KB4073757: Ochrona urządzeń z systemem Windows przed lukami mikroarchitektury opartymi na układach krzemowych i spekulacyjnymi lukami w zabezpieczeniach kanału bocznego wykonywania

Zmień datę	Zmień opis
9 sierpnia 2023 r.	Usunięto zawartość dotyczącą CVE-2022-23816, ponieważ numer CVE nie jest nieużywany Usunięto zduplikowany temat zatytułowany "Aktualizacje mikrokodu Intel" w sekcji "Kroki pomagające chronić urządzenia z systemem Windows"
9 kwietnia 2024 r.	Dodano CVE-2022-0001 | Iniekcja historii gałęzi firmy Intel

W celu wyeliminowania tych luk w zabezpieczeniach może być konieczne zaktualizowanie zarówno oprogramowania układowego (mikrokodu), jak i oprogramowania. Zalecane działania można znaleźć w poradach firmy Microsoft dotyczących zabezpieczeń. Obejmuje to aktualizacje oprogramowania układowego (mikrokodu) od producentów urządzeń oraz, w niektórych przypadkach, aktualizacje oprogramowania antywirusowego. Zachęcamy do zabezpieczania urządzeń i instalowania comiesięcznych aktualizacji zabezpieczeń. 

Aby uzyskać wszystkie dostępne zabezpieczenia, wykonaj poniższe czynności, aby uzyskać najnowsze aktualizacje zarówno dla oprogramowania, jak i sprzętu.

1. Dbaj o aktualność urządzenia z systemem Windows , włączając aktualizacje automatyczne.

2. Sprawdź, czy masz zainstalowaną najnowszą aktualizację zabezpieczeń systemu Windows. Jeśli aktualizacje automatyczne są włączone, aktualizacje powinny być automatycznie dostarczane do Ciebie. Jednak nadal należy sprawdzić, czy są one zainstalowane. Aby uzyskać instrukcje, zobacz Windows Update: często zadawane pytania

3. Zainstaluj aktualizacje oprogramowania układowego (mikrokodu) od producenta urządzenia. Wszyscy klienci będą musieli skontaktować się z producentem urządzenia, aby pobrać i zainstalować aktualizację sprzętu dla danego urządzenia. Listę witryn internetowych producentów urządzeń można znaleźć w sekcji "Dodatkowe zasoby".

   Uwaga: Klienci powinni zainstalować najnowsze aktualizacje zabezpieczeń systemu operacyjnego Windows firmy Microsoft, aby móc korzystać z dostępnych zabezpieczeń. Najpierw należy zainstalować aktualizacje oprogramowania antywirusowego. Potem należy zainstalować aktualizacje systemu operacyjnego i oprogramowania układowego. Zachęcamy do zabezpieczania urządzeń i instalowania comiesięcznych aktualizacji zabezpieczeń. 

Dotyczy to mikroukładów produkowanych przez Firmy Intel, AMD i ARM. Oznacza to, że potencjalnie narażone są wszystkie urządzenia z systemami operacyjnymi Windows. Dotyczy to komputerów stacjonarnych, laptopów, serwerów w chmurze i smartfonów. Dotyczy to również urządzeń z innymi systemami operacyjnymi, takimi jak Android, Chrome, iOS i macOS. Zalecamy klientom, którzy korzystają z tych systemów operacyjnych, uzyskanie wskazówek od tych dostawców.

W momencie publikacji nie otrzymaliśmy żadnych informacji wskazujących, że te luki zostały wykorzystane do ataku na klientów.

Począwszy od stycznia 2018 r. firma Microsoft wydała aktualizacje dla systemów operacyjnych Windows oraz przeglądarek internetowych Internet Explorer i Edge, aby pomóc ograniczyć te luki w zabezpieczeniach i pomóc chronić klientów. Ponadto opublikowaliśmy aktualizacje w celu zabezpieczenia naszych usług w chmurze.  Kontynuujemy ścisłą współpracę z partnerami branżowymi, w tym producentami chipów, producentami sprzętu OEM i producentami aplikacji, w celu ochrony klientów przed tą klasą luk w zabezpieczeniach. 

Zachęcamy do instalowania comiesięcznych aktualizacji, aby zapewnić aktualność i bezpieczeństwo urządzeń. 

Zaktualizujemy tę dokumentację, gdy będą dostępne nowe środki łagodzące i zalecamy regularne odwiedzanie tego miejsca. 

Aktualizacje systemu operacyjnego Windows z lipca 2019 r.

W dniu 6 sierpnia 2019 r. firma Intel ujawniła szczegóły dotyczące luki w zabezpieczeniach CVE-2019-1125 | Luka w zabezpieczeniach funkcji ujawniania informacji o jądrze systemu Windows. Aktualizacje zabezpieczeń dla tej luki zostały wydane w ramach miesięcznej aktualizacji z lipca 9 lipca 2019 r.

9 lipca 2019 r. firma Microsoft wydała aktualizację zabezpieczeń dla systemu operacyjnego Windows, aby zminimalizować ten problem. Wstrzymaliśmy publiczne dokumentowanie tego łagodzenia do czasu ujawnienia skoordynowanej branży we wtorek, 6 sierpnia 2019 r.

Klienci, którzy włączyli Windows Update i zastosowali aktualizacje zabezpieczeń wydane 9 lipca 2019 r., są chronieni automatycznie. Należy pamiętać, że ta luka nie wymaga aktualizacji mikrokodu od producenta urządzenia (OEM).

Aktualizacje systemu operacyjnego Windows z maja 2019 r.

W dniu 14 maja 2019 r. firma Intel opublikowała informacje na temat nowej podklasy luk spekulacyjnych dotyczących wykonywania w kanałach bocznych znanych jako próbkowanie danych mikroarchitektury i przypisano do nich następujące CVE:

• CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"

• CVE-2018-12126 – "Próbkowanie danych buforowych magazynu mikroarchitektury (MSBDS)"

• CVE-2018-12127 – "Próbkowanie danych buforu wypełniania mikroarchitektycznego (MFBDS)"

• CVE-2018-12130 – "Próbkowanie danych portów obciążenia mikroarchitekuralnego (MLPDS)"

Aby uzyskać więcej informacji na temat tego problemu, zobacz poniższe porady dotyczące zabezpieczeń i skorzystaj ze wskazówek opartych na scenariuszach opisanych w artykułach Dotyczących systemu Windows dotyczących klientów i serwerów w celu określenia działań niezbędnych do ograniczenia zagrożenia:

• 190013 ADV | Wskazówki firmy Microsoft dotyczące ograniczania luk w zabezpieczeniach pobierania próbek danych mikroarchikticznych

• 4073119 KB | Wskazówki dla klientów specjalistów IT systemu Windows dotyczące ochrony przed lukami specjatywnymi wykonywania w kanałach bocznych

• 4457951 KB | Wskazówki dotyczące systemu Windows Server w celu ochrony przed lukami specjatywnymi wykonywania w kanałach bocznych

Firma Microsoft wydała zabezpieczenia przed nową podklasą luk specjalizować wykonywanie w kanałach bocznych znanych jako Próbkowanie danych mikroarchitektury dla wersji 64-bitowych (x64) systemu Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Użyj ustawień rejestru zgodnie z opisem w artykułach Klient systemu Windows (KB4073119) i Windows Server (KB4457951 ). Te ustawienia rejestru są domyślnie włączone dla wersji klienckich systemu operacyjnego Windows i systemów operacyjnych Windows Server.

