Změnit datum |
Změnit popis |
---|---|
úterý 9. srpna 2023 |
|
9. dubna 2024 |
|
Shrnutí
Tento článek obsahuje informace a aktualizace pro novou třídu ohrožení zabezpečení mikroarchitekturálního a spekulativního spouštění na bázi procesorů založených na procesorech založených na procesorech a spekulativním spouštění postranním kanálem, které mají vliv na mnoho moderních procesorů a operačních systémů. Poskytuje také komplexní seznam klientských a serverových prostředků Windows, které pomáhají chránit vaše zařízení doma, v práci i v celém podniku. To zahrnuje Intel, AMD a ARM. Konkrétní podrobnosti o ohrožení zabezpečení pro tyto problémy založené na procesorech najdete v následujících informačních zpravodajích zabezpečení a cvecích:
-
ADV180002 – pokyny ke zmírnění ohrožení zabezpečení proti spekulativnímu spuštění postranním kanálem
-
ADV180012 – Pokyny Microsoftu k obejití spekulativního obchodu
-
ADV180013 – Pokyny Microsoftu pro rogue System Register Read
-
ADV180016 – Pokyny Microsoftu k obnovení stavu opožděného pofp
-
ADV190013 – Pokyny Microsoftu ke zmírnění ohrožení zabezpečení vzorkování mikroarchitekturálních dat
3. ledna 2018 společnost Microsoft vydala informační a bezpečnostní aktualizace související s nově zjištěnou třídou ohrožení zabezpečení hardwaru (označovanou jako Spectre a Meltdown), která se v různé míře týká kanálů spekulativního spuštění, které mají vliv na procesory AMD, ARM a Intel. Tato třída ohrožení zabezpečení je založena na společné architektuře čipů, která byla původně navržena tak, aby urychlovala počítače. Další informace o těchto chybách zabezpečení najdete v článku Google Project Zero.
21. května 2018 google Project Zero (GPZ), Microsoft a Intel zveřejnily dvě nové chyby zabezpečení čipů, které souvisejí s problémy Spectre a Meltdown a jsou známé jako SSB (Speculative Store Bypass) a Rogue System Registry Read. Riziko zákazníka z obou oznámení je nízké.
Další informace o těchto chybách zabezpečení najdete v prostředcích uvedených v aktualizaci operačního systému Windows z května 2018 a v následujících informačních zpravodajích zabezpečení:
-
ADV180012 | Pokyny Microsoftu k spekulativnímu obejití storu
-
ADV180013 | Microsoft Guidance for Rogue System Register Read
13. června 2018 byla oznámena další chyba zabezpečení týkající se spekulativního spuštění postranním kanálem, která se označuje jako lazy FP State Restore, a byla jí přiřazena cve-2018-3665. Další informace o této chybě zabezpečení a doporučených akcích najdete v následujícím informačním zpravodaji zabezpečení:
14. srpna 2018 byla oznámena chyba terminálu L1 (L1TF) a byla oznámena nová chyba zabezpečení kanálu na straně spekulativního spuštění, která má několik CVR. L1TF ovlivňuje procesory Intel® Core a Intel® Xeon®®. Další informace o L1TF a doporučených akcích najdete v našem poradci pro zabezpečení:
Poznámka: Před instalací aktualizací mikrokódu doporučujeme nainstalovat všechny nejnovější aktualizace z služba Windows Update.
14. května 2019 společnost Intel zveřejnila informace o nové podtřídě ohrožení zabezpečení spekulativního spuštění postranním kanálem označované jako microarchitectural Data Sampling. Byly jim přiřazeny následující CVR:
-
CVE-2018-11091 – Mikroarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 – Vzorkování dat vyrovnávací paměti mikroarchitekturního úložiště (MSBDS)"
-
CVE-2018-12127 – Vzorkování dat vyrovnávací paměti mikroarchitektury (MFBDS)
-
CVE-2018-12130 – Vzorkování dat portu mikroarchitetekturního zatížení (MLPDS)
Důležité: Tyto problémy budou mít vliv na jiné systémy, jako je Android, Chrome, iOS a MacOS. Doporučujeme zákazníkům, aby vyhledali pokyny od příslušných dodavatelů.
Společnost Microsoft vydala aktualizace, které pomáhají zmírnit tato ohrožení zabezpečení. K získání všech dostupných ochran se vyžaduje aktualizace firmwaru (mikrokódu) a softwaru. To může zahrnovat mikrokód z OEM zařízení. V některých případech bude mít instalace těchto aktualizací dopad na výkon. Zabezpečili jsme také naše cloudové služby.
Poznámka: Před instalací aktualizací mikrokódu doporučujeme nainstalovat všechny nejnovější aktualizace z služba Windows Update.
Další informace o těchto problémech a doporučených akcích najdete v následujícím informačním zpravodaji zabezpečení:
6. srpna 2019 společnost Intel zveřejnila podrobnosti o ohrožení zabezpečení spočívající ve zpřístupnění informací jádra Windows. Tato chyba zabezpečení je variantou chyby zabezpečení proti spekulativnímu spuštění postranního kanálu Spectre varianty 1 a byla jí přiřazena CVE-2019-1125.
Společnost Microsoft vydala 9. července 2019 aktualizaci zabezpečení pro operační systém Windows, která pomáhá tento problém zmírnit. Zákazníci, kteří služba Windows Update povolili a použili aktualizace zabezpečení vydané 9. července 2019, jsou chráněni automaticky. Upozorňujeme, že tato chyba zabezpečení nevyžaduje aktualizaci mikrokódu od výrobce OEM.
Další informace o této chybě zabezpečení a příslušných aktualizacích najdete v článku CVE-2019-1125 | Ohrožení zabezpečení spočívající ve zpřístupnění informací o jádru systému Windows v Průvodci aktualizacemi zabezpečení společnosti Microsoft.
14. června 2022 společnost Intel zveřejnila informace o nové podtřídě ohrožení zabezpečení postranního kanálu MMIO (Spekulativní spouštění mapované V/O) paměti, které jsou uvedeny v informačním zpravodaji:
Postup ochrany zařízení s Windows
Možná budete muset aktualizovat firmware (mikrokód) i software, aby se tato ohrožení zabezpečení vyřešila. Doporučené akce najdete v informačních zpravodajích zabezpečení společnosti Microsoft. To zahrnuje aktualizace firmwaru (mikrokódu) od výrobců zařízení a v některých případech aktualizace antivirového softwaru. Doporučujeme vám, abyste zařízení udržovali aktualizované a zabezpečené instalacemi měsíčních aktualizací zabezpečení systému Windows.
Pokud chcete získat všechny dostupné ochrany, postupujte podle těchto kroků a získejte nejnovější aktualizace pro software i hardware.
Poznámka: Než začnete, ujistěte se, že je váš antivirový software aktuální a kompatibilní. Nejnovější informace o kompatibilitě najdete na webu výrobce antivirového softwaru.
-
Zapněte automatické aktualizace a udržujte své zařízení s Windows v aktualizovaném stavu.
-
Zkontrolujte, jestli máte nainstalovánu nejnovější aktualizaci zabezpečení operačního systému Windows od společnosti Microsoft. Pokud jsou zapnuté automatické aktualizace, měly by se vám automaticky doručovat. Přesto byste ale měli ověřit, že jsou nainstalované. Pokyny najdete v tématu služba Windows Update: nejčastější dotazy.
