Cambiar fecha |
Cambiar descripción |
---|---|
9 de agosto de 2023 |
|
9 de abril de 2024 |
|
Resumen
En este artículo se proporciona información y actualizaciones para una nueva clase de vulnerabilidades de canal lateral de ejecución especulativa y microarquitectura basadas en silicio que afectan a varios procesadores y sistemas operativos modernos. También se proporciona una lista exhaustiva de recursos de servidor y cliente de Windows para ayudar a proteger sus dispositivos en el hogar, en el trabajo y en toda la empresa. Esto incluye Intel, AMD y ARM. Se pueden encontrar detalles específicos de estas vulnerabilidades basadas en silicio en los siguientes avisos de seguridad y CVE:
-
ADV180002: Guía para mitigar vulnerabilidades de canal lateral de ejecución especulativa
-
ADV180012: Guía de Microsoft para Derivación de almacenamiento especulativo
-
ADV180013: Guía de Microsoft para Lectura de registros de sistemas no autorizados
-
ADV180016: Guía de Microsoft para Restauración del estado de FP en diferido
-
ADV220002: Guía de Microsoft sobre vulnerabilidades de datos obsoletos del procesador Intel MMIO
El 3 de enero de 2018, Microsoft publicó un aviso y actualizaciones de seguridad relacionados con una clase recientemente descubierta de vulnerabilidades de hardware (conocidas como Spectre y Meltdown) que implican canales laterales de ejecución especulativa que afectan a los procesadores de AMD, ARM e Intel en grados variantes. Esta clase de vulnerabilidades se basa en una arquitectura de chip común que se diseñó originalmente para acelerar a los equipos. Se puede encontrar más información sobre estas vulnerabilidades en Google Project Zero.
El 21 de mayo de 2018, Google Project Zero (GPZ), Microsoft e Intel divulgaron dos nuevas vulnerabilidades de chip relacionadas con problemas de Spectre y Meltdown conocidas como Derivación de almacenamiento especulativo (Speculative Store Bypass, SSB) y Lectura de registros de sistemas no autorizados (Rogue System Register Read). El riesgo que supone para el cliente dichas divulgaciones es bajo.
Para más información sobre estas vulnerabilidades, consulte los recursos que figuran en las actualizaciones del sistema operativo Windows de mayo de 2018 y consulte los siguientes Avisos de seguridad:
El 13 de junio de 2018 se anunció una nueva vulnerabilidad relacionada con la ejecución especulativa del canal lateral, conocida como Restauración del estado de FP en diferido (Lazy FP State Restore), a la que se le asignó CVE-2018-3665. Para obtener más información sobre esta vulnerabilidad y las acciones recomendadas, consulte el siguiente Aviso de seguridad:
El 14 de agosto de 2018 se anunció L1 Terminal Fault (L1TF), una nueva vulnerabilidad de canal lateral de ejecución especulativa que tiene varios CVE. L1TF afecta a los procesadores de Intel® Core® e Intel® Xeon®. Para obtener más información sobre L1TF y las acciones recomendadas, consulte nuestro Aviso de seguridad:
Nota: Antes de instalar cualquier actualización de microcódigo, recomendamos que instale las actualizaciones más recientes de Windows Update.
El 14 de mayo de 2019, Intel publicó información acerca de una nueva subclase de vulnerabilidades del canal de ejecución especulativa, conocida como Muestreo de datos de microarquitectura. A estas vulnerabilidades, se les han asignado los CVE siguientes:
-
CVE-2018-11091: "Memoria no almacenable en caché de muestreo de datos de microarquitectura (MDSUM)"
-
CVE-2018-12126: "Muestreo de datos de búfer de almacén de microarquitectura (MSBDS)"
-
CVE-2018-12127: "Muestreo de datos de búfer de relleno de microarquitectura (MFBDS)"
-
CVE-2018-12130: "Muestreo de datos de puerto de carga de microarquitectura (MLPDS)"
Importante: Estos problemas también afectan a otros sistemas como Android, Chrome, iOS y MacOS. Recomendamos a los clientes que consulten con sus respectivos proveedores para obtener orientación.
Microsoft ha publicado actualizaciones para ayudar a mitigar estas vulnerabilidades. Para poder disfrutar de todas las protecciones disponibles, se requieren actualizaciones de firmware (microcódigo) y software. Esto puedo incluir microcódigo de los OEM del dispositivo. En algunos casos, la instalación de estas actualizaciones afectará al rendimiento. Así mismo, también hemos tomado medidas para proteger sus servicios en la nube.
Nota: Antes de instalar actualizaciones de microcódigo, se recomienda instalar las actualizaciones más recientes de Windows Update.
Para obtener más información sobre estos problemas y las acciones recomendadas, consulte el siguiente Aviso de seguridad:
El 6 de agosto de 2019, Intel publicó información detallada sobre una vulnerabilidad de divulgación de información del kernel de Windows. Esta vulnerabilidad es una variante de la vulnerabilidad de canal lateral de ejecución especulativa de la variante 1 de Spectre y se le ha asignado CVE-2019-1125.
El 9 de julio de 2019 Microsoft publicó una actualización de seguridad para el sistema operativo Windows con el fin de ayudar a mitigar este problema. Los clientes que tengan habilitado Windows Update y que hayan aplicado las actualizaciones de seguridad publicadas el 9 de julio de 2019 están protegidos automáticamente. Tenga en cuenta que esta vulnerabilidad no requiere una actualización del microcódigo del fabricante (OEM) del dispositivo.
Para obtener más información sobre esta vulnerabilidad y las actualizaciones aplicables, consulta CVE-2019-1125 | Vulnerabilidad de divulgación de información del kernel de Windows en la Guía de actualización de seguridad de Microsoft.