Zalecamy uprzednie zainstalowanie wszystkich najnowszych aktualizacji z Windows Update przed zainstalowaniem jakichkolwiek aktualizacji mikrokodu.

Aby uzyskać więcej informacji o tym problemie i zalecane działania, zobacz następujące porady dotyczące zabezpieczeń: 

• 190013 ADV | Wskazówki firmy Microsoft dotyczące ograniczania luk w zabezpieczeniach pobierania próbek danych mikroarchikticznych

Firma Intel wydała aktualizację mikrokodu dla najnowszych platform procesorów, aby pomóc złagodzić CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. 14 maja 2019 r. 4093836 BAZY WIEDZY systemu Windows zawiera szczegółowe artykuły z bazy wiedzy według wersji systemu operacyjnego Windows.  Ten artykuł zawiera również linki do dostępnych aktualizacji mikrokodu Intel według procesora CPU. Te aktualizacje są dostępne za pośrednictwem wykazu firmy Microsoft.

Uwaga: Zalecamy zainstalowanie wszystkich najnowszych aktualizacji z Windows Update przed zainstalowaniem jakichkolwiek aktualizacji mikrokodu.

Z przyjemnością informujemy, że funkcja Retpoline jest domyślnie włączona na Windows 10, wersja 1809 urządzeniach (dla klientów i serwerów), jeśli włączono spectre variant 2 (CVE-2017-5715). Włączając Retpoline w najnowszej wersji Windows 10, za pośrednictwem aktualizacji z 14 maja 2019 r. (KB 4494441) przewidujemy zwiększoną wydajność, szczególnie w przypadku starszych procesorów.

Klienci powinni upewnić się, że poprzednie zabezpieczenia systemu operacyjnego przed luką Spectre Variant 2 są włączone przy użyciu ustawień rejestru opisanych w artykułach Klient systemu Windows i Windows Server . (Te ustawienia rejestru są domyślnie włączone dla wersji klienckich systemu operacyjnego Windows, ale domyślnie wyłączone w przypadku systemów operacyjnych Windows Server). Aby uzyskać więcej informacji na temat "Retpoline", zobacz Mitigating Spectre variant 2 with Retpoline on Windows.

Aktualizacje systemu operacyjnego Windows z listopada 2018 r.

Firma Microsoft wydała zabezpieczenia systemu operacyjnego dla speculative Store Bypass (CVE-2018-3639) dla procesorów AMD.

Firma Microsoft wydała dodatkowe zabezpieczenia systemu operacyjnego dla klientów korzystających z 64-bitowych procesorów ARM. Skontaktuj się z producentem OEM urządzenia, aby uzyskać pomoc techniczną dla oprogramowania układowego, ponieważ zabezpieczenia systemu operacyjnego ARM64, które łagodzą CVE-2018-3639 speculative Store Bypass, wymagają najnowszej aktualizacji oprogramowania układowego od producenta OEM urządzenia.

Aktualizacje systemu operacyjnego Windows z września 2018 r.

11 września 2018 r. Firma Microsoft wydała comiesięczny pakiet zbiorczy aktualizacji systemu Windows Server 2008 z dodatkiem SP2 4458010 i samych zabezpieczeń 4457984 dla systemu Windows Server 2008, które zapewniają ochronę przed nową luką spekulacyjną w kanałach bocznych znaną jako L1 Terminal Fault (L1TF) wpływającą na procesory Intel® Core® i procesory Intel® Xeon® (CVE-2018-3620 i CVE-2018-3646). 

Ta wersja zapewnia dodatkowe zabezpieczenia we wszystkich obsługiwanych wersjach systemu Windows za pośrednictwem Windows Update. Aby uzyskać więcej informacji oraz listę produktów, na które ma to wpływ, zobacz ADV180018 | Wskazówki firmy Microsoft dotyczące ograniczania wariantu L1TF.

Uwaga: System Windows Server 2008 z dodatek SP2 jest teraz zgodny ze standardowym modelem pakietu zbiorczego aktualizacji obsługi systemu Windows. Aby uzyskać więcej informacji na temat tych zmian, zobacz nasz blog Zmiany w obsłudze systemu Windows Server 2008 z systemem SP2. Klienci z systemem Windows Server 2008 powinni zainstalować system 4458010 lub 4457984 oprócz aktualizacji zabezpieczeń 4341832, która została wydana 14 sierpnia 2018 r. Klienci powinni również upewnić się, że poprzednie zabezpieczenia systemu operacyjnego przed lukami Spectre Variant 2 i Meltdown są włączone przy użyciu ustawień rejestru opisanych w artykułach bazy wiedzy Klient systemu Windows i Windows Server . Te ustawienia rejestru są domyślnie włączone w przypadku wersji klienckich systemu operacyjnego Windows, ale są domyślnie wyłączone w przypadku systemów operacyjnych Windows Server.

Firma Microsoft wydała dodatkowe zabezpieczenia systemu operacyjnego dla klientów korzystających z 64-bitowych procesorów ARM. Skontaktuj się z producentem OEM urządzenia, aby uzyskać pomoc techniczną dla oprogramowania układowego, ponieważ zabezpieczenia systemu operacyjnego ARM64, które łagodzą CVE-2017-5715 — iniekcja celu rozgałęzienia (Spectre, wariant 2) wymaga najnowszej aktualizacji oprogramowania układowego od producentów OEM urządzenia, aby zostały zastosowane.

Aktualizacje systemu operacyjnego Windows z sierpnia 2018 r.

14 sierpnia 2018 r. ogłoszono błąd terminalu L1 (L1TF) i przypisano wiele cve. Te nowe spekulacyjne luki w zabezpieczeniach kanału bocznego mogą być używane do odczytywania zawartości pamięci przez zaufaną granicę i, jeśli zostaną wykorzystane, mogą prowadzić do ujawniania informacji. Istnieje wiele wektorów, za pomocą których osoba atakująca może wyzwalać luki w zabezpieczeniach w zależności od skonfigurowanego środowiska. L1TF wpływa na procesory Intel® Core i Intel® Xeon®®.

Aby uzyskać więcej informacji na temat funkcji L1TF oraz szczegółowy widok scenariuszy, których dotyczy problem, w tym podejście firmy Microsoft do łagodzenia L1TF, zobacz następujące zasoby:

• ADV180018 | Wskazówki firmy Microsoft dotyczące ograniczania wariantu L1TF

• Security Advisory Security Research Blog

• Wskazówki dotyczące serwera dotyczące błędu terminalu L1

Aktualizacje systemu operacyjnego Windows z lipca 2018 r.

Z przyjemnością informujemy, że firma Microsoft zakończyła wydawanie dodatkowych zabezpieczeń we wszystkich obsługiwanych wersjach systemu Windows poprzez Windows Update następujących luk w zabezpieczeniach:

• Spectre Variant 2 dla procesorów AMD

• Speculative Store Bypass dla procesorów Intel

13 czerwca 2018 r. ogłoszono i przypisano CVE-2018-3665 dodatkową lukę w zabezpieczeniach polegającą na spekulacyjnym wykonywaniu w kanałach bocznych, znaną jako Lazy FP State Restore. W przypadku narzędzia Lazy Restore FP Restore nie są potrzebne żadne ustawienia konfiguracji (rejestru).

