Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Azure Stack HCI Windows Server 2022 Windows Server 2019 Windows Server 2016

Промяна на датата

Промяна на описанието

9 август 2023 г.

  • Премахнато е съдържание за CVE-2022-23816, тъй като cve номерът не се използва

  • Премахната е дублирана тема, озаглавена "Актуализации на микрокод на Intel" в раздела "Стъпки за защита на вашите устройства с Windows"

9 април 2024 г.

  • Добавен CVE-2022-0001 | Intel Branch History Injection

Резюме

Тази статия предоставя информация и актуализации за нов клас базирани на силициеви микроархитектурни и спекулативни уязвимости в страничните канали при изпълнение, които засягат много съвременни процесори и операционни системи. Също така предоставя изчерпателен списък с клиентски и сървърни ресурси за Windows, за да ви помогне да поддържате устройствата си защитени у дома, на работа и във вашето предприятие. Това включва Intel, AMD и ARM. Подробни данни за конкретна уязвимост за тези проблеми, базирани на силициеви чипове, могат да бъдат намерени в следните съвети за защитата и CVEs:

На 3 януари 2018 г. Microsoft издаде консултативни актуализации и актуализации на защитата, свързани с наскоро открит клас уязвимости на хардуера (известен като Spectre и Meltdown), включващи спекулативни странични канали за изпълнение, които засягат процесорите AMD, ARM и Intel до различна степен. Този клас уязвимости се основава на обща архитектура на чипа, която първоначално е проектирана да ускори компютрите. Можете да научите повече за тези уязвимости в Google Project Zero.

На 21 май 2018 г. Google Project Zero (GPZ), Microsoft и Intel разкриха две уязвимости в новия чип, които са свързани с проблемите със Spectre и Meltdown и са известни като спекулативно заобикаляне на Store (SSB) и четене на системния регистър rogue. Рискът на клиента от двете оповестявания е нисък.

За повече информация относно тези уязвимости вижте ресурсите, които са изброени под актуализации на операционната система Windows от май 2018 г., и вижте следните съвети за защитата:

На 13 юни 2018 г. беше обявена и възложена на CVE-2018-3665 допълнителна уязвимост, включваща спекулативно изпълнение в страничен канал, известна като възстановяване на състоянието на Lazy FP. За повече информация относно тази уязвимост и препоръчителни действия вижте следните съвети за защитата:

На 14 август 2018 г. L1 Terminal Fault (L1TF) беше обявена нова уязвимост в страничен канал за спекулативно изпълнение, която има няколко CVEs. L1TF засяга процесори Intel® Core® и процесори Intel® Xeon®. За повече информация относно L1TF и препоръчаните действия вижте нашата Препоръка за защитата:

Бележка: Препоръчваме да инсталирате всички най-нови актуализации от актуализиране на Windows, преди да инсталирате актуализации на микрокод.

На 14 май 2019 г. Intel публикува информация за нов подклас уязвимости в страничен канал при спекулативно изпълнение, известни като Извадка за микроархитектурни данни. На тях са присвоени следните CVEs:

Важно: Тези проблеми ще засегнат други системи, като например Android, Chrome, iOS и MacOS. Съветваме клиентите да потърсят напътствия от съответните доставчици.

Microsoft издаде актуализации за намаляване на тези уязвимости. За да получите всички налични защити, са необходими фърмуер (микрокод) и софтуерни актуализации. Това може да включва микрокод от OEM на устройството. В някои случаи инсталирането на тези актуализации ще окаже влияние върху производителността. Също така предприехме действия за защита на нашите услуги в облака.

Забележка: Препоръчваме да инсталирате най-новите актуализации от актуализиране на Windows преди да инсталирате актуализации на микрокод.

За повече информация относно тези проблеми и препоръчителните действия вижте следната препоръка за защитата:

На 6 август 2019 г. Intel издаде подробности за уязвимост при разкриване на информация за ядрото на Windows. Тази уязвимост е вариант на уязвимостта в страничен канал на Spectre Variant 1 при спекулативно изпълнение и му е присвоен CVE-2019-1125.

Microsoft издаде актуализация на защитата за операционната система Windows на 9 юли 2019 г., за да помогне за смекчаване на този проблем. Клиентите, които са актуализиране на Windows активирали и са приложили актуализациите на защитата, издадени на 9 юли 2019 г., са защитени автоматично. Имайте предвид, че тази уязвимост не изисква актуализация на микрокод от производителя на вашето устройство (OEM).

За повече информация относно тази уязвимост и приложимите актуализации вижте CVE-2019-1125 | Уязвимост при разкриване на информация за ядрото на Windows в ръководството за актуализация на защитата на Microsoft.

На 14 юни 2022 г. Intel публикува информация за нов подклас на уязвимостите в страничните канали за В/И (MMIO) при спекулативно изпълнение, изброени в препоръката:

Стъпки за подобряване на защитата на вашите устройства с Windows

Може да се наложи да актуализирате фърмуера (микрокода) и софтуера си, за да се справите с тези уязвимости. Вижте Съвети за защитата на Microsoft за препоръчителни действия. Това включва приложими актуализации на фърмуер (микрокод) от производители на устройства и в някои случаи актуализации на вашия антивирусен софтуер. Препоръчваме ви да поддържате вашите устройства актуализирани, като инсталирате ежемесечно актуализациите на защитата. 

За да получите всички налични защити, следвайте тези стъпки, за да получите най-новите актуализации за софтуера и хардуера.

Забележка: Преди да започнете, се уверете, че вашият антивирусен софтуер е актуален и съвместим. Проверете в уеб сайта на производителя на антивирусния софтуер за най-актуалната информация относно съвместимостта.

  1. Поддържайте вашето устройство с Windows актуализирано , като включите автоматичните актуализации.

  2. Проверете дали сте инсталирали последната актуализация на защитата за операционната система Windows от Microsoft. Ако автоматичните актуализации са включени, актуализациите трябва да ви бъдат доставени автоматично. Въпреки това трябва да потвърдите, че са инсталирани. За инструкции вижте актуализиране на Windows: ЧЗВ

  3. Инсталирайте наличните актуализации на фърмуера (микрокод) от производителя на вашето устройство. Всички клиенти ще трябва да се консултират с производителя на устройството си, за да изтеглят и инсталират специфичната за устройството им актуализация на хардуера. Вижте раздела "Допълнителни ресурси" за списък с уеб сайтове на производители на устройства.

