Zmień datę |
Zmień opis |
---|---|
9 sierpnia 2023 r. |
|
9 kwietnia 2024 r. |
|
Podsumowanie
Ten artykuł zawiera informacje i aktualizacje dla nowej klasy mikroarchitektury opartej na układach krzemowych i spekulacyjnych luk w zabezpieczeniach kanału bocznego wykonywania, które wpływają na wiele nowoczesnych procesorów i systemów operacyjnych. Zawiera również pełną listę zasobów dotyczących klientów i serwerów systemu Windows, które pomagają chronić urządzenia w domu, w pracy i w przedsiębiorstwie. Dotyczy to również procesorów Intel, AMD i ARM. Szczegółowe informacje o luce w zabezpieczeniach związane z tymi problemami opartymi na układach krzemowych można znaleźć w następujących poradach dotyczących zabezpieczeń i cve:
-
ADV180012 — Wskazówki firmy Microsoft dotyczące speculative Store Bypass
-
ADV180013 - Wskazówki Microsoft dla Rogue System Register Read
-
ADV180016 — Wskazówki microsoft dotyczące leniwego przywracania stanu FP
-
ADV180018 — Wskazówki firmy Microsoft dotyczące ograniczania wariantu L1TF
3 stycznia 2018 r. firma Microsoft wydała aktualizacje doradcze i zabezpieczeń związane z nowo odkrytą klasą luk w zabezpieczeniach sprzętu (znanych jako Spectre i Meltdown) z udziałem spekulacyjnych kanałów bocznych wykonywania, które wpływają na procesory AMD, ARM i Intel w różnym stopniu. Ta klasa luk w zabezpieczeniach jest oparta na wspólnej architekturze chipów, która pierwotnie została zaprojektowana w celu przyspieszenia komputerów. Więcej informacji o tych lukach można znaleźć w witrynie Google Project Zero.
W dniu 21 maja 2018 r. Google Project Zero (GPZ), Microsoft i Intel ujawniły dwie nowe luki w zabezpieczeniach mikroukładów, które są związane z problemami Spectre i Meltdown i są znane jako Speculative Store Bypass (SSB) i Rogue System Registry Read. Ryzyko klienta związane z obydwoma ujawnieniem jest niskie.
Aby uzyskać więcej informacji o tych lukach w zabezpieczeniach, zobacz zasoby wymienione w sekcji Aktualizacje systemu operacyjnego Windows z maja 2018 r. i zapoznaj się z następującymi poradami dotyczącymi zabezpieczeń:
-
ADV180012 | Wskazówki firmy Microsoft dotyczące speculative Store Bypass
-
ADV180013 | Wskazówki Firmy Microsoft dotyczące odczytu rejestru nieuczciwych systemów
13 czerwca 2018 r. ogłoszono i przypisano CVE-2018-3665 dodatkową lukę w zabezpieczeniach polegającą na spekulacyjnym wykonywaniu w kanałach bocznych, znaną jako Lazy FP State Restore. Aby uzyskać więcej informacji na temat tej luki w zabezpieczeniach i zalecanych działań, zobacz następujące porady dotyczące zabezpieczeń:
14 sierpnia 2018 r. w usłudze L1 Terminal Fault (L1TF) ogłoszono nową lukę spekulacyjną w kanałach bocznych wykonywania, która ma wiele CVE. L1TF wpływa na procesory Intel® Core i Intel® Xeon®®. Aby uzyskać więcej informacji na temat funkcji L1TF i zalecanych działań, zobacz poradę dotyczącą zabezpieczeń:
Uwaga: Zalecamy zainstalowanie wszystkich najnowszych aktualizacji z Windows Update przed zainstalowaniem jakichkolwiek aktualizacji mikrokodu.
W dniu 14 maja 2019 r. firma Intel opublikowała informacje o nowej podklasie luk specjalizacyjnych dotyczących wykonywania w kanałach bocznych znanych pod nazwą Próbkowanie danych mikroarchitektury. Przypisano im następujące CVE:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Próbkowanie danych buforowych magazynu mikroarchitektury (MSBDS)"
-
CVE-2018-12127 – "Próbkowanie danych buforu wypełniania mikroarchitektycznego (MFBDS)"
-
CVE-2018-12130 – "Próbkowanie danych portów obciążenia mikroarchitekuralnego (MLPDS)"
Ważne: Te problemy będą miały wpływ na inne systemy, takie jak Android, Chrome, iOS i MacOS. Zalecamy klientom uzyskanie wskazówek od odpowiednich dostawców.
Firma Microsoft wydała aktualizacje, które pomogą ograniczyć te luki w zabezpieczeniach. Aby uzyskać wszystkie dostępne zabezpieczenia, wymagane są aktualizacje oprogramowania układowego (mikrokodu) i oprogramowania. Mogą to być mikrokod od OEM urządzeń. W niektórych przypadkach zainstalowanie tych aktualizacji będzie miało wpływ na wydajność. Podjęliśmy również działania w celu zabezpieczenia naszych usług w chmurze.
Uwaga: Zalecamy zainstalowanie wszystkich najnowszych aktualizacji z Windows Update przed zainstalowaniem aktualizacji mikrokodu.
Aby uzyskać więcej informacji o tych problemach i zalecanych działaniach, zobacz następujące porady dotyczące zabezpieczeń:
6 sierpnia 2019 r. firma Intel opublikowała szczegółowe informacje o luce w ujawnianiu informacji o jądrze systemu Windows. Ta luka jest wariantem luk spekulacyjnych w zabezpieczeniach kanału bocznego wykonywania Spectre Variant 1 i została przypisana DO CVE-2019-1125.
9 lipca 2019 r. firma Microsoft wydała aktualizację zabezpieczeń dla systemu operacyjnego Windows, aby zminimalizować ten problem. Klienci, którzy włączyli Windows Update i zastosowali aktualizacje zabezpieczeń wydane 9 lipca 2019 r., są chronieni automatycznie. Należy pamiętać, że ta luka nie wymaga aktualizacji mikrokodu od producenta urządzenia (OEM).
Aby uzyskać więcej informacji na temat tej luki w zabezpieczeniach i odpowiednich aktualizacji, zobacz CVE-2019-1125 | Luka w zabezpieczeniach funkcji Ujawnianie informacji o jądrze systemu Windows w przewodniku aktualizacji zabezpieczeń firmy Microsoft.
W dniu 14 czerwca 2022 r. firma Intel opublikowała informacje o nowej podklasie spekulacyjnych luk w zabezpieczeniach kanałów bocznych z zamapowanymi we/wy (MMIO), które są wymienione w poradach:
Kroki pomagające chronić urządzenia z systemem Windows
W celu wyeliminowania tych luk w zabezpieczeniach może być konieczne zaktualizowanie zarówno oprogramowania układowego (mikrokodu), jak i oprogramowania. Zalecane działania można znaleźć w poradach firmy Microsoft dotyczących zabezpieczeń. Obejmuje to aktualizacje oprogramowania układowego (mikrokodu) od producentów urządzeń oraz, w niektórych przypadkach, aktualizacje oprogramowania antywirusowego. Zachęcamy do zabezpieczania urządzeń i instalowania comiesięcznych aktualizacji zabezpieczeń.
Aby uzyskać wszystkie dostępne zabezpieczenia, wykonaj poniższe czynności, aby uzyskać najnowsze aktualizacje zarówno dla oprogramowania, jak i sprzętu.
Uwaga: Przed rozpoczęciem upewnij się, że oprogramowanie antywirusowe (AV) jest aktualne i zgodne. Aby sprawdzić informacje na temat oprogramowania antywirusowego, którego używasz, zajrzyj do witryny jego producenta w celu znalezienia najnowszych danych o zgodności.
-
Dbaj o aktualność urządzenia z systemem Windows , włączając aktualizacje automatyczne.
-
Sprawdź, czy masz zainstalowaną najnowszą aktualizację zabezpieczeń systemu Windows. Jeśli aktualizacje automatyczne są włączone, aktualizacje powinny być automatycznie dostarczane do Ciebie. Jednak nadal należy sprawdzić, czy są one zainstalowane. Aby uzyskać instrukcje, zobacz Windows Update: często zadawane pytania
-
Zainstaluj aktualizacje oprogramowania układowego (mikrokodu) od producenta urządzenia. Wszyscy klienci będą musieli skontaktować się z producentem urządzenia, aby pobrać i zainstalować aktualizację sprzętu dla danego urządzenia. Listę witryn internetowych producentów urządzeń można znaleźć w sekcji "Dodatkowe zasoby".
