Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Azure Stack HCI Windows Server 2022 Windows Server 2019 Windows Server 2016

Zmień datę

Zmień opis

9 sierpnia 2023 r.

  • Usunięto zawartość dotyczącą CVE-2022-23816, ponieważ numer CVE nie jest nieużywany

  • Usunięto zduplikowany temat zatytułowany "Aktualizacje mikrokodu Intel" w sekcji "Kroki pomagające chronić urządzenia z systemem Windows"

9 kwietnia 2024 r.

  • Dodano CVE-2022-0001 | Iniekcja historii gałęzi firmy Intel

Podsumowanie

Ten artykuł zawiera informacje i aktualizacje dla nowej klasy mikroarchitektury opartej na układach krzemowych i spekulacyjnych luk w zabezpieczeniach kanału bocznego wykonywania, które wpływają na wiele nowoczesnych procesorów i systemów operacyjnych. Zawiera również pełną listę zasobów dotyczących klientów i serwerów systemu Windows, które pomagają chronić urządzenia w domu, w pracy i w przedsiębiorstwie. Dotyczy to również procesorów Intel, AMD i ARM. Szczegółowe informacje o luce w zabezpieczeniach związane z tymi problemami opartymi na układach krzemowych można znaleźć w następujących poradach dotyczących zabezpieczeń i cve:

3 stycznia 2018 r. firma Microsoft wydała aktualizacje doradcze i zabezpieczeń związane z nowo odkrytą klasą luk w zabezpieczeniach sprzętu (znanych jako Spectre i Meltdown) z udziałem spekulacyjnych kanałów bocznych wykonywania, które wpływają na procesory AMD, ARM i Intel w różnym stopniu. Ta klasa luk w zabezpieczeniach jest oparta na wspólnej architekturze chipów, która pierwotnie została zaprojektowana w celu przyspieszenia komputerów. Więcej informacji o tych lukach można znaleźć w witrynie Google Project Zero.

W dniu 21 maja 2018 r. Google Project Zero (GPZ), Microsoft i Intel ujawniły dwie nowe luki w zabezpieczeniach mikroukładów, które są związane z problemami Spectre i Meltdown i są znane jako Speculative Store Bypass (SSB) i Rogue System Registry Read. Ryzyko klienta związane z obydwoma ujawnieniem jest niskie.

Aby uzyskać więcej informacji o tych lukach w zabezpieczeniach, zobacz zasoby wymienione w sekcji Aktualizacje systemu operacyjnego Windows z maja 2018 r. i zapoznaj się z następującymi poradami dotyczącymi zabezpieczeń:

13 czerwca 2018 r. ogłoszono i przypisano CVE-2018-3665 dodatkową lukę w zabezpieczeniach polegającą na spekulacyjnym wykonywaniu w kanałach bocznych, znaną jako Lazy FP State Restore. Aby uzyskać więcej informacji na temat tej luki w zabezpieczeniach i zalecanych działań, zobacz następujące porady dotyczące zabezpieczeń:

14 sierpnia 2018 r. w usłudze L1 Terminal Fault (L1TF) ogłoszono nową lukę spekulacyjną w kanałach bocznych wykonywania, która ma wiele CVE. L1TF wpływa na procesory Intel® Core i Intel® Xeon®®. Aby uzyskać więcej informacji na temat funkcji L1TF i zalecanych działań, zobacz poradę dotyczącą zabezpieczeń:

Uwaga: Zalecamy zainstalowanie wszystkich najnowszych aktualizacji z Windows Update przed zainstalowaniem jakichkolwiek aktualizacji mikrokodu.

W dniu 14 maja 2019 r. firma Intel opublikowała informacje o nowej podklasie luk specjalizacyjnych dotyczących wykonywania w kanałach bocznych znanych pod nazwą Próbkowanie danych mikroarchitektury. Przypisano im następujące CVE:

Ważne: Te problemy będą miały wpływ na inne systemy, takie jak Android, Chrome, iOS i MacOS. Zalecamy klientom uzyskanie wskazówek od odpowiednich dostawców.

Firma Microsoft wydała aktualizacje, które pomogą ograniczyć te luki w zabezpieczeniach. Aby uzyskać wszystkie dostępne zabezpieczenia, wymagane są aktualizacje oprogramowania układowego (mikrokodu) i oprogramowania. Mogą to być mikrokod od OEM urządzeń. W niektórych przypadkach zainstalowanie tych aktualizacji będzie miało wpływ na wydajność. Podjęliśmy również działania w celu zabezpieczenia naszych usług w chmurze.

Uwaga: Zalecamy zainstalowanie wszystkich najnowszych aktualizacji z Windows Update przed zainstalowaniem aktualizacji mikrokodu.

Aby uzyskać więcej informacji o tych problemach i zalecanych działaniach, zobacz następujące porady dotyczące zabezpieczeń:

6 sierpnia 2019 r. firma Intel opublikowała szczegółowe informacje o luce w ujawnianiu informacji o jądrze systemu Windows. Ta luka jest wariantem luk spekulacyjnych w zabezpieczeniach kanału bocznego wykonywania Spectre Variant 1 i została przypisana DO CVE-2019-1125.

9 lipca 2019 r. firma Microsoft wydała aktualizację zabezpieczeń dla systemu operacyjnego Windows, aby zminimalizować ten problem. Klienci, którzy włączyli Windows Update i zastosowali aktualizacje zabezpieczeń wydane 9 lipca 2019 r., są chronieni automatycznie. Należy pamiętać, że ta luka nie wymaga aktualizacji mikrokodu od producenta urządzenia (OEM).

Aby uzyskać więcej informacji na temat tej luki w zabezpieczeniach i odpowiednich aktualizacji, zobacz CVE-2019-1125 | Luka w zabezpieczeniach funkcji Ujawnianie informacji o jądrze systemu Windows w przewodniku aktualizacji zabezpieczeń firmy Microsoft.

W dniu 14 czerwca 2022 r. firma Intel opublikowała informacje o nowej podklasie spekulacyjnych luk w zabezpieczeniach kanałów bocznych z zamapowanymi we/wy (MMIO), które są wymienione w poradach:

Kroki pomagające chronić urządzenia z systemem Windows

W celu wyeliminowania tych luk w zabezpieczeniach może być konieczne zaktualizowanie zarówno oprogramowania układowego (mikrokodu), jak i oprogramowania. Zalecane działania można znaleźć w poradach firmy Microsoft dotyczących zabezpieczeń. Obejmuje to aktualizacje oprogramowania układowego (mikrokodu) od producentów urządzeń oraz, w niektórych przypadkach, aktualizacje oprogramowania antywirusowego. Zachęcamy do zabezpieczania urządzeń i instalowania comiesięcznych aktualizacji zabezpieczeń. 

Aby uzyskać wszystkie dostępne zabezpieczenia, wykonaj poniższe czynności, aby uzyskać najnowsze aktualizacje zarówno dla oprogramowania, jak i sprzętu.

Uwaga: Przed rozpoczęciem upewnij się, że oprogramowanie antywirusowe (AV) jest aktualne i zgodne. Aby sprawdzić informacje na temat oprogramowania antywirusowego, którego używasz, zajrzyj do witryny jego producenta w celu znalezienia najnowszych danych o zgodności.

  1. Dbaj o aktualność urządzenia z systemem Windows , włączając aktualizacje automatyczne.

  2. Sprawdź, czy masz zainstalowaną najnowszą aktualizację zabezpieczeń systemu Windows. Jeśli aktualizacje automatyczne są włączone, aktualizacje powinny być automatycznie dostarczane do Ciebie. Jednak nadal należy sprawdzić, czy są one zainstalowane. Aby uzyskać instrukcje, zobacz Windows Update: często zadawane pytania

  3. Zainstaluj aktualizacje oprogramowania układowego (mikrokodu) od producenta urządzenia. Wszyscy klienci będą musieli skontaktować się z producentem urządzenia, aby pobrać i zainstalować aktualizację sprzętu dla danego urządzenia. Listę witryn internetowych producentów urządzeń można znaleźć w sekcji "Dodatkowe zasoby".

