Muuda kuupäeva |
Muuda kirjeldust |
---|---|
9. august 2023 |
|
9. aprill 2024 |
|
Kokkuvõte
Sellest artiklist leiate teavet ja värskendusi külgmise kanali uue klassi mikroarhitektuuriliste ja spekulatiivsete käivitamise nõrkuste kohta, mis mõjutavad paljusid tänapäevaseid protsessoreid ja operatsioonisüsteeme. Samuti sisaldab see põhjalikku loendit Windowsi kliendi- ja serveriressurssidest, mis aitavad teie seadmeid kaitsta nii kodus, tööl kui ka kogu ettevõttes. Nende hulka kuuluvad Intel, AMD ja ARM. Nende protsessoripõhiste probleemide spetsiifilised nõrkuse üksikasjad leiate järgmistest turbenõustajatest ja CVE-dest:
-
ADV180002 – juhised külgmise kanali spekulatiivsete käivitamise nõrkuste leevendamiseks
-
ADV180012 – Microsofti juhised spekulatiivsete poeeraldade möödumise kohta
-
ADV180013 – Microsofti juhised Rogue'i süsteemiregistri kohta Lugemiseks
-
ADV180018 – Microsofti juhised L1TF-i variandi leevendamiseks
-
ADV190013 – Microsofti suunised microarchitectural andmete valimi nõrkuste leevendamiseks
-
ADV220002 – Microsofti juhised Inteli protsessoriGA MMIO andmete nõrkuste kohta
3. jaanuaril 2018 andis Microsoft välja nõuandvad ja turbevärskendused, mis on seotud äsja avastatud riistvaranõrkuste klassiga (tuntud kui Spectre ja Meltdown), mis hõlmavad AMD, ARM-i ja Inteli protsessoreid mõjutavaid spekulatiivseid käivitamise kanaleid. See nõrkuste klass põhineb levinud kiibiarhitektuuril, mis algselt loodi arvutite kiirendamiseks. Lisateavet nende nõrkuste kohta leiate Google Project Zero'ist.
21. mail 2018 avalikustasid Google Project Zero (GPZ), Microsoft ja Intel kaks uut kiibinõrkust, mis on seotud Spectre'i ja Meltdowni probleemidega ja mida nimetatakse Speculative Store Bypass (SSB) ja Rogue System Registry Read. Mõlemast avalikustamisest tulenevad kliendiriskid on madalad.
Lisateavet nende nõrkuste kohta leiate jaotisest Mai 2018 Windowsi operatsioonisüsteemi värskendused loetletud ressursid ja vaadake järgmisi turbenõustajaid.
-
ADV180012 | Microsofti juhised spekulatiivsete poeeraldade möödumise kohta
-
ADV180013 | Microsofti juhised Rogue'i süsteemiregistri kohta Loe
13. juunil 2018 teatati ja määrati CVE-2018-3665 täiendavaks nõrkuseks, mis hõlmas külgmise kanali spekulatiivset käivitamist ehk lazy FP oleku taastamist. Selle nõrkuse ja soovitatud toimingute kohta leiate lisateavet järgmisest turbenõuandlast.
14. augustil 2018 teatati L1 terminali veast (L1TF) külgmise kanali spekulatiivsest käivitamise nõrkusest, millel on mitu CV-d. L1TF mõjutab Intel® Core'i® protsessoreid ja Intel® Xeoni® protsessoreid. Lisateavet L1TF-i ja soovitatavate toimingute kohta leiate meie turbenõuandlalt.
Märkus. Soovitame teil enne mikrokoodi värskenduste installimist installida kõik uusimad Windows Update värskendused.
14. mail 2019 avaldas Intel teabe külgmise kanali spekulatiivsete käivitamise nõrkuste uue alamklassi kohta, mida tuntakse nime all Microarchitectural Data Sampling. Neile on määratud järgmised CVEd:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Microarchitectural Store'i puhvri andmete valim (MSBDS)"
-
CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 – "Microarchitectural Load Port Data Sampling (MLPDS)"
NB! Need probleemid mõjutavad teisi süsteeme (nt Android, Chrome, iOS ja MacOS). Soovitame klientidel otsida juhiseid oma vastavatelt tarnijatelt.
Microsoft on välja andnud värskendused nende nõrkuste leevendamiseks. Kõigi saadaolevate kaitsefunktsioonide hankimiseks on vaja püsivara (mikrokoodi) ja tarkvaravärskendusi. See võib hõlmata seadme OEM-ide mikrokoodi. Mõnel juhul mõjutab nende värskenduste installimine jõudlust. Oleme tegutsenud ka oma pilveteenuste turvalisuse tagamisel.
Märkus. Soovitame teil enne mikrokoodi värskenduste installimist installida Windows Update kõik uusimad värskendused.
Lisateavet nende probleemide ja soovitatud toimingute kohta leiate järgmisest turbenõuandlast.
6. augustil 2019 andis Intel välja üksikasjad Windowsi tuumateabe avaldamise nõrkuse kohta. See nõrkus on Spectre Variant 1 spekulatiivse käivitamise külgmise kanali nõrkuse variant ja sellele on määratud CVE-2019-1125.
Microsoft andis 9. juulil 2019 välja Windowsi operatsioonisüsteemi turbevärskenduse, mis aitab seda probleemi leevendada. Kliendid, kes on Windows Update lubanud ja rakendanud 9. juulil 2019 välja antud turbevärskendusi, on automaatselt kaitstud. Pange tähele, et see nõrkus ei nõua teie seadme tootjalt (OEM) mikrokoodi värskendust.
Lisateavet selle nõrkuse ja kohalduvate värskenduste kohta leiate teemast CVE-2019-1125 | Windowsi tuumateabe avaldamise nõrkus Microsofti turbevärskenduste juhendis.
14. juunil 2022 avaldas Intel teabe spekulatiivse käivitamise mälu vastendatud I/O (MMIO) külgmise kanali nõrkuste uue alamklassi kohta, mis on loetletud järgmises nõuandes:
Windowsi seadmete kaitsmise juhised
Võimalik, et peate nende nõrkuste kõrvaldamiseks värskendama nii püsivara (mikrokoodi) kui ka tarkvara. Soovitatavate toimingute kohta leiate teavet Microsofti turbenõustajate jaotisest. See hõlmab seadmetootjate rakendatavaid püsivaravärskendusi (mikrokoodi) ja mõnel juhul ka viirusetõrjetarkvara värskendusi. Soovitame teil kord kuus installida turbevärskendused, mis tagavad teie seadmete ajakohasuse.
Kõigi saadaolevate kaitsefunktsioonide saamiseks tehke nii tarkvara kui ka riistvara uusimate värskenduste hankimiseks järgmist.
Märkus.: Enne alustamist veenduge, et teie viirusetõrjetarkvara (AV) oleks ajakohane ja ühilduv. Vaadake viirusetõrjetarkvara tootja veebisaidilt uusimat ühilduvusteavet.
-
Windows-seadme ajakohasena hoidmiseks lülitage sisse automaatvärskendused.