Uwaga: Klienci powinni zainstalować najnowsze aktualizacje zabezpieczeń systemu operacyjnego Windows firmy Microsoft, aby móc korzystać z dostępnych zabezpieczeń. Najpierw należy zainstalować aktualizacje oprogramowania antywirusowego. Potem należy zainstalować aktualizacje systemu operacyjnego i oprogramowania układowego. Zachęcamy do zabezpieczania urządzeń i instalowania comiesięcznych aktualizacji zabezpieczeń.
Dotyczy to mikroukładów produkowanych przez Firmy Intel, AMD i ARM. Oznacza to, że potencjalnie narażone są wszystkie urządzenia z systemami operacyjnymi Windows. Dotyczy to komputerów stacjonarnych, laptopów, serwerów w chmurze i smartfonów. Dotyczy to również urządzeń z innymi systemami operacyjnymi, takimi jak Android, Chrome, iOS i macOS. Zalecamy klientom, którzy korzystają z tych systemów operacyjnych, uzyskanie wskazówek od tych dostawców.
W momencie publikacji nie otrzymaliśmy żadnych informacji wskazujących, że te luki zostały wykorzystane do ataku na klientów.
Począwszy od stycznia 2018 r. firma Microsoft wydała aktualizacje dla systemów operacyjnych Windows oraz przeglądarek internetowych Internet Explorer i Edge, aby pomóc ograniczyć te luki w zabezpieczeniach i pomóc chronić klientów. Ponadto opublikowaliśmy aktualizacje w celu zabezpieczenia naszych usług w chmurze. Kontynuujemy ścisłą współpracę z partnerami branżowymi, w tym producentami chipów, producentami sprzętu OEM i producentami aplikacji, w celu ochrony klientów przed tą klasą luk w zabezpieczeniach.
Zachęcamy do instalowania comiesięcznych aktualizacji, aby zapewnić aktualność i bezpieczeństwo urządzeń.
Zaktualizujemy tę dokumentację, gdy będą dostępne nowe środki łagodzące i zalecamy regularne odwiedzanie tego miejsca.
Aktualizacje systemu operacyjnego Windows z lipca 2019 r.
W dniu 6 sierpnia 2019 r. firma Intel ujawniła szczegóły dotyczące luki w zabezpieczeniach CVE-2019-1125 | Luka w zabezpieczeniach funkcji ujawniania informacji o jądrze systemu Windows. Aktualizacje zabezpieczeń dla tej luki zostały wydane w ramach miesięcznej aktualizacji z lipca 9 lipca 2019 r.
9 lipca 2019 r. firma Microsoft wydała aktualizację zabezpieczeń dla systemu operacyjnego Windows, aby zminimalizować ten problem. Wstrzymaliśmy publiczne dokumentowanie tego łagodzenia do czasu ujawnienia skoordynowanej branży we wtorek, 6 sierpnia 2019 r.
Klienci, którzy włączyli Windows Update i zastosowali aktualizacje zabezpieczeń wydane 9 lipca 2019 r., są chronieni automatycznie. Należy pamiętać, że ta luka nie wymaga aktualizacji mikrokodu od producenta urządzenia (OEM).
Aktualizacje systemu operacyjnego Windows z maja 2019 r.
W dniu 14 maja 2019 r. firma Intel opublikowała informacje na temat nowej podklasy luk spekulacyjnych dotyczących wykonywania w kanałach bocznych znanych jako próbkowanie danych mikroarchitektury i przypisano do nich następujące CVE:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Próbkowanie danych buforowych magazynu mikroarchitektury (MSBDS)"
-
CVE-2018-12127 – "Próbkowanie danych buforu wypełniania mikroarchitektycznego (MFBDS)"
-
CVE-2018-12130 – "Próbkowanie danych portów obciążenia mikroarchitekuralnego (MLPDS)"
Aby uzyskać więcej informacji na temat tego problemu, zobacz poniższe porady dotyczące zabezpieczeń i skorzystaj ze wskazówek opartych na scenariuszach opisanych w artykułach Dotyczących systemu Windows dotyczących klientów i serwerów w celu określenia działań niezbędnych do ograniczenia zagrożenia:
Firma Microsoft wydała zabezpieczenia przed nową podklasą luk specjalizować wykonywanie w kanałach bocznych znanych jako Próbkowanie danych mikroarchitektury dla wersji 64-bitowych (x64) systemu Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).
Użyj ustawień rejestru zgodnie z opisem w artykułach Klient systemu Windows (KB4073119) i Windows Server (KB4457951 ). Te ustawienia rejestru są domyślnie włączone dla wersji klienckich systemu operacyjnego Windows i systemów operacyjnych Windows Server.
Zalecamy uprzednie zainstalowanie wszystkich najnowszych aktualizacji z Windows Update przed zainstalowaniem jakichkolwiek aktualizacji mikrokodu.
Aby uzyskać więcej informacji o tym problemie i zalecane działania, zobacz następujące porady dotyczące zabezpieczeń:
Firma Intel wydała aktualizację mikrokodu dla najnowszych platform procesorów, aby pomóc złagodzić CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. 14 maja 2019 r. 4093836 BAZY WIEDZY systemu Windows zawiera szczegółowe artykuły z bazy wiedzy według wersji systemu operacyjnego Windows. Ten artykuł zawiera również linki do dostępnych aktualizacji mikrokodu Intel według procesora CPU. Te aktualizacje są dostępne za pośrednictwem wykazu firmy Microsoft.
Uwaga: Zalecamy zainstalowanie wszystkich najnowszych aktualizacji z Windows Update przed zainstalowaniem jakichkolwiek aktualizacji mikrokodu.
Z przyjemnością informujemy, że funkcja Retpoline jest domyślnie włączona na Windows 10, wersja 1809 urządzeniach (dla klientów i serwerów), jeśli włączono spectre variant 2 (CVE-2017-5715). Włączając Retpoline w najnowszej wersji Windows 10, za pośrednictwem aktualizacji z 14 maja 2019 r. (KB 4494441) przewidujemy zwiększoną wydajność, szczególnie w przypadku starszych procesorów.
Klienci powinni upewnić się, że poprzednie zabezpieczenia systemu operacyjnego przed luką Spectre Variant 2 są włączone przy użyciu ustawień rejestru opisanych w artykułach Klient systemu Windows i Windows Server . (Te ustawienia rejestru są domyślnie włączone dla wersji klienckich systemu operacyjnego Windows, ale domyślnie wyłączone w przypadku systemów operacyjnych Windows Server). Aby uzyskać więcej informacji na temat "Retpoline", zobacz Mitigating Spectre variant 2 with Retpoline on Windows.
Aktualizacje systemu operacyjnego Windows z listopada 2018 r.
Firma Microsoft wydała zabezpieczenia systemu operacyjnego dla speculative Store Bypass (CVE-2018-3639) dla procesorów AMD.
Firma Microsoft wydała dodatkowe zabezpieczenia systemu operacyjnego dla klientów korzystających z 64-bitowych procesorów ARM. Skontaktuj się z producentem OEM urządzenia, aby uzyskać pomoc techniczną dla oprogramowania układowego, ponieważ zabezpieczenia systemu operacyjnego ARM64, które łagodzą CVE-2018-3639 speculative Store Bypass, wymagają najnowszej aktualizacji oprogramowania układowego od producenta OEM urządzenia.
Aktualizacje systemu operacyjnego Windows z września 2018 r.
11 września 2018 r. Firma Microsoft wydała comiesięczny pakiet zbiorczy aktualizacji systemu Windows Server 2008 z dodatkiem SP2 4458010 i samych zabezpieczeń 4457984 dla systemu Windows Server 2008, które zapewniają ochronę przed nową luką spekulacyjną w kanałach bocznych znaną jako L1 Terminal Fault (L1TF) wpływającą na procesory Intel® Core® i procesory Intel® Xeon® (CVE-2018-3620 i CVE-2018-3646).