    Забележка: Клиентите трябва да инсталират най-новите актуализации за защитата за операционната система Windows от Microsoft, за да се възползват от наличните защити. Първо трябва да се инсталират актуализациите на антивирусния софтуер. Актуализациите на операционната система и фърмуера ще последват след това. Препоръчваме ви да поддържате вашите устройства актуализирани, като инсталирате ежемесечно актуализациите на защитата. 

Засегнатите чипове включват тези, които са произведени от Intel, AMD и ARM. Това означава, че всички устройства, работещи с операционни системи Windows, са потенциално уязвими. Това включва настолни компютри, лаптопи, облачни сървъри и смартфони. Устройства, които работят с други операционни системи, като например Android, Chrome, iOS и macOS, също са засегнати. Съветваме клиентите, които работят с тези операционни системи, да потърсят указания от тези доставчици.

По време на публикуването не получихме информация, която да указва, че тези уязвимости са използвани за атака на клиенти.

От януари 2018 г. Microsoft издаде актуализации за операционните системи Windows и уеб браузърите Internet Explorer и Edge, за да помогне за намаляването на тези уязвимости и за защитата на клиентите. Също така издадахме актуализации за защита на нашите услуги в облака.  Продължаваме да работим в тясно сътрудничество с партньори от отрасъла, включително производители на чипове, OEM на хардуер и доставчици на приложения, за да защитим клиентите срещу този клас уязвимост. 

Препоръчваме ви винаги да инсталирате месечните актуализации, за да поддържате устройствата си актуализирани и защитени. 

Ще актуализираме тази документация, когато станат налични нови смекчавания, и ви препоръчваме да проверявате редовно тук. 

Актуализации на операционната система Windows от юли 2019 г.

На 6 август 2019 г. Intel разкри подробни данни за уязвимост на защитата CVE-2019-1125 | Уязвимост при разкриване на информация за ядрото на Windows. Актуализации на защитата за тази уязвимост бяха издадени като част от месечното издание на актуализацията от юли на 9 юли 2019 г.

Microsoft издаде актуализация на защитата за операционната система Windows на 9 юли 2019 г., за да помогне за смекчаване на този проблем. Документирахме това смекчаване публично до координираното разкриване на последствията от промишлеността във вторник, 6 август 2019 г.

Клиентите, които са актуализиране на Windows активирали и са приложили актуализациите на защитата, издадени на 9 юли 2019 г., са защитени автоматично. Имайте предвид, че тази уязвимост не изисква актуализация на микрокод от производителя на вашето устройство (OEM).

Актуализации на операционната система Windows от май 2019 г.

На 14 май 2019 г. Intel публикува информация за нов подклас уязвимости в страничен канал при спекулативно изпълнение, известни като извадка за микроархитектурни данни , и получи следните CVEs:

За повече информация относно този проблем вижте следните съвети за защитата и използвайте указания, базирани на сценарии, посочени в указанията за Windows за клиенти и сървърни статии, за да определите действията, необходими за намаляване на заплахата:

Microsoft пусна защити срещу нов подклас на спекулативни уязвимости от странични канали, известни като Извадка за микроархитектурни данни за 64-битови (x64) версии на Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Използвайте настройките на системния регистър, както е описано в статиите Windows Client (KB4073119) и Windows Server (KB4457951). Тези настройки на системния регистър са разрешени по подразбиране за издания на ОС на Windows Client и издания на ОС на Windows Server.

Препоръчваме първо да инсталирате всички най-нови актуализации от актуализиране на Windows, преди да инсталирате актуализации на микрокод.

За повече информация относно този проблем и препоръчителните действия вижте следните съвети за защитата: 

Intel пусна актуализация на микрокод за най-новите платформи на ЦП, за да помогне за предотвратяване на CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. На 14 май 2019 г. Windows KB 4093836 описва конкретни статии от базата знания по версия на операционната система Windows.  Статията съдържа връзки към наличните актуализации на микрокод на Intel от ЦП. Тези актуализации са достъпни чрез каталога на Microsoft.

Забележка: Препоръчваме да инсталирате всички най-нови актуализации от актуализиране на Windows, преди да инсталирате актуализации на микрокод.

Радваме се да съобщим, че Retpoline е разрешен по подразбиране на устройства с Windows 10, версия 1809 (за клиенти и сървъри), ако Spectre Variant 2 (CVE-2017-5715) е разрешен. Като разрешаваме Retpoline на най-новата версия на Windows 10, чрез актуализацията от 14 май 2019 г. (KB 4494441), очакваме подобрена производителност, особено на по-стари процесори.

Клиентите трябва да гарантират, че предишни защити на ОС срещу уязвимостта в Spectre Variant 2 са разрешени с помощта на настройките на системния регистър, описани в статиите за Windows Client и Windows Server . (Тези настройки на системния регистър са разрешени по подразбиране за издания на ОС на Windows Client, но са забранени по подразбиране за изданията на ОС на Windows Server). За повече информация относно "Retpoline" вижте Предотвратяване на Spectre variant 2 с Retpoline в Windows.

Актуализации на операционната система Windows от ноември 2018 г.

Microsoft пусна защити на операционната система за спекулативно заобикаляне на Store (CVE-2018-3639) за AMD процесори (ЦП).

Microsoft пусна допълнителни защити на операционната система за клиенти, които използват 64-битови ARM процесори. Консултирайте се с производителя на вашето устройство за OEM за поддръжка на фърмуера, тъй като защитата на ARM64 операционна система намалява CVE-2018-3639, спекулативно заобикаляне на store, изисква най-новата актуализация на фърмуера от вашето устройство OEM.

Актуализации на операционната система Windows от септември 2018 г.

На 11 септември 2018, Microsoft издаде месечен сборен пакет за актуализация 4458010 и 4457984 защита само за Windows Server 2008, който предоставя защита срещу нова уязвимост в страничен канал при спекулативно изпълнение, известна като L1 Terminal Fault (L1TF), засягаща процесори Intel® Core® и процесори Intel® Xeon® (CVE-2018-3620 и CVE-2018-3646). 

Това издание допълва допълнителните защити на всички поддържани системни версии на Windows чрез актуализиране на Windows. За повече информация и списък на засегнатите продукти вж. ADV180018 | Указания на Microsoft за предотвратяване на вариант L1TF.

