha fazla bilgi için aşağıdaki kaynaklara bakın:
-
ADV180012 | CVE-2018-3639 için Kurgusal Mağaza Atlama için Microsoft Kılavuzu
-
ADV180013 | CVE-2018-3640 ve KB4073065 için Rogue System Register Okuma için Microsoft Kılavuzu
Ayrıntılar için ADV180012 | içindeki "Önerilen eylemler" ve "SSS" bölümlerine bakın Kurgusal Mağaza Atlama için Microsoft Kılavuzu.
SSBD'nin durumunu doğrulamak için, Get-SpeculationControlSettings PowerShell betiği etkilenen işlemcileri, SSBD işletim sistemi güncelleştirmelerinin durumunu ve varsa işlemci mikro kodunun durumunu algılayacak şekilde güncelleştirildi. Daha fazla bilgi edinmek ve PowerShell betiğini edinmek için bkz. KB4074629.
13 Haziran 2018'de, Tembel FP Durum Geri Yükleme olarak bilinen yan kanal kurgusal yürütmeyle ilgili ek bir güvenlik açığı duyuruldu ve CVE-2018-3665 olarak atandı. Gecikmeli Geri Yükleme FP Geri Yükleme için yapılandırma (kayıt defteri) ayarı gerekmez.
Bu güvenlik açığı hakkında daha fazla bilgi edinmek ve önerilen eylemler için güvenlik önerisi ADV180016 | konusuna bakın Gecikmeli FP Durumu Geri Yükleme için Microsoft Kılavuzu.
Not: Gecikmeli Geri Yükleme FP Geri Yükleme için yapılandırma (kayıt defteri) ayarı gerekmez.
Sınır Denetimi Atlama Deposu (BCBS) 10 Temmuz 2018'de açıklandı ve CVE-2018-3693 olarak atandı. BCBS'nin Sınır Denetimi Atlama (Değişken 1) ile aynı güvenlik açığı sınıfına ait olduğunu düşünüyoruz. Şu anda yazılımımızdaki BCBS örneklerinin farkında değiliz, ancak bu güvenlik açığı sınıfını araştırmaya devam ediyoruz ve gerekli azaltmaları yayınlamak için sektör iş ortaklarıyla birlikte çalışacağız. Araştırmacıları, BCBS'nin sömürülebilir örnekleri de dahil olmak üzere Microsoft'un Kurgusal Yürütme Tarafı Kanalı ödül programına ilgili bulguları göndermeye teşvik etmeye devam ediyoruz. Yazılım geliştiricileri, https://aka.ms/sescdevguide'da BCBS için güncelleştirilen geliştirici kılavuzunu gözden geçirmelidir.
14 Ağustos 2018'de L1 Terminal Hatası (L1TF) duyuruldu ve birden çok CV'ye atandı. Bu yeni kurgusal yürütme yan kanal güvenlik açıkları, güvenilir bir sınırdaki belleğin içeriğini okumak için kullanılabilir ve yararlanılırsa bilgilerin açığa çıkmasına neden olabilir. Saldırgan, yapılandırılan ortama bağlı olarak güvenlik açıklarını birden çok vektör aracılığıyla tetikleyebilir. L1TF, Intel® Core® işlemcileri ve Intel® Xeon® işlemcileri etkiler.
Bu güvenlik açığı hakkında daha fazla bilgi ve Microsoft'un L1TF'yi azaltma yaklaşımı da dahil olmak üzere etkilenen senaryoların ayrıntılı bir görünümü için aşağıdaki kaynaklara bakın:
CVE-2017-5715'i azaltan ARM64 işletim sistemi korumaları | Dal hedefi ekleme (Spectre, Variant 2), cihaz OEM'lerinden en son üretici yazılımı güncelleştirmesinin etkili olmasını gerektirir.
Daha fazla bilgi için aşağıdaki güvenlik önerilerine bakın
Daha fazla bilgi için aşağıdaki güvenlik önerilerine bakın
Kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için Windows kılavuzunda daha fazla kılavuz bulunabilir
Azure kılavuzu için lütfen şu makaleye bakın: Azure'da kurgusal yürütme yan kanal güvenlik açıklarını azaltma kılavuzu.
Retpoline etkinleştirmesi hakkında daha fazla bilgi için blog gönderimize bakın: Windows üzerinde Retpoline ile Spectre değişken 2'yi azaltma.
Bu güvenlik açığı hakkında ayrıntılar için bkz. Microsoft Güvenlik Kılavuzu: CVE-2019-1125 | Windows Çekirdek Bilgilerinin Açığa Çıkması Güvenlik Açığı.
Bulut hizmeti altyapımızı etkileyen bu bilgilerin açığa çıkması güvenlik açığının herhangi bir örneğinden haberdar değiliz.
Bu sorunun farkına vardığımız anda bu sorunu çözmek ve bir güncelleştirme yayınlamak için hızlı bir şekilde çalıştık. Müşterileri daha güvenli hale getirmek için hem araştırmacılar hem de sektör iş ortakları ile yakın iş ortaklıklarına kesinlikle inanıyoruz ve 6 Ağustos Salı gününe kadar eşgüdümlü güvenlik açığı açıklama uygulamalarıyla tutarlı olarak ayrıntıları yayımlamadık.
Kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için Windows kılavuzunda daha fazla kılavuz bulunabilir.
Kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için Windows kılavuzunda daha fazla kılavuz bulunabilir.
Intel İşlem Eşitleme Uzantıları (Intel®® TSX) özelliğini devre dışı bırakma yönergeleri bölümünde daha fazla kılavuz bulunabilir.
Başvurular
Teknik destek bulmanıza yardımcı olmak için üçüncü taraf iletişim bilgileri sağlıyoruz. Bu kişi bilgileri bildirilmeksizin değiştirilebilir. Bu üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmeyiz.