簡介
自 2018 年 1 月起,Surface 小組已針對一系列晶片型問題發佈韌體更新,這些問題涉及 microarchitectural 和推測執行旁路弱點。 Surface 小組會持續與 Windows 小組和產業合作夥伴密切合作,以保護客戶。 若要取得所有可用的保護,則必須安裝韌體和 Windows 系統更新。
摘要
Surface 小組發現新的晶片型微architectural和推測執行旁路攻擊變體也會影響 Surface 產品。 如需有關弱點及緩和措施的詳細資訊,請參閱下列資訊安全諮詢:
我們正與我們的合作夥伴合作,在確保更新符合品質需求時,立即提供 Surface 產品的更新。
如需有關 Surface 裝置更新的詳細資訊,請參閱 Surface 更新記錄。
Surface 小組發現新的推測執行旁路攻擊變體,也會影響 Surface 產品。 這些弱點的降低功能需要操作系統更新,以及包含新微碼的 Surface UEFI 更新。 如需有關弱點及緩和措施的詳細資訊,請參閱下列資訊安全諮詢:
-
此建議包含下列弱點:
除了安裝 Windows 作業系統安全性更新之外,Surface 還已透過 Windows Update 和下列裝置的下載中心發行 UEFI 更新:
-
Surface 3 - 2019 年 7 月 11 日更新
-
Surface Pro 3 - 2019 年 7 月 11 日更新
-
Surface Pro 4 - 2019 年 6 月 27 日更新
-
Surface Book - 2019 年 6 月 27 日更新
-
Surface Studio - 2019 年 7 月 11 日更新
-
Surface Pro (第 5 代) - 2019 年 6 月 27 日更新
-
Surface Laptop - 2019 年 6 月 27 日更新
-
Surface Book 2 - 2019 年 6 月 27 日更新
-
Surface Pro 6 - 2019 年 6 月 27 日更新
-
Surface Laptop 2 - 2019 年 6 月 27 日更新
-
Surface Studio 2- 2019 年 7 月 31 日更新
-
Surface GO WiFi - 2019 年 7 月 23 日更新
-
Surface GO LTE - 2019 年 7 月 23 日更新
除了新的微碼之外,安裝 UEFI 更新時,還會提供稱為「同時多線程 (SMT) 」的新 UEFI 設定。 此設定可讓使用者停用 Hyper-Threading。
注意事項
-
如果您決定停用 Hyper-Threading,建議您使用新的 SMT UEFI 設定。
-
停用 SMT 可針對這些新的弱點和先前宣佈的 L1 終端機故障 攻擊提供額外的防護。 不過,此方法也會影響裝置的效能。
-
Surface 3 和配備 Intel Core i5 的 Surface Studio 沒有 SMT。 因此,這些裝置並沒有這個新設定。
-
Microsoft Surface 企業管理模式 (SEMM) UEFI 設定工具版本 2.43.139 或更新版本支援新的 SMT 設定。 您可以從 這個網頁下載工具。 下載下列必要工具:
-
SurfaceUEFI_Configurator_v2.43.139.0.msi
-
SurfaceUEFI_Manager_v2.43.139.0.msi
-
Surface 小組發現新的推測執行旁路攻擊稱為 L1 Terminal Fault (L1TF) 並指派 CVE-2018-3620 (OS 和 SMM) 和 CVE-2018-3646 (VMM) 。 Affected Surface products are the same as in the “Vulnerabilities Announced in May 2018” section of this article. 減輕 2018 年 5 月結果微碼更新也減輕了 L1TF (CVE-2018-3646) 。 如需有關弱點及緩和措施的詳細資訊,請參閱下列資訊安全諮詢:
-
此建議包含下列弱點:
安全性建議建議建議使用虛擬化型安全性 (VBS) ,包括認證防護和裝置防護等安全性功能的客戶,應考慮停用 Hyper-Threading,以完全消除 L1TF 的風險。
Surface 團隊已經得知新的理論式執行端通道攻擊變體也會影響 Surface 產品。 那些弱點的緩和措施需要使用新微碼的 UEFI 更新。 如需有關弱點及緩和措施的詳細資訊,請參閱下列資訊安全諮詢:
-
此建議包括下列弱點:
-
此建議包括下列弱點:
除了安裝 Windows 作業系統安全性更新之外,Surface 還已透過 Windows Update 和下列裝置的下載中心發行 UEFI 更新:
-
Surface Book 2 - 2018 年 8 月 1 日更新
-
Surface Book - 2018 年 8 月 21 日更新
-
Surface Laptop - 2018 年 7 月 25 日更新
-
Surface Studio - 2018 年 10 月 1 日更新
-
Surface Pro 4 - 2018 年 7 月 25 日更新
-
Surface Pro 3 - 2018 年 8 月 7 日更新
-
Surface Pro 型號 1796 和配備進階 LTE 型號 1807 的 Surface Pro - 2018 年 7 月 26 日更新
Surface 小組已經發現公開公開公開的弱點類別,這些弱點牽涉到推測執行旁路 (稱為 Spectre 和 Meltdown) ,這些弱點會影響許多新式處理器和操作系統,包括 Intel、AMD 和 ARM。 如需有關弱點及緩和措施的詳細資訊,請參閱下列資訊安全諮詢:
如需 Windows 軟體更新的詳細資訊,請參閱下列知識庫文章:
除了安裝 1 月 3 日 Windows 作業系統安全性更新以外,Surface 已經透過 Windows Update 和下載中心,為下列裝置發行 UEFI 更新:
-
Surface Book 2 - (更新記錄)
-
Surface Book - (更新記錄)
-
Surface Laptop - (更新歷程 記錄)
-
Surface Studio - (更新歷程 記錄)
-
Surface Pro 4 - (更新記錄)
-
Surface Pro 3 - (更新記錄)
-
Surface 3 - (更新記錄)
-
Surface Pro 型號 1796 和配備進階 LTE 型號 1807 的 Surface Pro- (更新記錄)
這些更新適用於執行 Windows 10 Creators Update (組建 15063) 和更新版本的裝置。
其他相關資訊
Surface Hub 作業系統 Windows 10 小組已實作深度防禦策略。 因此,我們認為在執行 Windows 10 小組作業系統時,Surface Hub 上使用這些弱點的惡意探索會大幅減少。 如需詳細資訊,請參閱 Windows IT 專業人員中心網站上的下列主題: Surface Hub 與 Windows 10 企業版之間的差異。
Surface 團隊的重點在於,確保我們的使用者擁有安全和可靠的使用體驗。 我們將繼續視需要監視和更新裝置,以解決這些弱點,並讓裝置保持可靠且安全。
參考
我們提供協力廠商的連絡資訊,協助您尋找技術支援。 此連絡資訊若有變更,恕不另行通知。 我們不保證此協力廠商連絡資訊的正確性。