Ta wersja zapewnia dodatkowe zabezpieczenia we wszystkich obsługiwanych wersjach systemu Windows za pośrednictwem Windows Update. Aby uzyskać więcej informacji oraz listę produktów, na które ma to wpływ, zobacz ADV180018 | Wskazówki firmy Microsoft dotyczące ograniczania wariantu L1TF.
Uwaga: System Windows Server 2008 z dodatek SP2 jest teraz zgodny ze standardowym modelem pakietu zbiorczego aktualizacji obsługi systemu Windows. Aby uzyskać więcej informacji na temat tych zmian, zobacz nasz blog Zmiany w obsłudze systemu Windows Server 2008 z systemem SP2. Klienci z systemem Windows Server 2008 powinni zainstalować system 4458010 lub 4457984 oprócz aktualizacji zabezpieczeń 4341832, która została wydana 14 sierpnia 2018 r. Klienci powinni również upewnić się, że poprzednie zabezpieczenia systemu operacyjnego przed lukami Spectre Variant 2 i Meltdown są włączone przy użyciu ustawień rejestru opisanych w artykułach bazy wiedzy Klient systemu Windows i Windows Server . Te ustawienia rejestru są domyślnie włączone w przypadku wersji klienckich systemu operacyjnego Windows, ale są domyślnie wyłączone w przypadku systemów operacyjnych Windows Server.
Firma Microsoft wydała dodatkowe zabezpieczenia systemu operacyjnego dla klientów korzystających z 64-bitowych procesorów ARM. Skontaktuj się z producentem OEM urządzenia, aby uzyskać pomoc techniczną dla oprogramowania układowego, ponieważ zabezpieczenia systemu operacyjnego ARM64, które łagodzą CVE-2017-5715 — iniekcja celu rozgałęzienia (Spectre, wariant 2) wymaga najnowszej aktualizacji oprogramowania układowego od producentów OEM urządzenia, aby zostały zastosowane.
Aktualizacje systemu operacyjnego Windows z sierpnia 2018 r.
14 sierpnia 2018 r. ogłoszono błąd terminalu L1 (L1TF) i przypisano wiele cve. Te nowe spekulacyjne luki w zabezpieczeniach kanału bocznego mogą być używane do odczytywania zawartości pamięci przez zaufaną granicę i, jeśli zostaną wykorzystane, mogą prowadzić do ujawniania informacji. Istnieje wiele wektorów, za pomocą których osoba atakująca może wyzwalać luki w zabezpieczeniach w zależności od skonfigurowanego środowiska. L1TF wpływa na procesory Intel® Core i Intel® Xeon®®.
Aby uzyskać więcej informacji na temat funkcji L1TF oraz szczegółowy widok scenariuszy, których dotyczy problem, w tym podejście firmy Microsoft do łagodzenia L1TF, zobacz następujące zasoby:
Aktualizacje systemu operacyjnego Windows z lipca 2018 r.
Z przyjemnością informujemy, że firma Microsoft zakończyła wydawanie dodatkowych zabezpieczeń we wszystkich obsługiwanych wersjach systemu Windows poprzez Windows Update następujących luk w zabezpieczeniach:
-
Spectre Variant 2 dla procesorów AMD
-
Speculative Store Bypass dla procesorów Intel
13 czerwca 2018 r. ogłoszono i przypisano CVE-2018-3665 dodatkową lukę w zabezpieczeniach polegającą na spekulacyjnym wykonywaniu w kanałach bocznych, znaną jako Lazy FP State Restore. W przypadku narzędzia Lazy Restore FP Restore nie są potrzebne żadne ustawienia konfiguracji (rejestru).
Aby uzyskać więcej informacji na temat tej luki w zabezpieczeniach, produktów, na które ma to wpływ, i zalecanych działań, zobacz poniższe porady dotyczące zabezpieczeń:
12 czerwca firma Microsoft ogłosiła obsługę speculative Store Bypass Disable (SSBD) w procesorach Intel. Aktualizacje wymagają odpowiedniego oprogramowania układowego (mikrokodu) i aktualizacji rejestru dla funkcjonalności. Aby uzyskać informacje o aktualizacjach i procedurach, które należy zastosować w celu włączenia funkcji SSBD, zobacz sekcję "Zalecane akcje" w ADV180012 | Wskazówki firmy Microsoft dotyczące speculative Store Bypass.
Aktualizacje systemu operacyjnego Windows z maja 2018 r.
W styczniu 2018 r. firma Microsoft opublikowała informacje o nowo odkrytej klasie luk w zabezpieczeniach sprzętu (znanych pod nazwami Spectre i Meltdown), które obejmują spekulacyjne kanały boczne wykonywania wpływające na procesory AMD, ARM i Intel w różnym stopniu. W dniu 21 maja 2018 r. google Project Zero (GPZ) firmy Microsoft i Intel ujawniły dwie nowe luki w zabezpieczeniach mikroukładów związane z problemami spectre i meltdown, które są znane jako Speculative Store Bypass (SSB) i Rogue System Registry Read.
Ryzyko klienta związane z obydwoma ujawnieniem jest niskie.
Aby uzyskać więcej informacji o tych lukach w zabezpieczeniach, zobacz następujące zasoby:
-
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 i CVE-2018-3639
-
Microsoft Security Advisory for Rogue System Register Read: MSRC ADV180013i CVE-2018-3640
-
Badania i obrona bezpieczeństwa: Analiza i łagodzenie speculative obejście sklepu (CVE-2018-3639)
Dotyczy: Windows 10, wersja 1607, Windows Server 2016, Windows Server 2016 (instalacja Server Core) i Windows Server, wersja 1709 (instalacja Server Core)
Zapewniliśmy obsługę kontrolowania użycia Indirect Branch Prediction Barrier (IBPB) w niektórych procesorach AMD w celu łagodzenia CVE-2017-5715 Spectre Variant 2 po przełączeniu z kontekstu użytkownika na kontekst jądra. (Aby uzyskać więcej informacji, zobacz Wskazówki dotyczące architektury AMD dotyczące pośredniej kontroli gałęzi i Aktualizacje zabezpieczeń AMD).
Klienci, którzy korzystają z Windows 10, wersja 1607, Windows Server 2016, Windows Server 2016 (instalacja Server Core) i Windows Server w wersji 1709 (instalacja Server Core) muszą zainstalować 4103723 aktualizacji zabezpieczeń, aby dodatkowe środki łagodzące dla procesorów AMD dla CVE-2017-5715, iniekcja celu rozgałęzienia. Ta aktualizacja jest również dostępna za pośrednictwem Windows Update.
Postępuj zgodnie z instrukcjami opisanymi w artykule KB 4073119 dla klientów systemu Windows (informatyków) i 4072698 KB dla systemu Windows Server w celu włączenia używania IBPB w niektórych procesorach AMD w celu łagodzenia Spectre Variant 2 po przełączeniu z kontekstu użytkownika na kontekst jądra.
Firma Microsoft udostępnia zatwierdzone przez Intel aktualizacje mikrokodu wokół spectre variant 2 (CVE-2017-5715 "Iniekcja celu rozgałęzienia"). Aby uzyskać najnowsze aktualizacje mikrokodu Intel za pośrednictwem Windows Update, klienci muszą zainstalować mikrokod Intel na urządzeniach z systemem operacyjnym Windows 10 przed uaktualnianiem do aktualizacji Windows 10 kwietnia 2018 (wersja 1803).
Aktualizacja mikrokodu jest również dostępna bezpośrednio z wykazu usług, jeśli została zainstalowana na urządzeniu przed uaktualnieniem systemu operacyjnego. Mikrokod Intel jest dostępny za pośrednictwem Windows Update, WSUS lub wykazu usługi Microsoft Update. Aby uzyskać więcej informacji i pobrać instrukcje, zobacz 4100347 kb.
Będziemy oferować dodatkowe aktualizacje mikrokodu firmy Intel dla systemu operacyjnego Windows, gdy staną się one dostępne dla firmy Microsoft.