El 14 de junio de 2022, Intel publicó información sobre una nueva subclase de vulnerabilidades de canal lateral de E/S asignadas a memoria de ejecución especulativa (MMIO) que se enumeran en la advertencia:
Pasos para ayudar a proteger sus dispositivos Windows
Para corregir estas vulnerabilidades, es posible que deba actualizar tanto el firmware (microcódigo) como el software. Consulte los Avisos de seguridad de Microsoft para ver las acciones recomendadas. Esto incluye las actualizaciones de firmware (microcódigo) aplicables de los fabricantes del dispositivo y, en algunos casos, actualizaciones del software antivirus. Te recomendamos mantener tus dispositivos actualizados instalando las actualizaciones de seguridad mensuales.
Para obtener todas las protecciones disponibles, siga estos pasos y obtenga las actualizaciones más recientes de software y hardware:
Nota: Antes de empezar, asegúrate de que el software antivirus (AV) esté actualizado y sea compatible. Consulte el sitio web del proveedor del software antivirus para conocer la información más reciente sobre compatibilidad.
-
Mantén actualizado el dispositivo activando las actualizaciones automáticas.
-
Compruebe que haya instalado la actualización de seguridad del sistema operativo de más reciente de Microsoft. Si las actualizaciones automáticas están activadas, las actualizaciones deberían enviarse automáticamente. Sin embargo, aún tendría que confirmar que están instaladas. Para obtener instrucciones, consulta Windows Update: Preguntas frecuentes
-
Instale las actualizaciones de firmware (microcódigo) del fabricante del dispositivo. Todos los clientes deberán consultar con el fabricante de su dispositivo para descargar e instalar la actualización de hardware específica de su dispositivo. Consulte la sección "Recursos adicionales" más abajo para obtener una lista de los sitios web de los fabricantes de dispositivos.
Nota: Los clientes deben instalar las actualizaciones de seguridad más recientes del sistema operativo Windows de Microsoft para sacar provecho de las protecciones disponibles. Las actualizaciones del software antivirus se deben instalar en primer lugar. Después, las actualizaciones de sistema operativo y firmware. Te recomendamos mantener tus dispositivos actualizados instalando las actualizaciones de seguridad mensuales.
Entre los chips afectados se incluye los fabricados por Intel, AMD y ARM. Ello significa que todos los dispositivos que ejecutan los sistemas operativos Windows son potencialmente vulnerables. Esto incluyes equipos de escritorio, portátiles, servidores de nube y smartphones. También se ven afectados los dispositivos que ejecutan a otros sistemas operativos, como Android, Chrome, iOS y macOS. Aconsejamos a los clientes que ejecutan estos sistemas operativos que pidan asistencia a dichos proveedores.
En el momento de la publicación de este artículo, todavía no habíamos recibido información que indique que estas vulnerabilidades se han usado para atacar a los clientes.
A partir de enero de 2018, Microsoft publicó actualizaciones para los sistemas operativos Windows, así como los exploradores Internet Explorer y Microsoft Edge, para ayudar a mitigar estas vulnerabilidades y a proteger a los clientes. También publicamos actualizaciones para proteger nuestros servicios en la nube. Seguimos trabajando estrechamente con asociados del sector, como fabricantes de chips, fabricantes de equipos originales de hardware y proveedores de aplicaciones contra esta clase de vulnerabilidad.
Le animamos a que siempre instale las actualizaciones mensuales para mantener sus dispositivos actualizados y protegidos.
Actualizaremos este documento a medida que surjan nuevas mitigaciones y recomendamos que vuelva a consultar este sitio periódicamente.
Actualizaciones del sistema operativo Windows de julio de 2019
El 6 de agosto de 2019, Intel dio a conocer detalles sobre la vulnerabilidad de seguridad CVE-2019-1125 | Vulnerabilidad de divulgación de información del kernel de Windows. Se publicaron actualizaciones de seguridad para esta vulnerabilidad como parte de la actualización de seguridad mensual de julio publicada el 9 de julio de 2019.
El 9 de julio de 2019 Microsoft publicó una actualización de seguridad para el sistema operativo Windows con el fin de ayudar a mitigar este problema. Aplazamos la documentación pública de esta mitigación hasta la divulgación coordinada en el sector del martes 6 de agosto de 2019.
Los clientes que tengan habilitado Windows Update y que hayan aplicado las actualizaciones de seguridad publicadas el 9 de julio de 2019 están protegidos automáticamente. Tenga en cuenta que esta vulnerabilidad no requiere una actualización del microcódigo del fabricante (OEM) del dispositivo.
Actualizaciones del sistema operativo Windows de mayo de 2019
El 14 de mayo de 2019, Intel publicó información acerca de una nueva subclase de vulnerabilidades del canal de ejecución especulativa, conocida como Muestreo de datos de microarquitectura y se asignaron los CVE siguientes:
-
CVE-2018-11091: "Memoria no almacenable en caché de muestreo de datos de microarquitectura (MDSUM)"
-
CVE-2018-12126: "Muestreo de datos de búfer de almacén de microarquitectura (MSBDS)"
-
CVE-2018-12127: "Muestreo de datos de búfer de relleno de microarquitectura (MFBDS)"
-
CVE-2018-12130: "Muestreo de datos de puerto de carga de microarquitectura (MLPDS)"
Para obtener más información sobre este problema, consulte el siguiente Aviso de seguridad y siga la guía basada en escenario que se describe en los artículos de la Guía de Microsoft para Client y Server para determinar cuáles son las acciones necesarias para mitigar la amenaza:
Microsoft ha publicado protecciones contra una nueva subclase de vulnerabilidades de canal lateral de ejecución especulativa que se conocen como Muestreo de datos de microarquitectura para versiones de Windows de 64 bits (x64) (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).