-
Nainstalujte dostupné aktualizace firmwaru (mikrokódu) od výrobce zařízení. Všichni zákazníci se budou muset obrátit na výrobce zařízení, aby si stáhli a nainstalovali aktualizaci hardwaru specifické pro zařízení. Seznam webů výrobců zařízení najdete v části Další zdroje informací.
Poznámka: Zákazníci by měli nainstalovat nejnovější aktualizace zabezpečení operačního systému Windows od společnosti Microsoft, aby využili dostupné ochrany. Nejdříve by měly být nainstalovány aktualizace antivirového softwaru. Aktualizace operačního systému a firmwaru by měly následovat. Doporučujeme vám, abyste zařízení udržovali aktualizované a zabezpečené instalacemi měsíčních aktualizací zabezpečení systému Windows.
Mezi ovlivněné čipy patří čipy, které vyrábí společnosti Intel, AMD a ARM. To znamená, že všechna zařízení s operačním systémem Windows jsou potenciálně zranitelná. To zahrnuje stolní počítače, přenosné počítače, cloudové servery a smartphony. Týká se to také zařízení s jinými operačními systémy, jako je Android, Chrome, iOS a macOS. Zákazníkům, kteří používají tyto operační systémy, doporučujeme, aby vyhledali pokyny od těchto dodavatelů.
V době publikování jsme neobdrželi žádné informace, které by naznačovaly, že tato ohrožení zabezpečení byla použita k útoku na zákazníky.
Od ledna 2018 společnost Microsoft vydala aktualizace operačních systémů Windows a webových prohlížečů Internet Explorer a Edge, které pomáhají zmírnit tato ohrožení zabezpečení a chránit zákazníky. Vydali jsme také aktualizace pro zabezpečení našich cloudových služeb. Pokračujeme v úzké spolupráci s partnery v oboru, včetně výrobců čipů, výrobců OEM hardwaru a dodavatelů aplikací, abychom chránili zákazníky před touto třídou ohrožení zabezpečení.
Doporučujeme, abyste si vždy nainstalovali měsíční aktualizace, aby vaše zařízení byla aktuální a zabezpečená.
Až budou k dispozici nová omezení rizik, tuto dokumentaci aktualizujeme, a doporučujeme, abyste se sem pravidelně vraceli.
Aktualizace operačního systému Windows z července 2019
Dne 6. srpna 2019 společnost Intel zveřejnila podrobnosti o ohrožení zabezpečení CVE-2019-1125 | Ohrožení zabezpečení spočívající ve zpřístupnění informací o jádru systému Windows Aktualizace zabezpečení pro tuto chybu zabezpečení byly vydány jako součást vydání měsíčních aktualizací z července 9. července 2019.
Společnost Microsoft vydala 9. července 2019 aktualizaci zabezpečení pro operační systém Windows, která pomáhá tento problém zmírnit. Toto zmírnění rizik jsme veřejně zdokumentovali až do koordinovaného zveřejnění v úterý 6. srpna 2019.
Zákazníci, kteří služba Windows Update povolili a použili aktualizace zabezpečení vydané 9. července 2019, jsou chráněni automaticky. Upozorňujeme, že tato chyba zabezpečení nevyžaduje aktualizaci mikrokódu od výrobce OEM.
Aktualizace operačního systému Windows z května 2019
14. května 2019 společnost Intel zveřejnila informace o nové podtřídě ohrožení zabezpečení spekulativního spouštění postranním kanálem označované jako microarchitectural Data Sampling a byla jí přiřazena následující KVE:
-
CVE-2018-11091 – Mikroarchitectural Data Sampling Uncacheable Memory (MDSUM)
-
CVE-2018-12126 – Vzorkování dat vyrovnávací paměti mikroarchitekturního úložiště (MSBDS)"
-
CVE-2018-12127 – Vzorkování dat vyrovnávací paměti mikroarchitektury (MFBDS)
-
CVE-2018-12130 – Vzorkování dat portu mikroarchitetekturního zatížení (MLPDS)
Další informace o tomto problému najdete v následujících pokynech k zabezpečení a použití pokynů založených na scénářích uvedených v článcích s pokyny pro Windows pro klienty a server k určení akcí potřebných ke zmírnění hrozby:
Společnost Microsoft vydala ochranu proti nové podtřídě chyb zabezpečení spekulativního spouštění postranním kanálem označovaných jako Microarchitectural Data Sampling pro 64bitové (x64) verze Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).
Použijte nastavení registru, jak je popsáno v článcích Klient Systému Windows (KB4073119) a Windows Server (KB4457951). Tato nastavení registru jsou ve výchozím nastavení povolená pro klientské edice operačního systému Windows a edice operačního systému Windows Server.
Před instalací aktualizací mikrokódu doporučujeme nejprve nainstalovat všechny nejnovější aktualizace z služba Windows Update.
Další informace o tomto problému a doporučených akcích najdete v následujícím informačním zpravodaji zabezpečení:
Společnost Intel vydala aktualizaci mikrokódu pro nedávné platformy procesoru, která pomáhá zmírnit chyby CVE-2018-11091,CVE-2018-12126, CVE-2018-12127 a CVE-2018-12130. V 4093836 znalostní báze Windows z 14. května 2019 jsou uvedeny konkrétní články znalostní báze Knowledge Base podle verze operačního systému Windows. Článek obsahuje také odkazy na dostupné aktualizace mikrokódu Intel podle procesoru. Tyto aktualizace jsou k dispozici prostřednictvím katalogu společnosti Microsoft.
Poznámka: Před instalací aktualizací mikrokódu doporučujeme nainstalovat všechny nejnovější aktualizace z služba Windows Update.
S radostí oznamujeme, že pokud je povolená možnost Spectre varianty 2 (CVE-2017-5715), je ve výchozím nastavení na Windows 10 verze 1809 zařízeních (pro klienty a servery) povolená funkce Retpoline. Povolením retpoline v nejnovější verzi Windows 10 prostřednictvím aktualizace z 14. května 2019 (KB 4494441) očekáváme vyšší výkon, zejména u starších procesorů.
Zákazníci by měli zajistit, aby předchozí ochrana operačního systému proti chybě zabezpečení Spectre varianty 2 byla povolená pomocí nastavení registru popsaného v článcích o klientovi Windows a Windows Serveru . (Tato nastavení registru jsou ve výchozím nastavení povolená pro edice klientského operačního systému Windows, ale pro edice operačního systému Windows Server jsou ve výchozím nastavení zakázaná.) Další informace o "Retpoline" najdete v tématu Omezení rizik spectre varianty 2 pomocí Retpoline ve Windows.
Aktualizace operačního systému Windows z listopadu 2018
Společnost Microsoft vydala ochranu operačního systému pro protokoly Speculative Store Bypass (CVE-2018-3639) pro procesory AMD.
Společnost Microsoft vydala další ochranu operačních systémů pro zákazníky používající 64bitové procesory ARM. Požádejte výrobce OEM o podporu firmwaru vašeho zařízení, protože ochrana operačního systému ARM64, která zmírní chybu CVE-2018-3639– Spekulativní obejití úložiště, vyžaduje nejnovější aktualizaci firmwaru od výrobce OEM vašeho zařízení.