Бележка: Windows Server 2008 SP2 сега следва стандартния сборен модел на сборен пакет за обслужване на Windows. За повече информация относно тези промени вижте нашия блог Промени в обслужването на Windows Server 2008 SP2. Клиентите, работещи с Windows Server 2008, трябва да инсталират 4458010 или 4457984 в допълнение към актуализацията на защитата 4341832, която беше издадена на 14 август 2018 г. Клиентите трябва също да гарантират, че предишни защити на ОС срещу уязвимости в Spectre Variant 2 и Meltdown са активирани, като се използват настройките на системния регистър, посочени в статиите с указания за KB на Windows Client и Windows Server . Тези настройки на системния регистър са разрешени по подразбиране за издания на ОС на Windows Client, но са забранени по подразбиране за издания на ОС на Windows Server.

Microsoft пусна допълнителни защити на операционната система за клиенти, които използват 64-битови ARM процесори. Проверете при производителя на вашето устройство OEM за поддръжка на фърмуера, тъй като защитата на ARM64 операционна система, която смекчава CVE-2017-5715 – Branch target Injection (Spectre, Variant 2), изисква най-новата актуализация на фърмуера от OEM на вашето устройство, за да влязат в сила.

Актуализации на операционната система Windows от август 2018 г.

На 14 август 2018 г., L1 Terminal Fault (L1TF) беше обявена и присвоена няколко CVEs. Тези нови уязвимости в страничен канал при спекулативно изпълнение могат да се използват за четене на съдържанието на паметта в надеждна граница и ако бъдат използвани, могат да доведат до разкриване на информация. Има няколко вектора, чрез които атакуващ може да предизвика уязвимости в зависимост от конфигурираната среда. L1TF засяга процесори Intel® Core® и процесори Intel® Xeon®.

За повече информация относно L1TF и подробен преглед на засегнатите сценарии, включително подхода на Microsoft за намаляване на L1TF, вижте следните ресурси:

Актуализации на операционната система Windows от юли 2018 г.

Имаме удоволствието да съобщим, че Microsoft е завършил пускането на допълнителни защити на всички поддържани системни версии на Windows чрез актуализиране на Windows за следните уязвимости:

  • Spectre Variant 2 за AMD процесори

  • Спекулативно заобикаляне на магазина за процесори Intel

На 13 юни 2018 г. беше обявена и възложена на CVE-2018-3665 допълнителна уязвимост, включваща спекулативно изпълнение в страничен канал, известна като възстановяване на състоянието на Lazy FP. Няма настройки за конфигуриране (системен регистър), необходими за възстановяването на FP на Lazy.

За повече информация относно тази уязвимост, засегнати продукти и препоръчителни действия вижте следните съвети за защитата:

На 12 юни Microsoft обяви поддръжката на Windows за спекулативно заобикаляне на магазина забраняване (SSBD) в процесори Intel. Актуализациите изискват съответните актуализации на фърмуера (микрокода) и актуализациите на системния регистър за функционалност. За информация относно актуализациите и стъпките, които трябва да се приложат за включване на SSBD, вижте раздела "Препоръчителни действия" в ADV180012 | Указания на Microsoft за спекулативно заобикаляне на Магазина.

Актуализации на операционната система Windows от май 2018 г.

През януари 2018 г. Microsoft пусна информация за наскоро открит клас хардуерни уязвимости (известен като Spectre и Meltdown), които включват спекулативни странични канали за изпълнение, които засягат ЦП на AMD, ARM и Intel до различна степен. На 21 май 2018 г. Google Project Zero (GPZ), Microsoft и Intel разкриха две уязвимости в новия чип, които са свързани с проблемите със Spectre и Meltdown, известни като спекулативно заобикаляне на Store (SSB) и четене на rogue System Registry.

Рискът на клиента от двете оповестявания е нисък.

За повече информация относно тези уязвимости вижте следните ресурси:

Отнася се за: Windows 10, версия 1607, Windows Server 2016, Windows Server 2016 (инсталиране на сървърно ядро) и Windows Server, версия 1709 (инсталация на сървърно ядро)

Предоставяме поддръжка за контрол върху използването на Indirect Branch Prediction Barrier (IBPB) в рамките на някои AMD процесори (ЦП) за предотвратяване на CVE-2017-5715, Spectre Variant 2, когато превключвате от контекст на потребителя към контекст на ядрото. (За повече информация вижте Указания за AMD архитектура около Indirect Branch Control и AMD security Актуализации).

Клиентите, които изпълняват Windows 10, версия 1607, Windows Server 2016, Windows Server 2016 (инсталация на ядро на сървър) и Windows Server, версия 1709 (инсталация на ядрото на сървъра), трябва да инсталират актуализация на защитата 4103723 за допълнителни смекчавания на последствията за AMD процесори за CVE-2017-5715, Branch Target Injection. Тази актуализация също е налична чрез актуализиране на Windows.

Следвайте инструкциите, които са описани в KB 4073119 за указания за Windows client (IT Pro) и KB 4072698 за указания за Windows Server за разрешаване на използването на IBPB в някои AMD процесори (ЦП) за предотвратяване на Spectre Variant 2, когато превключвате от контекст на потребителя към контекст на ядрото.

Microsoft прави достъпни валидирани от Intel актуализации на микрокод около Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). За да получат най-новите актуализации на микрокод на Intel чрез актуализиране на Windows, клиентите трябва да са инсталирали микрокод на Intel на устройства, работещи с операционна система Windows 10, преди да надстроят до актуализацията на Windows 10 април 2018 г. (версия 1803).

Актуализацията на микрокод е също така налична директно от каталога, ако не е инсталирана на устройството преди надстройването на операционната система. Микрокодът на Intel е достъпен чрез актуализиране на Windows, WSUS или каталога на Microsoft Update. За повече информация и инструкции за изтегляне вж. KB 4100347.

Ще предлагаме допълнителни актуализации на микрокод от Intel за операционната система Windows, когато станат налични за Microsoft.

Отнася се за: Windows 10, версия 1709

Предоставяме поддръжка за контрол върху използването на Indirect Branch Prediction Barrier (IBPB) в рамките на някои AMD процесори (ЦП) за предотвратяване на CVE-2017-5715, Spectre Variant 2, когато превключвате от контекст на потребителя към контекст на ядрото. (За повече информация вижте Указания за AMD архитектура около Indirect Branch Control и AMD security Актуализации).Следвайте инструкциите, описани в KB 4073119 за указания за Windows клиент (ИТ специалисти), за да разрешите използването на IBPB в някои AMD процесори (ЦП) за предотвратяване на Spectre Variant 2, когато превключвате от контекст на потребителя към контекст на ядрото.

Microsoft прави достъпни валидирани от Intel актуализации на микрокод около Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 изброява конкретни статии от базата знания по версия на Windows. Всяка конкретна KB съдържа най-новите налични актуализации на микрокод на Intel от ЦП.

