更改日期 |
更改说明 |
2023 年 7 月 19 日 |
|
2023 年 8 月 8 日 |
|
2023 年 8 月 9 日 |
|
2024 年 4 月 9 日 |
|
2024 年 4 月 16 日 |
|
摘要
本文为影响许多新式处理器和操作系统的一类基于硅的微体系结构和推测执行侧信道漏洞提供了指导。 这包括 Intel、AMD 和 ARM。 可在以下 ADV(安全公告)和 CVE(常见漏洞和披露)中找到这些基于芯片的漏洞的特定详细信息:
重要: 此问题还会影响其他操作系统,例如 Android、Chrome、iOS 和 macOS。 因此,我们建议客户向这些供应商寻求指导。
我们已发布多个更新来帮助缓解这些漏洞。 我们还采取了措施来保护我们的云服务。 有关更多详细信息,请参阅下列部分。
我们尚未收到任何信息,指出这些漏洞已被用来攻击客户。 我们一直在与业内合作伙伴(包括芯片制造商、硬件 OEM 和应用程序供应商)密切合作以保护客户。 若要获取所有可用保护,需要进行固件(微码)和软件更新。 其中包括来自设备 OEM 的微码,在有些情况下,还包括防病毒软件更新。
本文修复了以下漏洞:
Windows 更新还将提供 Internet Explorer 和 Edge 缓解措施。 我们会继续改进这些针对此类漏洞的缓解措施。
若要了解有关此类漏洞的更多信息,请参阅:
漏洞
2019 年 5 月 14 日,Intel 发布了有关新的子类推理执行侧信道漏洞(称为“微架构数据采样”)的信息。 以下 CVE 中解决了这些漏洞:
重要: 这些问题将影响其他操作系统,例如 Android、Chrome、iOS 和 MacOS。 我们建议你从这些各自的供应商寻求指导。
我们已发布更新来帮助缓解此类漏洞。 若要获取所有可用保护,需要进行固件(微码)和软件更新。 这可能包括来自设备 OEM 的微码。 在某些情况下,安装这些更新会对系统性能产生影响。 我们也采取了行动来保护云服务。 我们强烈建议部署这些更新。
有关此问题的更多信息,请参阅以下安全通报,并使用基于场景的指南来确定缓解威胁所需的操作:
注意: 建议在安装任何微码更新之前先安装 Windows 更新中的所有最新更新。
2019 年 8 月 6 日,Intel 发布了有关 Windows 内核信息泄漏漏洞的详细信息。 此漏洞是 Spectre Variant 1 推测性执行侧信道漏洞的变体,已指定为 CVE-2019-1125。
2019 年 7 月 9 日,我们发布了 Windows 操作系统的安全更新,以帮助缓解此问题。 请注意,在 2019 年 8 月 6 日星期二协调行业披露之前,我们一直拒绝公开记录这种缓解措施。
已启用 Windows 更新并应用了 2019 年 7 月 9 日发布的安全更新的客户将自动受到保护。 无需进一步配置。
注意: 此漏洞不需要设备制造商(OEM)的微码更新。
有关此漏洞和适用更新的更多信息,请参阅 Microsoft 安全更新指南:
2019 年 11 月 12 日,Intel 发布了有关指定为 CVE-2019-11135 的 Intel 事务同步扩展(Intel® TSX)事务异步中止漏洞的技术公告。 我们已发布更新来帮助缓解此类漏洞。 默认情况下,为 Windows 客户端 OS 版本启用 OS 保护。
2022 年 6 月 14 日,我们发布了 ADV220002 | 有关 Intel 处理器 MMIO 过时数据漏洞的 Microsoft 指南。 以下 CVE 中分配了这些漏洞:
建议的操作
应采取以下措施以帮助防御这些漏洞:
-
应用所有可用的 Windows 操作系统更新,包括 月度 Windows 安全更新。
-
应用设备制造商提供的适用固件(微码)更新。
-
根据 Microsoft 安全公告(ADV180002、ADV180012、ADV190013 和 ADV220002)中提供的信息以及本文章中提供的信息评估环境风险。
-
使用文章中提供的公告和注册表项信息,根据需要执行操作。
注意: Surface 客户将通过 Windows 更新收到微码更新。 有关最新可用 Surface 设备固件(微码)更新的列表,请参阅 KB KB4073065。
2022 年 7 月 12 日,我们发布了 CVE-2022-23825 |AMD CPU 分支类型混淆,描述分支预测器中的别名可能导致某些 AMD 处理器预测错误的分支类型。 此问题可能会导致信息泄漏。
为了帮助防范此漏洞,我们建议安装日期为 2022 年 7 月或之后的 Windows 更新,然后根据本知识库文章中提供的 CVE-2022-23825和注册表项信息的要求采取措施。
有关详细信息,请参阅 AMD-SB-1037 安全公告。
2023 年 8 月 8 日,我们发布了 CVE-2023-20569 | AMD CPU 寄件人地址预测器(也称为“Inception”),它描述新的推理侧信道攻击,该攻击可能导致在攻击者控制的地址进行推理执行。 此问题会影响某些 AMD 处理器,并可能导致信息泄漏。