Usa la configuración del Registro tal y como se describe en los artículos Cliente de Windows (KB4073119) y Windows Server (KB4457951). Esta configuración del Registro está habilitada de forma predeterminada para las ediciones del sistema operativo cliente de Windows y las ediciones del sistema operativo Windows Server.
Antes de instalar cualquier actualización de microcódigo, recomendamos que instale primero las actualizaciones más recientes de Windows Update.
Para obtener más información sobre este problema y las acciones recomendadas, consulte el siguiente Aviso de seguridad:
Intel ha publicado una actualización de microcódigo para plataformas de CPU recientes para ayudar a mitigar CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. La KB 4093836 de Windows del 14 de mayo de 2019 enumera artículos específicos de Knowledge Base por versión del sistema operativo Windows. Este artículo también contiene vínculos a las actualizaciones de microcódigo de Intel disponibles según la CPU. Estas actualizaciones solo están disponibles a través del Catálogo de Microsoft.
Nota: Se recomienda instalar todas las actualizaciones más recientes de Windows Update antes de instalar las actualizaciones de microcódigo.
Nos complace anunciar que Retpoline está habilitado de forma predeterminada en dispositivos Windows 10, versión 1809 (para cliente y servidor) si la variante 2 de Spectre (CVE-2017-5715) está habilitada. Habilitar Retpoline en la versión más reciente de Windows 10 a través de la actualización del 14 de mayo de 2019 (KB 4494441) puede mejorar el rendimiento, sobre todo en procesadores antiguos.
Los clientes deben asegurarse de que las protecciones anteriores del sistema operativo frente a la vulnerabilidad de la variante 2 de Spectre estén habilitadas mediante la configuración del Registro descrita en los artículos Cliente de Windows y Windows Server. (Esta configuración del registro se habilita de forma predeterminada para ediciones de SO de Windows Client, pero se deshabilita de forma predeterminada en los SO edición Windows Server). Para obtener más información sobre "Retpoline", consulta: Mitigar la variante 2 de Spectre con Retpoline en Windows.
Actualizaciones del sistema operativo Windows de noviembre de 2018
Microsoft ha publicado protecciones del sistema operativo para Derivación de almacenamiento especulativo (CVE-2018-3639) para procesadores AMD (CPU).
Microsoft publicó protecciones del sistema operativo adicionales para los clientes que usan procesadores ARM de 64 bits. Consulta con el fabricante OEM del dispositivo la compatibilidad con el firmware, ya que las protecciones del sistema operativo de ARM64 que mitigan CVE-2018-3639, Derivación de almacenamiento especulativo, requieren la última actualización de firmware del OEM del dispositivo.
Actualizaciones del sistema operativo Windows de septiembre de 2018
El 11 de septiembre de 2018, Microsoft publicó el paquete acumulativo mensual 4458010 y seguridad únicamente 4457984 de Windows Server 2008 SP2 para Windows Server 2008 que proporciona protección contra una nueva vulnerabilidad de ejecución especulativa del canal lateral conocida como L1 Terminal Fault (L1TF) que afecta procesadores Intel® Core® e Intel® Xeon® (CVE-2018-3620 y CVE-2018-3646).
Esta publicación completa las protecciones adicionales en todas las versiones de sistemas de Windows a través de Windows Update. Para obtener más información y una lista de los productos afectados, consulta ADV180018 | Guía de Microsoft para mitigar la variante L1TF.
Nota: Windows Server 2008 SP2 ahora sigue el modelo de paquete acumulativo de actualizaciones de servicios estándar de Windows. Para obtener más información sobre estos cambios, consulta nuestro blog Cambios de mantenimiento de Windows Server 2008 SP2. Los clientes que ejecutan Windows Server 2008 deben instalar 4458010 o 4457984, además de la actualización de seguridad 4341832, que se publicó el 14 de agosto de 2018. Los clientes también deben asegurarse de que las protecciones anteriores del sistema operativo frente a vulnerabilidades de la variante 2 de Spectre y Meltdown estén habilitadas mediante la configuración del Registro que se describe en los artículos KB Cliente de Windows y Windows Server Esta configuración del registro está habilitada por defecto en los SO edición cliente de Windows y deshabilitada por defecto en los SO edición Windows Server.
Microsoft publicó protecciones del sistema operativo adicionales para los clientes que usan procesadores ARM de 64 bits. Comprueba con el fabricante OEM del dispositivo si tienes soporte técnico del firmware, ya que las protecciones del sistema operativo de ARM64 que mitigan CVE-2017-5715: Inserción de destino de rama (variante 2 de Spectre) requieren la última actualización de firmware de los OEM del dispositivo para que surtan efecto.
Actualizaciones del sistema operativo Windows de agosto de 2018
El 14 de agosto de 2018 se anunció L1 Terminal Fault (L1TF) y se le asignaron varios CVE. Estas nuevas vulnerabilidades de canal lateral de ejecución especulativa pueden utilizarse para leer el contenido de la memoria a través de un límite de confianza y, si se explotan, pueden provocar que se divulgue información. Existen múltiples vectores por medio de los cuales un atacante podría activar las vulnerabilidades, según el entorno configurado. L1TF afecta a los procesadores de Intel® Core® e Intel® Xeon®.