Ще предлагаме допълнителни актуализации на микрокод от Intel за операционната система Windows, когато станат налични за Microsoft. 

Март 2018 г. и по-нови актуализации на операционната система Windows

23 март, TechNet Security Research & defense: KVA Shadow: Mitigating Meltdown on Windows

14 март, Технически център за защита: Условия на програмата за спекулативно изпълнение на страничния канал

13 март, блог: Актуализация на Защита в Windows март 2018 г. – разширява усилията ни за защита на клиентите

1 март, блог: Актуализация на актуализациите на защитата за Spectre и Meltdown за устройства с Windows

От март 2018 г. Microsoft пусна актуализации на защитата, за да предостави смекчавания на последствията за устройства, работещи със следните операционни системи Windows, базирани на x86. Клиентите трябва да инсталират най-новите актуализации на защитата за операционната система Windows, за да се възползват от наличните защити. Работим, за да предоставим защити за други поддържани версии на Windows, но засега нямаме график за издаване. Проверете тук за актуализации. За повече информация вижте съответната статия в базата знания за технически подробности и раздела "ЧЗВ".

Издадена актуализация на продукта

Състояние

Датата на издаване

Канал за издаване

KB

Windows 8.1 & Windows Server 2012 R2 – актуализация само на защитата

Издадено

13 март

WSUS, каталог,

KB4088879

Windows 7 SP1 & Windows Server 2008 R2 SP1 – актуализация само на защитата

Издадено

13 март

WSUS, каталог

KB4088878

Windows Server 2012 – актуализация само на защитата Windows 8 Embedded Standard Edition – актуализация само на защитата

Издадено

13 март

WSUS, каталог

KB4088877

Windows 8.1 & Windows Server 2012 R2 – месечен сборен пакет за актуализация

Издадено

13 март

WU, WSUS, каталог

KB4088876

Windows 7 SP1 & Windows Server 2008 R2 SP1 – месечен сборен пакет за актуализация

Издадено

13 март

WU, WSUS, каталог

KB4088875

Windows Server 2012 – месечен сборен пакет за актуализация Windows 8 Embedded Standard Edition – месечен сборен пакет за актуализация

Издадено

13 март

WU, WSUS, каталог

KB4088877

Windows Server 2008 SP2

Издадено

13 март

WU, WSUS, каталог

KB4090450

От март 2018 г. Microsoft издаде актуализации на защитата, за да предостави смекчавания на последствията за устройства, работещи със следните операционни системи Windows, базирани на x64. Клиентите трябва да инсталират най-новите актуализации на защитата за операционната система Windows, за да се възползват от наличните защити. Работим, за да предоставим защити за други поддържани версии на Windows, но засега нямаме график за издаване. Проверете тук за актуализации. За повече информация вижте съответната статия за база знания за технически подробности и раздела "ЧЗВ".

Издадена актуализация на продукта

Състояние

Датата на издаване

Канал за издаване

KB

Windows Server 2012 – актуализация само на защитата Windows 8 Embedded Standard Edition – актуализация само на защитата

Издадено

13 март

WSUS, каталог

KB4088877

Windows Server 2012 – месечен сборен пакет за актуализация Windows 8 Embedded Standard Edition – месечен сборен пакет за актуализация

Издадено

13 март

WU, WSUS, каталог

KB4088877

Windows Server 2008 SP2

Издадено

13 март

WU, WSUS, каталог

KB4090450

Тази актуализация обръща внимание на увеличаване на уязвимостта на привилегиите в ядрото на Windows в 64-битовата (x64) версия на Windows. Тази уязвимост е документирана в CVE-2018-1038. Потребителите трябва да приложат тази актуализация, за да бъдат напълно защитени срещу тази уязвимост, ако компютрите им са актуализирани на или след януари 2018 г. чрез прилагане на някоя от актуализациите, които са изброени в следната статия от базата знания:

Актуализация на ядрото на Windows за CVE-2018-1038

Тази актуализация на защитата коригира няколко докладвани уязвимости в Internet Explorer. За да научите повече за тези уязвимости, вижте Често срещани уязвимости и експозиции на Microsoft

Издадена актуализация на продукта

Състояние

Датата на издаване

Канал за издаване

KB

Internet Explorer 10 – кумулативна актуализация за Windows 8 Embedded Standard Edition

Издадено

13 март

WU, WSUS, каталог

KB4089187

Актуализации на операционната система Windows от февруари 2018 г.

Блог: Windows Analytics сега помага за оценяването на защитите срещу Spectre и Meltdown

Следните актуализации на защитата предоставят допълнителни защити за устройства, работещи с 32-битови (x86) операционни системи Windows. Microsoft препоръчва на клиентите да инсталират актуализацията веднага щом е налична. Продължаваме да работим за предоставяне на защити за други поддържани версии на Windows, но засега нямаме график за издаване. Проверете тук за актуализации. 

Забележка Windows 10 месечните актуализации на защитата се кумулативт месец по месец и ще се изтеглят и инсталират автоматично от актуализиране на Windows. Ако сте инсталирали по-ранни актуализации, само новите части ще бъдат изтеглени и инсталирани на вашето устройство. За повече информация вижте съответната статия в базата знания за технически подробности и раздела "ЧЗВ".

Издадена актуализация на продукта

Състояние

Датата на издаване

Канал за издаване

KB

Windows 10 – версия 1709 / Windows Server 2016 (1709) / IoT Core – актуализация на качеството

Издадено

31 януари

WU, каталог

KB4058258

Windows Server 2016 (1709) – сървър контейнер

Издадено

13 февруари

Docker Hub

KB4074588

Windows 10 – версия 1703 / IoT Core – актуализация на качеството

Издадено

13 февруари

WU, WSUS, каталог

KB4074592

Windows 10 – версия 1607 / Windows Server 2016 / IoT Core – актуализация на качеството

Издадено

13 февруари

WU, WSUS, каталог

KB4074590

Windows 10 HoloLens – Актуализации на операционната система и фърмуера

Издадено

13 февруари

WU, каталог

KB4074590

Windows Server 2016 (1607) – изображения в контейнер

Издадено

13 февруари

Docker Hub

KB4074590

Windows 10 – версия 1511 / IoT Core – актуализация на качеството

Издадено

13 февруари

WU, WSUS, каталог

KB4074591

Windows 10 – версия RTM – актуализация на качеството

Издадено

13 февруари

WU, WSUS, каталог

KB4074596

Актуализации на операционната система Windows от януари 2018 г.

