變更日期 |
變更描述 |
2023 年 7 月 19 日 |
|
2023 年 8 月 8 日 |
|
2023 年 8 月 9 日 |
|
2024 年 4 月 9 日 |
|
2024 年 4 月 16 日 |
|
摘要
本文提供影響許多新式處理器和作業系統的全新級別晶片型微系統結構化與推測執行旁路弱點的指引。 這包括 Intel、AMD 和 ARM。 您可以在下列 ADV (安全性建議) 和 CVE (常見弱點與暴露風險) 中找到這些晶片型弱點的特定詳細資料:
重要: 這個問題也影響其他作業系統,例如 Android、Chrome、iOS 和 macOS。 因此,建議客戶向那些廠商尋找指引。
我們已經發行數個更新,可協助防範這些弱點。 我們也已採取行動,保護我們的雲端服務。 請參閱下列章節,了解詳細資訊。
我們尚未收到任何資訊,指出客戶已遭受這些弱點的攻擊。 我們會持續與晶片製造商、硬體 OEM 和應用程式廠商等業界合作夥伴密切合作,一同保護客戶。 若要取得所有可用的保護,則必須安裝韌體 (微碼) 和軟體更新。 這包括來自裝置 OEM 的微碼,在某些情況下,還包括防毒軟體的更新。
本文解決下列弱點:
Windows Update 也將提供 Internet Explorer 和 Edge 緩和措施。 我們會持續改善這些緩和措施,以防範這個弱點等級。
若要深入了解這個弱點等級,請參閱下列內容:
安全性漏洞
2019 年 5 月 14 日,Intel 已發佈有關名為「微結構資料取樣」之理論式執行端通道弱點新子類別的資訊。 這些弱點會在下列 CVE 中解決:
重要: 這些問題將會影響其他作業系統,例如 Android、Chrome、iOS 和 MacOS。 建議您向這些個別廠商尋找指引。
我們已經發行更新,可協助防範這些弱點。 若要取得所有可用的保護,則必須安裝韌體 (微碼) 和軟體更新。 這包括來自裝置 OEM 的微碼。 在某些情況下,安裝這些更新將會對效能造成影響。 我們也已採取行動,保護我們的雲端服務。 強烈建議您部署這些更新。
如需有關這個問題的詳細資訊,請參閱下列資訊安全諮詢,並運用案例指引,判斷防範威脅所需執行的動作:
附註: 建議您在安裝任何微碼更新之前,先安裝 Windows Update 中所有的最新更新。
Intel 已於 2019 年 8 月 6 日發行有關 Windows 核心資訊洩漏弱點的詳細資訊。 這個弱點是 Spectre Variant 1 推測執行旁路的變體,並且已指派CVE-2019-1125。
2019 年 7 月 9 日,我們已為 Windows 作業系統發行安全性更新,以協助防範此問題。 請注意,我們直到 2019 年 8 月 6 日星期二業界協調的公佈時間,才公開記載這項緩和措施。
若客戶已啟用 Windows Update 並套用 2019 年 7 月 9 日發行的安全性更新,則會自動受到保護。 不需要進行進一步設定。
附註: 此弱點不需要裝置製造商 (OEM) 的微碼更新。
如需有關此弱點和適用更新的詳細資訊,請參閱 Microsoft 安全性更新導覽:
於 2019 年 11 月 12 日,英特爾發佈了有關英特爾事務同步擴 (Intel TSX) 交易非同步中止弱點的技術公告,該弱點被分配為 CVE-2019-11135。 我們已經發行更新,可協助防範此弱點。 根據預設,Windows 用戶端作業系統版本會啟用作業系統保護。
我們已在 2022 年 6 月 14 日發佈ADV220002 |有關 Intel 處理器 MMIO 過時資料弱點的 Microsoft 指引。 這些弱點會在下列 CVE 中指派:
建議動作
您應採取下列動作,以協助防範這些弱點:
-
套用所有可用的 Windows 作業系統更新,其中包括每月 Windows 安全性更新。
-
套用裝置製造商所提供的適用韌體 (微碼) 更新。
-
除了本文中提供的資訊外,請根據 Microsoft 安全性建議 ADV180002、ADV180012、ADV190013 和 ADV220002 來評估您的環境風險。
-
運用諮詢和本文提供的登錄機碼資訊視需要採取動作。
附註: Surface 客戶將會透過 Windows Update 接收微碼更新。 如需最新可用 Surface 裝置韌體 (微碼) 更新的清單,請參閱 KB4073065。
我們已在 2022 年 7 月 12 日發佈 CVE-2022-23825 | AMD CPU 分支類型混淆,描述分支預測器中的別名可能會導致某些 AMD 處理器預測錯誤的分支類型。 此問題可能會導致資訊洩漏。
為了協助防範此弱點,建議您安裝日期為 2022 年 7 月或之後的 Windows 更新,然後按照本知識庫文章中所提供的 CVE-2022-23825 和登錄機碼資訊的要求來執行動作。
