Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Azure Local (formerly Azure Stack HCI) Windows Server 2022 Windows Server 2019 Windows Server 2016

Datum ändern

Beschreibung ändern

9. August 2023

  • Inhalt zu CVE-2022-23816 entfernt, da die CVE-Nummer nicht verwendet wird

  • Ein dupliziertes Thema mit dem Titel „Intel Microcode-Updates“ im Abschnitt „Schritte zum Schutz Ihrer Windows-Geräte“ wurde entfernt

9. April 2024

  • „CVE-2022-0001 | Intel Branch History Injection“ hinzugefügt

Zusammenfassung

Dieser Artikel enthält Informationen und Updates für eine neue Klasse von siliconbasierten microarchitektonischen Sicherheitsanfälligkeiten und Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen, die viele moderne Prozessoren und Betriebssysteme betreffen. Es bietet außerdem  eine umfassende Liste von Windows-Client- und -Serverressourcen, mit denen Sie Ihre Geräte zu Hause, bei der Arbeit und im gesamten Unternehmen schützen können. Dazu gehören Intel, AMD und ARM. Spezifische Details von Sicherheitsanfälligkeiten zu diesen siliconbasierten Problemen finden Sie in den folgenden Sicherheitsempfehlungen und CVEs:

Am 3. Januar 2018 hat Microsoft eine Empfehlung und Sicherheitsupdates veröffentlicht, die sich auf eine neu entdeckte Klasse von Hardwaresicherheitsanfälligkeiten (bekannt als Spectre und Meltdown) beziehen. Hierbei handelt es sich um spekulative ausführungsseitige Channelangriffe, die AMD-, ARM- und Intel-Prozessoren in unterschiedlichem Ausmaß betreffen. Diese Klasse von Sicherheitsanfälligkeiten beruht auf einer weit verbreiteten Chiparchitektur, die ursprünglich entwickelt wurde, um Computer zu beschleunigen. Weitere Informationen zu dieser Sicherheitslücke finden Sie unter Google Project Zero.

Am 21. Mai 2018 haben Google Project Zero (GPZ), Microsoft und Intel zwei neue Chipsicherheitsanfälligkeiten im Zusammenhang mit Spectre und Meltdown veröffentlicht und als Speculative Store Bypass (SSB) und Rogue System Register Read bezeichnet werden. Für Kunden besteht bei beiden Sicherheitsanfälligkeiten ein geringes Risiko.

Weitere Informationen zu diesen Sicherheitsanfälligkeiten finden Sie in den unter Windows-Betriebssystemupdates vom Mai 2018 aufgelisteten Ressourcen sowie in den folgenden Sicherheitsempfehlungen:

Am 13. Juni 2018 wurde eine zusätzliche Sicherheitsanfälligkeit im Zusammenhang mit der spekulativen Ausführung von Seitenkanälen gemeldet, die als Lazy FP State Restore bezeichnet und unter CVE-2018-3665 gelistet wird. Weitere Informationen zu dieser Sicherheitsanfälligkeit und zu empfohlenen Maßnahmen finden Sie in der folgenden Sicherheitsempfehlung:

Am 14. August 2018 wurde L1 Terminal Fault (L1TF) – eine neue spekulative Execution-Side-Channel-Schwachstelle mit mehreren CVEs, bekannt gegeben. L1TF betrifft Intel® Core®-Prozessoren und Intel® Xeon®-Prozessoren. Weitere Informationen zu L1TF und empfohlenen Aktionen finden Sie in unserer Sicherheitsempfehlung:

Hinweis: Es wird empfohlen, alle aktuellen Updates über Windows Update zu installieren, bevor Sie Microcodeupdates installieren.

Am 14. Mai 2019 hat Intel Informationen über eine neue Unterklasse von spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten veröffentlicht, die als Microarchitectural Data Sampling bezeichnet werden. Ihnen wurden die folgenden CVEs zugewiesen:

Wichtige: Diese Probleme betreffen andere Systeme wie etwa Android, Chrome, iOS und MacOS. Wir raten Kunden, sich Informationen von den entsprechenden Herstellern einzuholen.

Microsoft hat Updates veröffentlicht, um das Risiko durch diese Sicherheitsanfälligkeiten zu mindern. Für den umfassenden Schutz sind Firmware (Microcode)- und Softwareupdates erforderlich. Dies beinhaltet möglicherweise Microcode von Geräte-OEMs. Unter Umständen kann durch die Installation dieser Updates die Leistung beeinträchtigt werden. Darüber hinaus haben wir Maßnahmen zum Schutz unserer Cloud Services ergriffen.

Hinweis: Es wird empfohlen, alle aktuellen Updates über Windows Update zu installieren, bevor Sie Microcodeupdates installieren.

Weitere Informationen zu diesen Problemen und zu empfohlenen Maßnahmen finden Sie in der folgenden Sicherheitsempfehlung:

Am 6. August 2019 hat Intel Details zu einer Sicherheitsanfälligkeit im Windows-Kernel bezüglich der Veröffentlichung von Informationen bekanntgegeben. Diese Verwundbarkeit ist eine Variante der Sicherheitsanfälligkeit von spekulativ ausgeführten Seitenkanälen in Spectre Variante 1 und wird unter CVE-2019-1125 gelistet.

Am 9. Juli 2019 hat Microsoft ein Sicherheitsupdate für das Windows-Betriebssystem veröffentlicht, um das Risiko aufgrund dieses Problems zu reduzieren. Kunden, die Windows Update aktiviert haben und die am 9. Juli 2019 veröffentlichten Sicherheitsupdates angewendet haben, sind automatisch geschützt. Beachten Sie, dass für diese Sicherheitsanfälligkeit kein Microcodeupdate von Ihrem Gerätehersteller (OEM) erforderlich ist.

Weitere Informationen zu dieser Sicherheitsanfälligkeit und zu entsprechenden Updates finden Sie unter CVE-2019-1125 | Sicherheitsanfälligkeit im Windows-Kernel bezüglich Veröffentlichung von Informationen im Leitfaden für Sicherheitsupdates von Microsoft.

Am 14. Juni 2022 hat Intel Informationen über eine neue Unterklasse von spekulativ ausgeführten, im speicher abgebildeten E/A (MMIO)-Seitenkanalanfälligkeiten veröffentlicht, die in der Empfehlung aufgeführt ist:

Schritte für den Schutz Ihrer Windows-Geräte

Möglicherweise müssen Sie sowohl Ihre Firmware (Microcode) als auch Ihre Software aktualisieren, um diese Sicherheitsanfälligkeiten zu beheben. Informationen zu empfohlenen Maßnahmen finden Sie in den Microsoft-Sicherheitshinweisen. Dazu gehören Updates von anwendbaren Firmwares (Microcode) von Geräteherstellern und in einigen Fällen Updates für Ihre Antivirensoftware. Wir empfehlen, Ihre Geräte auf dem neuesten Stand zu halten, indem Sie jeden Monat die Sicherheitsupdates installieren. 

Führen Sie die folgenden Schritte aus, um die neuesten Updates für Software und Hardware zu installieren.

Hinweis: Bevor Sie beginnen, vergewissern Sie sich, dass Ihre Antivirensoftware (AV) kompatibel und auf dem neuesten Stand ist. Lesen Sie auf der Website des Herstellers Ihrer Antivirensoftware die neuesten Kompatibilitätsinformationen.

