|
Promjena datuma |
Promjena opisa |
|---|---|
|
9. kolovoza 2023. |
|
|
9. travnja 2024. |
|
Sažetak
U ovom se članku navode informacije i ažuriranja za novu klasi mikroarhitekturnih mikroarhitekturnih i spekulativnih izvršavanja slabih točaka bočnog kanala koje utječu na mnoge moderne procesore i operacijske sustave. Sadrži i sveobuhvatan popis klijentskih i poslužiteljskih resursa sustava Windows da bi vaši uređaji ostali zaštićeni kod kuće, na poslu i u cijeloj tvrtki. To obuhvaća Intel, AMD i ARM. Specifične pojedinosti ranjivosti za te silikonske probleme možete pronaći u sljedećim sigurnosnim savjetima i KV-ima:
-
ADV180002 – smjernice za ublažavanje slabih točaka bočnog kanala spekulativnog izvršavanja
-
ADV180012 – Microsoftove smjernice za spekulativno zaobilaženje trgovine
-
ADV180013 - Microsoft Guidance for Rogue System Register Read
-
ADV180018 – Microsoftove smjernice za ublažavanje varijante L1TF
-
ADV220002 – Microsoftove smjernice za slabe točke Intel Processor MMIO Stale Data
3. siječnja 2018. Microsoft je objavio savjetodavna i sigurnosna ažuriranja povezana s novootkrivenom klasi hardverskih ranjivosti (poznatim kao Spectre i Meltdown) koja obuhvaćaju bočne kanale spekulativnog izvršavanja koji utječu na procesore AMD, ARM i Intel na različite stupnjeve. Ova klasa slabih točaka temelji se na uobičajenoj arhitekturi čipa koja je izvorno dizajnirana za ubrzavanje računala. Dodatne informacije o tim slabim točkama potražite na servisu Google Project Zero.
21. svibnja 2018., Google Project Zero (GPZ), Microsoft i Intel objavili su dvije nove slabe točke čipa koje su povezane s problemima spectre i Meltdown i poznate su pod nazivom Spekulativno zaobilaženje trgovine (SSB) i Čitanje registra zlonamjernog sustava. Rizik klijenta od obje objave je nizak.
Dodatne informacije o tim slabim točkama potražite u resursima koji su navedeni u odjeljku Ažuriranja operacijskog sustava Windows za svibanj 2018. i pogledajte sljedeća sigurnosna upozorenja:
-
ADV180012 | Microsoftove smjernice za spekulativno zaobilaženje trgovine
-
ADV180013 | Microsoft Guidance for Rogue System Register Read
13. lipnja 2018. objavljena je dodatna ranjivost koja uključuje spekulativno izvršavanje bočnog kanala, poznato kao Lazy FP State Restore, i dodijeljena mu je cve-2018-3665. Dodatne informacije o toj ranjivosti i preporučenim akcijama potražite u sljedećim sigurnosnim savjetima:
14. kolovoza 2018., L1 pogreška terminala (L1TF) najavljena je nova ranjivost bočnog kanala spekulativnog izvršavanja s više KVE-ova. L1TF utječe na procesore Intel® Core® i procesore Intel® Xeon®. Dodatne informacije o L1TF i preporučenim akcijama potražite u našem savjetniku za sigurnost:
Napomena: Preporučujemo da instalirate sva najnovija ažuriranja s web-Windows Update prije nego što instalirate ažuriranja mikrokoda.
14. svibnja 2019. Intel je objavio informacije o novoj podklasi slabih točaka bočnog kanala spekulativnog izvršavanja poznate pod nazivom Uzorkovanje mikroarhitektorskih podataka. Dodijeljeni su im sljedeći KV-i:
-
CVE-2018-11091 – "Uzorkovanje mikroarhitektoturnih podataka Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Uzorkovanje podataka međuspremnika mikroarhitektoturalnog spremišta (MSBDS)"
-
CVE-2018-12127 – "Uzorkovanje podataka međuspremnika mikroarhitekteka (MFBDS)"
-
CVE-2018-12130 – "Uzorkovanje podataka mikroarhitektoturalnog priključka opterećenja (MLPDS)"
Važno: ti će problemi utjecati na druge sustave kao što su Android, Chrome, iOS i MacOS. Preporučujemo korisnicima da od svojih dobavljača traže smjernice.
Microsoft je objavio ažuriranja za ublažavanje tih slabih točaka. Da biste dobili sve dostupne zaštite, potrebna su oprema (mikrokod) i softverska ažuriranja. To može uključivati mikrokod iz OEM-ova uređaja. U nekim će slučajevima instaliranje tih ažuriranja utjecati na performanse. Također smo djelovali kako bismo osigurali naše usluge u oblaku.
Napomena: preporučujemo da instalirate sva najnovija ažuriranja s web-Windows Update prije nego što instalirate ažuriranja mikrokoda.
Dodatne informacije o tim problemima i preporučenim akcijama potražite u sljedećim sigurnosnim savjetima:
6. kolovoza 2019. Intel je objavio pojedinosti o ranjivosti otkrivanja informacija jezgre sustava Windows. Ta je ranjivost varijanta slabe točke bočnog kanala spekulativnog izvršavanja Spectre Variant 1 i dodijeljena mu je cve-2019-1125.
Microsoft je 9. srpnja 2019. objavio sigurnosno ažuriranje za operacijski sustav Windows radi lakšeg rješavanja tog problema. Korisnici koji su Windows Update omogućili i primijenili sigurnosna ažuriranja objavljena 9. srpnja 2019. automatski su zaštićeni. Imajte na umu da za tu ranjivost nije potrebno ažuriranje mikrokoda proizvođača uređaja (OEM-a).
Dodatne informacije o toj ranjivosti i primjenjivim ažuriranjima potražite u članku CVE-2019-1125 | Slaba točka otkrivanja informacija o jezgri sustava Windows u Microsoftovu vodiču za sigurnosno ažuriranje.
14. lipnja 2022. Intel je objavio informacije o novoj podklasi spekulativnog izvršavanja slabih točaka ulaza/izlaza (MMIO) mapiranih na strani kanala spekulativnog izvršavanja koje su navedene u savjetu:
Koraci za zaštitu uređaja sa sustavom Windows
Možda ćete morati ažurirati i firmver (mikrokod) i softver da biste otklonili te slabe točke. Preporučene radnje potražite u Microsoftovim sigurnosnim savjetima. To obuhvaća primjenjiva ažuriranja opreme (mikrokoda) proizvođača uređaja i, u nekim slučajevima, ažuriranja antivirusnog softvera. Preporučujemo vam da uređaje održavate ažurnima i zaštićenima tako da instalirate mjesečna sigurnosna ažuriranja za Windows.
Da biste primali sve dostupne zaštite, slijedite ove korake da biste dobili najnovija ažuriranja za softver i hardver.
Napomena: Prije početka provjerite je li antivirusni softver (AV) ažuran i kompatibilan. Na web-mjestu proizvođača antivirusnog softvera provjerite ima li najnovijih informacija o kompatibilnosti.
-
Uređaj sa sustavom Windows održavajte ažurnim uključivanjem automatskih ažuriranja.