-
Kontrollige, kas olete installinud Microsofti uusima Windowsi operatsioonisüsteemi turbevärskenduse. Kui automaatvärskendused on sisse lülitatud, tuleks värskendused teile automaatselt kohale toimetada. Siiski peaksite kontrollima, kas need on installitud. Juhised leiate teemast Windows Update: KKK
-
Installige seadme tootjalt saadaolevad püsivaravärskendused (mikrokoodi). Kõik kliendid peavad oma seadme konkreetse riistvaravärskenduse allalaadimiseks ja installimiseks küsima teavet oma seadme tootjalt. Seadme tootja veebisaitide loendi leiate jaotisest "Lisaressursid".
Märkus.: Kliendid peaksid kogu saadaoleva kaitse saamiseks installima Microsofti pakutavad uusimad Windowsi opsüsteemi turbevärskendused. Viirusetõrjetarkvara värskendused tuleb installida esimesena. Seejärel tuleb installida operatsioonisüsteemi ja püsivaravärskendused. Soovitame teil kord kuus installida turbevärskendused, mis tagavad teie seadmete ajakohasuse.
Mõjutatud kiibid hõlmavad Inteli, AMD ja ARM-i toodetud kiipe. See tähendab, et kõik seadmed, milles töötavad Windowsi operatsioonisüsteemid, on potentsiaalselt haavatavad. See hõlmab töölaudu, sülearvuteid, pilveservereid ja nutitelefone. See mõjutab ka seadmeid, milles töötab mõni muu opsüsteem (nt Android, Chrome, iOS ja macOS). Soovitame neid operatsioonisüsteeme kasutavatel klientidel küsida nendelt tarnijatelt juhiseid.
Avaldamise ajal ei olnud me saanud mingit teavet, mis viitaks sellele, et neid nõrkusi on kasutatud klientide ründamiseks.
Alates jaanuarist 2018 andis Microsoft välja Windowsi operatsioonisüsteemide ning Internet Exploreri ja Edge'i veebibrauserite värskendused, mis aitavad neid nõrkusi leevendada ja kliente kaitsta. Samuti andsime välja värskendused oma pilveteenuste turvalisuse tagamiseks. Jätkame tihedat koostööd valdkonna partneritega, sh kiibi loojate, riistvara OEM-idega ja rakenduste tarnijatega, et kaitsta kliente seda tüüpi nõrkuste eest.
Soovitame teil seadmete ajakohase ja turvalisena hoidmiseks alati installida igakuised värskendused.
Värskendame seda dokumentatsiooni, kui uued leevendused on saadaval, ja soovitame seda regulaarselt vaadata.
2019. aasta juuli Windowsi operatsioonisüsteemi värskendused
6. augustil 2019 avaldas Intel üksikasjad turbenõrkuse CVE-2019-1125 kohta | Windowsi tuumateabe avaldamise nõrkus. Selle nõrkuse turbevärskendused anti välja juulikuu värskenduse raames 9. juulil 2019.
Microsoft andis 9. juulil 2019 välja Windowsi operatsioonisüsteemi turbevärskenduse, mis aitab seda probleemi leevendada. 2019. aasta teisipäeval, 6. augustil 2019 avaldasime me selle leevenduse avalikult, kuni kooskõlastatud tööstuse avalikustamiseni.
Kliendid, kes on Windows Update lubanud ja rakendanud 9. juulil 2019 välja antud turbevärskendusi, on automaatselt kaitstud. Pange tähele, et see nõrkus ei nõua teie seadme tootjalt (OEM) mikrokoodi värskendust.
2019. aasta mai Windowsi operatsioonisüsteemi värskendused
14. mail 2019 avaldas Intel teabe külgmise kanali spekulatiivsete käivitamise nõrkuste uue alamklassi kohta, mida tuntakse mikroarhitektuuriliste andmete valimitena , ja neile määrati järgmised elulookirjeldused:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Microarchitectural Store'i puhvri andmete valim (MSBDS)"
-
CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 – "Microarchitectural Load Port Data Sampling (MLPDS)"
Selle probleemi kohta leiate lisateavet järgmistest turbenõuandla- ja kasutusstsenaariumipõhistest juhistest, mida kirjeldatakse Windowsi juhistes klientidele ja serveritele, et teha kindlaks ohu leevendamiseks vajalikud toimingud.
Microsoft on välja andnud kaitse külgmise kanali spekulatiivsete käivitamise nõrkuste uue alamklassi vastu, mida nimetatakse Windowsi (CVE-2018-11091,CVE-2018-12126) 64-bitiste (x64) versioonide microarchitectural data samplingks. CVE-2018-12127, CVE-2018-12130).
Kasutage registrisätteid vastavalt artiklites Windowsi klientrakendus (KB4073119) ja Windows Serveri (KB4457951) kirjeldustele. Need registrisätted on Windowsi klientrakenduste operatsioonisüsteemi ja Windows Serveri operatsioonisüsteemi väljaannete jaoks vaikimisi lubatud.
Soovitame teil enne mikrokoodi värskenduste installimist installida Windows Update esimesena kõik uusimad värskendused.
Selle probleemi ja soovitatud toimingute kohta leiate lisateavet järgmisest turbenõuandlast.
Intel on välja andnud mikrokoodi värskenduse hiljutiste protsessoriplatvormide jaoks, et aidata leevendada CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. 2019. aasta 14. mai Windowsi teabebaasi (KB) 4093836 on loetletud Windowsi operatsioonisüsteemi versiooniga seotud teabebaasi artiklid. Artikkel sisaldab ka linke CPU saadaolevatele Inteli mikrokoodi värskendustele. Need värskendused on saadaval Microsofti kataloogi kaudu.
Märkus. Soovitame teil enne mikrokoodi värskenduste installimist installida kõik uusimad Windows Update värskendused.
Meil on hea meel teatada, et Retpoline on vaikimisi lubatud Windows 10 versiooni 1809 seadmetes (kliendi ja serveri jaoks), kui Spectre Variant 2 (CVE-2017-5715) on lubatud. Kui lubate Retpoline'i Windows 10 uusimas versioonis, eeldame 14. mai 2019. aasta värskenduse (KB 4494441) kaudu suuremat jõudlust, eriti vanemate protsessorite korral.
Kliendid peaksid tagama, et varasemad operatsioonisüsteemi kaitsed haavatavuse Spectre Variant 2 vastu oleksid lubatud, kasutades registrisätteid, mida kirjeldatakse Windowsi klientrakenduse ja Windows Serveri artiklites. (Need registrisätted on Windowsi klientrakenduste operatsioonisüsteemi väljaannetes vaikimisi lubatud, kuid Windows Serveri operatsioonisüsteemi väljaannete jaoks vaikimisi keelatud). Lisateavet "Retpoline" kohta leiate teemast Spectre'i variandi 2 leevendamine Windowsis Retpoline'iga.
2018. aasta novembri Windowsi operatsioonisüsteemi värskendused
Microsoft on amD protsessoritele (CVE-2018-3639) välja andnud operatsioonisüsteemi kaitse teenuse Speculative Store Bypass (CVE-2018-3639) jaoks.
Microsoft on välja andnud täiendavad operatsioonisüsteemikaitsed klientidele, kes kasutavad 64-bitise ARM-protsessorit. Küsige oma seadme OEM-i tootjalt püsivaratuge, kuna ARM64 operatsioonisüsteemi kaitse, mis leevendab CVE-2018-3639, Speculative Store Bypassi, nõuab seadme OEM-i uusimat püsivaravärskendust.