Para obtener más información sobre L1TF y una vista detallada de los escenarios afectados, incluido el enfoque de Microsoft’ para mitigar la vulnerabilidad, consulte los siguientes recursos:
Actualizaciones del sistema operativo Windows de julio de 2018
Nos complace anunciar que Microsoft completó la publicación de protecciones adicionales en todas las versiones del SO Windows con soporte para las siguientes vulnerabilidades a través de Windows Update:
-
Variante 2 de Spectre para procesadores AMD
-
Speculative Store Bypass para procesadores Intel
El 13 de junio de 2018 se anunció una nueva vulnerabilidad relacionada con la ejecución especulativa del canal lateral, conocida como Restauración del estado de FP en diferido (Lazy FP State Restore), a la que se le asignó CVE-2018-3665. No se necesitan opciones de configuración (registro) para Lazy Restore FP Restore.
Para obtener más información sobre esta vulnerabilidad, los productos afectados y las acciones recomendadas, consulte el siguiente Aviso de seguridad:
El 12 de junio, Microsoft anunció la compatibilidad de Windows para la deshabilitación de la derivación de almacenamiento especulativo (SSBD) en los procesadores de Intel. Para su funcionalidad, estas actualizaciones requieren las actualizaciones correspondientes del firmware (microcódigo) y del Registro. Para obtener información sobre las actualizaciones y los pasos que hay que seguir para activar SSBD, consulta la sección "Acciones recomendadas" en ADV180012 | Guía de Microsoft para Derivación de almacenamiento especulativo.
Actualizaciones del sistema operativo Windows de mayo de 2018
En enero de 2018, Microsoft divulgó información sobre una clase de vulnerabilidades de hardware recientemente descubierta (conocida como Spectre y Meltdown) que involucra canales de ejecución especulativa que afectan a las CPU de Intel, ARM y AMD en diversos grados. El 21 de mayo de 2018 Google Project Zero (GPZ), Microsoft e Intel divulgaron dos nuevas vulnerabilidades de chip relacionadas con problemas de Spectre y Meltdown conocidas como Derivación de almacenamiento especulativo (Speculative Store Bypass, SSB) y Lectura de registros de sistemas no autorizados (Rogue System Register Read).
El riesgo que implican ambas divulgaciones para los clientes es bajo.
Para obtener más información sobre estas vulnerabilidades, consulte los siguientes recursos:
-
Advertencia de seguridad de Microsoft para Derivación de almacenamiento especulativo: MSRC ADV180012 y CVE-2018-3639
-
Advertencia de seguridad de Microsoft para Lectura de registros de sistemas no autorizados: MSRC ADV180013y CVE-2018-3640
-
Investigación y defensa de seguridad: Análisis y mitigación de Derivación de almacenamiento especulativo (CVE-2018-3639)
Se aplica a: Windows 10, versión 1607, Windows Server 2016, Windows Server 2016 (instalación de Server Core) y Windows Server, versión 1709 (instalación de Server Core)
Hemos proporcionado compatibilidad para controlar el uso de Indirect Branch Prediction Barrier (IBPB) dentro de algunos procesadores AMD (CPU) para mitigar CVE-2017-5715, la variante 2 de Spectre al cambiar de un contexto de usuario a un contexto de kernel. (Para obtener más información, consulta Guía de arquitectura de AMD para Indirect Branch Control y las actualizaciones de seguridad de AMD).
Los clientes que ejecutan Windows 10, versión 1607, Windows Server 2016, Windows Server 2016 (instalación de Server Core) y Windows Server, versión 1709 (instalación de Server Core) deben instalar la actualización de seguridad 4103723 para obtener mitigaciones adicionales para los procesadores AMD en relación con CVE-2017-5715, Branch Target Injection. Esta actualización también está disponible a través de Windows Update.
Sigue las instrucciones que se indican en KB 4073119 en la Guía del cliente Windows (para profesionales de TI) y KB 4072698 en la Guía de Windows Server para habilitar el uso de IBPB dentro de algunos procesadores (CPU) AMD para mitigar la variante 2 de Spectre al cambiar de un contexto de usuario a un contexto de kernel.
Microsoft ha empezado a poner a disposición de sus usuarios las actualizaciones de microcódigo validadas por Intel de la variante 2 de Spectre (CVE-2017-5715 "Branch Target Injection"). Para obtener las actualizaciones más recientes de microcódigo de Intel a través de Windows Update, los clientes deben haber instalado un microcódigo de Intel en dispositivos que ejecutan un sistema operativo de Windows 10 antes actualizarlo a la versión de abril de 2018 de Windows 10 (versión 1803).
La actualización de microcódigo también está disponible directamente desde el Catálogo si no se instaló en el dispositivo antes de actualizar el SO. El microcódigo de Intel está disponible a través de Windows Update, de WSUS o del sitio web del Catálogo de Microsoft Update. Para obtener más información e instrucciones de descarga, consulta KB 4100347.
Ofreceremos actualizaciones adicionales del microcódigo de Intel para el sistema operativo Windows a medida que estén disponibles para Microsoft.
Se aplica a: Windows 10, versión 1709
Hemos proporcionado soporte técnico para controlar el uso de Indirect Branch Prediction Barrier (IBPB) dentro de algunos procesadores (CPU) AMD para mitigar CVE-2017-5715 , la variante 2 de Spectre al cambiar de un contexto de usuario a un contexto de kernel. (Para obtener más información, consulta Guía de arquitectura de AMD en relación con Indirect Branch Control y Actualizaciones de seguridad de AMD). Sigue las instrucciones que se indican en KB 4073119 en la Guía del cliente Windows (para profesionales de TI) para habilitar el uso de IBPB en algunos procesadores (CPU) AMD para mitigar la variante 2 de Spectre al cambiar de un contexto de usuario a un contexto de kernel.