    Uwaga: Klienci powinni zainstalować najnowsze aktualizacje zabezpieczeń systemu operacyjnego Windows firmy Microsoft, aby móc korzystać z dostępnych zabezpieczeń. Najpierw należy zainstalować aktualizacje oprogramowania antywirusowego. Potem należy zainstalować aktualizacje systemu operacyjnego i oprogramowania układowego. Zachęcamy do zabezpieczania urządzeń i instalowania comiesięcznych aktualizacji zabezpieczeń. 

Dotyczy to mikroukładów produkowanych przez Firmy Intel, AMD i ARM. Oznacza to, że potencjalnie narażone są wszystkie urządzenia z systemami operacyjnymi Windows. Dotyczy to komputerów stacjonarnych, laptopów, serwerów w chmurze i smartfonów. Dotyczy to również urządzeń z innymi systemami operacyjnymi, takimi jak Android, Chrome, iOS i macOS. Zalecamy klientom, którzy korzystają z tych systemów operacyjnych, uzyskanie wskazówek od tych dostawców.

W momencie publikacji nie otrzymaliśmy żadnych informacji wskazujących, że te luki zostały wykorzystane do ataku na klientów.

Począwszy od stycznia 2018 r. firma Microsoft wydała aktualizacje dla systemów operacyjnych Windows oraz przeglądarek internetowych Internet Explorer i Edge, aby pomóc ograniczyć te luki w zabezpieczeniach i pomóc chronić klientów. Ponadto opublikowaliśmy aktualizacje w celu zabezpieczenia naszych usług w chmurze.  Kontynuujemy ścisłą współpracę z partnerami branżowymi, w tym producentami chipów, producentami sprzętu OEM i producentami aplikacji, w celu ochrony klientów przed tą klasą luk w zabezpieczeniach. 

Zachęcamy do instalowania comiesięcznych aktualizacji, aby zapewnić aktualność i bezpieczeństwo urządzeń. 

Zaktualizujemy tę dokumentację, gdy będą dostępne nowe środki łagodzące i zalecamy regularne odwiedzanie tego miejsca. 

Aktualizacje systemu operacyjnego Windows z lipca 2019 r.

W dniu 6 sierpnia 2019 r. firma Intel ujawniła szczegóły dotyczące luki w zabezpieczeniach CVE-2019-1125 | Luka w zabezpieczeniach funkcji ujawniania informacji o jądrze systemu Windows. Aktualizacje zabezpieczeń dla tej luki zostały wydane w ramach miesięcznej aktualizacji z lipca 9 lipca 2019 r.

9 lipca 2019 r. firma Microsoft wydała aktualizację zabezpieczeń dla systemu operacyjnego Windows, aby zminimalizować ten problem. Wstrzymaliśmy publiczne dokumentowanie tego łagodzenia do czasu ujawnienia skoordynowanej branży we wtorek, 6 sierpnia 2019 r.

Klienci, którzy włączyli Windows Update i zastosowali aktualizacje zabezpieczeń wydane 9 lipca 2019 r., są chronieni automatycznie. Należy pamiętać, że ta luka nie wymaga aktualizacji mikrokodu od producenta urządzenia (OEM).

Aktualizacje systemu operacyjnego Windows z maja 2019 r.

W dniu 14 maja 2019 r. firma Intel opublikowała informacje na temat nowej podklasy luk spekulacyjnych dotyczących wykonywania w kanałach bocznych znanych jako próbkowanie danych mikroarchitektury i przypisano do nich następujące CVE:

Aby uzyskać więcej informacji na temat tego problemu, zobacz poniższe porady dotyczące zabezpieczeń i skorzystaj ze wskazówek opartych na scenariuszach opisanych w artykułach Dotyczących systemu Windows dotyczących klientów i serwerów w celu określenia działań niezbędnych do ograniczenia zagrożenia:

Firma Microsoft wydała zabezpieczenia przed nową podklasą luk specjalizować wykonywanie w kanałach bocznych znanych jako Próbkowanie danych mikroarchitektury dla wersji 64-bitowych (x64) systemu Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Użyj ustawień rejestru zgodnie z opisem w artykułach Klient systemu Windows (KB4073119) i Windows Server (KB4457951 ). Te ustawienia rejestru są domyślnie włączone dla wersji klienckich systemu operacyjnego Windows i systemów operacyjnych Windows Server.

Zalecamy uprzednie zainstalowanie wszystkich najnowszych aktualizacji z Windows Update przed zainstalowaniem jakichkolwiek aktualizacji mikrokodu.

Aby uzyskać więcej informacji o tym problemie i zalecane działania, zobacz następujące porady dotyczące zabezpieczeń: 

Firma Intel wydała aktualizację mikrokodu dla najnowszych platform procesorów, aby pomóc złagodzić CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. 14 maja 2019 r. 4093836 BAZY WIEDZY systemu Windows zawiera szczegółowe artykuły z bazy wiedzy według wersji systemu operacyjnego Windows.  Ten artykuł zawiera również linki do dostępnych aktualizacji mikrokodu Intel według procesora CPU. Te aktualizacje są dostępne za pośrednictwem wykazu firmy Microsoft.

Uwaga: Zalecamy zainstalowanie wszystkich najnowszych aktualizacji z Windows Update przed zainstalowaniem jakichkolwiek aktualizacji mikrokodu.

Z przyjemnością informujemy, że funkcja Retpoline jest domyślnie włączona na Windows 10, wersja 1809 urządzeniach (dla klientów i serwerów), jeśli włączono spectre variant 2 (CVE-2017-5715). Włączając Retpoline w najnowszej wersji Windows 10, za pośrednictwem aktualizacji z 14 maja 2019 r. (KB 4494441) przewidujemy zwiększoną wydajność, szczególnie w przypadku starszych procesorów.

Klienci powinni upewnić się, że poprzednie zabezpieczenia systemu operacyjnego przed luką Spectre Variant 2 są włączone przy użyciu ustawień rejestru opisanych w artykułach Klient systemu Windows i Windows Server . (Te ustawienia rejestru są domyślnie włączone dla wersji klienckich systemu operacyjnego Windows, ale domyślnie wyłączone w przypadku systemów operacyjnych Windows Server). Aby uzyskać więcej informacji na temat "Retpoline", zobacz Mitigating Spectre variant 2 with Retpoline on Windows.

Aktualizacje systemu operacyjnego Windows z listopada 2018 r.

Firma Microsoft wydała zabezpieczenia systemu operacyjnego dla speculative Store Bypass (CVE-2018-3639) dla procesorów AMD.

Firma Microsoft wydała dodatkowe zabezpieczenia systemu operacyjnego dla klientów korzystających z 64-bitowych procesorów ARM. Skontaktuj się z producentem OEM urządzenia, aby uzyskać pomoc techniczną dla oprogramowania układowego, ponieważ zabezpieczenia systemu operacyjnego ARM64, które łagodzą CVE-2018-3639 speculative Store Bypass, wymagają najnowszej aktualizacji oprogramowania układowego od producenta OEM urządzenia.

Aktualizacje systemu operacyjnego Windows z września 2018 r.

11 września 2018 r. Firma Microsoft wydała comiesięczny pakiet zbiorczy aktualizacji systemu Windows Server 2008 z dodatkiem SP2 4458010 i samych zabezpieczeń 4457984 dla systemu Windows Server 2008, które zapewniają ochronę przed nową luką spekulacyjną w kanałach bocznych znaną jako L1 Terminal Fault (L1TF) wpływającą na procesory Intel® Core® i procesory Intel® Xeon® (CVE-2018-3620 i CVE-2018-3646). 