-
Provjerite jeste li instalirali najnovije Microsoftovo sigurnosno ažuriranje za operacijski sustav Windows. Ako su automatska ažuriranja uključena, ažuriranja bi vam se trebala automatski isporučiti. No i dalje biste trebali provjeriti jesu li instalirane. Upute potražite u članku Windows Update: najčešća pitanja
-
Instalirajte dostupna ažuriranja programske opreme (mikrokoda) proizvođača uređaja. Svi će korisnici morati provjeriti kod proizvođača uređaja da bi preuzeli i instalirali ažuriranje hardvera specifično za svoj uređaj. Popis web-mjesta proizvođača uređaja potražite u odjeljku "Dodatni resursi".
Napomena: Klijenti trebaju instalirati najnovija sigurnosna ažuriranja operacijskog sustava Windows od Microsofta da bi iskoristili dostupne zaštite. Najprije se moraju instalirati ažuriranja antivirusnog softvera. Nakon toga slijede ažuriranja operacijskog sustava i opreme. Preporučujemo vam da uređaje održavate ažurnima i zaštićenima tako da instalirate mjesečna sigurnosna ažuriranja za Windows.
Čipovi na koje se to odnosi obuhvaćaju čipove koje proizvode Intel, AMD i ARM. To znači da su svi uređaji na kojima su instalirani operacijski sustavi Windows potencijalno ranjivi. To uključuje stolna računala, prijenosna računala, poslužitelje u oblaku i pametne telefone. Zahvaćeni su i uređaji s drugim operacijskim sustavima, kao što su Android, Chrome, iOS i macOS. Preporučujemo korisnicima koji koriste te operacijske sustave da bi od tih dobavljača potražili smjernice.
U trenutku objavljivanja nismo primili nikakve informacije koje bi naznačile da su te slabe točke korištene za napad na korisnike.
Počevši od siječnja 2018., Microsoft je objavio ažuriranja za operacijske sustave Windows i web-preglednike Internet Explorer i Edge da bi pomogao u rješavanju tih slabih točaka i zaštiti korisnika. Objavili smo i ažuriranja za zaštitu naših servisa u oblaku. Nastavljamo blisku suradnju s partnerima u industriji, uključujući proizvođače čipova, hardverske OEM-ove i dobavljače aplikacija, kako bismo zaštitili korisnike od te klase ranjivosti.
Preporučujemo vam da uvijek instalirate mjesečna ažuriranja da bi vaši uređaji bili ažurni i sigurni.
Ažurirat ćemo ovu dokumentaciju kada nova ublažavanja postanu dostupna i preporučujemo da redovito provjeravate ovdje.
Ažuriranja operacijskog sustava Windows u srpnju 2019.
6. kolovoza 2019. Intel je otkrio pojedinosti o sigurnosnoj ranjivosti CVE-2019-1125 | Slaba točka otkrivanja informacija o jezgri sustava Windows. Sigurnosna ažuriranja za tu ranjivost objavljena su kao dio mjesečnog ažuriranja za srpanj 9. srpnja 2019.
Microsoft je 9. srpnja 2019. objavio sigurnosno ažuriranje za operacijski sustav Windows radi lakšeg rješavanja tog problema. Držali smo leđa dokumentiranje ovog ublažavanja javno do koordiniranog objavljivanja industrije u utorak, 6. kolovoza 2019.
Korisnici koji su Windows Update omogućili i primijenili sigurnosna ažuriranja objavljena 9. srpnja 2019. automatski su zaštićeni. Imajte na umu da za tu ranjivost nije potrebno ažuriranje mikrokoda proizvođača uređaja (OEM-a).
Ažuriranja operacijskog sustava Windows za svibanj 2019.
14. svibnja 2019. Intel je objavio informacije o novoj podklasi slabih točaka bočnog kanala spekulativnog izvršavanja poznate pod nazivom Uzorkovanje mikroarhitektekacijskih podataka i dodijeljeni su sljedeći KV-i:
-
CVE-2018-11091 – "Uzorkovanje mikroarhitektoturnih podataka Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Uzorkovanje podataka međuspremnika mikroarhitektoturalnog spremišta (MSBDS)"
-
CVE-2018-12127 – "Uzorkovanje podataka međuspremnika mikroarhitekteka (MFBDS)"
-
CVE-2018-12130 – "Uzorkovanje podataka mikroarhitektoturalnog priključka opterećenja (MLPDS)"
Dodatne informacije o tom problemu potražite u sljedećim člancima Savjetnik za sigurnost i koristite smjernice utemeljene na scenarijima navedene u člancima Vodiči za Windows za klijente i poslužitelje da biste utvrdili radnje potrebne za ublažavanje prijetnje:
Microsoft je objavio zaštitu od nove podklase slabih točaka bočnog kanala spekulativnog izvršavanja poznate kao Uzorkovanje mikroarhitekturnih podataka za 64-bitne (x64) verzije sustava Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).
Koristite postavke registra kao što je opisano u člancima Windows Client (KB4073119)i Windows Server (KB4457951). Te su postavke registra omogućene prema zadanim postavkama za izdanja operacijskog sustava Windows Client i izdanja operacijskog sustava Windows Server.
Preporučujemo da najprije instalirate sva najnovija ažuriranja s Windows Update, prije nego što instalirate ažuriranja mikrokoda.
Dodatne informacije o tom problemu i preporučenim akcijama potražite u sljedećim sigurnosnim savjetima:
Intel je objavio ažuriranje mikrokoda za nedavne cpu platforme radi lakšeg umanjinja cve-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. 14. svibnja 2019 . u bazi znanja 4093836 članaka iz baze znanja prema verziji operacijskog sustava Windows. Članak sadrži i veze na dostupna ažuriranja mikrokoda tvrtke Intel prema CPU-u. Ta su ažuriranja dostupna putem Kataloga Microsoft.
Napomena: preporučujemo da instalirate sva najnovija ažuriranja s web-Windows Update prije nego što instalirate ažuriranja mikrokoda.
Drago nam je što možemo objaviti da je Retpoline po zadanom omogućen na uređajima sa sustavom Windows 10, verziji 1809 (za klijent i poslužitelj) ako je omogućen Spectre Variant 2 (CVE-2017-5715). Omogućivanjem Retpolinea na najnovijoj verziji sustava Windows 10, putem ažuriranja od 14. svibnja 2019. (KB 4494441) očekujemo poboljšane performanse, osobito na starijim procesorima.
Korisnici bi trebali osigurati prethodne zaštite OS-a od slabe točke Spectre Variant 2 omogućene pomoću postavki registra opisanih u člancima Windows Clienti Windows Server . (Te su postavke registra omogućene prema zadanim postavkama za izdanja operacijskog sustava Windows Client, ali su prema zadanim postavkama onemogućene za izdanja operacijskog sustava Windows Server. Dodatne informacije o "Retpoline" potražite u članku Ublažavanje spectre varijante 2 uz Retpoline u sustavu Windows.
Ažuriranja operacijskog sustava Windows za studeni 2018.
Microsoft je objavio zaštite operacijskog sustava za spekulativno zaobilaženje trgovine (CVE-2018-3639) za procesore AMD-a (CPU-ove).
Microsoft je objavio dodatne zaštite operacijskog sustava za korisnike koji koriste 64-bitne ARM procesore. Kod proizvođača OEM-a zatražite podršku za opremu jer su za zaštitu operacijskih sustava ARM64 koje umanjite CVE-2018-3639, Spekulativno zaobilaženje pohrane, potrebno najnovije ažuriranje opreme s OEM-a uređaja.
Ažuriranja operacijskog sustava Windows u rujnu 2018.
