KB4073757: Windowsi seadmete kaitsmine protsessoripõhiste mikroarhitektuuriliste ja spekulatiivsete käivitamise külgmise kanali nõrkuste eest

Muuda kuupäeva	Muuda kirjeldust
9. august 2023	Eemaldatud sisu CVE-2022-23816 kohta, kuna CVE-numbrit ei kasutata Eemaldatud on dubleeritud teema "Inteli mikrokoodi värskendused" jaotises "Windowsi seadmete kaitsmise juhised"
9. aprill 2024	Lisatud CVE-2022-0001 | Inteli haru ajaloosüst

Võimalik, et peate nende nõrkuste kõrvaldamiseks värskendama nii püsivara (mikrokoodi) kui ka tarkvara. Soovitatavate toimingute kohta leiate teavet Microsofti turbenõustajate jaotisest. See hõlmab seadmetootjate rakendatavaid püsivaravärskendusi (mikrokoodi) ja mõnel juhul ka viirusetõrjetarkvara värskendusi. Soovitame teil kord kuus installida turbevärskendused, mis tagavad teie seadmete ajakohasuse. 

Kõigi saadaolevate kaitsefunktsioonide saamiseks tehke nii tarkvara kui ka riistvara uusimate värskenduste hankimiseks järgmist.

1. Windows-seadme ajakohasena hoidmiseks lülitage sisse automaatvärskendused.

2. Kontrollige, kas olete installinud Microsofti uusima Windowsi operatsioonisüsteemi turbevärskenduse. Kui automaatvärskendused on sisse lülitatud, tuleks värskendused teile automaatselt kohale toimetada. Siiski peaksite kontrollima, kas need on installitud. Juhised leiate teemast Windows Update: KKK

3. Installige seadme tootjalt saadaolevad püsivaravärskendused (mikrokoodi). Kõik kliendid peavad oma seadme konkreetse riistvaravärskenduse allalaadimiseks ja installimiseks küsima teavet oma seadme tootjalt. Seadme tootja veebisaitide loendi leiate jaotisest "Lisaressursid".

   Märkus.: Kliendid peaksid kogu saadaoleva kaitse saamiseks installima Microsofti pakutavad uusimad Windowsi opsüsteemi turbevärskendused. Viirusetõrjetarkvara värskendused tuleb installida esimesena. Seejärel tuleb installida operatsioonisüsteemi ja püsivaravärskendused. Soovitame teil kord kuus installida turbevärskendused, mis tagavad teie seadmete ajakohasuse. 

Mõjutatud kiibid hõlmavad Inteli, AMD ja ARM-i toodetud kiipe. See tähendab, et kõik seadmed, milles töötavad Windowsi operatsioonisüsteemid, on potentsiaalselt haavatavad. See hõlmab töölaudu, sülearvuteid, pilveservereid ja nutitelefone. See mõjutab ka seadmeid, milles töötab mõni muu opsüsteem (nt Android, Chrome, iOS ja macOS). Soovitame neid operatsioonisüsteeme kasutavatel klientidel küsida nendelt tarnijatelt juhiseid.

Avaldamise ajal ei olnud me saanud mingit teavet, mis viitaks sellele, et neid nõrkusi on kasutatud klientide ründamiseks.

Alates jaanuarist 2018 andis Microsoft välja Windowsi operatsioonisüsteemide ning Internet Exploreri ja Edge'i veebibrauserite värskendused, mis aitavad neid nõrkusi leevendada ja kliente kaitsta. Samuti andsime välja värskendused oma pilveteenuste turvalisuse tagamiseks.  Jätkame tihedat koostööd valdkonna partneritega, sh kiibi loojate, riistvara OEM-idega ja rakenduste tarnijatega, et kaitsta kliente seda tüüpi nõrkuste eest. 

Soovitame teil seadmete ajakohase ja turvalisena hoidmiseks alati installida igakuised värskendused. 

Värskendame seda dokumentatsiooni, kui uued leevendused on saadaval, ja soovitame seda regulaarselt vaadata. 

2019. aasta juuli Windowsi operatsioonisüsteemi värskendused

6. augustil 2019 avaldas Intel üksikasjad turbenõrkuse CVE-2019-1125 kohta | Windowsi tuumateabe avaldamise nõrkus. Selle nõrkuse turbevärskendused anti välja juulikuu värskenduse raames 9. juulil 2019.

Microsoft andis 9. juulil 2019 välja Windowsi operatsioonisüsteemi turbevärskenduse, mis aitab seda probleemi leevendada. 2019. aasta teisipäeval, 6. augustil 2019 avaldasime me selle leevenduse avalikult, kuni kooskõlastatud tööstuse avalikustamiseni.

Kliendid, kes on Windows Update lubanud ja rakendanud 9. juulil 2019 välja antud turbevärskendusi, on automaatselt kaitstud. Pange tähele, et see nõrkus ei nõua teie seadme tootjalt (OEM) mikrokoodi värskendust.

2019. aasta mai Windowsi operatsioonisüsteemi värskendused

14. mail 2019 avaldas Intel teabe külgmise kanali spekulatiivsete käivitamise nõrkuste uue alamklassi kohta, mida tuntakse mikroarhitektuuriliste andmete valimitena , ja neile määrati järgmised elulookirjeldused:

• CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"

• CVE-2018-12126 – "Microarchitectural Store'i puhvri andmete valim (MSBDS)"

• CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"

• CVE-2018-12130 – "Microarchitectural Load Port Data Sampling (MLPDS)"

Selle probleemi kohta leiate lisateavet järgmistest turbenõuandla- ja kasutusstsenaariumipõhistest juhistest, mida kirjeldatakse Windowsi juhistes klientidele ja serveritele, et teha kindlaks ohu leevendamiseks vajalikud toimingud.

• ADV 190013 | Microsofti suunised microarchitectural andmete valimi nõrkuste leevendamiseks

• KB 4073119 | Windows IT Pro kliendisuunised külgmise kanali spekulatiivsete käivitamise nõrkuste eest kaitsmiseks

• KB 4457951 | Windows Serveri suunised külgmise kanali spekulatiivsete käivitamise nõrkuste eest kaitsmiseks

Microsoft on välja andnud kaitse külgmise kanali spekulatiivsete käivitamise nõrkuste uue alamklassi vastu, mida nimetatakse Windowsi (CVE-2018-11091,CVE-2018-12126) 64-bitiste (x64) versioonide microarchitectural data samplingks. CVE-2018-12127, CVE-2018-12130).

Kasutage registrisätteid vastavalt artiklites Windowsi klientrakendus (KB4073119) ja Windows Serveri (KB4457951) kirjeldustele. Need registrisätted on Windowsi klientrakenduste operatsioonisüsteemi ja Windows Serveri operatsioonisüsteemi väljaannete jaoks vaikimisi lubatud.

Soovitame teil enne mikrokoodi värskenduste installimist installida Windows Update esimesena kõik uusimad värskendused.

Selle probleemi ja soovitatud toimingute kohta leiate lisateavet järgmisest turbenõuandlast. 

• ADV 190013 | Microsofti suunised microarchitectural andmete valimi nõrkuste leevendamiseks

Intel on välja andnud mikrokoodi värskenduse hiljutiste protsessoriplatvormide jaoks, et aidata leevendada CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. 2019. aasta 14. mai Windowsi teabebaasi (KB) 4093836 on loetletud Windowsi operatsioonisüsteemi versiooniga seotud teabebaasi artiklid.  Artikkel sisaldab ka linke CPU saadaolevatele Inteli mikrokoodi värskendustele. Need värskendused on saadaval Microsofti kataloogi kaudu.

Märkus. Soovitame teil enne mikrokoodi värskenduste installimist installida kõik uusimad Windows Update värskendused.

Meil on hea meel teatada, et Retpoline on vaikimisi lubatud Windows 10 versiooni 1809 seadmetes (kliendi ja serveri jaoks), kui Spectre Variant 2 (CVE-2017-5715) on lubatud. Kui lubate Retpoline'i Windows 10 uusimas versioonis, eeldame 14. mai 2019. aasta värskenduse (KB 4494441) kaudu suuremat jõudlust, eriti vanemate protsessorite korral.

Kliendid peaksid tagama, et varasemad operatsioonisüsteemi kaitsed haavatavuse Spectre Variant 2 vastu oleksid lubatud, kasutades registrisätteid, mida kirjeldatakse Windowsi klientrakenduse ja Windows Serveri artiklites. (Need registrisätted on Windowsi klientrakenduste operatsioonisüsteemi väljaannetes vaikimisi lubatud, kuid Windows Serveri operatsioonisüsteemi väljaannete jaoks vaikimisi keelatud). Lisateavet "Retpoline" kohta leiate teemast Spectre'i variandi 2 leevendamine Windowsis Retpoline'iga.

2018. aasta novembri Windowsi operatsioonisüsteemi värskendused

Microsoft on amD protsessoritele (CVE-2018-3639) välja andnud operatsioonisüsteemi kaitse teenuse Speculative Store Bypass (CVE-2018-3639) jaoks.

Microsoft on välja andnud täiendavad operatsioonisüsteemikaitsed klientidele, kes kasutavad 64-bitise ARM-protsessorit. Küsige oma seadme OEM-i tootjalt püsivaratuge, kuna ARM64 operatsioonisüsteemi kaitse, mis leevendab CVE-2018-3639, Speculative Store Bypassi, nõuab seadme OEM-i uusimat püsivaravärskendust.

2018. aasta septembri Windowsi operatsioonisüsteemi värskendused

11. septembril 2018 Microsoft andis välja Windows Server 2008 SP2 igakuise värskenduskomplekti 4458010 ja ainult turbevärskenduste 4457984 Windows Server 2008 jaoks, mis pakuvad kaitset külgmise kanali uue spekulatiivse käivitamise nõrkuse eest, mida nimetatakse L1 terminali veaks (L1TF), mis mõjutab Intel® Core'i® protsessoreid ja Intel® Xeoni® protsessoreid (CVE-2018-3620 ja CVE-2018-3646). 

See väljalase täiendab kõigi toetatud Windowsi süsteemiversioonide lisakaitset Windows Update kaudu. Lisateavet ja mõjutatud toodete loendi leiate artiklist ADV180018 | Microsofti juhised L1TF-i variandi leevendamiseks.

Märkus. Windows Server 2008 SP2 järgib nüüd Windowsi hoolduskomplekti standardmudelit. Lisateavet nende muudatuste kohta leiate meie ajaveebist Windows Server 2008 SP2 hooldusmuudatused. Windows Server 2008 kasutavad kliendid peaksid lisaks 14. augustil 2018 välja antud turbevärskendusele installima kas 4458010 või 4341832 4457984. Kliendid peaksid ka tagama, et varasemad operatsioonisüsteemi kaitsed nõrkuste Spectre Variant 2 ja Meltdown eest oleksid lubatud, kasutades registrisätteid, mida kirjeldatakse Windowsi klientrakenduse ja Windows Serveri juhendavates teabebaasiartiklites. Need registrisätted on Windowsi klientrakenduste operatsioonisüsteemi väljaannetes vaikimisi lubatud, kuid Windows Serveri operatsioonisüsteemi väljaannete jaoks vaikimisi keelatud.

Microsoft on välja andnud täiendavad operatsioonisüsteemikaitsed klientidele, kes kasutavad 64-bitise ARM-protsessorit. Küsige oma seadme OEM-i tootjalt püsivaratuge, kuna ARM64 operatsioonisüsteemi kaitse, mis leevendab CVE-2017-5715 - haru sihtkoha sisestamist (Spectre, Variant 2), nõuab seadme OEM-ide uusima püsivaravärskenduse jõustumist.

2018. aasta augusti Windowsi operatsioonisüsteemi värskendused

14. augustil 2018 teatati L1 Terminal Fault (L1TF) ja määrati mitu CV-d. Neid uusi spekulatiivseid käivitamise külgmise kanali nõrkusi saab kasutada mälu sisu lugemiseks üle usaldusväärse piiri ja võib kasutamisel põhjustada teabe avaldamise. On mitu vektorit, mille abil ründaja võib sõltuvalt konfigureeritud keskkonnast haavatavused käivitada. L1TF mõjutab Intel® Core'i® protsessoreid ja Intel® Xeoni® protsessoreid.

Lisateavet L1TF-i kohta ja mõjutatud stsenaariumide üksikasjaliku ülevaate, sh Microsofti lähenemisviisi kohta L1TF-i leevendamiseks leiate järgmistest materjalidest.

• ADV180018 | Microsofti juhised L1TF-variandi leevendamiseks

• Turbenõuandla turbeuuringute ajaveeb

• L1 terminali tõrke serverijuhised

2018. aasta juuli Windowsi operatsioonisüsteemi värskendused

Meil on hea meel teatada, et Microsoft on kõigi toetatud Windowsi süsteemiversioonide täiendava kaitse Windows Update kaudu välja andnud järgmised haavatavused.

• Spectre Variant 2 AMD protsessoritele

• Inteli protsessorite spekulatiivsete salveeraldustepass

13. juunil 2018 teatati ja määrati CVE-2018-3665 täiendavaks nõrkuseks, mis hõlmas külgmise kanali spekulatiivset käivitamist ehk lazy FP oleku taastamist. Lazy Restore FP Restore'i jaoks pole konfiguratsiooni (registri) sätteid vaja.

Lisateavet selle nõrkuse, mõjutatud toodete ja soovitatud toimingute kohta leiate järgmisest turbenõuandlast.

• ADV180016 | Microsofti juhised lazy FP oleku taastamiseks

12. juunil teatas Microsoft Inteli protsessorites Windowsi toe speculative Store Bypass Disable (SSBD) jaoks. Värskendused nõuavad funktsionaalsuse jaoks vastavat püsivara - (mikrokoodi) ja registrivärskendusi. Värskenduste ja SSBD sisselülitamiseks kohaldatavate juhiste kohta leiate teavet ADV180012 jaotisest "Soovitatavad toimingud" . Microsofti juhised Speculative Store Bypassi jaoks.

2018. aasta mai Windowsi operatsioonisüsteemi värskendused

2018. aasta jaanuaris avaldas Microsoft teavet hiljuti avastatud riistvaranõrkuste (tuntud kui Spectre ja Meltdown) kohta, mis hõlmavad AMD-d, ARM-i ja Inteli protsessorit mõjutavaid spekulatiivseid käivitamise kanaleid, erineval määral. 21. mail 2018 avaldasid Microsoft ja IntelGoogle Project Zero (GPZ) kaks uut kiibi nõrkust, mis on seotud Spectre'i ja Meltdowni probleemidega, mida nimetatakse Speculative Store Bypass (SSB) ja Rogue System Registry Read.

Mõlemast avalikustamisest tulenevad kliendiriskid on madalad.

Lisateavet nende nõrkuste kohta leiate järgmistest ressurssidest.

• Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639

• Microsoft Security Advisory for Rogue System Register Read: MSRC ADV180013and CVE-2018-3640

• Security Research and Defense: Speculative Store bypassi analüüs ja leevendamine (CVE-2018-3639)

Kehtivad järgmiste toodete kohta: Windows 10, versioon 1607, Windows Server 2016, Windows Server 2016 (Serveri tuuma installimine) ja Windows Serveri versioon 1709 (Serveri tuuma installimine)

Oleme tuge kaudse haru ennustustõkke (IBPB) kasutuse juhtimiseks mõnedes AMD protsessorites (CPU-des) CVE-2017-5715, Spectre Variant 2 leevenduseks, kui vahetate kasutaja kontekstilt tuuma kontekstile. (Lisateavet leiate teemast AMD arhitektuurisuunised kaudse haru juhtimise jaAMD turbe Teabevärskendused kohta).

Kliendid, kes kasutavad Windows 10 versiooni 1607, Windows Server 2016, Windows Server 2016 (Server Core'i installimine) ja Windows Serveri versiooni 1709 (Server Core'i installimine), peavad installima turbevärskenduse 4103723 AMD protsessorite jaoks CVE-2017-5715, Branch Target Injectioni jaoks. See värskendus on saadaval ka Windows Update kaudu.

Järgige juhiseid, mis on välja toodud Windowsi klientrakenduse (IT Pro) kb 4073119 ja Windows Serveri juhistes KB 4072698 , et lubada IBPB kasutamine mõnes AMD protsessoris (CPU-des) Spectre Variant 2 leevendamiseks, kui vahetate kasutaja kontekstilt tuuma kontekstile.

Microsoft teeb kättesaadavaks Inteli valideeritud mikrokoodi värskendused Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection" kohta). Uusimate Inteli mikrokoodi värskenduste saamiseks Windows Update peavad kliendid enne Windows 10. aprilli 2018 värskenduse (versioon 1803) kasutuselevõttu olema installinud Inteli mikrokoodi seadmetesse, kus töötab operatsioonisüsteem Windows 10.

Mikrokoodi värskendus on saadaval ka otse kataloogist, kui see polnud seadmesse installitud enne operatsioonisüsteemi täiendamist. Inteli mikrokood on saadaval Windows Update, WSUS-i või Microsoft Update'i kataloogi kaudu. Lisateavet ja allalaadimisjuhised leiate teemast KB 4100347.

Pakume Windowsi operatsioonisüsteemi jaoks Inteli täiendavaid mikrokoodivärskendusi kohe, kui need Microsoftile kättesaadavaks tehakse.

Kehtivad järgmiste toodete kohta: Windows 10, versioon 1709

Oleme tuge kaudse haru ennustustõkke (IBPB) kasutuse juhtimiseks mõnedes AMD protsessorites (CPU-des) CVE-2017-5715, Spectre Variant 2 leevenduseks, kui vahetate kasutaja kontekstilt tuuma kontekstile. (Lisateavet leiate teemast AMD arhitektuurisuunised kaudse haru juhtimise jaAMD turbe Teabevärskendused kohta).

Järgige juhiseid, mis on toodud teemas KB 4073119 Windowsi klientrakenduse (IT Pro) jaoks, et lubada IBPB kasutamine mõnedes AMD protsessorites (CPU-des) Spectre Variant 2 leevendamiseks, kui vahetate kasutaja kontekstilt tuuma kontekstile.

Microsoft teeb kättesaadavaks Inteli valideeritud mikrokoodi värskendused Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") ümber. KB4093836 loetleb Windowsi versiooni järgi kindlad teabebaasiartiklid. Iga konkreetne KB sisaldab uusimaid saadaolevaid Inteli mikrokoodi värskendusi protsessori järgi.

Pakume Windowsi operatsioonisüsteemi jaoks Inteli täiendavaid mikrokoodivärskendusi kohe, kui need Microsoftile kättesaadavaks tehakse. 

2018. aasta märtsi ja uuemad Windowsi operatsioonisüsteemi värskendused

23. märts, TechNeti & Defense: KVA vari: Mitigating Meltdown windowsis

14. märts, Security Tech Center: Speculative Execution Side Channel Bounty programmitingimused

13. märts, ajaveeb: märts 2018 Windowsi turve update – laiendamine meie jõupingutused klientide kaitsmiseks

1. märtsi ajaveeb: Spectre'i ja Meltdowni turbevärskenduste värskendamine Windowsi seadmete jaoks

Alates märtsist 2018 andis Microsoft välja turbevärskendused, et pakkuda leevendusi seadmetele, milles töötavad järgmised x86-põhised Windowsi operatsioonisüsteemid. Kliendid peaksid saadaolevate kaitsefunktsioonide kasutamiseks installima uusimad Windowsi operatsioonisüsteemi turbevärskendused. Töötame selle nimel, et pakkuda kaitset muude toetatud Windowsi versioonide jaoks, kuid praegu pole neil väljaandegraafikut. Vaadake värskendusi siit. Lisateavet leiate seotud teabebaasi artiklist tehniliste üksikasjade ja jaotise "KKK" kohta.