如需詳細資訊,請參閱 AMD-SB-1037 安全性佈告欄。
我們已在 2023 年 8 月 8 日發佈 CVE-2023-20569 | AMD CPU 傳回位址預測器 (也稱為「Inception」),它描述新的推測端通道攻擊,可能會導致攻擊者控制之位址的推測執行。 此問題會影響特定 AMD 處理器,並可能導致資訊洩漏。
為了協助防範此弱點,建議您安裝日期為 2023 年 8 月或之後的 Windows 更新,然後按照本知識庫文章中所提供的 CVE-2023-20569 和登錄機碼資訊的要求來執行動作。
如需詳細資訊,請參閱 AMD-SB-7005 安全性佈告欄。
我們已在 2024 年 4 月 9 日發佈 CVE-2022-0001 | Intel 分支歷程記錄注入 其描述分支歷程記錄 (BHI),這是一種特定形式的內部模式 BTI。 當攻擊者可能會在從使用者轉換到主管模式 (或從 VMX 非根/來賓轉換為根模式) 之前,先操作分支歷程記錄時,就會發生此弱點。 此操作可能會導致間接分支預測器為間接分支選取特定的預測器項目,而預測目標的揭露小工具將暫時執行。 這可能是因為相關的分支歷程記錄可能包含先前安全性內容中所採用的分支,尤其是其他預測器模式。
適用於 Windows 用戶端的緩和措施設定
安全性諮詢 (ADV) 和 CVE提供有關這些弱點所造成風險的資訊,以及可協助您識別適用於 Windows 用戶端系統的緩和措施預設狀態的方法。 下列表格摘要說明 CPU 微碼的需求和 Windows 用戶端上的緩和措施預設狀態。
CVE |
需要 CPU 微碼/韌體? |
緩和措施預設狀態 |
---|---|---|
CVE-2017-5753 |
否 |
預設為啟用 (無停用選項) 請參閱 ADV180002,以取得其他資訊。 |
CVE-2017-5715 |
是 |
預設為啟用。 使用者若使用配備 AMD 處理器的系統,請參閱<常見問題集>的問題 15,對於使用 ARM 處理器的使用者,則請參閱 ADV180002 上<常見問題集>的問題 20 以了解其他動作,並參閱這篇知識庫文章,以取得適用的登錄機碼設定。 附註: 根據預設,Retpoline 在執行 Windows 10 版本 1809 或更新版本的裝置上預設為啟用 (若已啟用 Spectre Variant 2 (CVE-2017-5715))。 如需有關 Retpoline 的詳細資訊,請參閱在 Windows 使用 Retpoline 防範 Spectre Variant 2 (英文) 部落格文章中的指引。 |
CVE-2017-5754 |
否 |
預設為啟用 請參閱 ADV180002,以取得其他資訊。 |
CVE-2018-3639 |
Intel:是 AMD:否 ARM:是 |
Intel 和 AMD: 預設為停用。 請參閱 ADV180012,以了解詳細資訊,並參閱這篇知識庫文章,以取得適用的登錄機碼設定。 ARM: 預設為啟用且無停用選項。 |
CVE-2019-11091 |
Intel: 是 |
預設為啟用。 請參閱 ADV190013,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定。 |
CVE-2018-12126 |
Intel: 是 |
預設為啟用。 請參閱 ADV190013,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定。 |
CVE-2018-12127 |
Intel: 是 |
預設為啟用。 請參閱 ADV190013,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定。 |
CVE-2018-12130 |
Intel: 是 |
預設為啟用。 請參閱 ADV190013,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定。 |
CVE-2019-11135 |
Intel: 是 |
預設為啟用。 請參閱 CVE-2019-11135 以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定。 |
CVE-2022-21123 (MMIO ADV220002 部分) |
Intel: 是 |
Windows 10 版本 1809 及更新版本: 預設為啟用。 Windows 10 版本 1607 及更早版本: 預設為停用。請參閱 CVE-2022-21123,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定。 |