2018. aasta septembri Windowsi operatsioonisüsteemi värskendused
11. septembril 2018 Microsoft andis välja Windows Server 2008 SP2 igakuise värskenduskomplekti 4458010 ja ainult turbevärskenduste 4457984 Windows Server 2008 jaoks, mis pakuvad kaitset külgmise kanali uue spekulatiivse käivitamise nõrkuse eest, mida nimetatakse L1 terminali veaks (L1TF), mis mõjutab Intel® Core'i® protsessoreid ja Intel® Xeoni® protsessoreid (CVE-2018-3620 ja CVE-2018-3646).
See väljalase täiendab kõigi toetatud Windowsi süsteemiversioonide lisakaitset Windows Update kaudu. Lisateavet ja mõjutatud toodete loendi leiate artiklist ADV180018 | Microsofti juhised L1TF-i variandi leevendamiseks.
Märkus. Windows Server 2008 SP2 järgib nüüd Windowsi hoolduskomplekti standardmudelit. Lisateavet nende muudatuste kohta leiate meie ajaveebist Windows Server 2008 SP2 hooldusmuudatused. Windows Server 2008 kasutavad kliendid peaksid lisaks 14. augustil 2018 välja antud turbevärskendusele installima kas 4458010 või 4341832 4457984. Kliendid peaksid ka tagama, et varasemad operatsioonisüsteemi kaitsed nõrkuste Spectre Variant 2 ja Meltdown eest oleksid lubatud, kasutades registrisätteid, mida kirjeldatakse Windowsi klientrakenduse ja Windows Serveri juhendavates teabebaasiartiklites. Need registrisätted on Windowsi klientrakenduste operatsioonisüsteemi väljaannetes vaikimisi lubatud, kuid Windows Serveri operatsioonisüsteemi väljaannete jaoks vaikimisi keelatud.
Microsoft on välja andnud täiendavad operatsioonisüsteemikaitsed klientidele, kes kasutavad 64-bitise ARM-protsessorit. Küsige oma seadme OEM-i tootjalt püsivaratuge, kuna ARM64 operatsioonisüsteemi kaitse, mis leevendab CVE-2017-5715 - haru sihtkoha sisestamist (Spectre, Variant 2), nõuab seadme OEM-ide uusima püsivaravärskenduse jõustumist.
2018. aasta augusti Windowsi operatsioonisüsteemi värskendused
14. augustil 2018 teatati L1 Terminal Fault (L1TF) ja määrati mitu CV-d. Neid uusi spekulatiivseid käivitamise külgmise kanali nõrkusi saab kasutada mälu sisu lugemiseks üle usaldusväärse piiri ja võib kasutamisel põhjustada teabe avaldamise. On mitu vektorit, mille abil ründaja võib sõltuvalt konfigureeritud keskkonnast haavatavused käivitada. L1TF mõjutab Intel® Core'i® protsessoreid ja Intel® Xeoni® protsessoreid.
Lisateavet L1TF-i kohta ja mõjutatud stsenaariumide üksikasjaliku ülevaate, sh Microsofti lähenemisviisi kohta L1TF-i leevendamiseks leiate järgmistest materjalidest.
2018. aasta juuli Windowsi operatsioonisüsteemi värskendused
Meil on hea meel teatada, et Microsoft on kõigi toetatud Windowsi süsteemiversioonide täiendava kaitse Windows Update kaudu välja andnud järgmised haavatavused.
-
Spectre Variant 2 AMD protsessoritele
-
Inteli protsessorite spekulatiivsete salveeraldustepass
13. juunil 2018 teatati ja määrati CVE-2018-3665 täiendavaks nõrkuseks, mis hõlmas külgmise kanali spekulatiivset käivitamist ehk lazy FP oleku taastamist. Lazy Restore FP Restore'i jaoks pole konfiguratsiooni (registri) sätteid vaja.
Lisateavet selle nõrkuse, mõjutatud toodete ja soovitatud toimingute kohta leiate järgmisest turbenõuandlast.
12. juunil teatas Microsoft Inteli protsessorites Windowsi toe speculative Store Bypass Disable (SSBD) jaoks. Värskendused nõuavad funktsionaalsuse jaoks vastavat püsivara - (mikrokoodi) ja registrivärskendusi. Värskenduste ja SSBD sisselülitamiseks kohaldatavate juhiste kohta leiate teavet ADV180012 jaotisest "Soovitatavad toimingud" . Microsofti juhised Speculative Store Bypassi jaoks.
2018. aasta mai Windowsi operatsioonisüsteemi värskendused
2018. aasta jaanuaris avaldas Microsoft teavet hiljuti avastatud riistvaranõrkuste (tuntud kui Spectre ja Meltdown) kohta, mis hõlmavad AMD-d, ARM-i ja Inteli protsessorit mõjutavaid spekulatiivseid käivitamise kanaleid, erineval määral. 21. mail 2018 avaldasid Microsoft ja IntelGoogle Project Zero (GPZ) kaks uut kiibi nõrkust, mis on seotud Spectre'i ja Meltdowni probleemidega, mida nimetatakse Speculative Store Bypass (SSB) ja Rogue System Registry Read.
Mõlemast avalikustamisest tulenevad kliendiriskid on madalad.
Lisateavet nende nõrkuste kohta leiate järgmistest ressurssidest.
-
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639
-
Microsoft Security Advisory for Rogue System Register Read: MSRC ADV180013and CVE-2018-3640
-
Security Research and Defense: Speculative Store bypassi analüüs ja leevendamine (CVE-2018-3639)
Kehtivad järgmiste toodete kohta: Windows 10, versioon 1607, Windows Server 2016, Windows Server 2016 (Serveri tuuma installimine) ja Windows Serveri versioon 1709 (Serveri tuuma installimine)
Oleme tuge kaudse haru ennustustõkke (IBPB) kasutuse juhtimiseks mõnedes AMD protsessorites (CPU-des) CVE-2017-5715, Spectre Variant 2 leevenduseks, kui vahetate kasutaja kontekstilt tuuma kontekstile. (Lisateavet leiate teemast AMD arhitektuurisuunised kaudse haru juhtimise jaAMD turbe Teabevärskendused kohta).
Kliendid, kes kasutavad Windows 10 versiooni 1607, Windows Server 2016, Windows Server 2016 (Server Core'i installimine) ja Windows Serveri versiooni 1709 (Server Core'i installimine), peavad installima turbevärskenduse 4103723 AMD protsessorite jaoks CVE-2017-5715, Branch Target Injectioni jaoks. See värskendus on saadaval ka Windows Update kaudu.
Järgige juhiseid, mis on välja toodud Windowsi klientrakenduse (IT Pro) kb 4073119 ja Windows Serveri juhistes KB 4072698 , et lubada IBPB kasutamine mõnes AMD protsessoris (CPU-des) Spectre Variant 2 leevendamiseks, kui vahetate kasutaja kontekstilt tuuma kontekstile.
Microsoft teeb kättesaadavaks Inteli valideeritud mikrokoodi värskendused Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection" kohta). Uusimate Inteli mikrokoodi värskenduste saamiseks Windows Update peavad kliendid enne Windows 10. aprilli 2018 värskenduse (versioon 1803) kasutuselevõttu olema installinud Inteli mikrokoodi seadmetesse, kus töötab operatsioonisüsteem Windows 10.