Aktualizace operačního systému Windows ze září 2018
11. září 2018, Microsoft vydal Windows Server 2008 SP2 měsíční kumulativní 4458010 a pouze zabezpečení 4457984 pro Windows Server 2008, které poskytují ochranu před novou chybou zabezpečení spekulativního spuštění postranním kanálem známé jako L1 Terminal Fault (L1TF) ovlivňující procesory Intel® Core® a Intel® Xeon® (CVE-2018-3620 a CVE-2018-3646).
Tato verze dokončí dodatečnou ochranu ve všech podporovaných verzích systému Windows prostřednictvím služba Windows Update. Další informace a seznam ovlivněných produktů najdete v tématu ADV180018 | Pokyny Microsoftu ke zmírnění variantY L1TF
Poznámka: Windows Server 2008 SP2 se teď řídí standardním servisním kumulativním modelem systému Windows. Další informace o těchto změnách najdete na našem blogu o servisních změnách Windows Serveru 2008 SP2. Zákazníci se systémem Windows Server 2008 by měli nainstalovat 4458010 nebo 4457984 kromě aktualizace zabezpečení 4341832 vydané 14. srpna 2018. Zákazníci by také měli zajistit, aby předchozí ochrany operačního systému proti chybám zabezpečení Spectre varianty 2 a Meltdown byly povoleny pomocí nastavení registru uvedeného v článcích znalostní báze s pokyny pro klienty Windows a Windows Server . Tato nastavení registru jsou ve výchozím nastavení povolená pro edice klientského operačního systému Windows, ale pro edice operačního systému Windows Server jsou ve výchozím nastavení zakázaná.
Společnost Microsoft vydala další ochranu operačních systémů pro zákazníky používající 64bitové procesory ARM. Požádejte výrobce OEM o podporu firmwaru vašeho zařízení, protože ochrana operačního systému ARM64, která zmírňuje chybu CVE-2017-5715 – Injektáž cíle větve (Spectre, varianta 2), vyžadují nejnovější aktualizaci firmwaru od výrobců OEM zařízení, aby se projevila.
Aktualizace operačního systému Windows ze srpna 2018
14. srpna 2018 byla oznámena chyba terminálu L1 (L1TF) a přiřazena více cve. Tato nová ohrožení zabezpečení proti spekulativnímu spuštění postranním kanálem lze použít ke čtení obsahu paměti přes důvěryhodnou hranici a v případě zneužití může vést ke zpřístupnění informací. Existuje několik vektorů, kterými by útočník mohl aktivovat ohrožení zabezpečení v závislosti na nakonfigurované prostředí. L1TF ovlivňuje procesory Intel® Core a Intel® Xeon®®.
Další informace o L1TF a podrobné zobrazení ovlivněných scénářů, včetně přístupu Microsoftu ke zmírnění L1TF, najdete v následujících zdrojích informací:
Aktualizace operačního systému Windows z července 2018
S radostí oznamujeme, že společnost Microsoft dokončila vydávání dalších ochrany pro všechny podporované verze systému Windows prostřednictvím služba Windows Update pro následující ohrožení zabezpečení:
-
Spectre Variant 2 pro procesory AMD
-
Spekulativní obejití úložiště pro procesory Intel
13. června 2018 byla oznámena další chyba zabezpečení týkající se spekulativního spuštění postranním kanálem, která se označuje jako lazy FP State Restore, a byla jí přiřazena cve-2018-3665. Pro opožděné obnovení FP není potřeba žádné nastavení konfigurace (registru).
Další informace o této chybě zabezpečení, ovlivněných produktech a doporučených akcích najdete v následujících informačních zpravodaji zabezpečení:
12. června společnost Microsoft oznámila, že systém Windows podporuje funkci Speculative Store Bypass Disable (SSBD) v procesorech Intel. Aktualizace vyžadují pro funkčnost odpovídající aktualizace firmwaru (mikrokódu) a registru. Informace o aktualizacích a krocích, které se mají použít pro zapnutí SSBD, najdete v části Doporučené akce v ADV180012 | Pokyny Microsoftu k spekulativnímu obejití obchodu
Aktualizace operačního systému Windows z května 2018
V lednu 2018 společnost Microsoft vydala informace o nově zjištěné třídě hardwarových ohrožení zabezpečení (označované jako Spectre a Meltdown), které zahrnují kanály spekulativního spuštění, které v různé míře ovlivňují procesory AMD, ARM a Intel. 21. května 2018 Google Project Zero (GPZ), Microsoft a Intel zveřejnily dvě nové chyby zabezpečení čipu, které souvisejí s problémy Spectre a Meltdown, které jsou známé jako SSB (Speculative Store Bypass) a Rogue System Registry Read.
Riziko zákazníka z obou oznámení je nízké.
Další informace o těchto chybách zabezpečení najdete v následujících zdrojích informací:
-
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639
-
Informační zpravodaj zabezpečení společnosti Microsoft pro registraci rogue systému: MSRC ADV180013a CVE-2018-3640
-
Výzkum zabezpečení a obrana: Analýza a zmírnění spekulativního obejití úložiště (CVE-2018-3639)
Platí pro: Windows 10 verze 1607, Windows Server 2016, Windows Server 2016 (instalace jádra serveru) a Windows Server verze 1709 (instalace jádra serveru)
Poskytli jsme podporu pro řízení používání IBPB (Indirect Branch Prediction Barrier) v rámci některých procesorů AMD kvůli zmírnění rizik chyb CVE-2017-5715 a Spectre varianty 2 při přechodu z kontextu uživatele na kontext jádra. (Další informace najdete v tématu Pokyny pro architekturu AMD týkající se nepřímého řízení větví a zabezpečení AMD Aktualizace.)
Zákazníci, kteří používají Windows 10 verze 1607, Windows Server 2016, Windows Server 2016 (instalace jádra serveru) a Windows Server verze 1709 (instalace jádra serveru), musí nainstalovat aktualizaci zabezpečení 4103723 pro další zmírnění rizik pro procesory AMD pro CVE-2017-5715 , Branch Target Injection. Tato aktualizace je k dispozici také prostřednictvím služba Windows Update.
Pokud chcete při přechodu z kontextu uživatele na kontext jádra přepnout z kontextu uživatele na kontext jádra, postupujte podle pokynů uvedených v článku KB 4073119 pro it specialisty a kb 4072698 pro Windows Server.
Společnost Microsoft zpřístupňuje aktualizace mikrokódu ověřené společností Intel v oblasti spectre varianty 2 (CVE-2017-5715 "Branch Target Injection"). Aby zákazníci mohli prostřednictvím služba Windows Update získat nejnovější aktualizace mikrokódu Intel, musí mít před upgradem na aktualizaci Windows 10. dubna 2018 (verze 1803) nainstalovaný mikrokód Intel na zařízeních s operačním systémem Windows 10.
Aktualizace mikrokódu je také k dispozici přímo z katalogu, pokud nebyl mikrokód na zařízení nainstalovaný před upgradem operačního systému. Mikrokód Intel je k dispozici prostřednictvím služba Windows Update, WSUS nebo Katalogu služby Microsoft Update. Další informace a pokyny ke stažení najdete v článku kb 4100347.