CVE-2022-21125 (MMIO ADV220002 部分) |
Intel: 是 |
Windows 10 版本 1809 及更新版本: 預設為啟用。 Windows 10 版本 1607 及更早版本: 預設為停用。請參閱 CVE-2022-21125 以取得詳細資訊。 |
CVE-2022-21127 (MMIO ADV220002 部分) |
Intel: 是 |
Windows 10 版本 1809 及更新版本: 預設為啟用。 Windows 10 版本 1607 及更早版本: 預設為停用。請參閱 CVE-2022-21127 以取得詳細資訊。 |
CVE-2022-21166 (MMIO ADV220002 部分) |
Intel: 是 |
Windows 10 版本 1809 及更新版本: 預設為啟用。 Windows 10 版本 1607 及更早版本: 預設為停用。請參閱 CVE-2022-21166 以取得詳細資訊。 |
CVE-2022-23825 (AMD CPU 分支類型混淆) |
AMD: 否 |
請參閱 CVE-2022-23825,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定。 |
CVE-2023-20569 (AMD CPU 傳回位址預測器) |
AMD:是 |
請參閱 CVE-2023-20569,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定。 |
Intel: 否 |
預設為停用。 請參閱 CVE-2022-0001,以取得詳細資訊,並參閱本文以了解適用的登錄機碼設定。 |
附註: 啟用預設為停用的風險降低措施可能會影響裝置效能。 實際的效能影響取決於多個因素,例如裝置中的特定晶片組,以及執行的工作負載。
登錄設定
下列提供的登錄資訊可用來啟用如資訊安全諮詢 (ADV) 和 CVE 所述,未預設為啟用的緩和措施。 此外,若使用者想要停用適用於 Windows 用戶端的緩和措施,我們提供的下列登錄機碼設定可供參考。
重要: 這個章節、方法或工作包含修改登錄的步驟。 然而,不當修改登錄可能會發生嚴重的問題。 因此,請務必謹慎地依照這些步驟執行。 為了有多一層保護,請先備份登錄再進行修改。 如此一來,您就可以在發生問題時還原登錄。 如需有關如何備份和還原登錄的詳細資訊,請參閱 Microsoft 知識庫中的下列文章: 322756 如何在 Windows 中備份及還原登錄
重要: Retpoline 在 Windows 10 版本 1809 裝置上預設為啟用 (若 Spectre Variant 2 (CVE-2017-5715) 已啟用)。 在最新 Windows 10 版本上啟用 Retpoline 以防範 Spectre Variant 2,可能會提升執行 Windows 10 1809 版的裝置效能,對於舊版處理器更是顯著。
若要啟用 CVE-2017-5715 (Spectre Variant 2) 和 CVE-2017-5754 (Meltdown) 的預設緩和措施 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動裝置讓變更生效。 若要停用 CVE-2017-5715 (Spectre Variant 2) 和 CVE-2017-5754 (Meltdown) 的緩和措施 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動裝置讓變更生效。 |
附註: 將 FeatureSettingsOverrideMask 設定為 3 的值對於「啟用」和「停用」設定都是正確的。 (請參閱<常見問題集>,取得有關登錄機碼的詳細資訊)。
若要停用 CVE-2017-5715 (Spectre Variant 2) 的緩和措施: 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動裝置讓變更生效。 若要啟用 CVE-2017-5715 (Spectre Variant 2) 和 CVE-2017-5754 (Meltdown) 的預設緩和措施: 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動裝置讓變更生效。 |
根據預設,AMD 和 ARM CPU 對 CVE-2017-5715 的使用者至核心保護是停用的。 您必須啟用緩和措施,才能收到對 CVE-2017-5715 的其他保護。 如需詳細資訊,針對 ARM 處理器,請參閱 ADV180002 中的<常見問題集>的問題 15,針對 ARM 處理器,請參閱 ADV180002 中的<常見問題集>的問題 20。