Mikrokoodi värskendus on saadaval ka otse kataloogist, kui see polnud seadmesse installitud enne operatsioonisüsteemi täiendamist. Inteli mikrokood on saadaval Windows Update, WSUS-i või Microsoft Update'i kataloogi kaudu. Lisateavet ja allalaadimisjuhised leiate teemast KB 4100347.
Pakume Windowsi operatsioonisüsteemi jaoks Inteli täiendavaid mikrokoodivärskendusi kohe, kui need Microsoftile kättesaadavaks tehakse.
Kehtivad järgmiste toodete kohta: Windows 10, versioon 1709
Oleme tuge kaudse haru ennustustõkke (IBPB) kasutuse juhtimiseks mõnedes AMD protsessorites (CPU-des) CVE-2017-5715, Spectre Variant 2 leevenduseks, kui vahetate kasutaja kontekstilt tuuma kontekstile. (Lisateavet leiate teemast AMD arhitektuurisuunised kaudse haru juhtimise jaAMD turbe Teabevärskendused kohta). Järgige juhiseid, mis on toodud teemas KB 4073119 Windowsi klientrakenduse (IT Pro) jaoks, et lubada IBPB kasutamine mõnedes AMD protsessorites (CPU-des) Spectre Variant 2 leevendamiseks, kui vahetate kasutaja kontekstilt tuuma kontekstile.
Microsoft teeb kättesaadavaks Inteli valideeritud mikrokoodi värskendused Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") ümber. KB4093836 loetleb Windowsi versiooni järgi kindlad teabebaasiartiklid. Iga konkreetne KB sisaldab uusimaid saadaolevaid Inteli mikrokoodi värskendusi protsessori järgi.
Pakume Windowsi operatsioonisüsteemi jaoks Inteli täiendavaid mikrokoodivärskendusi kohe, kui need Microsoftile kättesaadavaks tehakse.
2018. aasta märtsi ja uuemad Windowsi operatsioonisüsteemi värskendused
23. märts, TechNeti & Defense: KVA vari: Mitigating Meltdown windowsis
14. märts, Security Tech Center: Speculative Execution Side Channel Bounty programmitingimused
13. märts, ajaveeb: märts 2018 Windowsi turve update – laiendamine meie jõupingutused klientide kaitsmiseks
1. märtsi ajaveeb: Spectre'i ja Meltdowni turbevärskenduste värskendamine Windowsi seadmete jaoks
Alates märtsist 2018 andis Microsoft välja turbevärskendused, et pakkuda leevendusi seadmetele, milles töötavad järgmised x86-põhised Windowsi operatsioonisüsteemid. Kliendid peaksid saadaolevate kaitsefunktsioonide kasutamiseks installima uusimad Windowsi operatsioonisüsteemi turbevärskendused. Töötame selle nimel, et pakkuda kaitset muude toetatud Windowsi versioonide jaoks, kuid praegu pole neil väljaandegraafikut. Vaadake värskendusi siit. Lisateavet leiate seotud teabebaasi artiklist tehniliste üksikasjade ja jaotise "KKK" kohta.
Tootevärskendus on välja antud |
Olek |
Väljalaske kuupäev |
Väljalaskekanal |
KB |
Windows 8.1 & Windows Server 2012 R2 – ainult turbevärskendus |
Välja antud |
13. märts |
WSUS, kataloog, |
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 – ainult turbevärskendus |
Välja antud |
13. märts |
WSUS, kataloog |
|
Windows Server 2012 – ainult turbevärskendus Windows 8 Embedded Standard Edition – ainult turbevärskendus |
Välja antud |
13. märts |
WSUS, kataloog |
|
Windows 8.1 & Windows Server 2012 R2 – igakuine värskenduskomplekt |
Välja antud |
13. märts |
WU, WSUS, kataloog |
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 – igakuine värskenduskomplekt |
Välja antud |
13. märts |
WU, WSUS, kataloog |
|
Windows Server 2012 – igakuine värskenduskomplekt Windows 8 Embedded Standard Edition – igakuine värskenduskomplekt |
Välja antud |
13. märts |
WU, WSUS, kataloog |
|
Windows Server 2008 SP2 |
Välja antud |
13. märts |
WU, WSUS, kataloog |
Alates 2018. aasta märtsist andis Microsoft välja turbevärskendused, et pakkuda leevendusi seadmetele, milles töötavad järgmised x64-põhised Windowsi operatsioonisüsteemid. Kliendid peaksid saadaolevate kaitsefunktsioonide kasutamiseks installima uusimad Windowsi operatsioonisüsteemi turbevärskendused. Töötame selle nimel, et pakkuda kaitset muude toetatud Windowsi versioonide jaoks, kuid praegu pole neil väljaandegraafikut. Vaadake värskendusi siit. Lisateavet leiate seotud teabebaas artiklist tehniliste üksikasjade ja jaotise "KKK" kohta.
Tootevärskendus on välja antud |
Olek |
Väljalaske kuupäev |
Väljalaskekanal |
KB |
Windows Server 2012 – ainult turbevärskendus Windows 8 Embedded Standard Edition – ainult turbevärskendus |
Välja antud |
13. märts |
WSUS, kataloog |
|
Windows Server 2012 – igakuine värskenduskomplekt Windows 8 Embedded Standard Edition – igakuine värskenduskomplekt |
Välja antud |
13. märts |
WU, WSUS, kataloog |
|
Windows Server 2008 SP2 |
Välja antud |
13. märts |
WU, WSUS, kataloog |
See värskendus lahendab õiguste laiendamise nõrkuse Windowsi tuumas 64-bitises (x64) Windowsi versioonis. See nõrkus on dokumenteeritud dokumendis CVE-2018-1038. Kasutajad peavad selle värskenduse rakendama, et olla selle nõrkuse eest täielikult kaitstud, kui nende arvuteid värskendati 2018. aasta jaanuaris või hiljem, rakendades mis tahes värskendused, mis on loetletud järgmises teabebaasi artiklis:
See turbevärskendus kõrvaldab mitmed Internet Exploreri teatatud nõrkused. Lisateavet nende nõrkuste kohta leiate teemast Microsofti levinumad haavatavused ja säritused.
Tootevärskendus on välja antud |
Olek |
Väljalaske kuupäev |
Väljalaskekanal |
KB |
Internet Explorer 10 – Windows 8 Embedded Standard Editioni koondvärskendus |
Välja antud |
13. märts |
WU, WSUS, kataloog |
2018. aasta veebruari Windowsi operatsioonisüsteemi värskendused
Ajaveeb: Windows Analytics aitab nüüd hinnata Spectre'i ja Meltdowni kaitset
Järgmised turbevärskendused pakuvad täiendavat kaitset seadmetele, milles töötab 32-bitine (x86) Windowsi operatsioonisüsteem. Microsoft soovitab klientidel värskendus installida kohe, kui see on saadaval. Töötame selle nimel, et pakkuda kaitset ka teistele toetatud Windowsi versioonidele, kuid meil pole praegu väljaandegraafikut. Vaadake värskendusi siit.
Märkus Windows 10 igakuised turbevärskendused on kumulatiivsed kuude lõikes ning need laaditakse alla ja installitakse automaatselt alates Windows Update. Kui olete installinud varasemad värskendused, laaditakse ja installitakse teie seadmesse ainult uued osad. Lisateavet leiate seotud teabebaasi artiklist tehniliste üksikasjade ja jaotise "KKK" kohta.