Aby uzyskać więcej informacji na temat tej luki w zabezpieczeniach, produktów, na które ma to wpływ, i zalecanych działań, zobacz poniższe porady dotyczące zabezpieczeń:

• ADV180016 | Wskazówki Microsoft dotyczące leniwego przywracania stanu FP

12 czerwca firma Microsoft ogłosiła obsługę speculative Store Bypass Disable (SSBD) w procesorach Intel. Aktualizacje wymagają odpowiedniego oprogramowania układowego (mikrokodu) i aktualizacji rejestru dla funkcjonalności. Aby uzyskać informacje o aktualizacjach i procedurach, które należy zastosować w celu włączenia funkcji SSBD, zobacz sekcję "Zalecane akcje" w ADV180012 | Wskazówki firmy Microsoft dotyczące speculative Store Bypass.

Aktualizacje systemu operacyjnego Windows z maja 2018 r.

W styczniu 2018 r. firma Microsoft opublikowała informacje o nowo odkrytej klasie luk w zabezpieczeniach sprzętu (znanych pod nazwami Spectre i Meltdown), które obejmują spekulacyjne kanały boczne wykonywania wpływające na procesory AMD, ARM i Intel w różnym stopniu. W dniu 21 maja 2018 r. google Project Zero (GPZ) firmy Microsoft i Intel ujawniły dwie nowe luki w zabezpieczeniach mikroukładów związane z problemami spectre i meltdown, które są znane jako Speculative Store Bypass (SSB) i Rogue System Registry Read.

Ryzyko klienta związane z obydwoma ujawnieniem jest niskie.

Aby uzyskać więcej informacji o tych lukach w zabezpieczeniach, zobacz następujące zasoby:

• Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 i CVE-2018-3639

• Microsoft Security Advisory for Rogue System Register Read: MSRC ADV180013i CVE-2018-3640

• Badania i obrona bezpieczeństwa: Analiza i łagodzenie speculative obejście sklepu (CVE-2018-3639)

Dotyczy: Windows 10, wersja 1607, Windows Server 2016, Windows Server 2016 (instalacja Server Core) i Windows Server, wersja 1709 (instalacja Server Core)

Zapewniliśmy obsługę kontrolowania użycia Indirect Branch Prediction Barrier (IBPB) w niektórych procesorach AMD w celu łagodzenia CVE-2017-5715 Spectre Variant 2 po przełączeniu z kontekstu użytkownika na kontekst jądra. (Aby uzyskać więcej informacji, zobacz Wskazówki dotyczące architektury AMD dotyczące pośredniej kontroli gałęzi i Aktualizacje zabezpieczeń AMD).

Klienci, którzy korzystają z Windows 10, wersja 1607, Windows Server 2016, Windows Server 2016 (instalacja Server Core) i Windows Server w wersji 1709 (instalacja Server Core) muszą zainstalować 4103723 aktualizacji zabezpieczeń, aby dodatkowe środki łagodzące dla procesorów AMD dla CVE-2017-5715, iniekcja celu rozgałęzienia. Ta aktualizacja jest również dostępna za pośrednictwem Windows Update.

Postępuj zgodnie z instrukcjami opisanymi w artykule KB 4073119 dla klientów systemu Windows (informatyków) i 4072698 KB dla systemu Windows Server w celu włączenia używania IBPB w niektórych procesorach AMD w celu łagodzenia Spectre Variant 2 po przełączeniu z kontekstu użytkownika na kontekst jądra.

Firma Microsoft udostępnia zatwierdzone przez Intel aktualizacje mikrokodu wokół spectre variant 2 (CVE-2017-5715 "Iniekcja celu rozgałęzienia"). Aby uzyskać najnowsze aktualizacje mikrokodu Intel za pośrednictwem Windows Update, klienci muszą zainstalować mikrokod Intel na urządzeniach z systemem operacyjnym Windows 10 przed uaktualnianiem do aktualizacji Windows 10 kwietnia 2018 (wersja 1803).

Aktualizacja mikrokodu jest również dostępna bezpośrednio z wykazu usług, jeśli została zainstalowana na urządzeniu przed uaktualnieniem systemu operacyjnego. Mikrokod Intel jest dostępny za pośrednictwem Windows Update, WSUS lub wykazu usługi Microsoft Update. Aby uzyskać więcej informacji i pobrać instrukcje, zobacz 4100347 kb.

Będziemy oferować dodatkowe aktualizacje mikrokodu firmy Intel dla systemu operacyjnego Windows, gdy staną się one dostępne dla firmy Microsoft.

Dotyczy: Windows 10 w wersji 1709

Zapewniliśmy obsługę kontrolowania użycia Indirect Branch Prediction Barrier (IBPB) w niektórych procesorach AMD w celu łagodzenia CVE-2017-5715 Spectre Variant 2 po przełączeniu z kontekstu użytkownika na kontekst jądra. (Aby uzyskać więcej informacji, zobacz Wskazówki dotyczące architektury AMD dotyczące pośredniej kontroli gałęzi i Aktualizacje zabezpieczeń AMD).

Postępuj zgodnie z instrukcjami opisanymi w 4073119 KB dla klientów systemu Windows (informatyków), aby włączyć używanie IBPB w niektórych procesorach AMD w celu łagodzenia spectre variant 2 po przełączeniu z kontekstu użytkownika na kontekst jądra.

Firma Microsoft udostępnia zatwierdzone przez Intel aktualizacje mikrokodu wokół Spectre Variant 2 (CVE-2017-5715 "Iniekcja celu rozgałęzienia"). KB4093836 zawiera listę konkretnych artykułów z bazy wiedzy według wersji systemu Windows. Każda określona aktualizacja KB zawiera najnowsze dostępne aktualizacje mikrokodu Intel według procesora CPU.

Będziemy oferować dodatkowe aktualizacje mikrokodu firmy Intel dla systemu operacyjnego Windows, gdy staną się one dostępne dla firmy Microsoft. 

Marzec 2018 i nowsze aktualizacje systemu operacyjnego Windows

23 marca, TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown w systemie Windows

14 marca, Security Tech Center: Speculative Execution Side Channel Bounty Warunki programu

Blog z 13 marca 2018 r.: aktualizacja Zabezpieczenia Windows z marca 2018 r. — rozszerzenie naszych wysiłków na rzecz ochrony klientów

Blog z 1 marca: Aktualizacje zabezpieczeń Spectre i Meltdown dla urządzeń z systemem Windows

Począwszy od marca 2018 r. firma Microsoft wydała aktualizacje zabezpieczeń, aby zapewnić środki łagodzące dla urządzeń z następującymi systemami operacyjnymi Windows opartymi na procesorach x86. Klienci powinni zainstalować najnowsze aktualizacje zabezpieczeń systemu operacyjnego Windows, aby korzystać z dostępnych zabezpieczeń. Pracujemy nad zapewnieniem ochrony dla innych obsługiwanych wersji systemu Windows, ale obecnie nie mamy harmonogramu udostępniania. Zajrzyj tu ponownie, aby uzyskać aktualizacje. Aby uzyskać więcej informacji, zobacz powiązany artykuł z bazy wiedzy Knowledge Base, aby uzyskać szczegółowe informacje techniczne i sekcję "Często zadawane pytania".