Ta wersja zapewnia dodatkowe zabezpieczenia we wszystkich obsługiwanych wersjach systemu Windows za pośrednictwem Windows Update. Aby uzyskać więcej informacji oraz listę produktów, na które ma to wpływ, zobacz ADV180018 | Wskazówki firmy Microsoft dotyczące ograniczania wariantu L1TF.

Uwaga: System Windows Server 2008 z dodatek SP2 jest teraz zgodny ze standardowym modelem pakietu zbiorczego aktualizacji obsługi systemu Windows. Aby uzyskać więcej informacji na temat tych zmian, zobacz nasz blog Zmiany w obsłudze systemu Windows Server 2008 z systemem SP2. Klienci z systemem Windows Server 2008 powinni zainstalować system 4458010 lub 4457984 oprócz aktualizacji zabezpieczeń 4341832, która została wydana 14 sierpnia 2018 r. Klienci powinni również upewnić się, że poprzednie zabezpieczenia systemu operacyjnego przed lukami Spectre Variant 2 i Meltdown są włączone przy użyciu ustawień rejestru opisanych w artykułach bazy wiedzy Klient systemu Windows i Windows Server . Te ustawienia rejestru są domyślnie włączone w przypadku wersji klienckich systemu operacyjnego Windows, ale są domyślnie wyłączone w przypadku systemów operacyjnych Windows Server.

Firma Microsoft wydała dodatkowe zabezpieczenia systemu operacyjnego dla klientów korzystających z 64-bitowych procesorów ARM. Skontaktuj się z producentem OEM urządzenia, aby uzyskać pomoc techniczną dla oprogramowania układowego, ponieważ zabezpieczenia systemu operacyjnego ARM64, które łagodzą CVE-2017-5715 — iniekcja celu rozgałęzienia (Spectre, wariant 2) wymaga najnowszej aktualizacji oprogramowania układowego od producentów OEM urządzenia, aby zostały zastosowane.

Aktualizacje systemu operacyjnego Windows z sierpnia 2018 r.

14 sierpnia 2018 r. ogłoszono błąd terminalu L1 (L1TF) i przypisano wiele cve. Te nowe spekulacyjne luki w zabezpieczeniach kanału bocznego mogą być używane do odczytywania zawartości pamięci przez zaufaną granicę i, jeśli zostaną wykorzystane, mogą prowadzić do ujawniania informacji. Istnieje wiele wektorów, za pomocą których osoba atakująca może wyzwalać luki w zabezpieczeniach w zależności od skonfigurowanego środowiska. L1TF wpływa na procesory Intel® Core i Intel® Xeon®®.

Aby uzyskać więcej informacji na temat funkcji L1TF oraz szczegółowy widok scenariuszy, których dotyczy problem, w tym podejście firmy Microsoft do łagodzenia L1TF, zobacz następujące zasoby:

Aktualizacje systemu operacyjnego Windows z lipca 2018 r.

Z przyjemnością informujemy, że firma Microsoft zakończyła wydawanie dodatkowych zabezpieczeń we wszystkich obsługiwanych wersjach systemu Windows poprzez Windows Update następujących luk w zabezpieczeniach:

  • Spectre Variant 2 dla procesorów AMD

  • Speculative Store Bypass dla procesorów Intel

13 czerwca 2018 r. ogłoszono i przypisano CVE-2018-3665 dodatkową lukę w zabezpieczeniach polegającą na spekulacyjnym wykonywaniu w kanałach bocznych, znaną jako Lazy FP State Restore. W przypadku narzędzia Lazy Restore FP Restore nie są potrzebne żadne ustawienia konfiguracji (rejestru).

Aby uzyskać więcej informacji na temat tej luki w zabezpieczeniach, produktów, na które ma to wpływ, i zalecanych działań, zobacz poniższe porady dotyczące zabezpieczeń:

12 czerwca firma Microsoft ogłosiła obsługę speculative Store Bypass Disable (SSBD) w procesorach Intel. Aktualizacje wymagają odpowiedniego oprogramowania układowego (mikrokodu) i aktualizacji rejestru dla funkcjonalności. Aby uzyskać informacje o aktualizacjach i procedurach, które należy zastosować w celu włączenia funkcji SSBD, zobacz sekcję "Zalecane akcje" w ADV180012 | Wskazówki firmy Microsoft dotyczące speculative Store Bypass.

Aktualizacje systemu operacyjnego Windows z maja 2018 r.

W styczniu 2018 r. firma Microsoft opublikowała informacje o nowo odkrytej klasie luk w zabezpieczeniach sprzętu (znanych pod nazwami Spectre i Meltdown), które obejmują spekulacyjne kanały boczne wykonywania wpływające na procesory AMD, ARM i Intel w różnym stopniu. W dniu 21 maja 2018 r. google Project Zero (GPZ) firmy Microsoft i Intel ujawniły dwie nowe luki w zabezpieczeniach mikroukładów związane z problemami spectre i meltdown, które są znane jako Speculative Store Bypass (SSB) i Rogue System Registry Read.

Ryzyko klienta związane z obydwoma ujawnieniem jest niskie.

Aby uzyskać więcej informacji o tych lukach w zabezpieczeniach, zobacz następujące zasoby:

Dotyczy: Windows 10, wersja 1607, Windows Server 2016, Windows Server 2016 (instalacja Server Core) i Windows Server, wersja 1709 (instalacja Server Core)

Zapewniliśmy obsługę kontrolowania użycia Indirect Branch Prediction Barrier (IBPB) w niektórych procesorach AMD w celu łagodzenia CVE-2017-5715 Spectre Variant 2 po przełączeniu z kontekstu użytkownika na kontekst jądra. (Aby uzyskać więcej informacji, zobacz Wskazówki dotyczące architektury AMD dotyczące pośredniej kontroli gałęzi i Aktualizacje zabezpieczeń AMD).

Klienci, którzy korzystają z Windows 10, wersja 1607, Windows Server 2016, Windows Server 2016 (instalacja Server Core) i Windows Server w wersji 1709 (instalacja Server Core) muszą zainstalować 4103723 aktualizacji zabezpieczeń, aby dodatkowe środki łagodzące dla procesorów AMD dla CVE-2017-5715, iniekcja celu rozgałęzienia. Ta aktualizacja jest również dostępna za pośrednictwem Windows Update.

Postępuj zgodnie z instrukcjami opisanymi w artykule KB 4073119 dla klientów systemu Windows (informatyków) i 4072698 KB dla systemu Windows Server w celu włączenia używania IBPB w niektórych procesorach AMD w celu łagodzenia Spectre Variant 2 po przełączeniu z kontekstu użytkownika na kontekst jądra.

Firma Microsoft udostępnia zatwierdzone przez Intel aktualizacje mikrokodu wokół spectre variant 2 (CVE-2017-5715 "Iniekcja celu rozgałęzienia"). Aby uzyskać najnowsze aktualizacje mikrokodu Intel za pośrednictwem Windows Update, klienci muszą zainstalować mikrokod Intel na urządzeniach z systemem operacyjnym Windows 10 przed uaktualnianiem do aktualizacji Windows 10 kwietnia 2018 (wersja 1803).

Aktualizacja mikrokodu jest również dostępna bezpośrednio z wykazu usług, jeśli została zainstalowana na urządzeniu przed uaktualnieniem systemu operacyjnego. Mikrokod Intel jest dostępny za pośrednictwem Windows Update, WSUS lub wykazu usługi Microsoft Update. Aby uzyskać więcej informacji i pobrać instrukcje, zobacz 4100347 kb.

Będziemy oferować dodatkowe aktualizacje mikrokodu firmy Intel dla systemu operacyjnego Windows, gdy staną się one dostępne dla firmy Microsoft.