Блог: Разбиране на въздействието върху производителността на предпазните мерки за Spectre и Meltdown върху системите на Windows

От януари 2018 г. Microsoft издаде актуализации на защитата, за да предостави смекчавания на последствията за устройства, работещи със следните операционни системи Windows, базирани на x64. Клиентите трябва да инсталират най-новите актуализации на защитата за операционната система Windows, за да се възползват от наличните защити. Работим, за да предоставим защити за други поддържани версии на Windows, но засега нямаме график за издаване. Проверете тук за актуализации. За повече информация вижте съответната статия в базата знания за технически подробности и раздела "ЧЗВ".

Издадена актуализация на продукта

Състояние

Датата на издаване

Канал за издаване

KB

Windows 10 – версия 1709 / Windows Server 2016 (1709) / IoT Core – актуализация на качеството

Издадено

3 януари

WU, WSUS, каталог, галерия с изображения на Azure

KB4056892

Windows Server 2016 (1709) – сървър контейнер

Издадено

5 януари

Docker Hub

KB4056892

Windows 10 – версия 1703 / IoT Core – актуализация на качеството

Издадено

3 януари

WU, WSUS, каталог

KB4056891

Windows 10 – версия 1607 / Windows Server 2016 / IoT Core – актуализация на качеството

Издадено

3 януари

WU, WSUS, каталог

KB4056890

Windows Server 2016 (1607) – изображения в контейнер

Издадено

4 януари

Docker Hub

KB4056890

Windows 10 – версия 1511 / IoT Core – актуализация на качеството

Издадено

3 януари

WU, WSUS, каталог

KB4056888

Windows 10 – версия RTM – актуализация на качеството

Издадено

3 януари

WU, WSUS, каталог

KB4056893

Windows 10 Mobile (компилация на ОС 15254.192) – ARM

Издадено

5 януари

WU, каталог

KB4073117

Windows 10 Mobile (компилация на ОС 15063.850)

Издадено

5 януари

WU, каталог

KB4056891

Windows 10 Mobile (компилация на ОС 14393.2007)

Издадено

5 януари

WU, каталог

KB4056890

Windows 10 HoloLens

Издадено

5 януари

WU, каталог

KB4056890

Windows 8.1 / Windows Server 2012 R2 – актуализация само на защитата

Издадено

3 януари

WSUS, каталог

KB4056898

Windows Embedded 8.1 Industry Enterprise

Издадено

3 януари

WSUS, каталог

KB4056898

Windows Embedded 8.1 Industry Pro

Издадено

3 януари

WSUS, каталог

KB4056898

Windows Embedded 8.1 Pro

Издадено

3 януари

WSUS, каталог

KB4056898

Месечен сборен пакет за актуализация за Windows 8.1 / Windows Server 2012 R2

Издадено

8 януари

WU, WSUS, каталог

KB4056895

Windows Embedded 8.1 Industry Enterprise

Издадено

8 януари

WU, WSUS, каталог

KB4056895

Windows Embedded 8.1 Industry Pro

Издадено

8 януари

WU, WSUS, каталог

KB4056895

Windows Embedded 8.1 Pro

Издадено

8 януари

WU, WSUS, каталог

KB4056895

Windows Server 2012 – само на защитата

Издадено

WSUS, каталог

Windows Server 2008 SP2

Издадено

WU, WSUS, каталог

Месечен сборен пакет за актуализация за Windows Server 2012

Издадено

WU, WSUS, каталог

Windows Embedded 8 Standard

Издадено

WU, WSUS, каталог

Windows 7 SP1 / Windows Server 2008 R2 SP1 – актуализация само на защитата

Издадено

3 януари

WSUS, каталог

KB4056897

Windows Embedded Standard 7

Издадено

3 януари

WSUS, каталог

KB4056897

Windows Embedded POSReady 7

Издадено

3 януари

WSUS, каталог

KB4056897

Windows Thin PC

Издадено

3 януари

WSUS, каталог

KB4056897

Месечен сборен пакет за актуализация за Windows 7 SP1 / Windows Server 2008 R2 SP1

Издадено

4 януари

WU, WSUS, каталог

KB4056894

Windows Embedded Standard 7

Издадено

4 януари

WU, WSUS, каталог

KB4056894

Windows Embedded POSReady 7

Издадено

4 януари

WU, WSUS, каталог

KB4056894

Windows Thin PC

Издадено

4 януари

WU, WSUS, каталог

KB4056894

Internet Explorer 11 – кумулативна актуализация за Windows 7 SP1 и Windows 8.1

Издадено

3 януари

WU, WSUS, каталог

KB4056568

На 9 април 2024 г. публикувахме CVE-2022-0001 | Intel Branch History Injection , което описва branch History Injection (BHI), което е специфична форма на BTI в режим "интра режим". Тази уязвимост възниква, когато атакуващ може да манипулира хронологията на клона преди преминаване от потребител към режим на супервайзор (или от VMX режим, който не е корен/гост в коренен режим). Тази обработка може да доведе до избор на конкретен запис на прогнозиращ за непряк клон от предсказване, а притурка за разкриване при прогнозираната цел ще се изпълни временно. Това може да е възможно, тъй като съответната хронология на клона може да съдържа клонове, взети в предишни контексти на защитата, и по-специално други режими на прогнозиране.

Следвайте инструкциите, които са описани в указанията за KB4073119 за Windows client (IT Pro) и KB4072698 за указания за Windows Server за намаляване на уязвимостите, описани в CVE-2022-0001 | Intel branch History Injection.

Ресурси и технически указания

В зависимост от вашата роля следните статии за поддръжка могат да ви помогнат да идентифицирате и смекчите клиентските и сървърните среди, които са засегнати от уязвимостите Spectre и Meltdown.

Microsoft Security Advisory for L1 Terminal Fault (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646

Изследване и защита на защитата: Анализ и смекчаване на спекулативно заобикаляне на магазина (CVE-2018 г. – 3639 г.)

Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639

Microsoft Security Advisory for Rogue System Register Read | Ръководство за актуализация на защитата за Surface: MSRC ADV180013и CVE-2018-3640

Изследване и защита на защитата: Анализ и смекчаване на спекулативно заобикаляне на магазина (CVE-2018 г. – 3639 г.)

TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown on Windows

Технически център за защита: Условия на програмата за награда за страничен канал за спекулативно изпълнение

Блог за изживяването на Microsoft: Актуализиране на актуализациите на защитата за Spectre и Meltdown за устройства с Windows

Блог за Windows за бизнеса: Windows Analytics сега помага за оценяването на защитите срещу Spectre и Meltdown

Блог за защитата на Microsoft: Разбиране на въздействието върху производителността на предпазните мерки за Spectre и Meltdown върху системите на Windows

Блог за разработчици на Edge: Ограничаване на атаките на страничен канал при спекулативно изпълнение в Microsoft Edge и Internet Explorer

Блог на Azure: Защита на клиентите на Azure от уязвимост на ЦП

указания за SCCM: Допълнителни указания за намаляване на уязвимостите в страничен канал при спекулативно изпълнение

Microsoft Advisories:

Intel: Security Advisory

ARM: Security Advisory

AMD: Security Advisory

NVIDIA: Security Advisory

Указания за потребителите: Защита на вашето устройство срещу уязвимости на защитата, свързани с чиповете

Антивирусни указания: Актуализации на защитата на Windows, издадени на 3 януари 2018 г., и антивирусен софтуер

Указания за блок за актуализация на защитата на OS Windows на AMD: KB4073707: блок за актуализация на защитата на операционната система Windows за някои устройства, базирани на AMD

Актуализация за забраняване на смекчаването срещу Spectre, вариант 2: KB4078130: Intel идентифицира проблеми с рестартирането с микрокода на някои по-стари процесори 

Указания за Surface: Указания за Surface за защита срещу уязвимости в страничен канал при спекулативно изпълнение

Проверка на състоянието на намаляването на страничен канал при спекулативно изпълнение: Разбиране Get-SpeculationControlSettings резултата от скрипт на PowerShell

Указания за ИТ специалисти: Указания за windows клиенти за ИТ специалисти за защита срещу уязвимости в страничен канал при спекулативно изпълнение

Указания за сървъри: Указания за Windows Server, които да ви помогнат да се защитите срещу уязвимостите в страничен канал при спекулативно изпълнение

Указания за сървъра за терминална грешка L1: Указания за сървър на Windows за защита срещу грешка на L1 терминал

Указания за разработчици: Указания за разработчици за спекулативно заобикаляне на Магазина

Указания за сървъра Hyper-V

Azure KB: KB4073235: Защита в облака на Microsoft срещу спекулативно изпълнение Side-Channel уязвимости

Указания за Azure Stack: KB4073418: Указания за Azure stack, които да ви помогнат да се защитите срещу уязвимостите в страничен канал при спекулативно изпълнение

Надеждност на Azure: Портал за надеждност на Azure

указания за SQL Server: KB4073225: указания за SQL Server, които да ви помогнат да се защитите срещу уязвимостите в страничен канал при спекулативно изпълнение

Връзки към OEM и производители на устройства със сървър за актуализации за защита срещу уязвимости в Spectre и Meltdown

За да се справите с тези уязвимости, трябва да актуализирате хардуера и софтуера си. Използвайте следните връзки, за да проверите при производителя на вашето устройство за приложими актуализации на фърмуера (микрокода).

Използвайте следните връзки, за да се консултирате с производителя на вашето устройство за актуализации на фърмуера (микрокода). Ще трябва да инсталирате актуализации както за операционната система, така и за фърмуера (микрокод) за всички налични защити.

Производители на OEM устройства

Връзка към наличност на микрокода

Acer

Уязвимости в защитата на Meltdown и Spectre

Asus

Актуализация на ASUS за спекулативно изпълнение и метод за анализ на страничен канал за предсказване на косвени клони

Dell

Уязвимости в Meltdown и Spectre

Epson

Уязвимости на ЦП (атаки на странични канали)

Fujitsu

Хардуер на ЦП, уязвим за атаки на странични канали (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HP

КОМУНИКАЦИЯ ЗА ПОДДРЪЖКА – БЮЛЕТИН ЗА СИГУРНОСТТА

Lenovo

Четене на привилегирована памет със страничен канал

LG

Получаване на поддръжка за помощ & продукти

NEC

Относно реакцията на уязвимостта на процесора (топене, спектър) в нашите продукти

Panasonic

Информация за защитата за уязвимост чрез спекулативно изпълнение и метод за анализ на страничен канал за предсказване на косвени клони

Samsung

Съобщение за актуализация на софтуер на Intel ЦП

Surface

Указания за Surface, които да ви помогнат да се защитите срещу уязвимостите в страничен канал при спекулативно изпълнение

Toshiba

Intel, AMD & спекулативно изпълнение на Microsoft и уязвимости в защитата на метода за анализ на странични канали на indirect branch Prediction (2017)

Vaio

Относно поддръжката на уязвимости за анализ на странични канали

Производителите на OEM сървъри

Връзка към наличност на микрокода

Dell

Уязвимости в Meltdown и Spectre

Fujitsu

Хардуер на ЦП, уязвим за атаки на странични канали (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HPE

Hewlett Packard Предупреждения за уязвимост на защитата на корпоративни продукти

Huawei

Security Notice - Statement on the Media Disclosure of the Security Vulnerabilities in the Intel CPU Architecture Design

Lenovo

Четене на привилегирована памет със страничен канал

Често задавани въпроси

Ще трябва да се консултирате с производителя на устройството за актуализации на фърмуера (микрокода). Ако производителят на вашето устройство не е посочен в таблицата, свържете се директно с производителя на вашето OEM устройство.

Актуализации за устройства Microsoft Surface са достъпни за клиентите чрез актуализиране на Windows. За списък с наличните актуализации на фърмуера на устройството Surface (микрокод) вижте KB 4073065.

Ако вашето устройство не е от Microsoft, приложете актуализации на фърмуера от производителя на устройството. Свържете се с производителя на устройствотоза повече информация.

Разрешаването на уязвимост на хардуера чрез използване на актуализация на софтуера създава значителни предизвикателства и смекчавания на последствията за по-старите операционни системи и може да изисква значителни архитектурни промени. Продължаваме да работим с производителите на засегнати чипове, за да проучим най-добрия начин за предоставяне на смекчавания на последствията. Това може да бъде предоставено в бъдеща актуализация. Замяната на по-стари устройства, които работят с тези по-стари операционни системи, както и актуализирането на антивирусния софтуер, трябва да адресират оставащия риск.

Забележки: 

  • Продукти, които в момента са извън базовата и разширената поддръжка, няма да получат тези актуализации на системата. Препоръчваме на клиентите да актуализират до поддържана системна версия. 

  • Спекулативното изпълнение на атаките на страничните канали използва поведението и функционалността на ЦП. Производителите на ЦП трябва първо да определят кои процесори могат да бъдат изложени на риск, след което да уведомят Microsoft. В много случаи съответните актуализации на операционната система също ще бъдат необходими, за да се осигури на клиентите по-цялостна защита. Препоръчваме на производителите на Windows CE, работещи със защитата, да работят с производителя на техните чипове, за да разберат уязвимостите и приложимите смекчавания.