11. rujna 2018, Microsoft je izdao Windows Server 2008 SP2 mjesečno skupno ažuriranje 4458010 i samo sigurnost 4457984 za Windows Server 2008 koji pružaju zaštitu od nove ranjivosti bočnog kanala spekulativnog izvršavanja poznate kao L1 Pogreška terminala (L1TF) koja utječe na procesore Intel® Core® i procesore Intel® Xeon® (CVE-2018-3620 i CVE-2018-3646).
Ovo izdanje dovršavanje dodatnih zaštita na svim podržanim verzijama sustava Windows putem Windows Update. Dodatne informacije i popis zahvaćenih proizvoda potražite u članku ADV180018 | Microsoftove smjernice za ublažavanje varijante L1TF.
Napomena: Windows Server 2008 SP2 sada slijedi standardni model skupnog ažuriranja za Windows. Dodatne informacije o tim promjenama potražite u našem blogu o promjenama servisa Windows Server 2008 SP2. Korisnici sa sustavom Windows Server 2008 trebali bi instalirati 4458010 ili 4457984 uz sigurnosno ažuriranje 4341832, koje je izdano 14. kolovoza 2018. Korisnici bi trebali osigurati i prethodne zaštite OS-a od slabih točaka Spectre Variant 2 i Meltdown pomoću postavki registra navedenih u člancima KB vodiča za Windows Client i Windows Server . Te su postavke registra omogućene prema zadanim postavkama za izdanja operacijskog sustava Windows Client, ali su prema zadanim postavkama onemogućene za izdanja operacijskog sustava Windows Server.
Microsoft je objavio dodatne zaštite operacijskog sustava za korisnike koji koriste 64-bitne ARM procesore. Kod proizvođača OEM-a zatražite podršku za opremu jer je za zaštitu operacijskih sustava ARM64 koje umanjite CVE-2017-5715 – ciljno ubacivanje ogranka (Spectre, varijanta 2) potrebno najnovije ažuriranje programske opreme S uređaja da bi OEM-i primijenili.
Ažuriranja operacijskog sustava Windows u kolovozu 2018.
14. kolovoza 2018. objavljena je pogreška terminala L1 (L1TF) i dodijeljeno je više KV-ova. Te nove slabe točke bočnog kanala spekulativnog izvršavanja mogu se koristiti za čitanje sadržaja memorije preko pouzdane granice i, ako se iskorištava, mogu dovesti do otkrivanja informacija. Postoji više vektora pomoću kojih napadač može pokrenuti slabe točke ovisno o konfiguriranom okruženju. L1TF utječe na procesore Intel® Core® i procesore Intel® Xeon®.
Dodatne informacije o L1TF-u i detaljnom prikazu zahvaćenih scenarija, uključujući Microsoftov pristup ublažavanju L1TF-a potražite u sljedećim resursima:
Ažuriranja operacijskog sustava Windows u srpnju 2018.
Sa zadovoljstvom objavljujemo da je Microsoft dovršio objavljivanje dodatnih zaštita na svim podržanim verzijama sustava Windows putem Windows Update za sljedeće slabe točke:
-
Spectre Variant 2 za amd procesore
-
Spekulativno zaobilaženje pohrane za intel procesore
13. lipnja 2018. objavljena je dodatna ranjivost koja uključuje spekulativno izvršavanje bočnog kanala, poznato kao Lazy FP State Restore, i dodijeljena mu je cve-2018-3665. Nema postavki konfiguracije (registra) potrebnih za lijeno vraćanje FP vraćanja.
Dodatne informacije o toj ranjivosti, pogođenim proizvodima i preporučenim akcijama potražite u sljedećim sigurnosnim savjetima:
12. lipnja Microsoft je najavio podršku za Windows za spekulativno onemogućivanje zaobilaženje trgovine (SSBD) u procesorima tvrtke Intel. Za ažuriranja su potrebna odgovarajuća ažuriranja programske opreme (mikrokod) i registra radi funkcionalnosti. Informacije o ažuriranjima i koracima koje treba primijeniti za uključivanje SSBD-a potražite u odjeljku "Preporučene akcije" u odjeljku ADV180012 | Microsoftove smjernice za spekulativno zaobilaženje trgovine.
Ažuriranja operacijskog sustava Windows za svibanj 2018.
U siječnju 2018. Microsoft je objavio informacije o novootkrivenom razredu hardverskih slabih točaka (poznatih pod nazivima Spectre i Meltdown) koje obuhvaćaju bočne kanale spekulativnog izvršavanja koji utječu na AMD, ARM i Intel CPU u različitim stupnjevima. 21. svibnja 2018 . Google Project Zero (GPZ), Microsoft i Intel objavili su dvije nove slabe točke čipa povezane s problemima Spectre i Meltdown koji se nazivaju Spekulativno zaobilaženje pohrane (SSB) i Čitanje registra odbjeglih sustava.
Rizik klijenta od obje objave je nizak.
Dodatne informacije o tim slabim točkama potražite u sljedećim resursima:
-
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639
-
Microsoft Security Advisory for Rogue System Register Read: MSRC ADV180013and CVE-2018-3640
-
Sigurnosna istraživanja i obrana: analiza i ublažavanje spekulativnog zaobilaženje pohrane (CVE-2018-3639)
Odnosi se na: Windows 10, verzija 1607, Windows Server 2016, Windows Server 2016 (instalacija za Server Core) i Windows Server, verzija 1709 (instalacija jezgre poslužitelja)
Pružali smo podršku za upravljanje korištenjem IBPB (Indirect Branch Prediction Barrier) unutar nekih procesora (CPU-ova) tvrtke AMD za ublažavanje rizika od prijetnji CVE-2017-5715, Spectre Variant 2 kada se prebacite s konteksta korisnika na kontekst jezgre. (Dodatne informacije potražite u člancima Smjernice za AMD arhitekturu u odjeljku Indirect Branch Control i AMD Security Ažuriranja).
Korisnici koji koriste Windows 10, verziju 1607, Windows Server 2016, Windows Server 2016 (instalacija servera Core) i Windows Server, verziju 1709 (instalacija jezgre poslužitelja) moraju instalirati sigurnosno ažuriranje 4103723 radi dodatnih ublažavanja za AMD procesore za CVE-2017-5715, Branch Target Injection. Ovo je ažuriranje dostupno i putem Windows Update.
Slijedite upute navedene u kb 4073119 vodičima za Windows Client (IT Pro) i KB 4072698 za vodiče za Windows Server da biste omogućili korištenje IBPB-a unutar nekih procesora (CPU-ova) tvrtke AMD radi ublažavanja prijetnje Spectre Variant 2 kada se prebacite s konteksta korisnika na kontekst jezgre.
Microsoft nudi ažuriranja mikrokoda kojima je Intel potvrdio valjanost za Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Da bi najnovija ažuriranja mikrokoda tvrtke Intel doprela putem sustava Windows Update, korisnici moraju imati instaliran mikrokod Intel na uređajima s operacijskim sustavom Windows 10 prije nadogradnje na ažuriranje sustava Windows 10 za travanj 2018. (verzija 1803).
Ažuriranje mikrokoda dostupno je i izravno iz kataloga ako nije instalirano na uređaj prije nadogradnje OS-a. Mikrokod tvrtke Intel dostupan je putem Windows Update, WSUS-a ili kataloga Microsoft Update. Dodatne informacije i upute za preuzimanje potražite u članku Kb 4100347.