Dotyczy: Windows 10 w wersji 1709

Zapewniliśmy obsługę kontrolowania użycia Indirect Branch Prediction Barrier (IBPB) w niektórych procesorach AMD w celu łagodzenia CVE-2017-5715 Spectre Variant 2 po przełączeniu z kontekstu użytkownika na kontekst jądra. (Aby uzyskać więcej informacji, zobacz Wskazówki dotyczące architektury AMD dotyczące pośredniej kontroli gałęzi i Aktualizacje zabezpieczeń AMD).Postępuj zgodnie z instrukcjami opisanymi w 4073119 KB dla klientów systemu Windows (informatyków), aby włączyć używanie IBPB w niektórych procesorach AMD w celu łagodzenia spectre variant 2 po przełączeniu z kontekstu użytkownika na kontekst jądra.

Firma Microsoft udostępnia zatwierdzone przez Intel aktualizacje mikrokodu wokół Spectre Variant 2 (CVE-2017-5715 "Iniekcja celu rozgałęzienia"). KB4093836 zawiera listę konkretnych artykułów z bazy wiedzy według wersji systemu Windows. Każda określona aktualizacja KB zawiera najnowsze dostępne aktualizacje mikrokodu Intel według procesora CPU.

Będziemy oferować dodatkowe aktualizacje mikrokodu firmy Intel dla systemu operacyjnego Windows, gdy staną się one dostępne dla firmy Microsoft. 

Marzec 2018 i nowsze aktualizacje systemu operacyjnego Windows

23 marca, TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown w systemie Windows

14 marca, Security Tech Center: Speculative Execution Side Channel Bounty Warunki programu

Blog z 13 marca 2018 r.: aktualizacja Zabezpieczenia Windows z marca 2018 r. — rozszerzenie naszych wysiłków na rzecz ochrony klientów

Blog z 1 marca: Aktualizacje zabezpieczeń Spectre i Meltdown dla urządzeń z systemem Windows

Począwszy od marca 2018 r. firma Microsoft wydała aktualizacje zabezpieczeń, aby zapewnić środki łagodzące dla urządzeń z następującymi systemami operacyjnymi Windows opartymi na procesorach x86. Klienci powinni zainstalować najnowsze aktualizacje zabezpieczeń systemu operacyjnego Windows, aby korzystać z dostępnych zabezpieczeń. Pracujemy nad zapewnieniem ochrony dla innych obsługiwanych wersji systemu Windows, ale obecnie nie mamy harmonogramu udostępniania. Zajrzyj tu ponownie, aby uzyskać aktualizacje. Aby uzyskać więcej informacji, zobacz powiązany artykuł z bazy wiedzy Knowledge Base, aby uzyskać szczegółowe informacje techniczne i sekcję "Często zadawane pytania".

Opublikowano aktualizację produktu

Status

Data wydania

Kanał udostępniania

KB

Windows 8.1 & Windows Server 2012 R2 — aktualizacja samych zabezpieczeń

Wydana

13 marca o godz.

WSUS, Catalog,

KB4088879

Windows 7 z dodatkiem SP1 & Windows Server 2008 R2 z dodatkiem SP1 — tylko aktualizacja zabezpieczeń

Wydana

13 marca o godz.

WSUS, Catalog

KB4088878

Windows Server 2012 — aktualizacja samych zabezpieczeń Windows 8 embedded standard edition — aktualizacja samych zabezpieczeń

Wydana

13 marca o godz.

WSUS, Catalog

KB4088877

Windows 8.1 & Windows Server 2012 R2 — miesięczny pakiet zbiorczy aktualizacji

Wydana

13 marca o godz.

WU, WSUS, Catalog

KB4088876

Windows 7 z dodatkiem SP1 & Windows Server 2008 R2 z dodatkiem SP1 — comiesięczny pakiet zbiorczy aktualizacji

Wydana

13 marca o godz.

WU, WSUS, Catalog

KB4088875

Windows Server 2012 — comiesięczny pakiet zbiorczy aktualizacji Windows 8 Embedded Standard Edition — comiesięczny pakiet zbiorczy aktualizacji

Wydana

13 marca o godz.

WU, WSUS, Catalog

KB4088877

Windows Server 2008 z dodatkiem SP2

Wydana

13 marca o godz.

WU, WSUS, Catalog

KB4090450

Począwszy od marca 2018 r. firma Microsoft wydała aktualizacje zabezpieczeń, aby zapewnić środki łagodzące dla urządzeń z następującymi systemami operacyjnymi Windows opartymi na procesorach x64. Klienci powinni zainstalować najnowsze aktualizacje zabezpieczeń systemu operacyjnego Windows, aby korzystać z dostępnych zabezpieczeń. Pracujemy nad zapewnieniem ochrony dla innych obsługiwanych wersji systemu Windows, ale obecnie nie mamy harmonogramu udostępniania. Zajrzyj tu ponownie, aby uzyskać aktualizacje. Aby uzyskać więcej informacji, zobacz powiązany artykuł baza wiedzy, aby uzyskać szczegółowe informacje techniczne i sekcję "Często zadawane pytania".

Opublikowano aktualizację produktu

Status

Data wydania

Kanał udostępniania

KB

Windows Server 2012 — aktualizacja samych zabezpieczeń Windows 8 embedded standard edition — aktualizacja samych zabezpieczeń

Wydana

13 marca o godz.

WSUS, Catalog

KB4088877

Windows Server 2012 — comiesięczny pakiet zbiorczy aktualizacji Windows 8 Embedded Standard Edition — comiesięczny pakiet zbiorczy aktualizacji

Wydana

13 marca o godz.

WU, WSUS, Catalog

KB4088877

Windows Server 2008 z dodatkiem SP2

Wydana

13 marca o godz.

WU, WSUS, Catalog

KB4090450

Ta aktualizacja usuwa lukę w zabezpieczeniach jądra systemu Windows w wersji 64-bitowej (x64) systemu Windows. Tę lukę w zabezpieczeniach opisano w cve-2018-1038. Użytkownicy muszą zastosować tę aktualizację, aby zapewnić pełną ochronę przed tą luką w zabezpieczeniach, jeśli ich komputery zostały zaktualizowane w styczniu 2018 r. lub później, stosując dowolne aktualizacje wymienione w następującym artykule z bazy wiedzy Knowledge Base:

Aktualizacja jądra systemu Windows dla CVE-2018-1038

Ta aktualizacja zabezpieczeń usuwa kilka zgłoszonych luk w zabezpieczeniach programu Internet Explorer. Aby dowiedzieć się więcej o tych lukach, zobacz Typowe luki w zabezpieczeniach i narażenia firmy Microsoft

Opublikowano aktualizację produktu

Status

Data wydania

Kanał udostępniania

KB

Internet Explorer 10 — aktualizacja zbiorcza dla Windows 8 Embedded Standard Edition

Wydana

13 marca o godz.

WU, WSUS, Catalog

KB4089187

Aktualizacje systemu operacyjnego Windows z lutego 2018 r.

Blog: Usługa Windows Analytics pomaga teraz oceniać zabezpieczenia przed atakami Spectre i Meltdown

Poniższe aktualizacje zabezpieczeń zapewniają dodatkowe zabezpieczenia dla urządzeń z 32-bitowymi (x86) systemami operacyjnymi Windows. Firma Microsoft zaleca klientom zainstalowanie aktualizacji zaraz po jej udostępnieniu. Nadal pracujemy nad zapewnieniem ochrony innych obsługiwanych wersji systemu Windows, ale obecnie nie mamy harmonogramu wersji. Zajrzyj tu ponownie, aby uzyskać aktualizacje. 

Uwaga Windows 10 comiesięczne aktualizacje zabezpieczeń są skumulowane z miesiąca na miesiąc i są automatycznie pobierane i instalowane z Windows Update. Jeśli zainstalowano wcześniejsze aktualizacje, tylko nowe części zostaną pobrane i zainstalowane na urządzeniu. Aby uzyskać więcej informacji, zobacz powiązany artykuł z bazy wiedzy Knowledge Base, aby uzyskać szczegółowe informacje techniczne i sekcję "Często zadawane pytania".