  • Няма да издаваме актуализации за следните платформи:

    • Операционни системи Windows, които в момента не се поддържат, или тези, на които им предстои край на услугата (EOS) през 2018 г.

    • Базирани на Windows XP системи, включително WES 2009 и POSReady 2009

Въпреки че системите, базирани на Windows XP, са засегнати продукти, Microsoft не издава актуализация за тях, тъй като цялостните архитектурни промени, които биха били необходими, биха застрашили стабилността на системата и биха довело до проблеми със съвместимостта на приложенията. Препоръчваме на клиентите, които вземат сериозно защитата, да надстроят до по-нова поддържана операционна система, за да са в крак с променливия пейзаж на заплахите за защитата и да могат да се възползват от по-стабилните защити, които предоставят по-новите операционни системи.

Актуализации да Windows 10 за HoloLens са налични за клиенти на HoloLens чрез актуализиране на Windows.

След като приложат актуализацията на Защита в Windows февруари 2018 г., клиентите на HoloLens не трябва да предприемат никакви допълнителни действия, за да актуализират фърмуера на устройството си. Тези смекчавания също ще бъдат включени във всички бъдещи издания на Windows 10 за HoloLens.

Свържете се с вашия OEM за повече информация.

За да бъде вашето устройство напълно защитено, трябва да инсталирате най-новите актуализации на защитата за операционната система Windows за вашето устройство и приложими актуализации на фърмуера (микрокод) от производителя на вашето устройство. Тези актуализации трябва да са налични на уеб сайта на производителя на вашето устройство. Първо трябва да се инсталират актуализациите на антивирусния софтуер. Актуализациите на операционната система и фърмуера може да се инсталират в какъвто и да е ред.

Ще трябва да актуализирате хардуера и софтуера си, за да се справите с тази уязвимост. Също така ще трябва да инсталирате приложимите актуализации на фърмуера (микрокод) от производителя на вашето устройство за по-цялостна защита. Препоръчваме ви да поддържате вашите устройства актуализирани, като инсталирате ежемесечно актуализациите на защитата.

Във всяка Windows 10 актуализация на функциите ние създаваме най-новата технология за защита дълбоко в операционната система, предоставяйки функции за защита в дълбочина, които предотвратяват цели класове злонамерен софтуер да повлияят на вашето устройство. Цели се изданията на актуализации на функции да са два пъти в годината. Във всяка месечна актуализация на качеството добавяме още един слой на защита, който проследява възникващите и променящите се тенденции в злонамерения софтуер, за да направим актуалните системи по-безопасни в лицето на променящите се и еволюиращите заплахи.

Microsoft премахна проверката за съвместимост с AV за актуализации на защитата на Windows за поддържаните версии на Windows 10, Windows 8.1 и устройства с Windows 7 SP1 чрез актуализиране на Windows. Препоръки:

  • Уверете се, че вашите устройства са актуализирани, като имате най-новите актуализации на защитата от Microsoft и вашия производител на хардуер. За повече информация относно това как да поддържате устройството си актуализирано вж. актуализиране на Windows: ЧЗВ.

  • Продължавайте да бъдете внимателни, когато посещавате уеб сайтове с неизвестен произход, и не оставайте на сайтове, на които не се доверявате. Microsoft препоръчва всички клиенти да защитят своите устройства, като изпълняват поддържана антивирусна програма. Клиентите могат също да се възползват от вградената антивирусна защита: Windows Defender за устройства с Windows 10 или Microsoft Security Essentials за устройства с Windows 7. Тези решения са съвместими в случаи, в които клиентите не могат да инсталират или изпълняват антивирусен софтуер.

За да се избегне нежеланото въздействие върху клиентските устройства, актуализациите на защитата на Windows, издадени през януари или февруари, не са предлагани на всички клиенти. За подробности вижте статията в базата знания на Microsoft 4072699

Intel съобщи за проблеми , които засягат наскоро издадения микрокод, който е предназначен за адресиране на Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection"). По-конкретно, Intel отбеляза, че този микрокод може да доведе до "по-високи от очакваните рестартирания и друго непредсказуемо поведение на системата", както и че ситуации като това може да предизвикат "загуба на данни или повреда".  Нашият собствен опит е, че нестабилността на системата може в някои случаи да причини загуба на данни или повреда. На 22 януари Intel препоръча на клиентите да спрат да разполагат текущата версия на микрокода на засегнатите процесори, докато извършват допълнително тестване на актуализираното решение. Разбираме, че Intel продължава да проучва потенциалното въздействие на текущата версия на микрокода и насърчаваме клиентите да преглеждат насоките си редовно, за да информират за решенията си.

Докато Intel тества, актуализира и разполага нов микрокод, ние предоставяме актуална (OOB) актуализация, KB 4078130, която специално забранява само смекчаването срещу CVE-2017-5715 – "Branch Target Injection". В нашите тестове е установено, че тази актуализация предотвратява описаното поведение. За пълния списък с устройства вижте указанията за редакция на микрокода на Intel. Тази актуализация включва Windows 7 (SP1), Windows 8.1, както и всички версии на Windows 10, за клиенти и сървъри. Ако използвате засегнато устройство, тази актуализация може да бъде приложена, като я изтеглите от уеб сайта Каталог на Microsoft Update. Прилагането на този полезен обем специално забранява само смекчаването срещу CVE-2017-5715 – "Branch Target Injection". 

От 25 януари няма известни отчети, които да показват, че Spectre Variant 2 (CVE-2017-5715) е бил използван за атака на клиенти. Препоръчваме, когато е необходимо, клиентите на Windows да разрешат повторно смекчаването срещу CVE-2017-5715, когато Intel съобщи, че това непредсказуемо поведение на системата е отстранено за вашето устройство.

Не. Актуализациите само на защитата не са кумулативни. В зависимост от версията на операционната система, която използвате, трябва да инсталирате всички издадени актуализации само за защита, за да бъдете защитени срещу тези уязвимости. Например ако работите с Windows 7 за 32-битови системи на засегнат процесор Intel, трябва да инсталирате всяка актуализация само за защита, започвайки от януари 2018 г. Препоръчваме да инсталирате тези актуализации само за защита в реда на издаване.  Забележка По-стара версия на тези ЧЗВ неправилно заяви, че актуализацията само за защитата от февруари включва корекциите на защитата, издадени през януари. Всъщност не е така.