Tootevärskendus on välja antud	Olek	Väljalaske kuupäev	Väljalaskekanal	KB
Windows 8.1 & Windows Server 2012 R2 – ainult turbevärskendus	Välja antud	13. märts	WSUS, kataloog,	KB4088879
Windows 7 SP1 & Windows Server 2008 R2 SP1 – ainult turbevärskendus	Välja antud	13. märts	WSUS, kataloog	KB4088878
Windows Server 2012 – ainult turbevärskendus Windows 8 Embedded Standard Edition – ainult turbevärskendus	Välja antud	13. märts	WSUS, kataloog	KB4088877
Windows 8.1 & Windows Server 2012 R2 – igakuine värskenduskomplekt	Välja antud	13. märts	WU, WSUS, kataloog	KB4088876
Windows 7 SP1 & Windows Server 2008 R2 SP1 – igakuine värskenduskomplekt	Välja antud	13. märts	WU, WSUS, kataloog	KB4088875
Windows Server 2012 – igakuine värskenduskomplekt Windows 8 Embedded Standard Edition – igakuine värskenduskomplekt	Välja antud	13. märts	WU, WSUS, kataloog	KB4088877
Windows Server 2008 SP2	Välja antud	13. märts	WU, WSUS, kataloog	KB4090450

Alates 2018. aasta märtsist andis Microsoft välja turbevärskendused, et pakkuda leevendusi seadmetele, milles töötavad järgmised x64-põhised Windowsi operatsioonisüsteemid. Kliendid peaksid saadaolevate kaitsefunktsioonide kasutamiseks installima uusimad Windowsi operatsioonisüsteemi turbevärskendused. Töötame selle nimel, et pakkuda kaitset muude toetatud Windowsi versioonide jaoks, kuid praegu pole neil väljaandegraafikut. Vaadake värskendusi siit. Lisateavet leiate seotud teabebaas artiklist tehniliste üksikasjade ja jaotise "KKK" kohta.

Tootevärskendus on välja antud	Olek	Väljalaske kuupäev	Väljalaskekanal	KB
Windows Server 2012 – ainult turbevärskendus Windows 8 Embedded Standard Edition – ainult turbevärskendus	Välja antud	13. märts	WSUS, kataloog	KB4088877
Windows Server 2012 – igakuine värskenduskomplekt Windows 8 Embedded Standard Edition – igakuine värskenduskomplekt	Välja antud	13. märts	WU, WSUS, kataloog	KB4088877
Windows Server 2008 SP2	Välja antud	13. märts	WU, WSUS, kataloog	KB4090450

See värskendus lahendab õiguste laiendamise nõrkuse Windowsi tuumas 64-bitises (x64) Windowsi versioonis. See nõrkus on dokumenteeritud dokumendis CVE-2018-1038. Kasutajad peavad selle värskenduse rakendama, et olla selle nõrkuse eest täielikult kaitstud, kui nende arvuteid värskendati 2018. aasta jaanuaris või hiljem, rakendades mis tahes värskendused, mis on loetletud järgmises teabebaasi artiklis:

Windowsi tuuma värskendus CVE-2018-1038 jaoks

See turbevärskendus kõrvaldab mitmed Internet Exploreri teatatud nõrkused. Lisateavet nende nõrkuste kohta leiate teemast Microsofti levinumad haavatavused ja säritused. 

Tootevärskendus on välja antud	Olek	Väljalaske kuupäev	Väljalaskekanal	KB
Internet Explorer 10 – Windows 8 Embedded Standard Editioni koondvärskendus	Välja antud	13. märts	WU, WSUS, kataloog	KB4089187

2018. aasta veebruari Windowsi operatsioonisüsteemi värskendused

Ajaveeb: Windows Analytics aitab nüüd hinnata Spectre'i ja Meltdowni kaitset

Järgmised turbevärskendused pakuvad täiendavat kaitset seadmetele, milles töötab 32-bitine (x86) Windowsi operatsioonisüsteem. Microsoft soovitab klientidel värskendus installida kohe, kui see on saadaval. Töötame selle nimel, et pakkuda kaitset ka teistele toetatud Windowsi versioonidele, kuid meil pole praegu väljaandegraafikut. Vaadake värskendusi siit. 

Märkus Windows 10 igakuised turbevärskendused on kumulatiivsed kuude lõikes ning need laaditakse alla ja installitakse automaatselt alates Windows Update. Kui olete installinud varasemad värskendused, laaditakse ja installitakse teie seadmesse ainult uued osad. Lisateavet leiate seotud teabebaasi artiklist tehniliste üksikasjade ja jaotise "KKK" kohta.

Tootevärskendus on välja antud	Olek	Väljalaske kuupäev	Väljalaskekanal	KB
Windows 10 – versioon 1709 / Windows Server 2016 (1709) / IoT Core – kvaliteedivärskendus	Välja antud	31. jaan	WU, kataloog	KB4058258
Windows Server 2016 (1709) – serveri konteiner	Välja antud	13. veebr	Dockeri keskus	KB4074588
Windows 10 – versioon 1703 / IoT Core – kvaliteedivärskendus	Välja antud	13. veebr	WU, WSUS, kataloog	KB4074592
Windows 10 – versioon 1607 / Windows Server 2016 / IoT Core – kvaliteedivärskendus	Välja antud	13. veebr	WU, WSUS, kataloog	KB4074590
HoloLensi Windows 10 – operatsioonisüsteemi ja püsivara Teabevärskendused	Välja antud	13. veebr	WU, kataloog	KB4074590
Windows Server 2016 (1607) – konteineri pildid	Välja antud	13. veebr	Dockeri keskus	KB4074590
Windows 10 – versioon 1511 / IoT Core – kvaliteedivärskendus	Välja antud	13. veebr	WU, WSUS, kataloog	KB4074591
Windows 10 – versioon RTM – kvaliteedivärskendus	Välja antud	13. veebr	WU, WSUS, kataloog	KB4074596

2018. aasta jaanuari Windowsi operatsioonisüsteemi värskendused

Ajaveeb: Spectre'i ja Meltdowni leevendusmeetmete jõudluse mõju mõistmine Windowsi süsteemides

Alates jaanuarist 2018 andis Microsoft välja turbevärskendused, et pakkuda leevendusi seadmetele, milles töötavad järgmised x64-põhised Windowsi operatsioonisüsteemid. Kliendid peaksid saadaolevate kaitsefunktsioonide kasutamiseks installima uusimad Windowsi operatsioonisüsteemi turbevärskendused. Töötame selle nimel, et pakkuda kaitset muude toetatud Windowsi versioonide jaoks, kuid praegu pole neil väljaandegraafikut. Vaadake värskendusi siit. Lisateavet leiate seotud teabebaasi artiklist tehniliste üksikasjade ja jaotise "KKK" kohta.