Opublikowano aktualizację produktu

Status

Data wydania

Kanał udostępniania

KB

Windows 10 — wersja 1709 / Windows Server 2016 (1709) / IoT Core — aktualizacja dotycząca jakości

Wydana

31 sty

WU, Catalog

KB4058258

Windows Server 2016 (1709) — kontener systemu Server

Wydana

13-lut

Docker Hub

KB4074588

Windows 10 — wersja 1703 / IoT Core — aktualizacja dotycząca jakości

Wydana

13-lut

WU, WSUS, Catalog

KB4074592

Windows 10 — wersja 1607 / Windows Server 2016 / IoT Core — aktualizacja dotycząca jakości

Wydana

13-lut

WU, WSUS, Catalog

KB4074590

Windows 10 HoloLens — Aktualizacje systemu operacyjnego i oprogramowania układowego

Wydana

13-lut

WU, Catalog

KB4074590

Windows Server 2016 (1607) — obrazy kontenera

Wydana

13-lut

Docker Hub

KB4074590

Windows 10 — wersja 1511 / IoT Core — aktualizacja dotycząca jakości

Wydana

13-lut

WU, WSUS, Catalog

KB4074591

Windows 10 — wersja RTM — aktualizacja dotycząca jakości

Wydana

13-lut

WU, WSUS, Catalog

KB4074596

Aktualizacje systemu operacyjnego Windows ze stycznia 2018 r.

Blog: Opis wpływu środków zaradczych Spectre i Meltdown na systemy Windows

Począwszy od stycznia 2018 r. firma Microsoft wydała aktualizacje zabezpieczeń, aby zapewnić środki łagodzące dla urządzeń z następującymi systemami operacyjnymi Windows opartymi na procesorach x64. Klienci powinni zainstalować najnowsze aktualizacje zabezpieczeń systemu operacyjnego Windows, aby korzystać z dostępnych zabezpieczeń. Pracujemy nad zapewnieniem ochrony dla innych obsługiwanych wersji systemu Windows, ale obecnie nie mamy harmonogramu udostępniania. Zajrzyj tu ponownie, aby uzyskać aktualizacje. Aby uzyskać więcej informacji, zobacz powiązany artykuł z bazy wiedzy Knowledge Base, aby uzyskać szczegółowe informacje techniczne i sekcję "Często zadawane pytania".

Opublikowano aktualizację produktu

Status

Data wydania

Kanał udostępniania

KB

Windows 10 — wersja 1709 / Windows Server 2016 (1709) / IoT Core — aktualizacja dotycząca jakości

Wydana

3-sty

WU, WSUS, Wykaz, Azure Image Gallery

KB4056892

Windows Server 2016 (1709) — kontener systemu Server

Wydana

5-sty

Docker Hub

KB4056892

Windows 10 — wersja 1703 / IoT Core — aktualizacja dotycząca jakości

Wydana

3-sty

WU, WSUS, Catalog

KB4056891

Windows 10 — wersja 1607 / Windows Server 2016 / IoT Core — aktualizacja dotycząca jakości

Wydana

3-sty

WU, WSUS, Catalog

KB4056890

Windows Server 2016 (1607) — obrazy kontenera

Wydana

4-sty

Docker Hub

KB4056890

Windows 10 — wersja 1511 / IoT Core — aktualizacja dotycząca jakości

Wydana

3-sty

WU, WSUS, Catalog

KB4056888

Windows 10 — wersja RTM — aktualizacja dotycząca jakości

Wydana

3-sty

WU, WSUS, Catalog

KB4056893

Windows 10 Mobile (wersja 15254.192) — ARM

Wydana

5-sty

WU, Catalog

KB4073117

Windows 10 Mobile (wersja 15063.850)

Wydana

5-sty

WU, Catalog

KB4056891

Windows 10 Mobile (wersja 14393.2007)

Wydana

5-sty

WU, Catalog

KB4056890

Windows 10 HoloLens

Wydana

5-sty

WU, Catalog

KB4056890

Windows 8.1 / Windows Server 2012 R2 — aktualizacja samych zabezpieczeń

Wydana

3-sty

WSUS, Catalog

KB4056898

Windows Embedded 8.1 Industry Enterprise

Wydana

3-sty

WSUS, Catalog

KB4056898

Windows Embedded 8.1 Industry Pro

Wydana

3-sty

WSUS, Catalog

KB4056898

Windows Embedded 8.1 Pro

Wydana

3-sty

WSUS, Catalog

KB4056898

Windows 8.1 / Windows Server 2012 R2 Miesięczny pakiet zbiorczy aktualizacji

Wydana

8-sty

WU, WSUS, Catalog

KB4056895

Windows Embedded 8.1 Industry Enterprise

Wydana

8-sty

WU, WSUS, Catalog

KB4056895

Windows Embedded 8.1 Industry Pro

Wydana

8-sty

WU, WSUS, Catalog

KB4056895

Windows Embedded 8.1 Pro

Wydana

8-sty

WU, WSUS, Catalog

KB4056895

Windows Server 2012 Tylko zabezpieczenia

Wydana

WSUS, Catalog

Windows Server 2008 z dodatkiem SP2

Wydana

WU, WSUS, Catalog

Windows Server 2012 R2 Miesięczny pakiet zbiorczy aktualizacji

Wydana

WU, WSUS, Catalog

Windows Embedded 8 Standard

Wydana

WU, WSUS, Catalog

Windows 7 SP1 / Windows Server 2008 R2 z dodatkiem SP1 — aktualizacja samych zabezpieczeń

Wydana

3-sty

WSUS, Catalog

KB4056897

Windows Embedded Standard 7

Wydana

3-sty

WSUS, Catalog

KB4056897

Windows Embedded POSReady 7

Wydana

3-sty

WSUS, Catalog

KB4056897

Windows Thin PC

Wydana

3-sty

WSUS, Catalog

KB4056897

Windows 7 P1 / Windows Server 2008 R2 z dodatkiem SP1 Miesięczny pakiet zbiorczy aktualizacji

Wydana

4-sty

WU, WSUS, Catalog

KB4056894

Windows Embedded Standard 7

Wydana

4-sty

WU, WSUS, Catalog

KB4056894

Windows Embedded POSReady 7

Wydana

4-sty

WU, WSUS, Catalog

KB4056894

Windows Thin PC

Wydana

4-sty

WU, WSUS, Catalog

KB4056894

Internet Explorer 11— aktualizacja zbiorcza dla Windows 7 SP1 i Windows 8.1

Wydana

3-sty

WU, WSUS, Catalog

KB4056568

W dniu 9 kwietnia 2024 r. opublikowaliśmy CVE-2022-0001 | Iniekcja historii rozgałęzień Firmy Intel , która opisuje iniekcję historii gałęzi (BHI), która jest określoną formą bti trybu wewnątrz trybu. Ta luka występuje, gdy osoba atakująca może manipulować historią gałęzi przed przejściem z użytkownika do trybu nadzoru (lub z VMX non-root/guest do trybu głównego). Ta manipulacja może spowodować, że pośredni predyktor gałęzi wybierze określony wpis predyktora dla gałęzi pośredniej, a gadżet ujawniania w przewidywanym celu będzie przejściowo wykonywany. Może to być możliwe, ponieważ odpowiednia historia gałęzi może zawierać gałęzie wykonane w poprzednich kontekstach zabezpieczeń, a w szczególności w innych trybach predyktora.

Postępuj zgodnie z instrukcjami opisanymi w KB4073119 dla klientów systemu Windows (informatyków) i KB4072698 wskazówek dotyczących systemu Windows Server w celu ograniczenia luk opisanych w cve-2022-0001 | Iniekcja historii gałęzi firmy Intel.

Zasoby i wskazówki techniczne

W zależności od roli użytkownika poniższe artykuły pomocy technicznej mogą pomóc w identyfikowaniu i ograniczaniu środowisk klientów i serwerów, na które mają wpływ luki Spectre i Meltdown.