Jakmile budou společnosti Microsoft k dispozici, nabídneme další aktualizace mikrokódu od společnosti Intel pro operační systém Windows.
Platí pro: Windows 10 verze 1709
Poskytli jsme podporu pro řízení používání IBPB (Indirect Branch Prediction Barrier) v rámci některých procesorů AMD kvůli zmírnění rizik chyb CVE-2017-5715 a Spectre varianty 2 při přechodu z kontextu uživatele na kontext jádra. (Další informace najdete v tématu Pokyny pro architekturu AMD týkající se nepřímého řízení větví a zabezpečení AMD Aktualizace.) Pokud chcete povolit použití IBPB v některých procesorech AMD za účelem zmírnění rizika chyby Spectre varianty 2 při přechodu z kontextu uživatele na kontext jádra, postupujte podle pokynů uvedených v článku KB 4073119 pro profesionály s Windows.
Společnost Microsoft zpřístupňuje aktualizace mikrokódu ověřené společností Intel v oblasti spectre varianty 2 (CVE-2017-5715 "Injektáž cíle větve"). KB4093836 uvádí seznam konkrétních článků znalostní báze Knowledge Base podle verze Windows. Každá konkrétní znalostní báze obsahuje nejnovější dostupné aktualizace mikrokódu Intel podle procesoru.
Jakmile budou společnosti Microsoft k dispozici, nabídneme další aktualizace mikrokódu od společnosti Intel pro operační systém Windows.
Aktualizace operačního systému Windows z března 2018 a novějších
23. března, TechNet Security Research & Defense: KVA Shadow: Zmírnění meltdown ve Windows
14. března, Security Tech Center: Spekulativní spuštění Postranní Kanál Bounty Program Podmínky
13. března, blog: březen 2018 Zabezpečení Windows update – rozšíření našeho úsilí o ochranu zákazníků
1. března, blog: Aktualizace o aktualizacích zabezpečení Spectre a Meltdown pro zařízení s Windows
Od března 2018 společnost Microsoft vydala aktualizace zabezpečení, které poskytují zmírnění rizik pro zařízení s následujícími operačními systémy Windows založenými na platformě x86. Zákazníci by si měli nainstalovat nejnovější aktualizace zabezpečení operačního systému Windows, aby mohli využívat dostupné ochrany. Pracujeme na zajištění ochrany pro ostatní podporované verze Windows, ale v tuto chvíli nemáme plán vydávání. Vraťte se sem, kde najdete aktualizace. Další informace najdete v souvisejícím článku znalostní báze Knowledge Base, kde najdete technické podrobnosti, a v části Nejčastější dotazy.
Vydána aktualizace produktu |
Stav |
Datum vydání |
Kanál verze |
KB |
Windows 8.1 & Windows Server 2012 R2 – pouze aktualizace zabezpečení |
Vydáno |
13. března |
WSUS, Katalog, |
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 – pouze aktualizace zabezpečení |
Vydáno |
13. března |
WSUS, Katalog |
|
Windows Server 2012 – pouze aktualizace zabezpečení Windows 8 Embedded Standard Edition – pouze aktualizace zabezpečení |
Vydáno |
13. března |
WSUS, Katalog |
|
Windows 8.1 & Windows Server 2012 R2 – měsíční kumulativní aktualizace |
Vydáno |
13. března |
WU, WSUS, Katalog |
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 – měsíční kumulativní aktualizace |
Vydáno |
13. března |
WU, WSUS, Katalog |
|
Windows Server 2012 – měsíční kumulativní aktualizace Windows 8 Embedded Standard Edition – měsíční kumulativní aktualizace |
Vydáno |
13. března |
WU, WSUS, Katalog |
|
Windows Server 2008 SP2 |
Vydáno |
13. března |
WU, WSUS, Katalog |
Od března 2018 společnost Microsoft vydala aktualizace zabezpečení, které poskytují zmírnění rizik pro zařízení s následujícími operačními systémy Windows založenými na platformě x64. Zákazníci by si měli nainstalovat nejnovější aktualizace zabezpečení operačního systému Windows, aby mohli využívat dostupné ochrany. Pracujeme na zajištění ochrany pro ostatní podporované verze Windows, ale v tuto chvíli nemáme plán vydávání. Vraťte se sem, kde najdete aktualizace. Další informace najdete v souvisejícím znalostní báze článku s technickými podrobnostmi a v části Nejčastější dotazy.
Vydána aktualizace produktu |
Stav |
Datum vydání |
Kanál verze |
KB |
Windows Server 2012 – pouze aktualizace zabezpečení Windows 8 Embedded Standard Edition – pouze aktualizace zabezpečení |
Vydáno |
13. března |
WSUS, Katalog |
|
Windows Server 2012 – měsíční kumulativní aktualizace Windows 8 Embedded Standard Edition – měsíční kumulativní aktualizace |
Vydáno |
13. března |
WU, WSUS, Katalog |
|
Windows Server 2008 SP2 |
Vydáno |
13. března |
WU, WSUS, Katalog |
Tato aktualizace řeší ohrožení zabezpečení z hlediska zvýšení oprávnění v jádru Windows v 64bitové (x64) verzi Systému Windows. Toto ohrožení zabezpečení je popsáno v cve-2018-1038. Uživatelé musí nainstalovat tuto aktualizaci, aby byli plně chráněni před tímto ohrožením zabezpečení, pokud byly jejich počítače aktualizovány v lednu 2018 nebo později instalací některé z aktualizací uvedených v následujícím článku znalostní báze Knowledge Base:
Tato aktualizace zabezpečení řeší několik nahlášených chyb zabezpečení v aplikaci Internet Explorer. Další informace o těchto chybách zabezpečení najdete v tématu Běžná ohrožení zabezpečení a ohrožení zabezpečení společnosti Microsoft.
Vydána aktualizace produktu |
Stav |
Datum vydání |
Kanál verze |
KB |
Internet Explorer 10 – kumulativní aktualizace pro Windows 8 Embedded Standard Edition |
Vydáno |
13. března |
WU, WSUS, Katalog |
Aktualizace operačního systému Windows z února 2018
Blog: Windows Analytics teď pomáhá vyhodnotit ochranu spectre a meltdown
Následující aktualizace zabezpečení poskytují další ochranu pro zařízení s 32bitovými (x86) operačními systémy Windows. Microsoft doporučuje zákazníkům, aby si aktualizaci nainstalovali, jakmile bude k dispozici. Nadále pracujeme na poskytování ochrany pro ostatní podporované verze Windows, ale v tuto chvíli nemáme plán vydávání verzí. Vraťte se sem, kde najdete aktualizace.
Poznámka Windows 10 měsíční aktualizace zabezpečení jsou kumulativní každý měsíc a budou se stahovat a instalovat automaticky z služba Windows Update. Pokud jste nainstalovali dřívější aktualizace, budou se do vašeho zařízení stahovat a instalovat jenom nové části. Další informace najdete v souvisejícím článku znalostní báze Knowledge Base, kde najdete technické podrobnosti, a v části Nejčastější dotazy.