Opublikowano aktualizację produktu	Status	Data wydania	Kanał udostępniania	KB
Windows 8.1 & Windows Server 2012 R2 — aktualizacja samych zabezpieczeń	Wydana	13 marca o godz.	WSUS, Catalog,	KB4088879
Windows 7 z dodatkiem SP1 & Windows Server 2008 R2 z dodatkiem SP1 — tylko aktualizacja zabezpieczeń	Wydana	13 marca o godz.	WSUS, Catalog	KB4088878
Windows Server 2012 — aktualizacja samych zabezpieczeń Windows 8 embedded standard edition — aktualizacja samych zabezpieczeń	Wydana	13 marca o godz.	WSUS, Catalog	KB4088877
Windows 8.1 & Windows Server 2012 R2 — miesięczny pakiet zbiorczy aktualizacji	Wydana	13 marca o godz.	WU, WSUS, Catalog	KB4088876
Windows 7 z dodatkiem SP1 & Windows Server 2008 R2 z dodatkiem SP1 — comiesięczny pakiet zbiorczy aktualizacji	Wydana	13 marca o godz.	WU, WSUS, Catalog	KB4088875
Windows Server 2012 — comiesięczny pakiet zbiorczy aktualizacji Windows 8 Embedded Standard Edition — comiesięczny pakiet zbiorczy aktualizacji	Wydana	13 marca o godz.	WU, WSUS, Catalog	KB4088877
Windows Server 2008 z dodatkiem SP2	Wydana	13 marca o godz.	WU, WSUS, Catalog	KB4090450

Począwszy od marca 2018 r. firma Microsoft wydała aktualizacje zabezpieczeń, aby zapewnić środki łagodzące dla urządzeń z następującymi systemami operacyjnymi Windows opartymi na procesorach x64. Klienci powinni zainstalować najnowsze aktualizacje zabezpieczeń systemu operacyjnego Windows, aby korzystać z dostępnych zabezpieczeń. Pracujemy nad zapewnieniem ochrony dla innych obsługiwanych wersji systemu Windows, ale obecnie nie mamy harmonogramu udostępniania. Zajrzyj tu ponownie, aby uzyskać aktualizacje. Aby uzyskać więcej informacji, zobacz powiązany artykuł baza wiedzy, aby uzyskać szczegółowe informacje techniczne i sekcję "Często zadawane pytania".

Opublikowano aktualizację produktu	Status	Data wydania	Kanał udostępniania	KB
Windows Server 2012 — aktualizacja samych zabezpieczeń Windows 8 embedded standard edition — aktualizacja samych zabezpieczeń	Wydana	13 marca o godz.	WSUS, Catalog	KB4088877
Windows Server 2012 — comiesięczny pakiet zbiorczy aktualizacji Windows 8 Embedded Standard Edition — comiesięczny pakiet zbiorczy aktualizacji	Wydana	13 marca o godz.	WU, WSUS, Catalog	KB4088877
Windows Server 2008 z dodatkiem SP2	Wydana	13 marca o godz.	WU, WSUS, Catalog	KB4090450

Ta aktualizacja usuwa lukę w zabezpieczeniach jądra systemu Windows w wersji 64-bitowej (x64) systemu Windows. Tę lukę w zabezpieczeniach opisano w cve-2018-1038. Użytkownicy muszą zastosować tę aktualizację, aby zapewnić pełną ochronę przed tą luką w zabezpieczeniach, jeśli ich komputery zostały zaktualizowane w styczniu 2018 r. lub później, stosując dowolne aktualizacje wymienione w następującym artykule z bazy wiedzy Knowledge Base:

Aktualizacja jądra systemu Windows dla CVE-2018-1038

Ta aktualizacja zabezpieczeń usuwa kilka zgłoszonych luk w zabezpieczeniach programu Internet Explorer. Aby dowiedzieć się więcej o tych lukach, zobacz Typowe luki w zabezpieczeniach i narażenia firmy Microsoft. 

Opublikowano aktualizację produktu	Status	Data wydania	Kanał udostępniania	KB
Internet Explorer 10 — aktualizacja zbiorcza dla Windows 8 Embedded Standard Edition	Wydana	13 marca o godz.	WU, WSUS, Catalog	KB4089187

Aktualizacje systemu operacyjnego Windows z lutego 2018 r.

Blog: Usługa Windows Analytics pomaga teraz oceniać zabezpieczenia przed atakami Spectre i Meltdown

Poniższe aktualizacje zabezpieczeń zapewniają dodatkowe zabezpieczenia dla urządzeń z 32-bitowymi (x86) systemami operacyjnymi Windows. Firma Microsoft zaleca klientom zainstalowanie aktualizacji zaraz po jej udostępnieniu. Nadal pracujemy nad zapewnieniem ochrony innych obsługiwanych wersji systemu Windows, ale obecnie nie mamy harmonogramu wersji. Zajrzyj tu ponownie, aby uzyskać aktualizacje. 

Uwaga Windows 10 comiesięczne aktualizacje zabezpieczeń są skumulowane z miesiąca na miesiąc i są automatycznie pobierane i instalowane z Windows Update. Jeśli zainstalowano wcześniejsze aktualizacje, tylko nowe części zostaną pobrane i zainstalowane na urządzeniu. Aby uzyskać więcej informacji, zobacz powiązany artykuł z bazy wiedzy Knowledge Base, aby uzyskać szczegółowe informacje techniczne i sekcję "Często zadawane pytania".

Opublikowano aktualizację produktu	Status	Data wydania	Kanał udostępniania	KB
Windows 10 — wersja 1709 / Windows Server 2016 (1709) / IoT Core — aktualizacja dotycząca jakości	Wydana	31 sty	WU, Catalog	KB4058258
Windows Server 2016 (1709) — kontener systemu Server	Wydana	13-lut	Docker Hub	KB4074588
Windows 10 — wersja 1703 / IoT Core — aktualizacja dotycząca jakości	Wydana	13-lut	WU, WSUS, Catalog	KB4074592
Windows 10 — wersja 1607 / Windows Server 2016 / IoT Core — aktualizacja dotycząca jakości	Wydana	13-lut	WU, WSUS, Catalog	KB4074590
Windows 10 HoloLens — Aktualizacje systemu operacyjnego i oprogramowania układowego	Wydana	13-lut	WU, Catalog	KB4074590
Windows Server 2016 (1607) — obrazy kontenera	Wydana	13-lut	Docker Hub	KB4074590
Windows 10 — wersja 1511 / IoT Core — aktualizacja dotycząca jakości	Wydana	13-lut	WU, WSUS, Catalog	KB4074591
Windows 10 — wersja RTM — aktualizacja dotycząca jakości	Wydana	13-lut	WU, WSUS, Catalog	KB4074596

Aktualizacje systemu operacyjnego Windows ze stycznia 2018 r.

Blog: Opis wpływu środków zaradczych Spectre i Meltdown na systemy Windows

Począwszy od stycznia 2018 r. firma Microsoft wydała aktualizacje zabezpieczeń, aby zapewnić środki łagodzące dla urządzeń z następującymi systemami operacyjnymi Windows opartymi na procesorach x64. Klienci powinni zainstalować najnowsze aktualizacje zabezpieczeń systemu operacyjnego Windows, aby korzystać z dostępnych zabezpieczeń. Pracujemy nad zapewnieniem ochrony dla innych obsługiwanych wersji systemu Windows, ale obecnie nie mamy harmonogramu udostępniania. Zajrzyj tu ponownie, aby uzyskać aktualizacje. Aby uzyskać więcej informacji, zobacz powiązany artykuł z bazy wiedzy Knowledge Base, aby uzyskać szczegółowe informacje techniczne i sekcję "Często zadawane pytania".