Dotyczy: Windows 10 w wersji 1709
Zapewniliśmy obsługę kontrolowania użycia Indirect Branch Prediction Barrier (IBPB) w niektórych procesorach AMD w celu łagodzenia CVE-2017-5715 Spectre Variant 2 po przełączeniu z kontekstu użytkownika na kontekst jądra. (Aby uzyskać więcej informacji, zobacz Wskazówki dotyczące architektury AMD dotyczące pośredniej kontroli gałęzi i Aktualizacje zabezpieczeń AMD). Postępuj zgodnie z instrukcjami opisanymi w 4073119 KB dla klientów systemu Windows (informatyków), aby włączyć używanie IBPB w niektórych procesorach AMD w celu łagodzenia spectre variant 2 po przełączeniu z kontekstu użytkownika na kontekst jądra.
Firma Microsoft udostępnia zatwierdzone przez Intel aktualizacje mikrokodu wokół Spectre Variant 2 (CVE-2017-5715 "Iniekcja celu rozgałęzienia"). KB4093836 zawiera listę konkretnych artykułów z bazy wiedzy według wersji systemu Windows. Każda określona aktualizacja KB zawiera najnowsze dostępne aktualizacje mikrokodu Intel według procesora CPU.
Będziemy oferować dodatkowe aktualizacje mikrokodu firmy Intel dla systemu operacyjnego Windows, gdy staną się one dostępne dla firmy Microsoft.
Marzec 2018 i nowsze aktualizacje systemu operacyjnego Windows
23 marca, TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown w systemie Windows
14 marca, Security Tech Center: Speculative Execution Side Channel Bounty Warunki programu
Blog z 1 marca: Aktualizacje zabezpieczeń Spectre i Meltdown dla urządzeń z systemem Windows
Począwszy od marca 2018 r. firma Microsoft wydała aktualizacje zabezpieczeń, aby zapewnić środki łagodzące dla urządzeń z następującymi systemami operacyjnymi Windows opartymi na procesorach x86. Klienci powinni zainstalować najnowsze aktualizacje zabezpieczeń systemu operacyjnego Windows, aby korzystać z dostępnych zabezpieczeń. Pracujemy nad zapewnieniem ochrony dla innych obsługiwanych wersji systemu Windows, ale obecnie nie mamy harmonogramu udostępniania. Zajrzyj tu ponownie, aby uzyskać aktualizacje. Aby uzyskać więcej informacji, zobacz powiązany artykuł z bazy wiedzy Knowledge Base, aby uzyskać szczegółowe informacje techniczne i sekcję "Często zadawane pytania".
Opublikowano aktualizację produktu |
Status |
Data wydania |
Kanał udostępniania |
KB |
Windows 8.1 & Windows Server 2012 R2 — aktualizacja samych zabezpieczeń |
Wydana |
13 marca o godz. |
WSUS, Catalog, |
|
Windows 7 z dodatkiem SP1 & Windows Server 2008 R2 z dodatkiem SP1 — tylko aktualizacja zabezpieczeń |
Wydana |
13 marca o godz. |
WSUS, Catalog |
|
Windows Server 2012 — aktualizacja samych zabezpieczeń Windows 8 embedded standard edition — aktualizacja samych zabezpieczeń |
Wydana |
13 marca o godz. |
WSUS, Catalog |
|
Windows 8.1 & Windows Server 2012 R2 — miesięczny pakiet zbiorczy aktualizacji |
Wydana |
13 marca o godz. |
WU, WSUS, Catalog |
|
Windows 7 z dodatkiem SP1 & Windows Server 2008 R2 z dodatkiem SP1 — comiesięczny pakiet zbiorczy aktualizacji |
Wydana |
13 marca o godz. |
WU, WSUS, Catalog |
|
Windows Server 2012 — comiesięczny pakiet zbiorczy aktualizacji Windows 8 Embedded Standard Edition — comiesięczny pakiet zbiorczy aktualizacji |
Wydana |
13 marca o godz. |
WU, WSUS, Catalog |
|
Windows Server 2008 z dodatkiem SP2 |
Wydana |
13 marca o godz. |
WU, WSUS, Catalog |
Począwszy od marca 2018 r. firma Microsoft wydała aktualizacje zabezpieczeń, aby zapewnić środki łagodzące dla urządzeń z następującymi systemami operacyjnymi Windows opartymi na procesorach x64. Klienci powinni zainstalować najnowsze aktualizacje zabezpieczeń systemu operacyjnego Windows, aby korzystać z dostępnych zabezpieczeń. Pracujemy nad zapewnieniem ochrony dla innych obsługiwanych wersji systemu Windows, ale obecnie nie mamy harmonogramu udostępniania. Zajrzyj tu ponownie, aby uzyskać aktualizacje. Aby uzyskać więcej informacji, zobacz powiązany artykuł baza wiedzy, aby uzyskać szczegółowe informacje techniczne i sekcję "Często zadawane pytania".
Opublikowano aktualizację produktu |
Status |
Data wydania |
Kanał udostępniania |
KB |
Windows Server 2012 — aktualizacja samych zabezpieczeń Windows 8 embedded standard edition — aktualizacja samych zabezpieczeń |
Wydana |
13 marca o godz. |
WSUS, Catalog |
|
Windows Server 2012 — comiesięczny pakiet zbiorczy aktualizacji Windows 8 Embedded Standard Edition — comiesięczny pakiet zbiorczy aktualizacji |
Wydana |
13 marca o godz. |
WU, WSUS, Catalog |
|
Windows Server 2008 z dodatkiem SP2 |
Wydana |
13 marca o godz. |
WU, WSUS, Catalog |
Ta aktualizacja usuwa lukę w zabezpieczeniach jądra systemu Windows w wersji 64-bitowej (x64) systemu Windows. Tę lukę w zabezpieczeniach opisano w cve-2018-1038. Użytkownicy muszą zastosować tę aktualizację, aby zapewnić pełną ochronę przed tą luką w zabezpieczeniach, jeśli ich komputery zostały zaktualizowane w styczniu 2018 r. lub później, stosując dowolne aktualizacje wymienione w następującym artykule z bazy wiedzy Knowledge Base:
Ta aktualizacja zabezpieczeń usuwa kilka zgłoszonych luk w zabezpieczeniach programu Internet Explorer. Aby dowiedzieć się więcej o tych lukach, zobacz Typowe luki w zabezpieczeniach i narażenia firmy Microsoft.
Opublikowano aktualizację produktu |
Status |
Data wydania |
Kanał udostępniania |
KB |
Internet Explorer 10 — aktualizacja zbiorcza dla Windows 8 Embedded Standard Edition |
Wydana |
13 marca o godz. |
WU, WSUS, Catalog |
Aktualizacje systemu operacyjnego Windows z lutego 2018 r.
Blog: Usługa Windows Analytics pomaga teraz oceniać zabezpieczenia przed atakami Spectre i Meltdown
Poniższe aktualizacje zabezpieczeń zapewniają dodatkowe zabezpieczenia dla urządzeń z 32-bitowymi (x86) systemami operacyjnymi Windows. Firma Microsoft zaleca klientom zainstalowanie aktualizacji zaraz po jej udostępnieniu. Nadal pracujemy nad zapewnieniem ochrony innych obsługiwanych wersji systemu Windows, ale obecnie nie mamy harmonogramu wersji. Zajrzyj tu ponownie, aby uzyskać aktualizacje.
Uwaga Windows 10 comiesięczne aktualizacje zabezpieczeń są skumulowane z miesiąca na miesiąc i są automatycznie pobierane i instalowane z Windows Update. Jeśli zainstalowano wcześniejsze aktualizacje, tylko nowe części zostaną pobrane i zainstalowane na urządzeniu. Aby uzyskać więcej informacji, zobacz powiązany artykuł z bazy wiedzy Knowledge Base, aby uzyskać szczegółowe informacje techniczne i sekcję "Często zadawane pytania".