Vydána aktualizace produktu |
Stav |
Datum vydání |
Kanál verze |
KB |
Windows 10 – verze 1709 / Windows Server 2016 (1709) / IoT Core – aktualizace pro zvýšení kvality |
Vydáno |
31. leden |
WU, Katalog |
|
Windows Server 2016 (1709) – serverový kontejner |
Vydáno |
13. února |
Centrum dockeru |
|
Windows 10 – verze 1703 / IoT Core – aktualizace pro zvýšení kvality |
Vydáno |
13. února |
WU, WSUS, Katalog |
|
Windows 10 – verze 1607 / Windows Server 2016 / IoT Core – Aktualizace pro zvýšení kvality |
Vydáno |
13. února |
WU, WSUS, Katalog |
|
Windows 10 HoloLens – Aktualizace operačního systému a firmwaru |
Vydáno |
13. února |
WU, Katalog |
|
Windows Server 2016 (1607) – image kontejnerů |
Vydáno |
13. února |
Centrum dockeru |
|
Windows 10 – verze 1511 / IoT Core – aktualizace pro zvýšení kvality |
Vydáno |
13. února |
WU, WSUS, Katalog |
|
Windows 10 – verze RTM – aktualizace pro zvýšení kvality |
Vydáno |
13. února |
WU, WSUS, Katalog |
Aktualizace operačního systému Windows z ledna 2018
Blog: Vysvětlení dopadu zmírnění rizik spectre a meltdownu na výkon systémů Windows
Od ledna 2018 společnost Microsoft vydala aktualizace zabezpečení, které poskytují zmírnění rizik pro zařízení s následujícími operačními systémy Windows založenými na platformě x64. Zákazníci by si měli nainstalovat nejnovější aktualizace zabezpečení operačního systému Windows, aby mohli využívat dostupné ochrany. Pracujeme na zajištění ochrany pro ostatní podporované verze Windows, ale v tuto chvíli nemáme plán vydávání. Vraťte se sem, kde najdete aktualizace. Další informace najdete v souvisejícím článku znalostní báze Knowledge Base, kde najdete technické podrobnosti, a v části Nejčastější dotazy.
Vydána aktualizace produktu |
Stav |
Datum vydání |
Kanál verze |
KB |
Windows 10 – verze 1709 / Windows Server 2016 (1709) / IoT Core – aktualizace pro zvýšení kvality |
Vydáno |
3. leden |
WU, WSUS, Katalog, Galerie imagí Azure |
|
Windows Server 2016 (1709) – serverový kontejner |
Vydáno |
5. leden |
Centrum dockeru |
|
Windows 10 – verze 1703 / IoT Core – aktualizace pro zvýšení kvality |
Vydáno |
3. leden |
WU, WSUS, Katalog |
|
Windows 10 – verze 1607 / Windows Server 2016 / IoT Core – aktualizace pro zvýšení kvality |
Vydáno |
3. leden |
WU, WSUS, Katalog |
|
Windows Server 2016 (1607) – image kontejnerů |
Vydáno |
4. leden |
Centrum dockeru |
|
Windows 10 – verze 1511 / IoT Core – aktualizace pro zvýšení kvality |
Vydáno |
3. leden |
WU, WSUS, Katalog |
|
Windows 10 – verze RTM – aktualizace pro zvýšení kvality |
Vydáno |
3. leden |
WU, WSUS, Katalog |
|
Windows 10 Mobile (build operačního systému 15254.192) – ARM |
Vydáno |
5. leden |
WU, Katalog |
|
Windows 10 Mobile (build operačního systému 15063.850) |
Vydáno |
5. leden |
WU, Katalog |
|
Windows 10 Mobile (build operačního systému 14393.2007) |
Vydáno |
5. leden |
WU, Katalog |
|
Windows 10 HoloLens |
Vydáno |
5. leden |
WU, Katalog |
|
Windows 8.1 / Windows Server 2012 R2 – pouze aktualizace zabezpečení |
Vydáno |
3. leden |
WSUS, Katalog |
|
Windows Embedded 8.1 Industry Enterprise |
Vydáno |
3. leden |
WSUS, Katalog |
|
Windows Embedded 8.1 Industry Pro |
Vydáno |
3. leden |
WSUS, Katalog |
|
Windows Embedded 8.1 Pro |
Vydáno |
3. leden |
WSUS, Katalog |
|
Windows 8.1 / Windows Server 2012 R2 – měsíční kumulativní aktualizace |
Vydáno |
8. ledna |
WU, WSUS, Katalog |
|
Windows Embedded 8.1 Industry Enterprise |
Vydáno |
8. ledna |
WU, WSUS, Katalog |
|
Windows Embedded 8.1 Industry Pro |
Vydáno |
8. ledna |
WU, WSUS, Katalog |
|
Windows Embedded 8.1 Pro |
Vydáno |
8. ledna |
WU, WSUS, Katalog |
|
Windows Server 2012 – pouze aktualizace zabezpečení |
Vydáno |
WSUS, Katalog |
||
Windows Server 2008 SP2 |
Vydáno |
WU, WSUS, Katalog |
||
Windows Server 2012 – měsíční kumulativní aktualizace |
Vydáno |
WU, WSUS, Katalog |
||
Windows Embedded 8 Standard |
Vydáno |
WU, WSUS, Katalog |
||
Windows 7 SP1 / Windows Server 2008 R2 SP1 – pouze aktualizace zabezpečení |
Vydáno |
3. leden |
WSUS, Katalog |
|
Windows Embedded Standard 7 |
Vydáno |
3. leden |
WSUS, Katalog |
|
Windows Embedded POSReady 7 |
Vydáno |
3. leden |
WSUS, Katalog |
|
Windows Thin PC |
Vydáno |
3. leden |
WSUS, Katalog |
|
Windows 7 SP1 / Windows Server 2008 R2 SP1 – měsíční kumulativní aktualizace |
Vydáno |
4. leden |
WU, WSUS, Katalog |
|
Windows Embedded Standard 7 |
Vydáno |
4. leden |
WU, WSUS, Katalog |
|
Windows Embedded POSReady 7 |
Vydáno |
4. leden |
WU, WSUS, Katalog |
|
Windows Thin PC |
Vydáno |
4. leden |
WU, WSUS, Katalog |
|
Internet Explorer 11 – kumulativní aktualizace pro Windows 7 SP1 a Windows 8.1 |
Vydáno |
3. leden |
WU, WSUS, Katalog |
9. dubna 2024 jsme publikovali CVE-2022-0001 | Intel Branch History Injection , která popisuje injektáž historie větví (BHI), což je specifická forma BTI v rámci režimu. K tomuto ohrožení zabezpečení dochází v případě, že útočník může manipulovat s historií větví před přechodem z režimu uživatele na režim správce (nebo z režimu VMX bez root nebo hosta na kořenový režim). Tato manipulace může způsobit, že prediktor nepřímé větve vybere konkrétní položku předpovědi pro nepřímou větev a přechodně se spustí miniaplikace pro zpřístupnění v předpovídaném cíli. To může být možné, protože příslušná historie větví může obsahovat větve převzaté v předchozích kontextech zabezpečení, a zejména v jiných režimech predikce.
Pokud chcete zmírnit ohrožení zabezpečení popsaná v článku CVE-2022-0001, postupujte podle pokynů uvedených v tématu KB4073119 pro it specialisty a KB4072698 pro Windows Server | Intel Branch History Injection.