在 AMD 和 ARM 處理器上啟用使用者至核心保護,以及對 CVE 2017-5715 的其他保護: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動裝置讓變更生效。 |
若要啟用 CVE-2018-3639 (理論式儲存略過) 的緩和措施、CVE-2017-5715 (Spectre Variant 2) 和 CVE-2017-5754 (Meltdown) 的預設緩和措施: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動裝置讓變更生效。 注意: AMD 處理器不易受 CVE-2017-5754 (Meltdown) 攻擊。 這個登錄機碼可以用於配備 AMD 處理器的系統,以啟用 AMD 處理器上 CVE-2017-5715 的預設緩和措施及 CVE-2018-3639 的緩和措施。 若要停用 CVE-2018-3639 (理論式儲存略過)、CVE-2017-5715 (Spectre Variant 2) 和 CVE-2017-5754 (Meltdown) 的緩和措施 reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動裝置讓變更生效。 |
根據預設,AMD 處理器對 CVE-2017-5715 的使用者至核心保護是停用的。 客戶必須啟用緩和措施,才能收到對 CVE-2017-5715 的其他保護。 如需詳細資訊,請參閱 ADV180002 中<常見問題集>的問題 15。
在 AMD 處理器上啟用使用者至核心保護,以及對 CVE 2017-5715 的其他保護和對 CVE 2018-3639 (理論式儲存略過) 的保護: reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動裝置讓變更生效。 |
若要啟用英特爾®事務同步擴展 (Intel TSX) 交易非同步中止弱點 (CVE-2019-11135) 及微結構資料取樣 (CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130) 以及 Spectre (CVE-2017-5753 & CVE-2017-5715) 和 Meltdown (CVE-2017-5754) 變體,包括推測儲存旁路停用 (SSBD) (CVE-2018-3639) 以及 L1 終端機錯誤 (L1TF) (CVE-2018-3615、CVE-2018-3620 及 CVE-2018-3646) 的風險降低措施,而不停用超執行緒: 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 如果已安裝 Hyper-V 功能,請新增下列登錄設定: 登錄新增 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f 如果這是 Hyper-V 主機且已經套用韌體更新: 完全關閉所有虛擬機器。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此,重新啟動時 VM 也會更新。 重新啟動裝置讓變更生效。 若要啟用英特爾事務同步擴展 (Intel TSX) 交易非同步中止漏洞 (CVE-2019-11135) 和微結構資料取樣 ( CVE-2019-11091、CVE-2018-12126、CVE-2018-12127、CVE-2018-12130 ) 以及 Spectre (CVE-2017-5753 & CVE-2017-5715) 和 Meltdown (CVE-2017-5754) 變體,包括推測儲存旁路停用 (SSBD) (CVE-2018-3639) 以及 L1 終端機錯誤 (L1TF) (CVE-2018-3615、CVE-2018-3620 和 CVE-2018-3646) 的風險降低措施,並且停用超執行緒: 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 如果已安裝 Hyper-V 功能,請新增下列登錄設定: 登錄新增 "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f 如果這是 Hyper-V 主機且已套用韌體更新: 將所有虛擬機器完全關機。 這樣可以在 VM 啟動前在主機上套用韌體相關緩和措施。 