Opublikowano aktualizację produktu |
Status |
Data wydania |
Kanał udostępniania |
KB |
Windows 10 — wersja 1709 / Windows Server 2016 (1709) / IoT Core — aktualizacja dotycząca jakości |
Wydana |
31 sty |
WU, Catalog |
|
Windows Server 2016 (1709) — kontener systemu Server |
Wydana |
13-lut |
Docker Hub |
|
Windows 10 — wersja 1703 / IoT Core — aktualizacja dotycząca jakości |
Wydana |
13-lut |
WU, WSUS, Catalog |
|
Windows 10 — wersja 1607 / Windows Server 2016 / IoT Core — aktualizacja dotycząca jakości |
Wydana |
13-lut |
WU, WSUS, Catalog |
|
Windows 10 HoloLens — Aktualizacje systemu operacyjnego i oprogramowania układowego |
Wydana |
13-lut |
WU, Catalog |
|
Windows Server 2016 (1607) — obrazy kontenera |
Wydana |
13-lut |
Docker Hub |
|
Windows 10 — wersja 1511 / IoT Core — aktualizacja dotycząca jakości |
Wydana |
13-lut |
WU, WSUS, Catalog |
|
Windows 10 — wersja RTM — aktualizacja dotycząca jakości |
Wydana |
13-lut |
WU, WSUS, Catalog |
Aktualizacje systemu operacyjnego Windows ze stycznia 2018 r.
Blog: Opis wpływu środków zaradczych Spectre i Meltdown na systemy Windows
Począwszy od stycznia 2018 r. firma Microsoft wydała aktualizacje zabezpieczeń, aby zapewnić środki łagodzące dla urządzeń z następującymi systemami operacyjnymi Windows opartymi na procesorach x64. Klienci powinni zainstalować najnowsze aktualizacje zabezpieczeń systemu operacyjnego Windows, aby korzystać z dostępnych zabezpieczeń. Pracujemy nad zapewnieniem ochrony dla innych obsługiwanych wersji systemu Windows, ale obecnie nie mamy harmonogramu udostępniania. Zajrzyj tu ponownie, aby uzyskać aktualizacje. Aby uzyskać więcej informacji, zobacz powiązany artykuł z bazy wiedzy Knowledge Base, aby uzyskać szczegółowe informacje techniczne i sekcję "Często zadawane pytania".
Opublikowano aktualizację produktu |
Status |
Data wydania |
Kanał udostępniania |
KB |
Windows 10 — wersja 1709 / Windows Server 2016 (1709) / IoT Core — aktualizacja dotycząca jakości |
Wydana |
3-sty |
WU, WSUS, Wykaz, Azure Image Gallery |
|
Windows Server 2016 (1709) — kontener systemu Server |
Wydana |
5-sty |
Docker Hub |
|
Windows 10 — wersja 1703 / IoT Core — aktualizacja dotycząca jakości |
Wydana |
3-sty |
WU, WSUS, Catalog |
|
Windows 10 — wersja 1607 / Windows Server 2016 / IoT Core — aktualizacja dotycząca jakości |
Wydana |
3-sty |
WU, WSUS, Catalog |
|
Windows Server 2016 (1607) — obrazy kontenera |
Wydana |
4-sty |
Docker Hub |
|
Windows 10 — wersja 1511 / IoT Core — aktualizacja dotycząca jakości |
Wydana |
3-sty |
WU, WSUS, Catalog |
|
Windows 10 — wersja RTM — aktualizacja dotycząca jakości |
Wydana |
3-sty |
WU, WSUS, Catalog |
|
Windows 10 Mobile (wersja 15254.192) — ARM |
Wydana |
5-sty |
WU, Catalog |
|
Windows 10 Mobile (wersja 15063.850) |
Wydana |
5-sty |
WU, Catalog |
|
Windows 10 Mobile (wersja 14393.2007) |
Wydana |
5-sty |
WU, Catalog |
|
Windows 10 HoloLens |
Wydana |
5-sty |
WU, Catalog |
|
Windows 8.1 / Windows Server 2012 R2 — aktualizacja samych zabezpieczeń |
Wydana |
3-sty |
WSUS, Catalog |
|
Windows Embedded 8.1 Industry Enterprise |
Wydana |
3-sty |
WSUS, Catalog |
|
Windows Embedded 8.1 Industry Pro |
Wydana |
3-sty |
WSUS, Catalog |
|
Windows Embedded 8.1 Pro |
Wydana |
3-sty |
WSUS, Catalog |
|
Windows 8.1 / Windows Server 2012 R2 Miesięczny pakiet zbiorczy aktualizacji |
Wydana |
8-sty |
WU, WSUS, Catalog |
|
Windows Embedded 8.1 Industry Enterprise |
Wydana |
8-sty |
WU, WSUS, Catalog |
|
Windows Embedded 8.1 Industry Pro |
Wydana |
8-sty |
WU, WSUS, Catalog |
|
Windows Embedded 8.1 Pro |
Wydana |
8-sty |
WU, WSUS, Catalog |
|
Windows Server 2012 Tylko zabezpieczenia |
Wydana |
WSUS, Catalog |
||
Windows Server 2008 z dodatkiem SP2 |
Wydana |
WU, WSUS, Catalog |
||
Windows Server 2012 R2 Miesięczny pakiet zbiorczy aktualizacji |
Wydana |
WU, WSUS, Catalog |
||
Windows Embedded 8 Standard |
Wydana |
WU, WSUS, Catalog |
||
Windows 7 SP1 / Windows Server 2008 R2 z dodatkiem SP1 — aktualizacja samych zabezpieczeń |
Wydana |
3-sty |
WSUS, Catalog |
|
Windows Embedded Standard 7 |
Wydana |
3-sty |
WSUS, Catalog |
|
Windows Embedded POSReady 7 |
Wydana |
3-sty |
WSUS, Catalog |
|
Windows Thin PC |
Wydana |
3-sty |
WSUS, Catalog |
|
Windows 7 P1 / Windows Server 2008 R2 z dodatkiem SP1 Miesięczny pakiet zbiorczy aktualizacji |
Wydana |
4-sty |
WU, WSUS, Catalog |
|
Windows Embedded Standard 7 |
Wydana |
4-sty |
WU, WSUS, Catalog |
|
Windows Embedded POSReady 7 |
Wydana |
4-sty |
WU, WSUS, Catalog |
|
Windows Thin PC |
Wydana |
4-sty |
WU, WSUS, Catalog |
|
Internet Explorer 11— aktualizacja zbiorcza dla Windows 7 SP1 i Windows 8.1 |
Wydana |
3-sty |
WU, WSUS, Catalog |
W dniu 9 kwietnia 2024 r. opublikowaliśmy CVE-2022-0001 | Iniekcja historii rozgałęzień Firmy Intel , która opisuje iniekcję historii gałęzi (BHI), która jest określoną formą bti trybu wewnątrz trybu. Ta luka występuje, gdy osoba atakująca może manipulować historią gałęzi przed przejściem z użytkownika do trybu nadzoru (lub z VMX non-root/guest do trybu głównego). Ta manipulacja może spowodować, że pośredni predyktor gałęzi wybierze określony wpis predyktora dla gałęzi pośredniej, a gadżet ujawniania w przewidywanym celu będzie przejściowo wykonywany. Może to być możliwe, ponieważ odpowiednia historia gałęzi może zawierać gałęzie wykonane w poprzednich kontekstach zabezpieczeń, a w szczególności w innych trybach predyktora.
Postępuj zgodnie z instrukcjami opisanymi w KB4073119 dla klientów systemu Windows (informatyków) i KB4072698 wskazówek dotyczących systemu Windows Server w celu ograniczenia luk opisanych w cve-2022-0001 | Iniekcja historii gałęzi firmy Intel.
Zasoby i wskazówki techniczne
W zależności od roli użytkownika poniższe artykuły pomocy technicznej mogą pomóc w identyfikowaniu i ograniczaniu środowisk klientów i serwerów, na które mają wpływ luki Spectre i Meltdown.