Tootevärskendus on välja antud |
Olek |
Väljalaske kuupäev |
Väljalaskekanal |
KB |
Windows 10 – versioon 1709 / Windows Server 2016 (1709) / IoT Core – kvaliteedivärskendus |
Välja antud |
31. jaan |
WU, kataloog |
|
Windows Server 2016 (1709) – serveri konteiner |
Välja antud |
13. veebr |
Dockeri keskus |
|
Windows 10 – versioon 1703 / IoT Core – kvaliteedivärskendus |
Välja antud |
13. veebr |
WU, WSUS, kataloog |
|
Windows 10 – versioon 1607 / Windows Server 2016 / IoT Core – kvaliteedivärskendus |
Välja antud |
13. veebr |
WU, WSUS, kataloog |
|
HoloLensi Windows 10 – operatsioonisüsteemi ja püsivara Teabevärskendused |
Välja antud |
13. veebr |
WU, kataloog |
|
Windows Server 2016 (1607) – konteineri pildid |
Välja antud |
13. veebr |
Dockeri keskus |
|
Windows 10 – versioon 1511 / IoT Core – kvaliteedivärskendus |
Välja antud |
13. veebr |
WU, WSUS, kataloog |
|
Windows 10 – versioon RTM – kvaliteedivärskendus |
Välja antud |
13. veebr |
WU, WSUS, kataloog |
2018. aasta jaanuari Windowsi operatsioonisüsteemi värskendused
Ajaveeb: Spectre'i ja Meltdowni leevendusmeetmete jõudluse mõju mõistmine Windowsi süsteemides
Alates jaanuarist 2018 andis Microsoft välja turbevärskendused, et pakkuda leevendusi seadmetele, milles töötavad järgmised x64-põhised Windowsi operatsioonisüsteemid. Kliendid peaksid saadaolevate kaitsefunktsioonide kasutamiseks installima uusimad Windowsi operatsioonisüsteemi turbevärskendused. Töötame selle nimel, et pakkuda kaitset muude toetatud Windowsi versioonide jaoks, kuid praegu pole neil väljaandegraafikut. Vaadake värskendusi siit. Lisateavet leiate seotud teabebaasi artiklist tehniliste üksikasjade ja jaotise "KKK" kohta.
Tootevärskendus on välja antud |
Olek |
Väljalaske kuupäev |
Väljalaskekanal |
KB |
Windows 10 – versioon 1709 / Windows Server 2016 (1709) / IoT Core – kvaliteedivärskendus |
Välja antud |
3. jaan |
WU, WSUS, kataloog, Azure’i pilgigalerii |
|
Windows Server 2016 (1709) – serveri konteiner |
Välja antud |
5. jaan |
Dockeri keskus |
|
Windows 10 – versioon 1703 / IoT Core – kvaliteedivärskendus |
Välja antud |
3. jaan |
WU, WSUS, kataloog |
|
Windows 10 – versioon 1607 / Windows Server 2016 / IoT Core – kvaliteedivärskendus |
Välja antud |
3. jaan |
WU, WSUS, kataloog |
|
Windows Server 2016 (1607) – konteineri pildid |
Välja antud |
4. jaan |
Dockeri keskus |
|
Windows 10 – versioon 1511 / IoT Core – kvaliteedivärskendus |
Välja antud |
3. jaan |
WU, WSUS, kataloog |
|
Windows 10 – versioon RTM – kvaliteedivärskendus |
Välja antud |
3. jaan |
WU, WSUS, kataloog |
|
Windows 10 Mobile (operatsioonisüsteemi järk 15254.192) – ARM |
Välja antud |
5. jaan |
WU, kataloog |
|
Windows 10 Mobile (operatsioonisüsteemi järk 15063.850) |
Välja antud |
5. jaan |
WU, kataloog |
|
Windows 10 Mobile (operatsioonisüsteemi järk 14393.2007) |
Välja antud |
5. jaan |
WU, kataloog |
|
Windows 10 HoloLens |
Välja antud |
5. jaan |
WU, kataloog |
|
Windows 8.1 / Windows Server 2012 R2 – ainult turbevärskendus |
Välja antud |
3. jaan |
WSUS, kataloog |
|
Windows Embedded 8.1 Industry Enterprise |
Välja antud |
3. jaan |
WSUS, kataloog |
|
Windows Embedded 8.1 Industry Pro |
Välja antud |
3. jaan |
WSUS, kataloog |
|
Windows Embedded 8.1 Pro |
Välja antud |
3. jaan |
WSUS, kataloog |
|
Windows 8.1 / Windows Server 2012 R2 igakuine värskenduskomplekt |
Välja antud |
8. jaan |
WU, WSUS, kataloog |
|
Windows Embedded 8.1 Industry Enterprise |
Välja antud |
8. jaan |
WU, WSUS, kataloog |
|
Windows Embedded 8.1 Industry Pro |
Välja antud |
8. jaan |
WU, WSUS, kataloog |
|
Windows Embedded 8.1 Pro |
Välja antud |
8. jaan |
WU, WSUS, kataloog |
|
Ainult Windows Server 2012 turve |
Välja antud |
WSUS, kataloog |
||
Windows Server 2008 SP2 |
Välja antud |
WU, WSUS, kataloog |
||
Windows Server 2012 igakuine värskenduskomplekt |
Välja antud |
WU, WSUS, kataloog |
||
Windows Embedded 8 Standard |
Välja antud |
WU, WSUS, kataloog |
||
Windows 7 SP1 / Windows Server 2008 R2 SP1 – ainult turbevärskendus |
Välja antud |
3. jaan |
WSUS, kataloog |
|
Windows Embedded Standard 7 |
Välja antud |
3. jaan |
WSUS, kataloog |
|
Windows Embedded POSReady 7 |
Välja antud |
3. jaan |
WSUS, kataloog |
|
Windows Thin PC |
Välja antud |
3. jaan |
WSUS, kataloog |
|
Windows 7 SP1 / Windows Server 2008 R2 SP1 igakuine värskenduskomplekt |
Välja antud |
4. jaan |
WU, WSUS, kataloog |
|
Windows Embedded Standard 7 |
Välja antud |
4. jaan |
WU, WSUS, kataloog |
|
Windows Embedded POSReady 7 |
Välja antud |
4. jaan |
WU, WSUS, kataloog |
|
Windows Thin PC |
Välja antud |
4. jaan |
WU, WSUS, kataloog |
|
Internet Explorer 11 koondvärskendus Windows 7 SP1 ja Windows 8.1 jaoks |
Välja antud |
3. jaan |
WU, WSUS, kataloog |
9. aprillil 2024 avaldasime CVE-2022-0001 | Inteli haruajaloo süst , mis kirjeldab haruajaloo süstimist (BHI), mis on konkreetne moodusesisese BTI vorm. See nõrkus ilmneb siis, kui ründaja võib töödelda harude ajalugu enne üleminekut kasutajalt juhendaja režiimile (või VMX-i mittejuur-/külaline juurrežiimi). Selline manipuleerimine võib põhjustada kaudse haru ennustusel valida kaudse haru jaoks konkreetse ennustajakirje ja ennustatud eesmärgil avalikustamise vidik käivitatakse ajutiselt. See võib olla võimalik, kuna vastav haruajalugu võib sisaldada varasemates turbekontekstides, eriti muudes prognoosirežiimides tehtud filiaale.