Microsoft pondrá a disposición de sus usuarios las actualizaciones de microcódigo de la variante 2 de Spectre (CVE-2017-5715 "inserción de destino de bifurcación") que haya validado Intel. KB4093836 enumera artículos de knowledge base específicos por versión de Windows. Cada artículo de KB contiene las actualizaciones disponibles de microcódigo de Intel según la CPU.
Ofreceremos actualizaciones adicionales del microcódigo de Intel para el sistema operativo Windows a medida que estén disponibles para Microsoft.
Actualizaciones del sistema operativo Windows de marzo de 2018 y versiones posteriores
23 de marzo, TechNet Security Research & Defense: KVA Shadow: Mitigar Meltdown en Windows
14 de marzo, Security Tech Center: Términos del programa de recompensas del canal lateral de ejecución especulativa
13 de marzo, blog: Actualización de Seguridad de Windows de marzo de 2018: Redoblamos nuestros esfuerzos para proteger a los clientes
1 de marzo, blog: Actualización de las actualizaciones de seguridad de Spectre y Meltdown para dispositivos Windows
Desde marzo de 2018, Microsoft ha estado publicando actualizaciones de seguridad para mitigar riesgos en dispositivos que ejecutan los siguientes sistemas operativos Windows basados en x86. Los clientes deben instalar las actualizaciones de seguridad más recientes del sistema operativo Windows para sacar provecho de las protecciones disponibles. Trabajamos para proporcionar protecciones para otras versiones de Windows admitidas, pero no disponemos de una programación de publicación en estos momentos. Vuelva a consultar este sitio web para ver si hay actualizaciones. Para obtener más información, consulta el artículo de Knowledge Base relacionado con detalles técnicos y la sección "P+F".
Actualización de producto publicada |
Estado |
Fecha de lanzamiento |
Canal de publicación |
KB |
Windows 8.1 y Windows Server 2012 R2: actualización solo de seguridad |
Azure Virtual WAN |
13 de marzo |
WSUS, catálogo, |
|
Windows 7 SP1 y Windows Server 2008 R2 SP1: actualización solo de seguridad |
Azure Virtual WAN |
13 de marzo |
WSUS, catálogo |
|
Windows Server 2012: Actualización solo de seguridad Windows 8 Embedded Standard Edition: Actualización solo de seguridad |
Azure Virtual WAN |
13 de marzo |
WSUS, catálogo |
|
Windows 8.1 y Windows Server 2012 R2: paquete acumulativo mensual |
Azure Virtual WAN |
13 de marzo |
WU, WSUS, catálogo |
|
Windows 7 SP1 y Windows Server 2008 R2 SP1: paquete acumulativo mensual |
Azure Virtual WAN |
13 de marzo |
WU, WSUS, catálogo |
|
Windows Server 2012: Paquete acumulativo mensual Windows 8 Embedded Standard Edition: Paquete acumulativo mensual |
Azure Virtual WAN |
13 de marzo |
WU, WSUS, catálogo |
|
Windows Server 2008 SP2 |
Azure Virtual WAN |
13 de marzo |
WU, WSUS, catálogo |
Desde marzo de 2018, Microsoft ha estado publicando actualizaciones de seguridad para mitigar riesgos en dispositivos que ejecutan los siguientes sistemas operativos Windows basados en x64. Los clientes deben instalar las actualizaciones de seguridad más recientes del sistema operativo Windows para sacar provecho de las protecciones disponibles. Trabajamos para proporcionar protecciones para otras versiones de Windows admitidas, pero no disponemos de una programación de publicación en estos momentos. Vuelva a consultar este sitio web para ver si hay actualizaciones. Para obtener más información, consulta el artículo de Knowledge Base relacionado con detalles técnicos y la sección "P+F".
Actualización de producto publicada |
Estado |
Fecha de lanzamiento |
Canal de publicación |
KB |
Windows Server 2012: Actualización solo de seguridad Windows 8 Embedded Standard Edition: Actualización solo de seguridad |
Azure Virtual WAN |
13 de marzo |
WSUS, catálogo |
|
Windows Server 2012: Paquete acumulativo mensual Windows 8 Embedded Standard Edition: Paquete acumulativo mensual |
Azure Virtual WAN |
13 de marzo |
WU, WSUS, catálogo |
|
Windows Server 2008 SP2 |
Azure Virtual WAN |
13 de marzo |
WU, WSUS, catálogo |
Esta actualización resuelve una vulnerabilidad de elevación de privilegios en el kernel de Windows en la versión de 64 bits (x64) de Windows. Esta vulnerabilidad se documenta en CVE-2018-1038. Los usuarios deben aplicar esta actualización para obtener protección total contra esta vulnerabilidad si sus equipos se actualizaron en enero de 2018 o después de dicha fecha mediante la aplicación de cualquiera de las actualizaciones que se indican en el siguiente artículo de Knowledge Base:
Esta actualización de seguridad resuelve varias vulnerabilidades de Internet Explorer de las que se ha informado. Para obtener más información sobre estas vulnerabilidades, consulta Vulnerabilidades y riesgos comunes de Microsoft.
Actualización de producto publicada |
Estado |
Fecha de lanzamiento |
Canal de publicación |
KB |
Internet Explorer 10: actualización acumulativa para Windows 8 Embedded Standard Edition |
Azure Virtual WAN |
13 de marzo |
WU, WSUS, catálogo |
Actualizaciones del sistema operativo Windows de febrero de 2018
Blog: Windows Analytics ahora ayuda a evaluar las protecciones de Spectre y Meltdown
Las siguientes actualizaciones de seguridad proporcionan protecciones adicionales para los dispositivos que ejecutan sistemas operativos Windows de 32 bits (x86). Microsoft recomienda que los clientes instale la actualización lo antes posible. Seguimos trabajando para proporcionar protecciones para otras versiones de Windows admitidas, pero no disponemos de una programación de publicación en estos momentos. Vuelva a consultar este sitio web para ver si hay actualizaciones.