因此,重新啟動時 VM 也會更新。 重新啟動裝置讓變更生效。 若要停用英特爾®事務同步擴展(英特爾® TSX)事務非同步中止漏洞 (CVE-2019-11135)和微結構資料取樣 ( CVE-2019-11091、CVE-2018-12126、CVE-2018-12127、CVE-2018-12130 ) 以及 Spectre (CVE-2017-5753 & CVE-2017-5715) 和 Meltdown [CVE-2017-5754] 變種,包括理論式儲存旁路停用(SSBD) (CVE-2018-3639) 以及 L1 終端機錯誤 (L1TF) (CVE-2018-3615、CVE-2018-3620 和 CVE-2018-3646) 的緩和措施: 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f 登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 重新啟動裝置讓變更生效。 |
若要在 AMD 處理器上啟用 CVE-2022-23825 風險降低 :
登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f
登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
若要受到完整保護,客戶可能也需要停用超執行緒 (也稱為同步多執行緒 (SMT))。 如需有關保護 Windows 裝置的指引,請參閱 KB4073757。
若要在 AMD 處理器上啟用 CVE-2023-20569 風險降低:
登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f
登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
若要在 Intel 處理器上啟用 CVE-2022-0001 風險降低:
登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
登錄新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
啟用多重風險降低
若要啟用多種風險降低,您必須新增每個風險降低的 REG_DWORD 值。
例如:
交易非同步中止弱點的風險降低、微結構資料取樣、Spectre、Meltdown、MMIO、推測儲存旁路停用 (SSBD),以及已停用超執行緒的 L1 終端機錯誤 (L1TF) |
reg 新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f |
備註 8264 (十進位) = 0x2048 (十六進位) 若要啟用 BHI 及其他現有設定,您必須以 8,388,608 (0x800000) 使用目前值的位元 OR。 0x800000 OR 0x2048 (十進位為 8264),它會變成 8,396,872 (0x802048)。 與 FeatureSettingsOverrideMask 相同。 |
|
Intel 處理器上 CVE-2022-0001 的風險降低 |
reg 新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f |
合併的風險降低 |
reg 新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00802048 /f |
交易非同步中止弱點的風險降低、微結構資料取樣、Spectre、Meltdown、MMIO、推測儲存旁路停用 (SSBD),以及已停用超執行緒的 L1 終端機錯誤 (L1TF) |
reg 新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f" |
Intel 處理器上 CVE-2022-0001 的風險降低 |
reg 新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
合併的風險降低 |
reg 新增 "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f |
確認已啟用保護
為協助客戶驗證已啟用保護,我們已經發行 PowerShell 指令碼,可讓您在您的裝置上執行。 使用下列其中一種方法來安裝及執行指令碼。