  1. Aktivieren Sie den automatischen Empfang von Updates, damit Ihre Windows-Geräte immer dem neuesten Stand sind.

  2. Stellen Sie sicher, dass Sie das neueste Sicherheitsupdate von Microsoft für das Windows-Betriebssystem installiert haben. Auch wenn Sie automatische Updates aktiviert haben, sollten Sie überprüfen, ob die Updates wirklich installiert wurden. Anweisungen dazu finden Sie unter Windows Update: Häufig gestellte Fragen

  3. Installieren Sie alle verfügbaren Firmware (Microcode)-Updates Ihres Geräteherstellers. Alle Kunden müssen sich bei ihrem Gerätehersteller erkundigen, ob sie gerätespezifische Hardwareupdates herunterladen und installieren sollten. Im Abschnitt „Zusätzliche Ressourcen“ finden Sie eine Liste mit Websites von Geräteherstellern.

    Hinweis: Kunden sollten die neuesten Sicherheitsupdates von Microsoft für das Windows-Betriebssystem installieren, um von verfügbaren Schutzmaßnahmen zu profitieren. Updates für Antivirensoftware sollten zuerst installiert werden. Dann sollten Updates für das Betriebssystem und die Firmware folgen. Wir empfehlen, Ihre Geräte auf dem neuesten Stand zu halten, indem Sie jeden Monat die Sicherheitsupdates installieren. 

Betroffen sind Chips von Intel, AMD und ARM. Dies bedeutet, dass alle Geräte, auf denen Windows-Betriebssysteme ausgeführt werden, potenziell gefährdet sind. Beispielsweise Desktops, Laptops, Cloudserver und Smartphones. Geräte mit anderen Betriebssystemen wie Android, Chrome, iOS und macOS sind ebenfalls betroffen. Wir empfehlen Kunden, die diese Betriebssysteme verwenden, die Richtlinien der entsprechenden Anbieter zu befolgen.

Microsoft lagen zum Zeitpunkt der Veröffentlichung dieses Artikels keine Informationen vor, dass diese Sicherheitsanfälligkeiten für Angriffe auf Kunden ausgenutzt wurden.

Seit Januar 2018 veröffentlicht Microsoft Updates für Windows-Betriebssysteme und die Browser Internet Explorer und Edge, um das Risiko dieser Sicherheitsanfälligkeiten zu reduzieren und Kunden zu schützen. Darüber hinaus haben wir Updates zum Schutz unserer Clouddienste bereitgestellt.  Wir arbeiten weiterhin eng mit Branchenpartnern wie Chipherstellern, Geräteherstellern und App-Anbietern zusammen, um Kunden vor dieser Art von Sicherheitsanfälligkeiten zu schützen. 

Sie sollten stets die monatlichen Updates installieren, damit Ihre Geräte immer auf dem aktuellen Stand und geschützt sind. 

Wir werden diese Dokumentation aktualisieren, sobald neue Risikominderungen verfügbar sind, und Sie sollten deshalb regelmäßig hier nachschauen. 

Windows-Betriebssystemupdates vom Juli 2019

Am 6. August 2019 hat Intel Details zur Sicherheitsanfälligkeit CVE-2019-1125 | Sicherheitsanfälligkeit im Windows-Kernel bezüglich Veröffentlichung von Informationen bekanntgegeben. Sicherheitsupdates für diese Sicherheitsanfälligkeit wurden am 9. Juli 2019 im Rahmen der monatlichen Sicherheitsupdateveröffentlichung veröffentlicht.

Am 9. Juli 2019 hat Microsoft ein Sicherheitsupdate für das Windows-Betriebssystem veröffentlicht, um das Risiko aufgrund dieses Problems zu reduzieren. Wir haben die Veröffentlichung dieser Risikominderung bis zur koordinierten Branchenveröffentlichung am Dienstag, den 6. August 2019, zurückgehalten.

Kunden, die Windows Update aktiviert haben und die am 9. Juli 2019 veröffentlichten Sicherheitsupdates angewendet haben, sind automatisch geschützt. Beachten Sie, dass für diese Sicherheitsanfälligkeit kein Microcodeupdate von Ihrem Gerätehersteller (OEM) erforderlich ist.

Windows-Betriebssystemupdates vom Mai 2019

Am 14. Mai 2019 hat Intel Informationen über eine neue Unterklasse von spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten veröffentlicht, die als Microarchitectural Data Sampling bezeichnet werden und denen die folgenden CVEs zugewiesen wurden.

Weitere Informationen zu diesem Problem finden Sie in der folgenden Sicherheitsempfehlung, und bestimmen Sie anhand der szenariobasierten Anweisungen in den Artikeln für Windows-Clients und Windows-Server die erforderlichen Aktionen zur Reduzierung des Risikos durch diese Sicherheitsbedrohung:

Microsoft hat Schutzmaßnahmen für eine neue Unterklasse von Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen, die als Microarchitectural Data Sampling bezeichnet werden, für 64-Bit-Versionen (x64) von Windows veröffentlicht (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Verwenden Sie die Registrierungseinstellungen, wie in den Artikeln Windows Client (KB4073119) und Windows Server (KB4457951) beschrieben. Diese Registrierungseinstellungen sind für Windows-Client-Betriebssystemeditionen und Windows-Server-Betriebssystemeditionen standardmäßig aktiviert.

Es wird empfohlen, zunächst alle aktuellen Updates über Windows Update zu installieren, bevor Sie Microcodeupdates installieren.

Weitere Informationen zu diesem Problem und zu empfohlenen Maßnahmen finden Sie in der folgenden Sicherheitsempfehlung: 

Intel hat ein Microcodeupdate für neuere CPU-Plattformen herausgegeben, um das Risiko von CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 zu mindern. Das Windows-Update KB 4093836 vom 14. Mai 2019 enthält eine Liste mit Windowsdatenbank-Artikeln für die einzelnen Windows-Betriebssystemversionen.  Jeder Artikel enthält auch Links zu den verfügbaren Microcodeupdates von Intel basierend auf der CPU. Diese Updates sind über den Microsoft Update-Katalog verfügbar.

Hinweis: Es wird empfohlen, alle aktuellen Updates über Windows Update zu installieren, bevor Sie Microcodeupdates installieren.

Wir freuen uns ankündigen zu können, dass „Retpoline“ auf Geräten mit Windows 10, Version 1809 (Client und Server), standardmäßig aktiviert ist, wenn Spectre Variante 2 (CVE-2017-5715) aktiviert ist. Durch das Aktivieren von „Retpoline“ unter der neuesten Version von Windows 10 mithilfe des Updates vom 14. Mai 2019 (KB 4494441) erwarten wir insbesondere bei älteren Prozessoren eine Leistungsverbesserung.

Die Kunden sollten sicherstellen, dass bisherige Schutzmaßnahmen des Betriebssystems vor der Sicherheitsanfälligkeit durch Spectre Variante 2 mithilfe der in den Artikeln für Windows-Clients und Windows-Server beschriebenen Registrierungseinstellungen aktiviert sind. (Diese Registrierungseinstellungen sind für Windows-Client-Betriebssystemeditionen standardmäßig aktiviert, für Windows-Server-Betriebssystemeditionen standardmäßig deaktiviert.) Weitere Informationen zu "Retpoline" finden Sie unter Risikominderungen für Spectre Variante 2 mit Retpoline unter Windows.

Windows-Betriebssystemupdates vom November 2018

Microsoft hat Schutzmaßnahmen für Betriebssysteme bezüglich Speculative Store Bypass (CVE-2018-3639) für AMD-Prozessoren (CPUs) veröffentlicht.

Microsoft hat zusätzliche Schutzmaßnahmen für Betriebssysteme für Kunden veröffentlicht, die 64-Bit-ARM-Prozessoren verwenden. Wenden Sie sich an den OEM-Gerätehersteller wegen Firmwaresupport, da für Schutzmaßnahmen für ARM64-Betriebssysteme, die das Risiko von CVE-2018-3639https://na01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fcve.mitre.org%2Fcgi-bin%2Fcvename.cgi%3Fname%3DCVE-2018-3639&data=02%7C01%7Cv-dgit%40microsoft.com%7C7e8b7b202184435fb36e08d64a55192d%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C636778126689693375&sdata=BU9joalWH1JTNe0j8WXku92%2FuV2%2FG7MU%2BBiF7zF1eVU%3D&reserved=0 – Speculative Store Bypass mindern, das neueste Firmwareupdate Ihres Geräte-OEM erforderlich ist.