Nota Las actualizaciones de seguridad mensuales de Windows 10 se acumulan mes a mes y se descargarán e instalarán automáticamente desde Windows Update. Si instaló actualizaciones anteriores, solo se descargarán e instalarán en su dispositivo las nuevas partes. Para obtener más información, consulte el artículo de Knowledge Base relacionado y la sección "P+F".
Actualización de producto publicada |
Estado |
Fecha de lanzamiento |
Canal de publicación |
KB |
Windows 10, versión 1709 / Windows Server 2016 (1709) / IoT Core: actualización de calidad |
Azure Virtual WAN |
31 de enero |
WU, catálogo |
|
Windows Server 2016 (1709): contenedor de servidor |
Azure Virtual WAN |
13 de febrero |
Docker Hub |
|
Windows 10, versión 1703 / IoT Core: actualización de calidad |
Azure Virtual WAN |
13 de febrero |
WU, WSUS, catálogo |
|
Windows 10, versión 1607 / Windows Server 2016 / IoT Core: actualización de calidad |
Azure Virtual WAN |
13 de febrero |
WU, WSUS, catálogo |
|
Windows 10 HoloLens: actualizaciones del SO y firmware |
Azure Virtual WAN |
13 de febrero |
WU, catálogo |
|
Windows Server 2016 (1607): imágenes de contenedor |
Azure Virtual WAN |
13 de febrero |
Docker Hub |
|
Windows 10, version 1511/IoT Core: actualización de calidad |
Azure Virtual WAN |
13 de febrero |
WU, WSUS, catálogo |
|
Windows 10, versión RTM: actualización de calidad |
Azure Virtual WAN |
13 de febrero |
WU, WSUS, catálogo |
Actualizaciones del sistema operativo Windows de enero de 2018
A partir de enero de 2018, Microsoft publicó actualizaciones de seguridad que proporcionan mitigación para dispositivos que ejecutan los siguientes sistemas operativos Windows x64: Los clientes deben instalar las actualizaciones de seguridad más recientes del sistema operativo Windows para sacar provecho de las protecciones disponibles. Trabajamos para proporcionar protecciones para otras versiones de Windows admitidas, pero no disponemos de una programación de publicación en estos momentos. Vuelva a consultar este sitio web para ver si hay actualizaciones. Para obtener más información, consulte el artículo de Knowledge Base relacionado y la sección "P+F".
Actualización de producto publicada |
Estado |
Fecha de lanzamiento |
Canal de publicación |
KB |
Windows 10, versión 1709 / Windows Server 2016 (1709) / IoT Core: actualización de calidad |
Azure Virtual WAN |
3 de enero |
WU, WSUS, catálogo, galería de imágenes de Azure |
|
Windows Server 2016 (1709): contenedor de servidor |
Azure Virtual WAN |
5 de enero |
Docker Hub |
|
Windows 10, versión 1703 / IoT Core: actualización de calidad |
Azure Virtual WAN |
3 de enero |
WU, WSUS, catálogo |
|
Windows 10, versión 1607 / Windows Server 2016 / IoT Core: actualización de calidad |
Azure Virtual WAN |
3 de enero |
WU, WSUS, catálogo |
|
Windows Server 2016 (1607): imágenes de contenedor |
Azure Virtual WAN |
4 de enero |
Docker Hub |
|
Windows 10, version 1511/IoT Core: actualización de calidad |
Azure Virtual WAN |
3 de enero |
WU, WSUS, catálogo |
|
Windows 10, versión RTM: actualización de calidad |
Azure Virtual WAN |
3 de enero |
WU, WSUS, catálogo |
|
Windows 10 Mobile (compilación del SO 15254.192): ARM |
Azure Virtual WAN |
5 de enero |
WU, catálogo |
|
Windows 10 Mobile (compilación del SO 15063.850) |
Azure Virtual WAN |
5 de enero |
WU, catálogo |
|
Windows 10 Mobile (compilación del SO 14393.2007) |
Azure Virtual WAN |
5 de enero |
WU, catálogo |
|
Windows 10 HoloLens |
Azure Virtual WAN |
5 de enero |
WU, catálogo |
|
Windows 8.1 / Windows Server 2012 R2: actualización de solo seguridad |
Azure Virtual WAN |
3 de enero |
WSUS, catálogo |
|
Windows Embedded 8.1 Industry Enterprise |
Azure Virtual WAN |
3 de enero |
WSUS, catálogo |
|
Windows Embedded 8.1 Industry Pro |
Azure Virtual WAN |
3 de enero |
WSUS, catálogo |
|
Windows Embedded 8.1 Pro |
Azure Virtual WAN |
3 de enero |
WSUS, catálogo |
|
Windows 8.1 / Windows Server 2012 R2: paquete acumulativo mensual |
Azure Virtual WAN |
8 de enero |
WU, WSUS, catálogo |
|
Windows Embedded 8.1 Industry Enterprise |
Azure Virtual WAN |
8 de enero |
WU, WSUS, catálogo |
|
Windows Embedded 8.1 Industry Pro |
Azure Virtual WAN |
8 de enero |
WU, WSUS, catálogo |
|
Windows Embedded 8.1 Pro |
Azure Virtual WAN |
8 de enero |
WU, WSUS, catálogo |
|
Windows Server 2012: solo seguridad |
Azure Virtual WAN |
WSUS, catálogo |
||
Windows Server 2008 SP2 |
Azure Virtual WAN |
WU, WSUS, catálogo |
||
Windows Server 2012: paquete acumulativo mensual |
Publicada |
WU, WSUS, catálogo |
||
Windows Embedded 8 Standard |
Azure Virtual WAN |
WU, WSUS, catálogo |
||
Windows 7 SP1 / Windows Server 2008 R2 SP1: actualización de solo seguridad |
Azure Virtual WAN |
3 de enero |
WSUS, catálogo |
|
Windows Embedded Standard 7 |
Azure Virtual WAN |
3 de enero |
WSUS, catálogo |
|
Windows Embedded POSReady 7 |
Azure Virtual WAN |
3 de enero |
WSUS, catálogo |
|
Windows Thin PC |
Azure Virtual WAN |
3 de enero |
WSUS, catálogo |
|
Windows 7 SP1 / Windows Server 2008 R2 SP1: paquete acumulativo mensual |
Azure Virtual WAN |
4 de enero |
WU, WSUS, catálogo |
|
Windows Embedded Standard 7 |
Azure Virtual WAN |
4 de enero |
WU, WSUS, catálogo |
|
Windows Embedded POSReady 7 |
Azure Virtual WAN |
4 de enero |
WU, WSUS, catálogo |
|
Windows Thin PC |
Azure Virtual WAN |
4 de enero |
WU, WSUS, catálogo |
|
Internet Explorer 11: actualización acumulativa para Windows 7 SP1 y Windows 8.1 |
Azure Virtual WAN |
3 de enero |
WU, WSUS, catálogo |