为了帮助防范此漏洞,我们建议安装日期为 2023 年 8 月或之后的 Windows 更新,然后根据本知识库文章中提供的 CVE-2023-20569 和注册表项信息的要求采取措施。
有关详细信息,请参阅 AMD-SB-7005 安全公告。
2024 年 4 月 9 日,我们发布了 CVE-2022-0001 | Intel 分支历史记录注入,用于描述分支历史记录注入 (BHI),它是一种特定形式的模式内 BTI。 当攻击者在从用户模式转换为监督模式(或从 VMX 非根/来宾模式转换为根模式)之前,可能操纵分支历史记录时,会出现此漏洞。 此操作可能导致间接分支预测器为间接分支选择特定的预测器条目,并且预测目标处的泄漏小工具会暂时执行。 这可能是因为相关的分支历史记录可能包含在以前的安全上下文中创建的分支,尤其是其他预测器模式下。
Windows 客户端的迁移设置
安全公告 (ADV) 和 CVE 提供有关这些漏洞所带来的风险的信息,以及它们如何帮助确定 Windows 客户端系统的默认缓解状态。 下表总结了 CPU 微码的要求以及 Windows 客户端上缓解措施的默认状态。
CVE |
是否需要 CPU 微码/固件? |
缓解措施默认状态 |
---|---|---|
CVE-2017-5753 |
否 |
默认启用(无禁用选项) 有关其他信息,请参阅 ADV180002。 |
CVE-2017-5715 |
是 |
默认启用。 基于 AMD 处理器的系统的用户应参阅常见问题解答 #15,ARM 处理器的用户应参阅 ADV180002 上的常见问题解答 #20,以获取其他操作,以及参阅本知识库文章以了解适用的注册表项设置。 注意 默认情况下,如果已启用 Spectre Variant 2 (CVE-2017-5715),为运行 Windows 10 1809 或更高版本的设备启用“Retpoline”。 有关 Retpoline 的详细信息,请参阅在 Windows 上使用 Retpoline 缓解 Spectre Variant 2 的指南 博客文章。 |
CVE-2017-5754 |
否 |
默认启用 有关其他信息,请参阅 ADV180002。 |
CVE-2018-3639 |
Intel:是 AMD:否 ARM:是 |
Intel 和 AMD:默认禁用。 请参阅 ADV180012 了解更多信息,以及参阅本知识库文章了解适用的注册表项设置。 ARM:默认启用(无禁用选项)。 |
CVE-2019-11091 |
Intel:是 |
默认启用。 请参阅 ADV190013 了解详细信息,并参阅本文了解适用的注册表项设置。 |
CVE-2018-12126 |
Intel:是 |
默认启用。 请参阅 ADV190013 了解详细信息,并参阅本文了解适用的注册表项设置。 |
CVE-2018-12127 |
Intel:是 |
默认启用。 请参阅 ADV190013 了解详细信息,并参阅本文了解适用的注册表项设置。 |
CVE-2018-12130 |
Intel:是 |
默认启用。 请参阅 ADV190013 了解详细信息,并参阅本文了解适用的注册表项设置。 |
CVE-2019-11135 |
Intel:是 |
默认启用。 请参阅 CVE-2019-11135 了解详细信息,并参阅本文了解适用的注册表项设置。 |
CVE-2022-21123(MMIO 的一部分 ADV220002) |
Intel:是 |
Windows 10 版本 1809 及更高版本:默认启用。 Windows 10 版本 1607 及更早版本:默认禁用。请参阅 CVE-2022-21123 了解详细信息,并参阅本文了解适用的注册表项设置。 |
CVE-2022-21125(MMIO 的一部分ADV220002) |
Intel:是 |
Windows 10 版本 1809 及更高版本:默认启用。 Windows 10 版本 1607 及更早版本:默认禁用。有关详细信息,请参阅 CVE-2022-21125。 |
CVE-2022-21127(MMIO 的一部分ADV220002) |
Intel:是 |
Windows 10 版本 1809 及更高版本:默认启用。 Windows 10 版本 1607 及更早版本:默认禁用。有关详细信息,请参阅 CVE-2022-21127。 |
CVE-2022-21166(MMIO 的一部分ADV220002) |
Intel:是 |
Windows 10 版本 1809 及更高版本:默认启用。 Windows 10 版本 1607 及更早版本:默认禁用。有关详细信息,请参阅 CVE-2022-21166。 |
CVE-2022-23825(AMD CPU 分支类型混淆) |
AMD:否 |
请参阅 CVE-2022-23825 了解详细信息,并参阅本文了解适用的注册表项设置。 |
CVE-2023-20569 (AMD CPU 寄信人地址预测器) |