Windows-Betriebssystemupdates vom September 2018

Am 11. September 2018 hat Microsoft den monatlichen Rollup 4458010 für Windows Server 2008 SP2 und das reine Sicherheitsupdate 4457984 für Windows Server 2008 veröffentlicht, die Schutz vor einer neuen Sicherheitsanfälligkeit bezüglich spekulativer ausführungsseitiger Channelangriffe, die als „L1 Terminal Fault (L1TF)“ bezeichnet werden, bieten und Intel® Core®-Prozessoren und Intel® Xeon®-Prozessoren betreffen (CVE-2018-3620 und CVE-2018-3646). 

Diese Veröffentlichung vervollständigt die zusätzlichen Schutzmaßnahmen unter allen unterstützten Windows-Systemversionen über Windows Update. Weitere Informationen und eine Liste der betroffenen Produkte finden Sie unter ADV180018 | Leitfaden zur Risikominderung der L1TF-Variante.

Hinweis: Für Windows Server 2008 SP2 gilt nun das Windows-Standardmodell für die Bereitstellung von Rollups. Weitere Informationen zu diesen Änderungen finden Sie in unserem Blog Windows Server 2008 SP2 Wartungsänderungen. Kunden, die Windows Server 2008 ausführen, sollten 4458010 oder 4457984 zusätzlich zum Sicherheitsupdate 4341832 installieren, das am 14. August 2018 veröffentlicht wurde. Die Kunden sollten außerdem sicherstellen, dass bisherige Schutzmaßnahmen des Betriebssystems vor den Sicherheitsanfälligkeiten Spectre Variante 2 und Meltdown mithilfe der in den KB-Artikeln für Windows-Clients und Windows Server beschriebenen Registrierungseinstellungen aktiviert sind. Diese Registrierungseinstellungen sind für Windows-Client-Betriebssystemeditionen standardmäßig aktiviert, aber für Windows-Server-Betriebssystemeditionen standardmäßig deaktiviert.)

Microsoft hat zusätzliche Schutzmaßnahmen für Betriebssysteme für Kunden veröffentlicht, die 64-Bit-ARM-Prozessoren verwenden. Wenden Sie sich an den OEM-Gerätehersteller wegen Firmwaresupport, da für Schutzmaßnahmen für ARM64-Betriebssysteme, die das Risiko von CVE-2017-5715 – Branch Target Injection (Spectre, Variante 2) mindern, das neueste Firmwareupdate Ihrer Geräte-OEMs erforderlich ist, damit sie wirksam sind.

Windows-Betriebssystemupdates vom August 2018

Am 14. August 2018 wurde L1-Terminalfehler (L1TF) angekündigt und mehreren CVEs zugewiesen. Mithilfe von spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten kann der Inhalt des Arbeitsspeichers über eine Vertrauensstellung hinaus ausgelesen werden, was zur Veröffentlichung von Informationen führen kann. Es gibt mehrere Angriffsvektoren, mit deren Hilfe ein Angreifer die Sicherheitsanfälligkeiten in Abhängigkeit von der konfigurierten Umgebung auslösen kann. L1TF betrifft Intel® Core®-Prozessoren und Intel® Xeon®-Prozessoren.

Weitere Informationen zu L1TF und eine detaillierte Ansicht der betroffenen Szenarien, einschließlich Microsoft’ s Ansatz zur Minderung von L1TF finden Sie in den folgenden Quellen:

Windows-Betriebssystemupdates vom Juli 2018

Wir freuen uns ankündigen zu dürfen, dass Microsoft soeben zusätzliche Schutzmaßnahmen für alle unterstützten Windows-Betriebssystemversionen für die folgenden Sicherheitsanfälligkeiten über Windows Update veröffentlicht hat:

  • Spectre Variante 2 für AMD-Prozessoren

  • Speculative Store Bypass für Intel-Prozessoren

Am 13. Juni 2018 wurde eine zusätzliche Sicherheitsanfälligkeit im Zusammenhang mit der spekulativen Ausführung von Seitenkanälen gemeldet, die als Lazy FP State Restore bezeichnet und unter CVE-2018-3665 gelistet wird. Für „Lazy FP State Restore“ sind keine Konfigurationseinstellungen (Registrierung) erforderlich.

Weitere Informationen zu dieser Sicherheitsanfälligkeit, zu betroffenen Produkten und zu empfohlenen Maßnahmen finden Sie in der folgenden Sicherheitsempfehlung:

Am 12. Juni hat Microsoft die Unterstützung von Windows für Speculative Store Bypass Disable (SSBD) in Intel-Prozessoren angekündigt. Die Updates erfordern entsprechende Firmware (Microcode)- und Registrierungsupdates. Informationen zu den Updates und zu den erforderlichen Schritten zum Aktivieren von SSBD finden Sie im Abschnitt „Empfohlene Maßnahmen“ und in ADV180012 | Leitfaden von Microsoft für Speculative Store Bypass.

Windows-Betriebssystemupdates vom Mai 2018

Im Januar 2018 hat Microsoft Informationen über eine neu entdeckte Klasse von Hardwaresicherheitsanfälligeiten veröffentlicht (die als Spectre und Meltdown bezeichnet werden). Hierbei handelt es sich um spekulative ausführungsseitige Channelangriffe, die AMD-, ARM- und Intel-CPUs in unterschiedlichem Ausmaß betreffen. Am 21. Mai 2018 haben Google Project Zero (GPZ), Microsoft und Intel zwei neue Chipsicherheitsanfälligkeiten im Zusammenhang mit Spectre und Meltdown veröffentlicht, die als Speculative Store Bypass (SSB) und Rogue System Register Read bezeichnet werden.

Für Kunden besteht bei beiden Sicherheitsanfälligkeiten ein geringes Risiko.

Weitere Informationen zu diesen Sicherheitsanfälligkeiten finden Sie in den folgenden Ressourcen:

Gilt für: Windows 10, Version 1607, Windows Server 2016, Windows Server 2016 (Server Core-Installation) und Windows Server, Version 1709 (Server Core-Installation)

Wir haben Unterstützung bereitgestellt, um die Verwendung von Indirect Branch Prediction Barrier (IBPB) in einigen AMD-Prozessoren (CPUs) zu steuern, um CVE-2017-5715Spectre Variante 2 zu verringern, wenn Sie vom Benutzerkontext zum Kernelkontext wechseln. (Weitere Informationen finden Sie unter AMD Architecture Guidelines around Indirect Branch Control (AMD-Richtlinien zur Architektur bezüglich Indirect Branch Control) und in den AMD-Sicherheitsupdates).

Kunden, die Windows 10, Version 1607, Windows Server 2016, Windows Server 2016 (Server Core-Installation) oder Windows Server, Version 1709 (Server Core-Installation) ausführen, müssen das Sicherheitsupdate 4103723 installieren, um das Risiko von CVE-2017-5715, Branch Target Injection, für AMD-Prozessoren zu reduzieren. Dieses Update ist auch über Windows Update verfügbar.

Befolgen Sie die Anweisungen in KB 4073119 für den Windows-Client (IT Pro) und KB 4072698 für Windows Server, um die Verwendung von IBPB für bestimmte AMD-Prozessoren (CPUs) zu aktivieren und das Risiko von Spectre Variante 2 beim Umschalten vom Benutzerkontext auf den Kernelkontext zu reduzieren.