Nudit ćemo dodatna ažuriranja mikrokoda tvrtke Intel za operacijski sustav Windows čim postanu dostupna Microsoftu.
Odnosi se na: Verzija 1709 sustava Windows 10
Pružali smo podršku za upravljanje korištenjem IBPB (Indirect Branch Prediction Barrier) unutar nekih procesora (CPU-ova) tvrtke AMD za ublažavanje rizika od prijetnji CVE-2017-5715, Spectre Variant 2 kada se prebacite s konteksta korisnika na kontekst jezgre. (Dodatne informacije potražite u člancima Smjernice za AMD arhitekturu u odjeljku Indirect Branch Control i AMD Security Ažuriranja).Slijedite upute navedene u članku KB 4073119 za smjernice za Windows Client (IT Pro) da biste omogućili korištenje IBPB-a unutar nekih amd procesora (CPU-ova) radi ublažavanja prijetnje Spectre Variant 2 kada se prebacite s konteksta korisnika na kontekst jezgre.
Microsoft nudi ažuriranja mikrokoda kojima je Intel potvrdio valjanost za Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 navodi određene članke iz baze znanja prema verziji sustava Windows. Svaki određeni KB sadrži najnovija dostupna ažuriranja mikrokoda tvrtke Intel prema CPU-u.
Nudit ćemo dodatna ažuriranja mikrokoda tvrtke Intel za operacijski sustav Windows čim postanu dostupna Microsoftu.
Ažuriranja operacijskog sustava Windows u ožujku 2018. i novijim verzijama
23. ožujka, TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown on Windows
14. ožujka, Security Tech Center: Speculative Execution Side Channel Bounty Program Terms
13. ožujka, blog: ožujak 2018. Sigurnost u sustavu Windows Update – proširivanje naših napora za zaštitu korisnika
1. ožujka blog: Ažuriranje o sigurnosnim ažuriranjima Spectre i Meltdown za uređaje sa sustavom Windows
Počevši od ožujka 2018., Microsoft je objavio sigurnosna ažuriranja da bi pružio ublažavanja rizika za uređaje sa sljedećim operacijskim sustavima Windows utemeljenima na procesoru x86. Korisnici bi trebali instalirati najnovija sigurnosna ažuriranja operacijskog sustava Windows da bi iskoristili dostupne zaštite. Radimo na pružanju zaštite za druge podržane verzije sustava Windows, ali trenutno nemamo raspored izdanja. Vratite se ovdje da biste provjerili ima li ažuriranja. Dodatne informacije potražite u povezanom članku baze znanja za tehničke pojedinosti i odjeljak "Najčešća pitanja".
|
Izdano je ažuriranje proizvoda |
Status |
Datum izdavanja |
Kanal izdanja |
KB |
|
Windows 8.1 & Windows Server 2012 R2 – samo sigurnosno ažuriranje |
Izdano |
13. ožujka |
WSUS, katalog, |
|
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 – samo sigurnosno ažuriranje |
Izdano |
13. ožujka |
WSUS, katalog |
|
|
Windows Server 2012 – samo sigurnosno ažuriranje Windows 8 Embedded Standard Edition – samo sigurnosno ažuriranje |
Izdano |
13. ožujka |
WSUS, katalog |
|
|
Windows 8.1 & Windows Server 2012 R2 – mjesečno skupno ažuriranje |
Izdano |
13. ožujka |
WU, WSUS, katalog |
|
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 – mjesečno skupno ažuriranje |
Izdano |
13. ožujka |
WU, WSUS, katalog |
|
|
Windows Server 2012 – mjesečno skupno ažuriranje Windows 8 Embedded Standard Edition – mjesečno skupno ažuriranje |
Izdano |
13. ožujka |
WU, WSUS, katalog |
|
|
Windows Server 2008 SP2 |
Izdano |
13. ožujka |
WU, WSUS, katalog |
Počevši od ožujka 2018., Microsoft je objavio sigurnosna ažuriranja da bi pružio ublažavanja rizika za uređaje sa sljedećim operacijskim sustavima Windows utemeljenima na x64. Korisnici bi trebali instalirati najnovija sigurnosna ažuriranja operacijskog sustava Windows da bi iskoristili dostupne zaštite. Radimo na pružanju zaštite za druge podržane verzije sustava Windows, ali trenutno nemamo raspored izdanja. Vratite se ovdje da biste provjerili ima li ažuriranja. Dodatne informacije potražite u povezanom članku baza znanja pojedinosti o tehničkim pitanjima i odjeljku "najčešća pitanja".
|
Izdano je ažuriranje proizvoda |
Status |
Datum izdavanja |
Kanal izdanja |
KB |
|
Windows Server 2012 – samo sigurnosno ažuriranje Windows 8 Embedded Standard Edition – samo sigurnosno ažuriranje |
Izdano |
13. ožujka |
WSUS, katalog |
|
|
Windows Server 2012 – mjesečno skupno ažuriranje Windows 8 Embedded Standard Edition – mjesečno skupno ažuriranje |
Izdano |
13. ožujka |
WU, WSUS, katalog |
|
|
Windows Server 2008 SP2 |
Izdano |
13. ožujka |
WU, WSUS, katalog |
Ovo ažuriranje rješava ranjivost povećanja ovlasti u jezgri sustava Windows u 64-bitnoj (x64) verziji sustava Windows. Ta je ranjivost dokumentirana u cve-2018-1038. Korisnici moraju primijeniti ovo ažuriranje da bi bili u potpunosti zaštićeni od te ranjivosti ako su njihova računala ažurirana u siječnju 2018. ili nakon njega primjenom bilo kojeg ažuriranja navedenih u sljedećem članku iz baze znanja:
Ovo sigurnosno ažuriranje rješava nekoliko prijavljenih slabih točaka u pregledniku Internet Explorer. Dodatne informacije o tim slabim točkama potražite u članku Slabe točke i izlaganja tvrtke Microsoft Common.
|
Izdano je ažuriranje proizvoda |
Status |
Datum izdavanja |
Kanal izdanja |
KB |
|
Internet Explorer 10 – kumulativno ažuriranje za Windows 8 Embedded Standard Edition |
Izdano |
13. ožujka |
WU, WSUS, katalog |
Ažuriranja operacijskog sustava Windows iz veljače 2018.
Blog: Windows Analytics sada pomaže u procjeni zaštite od prijetnji Spectre i Meltdown
Sljedeća sigurnosna ažuriranja pružaju dodatnu zaštitu za uređaje s 32-bitnim (x86) operacijskim sustavima Windows. Microsoft preporučuje korisnicima da instaliraju ažuriranje čim budu dostupni. I dalje radimo na pružanju zaštite za druge podržane verzije sustava Windows, ali trenutno nemamo raspored izdanja. Vratite se ovdje da biste provjerili ima li ažuriranja.