El 9 de abril de 2024 publicamos CVE-2022-0001 | Inserción de historial de ramas de Intel que describe la inserción de historial de ramas (BHI), que es una forma específica de BTI dentro del modo. Esta vulnerabilidad se produce cuando un atacante puede manipular el historial de ramas antes de pasar del usuario al modo supervisor (o del modo VMX que no es de raíz/invitado al modo raíz). Esta manipulación podría provocar que un predictor de rama indirecta seleccione una entrada de predictor específica para una rama indirecta, y se ejecutará de forma transitoria un gadget de divulgación en el destino previsto. Esto puede ser posible porque el historial de ramas relevante puede contener ramas tomadas en contextos de seguridad anteriores y, en particular, otros modos de predicción.
Siga las instrucciones que se describen en KB4073119 para la guía de cliente de Windows (profesionales de TI) y KB4072698 para la guía de Windows Server para mitigar las vulnerabilidades descritas en CVE-2022-0001 | Inserción de historial de bifurcación de Intel.
Recursos y asistencia técnica
Según su rol, los siguientes artículos de soporte técnico le ayudarán a identificar y mitigar los entornos cliente y servidor que se ven afectados por las vulnerabilidades Spectre y Meltdown.
Advertencia de seguridad de Microsoft para L1 Terminal Fault (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646
Investigación y defensa de seguridad: Análisis y mitigación de Derivación de almacenamiento especulativo (CVE-2018-3639)
Advertencia de seguridad de Microsoft para Derivación de almacenamiento especulativo: MSRC ADV180012 y CVE-2018-3639
Advertencia de seguridad de Microsoft para Lectura de registros de sistemas no autorizados | Guía de actualización de seguridad para Surface: MSRC ADV180013y CVE-2018-3640
Investigación y defensa de seguridad: Análisis y mitigación de Derivación de almacenamiento especulativo (CVE-2018-3639)
TechNet Security Research & Defense: KVA Shadow: Mitigar Meltdown en Windows
Security Tech Center: Términos del programa de recompensas del canal lateral de ejecución especulativa
Blog de experiencia de Microsoft: Actualización acerca de las actualizaciones de seguridad de Spectre y Meltdown para dispositivos Windows
Blog de Windows para empresas: Windows Analytics ahora ayuda a evaluar las protecciones Spectre y Meltdown
Blog de seguridad de Microsoft: Descripción del impacto en el rendimiento de las mitigaciones de Spectre y Meltdown en sistemas Windows
Blog para desarrolladores de Edge: Mitigar ataques de canal lateral de ejecución especulativa en Microsoft Edge e Internet Explorer
Blog de Azure: Proteger a los clientes de Azure de la vulnerabilidad de CPU
Guía para SCCM: Instrucciones adicionales para mitigar vulnerabilidades de canal lateral de ejecución especulativa
Avisos de Microsoft:
-
ADV180002 | Guía para mitigar vulnerabilidades de canal lateral de ejecución especulativa
-
ADV180012 | Guía de Microsoft para Derivación de almacenamiento especulativo
-
ADV180013 | Guía de Microsoft para Lectura de registros de sistemas no autorizados
-
ADV180016 | Guía de Microsoft para Restauración del estado de FP en diferido
-
ADV180018 | Guía de Microsoft para mitigar la variante de L1TF
Intel: Advertencia de seguridad
NVIDIA: Advertencia de seguridad
Guía para clientes: Proteger el dispositivo frente a vulnerabilidades de seguridad relacionadas con chips
Guía para antivirus: Actualizaciones de seguridad de Windows publicadas el 3 de enero de 2018 y software antivirus
Guía para el bloque de actualizaciones de seguridad de sistemas operativos Windows con AMD: KB4073707: Bloque de actualizaciones de seguridad de sistemas operativos Windows para algunos dispositivos basados en AMD
Actualización para deshabilitar la mitigación frente a la variante 2 de Spectre : KB4078130: Intel ha identificado problemas de reinicio con microcódigo en algunos procesadores más antiguos
Guía de Surface: Guía de Surface para la protección frente a vulnerabilidades de canal lateral de ejecución especulativa
Comprobar el estado de las mitigaciones de canal lateral de ejecución especulativa: Información sobre la salida del script Get-SpeculationControlSettings de PowerShell
Guía para profesionales de TI: Guía para profesionales de TI para la protección frente a vulnerabilidades de canal lateral de ejecución especulativa
Guía para Server: Guía de Windows Server para la protección frente a vulnerabilidades de canal lateral de ejecución especulativa
Guía para L1 Terminal Fault: Guía de Windows Server para la protección frente a errores de terminal L1
Guía para desarrolladores: Guía para desarrolladores para Derivación de almacenamiento especulativo
Guía para servidores Hyper-V
Guía para Azure Stack: KB4073418: Guía para Azure Stack para la protección frente a vulnerabilidades de canal lateral de ejecución especulativa
Confiabilidad de Azure: Portal de confiabilidad de Azure
Guía para SQL Server: KB4073225: Guía para SQL Server para la protección frente a vulnerabilidades de canal lateral de ejecución especulativa
Vínculos a OEM y fabricantes de dispositivos de servidor sobre las actualizaciones para proteger contra las vulnerabilidades Spectre y Meltdown
Para ayudar a mitigar estas vulnerabilidades, debe actualizar tanto el hardware como el software. Use los vínculos siguientes para consultar con el fabricante del dispositivo y obtener las actualizaciones de firmware (microcódigo) aplicables.