Microsoft stellt von Intel validierte Microcodeupdates im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection) zur Verfügung. Um die neuesten Microcodeupdates von Intel über Windows Update zu beziehen, müssen Kunden Microcode von Intel auf Geräten unter einem Windows 10-Betriebssystem installieren, bevor sie ein Upgrade auf Windows 10 April 2018 Update (Version 1803) durchführen können.

Das Microcodeupdate ist auch direkt über den Microsoft Update-Katalog verfügbar, falls es vor dem Upgrade des Betriebssystems nicht auf dem Gerät installiert wurde. Microcode von Intel ist über Windows Update, WSUS oder den Microsoft Update-Katalog verfügbar. Weitere Informationen und Anweisungen zum Herunterladen finden Sie unter KB 4100347.

Wir werden zusätzliche Microcodeupdates von Intel für das Windows-Betriebssystem anbieten, sobald diese Microsoft zur Verfügung stehen.

Gilt für: Windows 10, Version 1709

Wir bieten Support, um die Verwendung von Indirect Branch Prediction Barrier (IBPB) für bestimmte AMD-Prozessoren (CPUs) zu kontrollieren und das Risiko von CVE-2017-5715, Spectre Variante 2, beim Umschalten vom Benutzerkontext auf den Kernelkontext zu reduzieren. (Weitere Informationen finden Sie unter AMD Architecture Guidelines around Indirect Branch Control (AMD-Richtlinien zur Architektur bezüglich Indirect Branch Control) und in den AMD-Sicherheitsupdates). Befolgen Sie die Anweisungen in KB 4073119 für den Windows-Client (IT Pro), um die Verwendung von IBPB für bestimmte AMD-Prozessoren (CPUs) zu aktivieren und das Risiko von Spectre Variante 2 beim Umschalten vom Benutzerkontext auf den Kernelkontext zu reduzieren.

Microsoft stellt von Intel validierte Microcodeupdates im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) zur Verfügung. KB4093836 listet bestimmte Wissensdatenbank-Artikel nach Windows-Version auf. Jeder KB-Artikel enthält die neuesten verfügbaren Microcodeupdates von Intel nach CPU.

Wir werden zusätzliche Microcodeupdates von Intel für das Windows-Betriebssystem anbieten, sobald diese Microsoft zur Verfügung stehen. 

Windows-Betriebssystemupdates vom März 2018 und später

23. März, TechNet Security Research & Defense: KVA Shadow: Minderung von Meltdowns unter Windows

14. März, Security Tech Center: Bedingungen für das Bounty-Programm des Seitenkanals für spekulative Ausführung

13. März, Blog: März 2018 Windows-Sicherheits-Update – Erweiterung unserer Bemühungen zum Schutz von Kunden

1. März, Blog: Update für Spectre- und Meltdown-Sicherheitsupdates für Windows-Geräte

Ab März 2018 veröffentlicht Microsoft Sicherheitsupdates, um Risikominderungen für Geräte bereitzustellen, auf denen die folgenden x86-basierten Windows-Betriebssysteme ausgeführt werden. Kunden sollten die neuesten Sicherheitsupdates für das Windows-Betriebssystem installieren, um von verfügbaren Schutzmaßnahmen zu profitieren. Wir arbeiten daran, Schutzmaßnahmen für andere unterstützte Windows-Versionen bereitzustellen, aber derzeit gibt es keinen Zeitplan für die Veröffentlichung von Updates. Schauen Sie bitte regelmäßig hier nach, ob Updates verfügbar sind. Weitere Informationen finden Sie im entsprechenden Wissensdatenbank-Artikel und im Abschnitt „Häufig gestellte Fragen“.

Veröffentlichtes Produktupdate

Status

Datum der Veröffentlichung

Veröffentlichungskanal

KB

Windows 8.1 und Windows Server 2012 R2 – Reines Sicherheitsupdate

Released

13. März

WSUS, Katalog

KB4088879

Windows 7 SP1 und Windows Server 2008 R2 SP1 – Reines Sicherheitsupdate

Released

13. März

WSUS, Katalog

KB4088878

Windows Server 2012 – Sicherheitsupdate Windows 8 Embedded Standard Edition – Sicherheitsupdate

Released

13. März

WSUS, Katalog

KB4088877

Windows 8.1 und Windows Server 2012 R2 – Monatlicher Rollup

Released

13. März

WU, WSUS, Katalog

KB4088876

Windows 7 SP1 und Windows Server 2008 R2 SP1 – Monatlicher Rollup

Released

13. März

WU, WSUS, Katalog

KB4088875

Windows Server 2012 – Monatliches Rollup Windows 8 Eingebettete Standardedition – Monatliches Rollup

Released

13. März

WU, WSUS, Katalog

KB4088877

Windows Server 2008 SP2

Released

13. März

WU, WSUS, Katalog

KB4090450

Ab März 2018 veröffentlicht Microsoft Sicherheitsupdates, um Risikominderungen für Geräte bereitzustellen, auf denen die folgenden x64-basierten Windows-Betriebssysteme ausgeführt werden. Kunden sollten die neuesten Sicherheitsupdates für das Windows-Betriebssystem installieren, um von verfügbaren Schutzmaßnahmen zu profitieren. Wir arbeiten daran, Schutzmaßnahmen für andere unterstützte Windows-Versionen bereitzustellen, aber derzeit gibt es keinen Zeitplan für die Veröffentlichung von Updates. Schauen Sie bitte regelmäßig hier nach, ob Updates verfügbar sind. Weitere Informationen finden Sie im entsprechenden Wissensdatenbank-Artikel und im Abschnitt „Häufig gestellte Fragen“.

Veröffentlichtes Produktupdate

Status

Datum der Veröffentlichung

Veröffentlichungskanal

KB

Windows Server 2012 – Sicherheitsupdate Windows 8 Embedded Standard Edition – Sicherheitsupdate

Released

13. März

WSUS, Katalog

KB4088877

Windows Server 2012 – Monatliches Rollup Windows 8 Eingebettete Standardedition – Monatliches Rollup

Released

13. März

WU, WSUS, Katalog

KB4088877

Windows Server 2008 SP2

Released

13. März

WU, WSUS, Katalog

KB4090450

Dieses Update behebt eine Sicherheitsanfälligkeit bezüglich Rechteerweiterungen im Windows-Kernel der 64-Bit-Version (x64) von Windows. Diese Sicherheitsanfälligkeit ist in CVE-2018-1038 dokumentiert. Benutzer müssen dieses Update anwenden, um vor dieser Sicherheitsanfälligkeit vollständig geschützt zu sein, falls ihre Computer im Januar 2018 oder danach durch die Installation eines der im folgenden Knowledge Base-Artikel aufgelisteten Updates aktualisiert wurden:

Windows-Kernel-Update für CVE-2018-1038

Dieses Sicherheitsupdate behebt mehrere gemeldete Sicherheitsanfälligkeiten in Internet Explorer. Weitere Informationen zu diesen Sicherheitsanfälligkeiten finden Sie in den Microsoft-CVEs (Common Vulnerabilities and Exposures)

Veröffentlichtes Produktupdate

Status

Datum der Veröffentlichung

Veröffentlichungskanal

KB

Internet Explorer 10 – Kumulatives Update für Windows 8 Embedded Standard Edition

Released

13. März

WU, WSUS, Katalog

KB4089187

Windows-Betriebssystemupdates vom Februar 2018

Blog: Windows Analytics hilft jetzt bei der Bewertung von Spectre- und Meltdown-Schutzmaßnahmen

Die folgenden Sicherheitsupdates bieten zusätzlichen Schutz für Geräte mit 32-Bit-Versionen (x86) des Windows-Betriebssystems Microsoft empfiehlt Kunden, das Update zu installieren, sobald es verfügbar ist. Wir arbeiten auch weiterhin daran, Schutzmaßnahmen für andere unterstützte Windows-Versionen bereitzustellen, aber derzeit gibt es keinen Zeitplan für die Veröffentlichung von Updates. Schauen Sie bitte regelmäßig hier nach, ob Updates verfügbar sind. 