Järgige juhiseid, mis on toodud KB4073119 Windowsi klientrakenduse (IT Pro) juhistes ja KB4072698 Windows Serveri juhistes, et leevendada CVE-2022-0001 | Inteli haru ajaloosüst.
Ressursid ja tehnilised juhised
Olenevalt teie rollist aitavad järgmised tugiartiklid tuvastada ja leevendada kliendi- ja serverikeskkondi, mida haavatavused Spectre ja Meltdown mõjutavad.
Microsofti turbenõuandla L1 terminali tõrgete kohta (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646
Security Research and Defense: Speculative Store bypassi analüüs ja leevendamine (CVE-2018-3639)
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639
Microsofti turbenõuandla Rogue'i süsteemiregistri kohta Read | Surface'i turbevärskenduste juhend: MSRC ADV180013ja CVE-2018-3640
Security Research and Defense: Speculative Store bypassi analüüs ja leevendamine (CVE-2018-3639)
TechNet Security Research & Defense: KVA Vari: Meltdowni leevendamine Windowsis
Security Tech Center: Speculative Execution Side Channel Bounty program terms
Microsoft Experience'i ajaveeb: Spectre'i ja Meltdowni turbevärskenduste värskendamine Windowsi seadmete jaoks
Windowsi ärirakenduse ajaveeb: Windows Analytics aitab nüüd hinnata Spectre'i ja Meltdowni kaitset
Microsoft Secure'i ajaveeb: Spectre'i ja Meltdowni leevendusmeetmete jõudluse mõju mõistmine Windowsi süsteemides
Edge'i arendajate ajaveeb: külgmise kanali spekulatiivsete käivitamise rünnakute leevendamine Microsoft Edge'is ja Internet Exploreris
Azure'i ajaveeb: Azure'i klientide turvamine CPU nõrkuse eest
SCCM juhised: täiendavad juhised külgmise kanali spekulatiivsete käivitamise nõrkuste leevendamiseks
Microsofti nõuandvad nõustajad:
-
ADV180002 | Juhised külgmise kanali spekulatiivsete käivitamise nõrkuste leevendamiseks
-
ADV180012 | Microsofti juhised spekulatiivsete poeeraldade möödumise kohta
-
ADV180013 | Microsofti juhised Rogue'i süsteemiregistri kohta Loe
Intel: turbenõuandla
ARM: turbenõuandla
AMD: turbenõuandla
NVIDIA: Turbenõuandla
Tarbijasuunised: seadme kaitsmine kiibiga seotud turbenõrkuste eest
Viirusetõrje suunised: 3. jaanuaril 2018 välja antud Windowsi turbevärskendused ja viirusetõrjetarkvara
Juhised AMD Windowsi operatsioonisüsteemi turbevärskenduste blokeerimiseks: KB4073707: Windowsi operatsioonisüsteemi turbevärskenduse blokeerimine mõne AMD-põhise seadme jaoks
Spectre'i leevenduse keelamise värskendus, variant 2: KB4078130: Intel tuvastas mõnes vanemas protsessoris mikrokoodi taaskäivitamise probleemid
Surface'i suunised: Surface'i suunised külgmise kanali spekulatiivsete käivitamise nõrkuste eest kaitsmiseks
Külgmise kanali spekulatiivsete käivitamise leevenduste oleku kontrollimine: PowerShelli skriptiväljundi Get-SpeculationControlSettings mõistmine
IT Pro suunised: Windowsi kliendisuunised IT-spetsialistidele, et kaitsta külgmise kanali spekulatiivsete käivitamise nõrkuste eest
Serveri juhised: Windows Serveri suunised külgmise kanali spekulatiivsete käivitamise nõrkuste eest kaitsmiseks
L1 terminali tõrke serverijuhised: Windows Serveri suunised L1 terminali tõrke eest kaitsmiseks
Arendusjuhised: Spekulatiivse poe bypassi arendusjuhised
Server Hyper-V suunised
Azure KB: KB4073235: Microsofti pilvkaitse spekulatiivsete käivitamise Side-Channel nõrkuste eest
Azure Stacki juhised: KB4073418: Azure'i pinu juhised külgmise kanali spekulatiivsete käivitamise nõrkuste eest kaitsmiseks
Azure'i töökindlus: Azure'i töökindlusportaal
SQL Server suunised: KB4073225: SQL Server suunised külgmise kanali spekulatiivsete käivitamise nõrkuste eest kaitsmiseks
OEM- ja serveriseadmete tootjate lingid värskenduste saamiseks Spectre'i ja Meltdowni nõrkuste eest kaitsmiseks
Nende nõrkuste lahendamiseks peate värskendama nii riist- kui ka tarkvara. Järgmiste linkide kaudu saate oma seadme tootjalt otsida asjakohaseid püsivaravärskendusi (mikrokoodi).
Järgmiste linkide kaudu saate oma seadme tootjalt otsida püsivaravärskendusi (mikrokoodi). Kõigi saadaolevate kaitsefunktsioonide jaoks peate installima nii operatsioonisüsteemi kui ka püsivaravärskendused (mikrokoodi).
OEM-i seadmetootjad |
Link mikrokoodi saadavusele |
Acer |
|
Asus |
ASUS Update on Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method |
Dell |
|
Epson |
|
Fujitsu |
|
HP |
|
Lenovo |
|
LG |
|
NEC |
Vastuseks protsessori nõrkusele (sulamine, spekter) meie toodetes |
Panasonic |
|
Samsung |
|
Surface |
Surface’i suunised külgmise kanali spekulatiivsete käivitamise nõrkuste eest kaitsmiseks |
Toshiba |
|
Vaio |
Serveri OEM-i tootjad |
Link mikrokoodi saadavusele |
Dell |
|
Fujitsu |
|
HPE |
|
Huawei |
|
Lenovo |
Korduma kippuvad küsimused
Küsige oma seadme tootjalt püsivaravärskendusi (mikrokoodi). Kui teie seadmetootjat selles tabelis pole, võtke ühendust otse OEM-iga.
Teabevärskendused Microsoft Surface'i seadmete jaoks on klientidele saadaval Windows Update kaudu. Saadaolevate Surface'i seadme püsivaravärskenduste (mikrokoodi) värskenduste loendi leiate teemast KB 4073065.
Kui teie seade ei ole Microsoftilt, rakendage seadme tootja püsivaravärskendusi. Lisateabe saamiseks pöörduge oma seadme tootja poole.
Riistvaranõrkuse lahendamine tarkvaravärskenduse abil kujutab endast vanemate operatsioonisüsteemide jaoks olulisi väljakutseid ja leevendusi ning võib nõuda ulatuslikke arhitektuurilisi muudatusi. Jätkame koostööd mõjutatud kiibi tootjatega, et välja selgitada parim viis leevendusmeetmete pakkumiseks. Selle võib pakkuda tulevane värskendus. Nende vanemate operatsioonisüsteemidega vanemate seadmete asendamine ja viirusetõrjetarkvara värskendamine peaks ülejäänud riskiga tegelema.
Märkused:
-
Tooted, mille tava- ja pikendatud tugi pole praegu saadaval, ei saa neid süsteemivärskendusi. Soovitame klientidel üle minna toetatud süsteemiversioonile.