AMD:是 |
请参阅 CVE-2023-20569 了解详细信息,并参阅本文了解适用的注册表项设置。 |
Intel:否 |
默认禁用。 请参阅 CVE-2022-0001 了解详细信息,并参阅本文了解适用的注册表项设置。 |
注意: 默认情况下,启用关闭的缓解措施可能会影响设备性能。 实际的性能影响取决于多个因素,例如,设备中的特定芯片组和正在运行的工作负载。
注册表设置
我们将提供以下注册表信息以启用默认未启用的缓解措施,如安全通报 (ADV) 和 CVE。 此外,我们还为希望在适用于 Windows 客户端时禁用缓解措施的用户提供注册表项设置。
重要: 此部分(或称方法或任务)介绍了修改注册表的步骤。 但是,注册表修改不当可能会出现严重问题。 因此,请务必严格按照这些步骤操作。 为了加强保护,应先备份注册表,再进行修改。 如果出现问题,可以还原注册表。 有关如何备份和还原注册表的更多信息,请参阅以下 Microsoft 知识库文章:322756 如何在 Windows 中备份和还原注册表
重要: 默认情况下,如果已启用 Spectre Variant 2 (CVE-2017-5715),则在 Windows 10 版本 1809 设备上启用 Retpoline。 在最新版本的 Windows 10 上启用 Retpoline 可以针对 Spectre 变体 2 提高特别是在较旧处理器上运行 Windows 10 版本 1809 的设备的性能。
启用 CVE-2017-5715(Spectre 变体 2)和 CVE-2017-5754 (Meltdown) 的默认缓解措施 reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重启设备以使更改生效。 禁用 CVE-2017-5715(Spectre 变体 2)和 CVE-2017-5754 (Meltdown) 的缓解措施 reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重启设备以使更改生效。 |
注意: 将 FeatureSettingsOverrideMask 的值设置为 3 对于“启用”和“禁用”设置都是准确的。 (请参阅“常见问题解答”部分,了解有关注册表项的更多详细信息。)
禁用 CVE-2017-5715(Spectre 变体 2)的缓解措施: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重启设备以使更改生效。 启用 CVE-2017-5715(Spectre 变体 2)和 CVE-2017-5754 (Meltdown) 的默认缓解措施: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重启设备以使更改生效。 |
默认情况下,为 AMD 和 ARM CPU 禁用针对 CVE-2017-5715 的用户到内核保护。 必须启用缓解措施才能获得针对 CVE-2017-5715 的额外保护。 有关更多信息,请参阅 ADV180002 中的常见问题解答 #15(对于 AMD 处理器)和 ADV180002 中的常见问题解答 #20(对于 ARM 处理器)。
在 AMD 和 ARM 处理器上启用用户到内核的保护以及针对 CVE 2017-5715 的其他保护: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重启设备以使更改生效。 |
启用 CVE-2018-3639(推理存储绕过)的缓解措施以及 CVE-2017-5715(Spectre 变体 2)和 CVE-2017-5754 (Meltdown) 的默认缓解措施 reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重启设备以使更改生效。 注意: AMD 处理器不容易受到 CVE-2017-5754 (Meltdown) 的攻击。 此注册表项用于具有 AMD 处理器的系统,以便在 AMD 处理器上启用 CVE-2017-5715 的默认缓解措施以及 CVE-2018-3639 的缓解措施。 禁用 CVE-2018-3639(推理存储绕过)的缓解措施*以及* CVE-2017-5715(Spectre 变体 2)和 CVE-2017-5754 (Meltdown) 的缓解措施 reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重启设备以使更改生效。 |
默认情况下,为 AMD 处理器禁用针对 CVE-2017-5715 的用户到内核保护。 客户必须启用缓解措施才能获得针对 CVE-2017-5715 的额外保护。 有关详细信息,请参阅 ADV180002 中的 FAQ #15。