Zdroje informací a technické pokyny
V závislosti na vaší roli vám následující články podpory můžou pomoct identifikovat a zmírnit klientská a serverová prostředí ovlivněná ohroženími zabezpečení Spectre a Meltdown.
Microsoft Security Advisory for L1 Terminal Fault (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646
Výzkum zabezpečení a obrana: Analýza a zmírnění spekulativního obejití úložiště (CVE-2018-3639)
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639
Microsoft Security Advisory for Rogue System Register Read | Průvodce aktualizacemi zabezpečení pro surface: MSRC ADV180013a CVE-2018-3640
Výzkum zabezpečení a obrana: Analýza a zmírnění spekulativního obejití úložiště (CVE-2018-3639)
TechNet Security Research & Defense: KVA Shadow: Zmírnění chyby ve Windows
Security Tech Center: Spekulativní spuštění Postranní kanál Bounty Program Podmínky
Blog o zkušenostech Microsoftu: Aktualizace aktualizací zabezpečení Spectre a Meltdown pro zařízení s Windows
Blog o Windows pro firmy: Windows Analytics teď pomáhá vyhodnotit ochranu Spectre a Meltdown.
Blog o zabezpečení Microsoftu: Vysvětlení dopadu zmírnění rizik spectre a meltdownu na výkon v systémech Windows
Blog pro vývojáře Edge: Zmírnění spekulativních útoků na spuštění postranním kanálem v Microsoft Edgi a Internet Exploreru
Blog o Azure: Zabezpečení zákazníků Azure před ohrožením zabezpečení procesoru
SCCM pokyny: Další pokyny ke zmírnění ohrožení zabezpečení proti spekulativnímu spuštění postranním kanálem
Informační zpravodaje Microsoftu:
-
ADV180002 | Pokyny ke zmírnění ohrožení zabezpečení proti spekulativnímu spuštění postranním kanálem
-
ADV180012 | Pokyny Microsoftu k spekulativnímu obejití storu
-
ADV180013 | Microsoft Guidance for Rogue System Register Read
Intel: Poradce pro zabezpečení
NVIDIA: Poradce pro zabezpečení
Pokyny pro spotřebitele: Ochrana zařízení před chybami zabezpečení souvisejícími s čipy
Pokyny k antivirové ochraně: Aktualizace zabezpečení Windows vydané 3. ledna 2018 a antivirový software
Pokyny pro blok aktualizací zabezpečení operačního systému Windows amd: KB4073707: Blok aktualizací zabezpečení operačního systému Windows pro některá zařízení s procesorem AMD
Aktualizace pro zakázání zmírnění rizik pro spectre, varianta 2: KB4078130: Společnost Intel zjistila problémy s restartováním mikrokódu u některých starších procesorů
Pokyny pro Surface: Pokyny pro Surface k ochraně před chybami zabezpečení proti spekulativnímu spuštění postranním kanálem
Ověření stavu zmírnění rizik na straně kanálu spekulativního spuštění: Principy Get-SpeculationControlSettings výstupu skriptu PowerShellu
Pokyny pro IT profesionály: Pokyny pro klienty Windows pro IT specialisty k ochraně před chybami zabezpečení proti spekulativnímu spuštění postranním kanálem
Doprovodné materiály pro server: Pokyny pro Windows Server k ochraně před chybami zabezpečení proti spekulativnímu spuštění postranním kanálem
Doprovodné materiály serveru pro chybu terminálu L1: Pokyny k ochraně windows serveru před chybou terminálu L1
Pokyny pro vývojáře: Pokyny pro vývojáře pro spekulativní obejití obchodu
Pokyny pro servery s technologií Hyper-V
Pokyny ke službě Azure Stack: KB4073418: Pokyny k ochraně před chybami zabezpečení proti spekulativnímu spuštění postranním kanálem
Spolehlivost Azure: Portál pro spolehlivost Azure
SQL Server pokyny: KB4073225: SQL Server Pokyny k ochraně před chybami zabezpečení proti spekulativnímu spuštění postranním kanálem
Odkazy na výrobce OEM a serverových zařízení pro aktualizace pro ochranu před ohroženími zabezpečení Spectre a Meltdown
Pokud chcete tyto chyby zabezpečení vyřešit, musíte aktualizovat hardware i software. Pomocí následujících odkazů se obraťte na výrobce zařízení na příslušné aktualizace firmwaru (mikrokódu).
Pomocí následujících odkazů se obraťte na výrobce zařízení na aktualizace firmwaru (mikrokódu). Pro všechny dostupné ochrany budete muset nainstalovat aktualizace operačního systému i firmwaru (mikrokódu).
Výrobci zařízení OEM |
Odkaz na informace o dostupnosti mikrokódu |
Acer |
|
Asus |
ASUS Update on Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method |
Dell |
|
Epson |
|
Fujitsu |
Hardware procesoru ohrožený útoky postranním kanálem (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
HP |
|
Lenovo |
|
LG |
|
NEC |
Reakce na ohrožení zabezpečení procesoru (meltdown, spectrum) v našich produktech |
Panasonic |
|
Samsung |
|
Surface |
|
Toshiba |
|
Vaio |
Výrobci OEM – servery |
Odkaz na informace o dostupnosti mikrokódu |
Dell |
|
Fujitsu |
Hardware procesoru ohrožený útoky postranním kanálem (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
HPE |
Upozornění na ohrožení zabezpečení produktů Hewlett Packard Enterprise |
Huawei |
|
Lenovo |
Nejčastější dotazy
Aktualizace firmwaru (mikrokódu) budete muset zkontrolovat u výrobce zařízení. Pokud výrobce zařízení není v tabulce uveden, kontaktujte výrobce OEM přímo.
Aktualizace pro zařízení Microsoft Surface jsou zákazníkům k dispozici prostřednictvím služba Windows Update. Seznam dostupných aktualizací firmwaru zařízení Surface (mikrokódu) najdete v článku kb 4073065.
Pokud vaše zařízení není od Microsoftu, použijte aktualizace firmwaru od výrobce zařízení. Další informace získáte od výrobce zařízení.
Řešení ohrožení zabezpečení hardwaru pomocí aktualizace softwaru představuje významné výzvy a zmírnění rizik pro starší operační systémy a může vyžadovat rozsáhlé změny architektury. Pokračujeme ve spolupráci s výrobci čipů, kterých se to týká, abychom prozkoumali nejlepší způsob, jak zajistit zmírnění rizik. To může být k dispozici v budoucí aktualizaci. Zbývající riziko by se mělo vyřešit nahrazením starších zařízení s těmito staršími operačními systémy a aktualizací antivirového softwaru.
Poznámky:
-
Produkty, které momentálně nemají standardní i rozšířenou podporu, tyto aktualizace systému neobdrží. Doporučujeme zákazníkům aktualizovat na podporovanou verzi systému.
-
Útoky na spekulativní spuštění postranním kanálem zneužívají chování a funkce procesoru. Výrobci procesoru musí nejprve určit, které procesory mohou být ohroženy, a pak informovat Microsoft. V mnoha případech budou k zajištění komplexnější ochrany zákazníkům vyžadovány také odpovídající aktualizace operačního systému. Doporučujeme, aby dodavatelé systém Windows CE se zabezpečením spolupracovali se svým výrobcem čipů, aby porozuměli ohrožením zabezpečení a použitelným zmírněním rizik.