-
Külgmise kanali spekulatiivsed käivitamise rünnakud kasutavad ära protsessori käitumist ja funktsionaalsust. Protsessoritootjad peavad esmalt kindlaks määrama, millised protsessorid võivad olla ohus, ja seejärel teavitama Microsofti. Paljudel juhtudel on klientidele põhjalikuma kaitse pakkumiseks vaja ka vastavaid operatsioonisüsteemi värskendusi. Soovitame turbeteadlikud Windowsi CE-tootjad teha koostööd kiibi tootjaga, et mõista haavatavusi ja rakendatavaid leevendusi.
-
Me ei väljasta värskendusi järgmistele platvormidele.
-
Windowsi operatsioonisüsteemid, mille tugi on praeguseks lõppenud või mille tugi lõpeb 2018. aastal
-
Windows XP-põhised süsteemid, sh WES 2009 ja POSReady 2009
-
Kuigi Windows XP-põhised süsteemid on mõjutatud tooted, ei väljasta Microsoft neile värskendust, sest vajalikud ulatuslikud arhitektuurilised muudatused ohustaksid süsteemi stabiilsust ja põhjustaksid probleeme rakenduste ühilduvusega. Soovitame turbest teadlikel olevatel klientidel üle minna uuemale toetatud operatsioonisüsteemile, et hoida sammu muutuva turbeohtude maastikuga ja saada kasu töökindlamatest kaitsetest, mida pakuvad uuemad operatsioonisüsteemid.
holoLensi Windows 10 Teabevärskendused on HoloLensi klientidele Windows Update kaudu saadaval.
Pärast 2018. aasta veebruari Windowsi turve värskenduserakendamist ei pea HoloLensi kliendid oma seadme püsivara värskendamiseks midagi tegema. Need leevendused lisatakse ka HoloLensi Windows 10 tulevastesse väljaannetesse.
Lisateabe saamiseks pöörduge oma OEM-i poole.
Seadme täielikuks kaitsmiseks peaksite installima oma seadme uusimad Windowsi operatsioonisüsteemi turbevärskendused ja seadme tootja asjakohased püsivaravärskendused (mikrokoodi). Need värskendused peaksid olema saadaval seadmetootja veebisaidil. Viirusetõrjetarkvara värskendused tuleb installida esimesena. Operatsioonisüsteemi ja püsivara värskendused võib installida meelepärases järjestuses.
Selle nõrkuse kõrvaldamiseks peate värskendama nii riistvara kui ka tarkvara. Põhjalikuma kaitse saamiseks peate installima ka seadme tootja asjakohased püsivaravärskendused (mikrokoodi). Soovitame teil kord kuus installida turbevärskendused, mis tagavad teie seadmete ajakohasuse.
Igas Windows 10 funktsioonivärskenduses loome sügavale operatsioonisüsteemi uusima turbetehnoloogia, pakkudes sügavuti kaitsefunktsioone, mis takistavad tervetel ründevaraklassidel teie seadet mõjutada. Funktsioonivärskenduse väljaandeid saadetakse kaks korda aastas. Lisame igakuisesse kvaliteedivärskendusse veel ühe turbekihi, mis jälgib ründevara esilekerkivaid ja muutuvaid trende, et ajakohased süsteemid oleksid muutuvate ja arenevate ohtude suhtes turvalisemad.
Microsoft on Windows Update kaudu tühistanud Windowsi toetatud versioonide Windows 10, Windows 8.1 ja Windows 7 SP1 seadmete AV ühilduvuskontrolli.
Soovitused:-
Veenduge, et teie seadmed oleksid ajakohased, võttes arvesse Microsofti ja riistvaratootja uusimaid turbevärskendusi. Lisateavet seadme ajakohasena hoidmise kohta leiate teemast Windows Update: KKK.
-
Jätkake mõistliku ettevaatusega, kui külastate tundmatu päritoluga veebisaite ja ärge jääge saitidele, mida te ei usalda. Microsoft soovitab kõigil klientidel oma seadmeid kaitsta, käivitades toetatud viirusetõrjeprogrammi. Kliendid saavad kasutada ka sisseehitatud viirusetõrjet: Windows Defender Windows 10 seadmete jaoks või Microsoft Security Essentials Windows 7 seadmete jaoks. Need lahendused ühilduvad juhtudel, kui kliendid ei saa viirusetõrjetarkvara installida ega käitada.
Selleks et vältida kliendiseadmete kahjulikku mõju, pole jaanuaris või veebruaris välja antud Windowsi turbevärskendusi kõigile klientidele pakutud. Üksikasjalikumat teavet leiate Microsofti teabebaasi (Knowledge Base) artiklist 4072699.
Intel on teatanud hiljuti välja antud mikrokoodi mõjutavatest probleemidest , mis on mõeldud Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection") lahendamiseks. Täpsemalt märkis Intel, et see mikrokood võib põhjustada "oodatust kõrgemaid taaskäivitusi ja muud ettearvamatut süsteemikäitumist" ja ka seda, et sellised olukorrad võivad põhjustada andmete kaotsiminekut või riket. Meie enda kogemus on see, et süsteemi ebastabiilsus võib teatud juhtudel põhjustada andmete kaotsiminekut või rikkumist. 22. jaanuaril soovitas Intel klientidel peatada praeguse mikrokoodi versiooni juurutamine mõjutatud protsessorites, samal ajal kui nad teevad värskendatud lahendusega täiendavaid katseid. Mõistame, et Intel uurib jätkuvalt praeguse mikrokoodi versiooni potentsiaalset mõju ning julgustame kliente otsustest teavitamiseks pidevalt oma juhiseid läbi vaatama.
Kuigi Intel testib, värskendab ja juurutab uut mikrokoodi, teeme kättesaadavaks ribavälise (OOB) värskenduse ( KB 4078130), mis keelab ainult CVE-2017-5715 leevenduse – "Branch Target Injection". Meie testimise käigus leiti, et see värskendus takistab kirjeldatud käitumist. Seadmete täieliku loendi leiate Inteli mikrokoodi parandusjuhistest. See värskendus hõlmab klientarvuti ja serveri operatsioonisüsteeme Windows 7 (SP1), Windows 8.1 ja Windows 10 kõiki versioone. Kui kasutate mõnda mõjutatud seadet, saate selle värskenduse rakendada, laadides selle alla Microsoft Update'i kataloogi veebisaidilt. Selle lasti rakendamine keelab konkreetselt ainult CVE-2017-5715 leevenduse – "Branch Target Injection".
Alates 25. jaanuarist pole teadaolevaid teateid selle kohta, et seda Spectre Variant 2 (CVE-2017-5715) oleks kasutatud klientide ründamiseks. Kui see on asjakohane, soovitame Windowsi klientidel CVE-2017-5715 leevendus uuesti lubada, kui Intel teatab, et see ettearvamatu süsteemikäitumine on teie seadme jaoks lahendatud.
Ei. Ainult turbevärskendused pole kumulatiivsed. Olenevalt kasutatavast operatsioonisüsteemi versioonist peate nende nõrkuste eest kaitsmiseks installima kõik välja antud turbevärskendused. Näiteks kui kasutate mõjutatud Inteli protsessoriga windows 7 32-bitises süsteemis, peate installima iga ainult turbevärskenduse alates jaanuarist 2018. Soovitame need ainult turbevärskendused installida väljaandmisjärjestuses.