Opublikowano aktualizację produktu	Status	Data wydania	Kanał udostępniania	KB
Windows 10 — wersja 1709 / Windows Server 2016 (1709) / IoT Core — aktualizacja dotycząca jakości	Wydana	3-sty	WU, WSUS, Wykaz, Azure Image Gallery	KB4056892
Windows Server 2016 (1709) — kontener systemu Server	Wydana	5-sty	Docker Hub	KB4056892
Windows 10 — wersja 1703 / IoT Core — aktualizacja dotycząca jakości	Wydana	3-sty	WU, WSUS, Catalog	KB4056891
Windows 10 — wersja 1607 / Windows Server 2016 / IoT Core — aktualizacja dotycząca jakości	Wydana	3-sty	WU, WSUS, Catalog	KB4056890
Windows Server 2016 (1607) — obrazy kontenera	Wydana	4-sty	Docker Hub	KB4056890
Windows 10 — wersja 1511 / IoT Core — aktualizacja dotycząca jakości	Wydana	3-sty	WU, WSUS, Catalog	KB4056888
Windows 10 — wersja RTM — aktualizacja dotycząca jakości	Wydana	3-sty	WU, WSUS, Catalog	KB4056893
Windows 10 Mobile (wersja 15254.192) — ARM	Wydana	5-sty	WU, Catalog	KB4073117
Windows 10 Mobile (wersja 15063.850)	Wydana	5-sty	WU, Catalog	KB4056891
Windows 10 Mobile (wersja 14393.2007)	Wydana	5-sty	WU, Catalog	KB4056890
Windows 10 HoloLens	Wydana	5-sty	WU, Catalog	KB4056890
Windows 8.1 / Windows Server 2012 R2 — aktualizacja samych zabezpieczeń	Wydana	3-sty	WSUS, Catalog	KB4056898
Windows Embedded 8.1 Industry Enterprise	Wydana	3-sty	WSUS, Catalog	KB4056898
Windows Embedded 8.1 Industry Pro	Wydana	3-sty	WSUS, Catalog	KB4056898
Windows Embedded 8.1 Pro	Wydana	3-sty	WSUS, Catalog	KB4056898
Windows 8.1 / Windows Server 2012 R2 Miesięczny pakiet zbiorczy aktualizacji	Wydana	8-sty	WU, WSUS, Catalog	KB4056895
Windows Embedded 8.1 Industry Enterprise	Wydana	8-sty	WU, WSUS, Catalog	KB4056895
Windows Embedded 8.1 Industry Pro	Wydana	8-sty	WU, WSUS, Catalog	KB4056895
Windows Embedded 8.1 Pro	Wydana	8-sty	WU, WSUS, Catalog	KB4056895
Windows Server 2012 Tylko zabezpieczenia	Wydana		WSUS, Catalog
Windows Server 2008 z dodatkiem SP2	Wydana		WU, WSUS, Catalog
Windows Server 2012 R2 Miesięczny pakiet zbiorczy aktualizacji	Wydana		WU, WSUS, Catalog
Windows Embedded 8 Standard	Wydana		WU, WSUS, Catalog
Windows 7 SP1 / Windows Server 2008 R2 z dodatkiem SP1 — aktualizacja samych zabezpieczeń	Wydana	3-sty	WSUS, Catalog	KB4056897
Windows Embedded Standard 7	Wydana	3-sty	WSUS, Catalog	KB4056897
Windows Embedded POSReady 7	Wydana	3-sty	WSUS, Catalog	KB4056897
Windows Thin PC	Wydana	3-sty	WSUS, Catalog	KB4056897
Windows 7 P1 / Windows Server 2008 R2 z dodatkiem SP1 Miesięczny pakiet zbiorczy aktualizacji	Wydana	4-sty	WU, WSUS, Catalog	KB4056894
Windows Embedded Standard 7	Wydana	4-sty	WU, WSUS, Catalog	KB4056894
Windows Embedded POSReady 7	Wydana	4-sty	WU, WSUS, Catalog	KB4056894
Windows Thin PC	Wydana	4-sty	WU, WSUS, Catalog	KB4056894
Internet Explorer 11— aktualizacja zbiorcza dla Windows 7 SP1 i Windows 8.1	Wydana	3-sty	WU, WSUS, Catalog	KB4056568

W dniu 9 kwietnia 2024 r. opublikowaliśmy CVE-2022-0001 | Iniekcja historii rozgałęzień Firmy Intel , która opisuje iniekcję historii gałęzi (BHI), która jest określoną formą bti trybu wewnątrz trybu. Ta luka występuje, gdy osoba atakująca może manipulować historią gałęzi przed przejściem z użytkownika do trybu nadzoru (lub z VMX non-root/guest do trybu głównego). Ta manipulacja może spowodować, że pośredni predyktor gałęzi wybierze określony wpis predyktora dla gałęzi pośredniej, a gadżet ujawniania w przewidywanym celu będzie przejściowo wykonywany. Może to być możliwe, ponieważ odpowiednia historia gałęzi może zawierać gałęzie wykonane w poprzednich kontekstach zabezpieczeń, a w szczególności w innych trybach predyktora.

Postępuj zgodnie z instrukcjami opisanymi w KB4073119 dla klientów systemu Windows (informatyków) i KB4072698 wskazówek dotyczących systemu Windows Server w celu ograniczenia luk opisanych w cve-2022-0001 | Iniekcja historii gałęzi firmy Intel.

Porada firmy Microsoft dotycząca zabezpieczeń dla błędu terminalu L1 (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646

Badania i obrona bezpieczeństwa: Analiza i łagodzenie speculative obejście sklepu (CVE-2018-3639)

Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 i CVE-2018-3639

Microsoft Security Advisory for Rogue System Register Read | Przewodnik aktualizacji zabezpieczeń dla tabletu Surface: MSRC ADV180013i CVE-2018-3640

Badania i obrona bezpieczeństwa: Analiza i łagodzenie speculative obejście sklepu (CVE-2018-3639)

TechNet Security Research & Defense: KVA Shadow: Łagodzenie meltdown w systemie Windows

Security Tech Center: Speculative Execution Side Channel Bounty Terminy programu

Blog microsoft experience: aktualizacja aktualizacji zabezpieczeń Spectre i Meltdown dla urządzeń z systemem Windows

Blog dotyczący systemu Windows dla firm: Usługa Windows Analytics pomaga teraz oceniać zabezpieczenia przed atakami Spectre i Meltdown

Blog firmy Microsoft Secure: Opis wpływu zabezpieczeń Spectre i Meltdown na wydajność systemów Windows

Blog deweloperów edge: łagodzenie spekulacyjnych ataków na kanałach bocznych w przeglądarkach Microsoft Edge i Internet Explorer

Azure Blog: Zabezpieczanie klientów platformy Azure przed luką w zabezpieczeniach procesora

SCCM wskazówki: Dodatkowe wskazówki dotyczące ograniczania luk w zabezpieczeniach spekulacyjnych wykonywania w kanałach bocznych

Porady firmy Microsoft:

• ADV180002 | Wskazówki dotyczące ograniczania luk specjalizować wykonywanie spekulacyjnych w kanałach bocznych

• ADV180012 | Wskazówki firmy Microsoft dotyczące speculative Store Bypass

• ADV180013 | Wskazówki Firmy Microsoft dotyczące odczytu rejestru nieuczciwych systemów

• ADV180016 | Wskazówki Microsoft dotyczące leniwego przywracania stanu FP

• ADV180018 | Wskazówki firmy Microsoft dotyczące ograniczania wariantu L1TF

Intel: porada dotycząca zabezpieczeń

ARM: porada dotycząca bezpieczeństwa

AMD: Porada dotycząca zabezpieczeń

NVIDIA: Poradnik zabezpieczeń

Wskazówki dla konsumentów: ochrona urządzenia przed lukami w zabezpieczeniach związanymi z mikroukładami