Porady firmy Microsoft:

Intel: porada dotycząca zabezpieczeń

ARM: porada dotycząca bezpieczeństwa

AMD: Porada dotycząca zabezpieczeń

NVIDIA: Poradnik zabezpieczeń

Wskazówki dla konsumentów: ochrona urządzenia przed lukami w zabezpieczeniach związanymi z mikroukładami

Wskazówki dotyczące oprogramowania antywirusowego: aktualizacje zabezpieczeń systemu Windows wydane 3 stycznia 2018 r. i oprogramowanie antywirusowe

Wskazówki dotyczące bloku aktualizacji zabezpieczeń systemu operacyjnego Windows AMD: KB4073707: blok aktualizacji zabezpieczeń systemu operacyjnego Windows dla niektórych urządzeń opartych na amd

Aktualizacja wyłączania ochrony przed spectre, wariant 2: KB4078130: Firma Intel zidentyfikowała problemy z ponownym uruchomieniem mikrokodu na niektórych starszych procesorach 

Wskazówki dotyczące tabletu Surface: Wskazówki dotyczące ochrony przed lukami specjazywnym wykonywania w kanałach bocznych

Sprawdzanie stanu speculative execution side channel mitigations: Opis Get-SpeculationControlSettings danych wyjściowych skryptu programu PowerShell

Wskazówki dla informatyków: Wskazówki dla klientów systemu Windows dla informatyków w celu ochrony przed lukami specjatywnymi w zakresie wykonywania w kanałach bocznych

Wskazówki dotyczące serwera: Wskazówki dla systemu Windows Server dotyczące ochrony przed lukami specjatywnymi wykonywania w kanałach bocznych

Wskazówki serwera dotyczące błędu terminalu L1: Wskazówki dotyczące ochrony systemu Windows Server przed błędami terminali L1

Wskazówki dla deweloperów: Wskazówki dla deweloperów dotyczące speculative Store Bypass

Wskazówki — Server Hyper-V

Azure KB: KB4073235: Microsoft Cloud Protections Against Speculative Execution Side-Channel vulnerabilities

Wskazówki dotyczące stosu Azure Stack: KB4073418: Wskazówki dotyczące azure stack w celu ochrony przed lukami specjatywnym wykonywania w kanałach bocznych

Niezawodność platformy Azure: Azure Reliability Portal

SQL Server wskazówki: KB4073225: SQL Server Wskazówki dotyczące ochrony przed lukami specjatywnymi wykonywania w kanałach bocznych

Linki do producentów urządzeń OEM i Server w celu aktualizacji chroniących przed lukami Spectre i Meltdown

Aby rozwiązać ten problem, musisz zaktualizować zarówno sprzęt, jak i oprogramowanie. Poniższe linki umożliwiają skontaktowanie się z producentem urządzenia w celu sprawdzenia, czy są dostępne aktualizacje oprogramowania układowego (mikrokodu).

Poniższe linki umożliwiają skontaktowanie się z producentem urządzenia w celu sprawdzenia, czy są dostępne aktualizacje oprogramowania układowego (mikrokodu). Musisz zainstalować aktualizacje systemu operacyjnego i oprogramowania układowego (mikrokodu) dla wszystkich dostępnych zabezpieczeń.

Producent urządzenia OEM

Link do mikrokodu

Acer

Luki w zabezpieczeniach Meltdown i Spectre

Asus

ASUS Update on Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method

Dell

Luki w zabezpieczeniach Meltdown i Spectre

Epson

Luki w zabezpieczeniach procesora (ataki w kanałach bocznych)

Fujitsu

Sprzęt procesora narażony na ataki w kanałach bocznych (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HP

POMOC TECHNICZNA — BIULETYN ZABEZPIECZEŃ

Lenovo

Odczytywanie pamięci uprzywilejowanej za pomocą kanału bocznego

LG

Uzyskiwanie pomocy technicznej & produktu

NEC

W odpowiedzi na lukę procesora (meltdown, spectrum) w naszych produktach

Panasonic

Informacje o zabezpieczeniach luk w zabezpieczeniach przez speculative Execution i Indirect Branch Prediction Side Channel Analysis Method

Samsung

Ogłoszenie o aktualizacji oprogramowania procesorów Intel

urządzenia Surface

Wskazówki dotyczące ochrony urządzeń Surface przed lukami Spectra

Toshiba

Firmy Intel, AMD & luk w zabezpieczeniach metody analizy kanału bocznego speculative execution i pośredniego przewidywania gałęzi firmy Microsoft (2017)

Vaio

Obsługa luk w zabezpieczeniach podczas analizy kanałów bocznych

Producenci OEM serwerów

Link do mikrokodu

Dell

Luki w zabezpieczeniach Meltdown i Spectre

Fujitsu

Sprzęt procesora narażony na ataki w kanałach bocznych (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HPE

Alerty o lukach w zabezpieczeniach produktu Hewlett Packard Enterprise

Huawei

Powiadomienie o zabezpieczeniach — oświadczenie dotyczące ujawniania przez media luk w zabezpieczeniach w architekturze procesora Intel

Lenovo

Odczytywanie pamięci uprzywilejowanej za pomocą kanału bocznego

Często zadawane pytania

Należy skontaktować się z producentem urządzenia, aby uzyskać aktualizacje oprogramowania układowego (mikrokodu). Jeśli producent Twojego urządzenia nie jest wyświetlany w tabeli, skontaktuj się z producentem OEM bezpośrednio.

Aktualizacje dla urządzeń Microsoft Surface są dostępne dla klientów za pośrednictwem Windows Update. Aby uzyskać listę dostępnych aktualizacji oprogramowania układowego urządzenia Surface (mikrokodu), zobacz KB 4073065.

Jeśli twoje urządzenie nie pochodzi od firmy Microsoft, zastosuj aktualizacje oprogramowania układowego od producenta urządzenia. Aby uzyskać więcej informacji, skontaktuj się z producentem urządzenia.

Rozwiązanie problemu luki w zabezpieczeniach sprzętu za pomocą aktualizacji oprogramowania stanowi poważne wyzwanie i środki łagodzące dla starszych systemów operacyjnych i może wymagać istotnych zmian w architekturze. Kontynuujemy współpracę z producentami mikroukładów, których dotyczy problem, w celu zbadania najlepszego sposobu na zapewnienie środków łagodzących. Może to zostać udostępnione w przyszłej aktualizacji. Wymiana starszych urządzeń z tymi starszymi systemami operacyjnymi i aktualizowanie oprogramowania antywirusowego powinna rozwiązać problem pozostałego ryzyka.

Uwagi: 

  • Produkty, które nie są obecnie objęte wsparciem podstawowym i rozszerzonym, nie otrzymają tych aktualizacji systemu. Firma Microsoft zaleca klientom zaktualizowanie systemu do obsługiwanej wersji. 

  • Speculative execution side-channel attacks exploit cpu behavior and functionality. Producenci procesorów muszą najpierw określić, które procesory mogą być zagrożone, a następnie powiadomić firmę Microsoft. W wielu przypadkach odpowiednie aktualizacje systemu operacyjnego będą również wymagane w celu zapewnienia klientom bardziej kompleksowej ochrony. Zalecamy, aby dostawcy Windows CE świadomi zabezpieczeń współpracowali ze swoim producentem mikroukładów, aby zrozumieć luki w zabezpieczeniach i odpowiednie środki łagodzące.

  • Firma Microsoft nie będzie wydawać aktualizacji dla następujących platform:

    • Systemy operacyjne Windows, które nie są obecnie objęte pomocą techniczną lub przestaną być nią objęte w 2018 r.

    • Systemy oparte na systemie Windows XP, w tym WES 2009 i POSReady 2009

Mimo że dotyczy to systemów opartych na systemie Windows XP, firma Microsoft nie wydaje dla nich aktualizacji, ponieważ kompleksowe zmiany w architekturze, które byłyby wymagane, mogłyby zagrozić stabilności systemu i spowodować problemy ze zgodnością aplikacji. Zalecamy zaktualizowanie systemu do nowszej wersji, aby korzystać z najnowocześniejszych zabezpieczeń.