-
Nebudeme vydávat aktualizace pro následující platformy:
-
Operační systémy Windows, které už nejsou v současnosti podporovány nebo u kterých dojde k ukončení služeb v roce 2018.
-
Systémy windows XP včetně WES 2009 a POSReady 2009
-
Ačkoli systémy se systémem Windows XP jsou ovlivněné produkty, společnost Microsoft pro ně nevydává aktualizaci, protože komplexní změny architektury, které by byly nutné, by ohrozily stabilitu systému a způsobily problémy s kompatibilitou aplikací. Zákazníkům, kterým záleží na zabezpečení, doporučujeme, aby upgradovali na novější podporovaný operační systém. Budou tak chráněni proti měnícím se hrozbám zabezpečení a získají výhody robustnější ochrany, kterou novější operační systémy poskytují.
Aktualizace Windows 10 pro HoloLens jsou zákazníkům HoloLens k dispozici prostřednictvím služba Windows Update.
Po instalaciaktualizace Zabezpečení Windows z února 2018 nemusí zákazníci s HoloLensem provádět žádné další akce k aktualizaci firmwaru zařízení. Tato zmírnění rizik budou také zahrnuta ve všech budoucích verzích Windows 10 pro HoloLens.
Další informace získáte od výrobce OEM.
Aby bylo vaše zařízení plně chráněné, měli byste nainstalovat nejnovější aktualizace zabezpečení operačního systému Windows pro vaše zařízení a příslušné aktualizace firmwaru (mikrokódu) od výrobce zařízení. Tyto aktualizace by měly být dostupné na webu výrobce zařízení. Nejdříve by měly být nainstalovány aktualizace antivirového softwaru. Aktualizace operačního systému a firmwaru je možné instalovat v libovolném pořadí.
Abyste tuto chybu zabezpečení vyřešili, budete muset aktualizovat hardware i software. Pro komplexnější ochranu budete také muset nainstalovat příslušné aktualizace firmwaru (mikrokódu) od výrobce zařízení. Doporučujeme vám, abyste zařízení udržovali aktualizované a zabezpečené instalacemi měsíčních aktualizací zabezpečení systému Windows.
V každé aktualizaci Windows 10 funkcí zabudujeme nejnovější technologie zabezpečení hluboko do operačního systému a poskytujeme funkce hloubkové ochrany, které zabraňují tomu, aby vaše zařízení ovlivnily celé třídy malwaru. Aktualizace funkcí jsou vydávány dvakrát ročně. V každé měsíční aktualizaci pro zvýšení kvality přidáváme další vrstvu zabezpečení, která sleduje vznikající a měnící se trendy malwaru, aby byly aktuální systémy bezpečnější tváří v tvář měnícím se a vyvíjejícím se hrozbám.
Společnost Microsoft zrušila kontrolu kompatibility av aktualizací zabezpečení Windows pro podporované verze zařízení Windows 10, Windows 8.1 a Windows 7 SP1 prostřednictvím služba Windows Update.
Doporučení:-
Ujistěte se, že jsou vaše zařízení aktuální, a to díky nejnovějším aktualizacím zabezpečení od Microsoftu a výrobce hardwaru. Další informace o tom, jak udržovat zařízení v aktualizovaném stavu, najdete v tématu služba Windows Update: nejčastější dotazy.
-
Při návštěvě webů neznámého původu buďte nadále obezřetní a nezůstáejte na webech, kterým nedůvěřujete. Microsoft doporučuje všem zákazníkům, aby svá zařízení chránili spuštěním podporovaného antivirového programu. Zákazníci můžou také využít integrovanou antivirovou ochranu – Windows Defender u zařízení s Windows 10 nebo Microsoft Security Essentials u zařízení s Windows 7. Tato řešení jsou kompatibilní v případech, kdy zákazníci nemůžou nainstalovat nebo spustit antivirový software.
Aby nedošlo k nežádoucímu dopadu na zákaznická zařízení, nebyly aktualizace zabezpečení Windows vydané v lednu nebo únoru nabízeny všem zákazníkům. Podrobnosti naleznete v článku znalostní báze Microsoft Knowledge Base 4072699.
Společnost Intel oznámila problémy , které ovlivňují nedávno vydaný mikrokód, který má řešit chybu Spectre varianty 2 (CVE-2017-5715 – "Injektáž cíle větve"). Společnost Intel konkrétně uvedla, že tento mikrokód může způsobit "vyšší než očekávané restartování a další nepředvídatelné chování systému" a také, že takové situace můžou způsobit "ztrátu nebo poškození dat". Naše vlastní zkušenost je, že nestabilita systému může za určitých okolností způsobit ztrátu nebo poškození dat. 22. ledna společnost Intel doporučila zákazníkům , aby přestali nasazovat aktuální verzi mikrokódu na procesory, kterých se to týká, zatímco provádějí další testování aktualizovaného řešení. Chápeme, že společnost Intel nadále zkoumá potenciální dopad aktuální verze mikrokódu, a doporučujeme zákazníkům, aby průběžně kontrolovali své pokyny a informovali je o svých rozhodnutích.
Zatímco společnost Intel testuje, aktualizuje a nasazuje nový mikrokód, zpřístupňujeme aktualizaci OOB (out-of-band), KB 4078130, která výslovně zakazuje pouze zmírnění rizik proti CVE-2017-5715 – "Injektáž cíle větve". V našem testování jsme zjistili, že tato aktualizace brání popsanému chování. Úplný seznam zařízení najdete v pokynech společnosti Intel k revizi mikrokódu. Tato aktualizace je určena pro Windows 7 (SP1), Windows 8.1 a všechny verze systému Windows 10 pro klienty a servery. Pokud používáte ovlivněné zařízení, můžete tuto aktualizaci použít stažením z webu Katalog služby Microsoft Update. Použití této datové části výslovně zakazuje pouze zmírnění rizik souvisejících s chybou CVE-2017-5715 – "Injektáž cíle větve".
Od 25. ledna neexistují žádné zprávy, které by naznačovaly, že tato varianta Spectre 2 (CVE-2017-5715) byla použita k útoku na zákazníky. Pokud je to vhodné, doporučujeme zákazníkům s Windows znovu povolit zmírnění rizik cve-2017-5715, když společnost Intel oznámí, že toto nepředvídatelné chování systému bylo u vašeho zařízení vyřešeno.
Ne. Pouze aktualizace zabezpečení nejsou kumulativní. V závislosti na verzi operačního systému, kterou používáte, musíte nainstalovat všechny vydané aktualizace pouze zabezpečení, aby byly chráněny před těmito chybami zabezpečení. Pokud například používáte Windows 7 pro 32bitové systémy na procesoru Intel, který se týká, musíte od ledna 2018 nainstalovat všechny aktualizace pouze zabezpečení. Doporučujeme instalovat pouze tyto aktualizace zabezpečení v pořadí podle vydání.