Wskazówki dotyczące oprogramowania antywirusowego: aktualizacje zabezpieczeń systemu Windows wydane 3 stycznia 2018 r. i oprogramowanie antywirusowe

Wskazówki dotyczące bloku aktualizacji zabezpieczeń systemu operacyjnego Windows AMD: KB4073707: blok aktualizacji zabezpieczeń systemu operacyjnego Windows dla niektórych urządzeń opartych na amd

Aktualizacja wyłączania ochrony przed spectre, wariant 2: KB4078130: Firma Intel zidentyfikowała problemy z ponownym uruchomieniem mikrokodu na niektórych starszych procesorach 

Wskazówki dotyczące tabletu Surface: Wskazówki dotyczące ochrony przed lukami specjazywnym wykonywania w kanałach bocznych

Sprawdzanie stanu speculative execution side channel mitigations: Opis Get-SpeculationControlSettings danych wyjściowych skryptu programu PowerShell

Wskazówki dla informatyków: Wskazówki dla klientów systemu Windows dla informatyków w celu ochrony przed lukami specjatywnymi w zakresie wykonywania w kanałach bocznych

Wskazówki dotyczące serwera: Wskazówki dla systemu Windows Server dotyczące ochrony przed lukami specjatywnymi wykonywania w kanałach bocznych

Wskazówki serwera dotyczące błędu terminalu L1: Wskazówki dotyczące ochrony systemu Windows Server przed błędami terminali L1

Wskazówki dla deweloperów: Wskazówki dla deweloperów dotyczące speculative Store Bypass

Wskazówki — Server Hyper-V

• Kontrolki zasobów maszyn wirtualnych

• Zarządzanie zasobami procesora hosta Hyper-V

Azure KB: KB4073235: Microsoft Cloud Protections Against Speculative Execution Side-Channel vulnerabilities

Wskazówki dotyczące stosu Azure Stack: KB4073418: Wskazówki dotyczące azure stack w celu ochrony przed lukami specjatywnym wykonywania w kanałach bocznych

Niezawodność platformy Azure: Azure Reliability Portal

SQL Server wskazówki: KB4073225: SQL Server Wskazówki dotyczące ochrony przed lukami specjatywnymi wykonywania w kanałach bocznych

Linki do producentów urządzeń OEM i Server w celu aktualizacji chroniących przed lukami Spectre i Meltdown

Aby rozwiązać ten problem, musisz zaktualizować zarówno sprzęt, jak i oprogramowanie. Poniższe linki umożliwiają skontaktowanie się z producentem urządzenia w celu sprawdzenia, czy są dostępne aktualizacje oprogramowania układowego (mikrokodu).

Poniższe linki umożliwiają skontaktowanie się z producentem urządzenia w celu sprawdzenia, czy są dostępne aktualizacje oprogramowania układowego (mikrokodu). Musisz zainstalować aktualizacje systemu operacyjnego i oprogramowania układowego (mikrokodu) dla wszystkich dostępnych zabezpieczeń.

Producent urządzenia OEM	Link do mikrokodu
Acer	Luki w zabezpieczeniach Meltdown i Spectre
Asus	ASUS Update on Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method
Dell	Luki w zabezpieczeniach Meltdown i Spectre
Epson	Luki w zabezpieczeniach procesora (ataki w kanałach bocznych)
Fujitsu	Sprzęt procesora narażony na ataki w kanałach bocznych (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HP	POMOC TECHNICZNA — BIULETYN ZABEZPIECZEŃ
Lenovo	Odczytywanie pamięci uprzywilejowanej za pomocą kanału bocznego
LG	Uzyskiwanie pomocy technicznej & produktu
NEC	W odpowiedzi na lukę procesora (meltdown, spectrum) w naszych produktach
Panasonic	Informacje o zabezpieczeniach luk w zabezpieczeniach przez speculative Execution i Indirect Branch Prediction Side Channel Analysis Method
Samsung	Ogłoszenie o aktualizacji oprogramowania procesorów Intel
urządzenia Surface	Wskazówki dotyczące ochrony urządzeń Surface przed lukami Spectra
Toshiba	Firmy Intel, AMD & luk w zabezpieczeniach metody analizy kanału bocznego speculative execution i pośredniego przewidywania gałęzi firmy Microsoft (2017)
Vaio	Obsługa luk w zabezpieczeniach podczas analizy kanałów bocznych

Producenci OEM serwerów	Link do mikrokodu
Dell	Luki w zabezpieczeniach Meltdown i Spectre
Fujitsu	Sprzęt procesora narażony na ataki w kanałach bocznych (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HPE	Alerty o lukach w zabezpieczeniach produktu Hewlett Packard Enterprise
Huawei	Powiadomienie o zabezpieczeniach — oświadczenie dotyczące ujawniania przez media luk w zabezpieczeniach w architekturze procesora Intel
Lenovo	Odczytywanie pamięci uprzywilejowanej za pomocą kanału bocznego

Należy skontaktować się z producentem urządzenia, aby uzyskać aktualizacje oprogramowania układowego (mikrokodu). Jeśli producent Twojego urządzenia nie jest wyświetlany w tabeli, skontaktuj się z producentem OEM bezpośrednio.

Aktualizacje dla urządzeń Microsoft Surface są dostępne dla klientów za pośrednictwem Windows Update. Aby uzyskać listę dostępnych aktualizacji oprogramowania układowego urządzenia Surface (mikrokodu), zobacz KB 4073065.

Jeśli twoje urządzenie nie pochodzi od firmy Microsoft, zastosuj aktualizacje oprogramowania układowego od producenta urządzenia. Aby uzyskać więcej informacji, skontaktuj się z producentem urządzenia.

Rozwiązanie problemu luki w zabezpieczeniach sprzętu za pomocą aktualizacji oprogramowania stanowi poważne wyzwanie i środki łagodzące dla starszych systemów operacyjnych i może wymagać istotnych zmian w architekturze. Kontynuujemy współpracę z producentami mikroukładów, których dotyczy problem, w celu zbadania najlepszego sposobu na zapewnienie środków łagodzących. Może to zostać udostępnione w przyszłej aktualizacji. Wymiana starszych urządzeń z tymi starszymi systemami operacyjnymi i aktualizowanie oprogramowania antywirusowego powinna rozwiązać problem pozostałego ryzyka.

Mimo że dotyczy to systemów opartych na systemie Windows XP, firma Microsoft nie wydaje dla nich aktualizacji, ponieważ kompleksowe zmiany w architekturze, które byłyby wymagane, mogłyby zagrozić stabilności systemu i spowodować problemy ze zgodnością aplikacji. Zalecamy zaktualizowanie systemu do nowszej wersji, aby korzystać z najnowocześniejszych zabezpieczeń.

Aktualizacje do Windows 10 hololens są dostępne dla klientów HoloLens za pośrednictwem Windows Update.

Po zastosowaniuaktualizacji Zabezpieczenia Windows z lutego 2018 r. klienci urządzeń HoloLens nie muszą podejmować żadnych dodatkowych działań w celu zaktualizowania oprogramowania układowego urządzenia. Te środki łagodzące zostaną również uwzględnione we wszystkich przyszłych wersjach Windows 10 dla urządzenia HoloLens.

Aby uzyskać więcej informacji, skontaktuj się z OEM.

Aby urządzenie było w pełni chronione, należy zainstalować najnowsze aktualizacje zabezpieczeń systemu operacyjnego Windows dla urządzenia oraz aktualizacje mikrokodu od producenta urządzenia. Te aktualizacje powinny być dostępne w witrynie internetowej producenta urządzenia. Najpierw należy zainstalować aktualizacje oprogramowania antywirusowego. Aktualizacje systemu operacyjnego i oprogramowanie układowego można zainstalować w dowolnej kolejności.