Napomena Windows 10 mjesečna sigurnosna ažuriranja kumulativna su mjesecom u mjesecu i automatski će se preuzeti i instalirati iz Windows Update. Ako ste instalirali ranija ažuriranja, na uređaj će se preuzeti i instalirati samo novi dijelovi. Dodatne informacije potražite u povezanom članku baze znanja za tehničke pojedinosti i odjeljak "Najčešća pitanja".
|
Izdano je ažuriranje proizvoda |
Status |
Datum izdavanja |
Kanal izdanja |
KB |
|
Windows 10 – verzija 1709 / Windows Server 2016 (1709) / IoT Core – ažuriranje kvalitete |
Izdano |
31. siječnja |
WU, katalog |
|
|
Windows Server 2016 (1709) – spremnik poslužitelja |
Izdano |
13. veljače |
Središte alata Docker |
|
|
Windows 10 – verzija 1703 / IoT Core – ažuriranje kvalitete |
Izdano |
13. veljače |
WU, WSUS, katalog |
|
|
Windows 10 – verzija 1607 / Windows Server 2016 / IoT Core – ažuriranje kvalitete |
Izdano |
13. veljače |
WU, WSUS, katalog |
|
|
Windows 10 HoloLens – operacijski sustav i Ažuriranja |
Izdano |
13. veljače |
WU, katalog |
|
|
Windows Server 2016 (1607) – slike spremnika |
Izdano |
13. veljače |
Središte alata Docker |
|
|
Windows 10 – verzija 1511 / IoT Core – ažuriranje kvalitete |
Izdano |
13. veljače |
WU, WSUS, katalog |
|
|
Windows 10 – verzija RTM – ažuriranje kvalitete |
Izdano |
13. veljače |
WU, WSUS, katalog |
Ažuriranja operacijskog sustava Windows za siječanj 2018.
Blog: Objašnjenje utjecaja na performanse prijetnji Spectre i Meltdown u sustavima Windows
Počevši od siječnja 2018. Microsoft je objavio sigurnosna ažuriranja kako bi pružio ublažavanja rizika za uređaje sa sljedećim operacijskim sustavima Windows utemeljenima na procesoru x64. Korisnici bi trebali instalirati najnovija sigurnosna ažuriranja operacijskog sustava Windows da bi iskoristili dostupne zaštite. Radimo na pružanju zaštite za druge podržane verzije sustava Windows, ali trenutno nemamo raspored izdanja. Vratite se ovdje da biste provjerili ima li ažuriranja. Dodatne informacije potražite u povezanom članku baze znanja za tehničke pojedinosti i odjeljak "Najčešća pitanja".
|
Izdano je ažuriranje proizvoda |
Status |
Datum izdavanja |
Kanal izdanja |
KB |
|
Windows 10 – verzija 1709 / Windows Server 2016 (1709) / IoT Core – ažuriranje kvalitete |
Izdano |
3. siječnja |
WU, WSUS, katalog, galerija slika platforme Azure |
|
|
Windows Server 2016 (1709) – spremnik poslužitelja |
Izdano |
5. siječnja |
Središte alata Docker |
|
|
Windows 10 – verzija 1703 / IoT Core – ažuriranje kvalitete |
Izdano |
3. siječnja |
WU, WSUS, katalog |
|
|
Windows 10 – verzija 1607 / Windows Server 2016 / IoT Core – ažuriranje kvalitete |
Izdano |
3. siječnja |
WU, WSUS, katalog |
|
|
Windows Server 2016 (1607) – slike spremnika |
Izdano |
4. siječnja |
Središte alata Docker |
|
|
Windows 10 – verzija 1511 / IoT Core – ažuriranje kvalitete |
Izdano |
3. siječnja |
WU, WSUS, katalog |
|
|
Windows 10 – verzija RTM – ažuriranje kvalitete |
Izdano |
3. siječnja |
WU, WSUS, katalog |
|
|
Windows 10 Mobile (međuverzija OS-a 15254.192) – ARM |
Izdano |
5. siječnja |
WU, katalog |
|
|
Windows 10 Mobile (međuverzija OS-a 15063.850) |
Izdano |
5. siječnja |
WU, katalog |
|
|
Windows 10 Mobile (međuverzija OS-a 14393.2007) |
Izdano |
5. siječnja |
WU, katalog |
|
|
HoloLens u sustavu Windows 10 |
Izdano |
5. siječnja |
WU, katalog |
|
|
Windows 8.1 / Windows Server 2012 R2 – samo sigurnosno ažuriranje |
Izdano |
3. siječnja |
WSUS, katalog |
|
|
Windows Embedded 8.1 Industry Enterprise |
Izdano |
3. siječnja |
WSUS, katalog |
|
|
Windows Embedded 8.1 Industry Pro |
Izdano |
3. siječnja |
WSUS, katalog |
|
|
Windows Embedded 8.1 Pro |
Izdano |
3. siječnja |
WSUS, katalog |
|
|
Mjesečno skupno ažuriranje za Windows 8.1 / Windows Server 2012 R2 |
Izdano |
8. siječnja |
WU, WSUS, katalog |
|
|
Windows Embedded 8.1 Industry Enterprise |
Izdano |
8. siječnja |
WU, WSUS, katalog |
|
|
Windows Embedded 8.1 Industry Pro |
Izdano |
8. siječnja |
WU, WSUS, katalog |
|
|
Windows Embedded 8.1 Pro |
Izdano |
8. siječnja |
WU, WSUS, katalog |
|
|
Samo sigurnosno ažuriranje za Windows Server 2012 |
Izdano |
WSUS, katalog |
||
|
Windows Server 2008 SP2 |
Izdano |
WU, WSUS, katalog |
||
|
Mjesečno skupno ažuriranje za Windows Server 2012 |
Izdano |
WU, WSUS, katalog |
||
|
Windows Embedded 8 Standard |
Izdano |
WU, WSUS, katalog |
||
|
Windows 7 SP1 / Windows Server 2008 R2 SP1 – samo sigurnosno ažuriranje |
Izdano |
3. siječnja |
WSUS, katalog |
|
|
Windows Embedded Standard 7 |
Izdano |
3. siječnja |
WSUS, katalog |
|
|
Windows Embedded POSReady 7 |
Izdano |
3. siječnja |
WSUS, katalog |
|
|
Windows Thin PC |
Izdano |
3. siječnja |
WSUS, katalog |
|
|
Mjesečno skupno ažuriranje za Windows 7 SP1 / Windows Server 2008 R2 SP1 |
Izdano |
4. siječnja |
WU, WSUS, katalog |
|
|
Windows Embedded Standard 7 |
Izdano |
4. siječnja |
WU, WSUS, katalog |
|
|
Windows Embedded POSReady 7 |
Izdano |
4. siječnja |
WU, WSUS, katalog |
|
|
Windows Thin PC |
Izdano |
4. siječnja |
WU, WSUS, katalog |
|
|
Internet Explorer 11 – kumulativno ažuriranje za Windows 7 SP1 i Windows 8.1 |
Izdano |
3. siječnja |
WU, WSUS, katalog |
9. travnja 2024. objavili smo CVE-2022-0001 | Intel Branch History Injection koji opisuje Branch History Injection (BHI) koji je specifičan oblik intra-mode BTI. Ta se ranjivost pojavljuje kada napadač može manipulirati poviješću grana prije prelaska s korisnika na nadzorni način rada (ili iz VMX-a koji nije korijenski/gost u korijenski način rada). Ova manipulacija može uzrokovati da indirektni prediktor grane odabire određeni unos prediktora za neizravni ogranak, a programčić za otkrivanje na predviđenom cilju će se privremeno izvršiti. To može biti moguće jer relevantna povijest grana može sadržavati ogranke iz prethodnih sigurnosnih konteksta, a posebice drugih načina prediktora.
Slijedite upute navedene u vodičima za KB4073119 za Windows Client (IT Pro) i vodičima za KB4072698 za Windows Server da biste ublažili slabe točke opisane u članku CVE-2022-0001 | Intel Branch History Injection.