在 AMD 处理器上启用用户到内核保护以及针对 CVE 2017-5715 的保护和针对 CVE-2018-3639(推理存储绕过)的保护: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重启设备以使更改生效。 |
要为 Intel 事务同步扩展(Intel TSX)事务异步中止漏洞(CVE-2019-11135)和微架构数据采样( CVE-2019-11091 、 CVE-2018-12126 、 CVE-2018-12127 、 CVE-2018-12130)以及 Spectre (CVE-2017-5753 & CVE-2017-5715) 和 Meltdown (CVE-2017-5754) 变体(包括推测性存储绕过禁用(SSBD) (CVE-2018-3639) 以及 L1 终端故障(L1TF) (CVE-2018-3615、CVE-2018-3620 和 CVE-2018-3646) 启用缓解措施,而不禁用超线程: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 如果您安装了 Hyper-V 功能,请添加以下注册表设置: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f 如果这是 Hyper-V 主机并且已应用固件更新: 完全关闭所有虚拟机。 这允许在 VM 启动之前在主机上应用与固件相关的缓解措施。 因此,VM 在重启后也会更新。 重启设备以使更改生效。 要为 Intel 事务同步扩展(Intel TSX)事务异步中止漏洞(CVE-2019-11135)和微架构数据采样( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 )以及 Spectre (CVE-2017-5753 & CVE-2017-5715) 和 Meltdown (CVE-2017-5754) 变体(包括推测性存储绕过禁用(SSBD) (CVE-2018-3639) 以及 L1 终端故障(L1TF) (CVE-2018-3615、CVE-2018-3620 和 CVE-2018-3646) 启用缓解措施,并禁用超线程: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 如果您安装了 Hyper-V 功能,请添加以下注册表设置: reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f 如果这是 Hyper-V 主机并且已应用固件更新: 完全关闭所有虚拟机。 这允许在 VM 启动之前在主机上应用与固件相关的缓解措施。 因此,VM 在重启后也会更新。 重启设备以使更改生效。 为 Intel® 事务同步扩展 (Intel® TSX) 事务异步中止漏洞 (CVE-2019-11135) 和微架构数据采样 (CVE-2019-11091、CVE-2018-12126、CVE-2018-12127、CVE-2018-12130)及 Spectre(CVE-2017-5753 和 CVE-2017-5715)和 Meltdown (CVE-2017-5754) 变体,其中包括推理存储绕过禁用 (SSBD) (CVE-2018-3639) 以及 L1 终端故障 (L1TF)(CVE-2018-3615、CVE-2018-3620 和 CVE-2018-3646)禁用缓解: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重启设备以使更改生效。 |
若要在 AMD 处理器上为 CVE-2022-23825 启用缓解措施,请执行以下操作 :
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
要获得完全保护,客户可能还需要禁用超线程(也称为同时多线程(SMT))。 有关保护 Windows 设备的指南,请参阅 KB4073757 。
若要在 AMD 处理器上为 CVE-2023-20569 启用缓解措施,请执行以下操作:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
若要在 Intel 处理器上为 CVE-2022-0001 启用缓解措施,请执行以下操作:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
启用多个缓解措施
要启用多个缓解措施,必须同时添加每个缓解措施的 REG_DWORD 值。
例如:
适用于已禁用超线程情况下事务异步中止漏洞、微架构数据采样、Spectre、Meltdown、MMIO、推测性存储绕过禁用 (SSBD) 和 L1 终端故障 (L1TF) 的缓解措施 |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