安裝 PowerShell 模組: PS> Install-Module SpeculationControl 執行 PowerShell 模組,以驗證已啟用保護: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> Import-Module SpeculationControl PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
安裝 Technet 指令碼中心的 PowerShell 模組: 移至 https://aka.ms/SpeculationControlPS 將 SpeculationControl.zip 下載到本機資料夾。 將內容解壓縮到本機資料夾,例如 C:\ADV180002 執行 PowerShell 模組,以驗證已啟用保護: 啟動 PowerShell,然後 (使用先前的範例) 複製並執行下列命令: PS> # Save the current execution policy so it can be reset PS> $SaveExecutionPolicy = Get-ExecutionPolicy PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser PS> CD C:\ADV180002\SpeculationControl PS> Import-Module .\SpeculationControl.psd1 PS> Get-SpeculationControlSettings PS> # Reset the execution policy to the original state PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser |
如需有關 PowerShell 指令碼輸出的詳細說明,請參閱 KB4074629。
常見問題集
微碼是透過韌體更新提供。 您應洽詢您的 CPU (晶片組) 及裝置製造商,了解是否有特定裝置適用的韌體安全性更新可供使用,其中包括 Intel Microcode 修訂指南。
透過軟體更新解決硬體弱點會帶來許多挑戰。 此外,適用於舊版作業系統的緩和措施也需要進行大規模的架構變更。 我們會與受影響的晶片製造商合作,決定未來以更新形式提供緩和措施的最佳方式。
Microsoft Surface 裝置的更新將會與 Windows 作業系統的更新,一起透過 Windows Update 提供給客戶。 如需可用 Surface 裝置韌體 (微碼) 更新的清單,請參閱 KB4073065。
如果您的裝置並非 Microsoft 所出產,請套用裝置製造商提供的韌體。 如需詳細資訊,請與 OEM 裝置製造商連絡。
Microsoft 已於 2018 年 2 月和 3 月,針對部分 x86 型系統發行額外保護。 如需詳細資訊,請參閱 KB4073757 和 Microsoft 安全性諮詢 ADV180002。
HoloLens 客戶可以透過 Windows Update 取得適用於 Windows 10 HoloLens 的更新。
套用 2018 年 2 月 Windows 安全性更新之後,HoloLens 客戶不必採取任何其他動作來更新他們的裝置韌體。 這些緩和措施也會隨附於 Windows 10 HoloLens 未來的所有版本。
否。 僅限安全性更新不是累積更新。 視您執行的作業系統版本而定,您必須安裝所有每月僅限安全性更新,才能防範這些弱點。 例如,如果您在受影響的 Intel CPU 上執行適用於 32 位元系統的 Windows 7,則必須安裝所有僅限安全性更新。 建議您依發行順序安裝這些僅限安全性更新。
附註: 先前的<常見問題集>版本不正確地指出,2 月僅限安全性更新包含 1 月發行的安全性修正程式。 其實並非如此。
否。 安全性更新 4078130 是特定的修正程式,用來防範安裝微碼後出現無法預測的系統行為、效能問題及/或未預期的重新開機。 在 Windows 用戶端作業系統上套用 2 月安全性更新,可啟用全部三個緩和措施。
此問題已在 KB4093118 解決。
AMD 最近宣布,他們已開始針對 Spectre Variant 2 (CVE-2017-5715 分支目標導入) 發行適用於新版 CPU 平台的微碼。 如需詳細資訊,請參閱 AMD 安全性更新 和 AMD 白皮書: 有關間分支接控制的架構指引。 這些可從 OEM 韌體管道取得。
我們會推出經過 Intel 驗證、與 Spectre Variant 2 (CVE-2017-5715「分支目標導入」) 有關的微碼更新。 若要透過 Windows Update 取得最新的 Intel 微碼更新,執行 Windows 10 作業系統的裝置在升級為 Windows 10 2018 年 4 月更新 (版本 1803) 之前,必須先安裝 Intel 微碼。