Resursi i tehničke smjernice
Ovisno o vašoj ulozi, sljedeći članci za podršku mogu vam pomoći u prepoznavanju i ublažavanjem klijentskih i poslužiteljskih okruženja na koja utječe slabe točke Spectre i Meltdown.
Microsoft Security Advisory for L1 Terminal Fault (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646
Sigurnosna istraživanja i obrana: analiza i ublažavanje spekulativnog zaobilaženje pohrane (CVE-2018-3639)
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639
Microsoft Security Advisory for Rogue System Register Read | Vodič za sigurnosno ažuriranje za Surface: MSRC ADV180013i CVE-2018-3640
Sigurnosna istraživanja i obrana: analiza i ublažavanje spekulativnog zaobilaženje pohrane (CVE-2018-3639)
TechNet Security Research & Defense: KVA Shadow: mitigating Meltdown on Windows
Security Tech Center: Speculative Execution Side Channel Bounty Program Terms
Blog o servisu Microsoft Experience: Ažuriranje sigurnosnih ažuriranja za Spectre i Meltdown za uređaje sa sustavom Windows
Blog o sustavu Windows za tvrtke: Windows Analytics sada pomaže u procjeni zaštite od prijetnji Spectre i Meltdown
Microsoftov sigurni blog: Objašnjenje utjecaja na performanse prijetnji Spectre i Meltdown u sustavima Windows Systems
Blog razvojnih inženjera preglednika Edge: ublažavanje napada bočnog kanala spekulativnog izvršavanja u preglednicima Microsoft Edge i Internet Explorer
Azure Blog: Zaštita korisnika platforme Azure od slabe točke CPU-a
SCCM smjernice: dodatne smjernice za ublažavanje slabih točaka bočnog kanala spekulativnog izvršavanja
Microsoftova upozorenja:
-
ADV180002 | Smjernice za ublažavanje slabih točaka bočnog kanala spekulativnog izvršavanja
-
ADV180012 | Microsoftove smjernice za spekulativno zaobilaženje trgovine
-
ADV180013 | Microsoft Guidance for Rogue System Register Read
-
ADV180018 | Microsoftove smjernice za ublažavanje varijante L1TF
Intel: Savjetnik za sigurnost
NVIDIA: Savjetnik za sigurnost
Smjernice za korisnike: zaštita uređaja od sigurnosnih slabih točaka povezanih s čipom
Vodiči za antivirus: sigurnosna ažuriranja za Windows objavljena 3. siječnja 2018. i antivirusni softver
Smjernice za blok sigurnosnih ažuriranja za OPERACIJSKI SUSTAV AMD Windows: KB4073707: blok sigurnosnog ažuriranja operacijskog sustava Windows za neke uređaje koji se temelje na AMD-u
Ažuriranje za onemogućivanje ublažavanja protiv prijetnje Spectre, varijanta 2: KB4078130: Intel je identificirao probleme s ponovnim pokretanjem mikrokoda na nekim starijim procesorima
Smjernice za Surface: Smjernice za Surface za zaštitu od slabih točaka bočnog kanala spekulativnog izvršavanja
Provjerite status ublažavanja bočnog kanala spekulativnog izvršavanja: objašnjenje Get-SpeculationControlSettings skripte komponente PowerShell
Smjernice za IT profesionalce: Smjernice za klijent sustava Windows za IT profesionalce za zaštitu od slabih točaka bočnog kanala spekulativnog izvršavanja
Smjernice za poslužitelje: smjernice za Windows Server za zaštitu od slabih točaka bočnog kanala spekulativnog izvršavanja
Server Guidance for L1 Terminal Fault: Windows Server guidance to protect against L1 terminal fault
Smjernice za razvojne inženjere:Smjernice za razvojne inženjere za spekulativno zaobilaženje trgovine
Vodiči za Server Hyper-V
Azure KB: KB4073235: Microsoft Cloud Protections against Speculative Execution Side-Channel vulnerabilities
Smjernice za Azure Stack: KB4073418: Vodiči za Azure stack za zaštitu od slabih točaka bočnog kanala spekulativnog izvršavanja
Pouzdanost platforme Azure: Portal pouzdanosti platforme Azure
SQL Server smjernice: KB4073225: SQL Server smjernice za zaštitu od slabih točaka bočnog kanala spekulativnog izvršavanja
Veze na proizvođače OEM-ova i poslužitelja za ažuriranja koja štite od slabih točaka Spectre i Meltdown
Da biste pomogli u rješavanju tih slabih točaka, morate ažurirati i hardver i softver. Upotrijebite sljedeće veze da biste kod proizvođača uređaja provjerili ima li ažuriranja primjenjive opreme (mikrokoda).
Ažuriranja opreme (mikrokoda) zatražite od proizvođača uređaja pomoću sljedećih veza. Morat ćete instalirati ažuriranja operacijskog sustava i opreme (mikrokod) za sve dostupne zaštite.
|
OEM proizvođači uređaja |
Veza za dostupnost mikrokoda |
|
Acer |
|
|
Asus |
ASUS Update on Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method |
|
Dell |
|
|
Epson |
|
|
Fujitsu |
Hardver procesora izložen napadima bočnog kanala (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
|
HP |
|
|
Lenovo |
|
|
LG |
|
|
NEC |
Na odgovor na ranjivost procesora (meltdown, spectrum) u našim proizvodima |
|
Panasonic |
|
|
Samsung |
|
|
Surface |
Vodiči za Surface za zaštitu od slabih točaka bočnog kanala spekulativnog izvršavanja |
|
Toshiba |
|
|
Vaio |
|
OEM proizvođači poslužitelja |
Veza za dostupnost mikrokoda |
|
Dell |
|
|
Fujitsu |
Hardver procesora izložen napadima bočnog kanala (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
|
HPE |
Upozorenja o sigurnosnoj ranjivosti proizvoda tvrtke Hewlett Packard |
|
Huawei |
|
|
Lenovo |
Najčešća pitanja
Morat ćete kod proizvođača uređaja provjeriti ima li ažuriranja programske opreme (mikrokoda). Ako proizvođač vašeg uređaja nije naveden u tablici, obratite se izravno OEM-u.
Ažuriranja za uređaje Microsoft Surface dostupni su korisnicima putem Windows Update. Popis dostupnih ažuriranja opreme uređaja Surface (mikrokod) potražite u članku Kb 4073065.
Ako vaš uređaj nije od Microsofta, primijenite ažuriranja programske opreme proizvođača uređaja. Dodatne informacije zatražite odproizvođača uređaja.
Rješavanje hardverske ranjivosti pomoću ažuriranja softvera predstavlja znatne izazove i ublažavanja za starije operacijske sustave i može zahtijevati opsežne arhitektonske promjene. Nastavljamo raditi s pogođenim proizvođačima čipova kako bismo istražili najbolji način za pružanje ublažavanja. To se može ponuditi u budućem ažuriranju. Zamjena starijih uređaja koji koriste te starije operacijske sustave i ažuriranje antivirusnog softvera trebala bi ometi preostali rizik.
Napomene:
-
Proizvodi koji trenutno nisu dio osnovne i proširene podrške neće primati ta ažuriranja sustava. Preporučujemo korisnicima ažuriranje na podržanu verziju sustava.