Tootevärskendus on välja antud	Olek	Väljalaske kuupäev	Väljalaskekanal	KB
Windows 10 – versioon 1709 / Windows Server 2016 (1709) / IoT Core – kvaliteedivärskendus	Välja antud	3. jaan	WU, WSUS, kataloog, Azure’i pilgigalerii	KB4056892
Windows Server 2016 (1709) – serveri konteiner	Välja antud	5. jaan	Dockeri keskus	KB4056892
Windows 10 – versioon 1703 / IoT Core – kvaliteedivärskendus	Välja antud	3. jaan	WU, WSUS, kataloog	KB4056891
Windows 10 – versioon 1607 / Windows Server 2016 / IoT Core – kvaliteedivärskendus	Välja antud	3. jaan	WU, WSUS, kataloog	KB4056890
Windows Server 2016 (1607) – konteineri pildid	Välja antud	4. jaan	Dockeri keskus	KB4056890
Windows 10 – versioon 1511 / IoT Core – kvaliteedivärskendus	Välja antud	3. jaan	WU, WSUS, kataloog	KB4056888
Windows 10 – versioon RTM – kvaliteedivärskendus	Välja antud	3. jaan	WU, WSUS, kataloog	KB4056893
Windows 10 Mobile (operatsioonisüsteemi järk 15254.192) – ARM	Välja antud	5. jaan	WU, kataloog	KB4073117
Windows 10 Mobile (operatsioonisüsteemi järk 15063.850)	Välja antud	5. jaan	WU, kataloog	KB4056891
Windows 10 Mobile (operatsioonisüsteemi järk 14393.2007)	Välja antud	5. jaan	WU, kataloog	KB4056890
Windows 10 HoloLens	Välja antud	5. jaan	WU, kataloog	KB4056890
Windows 8.1 / Windows Server 2012 R2 – ainult turbevärskendus	Välja antud	3. jaan	WSUS, kataloog	KB4056898
Windows Embedded 8.1 Industry Enterprise	Välja antud	3. jaan	WSUS, kataloog	KB4056898
Windows Embedded 8.1 Industry Pro	Välja antud	3. jaan	WSUS, kataloog	KB4056898
Windows Embedded 8.1 Pro	Välja antud	3. jaan	WSUS, kataloog	KB4056898
Windows 8.1 / Windows Server 2012 R2 igakuine värskenduskomplekt	Välja antud	8. jaan	WU, WSUS, kataloog	KB4056895
Windows Embedded 8.1 Industry Enterprise	Välja antud	8. jaan	WU, WSUS, kataloog	KB4056895
Windows Embedded 8.1 Industry Pro	Välja antud	8. jaan	WU, WSUS, kataloog	KB4056895
Windows Embedded 8.1 Pro	Välja antud	8. jaan	WU, WSUS, kataloog	KB4056895
Ainult Windows Server 2012 turve	Välja antud		WSUS, kataloog
Windows Server 2008 SP2	Välja antud		WU, WSUS, kataloog
Windows Server 2012 igakuine värskenduskomplekt	Välja antud		WU, WSUS, kataloog
Windows Embedded 8 Standard	Välja antud		WU, WSUS, kataloog
Windows 7 SP1 / Windows Server 2008 R2 SP1 – ainult turbevärskendus	Välja antud	3. jaan	WSUS, kataloog	KB4056897
Windows Embedded Standard 7	Välja antud	3. jaan	WSUS, kataloog	KB4056897
Windows Embedded POSReady 7	Välja antud	3. jaan	WSUS, kataloog	KB4056897
Windows Thin PC	Välja antud	3. jaan	WSUS, kataloog	KB4056897
Windows 7 SP1 / Windows Server 2008 R2 SP1 igakuine värskenduskomplekt	Välja antud	4. jaan	WU, WSUS, kataloog	KB4056894
Windows Embedded Standard 7	Välja antud	4. jaan	WU, WSUS, kataloog	KB4056894
Windows Embedded POSReady 7	Välja antud	4. jaan	WU, WSUS, kataloog	KB4056894
Windows Thin PC	Välja antud	4. jaan	WU, WSUS, kataloog	KB4056894
Internet Explorer 11 koondvärskendus Windows 7 SP1 ja Windows 8.1 jaoks	Välja antud	3. jaan	WU, WSUS, kataloog	KB4056568

9. aprillil 2024 avaldasime CVE-2022-0001 | Inteli haruajaloo süst , mis kirjeldab haruajaloo süstimist (BHI), mis on konkreetne moodusesisese BTI vorm. See nõrkus ilmneb siis, kui ründaja võib töödelda harude ajalugu enne üleminekut kasutajalt juhendaja režiimile (või VMX-i mittejuur-/külaline juurrežiimi). Selline manipuleerimine võib põhjustada kaudse haru ennustusel valida kaudse haru jaoks konkreetse ennustajakirje ja ennustatud eesmärgil avalikustamise vidik käivitatakse ajutiselt. See võib olla võimalik, kuna vastav haruajalugu võib sisaldada varasemates turbekontekstides, eriti muudes prognoosirežiimides tehtud filiaale.

Järgige juhiseid, mis on toodud KB4073119 Windowsi klientrakenduse (IT Pro) juhistes ja KB4072698 Windows Serveri juhistes, et leevendada CVE-2022-0001 | Inteli haru ajaloosüst.

Microsofti turbenõuandla L1 terminali tõrgete kohta (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646

Security Research and Defense: Speculative Store bypassi analüüs ja leevendamine (CVE-2018-3639)

Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639

Microsofti turbenõuandla Rogue'i süsteemiregistri kohta Read | Surface'i turbevärskenduste juhend: MSRC ADV180013ja CVE-2018-3640

Security Research and Defense: Speculative Store bypassi analüüs ja leevendamine (CVE-2018-3639)

TechNet Security Research & Defense: KVA Vari: Meltdowni leevendamine Windowsis

Security Tech Center: Speculative Execution Side Channel Bounty program terms

Microsoft Experience'i ajaveeb: Spectre'i ja Meltdowni turbevärskenduste värskendamine Windowsi seadmete jaoks

Windowsi ärirakenduse ajaveeb: Windows Analytics aitab nüüd hinnata Spectre'i ja Meltdowni kaitset

Microsoft Secure'i ajaveeb: Spectre'i ja Meltdowni leevendusmeetmete jõudluse mõju mõistmine Windowsi süsteemides

Edge'i arendajate ajaveeb: külgmise kanali spekulatiivsete käivitamise rünnakute leevendamine Microsoft Edge'is ja Internet Exploreris

Azure'i ajaveeb: Azure'i klientide turvamine CPU nõrkuse eest

SCCM juhised: täiendavad juhised külgmise kanali spekulatiivsete käivitamise nõrkuste leevendamiseks

Microsofti nõuandvad nõustajad:

• ADV180002 | Juhised külgmise kanali spekulatiivsete käivitamise nõrkuste leevendamiseks