Aby rozwiązać ten problem, musisz zaktualizować zarówno sprzęt, jak i oprogramowanie. Aby uzyskać bardziej kompleksową ochronę, musisz również zainstalować aktualizacje oprogramowania układowego (mikrokodu) od producenta urządzenia. Zachęcamy do zabezpieczania urządzeń i instalowania comiesięcznych aktualizacji zabezpieczeń.

W każdej Windows 10 aktualizacji funkcji, tworzymy najnowszą technologię zabezpieczeń głęboko w systemie operacyjnym, zapewniając funkcje dogłębnej obrony, które uniemożliwiają wpływ całych klas złośliwego oprogramowania na urządzenie. Aktualizacje funkcji są wydawane dwa razy w roku. W każdej comiesięcznej aktualizacji jakości dodajemy kolejną warstwę zabezpieczeń, która śledzi pojawiające się i zmieniające trendy w złośliwym oprogramowaniu, aby nadać aktualnym systemom bezpieczeństwo w obliczu zmieniających się i zmieniających się zagrożeń.

Firma Microsoft zniosła sprawdzanie zgodności av dla aktualizacji zabezpieczeń systemu Windows dla obsługiwanych wersji urządzeń z systemem Windows 10, Windows 8.1 i Windows 7 z dodatkiem SP1 za pośrednictwem Windows Update. 

Zalecenia:

• Upewnij się, że twoje urządzenia są aktualne, udostępniając najnowsze aktualizacje zabezpieczeń od firmy Microsoft i producenta sprzętu. Aby uzyskać więcej informacji na temat dbania o aktualność urządzenia, zobacz Windows Update: często zadawane pytania.

• Nadal przećwicz rozsądną ostrożność podczas odwiedzania witryn internetowych o nieznanym pochodzeniu i nie pozostawaj w witrynach, którym nie ufasz. Firma Microsoft zaleca, aby wszyscy klienci chronili swoje urządzenia, uruchamiając obsługiwany program antywirusowy. Klienci mogą również korzystać z wbudowanych narzędzi ochrony antywirusowej: Windows Defender dla urządzeń z systemem Windows 10 lub Microsoft Security Essentials dla urządzeń z systemem Windows 7. Te rozwiązania są zgodne w przypadkach, gdy klienci nie mogą zainstalować ani uruchomić oprogramowania antywirusowego.

Aby uniknąć negatywnego wpływu na urządzenia klientów, aktualizacje zabezpieczeń systemu Windows wydane w styczniu lub lutym nie zostały udostępnione wszystkim klientom. Aby uzyskać szczegółowe informacje, zobacz artykuł z bazy wiedzy Microsoft Knowledge Base 4072699. 

Firma Intel zgłosiła problemy , które dotyczą niedawno wydanego mikrokodu przeznaczonego do rozwiązania problemu Spectre Variant 2 (CVE-2017-5715 – "Iniekcja celu rozgałęzienia"). W szczególności Intel zauważył, że ten mikrokod może powodować "wyższe niż oczekiwano ponowne uruchomienie i inne nieprzewidywalne zachowanie systemu", a także, że takie sytuacje mogą powodować "utratę lub uszkodzenie danych".  Z naszego doświadczenia wynika, że niestabilność systemu może w pewnych okolicznościach powodować utratę lub uszkodzenie danych. 22 stycznia firma Intel zaleciła klientom zaprzestanie wdrażania bieżącej wersji mikrokodu na procesorach, których dotyczy problem, podczas wykonywania dodatkowych testów na zaktualizowanym rozwiązaniu. Rozumiemy, że intel nadal bada potencjalny wpływ bieżącej wersji mikrokodu i zachęcamy klientów do bieżącego przeglądania swoich wskazówek w celu informowania o swoich decyzjach.

Podczas gdy Firma Intel testuje, aktualizuje i wdraża nowy mikrokod, udostępniamy aktualizację pozapasmową (OOB, KB 4078130), która w szczególności wyłącza tylko łagodzenie problemu z CVE-2017-5715 — "Iniekcja celu rozgałęzienia". W naszych testach znaleziono tę aktualizację, aby zapobiec opisanemu zachowaniu. Aby uzyskać pełną listę urządzeń, zobacz Wskazówki firmy Intel dotyczące poprawek mikrokodu. Ta aktualizacja obejmuje systemy Windows 7 (SP1), Windows 8.1 i wszystkie wersje systemu Windows 10 (dla klientów i serwerów). Jeśli korzystasz z urządzenia, na które ma to wpływ, tę aktualizację można zastosować, pobierając ją z witryny internetowej wykazu usługi Microsoft Update. Zastosowanie tego ładunku wyłącza tylko przeciw łagodzeniu CVE-2017-5715 – "Iniekcja celu rozgałęzienia". 

Od 25 stycznia nie ma żadnych znanych doniesień wskazujących, że to Spectre Variant 2 (CVE-2017-5715) zostało użyte do ataku na klientów. Zalecamy, aby w razie potrzeby klienci systemu Windows ponownie włączyli środki łagodzące przed CVE-2017-5715, gdy firma Intel zgłasza, że ten nieprzewidywalny sposób działania systemu został rozwiązany dla Twojego urządzenia.

Nie. Aktualizacje samych zabezpieczeń nie są skumulowane. W zależności od wersji systemu operacyjnego, z którą korzystasz, musisz zainstalować wszystkie wydane aktualizacje samych zabezpieczeń, aby były chronione przed tymi lukami. Jeśli na przykład używasz systemu Windows 7 dla systemów 32-bitowych na procesorze Intel, którego dotyczy problem, musisz zainstalować każdą aktualizację samych zabezpieczeń począwszy od stycznia 2018 r. Zalecamy zainstalowanie tych aktualizacji samych zabezpieczeń w kolejności ich wydania.
 
Uwaga We wcześniejszej wersji tego zestawu często zadawanych pytań błędnie stwierdzono, że aktualizacja samych zabezpieczeń z lutego zawierała poprawki zabezpieczeń wydane w styczniu. W rzeczywistości tak nie jest.

Nie. Aktualizacja zabezpieczeń 4078130 była konkretną poprawką zapobiegającą nieprzewidywalnym zachowaniom systemu, problemom z wydajnością i nieoczekiwanym ponownym uruchomieniom po zainstalowaniu mikrokodu. Zastosowanie lutowych aktualizacji zabezpieczeń w klienckich systemach operacyjnych Windows umożliwia wszystkie trzy środki łagodzące. W systemach operacyjnych Windows Server po wykonaniu odpowiednich testów nadal trzeba włączyć środki łagodzące. Aby uzyskać więcej informacji, zobacz artykuł z bazy wiedzy Microsoft Knowledge Base 4072698 .

AMD ogłosiło niedawno, że zaczęło wydawać mikrokod dla nowszych platform PROCESORA wokół Spectre Variant 2 (CVE-2017-5715 "Iniekcja celu rozgałęzienia"). Aby uzyskać więcej informacji, zobacz Aktualizacje zabezpieczeń AMD i dokument oficjalny amd: wskazówki dotyczące architektury dotyczące pośredniej kontroli gałęzi. Są one dostępne w kanale oprogramowania układowego OEM. 