Hinweis Die monatlichen Windows 10-Sicherheitsupdates sind von Monat zu Monat kumulativ und werden automatisch über Windows Update heruntergeladen und installiert. Wenn Sie frühere Updates installiert haben, werden nur die neuen Komponenten heruntergeladen und auf Ihrem Gerät installiert. Weitere Informationen finden Sie im entsprechenden Knowledge Base-Artikel und im Abschnitt Häufig gestellte Fragen.

Veröffentlichtes Produktupdate

Status

Datum der Veröffentlichung

Veröffentlichungskanal

KB

Windows 10 – Version 1709 / Windows Server 2016 (1709) / IoT Core – Qualitätsupdate

Released

31. Januar

WU, Katalog

KB4058258

Windows Server 2016 (1709) – Servercontainer

Released

13. Februar

Docker-Hub

KB4074588

Windows 10 – Version 1703 / IoT Core – Qualitätsupdate

Released

13. Februar

WU, WSUS, Katalog

KB4074592

Windows 10 – Version 1607 / Windows Server 2016 / IoT Core – Qualitätsupdate

Released

13. Februar

WU, WSUS, Katalog

KB4074590

Windows 10 HoloLens – Betriebssystem- und Firmwareupdates

Released

13. Februar

WU, Katalog

KB4074590

Windows Server 2016 (1607) – Containerimages

Released

13. Februar

Docker-Hub

KB4074590

Windows 10 – Version 1511 / IoT Core – Qualitätsupdate

Released

13. Februar

WU, WSUS, Katalog

KB4074591

Windows 10 – Version RTM – Qualitätsupdate

Released

13. Februar

WU, WSUS, Katalog

KB4074596

Windows-Betriebssystemupdates vom Januar 2018

Blog: Auswirkungen der Schutzmaßnahmen gegen Spectre und Meltdown auf die Leistung von Windows-Systemen

Seit Januar 2018 veröffentlicht Microsoft Sicherheitsupdates, um Risikominderungen für Geräte bereitzustellen, auf denen die folgenden x64-basierten Windows-Betriebssysteme ausgeführt werden. Kunden sollten die neuesten Sicherheitsupdates für das Windows-Betriebssystem installieren, um von verfügbaren Schutzmaßnahmen zu profitieren. Wir arbeiten daran, Schutzmaßnahmen für andere unterstützte Windows-Versionen bereitzustellen, aber derzeit gibt es keinen Zeitplan für die Veröffentlichung von Updates. Schauen Sie bitte regelmäßig hier nach, ob Updates verfügbar sind. Weitere Informationen finden Sie im entsprechenden Knowledge Base-Artikel und im Abschnitt Häufig gestellte Fragen.

Veröffentlichtes Produktupdate

Status

Datum der Veröffentlichung

Veröffentlichungskanal

KB

Windows 10 – Version 1709 / Windows Server 2016 (1709) / IoT Core – Qualitätsupdate

Released

3. Januar

WU, WSUS, Katalog, Azure Image Gallery

KB4056892

Windows Server 2016 (1709) – Servercontainer

Released

5. Januar

Docker-Hub

KB4056892

Windows 10 – Version 1703 / IoT Core – Qualitätsupdate

Released

3. Januar

WU, WSUS, Katalog

KB4056891

Windows 10 – Version 1607 / Windows Server 2016 / IoT Core – Qualitätsupdate

Released

3. Januar

WU, WSUS, Katalog

KB4056890

Windows Server 2016 (1607) – Containerimages

Released

4. Januar

Docker-Hub

KB4056890

Windows 10 – Version 1511 / IoT Core – Qualitätsupdate

Released

3. Januar

WU, WSUS, Katalog

KB4056888

Windows 10 – Version RTM – Qualitätsupdate

Released

3. Januar

WU, WSUS, Katalog

KB4056893

Windows 10 Mobile (Betriebssystembuild 15254.192) – ARM

Released

5. Januar

WU, Katalog

KB4073117

Windows 10 Mobile (Betriebssystembuild 15063.850)

Released

5. Januar

WU, Katalog

KB4056891

Windows 10 Mobile (BS-Build 14393.2007)

Released

5. Januar

WU, Katalog

KB4056890

Windows 10 HoloLens

Released

5. Januar

WU, Katalog

KB4056890

Windows 8.1 / Windows Server 2012 R2 – Reines Sicherheitsupdate

Released

3. Januar

WSUS, Katalog

KB4056898

Windows Embedded 8.1 Industry Enterprise

Released

3. Januar

WSUS, Katalog

KB4056898

Windows Embedded 8.1 Industry Pro

Released

3. Januar

WSUS, Katalog

KB4056898

Windows Embedded 8.1 Pro

Released

3. Januar

WSUS, Katalog

KB4056898

Windows 8.1/Windows Server 2012 R2 – Monatlicher Rollup

Released

8. Januar

WU, WSUS, Katalog

KB4056895

Windows Embedded 8.1 Industry Enterprise

Released

8. Januar

WU, WSUS, Katalog

KB4056895

Windows Embedded 8.1 Industry Pro

Released

8. Januar

WU, WSUS, Katalog

KB4056895

Windows Embedded 8.1 Pro

Released

8. Januar

WU, WSUS, Katalog

KB4056895

Windows Server 2012 – Reines Sicherheitsupdate

Released

WSUS, Katalog

Windows Server 2008 SP2

Released

WU, WSUS, Katalog

Windows Server 2012 – Monatlicher Rollup

Released

WU, WSUS, Katalog

Windows Embedded 8 Standard

Released

WU, WSUS, Katalog

Windows 7 SP1 / Windows Server 2008 R2 SP1 – Reines Sicherheitsupdate

Released

3. Januar

WSUS, Katalog

KB4056897

Windows Embedded Standard 7

Released

3. Januar

WSUS, Katalog

KB4056897

Windows Embedded POSReady 7

Released

3. Januar

WSUS, Katalog

KB4056897

Windows Thin PC

Released

3. Januar

WSUS, Katalog

KB4056897

Windows 7 SP1 / Windows Server 2008 R2 SP1 – Monatlicher Rollup

Released

4. Januar

WU, WSUS, Katalog

KB4056894

Windows Embedded Standard 7

Released

4. Januar

WU, WSUS, Katalog

KB4056894

Windows Embedded POSReady 7

Released

4. Januar

WU, WSUS, Katalog

KB4056894

Windows Thin PC

Released

4. Januar

WU, WSUS, Katalog

KB4056894

Internet Explorer 11 – Kumulatives Update für Windows 7 SP1 und Windows 8.1

Released

3. Januar

WU, WSUS, Katalog

KB4056568

Am 9. April 2024 haben wir CVE-2022-0001 | Intel Branch History Injection veröffentlicht. Darin wird Branch History Injection (BHI), eine spezielle Form von Intra-Mode-BTI, beschrieben. Dieses Sicherheitsrisiko tritt auf, wenn ein Angreifer vor dem Wechsel vom Benutzer- in den Supervisor-Modus, d. h. vom VMX-Non-Root-Modus (Gast) in den Root-Modus, den Verzweigungsverlauf manipulieren kann. Diese Manipulation könnte dazu führen, dass ein Prädiktor für indirekte Verzweigungen einen bestimmten Prädiktoreintrag für eine indirekte Verzweigung auswählt und ein Offenlegungsgadget am vorhergesagten Ziel vorübergehend ausgeführt wird. Dies kann möglich sein, weil der relevante Verzweigungsverlauf Verzweigungen enthalten kann, die in früheren Sicherheitskontexten und insbesondere in anderen Prädiktormodi vorgenommen wurden.