Не. Актуализацията на защитата 4078130 беше конкретна корекция, за да предотврати непредсказуемо поведение на системата, проблеми с производителността и неочаквани рестартирания след инсталирането на микрокода. Прилагането на актуализациите на защитата от февруари на клиентски операционни системи на Windows позволява и трите смекчавания. В операционните системи Windows Server все още трябва да разрешите смекчаванията след извършване на подходящо тестване. Вижте статията в базата знания на Microsoft 4072698 за повече информация.

AMD наскоро обяви, че са започнали да пускат микрокод за по-нови платформи на ЦП около Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). За повече информация вижте amd security Актуализации и AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Те са достъпни от канала на фърмуера за OEM. 

Intel наскоро обяви, че са завършили своите проверки и са започнали да пускат микрокод за по-нови платформи на процесора. Microsoft прави достъпни валидирани от Intel актуализации на микрокод около Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB 4093836 изброява конкретни статии от базата знания по версия на Windows. Всяка конкретна KB съдържа налични актуализации на микрокод на Intel от ЦП.

Microsoft прави достъпни валидирани от Intel актуализации на микрокод около Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). За да получат най-новите актуализации на микрокод на Intel чрез актуализиране на Windows, клиентите трябва да са инсталирали микрокод на Intel на устройства, работещи с операционна система Windows 10, преди да надстроят до актуализацията на Windows 10 април 2018 г. (версия 1803).

Актуализацията на микрокода също е налична директно от каталога за актуализиране, ако не е била инсталирана на устройството преди надстройването на системата. Микрокодът на Intel е достъпен чрез актуализиране на Windows, WSUS или каталога на Microsoft Update. За повече информация и инструкции за изтегляне вж. KB 4100347.

За подробности вижте разделите "Препоръчителни действия" и "ЧЗВ" в ADV180012 | Указания на Microsoft за спекулативно заобикаляне на Магазина.

За да се провери състоянието на SSBD, скриптът на Get-SpeculationControlSettings PowerShell е актуализиран, за да се открият засегнатите процесори, състоянието на актуализациите на SSBD операционната система и състоянието на микрокода на процесора, ако е приложимо. За повече информация и за да получите скрипта на PowerShell, вижте KB4074629.

На 13 юни 2018 г. беше обявена и възложена на CVE-2018-3665 допълнителна уязвимост, включваща спекулативно изпълнение в страничен канал, известна като възстановяване на състоянието на Lazy FP. Няма настройки за конфигуриране (системен регистър), необходими за възстановяването на FP на Lazy.

За повече информация относно тази уязвимост и препоръчителни действия вижте Съвети за защитата: ADV180016 | Указания на Microsoft за възстановяване на състоянието на Lazy FP

ЗабележкаНяма настройки за конфигуриране (системен регистър), необходими за възстановяването на FP на Lazy.

Заобикаляне на границите на магазина (BCBS) е разкрито на 10 юли 2018 г. и е присвоено CVE-2018-3693. Смятаме, че BCBS принадлежи към същия клас уязвимости като заобикаляне на проверката за граници (вариант 1). В момента не сме наясно с никакви екземпляри на BCBS в нашия софтуер, но продължаваме да проучваме този клас на уязвимост и ще работим с партньори от отрасъла, за да издаваме смекчавания на последствията, както е необходимо. Продължаваме да насърчаваме изследователите да представят каквито и да било съответни констатации в програмата за оценка на страничен канал за спекулативно изпълнение, включително всички използваеми екземпляри на БКБН. Разработчиците на софтуер трябва да прегледат насоките за разработчици, които са актуализирани за BCBS , на https://aka.ms/sescdevguide.

На 14 август 2018 г., L1 Terminal Fault (L1TF) беше обявена и присвоена няколко CVEs. Тези нови уязвимости в страничен канал при спекулативно изпълнение могат да се използват за четене на съдържанието на паметта в надеждна граница и ако бъдат използвани, могат да доведат до разкриване на информация. Има няколко вектора, чрез които атакуващ може да предизвика уязвимости в зависимост от конфигурираната среда. L1TF засяга процесори Intel® Core® и процесори Intel® Xeon®.

За повече информация относно тази уязвимост и подробен преглед на засегнатите сценарии, включително подхода на Microsoft за намаляване на L1TF, вижте следните ресурси:

Клиенти на Microsoft Surface: Клиентите, които използват Microsoft Surface и Surface Book продукти, трябва да следват указанията за Клиента на Windows, описани в Съвети за защитата: ADV180018 | Указания на Microsoft за предотвратяване на вариант L1TF. Вижте също статията в базата знания на Microsoft 4073065 за повече информация относно засегнатите продукти Surface и наличността на актуализациите на микрокода.

Клиенти на Microsoft Hololens: Microsoft HoloLens не се засяга от L1TF, тъй като не използва засегнат процесор Intel.

Стъпките, които са необходими за забраняване на Hyper-Threading, ще се различават от OEM към OEM, но обикновено са част от BIOS или инструментите за настройка и конфигуриране на фърмуера.

Клиентите, които използват 64-битови ARM процесори, трябва да проверят при OEM устройството за поддръжка на фърмуера, защото защитите на ARM64 операционната система, които смекчават CVE-2017-5715 - Branch target injection (Spectre, Variant 2), изискват най-новата актуализация на фърмуера от OEM на устройството, за да влязат в сила.

За подробности относно тази уязвимост вижте Ръководството за защита на Microsoft: CVE-2019-1125 | Уязвимост при разкриване на информация за ядрото на Windows.

Не сме наясно за нито един екземпляр на тази уязвимост при разкриване на информация, засягаща инфраструктурата на нашите услуги в облака.

Веднага щом разберем за този проблем, работихме бързо, за да го разрешим и да издадем актуализация. Твърдо вярваме в тясното партньорство с изследователи и партньори от отрасъла, за да направим клиентите по-защитени и не публикувахме подробности до вторник, 6 август, в съответствие с координираните практики за разкриване на уязвимости.

Справочни материали

Microsoft предоставя информация за връзка на трети лица, за да ви помогне да намерите допълнителна информация по тази тема. Тази информация за връзка може да се промени без предизвестие. Microsoft не гарантира точността на информацията за връзка на трети лица.

Нуждаете ли се от още помощ?

Искате ли още опции?

Разгледайте ползите от абонамента, прегледайте курсовете за обучение, научете как да защитите устройството си и още.

Общностите ви помагат да задавате и отговаряте на въпроси, да давате обратна връзка и да получавате информация от експерти с богати знания.