• ADV180012 | Microsofti juhised spekulatiivsete poeeraldade möödumise kohta

• ADV180013 | Microsofti juhised Rogue'i süsteemiregistri kohta Loe

• ADV180016 | Microsofti juhised lazy FP oleku taastamiseks

• ADV180018 | Microsofti juhised L1TF-variandi leevendamiseks

Intel: turbenõuandla

ARM: turbenõuandla

AMD: turbenõuandla

NVIDIA: Turbenõuandla

Tarbijasuunised: seadme kaitsmine kiibiga seotud turbenõrkuste eest

Viirusetõrje suunised: 3. jaanuaril 2018 välja antud Windowsi turbevärskendused ja viirusetõrjetarkvara

Juhised AMD Windowsi operatsioonisüsteemi turbevärskenduste blokeerimiseks: KB4073707: Windowsi operatsioonisüsteemi turbevärskenduse blokeerimine mõne AMD-põhise seadme jaoks

Spectre'i leevenduse keelamise värskendus, variant 2: KB4078130: Intel tuvastas mõnes vanemas protsessoris mikrokoodi taaskäivitamise probleemid 

Surface'i suunised: Surface'i suunised külgmise kanali spekulatiivsete käivitamise nõrkuste eest kaitsmiseks

Külgmise kanali spekulatiivsete käivitamise leevenduste oleku kontrollimine: PowerShelli skriptiväljundi Get-SpeculationControlSettings mõistmine

IT Pro suunised: Windowsi kliendisuunised IT-spetsialistidele, et kaitsta külgmise kanali spekulatiivsete käivitamise nõrkuste eest

Serveri juhised: Windows Serveri suunised külgmise kanali spekulatiivsete käivitamise nõrkuste eest kaitsmiseks

L1 terminali tõrke serverijuhised: Windows Serveri suunised L1 terminali tõrke eest kaitsmiseks

Arendusjuhised: Spekulatiivse poe bypassi arendusjuhised

Server Hyper-V suunised

• Virtuaalarvuti ressursi juhtelemendid

• Hyper-V hosti CPU ressursihaldus

Azure KB: KB4073235: Microsofti pilvkaitse spekulatiivsete käivitamise Side-Channel nõrkuste eest

Azure Stacki juhised: KB4073418: Azure'i pinu juhised külgmise kanali spekulatiivsete käivitamise nõrkuste eest kaitsmiseks

Azure'i töökindlus: Azure'i töökindlusportaal

SQL Server suunised: KB4073225: SQL Server suunised külgmise kanali spekulatiivsete käivitamise nõrkuste eest kaitsmiseks

OEM- ja serveriseadmete tootjate lingid värskenduste saamiseks Spectre'i ja Meltdowni nõrkuste eest kaitsmiseks

Nende nõrkuste lahendamiseks peate värskendama nii riist- kui ka tarkvara. Järgmiste linkide kaudu saate oma seadme tootjalt otsida asjakohaseid püsivaravärskendusi (mikrokoodi).

Järgmiste linkide kaudu saate oma seadme tootjalt otsida püsivaravärskendusi (mikrokoodi). Kõigi saadaolevate kaitsefunktsioonide jaoks peate installima nii operatsioonisüsteemi kui ka püsivaravärskendused (mikrokoodi).

OEM-i seadmetootjad	Link mikrokoodi saadavusele
Acer	Sulamise ja Spectre'i turbenõrkused
Asus	ASUS Update on Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method
Dell	Sulamise ja Spectre'i nõrkused
Epson	CPU nõrkused (külgmised kanalirünnakud)
Fujitsu	Külgmise kanali rünnakutele haavatav protsessoririistvara (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HP	TUGISUHTLUS – TURBEBÜLLETÄÄN
Lenovo	Lugemisõigusega mälu külgkanaliga
LG	Tootespikri & tugiteenused
NEC	Vastuseks protsessori nõrkusele (sulamine, spekter) meie toodetes
Panasonic	Turbeteave nõrkuse kohta spekulatiivse täitmise ja kaudse haru ennustuse külgmise kanali analüüsimeetodi abil
Samsung	Inteli protsessorite tarkvaravärskenduse teadaanne
Surface	Surface’i suunised külgmise kanali spekulatiivsete käivitamise nõrkuste eest kaitsmiseks
Toshiba	Intel, AMD & Microsoft Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method Security Vulnerabilities (2017)
Vaio	Külgmise kanalianalüüsi nõrkuse toel

Serveri OEM-i tootjad	Link mikrokoodi saadavusele
Dell	Sulamise ja Spectre'i nõrkused
Fujitsu	Külgmise kanali rünnakutele haavatav protsessoririistvara (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HPE	Hewlett Packard Enterprise'i tooteturbe nõrkuse teatised
Huawei	Security Notice - Statement on the Media Disclosure of the Security Vulnerabilities in the Intel CPU Architecture Design
Lenovo	Lugemisõigusega mälu külgkanaliga

Küsige oma seadme tootjalt püsivaravärskendusi (mikrokoodi). Kui teie seadmetootjat selles tabelis pole, võtke ühendust otse OEM-iga.

Teabevärskendused Microsoft Surface'i seadmete jaoks on klientidele saadaval Windows Update kaudu. Saadaolevate Surface'i seadme püsivaravärskenduste (mikrokoodi) värskenduste loendi leiate teemast KB 4073065.

Kui teie seade ei ole Microsoftilt, rakendage seadme tootja püsivaravärskendusi. Lisateabe saamiseks pöörduge oma seadme tootja poole.

Riistvaranõrkuse lahendamine tarkvaravärskenduse abil kujutab endast vanemate operatsioonisüsteemide jaoks olulisi väljakutseid ja leevendusi ning võib nõuda ulatuslikke arhitektuurilisi muudatusi. Jätkame koostööd mõjutatud kiibi tootjatega, et välja selgitada parim viis leevendusmeetmete pakkumiseks. Selle võib pakkuda tulevane värskendus. Nende vanemate operatsioonisüsteemidega vanemate seadmete asendamine ja viirusetõrjetarkvara värskendamine peaks ülejäänud riskiga tegelema.

Kuigi Windows XP-põhised süsteemid on mõjutatud tooted, ei väljasta Microsoft neile värskendust, sest vajalikud ulatuslikud arhitektuurilised muudatused ohustaksid süsteemi stabiilsust ja põhjustaksid probleeme rakenduste ühilduvusega. Soovitame turbest teadlikel olevatel klientidel üle minna uuemale toetatud operatsioonisüsteemile, et hoida sammu muutuva turbeohtude maastikuga ja saada kasu töökindlamatest kaitsetest, mida pakuvad uuemad operatsioonisüsteemid.

holoLensi Windows 10 Teabevärskendused on HoloLensi klientidele Windows Update kaudu saadaval.