Befolgen Sie die Anweisungen im KB4073119-Leitfaden für Windows-Clients (für IT-Experten) bzw. im KB4072698-Leitfaden für Windows Server, um die in CVE-2022-0001 | Intel Branch History Injection beschriebenen Sicherheitsrisiken zu beheben.

Ressourcen und technische Dokumentation

Je nach Ihrer Rolle können Ihnen die folgenden Supportartikel helfen, Client- und Serverumgebungen zu identifizieren und zu schützen, die von den Sicherheitslücken Spectre und Meltdown betroffen sind.

Microsoft-Sicherheitsempfehlungen:

Intel: Sicherheitsempfehlung

ARM: Sicherheitsempfehlung

ADM: Sicherheitsempfehlung

NVIDIA: Sicherheitsempfehlung

Kundenunterstützung: Schützen Sie Ihr Gerät vor Risiken durch Sicherheitslücken in Prozessoren

Antivirusunterstützung: Windows-Sicherheitsupdates vom 3. Januar 2018 und Antivirussoftware

Unterstützung bei Blockierung von Sicherheitsupdates auf AMD-Geräten: KB4073707: Blockierung bei Sicherheitsupdates für das Windows-Betriebssystem für manche AMD-basierte Geräte

Update zum Deaktivieren der Schutzmaßnahmen gegen Spectre, Variante 2: KB4078130: Intel hat Probleme beim Neustart mit Microcode auf einigen älteren Prozessoren identifiziert 

Surface-Unterstützung: Surface-Leitfaden für den Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen

Überprüfen Sie den Status der Risikominderungen spekulativ ausgeführter Seitenkanäle: Grundlegendes zur Get-SpeculationControlSettings PowerShell-Skriptausgabe

Leitfaden für IT-Experten: Leitfaden für IT-Experten zum Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen bei Windows-Clients

Server-Leitfaden: Windows Server-Leitfaden zum Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen

Serverleitfaden für L1-Terminalfehler: Windows Server-Leitfaden zum Schutz vor L1-Terminalfehlern

Entwicklerleitfaden: Entwicklerleitfaden für spekulative Speicherumgehung

Unterstützung für Server Hyper-V

Azure-KB: KB4073235: Microsoft Cloud-Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen

Unterstützung für Azure Stack: KB4073418: Azure Stack-Leitfaden für den Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen

Azure-Zuverlässigkeit: Azure-Zuverlässigkeitsportal

SQL Server-Leitfaden: KB4073225: SQL Server-Leitfaden für den Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen

Links zu OEM- und Server-Geräteherstellern bezüglich Updates zum Schutz vor den Sicherheitsanfälligkeiten Spectre und Meltdown

Zur Behebung dieser Sicherheitsanfälligkeiten müssen Sie sowohl Ihre Hardware als auch Ihre Software aktualisieren. Erkundigen Sie sich mithilfe der folgenden Links bei Ihrem Gerätehersteller nach entsprechenden Firmware (Microcode)-Updates.

Erkundigen Sie sich mithilfe der folgenden Links bei Ihrem Gerätehersteller nach Firmware (Microcode)-Updates. Sie müssen sowohl Betriebssystem- als auch Firmware (Microcode)-Updates für alle verfügbaren Schutzmechanismen installieren.

OEM-Gerätehersteller

Link für Microcodeverfügbarkeit

Acer

Meltdown- und Spectre-Sicherheitsanfälligkeiten

Asus

ASUS-Update für spekulative Ausführung und Indirect Branch Prediction Side Channel Analysis Method

Dell

Meltdown- und Spectre-Sicherheitsanfälligkeiten

Epson

CPU-Sicherheitsanfälligkeiten (Angriffe auf Seitenkanäle)

Fujitsu

CPU-Hardware anfällig für Seitenkanalangriffe (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HP

SUPPORTKOMMUNIKATION – SICHERHEITSBULLETIN

Lenovo

Lesen von privilegiertem Speicher mit einem Seitenkanal

LG

Produkthilfe und -support abrufen

NEC

Zur Reaktion auf die Sicherheitsanfälligkeit des Prozessors (Meltdown, Spektrum) in unseren Produkten

Panasonic

Sicherheitsinformationen zu Sicherheitsanfälligkeiten durch spekulative Ausführung und Indirect Branch Prediction Side Channel Analysis Method

Samsung

Intel CPUs Software-Updateankündigung

Oberfläche

Leitfaden zu Surface für den Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten

Toshiba

Intel, AMD & Microsoft spekulative Ausführung und Indirect Branch Prediction Side Channel Analysis Method-Sicherheitsanfälligkeiten (2017)

Vaio

Zur Sicherheitsanfälligkeit-Support für die Seitenkanalanalyse

OEM-Serverhersteller

Link für Microcodeverfügbarkeit

Dell

Meltdown- und Spectre-Sicherheitsanfälligkeiten

Fujitsu

CPU-Hardware anfällig für Seitenkanalangriffe (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HPE

Hewlett Packard Enterprise Product Security Vulnerability Alerts

Huawei

Sicherheitshinweis – Erklärung zur Veröffentlichung der Sicherheitsanfälligkeiten in den Medien im Intel CPU Architecture Design

Lenovo

Lesen von privilegiertem Speicher mit einem Seitenkanal

Häufig gestellte Fragen

Sie müssen sich beim Gerätehersteller nach Firmware (Microcode)-Updates erkundigen. Wenn Ihr Gerätehersteller nicht in der Tabelle aufgeführt ist, wenden Sie sich direkt an Ihren OEM.

Kunden erhalten Updates für Microsoft Surface-Geräte über Windows Update. Eine Liste der verfügbaren Firmware (Microcode)-Updates für Surface-Geräte finden Sie in KB 4073065.

Wenn Ihr Gerät nicht von Microsoft stammt, wenden Sie die Firmwareupdates des Geräteherstellers an. Weitere Informationen erhalten Sie von Ihrem Gerätehersteller.

Die Behebung einer Sicherheitsanfälligkeit bei Hardware mithilfe eines Softwareupdates stellt eine erhebliche Herausforderung dar, und Risikominderungen für ältere Betriebssysteme können umfangreiche Änderungen bei der Architektur erforderlich machen. Wir arbeiten eng mit den betroffenen Prozessorchipherstellern zusammen, um die bestmögliche Methode für Risikominderungen zu analysieren, die in einem zukünftigen Update bereitgestellt werden können. Durch das Ersetzen älterer Geräte mit diesen älteren Betriebssystemen sowie durch das Aktualisieren der Antivirensoftware sollten die verbleibenden Risiken beseitigt werden.

Hinweise: 

  • Produkte, für die grundlegender oder erweiterter Support abgelaufen ist, erhalten diese Betriebssystemupdates nicht. Wir empfehlen Kunden ein Update auf eine unterstützte Betriebssystemversion. 

  • Spekulative ausführungsseitige Channelangriffe nutzen das CPU-Verhalten und die CPU-Funktionalität aus. CPU-Hersteller müssen zunächst feststellen, welche Prozessoren möglicherweise einem Risiko ausgesetzt sind, und anschließend Microsoft benachrichtigen. In vielen Fällen sind auch entsprechende Betriebssystemupdates erforderlich, um Kunden umfassenderen Schutz zu bieten. Wir empfehlen sicherheitsbewussten Windows CE-Anbietern, mit ihren Chipherstellern zusammenzuarbeiten, um etwas über die Sicherheitsanfälligkeiten und entsprechende Risikominderungen zu erfahren.