-
Napadi bočnog kanala spekulativnog izvršavanja iskorištavaju ponašanje i funkcionalnost procesora. Proizvođači CPU-a najprije moraju utvrditi koji procesori mogu biti ugroženi, a zatim obavijestiti Microsoft. U mnogim slučajevima, potrebna su odgovarajuća ažuriranja operacijskog sustava kako bi se korisnicima pružila sveobuhvatna zaštita. Preporučujemo da dobavljači sustava Windows CE koji su svjesni sigurnosti rade s proizvođačem čipa da bi razumjeli slabe točke i primjenjiva ublažavanja.
-
Nećemo izdavati ažuriranja za sljedeće platforme:
-
Operacijski sustavi Windows za koje je završila podrška ili za koje će se pružanje servisa obustaviti 2018.
-
Sustavi utemeljeni na sustavu Windows XP, uključujući WES 2009 i POSReady 2009
-
Iako su sustavi utemeljeni na sustavu Windows XP zahvaćeni proizvodima, Microsoft za njih ne izdaje ažuriranje jer bi sveobuhvatne izmjene arhitekture koje bi se zahtijevalo ugrozili stabilnost sustava i uzrokovali probleme s kompatibilnošću aplikacija. Preporučujemo da korisnici kojima je sigurnost vrlo važna izvrše nadogradnju na noviji podržani operacijski sustav da bi održali korak s dinamičnim prijetnjama i primali robusnije zaštite koje pružaju noviji operacijski sustavi.
Ažuriranja za Windows 10 HoloLens dostupni su korisnicima uređaja HoloLens putem Windows Update.
Nakon primjene ažuriranjaza veljaču 2018. Sigurnost u sustavu Windows, korisnici uređaja HoloLens ne moraju poduzeti nikakve dodatne radnje da bi ažurirali opremu uređaja. Ta će ublažavanja biti obuhvaćena i u svim budućim izdanjima sustava Windows 10 HoloLens.
Dodatne informacije zatražite od OEM-a.
Da bi vaš uređaj bio u potpunosti zaštićen, instalirajte najnovija sigurnosna ažuriranja operacijskog sustava Windows za svoj uređaj i primjenjiva ažuriranja opreme (mikrokoda) proizvođača uređaja. Ta bi ažuriranja trebala biti dostupna na web-mjestu proizvođača uređaja. Najprije se moraju instalirati ažuriranja antivirusnog softvera. Ažuriranja operacijskog sustava i programske opreme mogu se instalirati bilo kojim redoslijedom.
Morat ćete ažurirati i hardver i softver da biste riješili tu ranjivost. Morat ćete instalirati i primjenjiva ažuriranja opreme (mikrokod) proizvođača uređaja radi sveobuhvatnije zaštite. Preporučujemo vam da uređaje održavate ažurnima i zaštićenima tako da instalirate mjesečna sigurnosna ažuriranja za Windows.
U svakom Windows 10 ažuriranja značajki u operacijskom sustavu razvijamo najnoviju sigurnosnu tehnologiju koja pruža dubinske značajke obrane koje sprječavaju utjecaj cijelih klasa zlonamjernog softvera na vaš uređaj. Planirana su dva izdanja ažuriranja značajki godišnje. U svakom mjesečnom ažuriranju kvalitete dodajemo još jedan sloj sigurnosti koji prati nove i promjene trendova zlonamjernog softvera da bi ažurni sustavi bili sigurniji zbog promjena i novih prijetnji.
Microsoft je putem servisa Windows 10, Windows 8.1 i Windows 7 SP1 podizao provjeru kompatibilnosti za sigurnosna ažuriranja sustava Windows za Windows Update podržane verzije sustava Windows 10, Windows 8.1 i Windows 7 SP1. Preporuke:
-
Provjerite jesu li vaši uređaji ažurni tako da imate najnovija microsoftova sigurnosna ažuriranja i proizvođača hardvera. Dodatne informacije o tome kako uređaj držati ažurnim potražite u članku Windows Update: najčešća pitanja.
-
Budite oprezni prilikom posjeta web-mjestima nepoznatog porijekla i nemojte ostati na web-mjestima koja ne smatrate pouzdanima. Microsoft preporučuje svim korisnicima da zaštite svoje uređaje pokretanjem podržanog antivirusnog programa. Korisnici mogu iskoristiti i prednosti ugrađene antivirusne zaštite: Windows Defender za uređaje sa sustavom Windows 10 uređaje ili Microsoft Security Essentials za Windows 7. Ta su rješenja kompatibilna u slučajevima kada korisnici ne mogu instalirati ili pokrenuti antivirusni softver.
Da bi se izbjeglo negativno utjecati na korisničke uređaje, sigurnosna ažuriranja sustava Windows objavljena u siječnju ili veljači nisu ponuđena svim korisnicima. Detalje potražite u članku Microsoftove baze znanja 4072699.
Intel je prijavio probleme koji utječu na nedavno objavljeni mikrokod koji je namijenjen adresi Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection"). Konkretno, Intel je uočio da taj mikrokod može uzrokovati "veća od očekivanih ponovnih pokretanja i drugih nepredvidljivih ponašanja sustava" te da situacije kao što je to može uzrokovati "gubitak podataka ili oštećenje". Naše je vlastito iskustvo da nestabilnost sustava u nekim okolnostima može uzrokovati gubitak ili oštećenje podataka. 22. siječnja Intel je preporučio da korisnici prestanu implementirati trenutnu verziju mikrokoda na zahvaćene procesore dok izvode dodatno testiranje na ažuriranom rješenju. Razumijemo da Intel nastavlja istraživati potencijalni učinak trenutačne verzije mikrokoda i potičemo korisnike da redovito pregledaju svoje smjernice kako bi obavijestili svoje odluke.
Dok Intel testira, ažurira i implementira novi mikrokod, činimo dostupnim ažuriranje izvan pojasa (OOB), KB 4078130, koje posebno onemogućuje samo ublažavanje protiv CVE-2017-5715 – "Branch Target Injection" (Ciljano ubacivanje grana). U našem je testiranju pronađeno ovo ažuriranje radi sprječavanja opisanog ponašanja. Potpuni popis uređaja potražite u članku Intel-ove smjernice za reviziju mikrokoda. Ovo ažuriranje obuhvaća (SP1) za Windows 7, Windows 8.1 i sve verzije sustava Windows 10, za klijent i poslužitelj. Ako koristite uređaj koji je pogođen, to se ažuriranje može primijeniti tako da ga preuzmete s web-mjesta Katalog Microsoft Update. Primjena ovog opterećenja posebno onemogućuje samo ublažavanje protiv CVE-2017-5715 – "Branch Target Injection".
Od 25. siječnja nema poznatih izvješća koja bi naznačila da je ova spectre varijanta 2 (CVE-2017-5715) korištena za napad na korisnike. Preporučujemo da, kada je to prikladno, korisnici sustava Windows ponovno omogućuju ublažavanje protiv CVE-2017-5715 kada Intel izvješćuje da je to nepredvidljivo ponašanje sustava riješeno za vaš uređaj.
Ne. Samo sigurnosna ažuriranja nisu kumulativna. Ovisno o verziji operacijskog sustava koju koristite, morate instalirati sva izdana sigurnosna ažuriranja da biste bili zaštićeni od tih slabih točaka. Na primjer, ako koristite Windows 7 za 32-bitne sustave na zahvaćenom Procesoru Intel, morate instalirati svako sigurnosno ažuriranje koje počinje od siječnja 2018. Preporučujemo da ta sigurnosna ažuriranja instalirate redoslijedom izdanja. Napomena U starijoj verziji najčešćih pitanja pogrešno je navedeno da je sigurnosno ažuriranje za veljaču obuhvaćala sigurnosne popravke objavljene u siječnju. U stvari, ne.