此外,升級作業系統之前,也可以從 Catalog 直接取得微碼更新 (若未安裝)。 Intel 微碼會透過 Windows Update、WSUS 或 Microsoft Update Catalog 提供使用。 如需詳細資訊及下載指示,請參閱 KB4100347。
如需詳細資訊,請參閱下列資源:
-
ADV180012 | 適用於 CVE-2018-3639 的推測儲存旁路的 Microsoft 指引
-
ADV180013 | 適用於 CVE-2018-3640 和 KB4073065 的 Rogue 系統登錄讀取的 Microsoft 指引
如需詳細資訊,請參閱 ADV180012 | 適用於理論式儲存略過的 Microsoft 指引中的<建議動作>和<常見問題集>章節。
若要確認 SSBD 的狀態,Get-SpeculationControlSettings PowerShell 指令碼已經過更新,可偵測受影響的處理器、SSBD 作業系統更新的狀態,以及處理器微碼的狀態 (若適用)。 如需詳細資訊,並且若要取得 PowerShell 指令碼,請參閱 KB4074629。
在 2018 年 6 月 13 日,我們宣布另一個與側通道理論式執行有關、名為「消極式 FP 狀態還原」的弱點,並指派為 CVE-2018-3665。 消極式還原 FP 還原不需要設定 (登錄) 設定。
如需有關這個弱點和建議動作的詳細資訊,請參閱安全性諮詢 ADV180016 | 適用於消極式 FP 狀態還原的 Microsoft 指引。
附註: 消極式還原 FP 還原不需要設定 (登錄) 設定。
「範圍檢查略過存放區」(Bounds Check Bypass Store,BCBS) 已於 2018 年 7 月 10 日揭露,並指派為 CVE-2018-3693。 我們認為 BCBS 與範圍檢查略過 (Variant 1) 屬於同一類型的弱點。 目前我們的軟體中尚未發現 BCBS 實例,但我們會繼續研究這一弱點類型並與業界合作夥伴合作,根據需要發行緩和措施。 我們會繼續鼓勵研究人員向 Microsoft 理論式執行端通道獎金計劃 (英文) 提交任何相關發現,包括任何可利用進行攻擊的 BCBS 實例。 軟體開發人員應在 https://aka.ms/sescdevguide 檢閱已針對 BCBS 進行更新的開發人員指引。
在 2018 年 8 月 14 日,我們已宣布 L1 終端機錯誤 (L1TF) 並指派多個 CVE。 這些新的理論式執行端通道弱點可能會用來讀取受信任邊界間的記憶體內容,並且若遭到利用,可能導致資訊洩漏。 攻擊者可能會透過多個媒介來觸發弱點,視設定的環境而定。 L1TF 會影響 Intel® Core® 處理器和 Intel® Xeon® 處理器。
如需有關此弱點的詳細資訊,以及受影響案例的詳細概觀,包括 Microsoft 防範 L1TF 的方法,請參閱下列資源:
若客戶使用 64 位元 ARM 處理器,建議洽詢裝置 OEM 以取得韌體支援,因為採用可防範 CVE-2017-5715 - 分支目標導入 (Spectre,Variant 2) 的 ARM64 作業系統保護時,必須具備裝置 OEM 提供的最新韌體更新,如此才會發揮作用。
如需詳細資訊,請參閱下列資訊安全諮詢:
如需詳細資訊,請參閱下列資訊安全諮詢:
如需進一步指引,請參閱 防範推測執行旁路弱點的 Windows 指引
如需 Azure 指引,請參閱這篇文章: 防範 Azure 中推測執行旁路弱點的指引。
如需有關啟用 Retpoline 的詳細資訊,請參閱我們的部落格文章: 在 Windows 使用 Retpoline 防範 Spectre variant 2。
如需此弱點的詳細資訊,請參閱 Microsoft 安全性指南: CVE-2019-1125 | Windows 核心資訊揭露弱點。
我們尚未發現這個影響我們雲端服務基礎結構的資訊洩漏弱點的情況。
我們一發現這個問題,即迅速地努力解決問題並發行更新。 我們堅信與研究人員和業界合作夥伴的密切關係可讓客戶更加安全,並且依照一貫的協調弱點洩漏作法,直到 8 月 6 日星期二才發佈詳細資料。
如需進一步指引,請參閱防範理論式執行端通道弱點的 Windows 指引
如需進一步指引,請參閱防範理論式執行端通道弱點的 Windows 指引
如需進一步指引,請參閱禁用英特爾®事務同步擴展(英特爾® TSX)功能的指引。
參考
我們提供協力廠商的連絡資訊,協助您尋找技術支援。 此連絡資訊如有變更,恕不另行通知。 我們不保證此協力廠商連絡資訊的正確性。