  • Wir werden keine Updates für die folgenden Plattformen bereitstellen:

    • Windows-Betriebssysteme, die derzeit keinen Support erhalten oder bei denen der Ablauf des Diensts (EOS) im Jahr 2018 eintritt

    • Windows XP-basierte Systeme einschließlich WES 2009 und POSReady 2009

Obwohl Systeme unter Windows XP betroffene Produkte sind, veröffentlicht Microsoft für dieses Problem kein Update, da die erforderlichen umfassenden Architekturänderungen die Systemstabilität gefährden und Kompatibilitätsprobleme bei Anwendungen verursachen würden. Wir empfehlen sicherheitsbewussten Kunden, ein Upgrade auf ein neueres Betriebssystem vorzunehmen, um mit den sich ändernden Sicherheitsbedrohungen Schritt zu halten und von den robusteren Schutzmechanismen zu profitieren, die neuere Betriebssysteme bieten.

Updates für Windows 10 für HoloLens stehen HoloLens-Kunden über Windows Update zur Verfügung.

Nach der Installation des Windows-Sicherheitsupdates vom Februar 2018 müssen HoloLens-Kunden keine zusätzlichen Schritte ausführen, um die Firmware ihrer Geräte zu aktualisieren. Diese Risikominderungen werden auch in allen zukünftigen Versionen von Windows 10 für HoloLens enthalten sein.

Wenden Sie sich an Ihren OEM, um weitere Informationen zu erhalten.

Für den umfassenden Schutz Ihres Geräts sollten Sie die neuesten Sicherheitsupdates für das Windows-Betriebssystem für Ihr Gerät sowie entsprechende Firmware (Microcode)-Updates Ihres Geräteherstellers installieren. Diese Updates sollten auf der Website des Geräteherstellers verfügbar sein. Updates für Antivirensoftware sollten zuerst installiert werden. Betriebssystem- und Firmwareupdates können in beliebiger Reihenfolge installiert werden.

Zur Behebung dieser Sicherheitsanfälligkeit müssen Sie sowohl Ihre Hardware als auch Ihre Software aktualisieren. Für einen umfassenderen Schutz müssen Sie zudem entsprechende Firmwareupdates (Microcode) von Ihrem Gerätehersteller installieren. Wir empfehlen, Ihre Geräte auf dem neuesten Stand zu halten, indem Sie jeden Monat die Sicherheitsupdates installieren.

In jedem Windows 10-Funktionsupdate integrieren wir die neuesten Sicherheitstechnologien in das Betriebssystem und stellen so Features mit umfassendem Schutz bereit, die auf Ihrem Gerät Schäden durch etliche Arten von Schadsoftware verhindern. Funktionsupdates werden möglichst zweimal pro Jahr veröffentlicht. In jedem einzelnen monatlichen Qualitätsupdate fügen wir eine weitere Sicherheitsebene hinzu, die an die neuesten Arten von Schadsoftware angepasst ist und so aktuelle Systeme auf dem neuesten Stand hält und vor Bedrohungen schützt.

Microsoft hat die Antiviren-Kompatibilitätsüberprüfung für die Windows-Sicherheitsupdates für unterstützte Versionen von Geräten unter Windows 10, Windows 8.1 und Windows 7 SP1 über Windows Update aufgehoben.  Empfehlungen:

  • Stellen Sie sicher, dass Ihre Geräte auf dem neuesten Stand sind, indem die neuesten Sicherheitsupdates von Microsoft und von Ihrem Hardwarehersteller installiert sind. Weitere Informationen darüber, wie Sie Ihr Gerät auf dem neuesten Stand halten, finden Sie unter Windows Update: Häufig gestellte Fragen.

  • Seien Sie auch weiterhin vorsichtig, wenn Sie Websites unbekannter Herkunft besuchen, und verweilen Sie nicht auf Websites, denen Sie nicht vertrauen. Microsoft empfiehlt allen Kunden, ihre Geräte mit einem unterstützten Antivirenprogramm zu schützen. Kunden können ebenfalls den integrierten Virenschutz nutzen: Windows Defender für Windows 10-Geräte oder Microsoft Security Essentials für Windows 7. Diese Lösungen sind in Fällen kompatibel, in denen Kunden keine Antivirensoftware installieren oder ausführen können.

Um negative Auswirkungen auf die Geräte von Kunden zu vermeiden, wurden die im Januar oder Februar veröffentlichten Windows-Sicherheitsupdates nicht allen Kunden angeboten. Details finden Sie im Microsoft Wissensdatenbank-Artikel 4072699

Intel meldet Probleme mit dem kürzlich veröffentlichten Microcode, durch den das Problem mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) behoben werden soll. Intel hat festgestellt, dass dieser Microcode zu einer „höheren Anzahl von Neustarts als erwartet sowie zu sonstigem unberechenbarem Systemverhalten“ führen kann, und weist außerdem darauf hin, dass derartige Situationen „Datenverlust oder ‑beschädigung“ zur Folge haben können.  Aus eigener Erfahrung wissen wir, dass Systeminstabilität in bestimmten Fällen Datenverlust oder Datenbeschädigung nach sich ziehen kann. Am 22. Januar hat Intel Kunden empfohlen, die Bereitstellung der aktuellen Microcodeversion für betroffene Prozessoren so lange auszusetzen, bis Intel zusätzliche Tests für die aktualisierte Lösung ausgeführt hat. Uns ist bewusst, dass Intel die potenziellen Auswirkungen der aktuellen Microcodeversion weiter untersucht, und möchten die Kunden bitten, sich die jeweils aktuellsten Informationen zu diesem Thema zu besorgen, damit sie informierte Entscheidungen treffen können.

Während von Intel neuer Microcode getestet, aktualisiert und bereitgestellt wird, stellen wir das Out-of-Band (OOB)-Update KB 4078130 zur Verfügung, mit dem nur die Risikominderung für CVE-2017-5715 – „Branch Target Injection“ deaktiviert wird. Unsere Tests haben ergeben, dass dieses Update das beschriebene Verhalten verhindert. Eine komplette Liste der Geräte finden Sie unter Intel – Microcode Revision Guidance. Dieses Update betrifft Windows 7 (SP1), Windows 8.1 und alle Versionen von Windows 10 (Client und Server). Wenn Sie ein betroffenes Gerät haben, kann dieses Update von der Website für den Microsoft Update-Katalog heruntergeladen werden. Durch Anwenden dieses Updates wird nur die Risikominderung für CVE-2017-5715 – „Branch Target Injection“ deaktiviert. 

Mit Stand 25. Januar gibt es keine Hinweise darauf, dass Spectre Variante 2 (CVE-2017-5715) zu Angriffen auf Kunden genutzt wurde. Wir empfehlen Benutzern von Windows, gegebenenfalls die Risikominderung für CVE-2017-5715 erneut zu aktivieren, sobald Intel meldet, dass dieses unvorhersehbare Systemverhalten für ihr Gerät behoben wurde.

Nein. Reine Sicherheitsupdates sind nicht kumulativ. In Abhängigkeit von der ausgeführten Betriebssystemversion müssen Sie alle veröffentlichten reinen Sicherheitsupdates installieren, um vor diesen Sicherheitsanfälligkeiten geschützt zu sein. Wenn Sie beispielsweise Windows 7 für 32-Bit-Systeme auf einer betroffenen Intel-CPU ausführen, müssen Sie alle reinen Sicherheitsupdates ab Januar 2018 installieren. Wir empfehlen, diese reinen Sicherheitsupdates in der Reihenfolge ihrer Veröffentlichung zu installieren.  Hinweis In einer früheren Version dieser FAQ wurde fälschlicherweise darauf hingewiesen, dass das reine Sicherheitsupdate vom Februar die im Januar veröffentlichten Sicherheitsfixes beinhaltet. Dies ist nicht der Fall.