Märkus Selle KKK varasem versioon teatas valesti, et veebruari turbevärskendus sisaldas jaanuaris välja antud turbeparandusi. Tegelikult ei ole.Ei. Turbevärskendus 4078130 oli konkreetne lahendus, et vältida ettearvamatuid süsteemikäitumisi, jõudlusprobleeme ja ootamatuid taaskäivitamisi pärast mikrokoodi installimist. Veebruari turbevärskenduste rakendamine Windowsi kliendi operatsioonisüsteemides võimaldab kõiki kolme leevendusmeetmeid. Windowsi serveri operatsioonisüsteemides peate leevendused pärast asjakohase testimist siiski lubama. Lisateavet leiate Microsofti teabebaasi artiklist 4072698 .
AMD teatas hiljuti, et on alustanud mikrokoodi väljaandmist uuematele protsessoriplatvormidele Spectre Variant 2 ümber (CVE-2017-5715 "Branch Target Injection"). Lisateavet leiate AMD turbe Teabevärskendused ja AMD Whitepaper: arhitektuurisuunised kaudse haru juhtimise kohta. Need on saadaval OEM-i püsivarakanali kaudu.
Intel teatas hiljuti , et on valideerimise lõpetanud ja alustanud mikrokoodi väljaandmist uuemate protsessoriplatvormide jaoks. Microsoft teeb kättesaadavaks Inteli valideeritud mikrokoodi värskendused Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") ümber. Kb 4093836 loetleb windowsi versiooni kindlad teabebaasiartiklid. Iga konkreetne KB sisaldab saadaolevaid Inteli mikrokoodi värskendusi protsessori kaupa.
Microsoft teeb kättesaadavaks Inteli valideeritud mikrokoodi värskendused Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection" kohta). Uusimate Inteli mikrokoodi värskenduste saamiseks Windows Update peavad kliendid enne Windows 10. aprilli 2018 värskenduse (versioon 1803) kasutuselevõttu olema installinud Inteli mikrokoodi seadmetesse, kus töötab operatsioonisüsteem Windows 10.
Mikrokoodi värskendus on saadaval ka otse värskenduste kataloogist, kui seda polnud enne süsteemi täiendamist seadmesse installitud. Inteli mikrokood on saadaval Windows Update, WSUS-i või Microsoft Update'i kataloogi kaudu. Lisateavet ja allalaadimisjuhised leiate teemast KB 4100347.
Lisateavet leiate järgmistest materjalidest.
Üksikasjalikumat teavet leiate ADV180012 jaotistest "Soovitatavad toimingud" ja "KKK" . Microsofti juhised Speculative Store Bypassi jaoks.
SSBD oleku kontrollimiseks värskendati Get-SpeculationControlSettings PowerShelli skripti mõjutatud protsessorite tuvastamiseks, SSBD operatsioonisüsteemi värskenduste olekut ja protsessori mikrokoodi olekut (kui see on asjakohane). Lisateabe saamiseks ja PowerShelli skripti hankimiseks vaadake teemat KB4074629.
13. juunil 2018 teatati ja määrati CVE-2018-3665 täiendavaks nõrkuseks, mis hõlmas külgmise kanali spekulatiivset käivitamist ehk lazy FP oleku taastamist. Lazy Restore FP Restore'i jaoks pole konfiguratsiooni (registri) sätteid vaja.
Lisateavet selle nõrkuse ja soovitatud toimingute kohta leiate turbenõuandlast: ADV180016 | Microsofti juhised lazy FP oleku taastamiseks
MärkusLazy Restore FP Restore'i jaoks pole konfiguratsiooni (registri) sätteid vaja.
Bounds Check Bypass Store (BCBS) avaldati 10. juulil 2018 ja talle määrati CVE-2018-3693. Arvame, et BCBS kuulub samasse nõrkuste klassi nagu Bounds Check Bypass (Variant 1). Me pole praegu teadlikud BCBS-i eksemplaridest meie tarkvaras, kuid jätkame selle haavatavuse klassi uurimist ja teeme koostööd tööstuspartneritega leevendusmeetmete väljaandmiseks vastavalt vajadusele. Julgustame teadlasi jätkuvalt esitama asjakohaseid leide Microsofti spekulatiivse käivitamise külgkanali bounty programmile, sh BCBS-i ekspluateerivatele eksemplaridele. Tarkvaraarendajad peaksid https://aka.ms/sescdevguide üle vaatama BCBS-i jaoks värskendatud arendusjuhised.
14. augustil 2018 teatati L1 Terminal Fault (L1TF) ja määrati mitu CV-d. Neid uusi spekulatiivseid käivitamise külgmise kanali nõrkusi saab kasutada mälu sisu lugemiseks üle usaldusväärse piiri ja võib kasutamisel põhjustada teabe avaldamise. On mitu vektorit, mille abil ründaja võib sõltuvalt konfigureeritud keskkonnast haavatavused käivitada. L1TF mõjutab Intel® Core'i® protsessoreid ja Intel® Xeoni® protsessoreid.
Selle nõrkuse kohta lisateabe saamiseks ja mõjutatud stsenaariumide üksikasjalikuks kuvamiseks (sh Microsofti lähenemisviis L1TF-i leevendamiseks) lugege järgmisi ressursse.
Microsoft Surface'i kliendid: Microsoft Surface'i ja Surface Book tooteid kasutavad kliendid peavad järgima Windowsi klientrakenduse juhiseid, mida kirjeldatakse turbenõuandlas: ADV180018 | Microsofti juhised L1TF-i variandi leevendamiseks. Lisateavet mõjutatud Surface'i toodete ja mikrokoodi värskenduste kättesaadavuse kohta leiate ka Microsofti teabebaasi artikli 4073065 .
Microsoft Hololesi kliendid: L1TF ei mõjuta Microsoft HoloLens, kuna see ei kasuta mõjutatud Inteli protsessorit.
Hyper-Threading keelamiseks vajalikud toimingud erinevad OEM-ist OEM-ile, kuid on üldiselt BIOS-i või püsivara häälestamise ja konfigureerimise tööriistade osa.
Kliendid, kes kasutavad 64-bitist ARM-protsessorit, peaksid küsima seadme OEM-ilt püsivaratuge, kuna ARM64 operatsioonisüsteemi kaitse, mis leevendab CVE-2017-5715 – haru sihtsüst (Spectre, Variant 2), nõuavad seadme OEM-ide uusimat püsivaravärskendust.
Lisateavet selle nõrkuse kohta leiate Microsofti turbejuhendist: CVE-2019-1125 | Windowsi tuumateabe avaldamise nõrkus.
Me pole teadlikud selle teabe avaldamise nõrkusest, mis mõjutab meie pilvteenuste taristut.
Kohe, kui sellest probleemist teada saime, töötasime selle probleemi lahendamiseks ja värskenduse väljaandmiseks kiiresti. Usume tugevalt tihedatesse partnerlustesse nii teadlaste kui ka tööstuspartneritega, et muuta kliendid turvalisemaks, ega avaldanud üksikasju enne teisipäeva, 6. augustit kooskõlas nõrkuste avalikustamise kooskõlastatud tavadega.
Viited
Microsoft pakub kolmanda osapoole kontaktteavet, mis aitab teil selle teema kohta lisateavet leida. Sellist kontaktteavet võidakse ilma ette teatamata muuta. Microsoft ei taga kolmanda osapoole kontaktteabe täpsust.