Poznámka V dřívější verzi těchto nejčastějších dotazů bylo nesprávně uvedeno, že únorová aktualizace zabezpečení obsahuje opravy zabezpečení vydané v lednu. Ve skutečnosti ne.Ne. Aktualizace zabezpečení 4078130 byla konkrétní oprava, která po instalaci mikrokódu zabránila nepředvídatelnému chování systému, problémům s výkonem a neočekávaným restartováním. Použití únorových aktualizací zabezpečení v klientských operačních systémech Windows umožňuje všechna tři zmírnění rizik. V serverových operačních systémech Windows musíte omezení rizik povolit i po provedení odpovídajícího testování. Další informace naleznete v článku 4072698 znalostní báze Microsoft Knowledge Base .
Společnost AMD nedávno oznámila, že začala vydávat mikrokód pro novější platformy procesoru v případě spectre varianty 2 (CVE-2017-5715 "Injektáž cíle větve"). Další informace najdete v dokumentech AMD Security Aktualizace a AMD White paper: Architecture Guidelines (Pokyny pro architekturu týkající se nepřímého řízení větví). Ty jsou k dispozici v kanálu firmwaru OEM.
Společnost Intel nedávno oznámila, že dokončila ověření a začala vydávat mikrokód pro novější procesorové platformy. Společnost Microsoft zpřístupňuje aktualizace mikrokódu ověřené společností Intel v oblasti spectre varianty 2 (CVE-2017-5715 "Injektáž cíle větve"). Kb 4093836 uvádí konkrétní články znalostní báze Podle verze Windows. Každý konkrétní článek KB obsahuje dostupné aktualizace mikrokódů od společnosti Intel podle procesoru.
Společnost Microsoft zpřístupňuje aktualizace mikrokódu ověřené společností Intel v oblasti spectre varianty 2 (CVE-2017-5715 "Branch Target Injection"). Aby zákazníci mohli prostřednictvím služba Windows Update získat nejnovější aktualizace mikrokódu Intel, musí mít před upgradem na aktualizaci Windows 10. dubna 2018 (verze 1803) nainstalovaný mikrokód Intel na zařízeních s operačním systémem Windows 10.
Aktualizace mikrokódu je také k dispozici přímo z Katalogu aktualizací, pokud nebyla nainstalována na zařízení před upgradem systému. Mikrokód Intel je k dispozici prostřednictvím služba Windows Update, WSUS nebo Katalogu služby Microsoft Update. Další informace a pokyny ke stažení najdete v článku kb 4100347.
Další informace najdete v následujících zdrojích informací:
Podrobnosti najdete v částech Doporučené akce a Nejčastější dotazy v ADV180012 | Pokyny Microsoftu k spekulativnímu obejití obchodu
Pokud chcete ověřit stav SSBD, aktualizoval se skript powershellu Get-SpeculationControlSettings, aby zjistil ovlivněné procesory, stav aktualizací operačního systému SSBD a stav mikrokódu procesoru, pokud je to možné. Další informace a informace o získání skriptu PowerShellu najdete v tématu KB4074629.
13. června 2018 byla oznámena další chyba zabezpečení týkající se spekulativního spuštění postranním kanálem, která se označuje jako lazy FP State Restore, a byla jí přiřazena cve-2018-3665. Pro opožděné obnovení FP není potřeba žádné nastavení konfigurace (registru).
Další informace o této chybě zabezpečení a doporučených akcích najdete v informačním zpravodaji zabezpečení: ADV180016 | Pokyny Microsoftu k obnovení stavu opožděné FP
Poznámka Pro opožděné obnovení FP není potřeba žádné nastavení konfigurace (registru).
10. července 2018 byla zveřejněna funkce Bounds Check Bypass Store (BCBS) a přiřazena cve-2018-3693. Považujeme BCBS za patřící do stejné třídy ohrožení zabezpečení jako bypass hraniční kontroly (varianta 1). V současné době nevíme o žádných instancích BCBS v našem softwaru, ale pokračujeme ve výzkumu této třídy ohrožení zabezpečení a budeme spolupracovat s partnery v oboru, aby podle potřeby uvolnili zmírnění rizik. Nadále vyzýváme výzkumné pracovníky, aby předložili veškerá relevantní zjištění do programu odměny pro spekulativní spuštění postranního kanálu microsoftu, včetně všech zneužitelných instancí BCBS. Vývojáři softwaru by si měli projít pokyny pro vývojáře, které byly aktualizovány pro BCBS na https://aka.ms/sescdevguide.
14. srpna 2018 byla oznámena chyba terminálu L1 (L1TF) a přiřazena více cve. Tato nová ohrožení zabezpečení proti spekulativnímu spuštění postranním kanálem lze použít ke čtení obsahu paměti přes důvěryhodnou hranici a v případě zneužití může vést ke zpřístupnění informací. Existuje několik vektorů, kterými by útočník mohl aktivovat ohrožení zabezpečení v závislosti na nakonfigurované prostředí. L1TF ovlivňuje procesory Intel® Core a Intel® Xeon®®.
Další informace o této chybě zabezpečení a podrobné zobrazení ovlivněných scénářů, včetně přístupu Microsoftu ke zmírnění L1TF, najdete v následujících zdrojích informací:
Zákazníci se zařízením Microsoft Surface: Zákazníci, kteří používají Microsoft Surface a produkty Surface Book, musí postupovat podle pokynů pro klienta Windows uvedených v informačním zpravodaji zabezpečení: ADV180018 | Pokyny Microsoftu ke zmírnění variantY L1TF Další informace o ovlivněných produktech Surface a dostupnosti aktualizací mikrokódu najdete také v článku 4073065 znalostní báze Microsoft Knowledge Base .
Zákazníci Microsoft Hololens: Microsoft HoloLens není ovlivněno L1TF, protože nepoužívá procesor Intel, který se týká.
Kroky potřebné k zakázání Hyper-Threading se budou lišit od výrobců OEM po výrobce OEM, ale obvykle jsou součástí nástrojů pro nastavení a konfiguraci systému BIOS nebo firmwaru.
Zákazníci, kteří používají 64bitové procesory ARM, by měli požádat výrobce OEM zařízení o podporu firmwaru, protože ochrana operačního systému ARM64, která zmírňuje chybu CVE-2017-5715 – Injektáž cíle větve (Spectre, varianta 2), vyžadují, aby se projevila nejnovější aktualizace firmwaru od výrobců OEM zařízení.
Podrobnosti o této chybě zabezpečení najdete v Průvodci zabezpečením společnosti Microsoft: CVE-2019-1125 | Ohrožení zabezpečení spočívající ve zpřístupnění informací o jádru systému Windows
Nejsme si vědomi žádného výskytu této chyby zabezpečení zpřístupnění informací, která by ovlivnila naši infrastrukturu cloudových služeb.
Jakmile jsme se o tomto problému dozvěděli, rychle jsme pracovali na jeho řešení a vydání aktualizace. Pevně věříme v úzká partnerství s výzkumnými pracovníky i partnery z oboru, aby se zákazníci více zabezpečili, a v souladu s koordinovanými postupy zveřejňování ohrožení zabezpečení jsme podrobnosti publikovali až v úterý 6. srpna.
Reference
Společnost Microsoft poskytuje kontaktní informace třetích stran, které vám pomůžou najít další informace o tomto tématu. Tyto kontaktní informace se můžou bez upozornění změnit. Společnost Microsoft nezaručuje přesnost kontaktních informací třetích stran.