Nein. Das Sicherheitsupdate 4078130 war ein spezieller Fix, um unvorhersehbares Systemverhalten, Leistungsprobleme und unerwartete Neustarts nach der Installation von Microcode zu verhindern. Durch Anwenden der Sicherheitsupdates vom Februar unter Windows-Clientbetriebssystemen werden alle drei Risikominderungen aktiviert. Unter Windows-Serverbetriebssystemen müssen Sie noch die Risikominderungen aktivieren, nachdem entsprechende Tests durchgeführt wurden. Weitere Informationen finden Sie im Microsoft-Wissensdatenbank-Artikel 4072698.

AMD hat kürzlich bekanntgegeben, dass das Unternehmen mit der Veröffentlichung von Microcode für neuere CPU-Plattformen im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) begonnen hat. Weitere Informationen finden Sie unter AMD-Sicherheitsupdates und AMD Whitepaper: Architektur-Anleitungen zu Indirect Branch Control. Verfügbar sind diese über den OEM-Firmwarechannel. 

Intel hat kürzlich angekündigt, dass die Überprüfung abgeschlossen ist und mit der Veröffentlichung von Microcode für neuere CPU-Plattformen begonnen wurde. Microsoft stellt von Intel validierte Microcodeupdates im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) zur Verfügung. KB 4093836 enthält eine Liste mit Wissensdatenbank-Artikeln für die einzelnen Windows-Versionen. Jeder KB-Artikel enthält die verfügbaren Microcodeupdates von Intel nach CPU.

Microsoft stellt von Intel validierte Microcodeupdates im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection) zur Verfügung. Um die neuesten Microcodeupdates von Intel über Windows Update zu beziehen, müssen Kunden Microcode von Intel auf Geräten unter einem Windows 10-Betriebssystem installieren, bevor sie ein Upgrade auf Windows 10 April 2018 Update (Version 1803) durchführen können.

Das Microcodeupdate ist auch direkt über den Microsoft Update-Katalog verfügbar, falls es vor dem Upgrade des Betriebssystems nicht auf dem Gerät installiert wurde. Microcode von Intel ist über Windows Update, WSUS oder den Microsoft Update-Katalog verfügbar. Weitere Informationen und Anweisungen zum Herunterladen finden Sie unter KB 4100347.

Weitere Informationen finden Sie in den Abschnitten „Empfohlene Maßnahmen“ und „Häufig gestellte Fragen (FAQ)“ in ADV180012 | Leitfaden von Microsoft für Speculative Store Bypass.

Zur Überprüfung des Status von SSBD wurde das PowerShell-Skript Get-SpeculationControlSettings aktualisiert, um betroffene Prozessoren, den Status der SSBD-Betriebssystemupdates und den Status des Prozessormicrocodes soweit zutreffend zu erkennen. Weitere Informationen und Informationen zum Abrufen des PowerShell-Skripts finden Sie unter KB4074629.

Am 13. Juni 2018 wurde eine zusätzliche Sicherheitsanfälligkeit im Zusammenhang mit der spekulativen Ausführung von Seitenkanälen gemeldet, die als Lazy FP State Restore bezeichnet und unter CVE-2018-3665 gelistet wird. Für „Lazy FP State Restore“ sind keine Konfigurationseinstellungen (Registrierung) erforderlich.

Weitere Informationen zu dieser Sicherheitsanfälligkeit und zu empfohlenen Maßnahmen finden Sie in der Sicherheitsempfehlung: ADV180016 | Leitfaden von Microsoft für „Lazy FP State Restore“

Hinweis Für „Lazy FP State Restore“ sind keine Konfigurationseinstellungen (Registrierung) erforderlich.

Bounds Check Bypass Store (BCBS) wurde am 10. Juli 2018 veröffentlicht und unter CVE-2018-3693 gelistet. Wir betrachten BCBS als zur selben Klasse von Sicherheitsanfälligkeiten gehörig wie Bounds Check Bypass (Variante 1). Uns sind derzeit keine BCBS-Instanzen in unserer Software bekannt. Wir untersuchen diese Klasse von Sicherheitsanfälligkeit jedoch weiter und werden gemeinsam mit Branchenpartnern bei Bedarf Risikominderungen veröffentlichen. Wir bitten Forscher auch weiterhin darum, relevante Ergebnisse an das Bounty-Programm für spekulative ausführungsseitige Channelangriffe von Microsoft zu senden, einschließlich etwaiger ausnutzbarer BCBS-Instanzen. Softwareentwicklern wird der für BCBS aktualisierte Entwicklerleitfaden unter folgender Adresse empfohlen: https://aka.ms/sescdevguideaktualisiert.

Am 14. August 2018 wurde L1-Terminalfehler (L1TF) angekündigt und mehreren CVEs zugewiesen. Mithilfe von spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten kann der Inhalt des Arbeitsspeichers über eine Vertrauensstellung hinaus ausgelesen werden, was zur Veröffentlichung von Informationen führen kann. Es gibt mehrere Angriffsvektoren, mit deren Hilfe ein Angreifer die Sicherheitsanfälligkeiten in Abhängigkeit von der konfigurierten Umgebung auslösen kann. L1TF betrifft Intel® Core®-Prozessoren und Intel® Xeon®-Prozessoren.

Weitere Informationen zu dieser Sicherheitsanfälligkeit und eine detaillierte Ansicht der betroffenen Szenarien, einschließlich des Ansatzes von Microsoft zur Risikominderung von L1TF finden Sie in den folgenden Ressourcen:

Kunden von Microsoft Surface: Kunden, die Microsoft Surface- und Surface Book-Produkte verwenden, müssen die Anweisungen für den Windows-Client befolgen, die in der Sicherheitsempfehlung beschrieben sind: ADV180018 | Leitfaden zur Risikominderung der L1TF-Variante. Weitere Informationen zu betroffenen Surface-Produkten und zur Verfügbarkeit der Microcode-Updates finden Sie im Microsoft Wissensdatenbank-Artikel 4073065.

Kunden von Microsoft Hololens: Microsoft HoloLens ist von L1TF nicht betroffen, da kein betroffener Intel-Prozessor verwendet wird.

Die erforderlichen Schritte zum Deaktivieren von Hypherthreading hängen vom jeweiligen OEM ab. Sie sind jedoch in der Regel Bestandteil des BIOS- oder Firmwaresetups und der Konfigurationstools.

Kunden, die 64-Bit-ARM-Prozessoren verwenden, sollten sich an den Geräte-OEM wegen Firmwaresupport wenden, da für Schutzmaßnahmen für ARM64-Betriebssysteme, die das Risiko von CVE-2017-5715 – Branch Target Injection (Spectre Variante 2) mindern, das neueste Firmwareupdate von Geräte-OEMs erforderlich ist, damit sie wirksam sind.

Ausführliche Informationen zu dieser Sicherheitsanfälligkeit finden Sie im Microsoft-Sicherheitshandbuch: CVE-2019-1125 | Windows-Kernelsicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen.

Uns ist kein Fall bekannt, dass diese Sicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen unsere Cloud Service-Infrastruktur beeinträchtigt.

Sobald wir dieses Problem festgestellt hatten, arbeiteten wir schnell an dessen Behebung und an der Veröffentlichung eines Updates. Wir sind fest von starken Partnerschaften mit Forschern und Branchenpartnern überzeugt, um die Sicherheit der Kunden zu optimieren. Deshalb haben wir erst am Dienstag, den 6. August, im Rahmen der koordinierten Veröffentlichungspraktiken für Sicherheitsanfälligkeiten Details veröffentlicht.

References

Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, zusätzliche Informationen zu diesem Thema zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.

Benötigen Sie weitere Hilfe?

Möchten Sie weitere Optionen?

Erkunden Sie die Abonnementvorteile, durchsuchen Sie Trainingskurse, erfahren Sie, wie Sie Ihr Gerät schützen und vieles mehr.

In den Communities können Sie Fragen stellen und beantworten, Feedback geben und von Experten mit umfassendem Wissen hören.