Pärast 2018. aasta veebruari Windowsi turve värskenduserakendamist ei pea HoloLensi kliendid oma seadme püsivara värskendamiseks midagi tegema. Need leevendused lisatakse ka HoloLensi Windows 10 tulevastesse väljaannetesse.

Lisateabe saamiseks pöörduge oma OEM-i poole.

Seadme täielikuks kaitsmiseks peaksite installima oma seadme uusimad Windowsi operatsioonisüsteemi turbevärskendused ja seadme tootja asjakohased püsivaravärskendused (mikrokoodi). Need värskendused peaksid olema saadaval seadmetootja veebisaidil. Viirusetõrjetarkvara värskendused tuleb installida esimesena. Operatsioonisüsteemi ja püsivara värskendused võib installida meelepärases järjestuses.

Selle nõrkuse kõrvaldamiseks peate värskendama nii riistvara kui ka tarkvara. Põhjalikuma kaitse saamiseks peate installima ka seadme tootja asjakohased püsivaravärskendused (mikrokoodi). Soovitame teil kord kuus installida turbevärskendused, mis tagavad teie seadmete ajakohasuse.

Igas Windows 10 funktsioonivärskenduses loome sügavale operatsioonisüsteemi uusima turbetehnoloogia, pakkudes sügavuti kaitsefunktsioone, mis takistavad tervetel ründevaraklassidel teie seadet mõjutada. Funktsioonivärskenduse väljaandeid saadetakse kaks korda aastas. Lisame igakuisesse kvaliteedivärskendusse veel ühe turbekihi, mis jälgib ründevara esilekerkivaid ja muutuvaid trende, et ajakohased süsteemid oleksid muutuvate ja arenevate ohtude suhtes turvalisemad.

Microsoft on Windows Update kaudu tühistanud Windowsi toetatud versioonide Windows 10, Windows 8.1 ja Windows 7 SP1 seadmete AV ühilduvuskontrolli. 

Soovitused:

• Veenduge, et teie seadmed oleksid ajakohased, võttes arvesse Microsofti ja riistvaratootja uusimaid turbevärskendusi. Lisateavet seadme ajakohasena hoidmise kohta leiate teemast Windows Update: KKK.

• Jätkake mõistliku ettevaatusega, kui külastate tundmatu päritoluga veebisaite ja ärge jääge saitidele, mida te ei usalda. Microsoft soovitab kõigil klientidel oma seadmeid kaitsta, käivitades toetatud viirusetõrjeprogrammi. Kliendid saavad kasutada ka sisseehitatud viirusetõrjet: Windows Defender Windows 10 seadmete jaoks või Microsoft Security Essentials Windows 7 seadmete jaoks. Need lahendused ühilduvad juhtudel, kui kliendid ei saa viirusetõrjetarkvara installida ega käitada.

Selleks et vältida kliendiseadmete kahjulikku mõju, pole jaanuaris või veebruaris välja antud Windowsi turbevärskendusi kõigile klientidele pakutud. Üksikasjalikumat teavet leiate Microsofti teabebaasi (Knowledge Base) artiklist 4072699. 

Intel on teatanud hiljuti välja antud mikrokoodi mõjutavatest probleemidest , mis on mõeldud Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection") lahendamiseks. Täpsemalt märkis Intel, et see mikrokood võib põhjustada "oodatust kõrgemaid taaskäivitusi ja muud ettearvamatut süsteemikäitumist" ja ka seda, et sellised olukorrad võivad põhjustada andmete kaotsiminekut või riket.  Meie enda kogemus on see, et süsteemi ebastabiilsus võib teatud juhtudel põhjustada andmete kaotsiminekut või rikkumist. 22. jaanuaril soovitas Intel klientidel peatada praeguse mikrokoodi versiooni juurutamine mõjutatud protsessorites, samal ajal kui nad teevad värskendatud lahendusega täiendavaid katseid. Mõistame, et Intel uurib jätkuvalt praeguse mikrokoodi versiooni potentsiaalset mõju ning julgustame kliente otsustest teavitamiseks pidevalt oma juhiseid läbi vaatama.

Kuigi Intel testib, värskendab ja juurutab uut mikrokoodi, teeme kättesaadavaks ribavälise (OOB) värskenduse ( KB 4078130), mis keelab ainult CVE-2017-5715 leevenduse – "Branch Target Injection". Meie testimise käigus leiti, et see värskendus takistab kirjeldatud käitumist. Seadmete täieliku loendi leiate Inteli mikrokoodi parandusjuhistest. See värskendus hõlmab klientarvuti ja serveri operatsioonisüsteeme Windows 7 (SP1), Windows 8.1 ja Windows 10 kõiki versioone. Kui kasutate mõnda mõjutatud seadet, saate selle värskenduse rakendada, laadides selle alla Microsoft Update'i kataloogi veebisaidilt. Selle lasti rakendamine keelab konkreetselt ainult CVE-2017-5715 leevenduse – "Branch Target Injection". 

Alates 25. jaanuarist pole teadaolevaid teateid selle kohta, et seda Spectre Variant 2 (CVE-2017-5715) oleks kasutatud klientide ründamiseks. Kui see on asjakohane, soovitame Windowsi klientidel CVE-2017-5715 leevendus uuesti lubada, kui Intel teatab, et see ettearvamatu süsteemikäitumine on teie seadme jaoks lahendatud.

Ei. Ainult turbevärskendused pole kumulatiivsed. Olenevalt kasutatavast operatsioonisüsteemi versioonist peate nende nõrkuste eest kaitsmiseks installima kõik välja antud turbevärskendused. Näiteks kui kasutate mõjutatud Inteli protsessoriga windows 7 32-bitises süsteemis, peate installima iga ainult turbevärskenduse alates jaanuarist 2018. Soovitame need ainult turbevärskendused installida väljaandmisjärjestuses.
 
Märkus Selle KKK varasem versioon teatas valesti, et veebruari turbevärskendus sisaldas jaanuaris välja antud turbeparandusi. Tegelikult ei ole.

Ei. Turbevärskendus 4078130 oli konkreetne lahendus, et vältida ettearvamatuid süsteemikäitumisi, jõudlusprobleeme ja ootamatuid taaskäivitamisi pärast mikrokoodi installimist. Veebruari turbevärskenduste rakendamine Windowsi kliendi operatsioonisüsteemides võimaldab kõiki kolme leevendusmeetmeid. Windowsi serveri operatsioonisüsteemides peate leevendused pärast asjakohase testimist siiski lubama. Lisateavet leiate Microsofti teabebaasi artiklist 4072698 .