Aktualizacje do Windows 10 hololens są dostępne dla klientów HoloLens za pośrednictwem Windows Update.

Po zastosowaniuaktualizacji Zabezpieczenia Windows z lutego 2018 r. klienci urządzeń HoloLens nie muszą podejmować żadnych dodatkowych działań w celu zaktualizowania oprogramowania układowego urządzenia. Te środki łagodzące zostaną również uwzględnione we wszystkich przyszłych wersjach Windows 10 dla urządzenia HoloLens.

Aby uzyskać więcej informacji, skontaktuj się z OEM.

Aby urządzenie było w pełni chronione, należy zainstalować najnowsze aktualizacje zabezpieczeń systemu operacyjnego Windows dla urządzenia oraz aktualizacje mikrokodu od producenta urządzenia. Te aktualizacje powinny być dostępne w witrynie internetowej producenta urządzenia. Najpierw należy zainstalować aktualizacje oprogramowania antywirusowego. Aktualizacje systemu operacyjnego i oprogramowanie układowego można zainstalować w dowolnej kolejności.

Aby rozwiązać ten problem, musisz zaktualizować zarówno sprzęt, jak i oprogramowanie. Aby uzyskać bardziej kompleksową ochronę, musisz również zainstalować aktualizacje oprogramowania układowego (mikrokodu) od producenta urządzenia. Zachęcamy do zabezpieczania urządzeń i instalowania comiesięcznych aktualizacji zabezpieczeń.

W każdej Windows 10 aktualizacji funkcji, tworzymy najnowszą technologię zabezpieczeń głęboko w systemie operacyjnym, zapewniając funkcje dogłębnej obrony, które uniemożliwiają wpływ całych klas złośliwego oprogramowania na urządzenie. Aktualizacje funkcji są wydawane dwa razy w roku. W każdej comiesięcznej aktualizacji jakości dodajemy kolejną warstwę zabezpieczeń, która śledzi pojawiające się i zmieniające trendy w złośliwym oprogramowaniu, aby nadać aktualnym systemom bezpieczeństwo w obliczu zmieniających się i zmieniających się zagrożeń.

Firma Microsoft zniosła sprawdzanie zgodności av dla aktualizacji zabezpieczeń systemu Windows dla obsługiwanych wersji urządzeń z systemem Windows 10, Windows 8.1 i Windows 7 z dodatkiem SP1 za pośrednictwem Windows Update. Zalecenia:

  • Upewnij się, że twoje urządzenia są aktualne, udostępniając najnowsze aktualizacje zabezpieczeń od firmy Microsoft i producenta sprzętu. Aby uzyskać więcej informacji na temat dbania o aktualność urządzenia, zobacz Windows Update: często zadawane pytania.

  • Nadal przećwicz rozsądną ostrożność podczas odwiedzania witryn internetowych o nieznanym pochodzeniu i nie pozostawaj w witrynach, którym nie ufasz. Firma Microsoft zaleca, aby wszyscy klienci chronili swoje urządzenia, uruchamiając obsługiwany program antywirusowy. Klienci mogą również korzystać z wbudowanych narzędzi ochrony antywirusowej: Windows Defender dla urządzeń z systemem Windows 10 lub Microsoft Security Essentials dla urządzeń z systemem Windows 7. Te rozwiązania są zgodne w przypadkach, gdy klienci nie mogą zainstalować ani uruchomić oprogramowania antywirusowego.

Aby uniknąć negatywnego wpływu na urządzenia klientów, aktualizacje zabezpieczeń systemu Windows wydane w styczniu lub lutym nie zostały udostępnione wszystkim klientom. Aby uzyskać szczegółowe informacje, zobacz artykuł z bazy wiedzy Microsoft Knowledge Base 4072699

Firma Intel zgłosiła problemy , które dotyczą niedawno wydanego mikrokodu przeznaczonego do rozwiązania problemu Spectre Variant 2 (CVE-2017-5715 – "Iniekcja celu rozgałęzienia"). W szczególności Intel zauważył, że ten mikrokod może powodować "wyższe niż oczekiwano ponowne uruchomienie i inne nieprzewidywalne zachowanie systemu", a także, że takie sytuacje mogą powodować "utratę lub uszkodzenie danych".  Z naszego doświadczenia wynika, że niestabilność systemu może w pewnych okolicznościach powodować utratę lub uszkodzenie danych. 22 stycznia firma Intel zaleciła klientom zaprzestanie wdrażania bieżącej wersji mikrokodu na procesorach, których dotyczy problem, podczas wykonywania dodatkowych testów na zaktualizowanym rozwiązaniu. Rozumiemy, że intel nadal bada potencjalny wpływ bieżącej wersji mikrokodu i zachęcamy klientów do bieżącego przeglądania swoich wskazówek w celu informowania o swoich decyzjach.

Podczas gdy Firma Intel testuje, aktualizuje i wdraża nowy mikrokod, udostępniamy aktualizację pozapasmową (OOB, KB 4078130), która w szczególności wyłącza tylko łagodzenie problemu z CVE-2017-5715 — "Iniekcja celu rozgałęzienia". W naszych testach znaleziono tę aktualizację, aby zapobiec opisanemu zachowaniu. Aby uzyskać pełną listę urządzeń, zobacz Wskazówki firmy Intel dotyczące poprawek mikrokodu. Ta aktualizacja obejmuje systemy Windows 7 (SP1), Windows 8.1 i wszystkie wersje systemu Windows 10 (dla klientów i serwerów). Jeśli korzystasz z urządzenia, na które ma to wpływ, tę aktualizację można zastosować, pobierając ją z witryny internetowej wykazu usługi Microsoft Update. Zastosowanie tego ładunku wyłącza tylko przeciw łagodzeniu CVE-2017-5715 – "Iniekcja celu rozgałęzienia". 

Od 25 stycznia nie ma żadnych znanych doniesień wskazujących, że to Spectre Variant 2 (CVE-2017-5715) zostało użyte do ataku na klientów. Zalecamy, aby w razie potrzeby klienci systemu Windows ponownie włączyli środki łagodzące przed CVE-2017-5715, gdy firma Intel zgłasza, że ten nieprzewidywalny sposób działania systemu został rozwiązany dla Twojego urządzenia.

Nie. Aktualizacje samych zabezpieczeń nie są skumulowane. W zależności od wersji systemu operacyjnego, z którą korzystasz, musisz zainstalować wszystkie wydane aktualizacje samych zabezpieczeń, aby były chronione przed tymi lukami. Jeśli na przykład używasz systemu Windows 7 dla systemów 32-bitowych na procesorze Intel, którego dotyczy problem, musisz zainstalować każdą aktualizację samych zabezpieczeń począwszy od stycznia 2018 r. Zalecamy zainstalowanie tych aktualizacji samych zabezpieczeń w kolejności ich wydania.  Uwaga We wcześniejszej wersji tego zestawu często zadawanych pytań błędnie stwierdzono, że aktualizacja samych zabezpieczeń z lutego zawierała poprawki zabezpieczeń wydane w styczniu. W rzeczywistości tak nie jest.

Nie. Aktualizacja zabezpieczeń 4078130 była konkretną poprawką zapobiegającą nieprzewidywalnym zachowaniom systemu, problemom z wydajnością i nieoczekiwanym ponownym uruchomieniom po zainstalowaniu mikrokodu. Zastosowanie lutowych aktualizacji zabezpieczeń w klienckich systemach operacyjnych Windows umożliwia wszystkie trzy środki łagodzące. W systemach operacyjnych Windows Server po wykonaniu odpowiednich testów nadal trzeba włączyć środki łagodzące. Aby uzyskać więcej informacji, zobacz artykuł z bazy wiedzy Microsoft Knowledge Base 4072698 .