Porada firmy Microsoft dotycząca zabezpieczeń dla błędu terminalu L1 (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 i CVE-2018-3646
Badania i obrona bezpieczeństwa: Analiza i łagodzenie speculative obejście sklepu (CVE-2018-3639)
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 i CVE-2018-3639
Microsoft Security Advisory for Rogue System Register Read | Przewodnik aktualizacji zabezpieczeń dla tabletu Surface: MSRC ADV180013i CVE-2018-3640
Badania i obrona bezpieczeństwa: Analiza i łagodzenie speculative obejście sklepu (CVE-2018-3639)
TechNet Security Research & Defense: KVA Shadow: Łagodzenie meltdown w systemie Windows
Security Tech Center: Speculative Execution Side Channel Bounty Terminy programu
Blog microsoft experience: aktualizacja aktualizacji zabezpieczeń Spectre i Meltdown dla urządzeń z systemem Windows
Blog dotyczący systemu Windows dla firm: Usługa Windows Analytics pomaga teraz oceniać zabezpieczenia przed atakami Spectre i Meltdown
Blog firmy Microsoft Secure: Opis wpływu zabezpieczeń Spectre i Meltdown na wydajność systemów Windows
Blog deweloperów edge: łagodzenie spekulacyjnych ataków na kanałach bocznych w przeglądarkach Microsoft Edge i Internet Explorer
Azure Blog: Zabezpieczanie klientów platformy Azure przed luką w zabezpieczeniach procesora
SCCM wskazówki: Dodatkowe wskazówki dotyczące ograniczania luk w zabezpieczeniach spekulacyjnych wykonywania w kanałach bocznych
Porady firmy Microsoft:
-
ADV180012 | Wskazówki firmy Microsoft dotyczące speculative Store Bypass
-
ADV180013 | Wskazówki Firmy Microsoft dotyczące odczytu rejestru nieuczciwych systemów
-
ADV180016 | Wskazówki Microsoft dotyczące leniwego przywracania stanu FP
-
ADV180018 | Wskazówki firmy Microsoft dotyczące ograniczania wariantu L1TF
Intel: porada dotycząca zabezpieczeń
ARM: porada dotycząca bezpieczeństwa
AMD: Porada dotycząca zabezpieczeń
NVIDIA: Poradnik zabezpieczeń
Wskazówki dla konsumentów: ochrona urządzenia przed lukami w zabezpieczeniach związanymi z mikroukładami
Wskazówki dotyczące oprogramowania antywirusowego: aktualizacje zabezpieczeń systemu Windows wydane 3 stycznia 2018 r. i oprogramowanie antywirusowe
Wskazówki dotyczące bloku aktualizacji zabezpieczeń systemu operacyjnego Windows AMD: KB4073707: blok aktualizacji zabezpieczeń systemu operacyjnego Windows dla niektórych urządzeń opartych na amd
Aktualizacja wyłączania ochrony przed spectre, wariant 2: KB4078130: Firma Intel zidentyfikowała problemy z ponownym uruchomieniem mikrokodu na niektórych starszych procesorach
Wskazówki dotyczące tabletu Surface: Wskazówki dotyczące ochrony przed lukami specjazywnym wykonywania w kanałach bocznych
Sprawdzanie stanu speculative execution side channel mitigations: Opis Get-SpeculationControlSettings danych wyjściowych skryptu programu PowerShell
Wskazówki dotyczące serwera: Wskazówki dla systemu Windows Server dotyczące ochrony przed lukami specjatywnymi wykonywania w kanałach bocznych
Wskazówki serwera dotyczące błędu terminalu L1: Wskazówki dotyczące ochrony systemu Windows Server przed błędami terminali L1
Wskazówki dla deweloperów: Wskazówki dla deweloperów dotyczące speculative Store Bypass
Wskazówki — Server Hyper-V
Azure KB: KB4073235: Microsoft Cloud Protections Against Speculative Execution Side-Channel vulnerabilities
Wskazówki dotyczące stosu Azure Stack: KB4073418: Wskazówki dotyczące azure stack w celu ochrony przed lukami specjatywnym wykonywania w kanałach bocznych
Niezawodność platformy Azure: Azure Reliability Portal
SQL Server wskazówki: KB4073225: SQL Server Wskazówki dotyczące ochrony przed lukami specjatywnymi wykonywania w kanałach bocznych
Linki do producentów urządzeń OEM i Server w celu aktualizacji chroniących przed lukami Spectre i Meltdown
Aby rozwiązać ten problem, musisz zaktualizować zarówno sprzęt, jak i oprogramowanie. Poniższe linki umożliwiają skontaktowanie się z producentem urządzenia w celu sprawdzenia, czy są dostępne aktualizacje oprogramowania układowego (mikrokodu).
Poniższe linki umożliwiają skontaktowanie się z producentem urządzenia w celu sprawdzenia, czy są dostępne aktualizacje oprogramowania układowego (mikrokodu). Musisz zainstalować aktualizacje systemu operacyjnego i oprogramowania układowego (mikrokodu) dla wszystkich dostępnych zabezpieczeń.
Producent urządzenia OEM |
Link do mikrokodu |
Acer |
|
Asus |
ASUS Update on Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method |
Dell |
|
Epson |
Luki w zabezpieczeniach procesora (ataki w kanałach bocznych) |
Fujitsu |
Sprzęt procesora narażony na ataki w kanałach bocznych (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
HP |
|
Lenovo |
Odczytywanie pamięci uprzywilejowanej za pomocą kanału bocznego |
LG |
|
NEC |
W odpowiedzi na lukę procesora (meltdown, spectrum) w naszych produktach |
Panasonic |
|
Samsung |
|
urządzenia Surface |
Wskazówki dotyczące ochrony urządzeń Surface przed lukami Spectra |
Toshiba |
|
Vaio |
Obsługa luk w zabezpieczeniach podczas analizy kanałów bocznych |
Producenci OEM serwerów |
Link do mikrokodu |
Dell |
|
Fujitsu |
Sprzęt procesora narażony na ataki w kanałach bocznych (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
HPE |
Alerty o lukach w zabezpieczeniach produktu Hewlett Packard Enterprise |
Huawei |
|
Lenovo |
Odczytywanie pamięci uprzywilejowanej za pomocą kanału bocznego |
Często zadawane pytania
Należy skontaktować się z producentem urządzenia, aby uzyskać aktualizacje oprogramowania układowego (mikrokodu). Jeśli producent Twojego urządzenia nie jest wyświetlany w tabeli, skontaktuj się z producentem OEM bezpośrednio.
Aktualizacje dla urządzeń Microsoft Surface są dostępne dla klientów za pośrednictwem Windows Update. Aby uzyskać listę dostępnych aktualizacji oprogramowania układowego urządzenia Surface (mikrokodu), zobacz KB 4073065.
Jeśli twoje urządzenie nie pochodzi od firmy Microsoft, zastosuj aktualizacje oprogramowania układowego od producenta urządzenia. Aby uzyskać więcej informacji, skontaktuj się z producentem urządzenia.
Rozwiązanie problemu luki w zabezpieczeniach sprzętu za pomocą aktualizacji oprogramowania stanowi poważne wyzwanie i środki łagodzące dla starszych systemów operacyjnych i może wymagać istotnych zmian w architekturze. Kontynuujemy współpracę z producentami mikroukładów, których dotyczy problem, w celu zbadania najlepszego sposobu na zapewnienie środków łagodzących. Może to zostać udostępnione w przyszłej aktualizacji. Wymiana starszych urządzeń z tymi starszymi systemami operacyjnymi i aktualizowanie oprogramowania antywirusowego powinna rozwiązać problem pozostałego ryzyka.
Uwagi:
-
Produkty, które nie są obecnie objęte wsparciem podstawowym i rozszerzonym, nie otrzymają tych aktualizacji systemu. Firma Microsoft zaleca klientom zaktualizowanie systemu do obsługiwanej wersji.
-
Speculative execution side-channel attacks exploit cpu behavior and functionality. Producenci procesorów muszą najpierw określić, które procesory mogą być zagrożone, a następnie powiadomić firmę Microsoft. W wielu przypadkach odpowiednie aktualizacje systemu operacyjnego będą również wymagane w celu zapewnienia klientom bardziej kompleksowej ochrony. Zalecamy, aby dostawcy Windows CE świadomi zabezpieczeń współpracowali ze swoim producentem mikroukładów, aby zrozumieć luki w zabezpieczeniach i odpowiednie środki łagodzące.
-
Firma Microsoft nie będzie wydawać aktualizacji dla następujących platform:
-
Systemy operacyjne Windows, które nie są obecnie objęte pomocą techniczną lub przestaną być nią objęte w 2018 r.