AMD teatas hiljuti, et on alustanud mikrokoodi väljaandmist uuematele protsessoriplatvormidele Spectre Variant 2 ümber (CVE-2017-5715 "Branch Target Injection"). Lisateavet leiate AMD turbe Teabevärskendused ja AMD Whitepaper: arhitektuurisuunised kaudse haru juhtimise kohta. Need on saadaval OEM-i püsivarakanali kaudu. 

Intel teatas hiljuti , et on valideerimise lõpetanud ja alustanud mikrokoodi väljaandmist uuemate protsessoriplatvormide jaoks. Microsoft teeb kättesaadavaks Inteli valideeritud mikrokoodi värskendused Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") ümber. Kb 4093836 loetleb windowsi versiooni kindlad teabebaasiartiklid. Iga konkreetne KB sisaldab saadaolevaid Inteli mikrokoodi värskendusi protsessori kaupa.

Microsoft teeb kättesaadavaks Inteli valideeritud mikrokoodi värskendused Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection" kohta). Uusimate Inteli mikrokoodi värskenduste saamiseks Windows Update peavad kliendid enne Windows 10. aprilli 2018 värskenduse (versioon 1803) kasutuselevõttu olema installinud Inteli mikrokoodi seadmetesse, kus töötab operatsioonisüsteem Windows 10.

Mikrokoodi värskendus on saadaval ka otse värskenduste kataloogist, kui seda polnud enne süsteemi täiendamist seadmesse installitud. Inteli mikrokood on saadaval Windows Update, WSUS-i või Microsoft Update'i kataloogi kaudu. Lisateavet ja allalaadimisjuhised leiate teemast KB 4100347.

Lisateavet leiate järgmistest materjalidest.

• ADV180012 | Microsofti juhised Speculative Store Bypassi jaoks CVE-2018-3639 jaoks

• ADV180013 | Microsofti suunised Rogue'i süsteemiregistri jaoks – CVE-2018-3640 ja KB 4073065 | Juhised Surface'i klientidele

• Microsoft Security Research and Defense ajaveeb

• Speculative Store Bypassi arendusjuhised

Üksikasjalikumat teavet leiate ADV180012 jaotistest "Soovitatavad toimingud" ja "KKK" . Microsofti juhised Speculative Store Bypassi jaoks.

SSBD oleku kontrollimiseks värskendati Get-SpeculationControlSettings PowerShelli skripti mõjutatud protsessorite tuvastamiseks, SSBD operatsioonisüsteemi värskenduste olekut ja protsessori mikrokoodi olekut (kui see on asjakohane). Lisateabe saamiseks ja PowerShelli skripti hankimiseks vaadake teemat KB4074629.

13. juunil 2018 teatati ja määrati CVE-2018-3665 täiendavaks nõrkuseks, mis hõlmas külgmise kanali spekulatiivset käivitamist ehk lazy FP oleku taastamist. Lazy Restore FP Restore'i jaoks pole konfiguratsiooni (registri) sätteid vaja.

Lisateavet selle nõrkuse ja soovitatud toimingute kohta leiate turbenõuandlast: ADV180016 | Microsofti juhised lazy FP oleku taastamiseks

MärkusLazy Restore FP Restore'i jaoks pole konfiguratsiooni (registri) sätteid vaja.

Bounds Check Bypass Store (BCBS) avaldati 10. juulil 2018 ja talle määrati CVE-2018-3693. Arvame, et BCBS kuulub samasse nõrkuste klassi nagu Bounds Check Bypass (Variant 1). Me pole praegu teadlikud BCBS-i eksemplaridest meie tarkvaras, kuid jätkame selle haavatavuse klassi uurimist ja teeme koostööd tööstuspartneritega leevendusmeetmete väljaandmiseks vastavalt vajadusele. Julgustame teadlasi jätkuvalt esitama asjakohaseid leide Microsofti spekulatiivse käivitamise külgkanali bounty programmile, sh BCBS-i ekspluateerivatele eksemplaridele. Tarkvaraarendajad peaksid https://aka.ms/sescdevguide üle vaatama BCBS-i jaoks värskendatud arendusjuhised.

14. augustil 2018 teatati L1 Terminal Fault (L1TF) ja määrati mitu CV-d. Neid uusi spekulatiivseid käivitamise külgmise kanali nõrkusi saab kasutada mälu sisu lugemiseks üle usaldusväärse piiri ja võib kasutamisel põhjustada teabe avaldamise. On mitu vektorit, mille abil ründaja võib sõltuvalt konfigureeritud keskkonnast haavatavused käivitada. L1TF mõjutab Intel® Core'i® protsessoreid ja Intel® Xeoni® protsessoreid.

Selle nõrkuse kohta lisateabe saamiseks ja mõjutatud stsenaariumide üksikasjalikuks kuvamiseks (sh Microsofti lähenemisviis L1TF-i leevendamiseks) lugege järgmisi ressursse.

• ADV180018 | Microsofti juhised L1TF-variandi leevendamiseks

• Turbenõuandla turbeuuringute ajaveeb

• L1 terminali tõrke serverijuhised

Microsoft Surface'i kliendid: Microsoft Surface'i ja Surface Book tooteid kasutavad kliendid peavad järgima Windowsi klientrakenduse juhiseid, mida kirjeldatakse turbenõuandlas: ADV180018 | Microsofti juhised L1TF-i variandi leevendamiseks. Lisateavet mõjutatud Surface'i toodete ja mikrokoodi värskenduste kättesaadavuse kohta leiate ka Microsofti teabebaasi artikli 4073065 .

Microsoft Hololesi kliendid: L1TF ei mõjuta Microsoft HoloLens, kuna see ei kasuta mõjutatud Inteli protsessorit.

Hyper-Threading keelamiseks vajalikud toimingud erinevad OEM-ist OEM-ile, kuid on üldiselt BIOS-i või püsivara häälestamise ja konfigureerimise tööriistade osa.

Kliendid, kes kasutavad 64-bitist ARM-protsessorit, peaksid küsima seadme OEM-ilt püsivaratuge, kuna ARM64 operatsioonisüsteemi kaitse, mis leevendab CVE-2017-5715 – haru sihtsüst (Spectre, Variant 2), nõuavad seadme OEM-ide uusimat püsivaravärskendust.

Lisateavet selle nõrkuse kohta leiate Microsofti turbejuhendist: CVE-2019-1125 | Windowsi tuumateabe avaldamise nõrkus.

Me pole teadlikud selle teabe avaldamise nõrkusest, mis mõjutab meie pilvteenuste taristut.

Kohe, kui sellest probleemist teada saime, töötasime selle probleemi lahendamiseks ja värskenduse väljaandmiseks kiiresti. Usume tugevalt tihedatesse partnerlustesse nii teadlaste kui ka tööstuspartneritega, et muuta kliendid turvalisemaks, ega avaldanud üksikasju enne teisipäeva, 6. augustit kooskõlas nõrkuste avalikustamise kooskõlastatud tavadega.