注释 8264(十进制)= 0x2048(十六进制) 若要启用 BHI 和其他现有设置,需要将当前值的按位 OR 与 8,388,608 (0x800000)一起使用。 0x800000 OR 0x2048(十进制为 8264),它将变为 8,396,872 (0x802048)。 与 FeatureSettingsOverrideMask 相同。 |
|
适用于 Intel 处理器上 CVE-2022-0001 的缓解措施 |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
组合缓解 |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
适用于已禁用超线程情况下事务异步中止漏洞、微架构数据采样、Spectre、Meltdown、MMIO、推测性存储绕过禁用 (SSBD) 和 L1 终端故障 (L1TF) 的缓解措施 |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
适用于 Intel 处理器上 CVE-2022-0001 的缓解措施 |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
组合缓解 |
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
验证保护是否已启用
为了帮助验证是否已启用保护,我们发布了可在设备上运行的 PowerShell 脚本。 使用以下方法之一安装并运行脚本。
安装 PowerShell 模块: PS> Install-Module SpeculationControl 运行 PowerShell 模块以验证保护是否已启用: PS> # 保存当前执行策略以便重置 PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # 将执行策略重置为原始状态 PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
从 Technet 脚本中心安装 PowerShell 模块: 转到 https://aka.ms/SpeculationControlPS 将 SpeculationControl.zip 下载到本地文件夹。 将内容提取到本地文件夹,例如 C:\ADV180002 运行 PowerShell 模块以验证保护是否已启用: 启动 PowerShell,然后(使用上面的示例)复制并运行以下命令: PS> # 保存当前执行策略以便重置 PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # 将执行策略重置为原始状态 PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
有关 PowerShell 脚本输出的详细说明,请参阅 KB4074629。
常见问题
微码是通过固件更新提供的。 应向其 CPU(芯片组)和设备制造商咨询特定设备的适用固件安全更新的可用性,包括 Intel 的微码修订指南。
通过软件更新修复硬件漏洞存在重大挑战。 此外,较早操作系统的缓解措施需要大量的体系结构更改。 我们正在与受影响的芯片制造商合作,以确定提供缓解措施的最佳方式,这可能会在将来的更新中提供。
Microsoft Surface 设备的更新将通过 Windows 更新,与 Windows 操作系统的更新一起提供给客户。 有关可用 Surface 设备固件(微码)更新的列表,请参阅 KB4073065。
如果你的设备不是来自 Microsoft,请应用设备制造商提供的固件。 有关更多信息,请联系 OEM 设备制造商。
2018 年 2 月和 3 月,Microsoft 发布了对某些基于 x86 的系统的额外保护。 有关更多信息,请参阅 KB 4073757 和Microsoft 安全通报 ADV180002。
HoloLens 客户可通过 Windows 更新获取适用于 HoloLens 的 Windows 10 更新。
应用 2018 年 2 月 Windows 安全更新之后,HoloLens 客户不必采取任何其他措施来更新设备固件。 这些缓解措施应包含在适用于 HoloLens 的 Windows 10 的未来版本中。
不可以。 仅安全更新不是累积的。 根据你正在运行的操作系统版本,将必须安装每个月份的仅安全更新,以免受这些漏洞的影响。 例如,如果你在受影响的 Intel CPU 上运行 Windows 7(用于 32 位系统),则必须安装所有仅安全更新。 我们建议按照发布顺序安装这些仅安全更新。
注意 此常见问题解答的较早版本错误地指出,2 月仅安全更新包含 1 月发布的安全修补程序。 事实上,并不包含。
不可以。 安全更新 4078130 是一个特定的修补程序,可用于防止在安装微码后出现不可预知的系统行为、性能问题和/或意外重新启动。 在 Windows 客户端操作系统上应用 2 月份安全更新可启用所有三种缓解措施。