-
Systemy oparte na systemie Windows XP, w tym WES 2009 i POSReady 2009
-
Mimo że dotyczy to systemów opartych na systemie Windows XP, firma Microsoft nie wydaje dla nich aktualizacji, ponieważ kompleksowe zmiany w architekturze, które byłyby wymagane, mogłyby zagrozić stabilności systemu i spowodować problemy ze zgodnością aplikacji. Zalecamy zaktualizowanie systemu do nowszej wersji, aby korzystać z najnowocześniejszych zabezpieczeń.
Aktualizacje do Windows 10 hololens są dostępne dla klientów HoloLens za pośrednictwem Windows Update.
Po zastosowaniuaktualizacji Zabezpieczenia Windows z lutego 2018 r. klienci urządzeń HoloLens nie muszą podejmować żadnych dodatkowych działań w celu zaktualizowania oprogramowania układowego urządzenia. Te środki łagodzące zostaną również uwzględnione we wszystkich przyszłych wersjach Windows 10 dla urządzenia HoloLens.
Aby uzyskać więcej informacji, skontaktuj się z OEM.
Aby urządzenie było w pełni chronione, należy zainstalować najnowsze aktualizacje zabezpieczeń systemu operacyjnego Windows dla urządzenia oraz aktualizacje mikrokodu od producenta urządzenia. Te aktualizacje powinny być dostępne w witrynie internetowej producenta urządzenia. Najpierw należy zainstalować aktualizacje oprogramowania antywirusowego. Aktualizacje systemu operacyjnego i oprogramowanie układowego można zainstalować w dowolnej kolejności.
Aby rozwiązać ten problem, musisz zaktualizować zarówno sprzęt, jak i oprogramowanie. Aby uzyskać bardziej kompleksową ochronę, musisz również zainstalować aktualizacje oprogramowania układowego (mikrokodu) od producenta urządzenia. Zachęcamy do zabezpieczania urządzeń i instalowania comiesięcznych aktualizacji zabezpieczeń.
W każdej Windows 10 aktualizacji funkcji, tworzymy najnowszą technologię zabezpieczeń głęboko w systemie operacyjnym, zapewniając funkcje dogłębnej obrony, które uniemożliwiają wpływ całych klas złośliwego oprogramowania na urządzenie. Aktualizacje funkcji są wydawane dwa razy w roku. W każdej comiesięcznej aktualizacji jakości dodajemy kolejną warstwę zabezpieczeń, która śledzi pojawiające się i zmieniające trendy w złośliwym oprogramowaniu, aby nadać aktualnym systemom bezpieczeństwo w obliczu zmieniających się i zmieniających się zagrożeń.
Firma Microsoft zniosła sprawdzanie zgodności av dla aktualizacji zabezpieczeń systemu Windows dla obsługiwanych wersji urządzeń z systemem Windows 10, Windows 8.1 i Windows 7 z dodatkiem SP1 za pośrednictwem Windows Update.
Zalecenia:-
Upewnij się, że twoje urządzenia są aktualne, udostępniając najnowsze aktualizacje zabezpieczeń od firmy Microsoft i producenta sprzętu. Aby uzyskać więcej informacji na temat dbania o aktualność urządzenia, zobacz Windows Update: często zadawane pytania.
-
Nadal przećwicz rozsądną ostrożność podczas odwiedzania witryn internetowych o nieznanym pochodzeniu i nie pozostawaj w witrynach, którym nie ufasz. Firma Microsoft zaleca, aby wszyscy klienci chronili swoje urządzenia, uruchamiając obsługiwany program antywirusowy. Klienci mogą również korzystać z wbudowanych narzędzi ochrony antywirusowej: Windows Defender dla urządzeń z systemem Windows 10 lub Microsoft Security Essentials dla urządzeń z systemem Windows 7. Te rozwiązania są zgodne w przypadkach, gdy klienci nie mogą zainstalować ani uruchomić oprogramowania antywirusowego.
Aby uniknąć negatywnego wpływu na urządzenia klientów, aktualizacje zabezpieczeń systemu Windows wydane w styczniu lub lutym nie zostały udostępnione wszystkim klientom. Aby uzyskać szczegółowe informacje, zobacz artykuł z bazy wiedzy Microsoft Knowledge Base 4072699.
Firma Intel zgłosiła problemy , które dotyczą niedawno wydanego mikrokodu przeznaczonego do rozwiązania problemu Spectre Variant 2 (CVE-2017-5715 – "Iniekcja celu rozgałęzienia"). W szczególności Intel zauważył, że ten mikrokod może powodować "wyższe niż oczekiwano ponowne uruchomienie i inne nieprzewidywalne zachowanie systemu", a także, że takie sytuacje mogą powodować "utratę lub uszkodzenie danych". Z naszego doświadczenia wynika, że niestabilność systemu może w pewnych okolicznościach powodować utratę lub uszkodzenie danych. 22 stycznia firma Intel zaleciła klientom zaprzestanie wdrażania bieżącej wersji mikrokodu na procesorach, których dotyczy problem, podczas wykonywania dodatkowych testów na zaktualizowanym rozwiązaniu. Rozumiemy, że intel nadal bada potencjalny wpływ bieżącej wersji mikrokodu i zachęcamy klientów do bieżącego przeglądania swoich wskazówek w celu informowania o swoich decyzjach.
Podczas gdy Firma Intel testuje, aktualizuje i wdraża nowy mikrokod, udostępniamy aktualizację pozapasmową (OOB, KB 4078130), która w szczególności wyłącza tylko łagodzenie problemu z CVE-2017-5715 — "Iniekcja celu rozgałęzienia". W naszych testach znaleziono tę aktualizację, aby zapobiec opisanemu zachowaniu. Aby uzyskać pełną listę urządzeń, zobacz Wskazówki firmy Intel dotyczące poprawek mikrokodu. Ta aktualizacja obejmuje systemy Windows 7 (SP1), Windows 8.1 i wszystkie wersje systemu Windows 10 (dla klientów i serwerów). Jeśli korzystasz z urządzenia, na które ma to wpływ, tę aktualizację można zastosować, pobierając ją z witryny internetowej wykazu usługi Microsoft Update. Zastosowanie tego ładunku wyłącza tylko przeciw łagodzeniu CVE-2017-5715 – "Iniekcja celu rozgałęzienia".
Od 25 stycznia nie ma żadnych znanych doniesień wskazujących, że to Spectre Variant 2 (CVE-2017-5715) zostało użyte do ataku na klientów. Zalecamy, aby w razie potrzeby klienci systemu Windows ponownie włączyli środki łagodzące przed CVE-2017-5715, gdy firma Intel zgłasza, że ten nieprzewidywalny sposób działania systemu został rozwiązany dla Twojego urządzenia.
Nie. Aktualizacje samych zabezpieczeń nie są skumulowane. W zależności od wersji systemu operacyjnego, z którą korzystasz, musisz zainstalować wszystkie wydane aktualizacje samych zabezpieczeń, aby były chronione przed tymi lukami. Jeśli na przykład używasz systemu Windows 7 dla systemów 32-bitowych na procesorze Intel, którego dotyczy problem, musisz zainstalować każdą aktualizację samych zabezpieczeń począwszy od stycznia 2018 r. Zalecamy zainstalowanie tych aktualizacji samych zabezpieczeń w kolejności ich wydania.
Uwaga We wcześniejszej wersji tego zestawu często zadawanych pytań błędnie stwierdzono, że aktualizacja samych zabezpieczeń z lutego zawierała poprawki zabezpieczeń wydane w styczniu. W rzeczywistości tak nie jest.Nie. Aktualizacja zabezpieczeń 4078130 była konkretną poprawką zapobiegającą nieprzewidywalnym zachowaniom systemu, problemom z wydajnością i nieoczekiwanym ponownym uruchomieniom po zainstalowaniu mikrokodu. Zastosowanie lutowych aktualizacji zabezpieczeń w klienckich systemach operacyjnych Windows umożliwia wszystkie trzy środki łagodzące. W systemach operacyjnych Windows Server po wykonaniu odpowiednich testów nadal trzeba włączyć środki łagodzące. Aby uzyskać więcej informacji, zobacz artykuł z bazy wiedzy Microsoft Knowledge Base 4072698 .