Ne. Sigurnosno ažuriranje 4078130 je rješenje za sprječavanje nepredvidljivih ponašanja sustava, problema s performansama i neočekivanih ponovnih pokretanja nakon instalacije mikrokoda. Primjena sigurnosnih ažuriranja za veljaču na klijentskim operacijskim sustavima Windows omogućuje sva tri ublažavanja. Na operacijskim sustavima Windows Server i dalje morate omogućiti ublažavanja nakon odgovarajućeg testiranja. Dodatne informacije potražite u 4072698 Microsoftovoj bazi znanja.
AMD je nedavno objavio da su počeli objavu mikrokoda za novije CPU platforme oko spectre varijante 2 (CVE-2017-5715 "Branch Target Injection"). Dodatne informacije potražite u odjeljcima AMD Security Ažuriranjai AMD Whitepaper: Smjernice za arhitekturu oko kontrole neizravnih grana. One su dostupne u kanalu opreme OEM-a.
Intel je nedavno objavio da su dovršili provjeru valjanosti i počeli objavu mikrokoda za novije cpu platforme. Microsoft nudi ažuriranja mikrokoda kojima je Intel potvrdio valjanost za Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB 4093836 određene članke iz baze znanja prema verziji sustava Windows. Svaki određeni KB sadrži dostupna ažuriranja mikrokoda tvrtke Intel po CPU-u.
Microsoft nudi ažuriranja mikrokoda kojima je Intel potvrdio valjanost za Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Da bi najnovija ažuriranja mikrokoda tvrtke Intel doprela putem sustava Windows Update, korisnici moraju imati instaliran mikrokod Intel na uređajima s operacijskim sustavom Windows 10 prije nadogradnje na ažuriranje sustava Windows 10 za travanj 2018. (verzija 1803).
Ažuriranje mikrokoda dostupno je i izravno iz kataloga ažuriranja ako nije instalirano na uređaju prije nadogradnje sustava. Mikrokod tvrtke Intel dostupan je putem Windows Update, WSUS-a ili kataloga Microsoft Update. Dodatne informacije i upute za preuzimanje potražite u članku Kb 4100347.
Dodatne informacije potražite u sljedećim resursima:
Detalje potražite u odjeljcima "Preporučene akcije" i "Najčešća pitanja" u ADV180012 | Microsoftove smjernice za spekulativno zaobilaženje trgovine.
Da biste provjerili status SSBD-a, skripta komponente Get-SpeculationControlSettings PowerShell ažurirana je radi otkrivanja zahvaćenih procesora, statusa ažuriranja SSBD operacijskog sustava i stanja mikrokoda procesora ako je primjenjivo. Dodatne informacije i upute za dohvaćanje skripte komponente PowerShell potražite u članku KB4074629.
13. lipnja 2018. objavljena je dodatna ranjivost koja uključuje spekulativno izvršavanje bočnog kanala, poznato kao Lazy FP State Restore, i dodijeljena mu je cve-2018-3665. Nema postavki konfiguracije (registra) potrebnih za lijeno vraćanje FP vraćanja.
Dodatne informacije o toj ranjivosti i preporučenim akcijama potražite u savjetniku za sigurnost: ADV180016 | Microsoft Guidance for Lazy FP State Restore
NapomenaNema postavki konfiguracije (registra) potrebnih za lijeno vraćanje FP vraćanja.
Granica Check Bypass Store (BCBS) otkrivena je 10. srpnja 2018. i dodijeljeno CVE-2018-3693. BcBS smatramo da pripada istoj klasi slabih točaka kao i Zaobilaženje provjere granica (varijanta 1). Trenutno nismo svjesni instanci BCBS-a u našem softveru, ali nastavljamo s istraživanjem ove klase ranjivosti i radit ćemo s partnerima u industriji kako bismo riješili problem po potrebi. Nastavljamo poticati istraživače da sve relevantne nalaze predaju programu nagrada bočnog kanala spekulativnog izvršavanja tvrtke Microsoft, uključujući sve izrabljivajuće instance BCBS-a. Razvojni inženjeri softvera trebali bi pregledati smjernice za razvojne inženjere koje su ažurirane za BCBS na https://aka.ms/sescdevguide.
14. kolovoza 2018. objavljena je pogreška terminala L1 (L1TF) i dodijeljeno je više KV-ova. Te nove slabe točke bočnog kanala spekulativnog izvršavanja mogu se koristiti za čitanje sadržaja memorije preko pouzdane granice i, ako se iskorištava, mogu dovesti do otkrivanja informacija. Postoji više vektora pomoću kojih napadač može pokrenuti slabe točke ovisno o konfiguriranom okruženju. L1TF utječe na procesore Intel® Core® i procesore Intel® Xeon®.
Dodatne informacije o toj ranjivosti i detaljnom prikazu zahvaćenih scenarija, uključujući Microsoftov pristup ublažavanju L1TF-a, potražite u sljedećim resursima:
Korisnici uređaja Microsoft Surface: Korisnici koji koriste Microsoft Surface Surface Book proizvode moraju slijediti smjernice za Klijent sustava Windows navedene u Savjetniku za sigurnost: ADV180018 | Microsoftove smjernice za ublažavanje varijante L1TF. Dodatne informacije o zahvaćenim proizvodima uređaja Surface 4073065 dostupnosti ažuriranja mikrokoda potražite u članku Iz Microsoftove baze znanja.
Korisnici uređaja Microsoft Hololens: Microsoft HoloLens na njega ne utječe L1TF jer ne koristi zahvaćeni procesor Tvrtke Intel.
Koraci potrebni za onemogućivanje Hyper-Threading će se od OEM-a do OEM-a, ali su općenito dio BIOS-a ili alata za postavljanje opreme i konfiguraciju.
Korisnici koji koriste 64-bitne ARM procesore trebali bi provjeriti s OEM-om uređaja radi podrške za opremu jer zaštita operacijskog sustava ARM64 koja umanjiti CVE-2017-5715 – ciljano ubacivanje ogranka (Spectre, varijanta 2) zahtijeva najnovije ažuriranje programske opreme S OEM-ova uređaja da bi primijenili.
Pojedinosti o toj ranjivosti potražite u Microsoftovu sigurnosnom vodiču: CVE-2019-1125 | Slaba točka otkrivanja informacija o jezgri sustava Windows.
Ne znamo ni za koju instancu ranjivosti otkrivanja informacija koja utječe na infrastrukturu servisa u oblaku.
Čim smo postali svjesni tog problema, brzo smo radili na rješavanju tog problema i izdanju ažuriranja. Čvrsto vjerujemo u bliska partnerstva s istraživačima i partnerima u industriji kako bismo korisnicima bili sigurniji, a pojedinosti nismo objavili do utorka 6. kolovoza, u skladu s usklađenim praksama otkrivanja ranjivosti.
Reference
Microsoft pruža podatke za kontakt drugih proizvođača da biste lakše pronašli dodatne informacije o ovoj temi. Ti se podaci za kontakt mogu promijeniti bez najave. Microsoft ne jamči točnost podataka za kontakt treće strane.