AMD ogłosiło niedawno, że zaczęło wydawać mikrokod dla nowszych platform PROCESORA wokół Spectre Variant 2 (CVE-2017-5715 "Iniekcja celu rozgałęzienia"). Aby uzyskać więcej informacji, zobacz Aktualizacje zabezpieczeń AMD i dokument oficjalny amd: wskazówki dotyczące architektury dotyczące pośredniej kontroli gałęzi. Są one dostępne w kanale oprogramowania układowego OEM. 

Intel ogłosił niedawno , że zakończył sprawdzanie poprawności i zaczął wydawać mikrokod dla nowszych platform PROCESORA. Firma Microsoft udostępnia zatwierdzone przez Intel aktualizacje mikrokodu wokół Spectre Variant 2 (CVE-2017-5715 "Iniekcja celu rozgałęzienia"). 4093836 kb zawiera listę określonych artykułów z bazy wiedzy według wersji systemu Windows. Każda aktualizacja KB zawiera dostępne aktualizacje mikrokodu Intel według CPU.

Firma Microsoft udostępnia zatwierdzone przez Intel aktualizacje mikrokodu wokół spectre variant 2 (CVE-2017-5715 "Iniekcja celu rozgałęzienia"). Aby uzyskać najnowsze aktualizacje mikrokodu Intel za pośrednictwem Windows Update, klienci muszą zainstalować mikrokod Intel na urządzeniach z systemem operacyjnym Windows 10 przed uaktualnianiem do aktualizacji Windows 10 kwietnia 2018 (wersja 1803).

Aktualizacja mikrokodu jest również dostępna bezpośrednio z wykazu aktualizacji, jeśli nie została zainstalowana na urządzeniu przed uaktualnianiem systemu. Mikrokod Intel jest dostępny za pośrednictwem Windows Update, WSUS lub wykazu usługi Microsoft Update. Aby uzyskać więcej informacji i pobrać instrukcje, zobacz 4100347 kb.

Aby uzyskać szczegółowe informacje, zobacz sekcje "Zalecane akcje" i "Często zadawane pytania" w ADV180012 | Wskazówki firmy Microsoft dotyczące speculative Store Bypass.

Aby sprawdzić stan SSBD, skrypt Get-SpeculationControlSettings PowerShell został zaktualizowany w celu wykrycia procesorów, których dotyczy problem, stanu aktualizacji systemu operacyjnego SSBD i stanu mikrokodu procesora, jeśli ma to zastosowanie. Aby uzyskać więcej informacji i uzyskać skrypt programu PowerShell, zobacz KB4074629.

13 czerwca 2018 r. ogłoszono i przypisano CVE-2018-3665 dodatkową lukę w zabezpieczeniach polegającą na spekulacyjnym wykonywaniu w kanałach bocznych, znaną jako Lazy FP State Restore. W przypadku narzędzia Lazy Restore FP Restore nie są potrzebne żadne ustawienia konfiguracji (rejestru).

Aby uzyskać więcej informacji na temat tej luki w zabezpieczeniach i zalecanych działań, zobacz Porada dotycząca bezpieczeństwa: ADV180016 | Wskazówki Microsoft dotyczące leniwego przywracania stanu FP

UwagaW przypadku narzędzia Lazy Restore FP Restore nie są potrzebne żadne ustawienia konfiguracji (rejestru).

Bounds Check Bypass Store (BCBS) została ujawniona 10 lipca 2018 i przypisana CVE-2018-3693. Uważamy, że usługi BCBS należą do tej samej klasy luk co obejście sprawdzania granic (wariant 1). Obecnie nie znamy żadnych wystąpień bcbs w naszym oprogramowaniu, ale nadal badamy tę klasę luk i będziemy współpracować z partnerami branżowymi w celu uwolnienia środków łagodzących w razie potrzeby. Nadal zachęcamy naukowców do zgłaszania wszelkich istotnych ustaleń do programu nagród Speculative Execution Side Channel firmy Microsoft, w tym wszelkich możliwych do wykorzystania przypadków BCBS. Deweloperzy oprogramowania powinni zapoznać się ze wskazówkami dla deweloperów, które zostały zaktualizowane dla usługi BCBS w witrynie https://aka.ms/sescdevguide.

14 sierpnia 2018 r. ogłoszono błąd terminalu L1 (L1TF) i przypisano wiele cve. Te nowe spekulacyjne luki w zabezpieczeniach kanału bocznego mogą być używane do odczytywania zawartości pamięci przez zaufaną granicę i, jeśli zostaną wykorzystane, mogą prowadzić do ujawniania informacji. Istnieje wiele wektorów, za pomocą których osoba atakująca może wyzwalać luki w zabezpieczeniach w zależności od skonfigurowanego środowiska. L1TF wpływa na procesory Intel® Core i Intel® Xeon®®.

Aby uzyskać więcej informacji na temat tej luki w zabezpieczeniach oraz szczegółowy widok scenariuszy, na które ma to wpływ, w tym podejście firmy Microsoft do łagodzenia L1TF, zobacz następujące zasoby:

Klienci urządzeń Microsoft Surface: Klienci korzystający z urządzenia Microsoft Surface i produktów Surface Book muszą postępować zgodnie ze wskazówkami dotyczącymi klienta systemu Windows opisanymi w poradach dotyczących bezpieczeństwa: ADV180018 | Wskazówki firmy Microsoft dotyczące ograniczania wariantu L1TF. Zobacz też artykuł z bazy wiedzy Microsoft Knowledge Base 4073065 , aby uzyskać więcej informacji na temat produktów Surface, których dotyczy problem, i dostępności aktualizacji mikrokodu.

Klienci urządzenia Microsoft Hololens: Microsoft HoloLens nie ma wpływu na L1TF, ponieważ nie korzysta z procesora Intel, którego dotyczy problem.

Kroki niezbędne do wyłączenia Hyper-Threading różnią się w zależności od producenta OEM i producenta OEM, ale zwykle są częścią narzędzi do konfiguracji i konfiguracji systemu BIOS lub oprogramowania układowego.

Klienci korzystający z 64-bitowych procesorów ARM powinni skontaktować się z producentem OEM urządzenia w celu obsługi oprogramowania układowego, ponieważ zabezpieczenia systemu operacyjnego ARM64, które łagodzą CVE-2017-5715 — iniekcja celu rozgałęzienia (Spectre, wariant 2) wymaga najnowszej aktualizacji oprogramowania układowego od producentów OEM urządzeń, aby zostały zastosowane.

Aby uzyskać szczegółowe informacje na temat tej luki, zobacz Przewodnik po zabezpieczeniach firmy Microsoft: CVE-2019-1125 | Luka w zabezpieczeniach funkcji ujawniania informacji o jądrze systemu Windows.

Nie wiemy o żadnym przypadku tych luk w zabezpieczeniach w zakresie ujawniania informacji wpływających na infrastrukturę usług w chmurze.

Gdy tylko dowiedzieliśmy się o tym problemie, szybko pracowaliśmy nad jego rozwiązaniem i wydaniem aktualizacji. Zdecydowanie wierzymy w ścisłą współpracę zarówno z naukowcami, jak i partnerami branżowymi, aby zapewnić większe bezpieczeństwo klientom, i opublikowaliśmy szczegóły dopiero we wtorek, 6 sierpnia, zgodnie ze skoordynowanymi praktykami ujawniania luk w zabezpieczeniach.

Informacje pomocnicze

Firma Microsoft udostępnia informacje kontaktowe innych firm ułatwiające znajdowanie dodatkowych informacji na ten temat. Niniejsze informacje kontaktowe mogą ulec zmianie bez powiadomienia. Firma Microsoft nie gwarantuje dokładności informacji kontaktowych innych firm.

Potrzebujesz dalszej pomocy?

Chcesz uzyskać więcej opcji?

Poznaj korzyści z subskrypcji, przeglądaj kursy szkoleniowe, dowiedz się, jak zabezpieczyć urządzenie i nie tylko.

Społeczności pomagają zadawać i odpowiadać na pytania, przekazywać opinie i słuchać ekspertów z bogatą wiedzą.