AMD ogłosiło niedawno, że zaczęło wydawać mikrokod dla nowszych platform PROCESORA wokół Spectre Variant 2 (CVE-2017-5715 "Iniekcja celu rozgałęzienia"). Aby uzyskać więcej informacji, zobacz Aktualizacje zabezpieczeń AMD i dokument oficjalny amd: wskazówki dotyczące architektury dotyczące pośredniej kontroli gałęzi. Są one dostępne w kanale oprogramowania układowego OEM.
Intel ogłosił niedawno , że zakończył sprawdzanie poprawności i zaczął wydawać mikrokod dla nowszych platform PROCESORA. Firma Microsoft udostępnia zatwierdzone przez Intel aktualizacje mikrokodu wokół Spectre Variant 2 (CVE-2017-5715 "Iniekcja celu rozgałęzienia"). 4093836 kb zawiera listę określonych artykułów z bazy wiedzy według wersji systemu Windows. Każda aktualizacja KB zawiera dostępne aktualizacje mikrokodu Intel według CPU.
Firma Microsoft udostępnia zatwierdzone przez Intel aktualizacje mikrokodu wokół spectre variant 2 (CVE-2017-5715 "Iniekcja celu rozgałęzienia"). Aby uzyskać najnowsze aktualizacje mikrokodu Intel za pośrednictwem Windows Update, klienci muszą zainstalować mikrokod Intel na urządzeniach z systemem operacyjnym Windows 10 przed uaktualnianiem do aktualizacji Windows 10 kwietnia 2018 (wersja 1803).
Aktualizacja mikrokodu jest również dostępna bezpośrednio z wykazu aktualizacji, jeśli nie została zainstalowana na urządzeniu przed uaktualnianiem systemu. Mikrokod Intel jest dostępny za pośrednictwem Windows Update, WSUS lub wykazu usługi Microsoft Update. Aby uzyskać więcej informacji i pobrać instrukcje, zobacz 4100347 kb.
Aby uzyskać więcej informacji, zobacz następujące zasoby:
-
ADV180012 | Wskazówki firmy Microsoft dotyczące speculative Store Bypass dla CVE-2018-3639
-
ADV180013 | Wskazówki firmy Microsoft dotyczące nieuczciwych rejestrów systemów przeczytane dla CVE-2018-3640 i KB 4073065 | Wskazówki dla klientów korzystających z urządzeń Surface
-
Wskazówki dla deweloperów dotyczące speculative Store Bypass
Aby uzyskać szczegółowe informacje, zobacz sekcje "Zalecane akcje" i "Często zadawane pytania" w ADV180012 | Wskazówki firmy Microsoft dotyczące speculative Store Bypass.
Aby sprawdzić stan SSBD, skrypt Get-SpeculationControlSettings PowerShell został zaktualizowany w celu wykrycia procesorów, których dotyczy problem, stanu aktualizacji systemu operacyjnego SSBD i stanu mikrokodu procesora, jeśli ma to zastosowanie. Aby uzyskać więcej informacji i uzyskać skrypt programu PowerShell, zobacz KB4074629.
13 czerwca 2018 r. ogłoszono i przypisano CVE-2018-3665 dodatkową lukę w zabezpieczeniach polegającą na spekulacyjnym wykonywaniu w kanałach bocznych, znaną jako Lazy FP State Restore. W przypadku narzędzia Lazy Restore FP Restore nie są potrzebne żadne ustawienia konfiguracji (rejestru).
Aby uzyskać więcej informacji na temat tej luki w zabezpieczeniach i zalecanych działań, zobacz Porada dotycząca bezpieczeństwa: ADV180016 | Wskazówki Microsoft dotyczące leniwego przywracania stanu FP
UwagaW przypadku narzędzia Lazy Restore FP Restore nie są potrzebne żadne ustawienia konfiguracji (rejestru).
Bounds Check Bypass Store (BCBS) została ujawniona 10 lipca 2018 i przypisana CVE-2018-3693. Uważamy, że usługi BCBS należą do tej samej klasy luk co obejście sprawdzania granic (wariant 1). Obecnie nie znamy żadnych wystąpień bcbs w naszym oprogramowaniu, ale nadal badamy tę klasę luk i będziemy współpracować z partnerami branżowymi w celu uwolnienia środków łagodzących w razie potrzeby. Nadal zachęcamy naukowców do zgłaszania wszelkich istotnych ustaleń do programu nagród Speculative Execution Side Channel firmy Microsoft, w tym wszelkich możliwych do wykorzystania przypadków BCBS. Deweloperzy oprogramowania powinni zapoznać się ze wskazówkami dla deweloperów, które zostały zaktualizowane dla usługi BCBS w witrynie https://aka.ms/sescdevguide.
14 sierpnia 2018 r. ogłoszono błąd terminalu L1 (L1TF) i przypisano wiele cve. Te nowe spekulacyjne luki w zabezpieczeniach kanału bocznego mogą być używane do odczytywania zawartości pamięci przez zaufaną granicę i, jeśli zostaną wykorzystane, mogą prowadzić do ujawniania informacji. Istnieje wiele wektorów, za pomocą których osoba atakująca może wyzwalać luki w zabezpieczeniach w zależności od skonfigurowanego środowiska. L1TF wpływa na procesory Intel® Core i Intel® Xeon®®.
Aby uzyskać więcej informacji na temat tej luki w zabezpieczeniach oraz szczegółowy widok scenariuszy, na które ma to wpływ, w tym podejście firmy Microsoft do łagodzenia L1TF, zobacz następujące zasoby:
Klienci urządzeń Microsoft Surface: Klienci korzystający z urządzenia Microsoft Surface i produktów Surface Book muszą postępować zgodnie ze wskazówkami dotyczącymi klienta systemu Windows opisanymi w poradach dotyczących bezpieczeństwa: ADV180018 | Wskazówki firmy Microsoft dotyczące ograniczania wariantu L1TF. Zobacz też artykuł z bazy wiedzy Microsoft Knowledge Base 4073065 , aby uzyskać więcej informacji na temat produktów Surface, których dotyczy problem, i dostępności aktualizacji mikrokodu.
Klienci urządzenia Microsoft Hololens: Microsoft HoloLens nie ma wpływu na L1TF, ponieważ nie korzysta z procesora Intel, którego dotyczy problem.
Kroki niezbędne do wyłączenia Hyper-Threading różnią się w zależności od producenta OEM i producenta OEM, ale zwykle są częścią narzędzi do konfiguracji i konfiguracji systemu BIOS lub oprogramowania układowego.
Klienci korzystający z 64-bitowych procesorów ARM powinni skontaktować się z producentem OEM urządzenia w celu obsługi oprogramowania układowego, ponieważ zabezpieczenia systemu operacyjnego ARM64, które łagodzą CVE-2017-5715 — iniekcja celu rozgałęzienia (Spectre, wariant 2) wymaga najnowszej aktualizacji oprogramowania układowego od producentów OEM urządzeń, aby zostały zastosowane.
Aby uzyskać szczegółowe informacje na temat tej luki, zobacz Przewodnik po zabezpieczeniach firmy Microsoft: CVE-2019-1125 | Luka w zabezpieczeniach funkcji ujawniania informacji o jądrze systemu Windows.
Nie wiemy o żadnym przypadku tych luk w zabezpieczeniach w zakresie ujawniania informacji wpływających na infrastrukturę usług w chmurze.
Gdy tylko dowiedzieliśmy się o tym problemie, szybko pracowaliśmy nad jego rozwiązaniem i wydaniem aktualizacji. Zdecydowanie wierzymy w ścisłą współpracę zarówno z naukowcami, jak i partnerami branżowymi, aby zapewnić większe bezpieczeństwo klientom, i opublikowaliśmy szczegóły dopiero we wtorek, 6 sierpnia, zgodnie ze skoordynowanymi praktykami ujawniania luk w zabezpieczeniach.
Informacje pomocnicze
Firma Microsoft udostępnia informacje kontaktowe innych firm ułatwiające znajdowanie dodatkowych informacji na ten temat. Niniejsze informacje kontaktowe mogą ulec zmianie bez powiadomienia. Firma Microsoft nie gwarantuje dokładności informacji kontaktowych innych firm.