此问题已在 KB4093118 中解决。
AMD 最近宣布他们已经开始发布围绕 Specter 变体 2(CVE -2017-5715“分支目标注入”)的较新 CPU 平台的微码。 有关详细信息,请参阅 AMD 安全更新 和 AMD 白皮书:有关间接分支控制的体系结构准则。 这些内容可从 OEM 固件频道获得。
我们正在围绕 Spectre 变体 2(CVE-2017-5715“分支目标注入”)提供 Intel 验证的微码更新。 要通过 Windows 更新获取最新的 Intel 微码更新,客户必须在升级到 Windows 10 的 2018 年 4 月更新(版本 1803)之前,在运行 Windows 10 操作系统的设备上安装 Intel 微码。
如果在升级操作系统之前未在设备上安装微码更新,也可以直接从目录中获取微码更新。 可以通过 Windows 更新、WSUS 或 Microsoft 更新目录获取 Intel 微码。 有关详细信息和下载说明,请参阅 KB4100347。
有关更多信息,请参阅以下资源:
-
ADV180012 | Microsoft 推测性存储绕过指南(适用于 CVE-2018-3639)
-
ADV180013 | 适用于CVE-2018-3640 和 KB4073065 的 Microsoft 恶意系统寄存器读取指南
为验证 SSBD 的状态,已更新 Get-SpeculationControlSettings PowerShell 脚本以检测受影响的处理器、SSBD 操作系统更新的状态和处理器微码的状态(如果适用)。 要获取详细信息和 PowerShell 脚本,请参阅 KB4074629。
2018 年 6 月 13 日,我们宣布了另外一个涉及侧信道推理执行的漏洞(称为“Lazy FP 状态还原”)并指定为 CVE-2018-3665。 Lazy 还原 FP 还原不需要任何配置(注册表)设置。
有关此漏洞和建议操作的更多信息,请参阅安全通报 ADV180016 | Microsoft Lazy FP 状态还原指南。
注意: Lazy 还原 FP 还原不需要任何配置(注册表)设置。
边界检查绕过存储 (BCBS) 于 2018 年 7 月 10 日披露,并指定为 CVE-2018-3693。 我们认为 BCBS 与边界检查绕过(变体 1)属于同一类漏洞。 我们目前尚未发现我们的软件中存在任何 BCBS 实例,但我们正在继续研究此漏洞类别,并将与行业合作伙伴合作以发布所需的缓解措施。 我们将继续鼓励研究人员向 Microsoft 的推理执行侧信道奖励计划提交任何相关研究结果,包括任何可利用的 BCBS 实例。 软件开发人员应查看已为 BCBS 更新的开发人员指南,网址为:https://aka.ms/sescdevguide。
2018 年 8 月 14 日,我们宣布了 L1 终端故障 (L1TF) 并指定为多个 CVE。 这些新的推理执行侧信道漏洞可用于读取跨越受信任边界的内存内容,如果被利用,可能会导致信息泄漏。 攻击者可以通过多种途径触发漏洞,具体取决于配置的环境。 L1TF 会影响 Intel® Core® 处理器和 Intel® Xeon® 处理器。
有关此漏洞的更多信息以及受影响方案的详细视图(包括 Microsoft 缓解 L1TF 的方法),请参阅以下资源:
使用 64 位 ARM 处理器的客户应与设备 OEM 联系以获取固件支持,因为缓解 CVE-2017-5715“分支目标注入”(Spectre 变体 2)的 ARM64 操作系统保护需要设备 OEM 提供的最新固件更新才能生效。
有关更多信息,请参阅以下安全通报
有关更多信息,请参阅以下安全通报
有关进一步指导,请参阅 防御推测性执行侧信道漏洞的 Windows 指南
有关指导,请参阅防御推理执行侧信道漏洞的 Windows 指导
有关 Azure 指南,请参阅本文:有关在 Azure 中缓解推测性执行侧信道漏洞的指南。
有关 Retpoline 启用的详细信息,请参阅我们的博客文章:使用 Windows 上的 Retpoline 缓解 Spectre Variant 2。
有关此漏洞的详细信息,请参阅 Microsoft 安全指南: CVE-2019-1125 | Windows 内核信息泄漏漏洞。
我们未发现影响云服务基础设施的此信息泄漏漏洞的任何实例。
我们一经发现此问题,就会迅速进行解决并发布更新。 我们坚信与研究人员和行业合作伙伴建立密切的合作伙伴关系,以使客户更加安全,并且在 8 月 6 日星期二之前不发布详细信息,与协调漏洞披露做法一致。
有关进一步指导,请参阅防御推理执行侧信道漏洞的 Windows 指导。
有关进一步指导,请参阅防御推理执行侧信道漏洞的 Windows 指导。
有关更多指南,请参阅有关禁用 Intel® 事务同步扩展 (Intel® TSX) 功能的指南。
参考
我们提供了第三方联系信息,以便你寻求技术支持。 该联系信息如有更改,恕不另行通知。 我们不保证此第三方联系信息的准确性。