Intel ogłosił niedawno , że zakończył sprawdzanie poprawności i zaczął wydawać mikrokod dla nowszych platform PROCESORA. Firma Microsoft udostępnia zatwierdzone przez Intel aktualizacje mikrokodu wokół Spectre Variant 2 (CVE-2017-5715 "Iniekcja celu rozgałęzienia"). 4093836 kb zawiera listę określonych artykułów z bazy wiedzy według wersji systemu Windows. Każda aktualizacja KB zawiera dostępne aktualizacje mikrokodu Intel według CPU.

Firma Microsoft udostępnia zatwierdzone przez Intel aktualizacje mikrokodu wokół spectre variant 2 (CVE-2017-5715 "Iniekcja celu rozgałęzienia"). Aby uzyskać najnowsze aktualizacje mikrokodu Intel za pośrednictwem Windows Update, klienci muszą zainstalować mikrokod Intel na urządzeniach z systemem operacyjnym Windows 10 przed uaktualnianiem do aktualizacji Windows 10 kwietnia 2018 (wersja 1803).

Aktualizacja mikrokodu jest również dostępna bezpośrednio z wykazu aktualizacji, jeśli nie została zainstalowana na urządzeniu przed uaktualnianiem systemu. Mikrokod Intel jest dostępny za pośrednictwem Windows Update, WSUS lub wykazu usługi Microsoft Update. Aby uzyskać więcej informacji i pobrać instrukcje, zobacz 4100347 kb.

Aby uzyskać więcej informacji, zobacz następujące zasoby:

• ADV180012 | Wskazówki firmy Microsoft dotyczące speculative Store Bypass dla CVE-2018-3639

• ADV180013 | Wskazówki firmy Microsoft dotyczące nieuczciwych rejestrów systemów przeczytane dla CVE-2018-3640 i KB 4073065 | Wskazówki dla klientów korzystających z urządzeń Surface

• Microsoft Security Research and Defense Blog

• Wskazówki dla deweloperów dotyczące speculative Store Bypass

Aby uzyskać szczegółowe informacje, zobacz sekcje "Zalecane akcje" i "Często zadawane pytania" w ADV180012 | Wskazówki firmy Microsoft dotyczące speculative Store Bypass.

Aby sprawdzić stan SSBD, skrypt Get-SpeculationControlSettings PowerShell został zaktualizowany w celu wykrycia procesorów, których dotyczy problem, stanu aktualizacji systemu operacyjnego SSBD i stanu mikrokodu procesora, jeśli ma to zastosowanie. Aby uzyskać więcej informacji i uzyskać skrypt programu PowerShell, zobacz KB4074629.

13 czerwca 2018 r. ogłoszono i przypisano CVE-2018-3665 dodatkową lukę w zabezpieczeniach polegającą na spekulacyjnym wykonywaniu w kanałach bocznych, znaną jako Lazy FP State Restore. W przypadku narzędzia Lazy Restore FP Restore nie są potrzebne żadne ustawienia konfiguracji (rejestru).

Aby uzyskać więcej informacji na temat tej luki w zabezpieczeniach i zalecanych działań, zobacz Porada dotycząca bezpieczeństwa: ADV180016 | Wskazówki Microsoft dotyczące leniwego przywracania stanu FP

UwagaW przypadku narzędzia Lazy Restore FP Restore nie są potrzebne żadne ustawienia konfiguracji (rejestru).

Bounds Check Bypass Store (BCBS) została ujawniona 10 lipca 2018 i przypisana CVE-2018-3693. Uważamy, że usługi BCBS należą do tej samej klasy luk co obejście sprawdzania granic (wariant 1). Obecnie nie znamy żadnych wystąpień bcbs w naszym oprogramowaniu, ale nadal badamy tę klasę luk i będziemy współpracować z partnerami branżowymi w celu uwolnienia środków łagodzących w razie potrzeby. Nadal zachęcamy naukowców do zgłaszania wszelkich istotnych ustaleń do programu nagród Speculative Execution Side Channel firmy Microsoft, w tym wszelkich możliwych do wykorzystania przypadków BCBS. Deweloperzy oprogramowania powinni zapoznać się ze wskazówkami dla deweloperów, które zostały zaktualizowane dla usługi BCBS w witrynie https://aka.ms/sescdevguide.

14 sierpnia 2018 r. ogłoszono błąd terminalu L1 (L1TF) i przypisano wiele cve. Te nowe spekulacyjne luki w zabezpieczeniach kanału bocznego mogą być używane do odczytywania zawartości pamięci przez zaufaną granicę i, jeśli zostaną wykorzystane, mogą prowadzić do ujawniania informacji. Istnieje wiele wektorów, za pomocą których osoba atakująca może wyzwalać luki w zabezpieczeniach w zależności od skonfigurowanego środowiska. L1TF wpływa na procesory Intel® Core i Intel® Xeon®®.

Aby uzyskać więcej informacji na temat tej luki w zabezpieczeniach oraz szczegółowy widok scenariuszy, na które ma to wpływ, w tym podejście firmy Microsoft do łagodzenia L1TF, zobacz następujące zasoby:

• ADV180018 | Wskazówki firmy Microsoft dotyczące ograniczania wariantu L1TF

• Security Advisory Security Research Blog

• Wskazówki dotyczące serwera dotyczące błędu terminalu L1

Klienci urządzeń Microsoft Surface: Klienci korzystający z urządzenia Microsoft Surface i produktów Surface Book muszą postępować zgodnie ze wskazówkami dotyczącymi klienta systemu Windows opisanymi w poradach dotyczących bezpieczeństwa: ADV180018 | Wskazówki firmy Microsoft dotyczące ograniczania wariantu L1TF. Zobacz też artykuł z bazy wiedzy Microsoft Knowledge Base 4073065 , aby uzyskać więcej informacji na temat produktów Surface, których dotyczy problem, i dostępności aktualizacji mikrokodu.

Klienci urządzenia Microsoft Hololens: Microsoft HoloLens nie ma wpływu na L1TF, ponieważ nie korzysta z procesora Intel, którego dotyczy problem.

Kroki niezbędne do wyłączenia Hyper-Threading różnią się w zależności od producenta OEM i producenta OEM, ale zwykle są częścią narzędzi do konfiguracji i konfiguracji systemu BIOS lub oprogramowania układowego.

Klienci korzystający z 64-bitowych procesorów ARM powinni skontaktować się z producentem OEM urządzenia w celu obsługi oprogramowania układowego, ponieważ zabezpieczenia systemu operacyjnego ARM64, które łagodzą CVE-2017-5715 — iniekcja celu rozgałęzienia (Spectre, wariant 2) wymaga najnowszej aktualizacji oprogramowania układowego od producentów OEM urządzeń, aby zostały zastosowane.

Aby uzyskać szczegółowe informacje na temat tej luki, zobacz Przewodnik po zabezpieczeniach firmy Microsoft: CVE-2019-1125 | Luka w zabezpieczeniach funkcji ujawniania informacji o jądrze systemu Windows.

Nie wiemy o żadnym przypadku tych luk w zabezpieczeniach w zakresie ujawniania informacji wpływających na infrastrukturę usług w chmurze.

Gdy tylko dowiedzieliśmy się o tym problemie, szybko pracowaliśmy nad jego rozwiązaniem i wydaniem aktualizacji. Zdecydowanie wierzymy w ścisłą współpracę zarówno z naukowcami, jak i partnerami branżowymi, aby zapewnić większe bezpieczeństwo klientom, i opublikowaliśmy szczegóły dopiero we wtorek, 6 sierpnia, zgodnie ze skoordynowanymi praktykami ujawniania luk w zabezpieczeniach.