Use los vínculos siguientes para consultar con el fabricante del dispositivo y obtener las actualizaciones de firmware (microcódigo). Tendrá que instalar actualizaciones tanto del sistema operativo como de firmware (microcódigo) para obtener todas las protecciones disponibles.
Fabricantes de dispositivo OEM |
Vínculo a la disponibilidad de microcódigo |
Acer |
|
Asus |
|
Dell |
|
Epson |
|
Fujitsu |
Hardware de CPU vulnerable a ataques de canal lateral (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
HP |
|
Lenovo |
Lectura de memoria con privilegios mediante un canal lateral |
LG |
|
NEC |
Sobre la respuesta a la vulnerabilidad del procesador (Meltdown y Spectre) en nuestros productos |
Panasonic |
|
Samsung |
|
Superficie |
|
Toshiba |
|
Vaio |
Sobre el apoyo para la vulnerabilidad del análisis de canal lateral |
Fabricantes OEM de servidores |
Vínculo a la disponibilidad de microcódigo |
Dell |
|
Fujitsu |
Hardware de CPU vulnerable a ataques de canal lateral (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
HPE |
Alertas de vulnerabilidad de seguridad de productos de Hewlett Packard Enterprise |
Huawei |
|
Lenovo |
Lectura de memoria con privilegios mediante un canal lateral |
Preguntas más frecuentes
Tendrá que consultar con el fabricante del dispositivo para obtener las actualizaciones de firmware (microcódigo). Si el fabricante de su dispositivo no figura en la tabla, póngase en contacto con el OEM directamente.
Las actualizaciones de los dispositivos Microsoft Surface están disponibles para los clientes a través de Windows Update. Para obtener una lista de las actualizaciones de firmware (microcódigo) de dispositivos Surface, consulta KB 4073065.
Si el dispositivo no es de Microsoft, aplique las actualizaciones de firmware del fabricante del dispositivo. Ponte en contacto con el fabricante del dispositivo para obtener más información.
La solución de una vulnerabilidad de hardware mediante una actualización de software presenta importantes desafíos y mitigaciones para sistemas operativos anteriores y puede requerir amplios cambios de arquitectura. Seguimos trabajando con los fabricantes de los chips afectados para investigar la mejor manera de proporcionar mitigaciones. Esto podría proporcionarse en una actualización futura. El reemplazo de dispositivos más antiguos que ejecutan sistemas operativos más antiguos, así como la actualización del software antivirus debería solucionar el riesgo restante.
Notas:
-
Los productos que actualmente no incluyen soporte o soporte extendido no recibirán estas actualizaciones del sistema. Recomendamos a los clientes que actualicen a una versión del sistema con soporte.
-
Los ataques de ejecución especulativa de canal lateral aprovechan el comportamiento y la funcionalidad de las CPU. Los fabricantes de CPU primero deben determinar qué procesadores corren riesgo y luego deben notificar a Microsoft. En muchos casos, también se necesitarán las actualizaciones del sistema operativo correspondientes para proporcionar a los clientes una protección más completa. Recomendamos a los proveedores de Windows CE preocupados por la seguridad que trabajen con los fabricantes de sus chips para comprender las vulnerabilidades y las mitigaciones aplicables.
-
No publicaremos actualizaciones para las siguientes plataformas:
-
Sistemas operativos Windows cuyo soporte haya finalizado o cuyo ciclo de vida (EOS) finalizará en 2018
-
Sistemas basados en Windows XP, como WES 2009 y POSReady 2009
-
Aunque los sistemas basados en Windows XP son productos que se ven afectados, Microsoft no proporcionará una actualización porque los extensivos cambios de arquitectura necesarios pondrían en riesgo la estabilidad del sistema y provocarían problemas de compatibilidad con las aplicaciones. Recomendamos que los clientes preocupados por la seguridad actualicen a un sistema operativo con soporte para mantenerse actualizado con el panorama de amenazas en evolución y para sacar provecho de las protecciones más sólidas que ofrecen los sistemas operativos más nuevos.
Las actualizaciones de Windows 10 para HoloLens están disponibles para los clientes de HoloLens a través de Windows Update.
Después de aplicar la actualización de seguridad de Windows de febrero de 2018, no hace falta que los clientes de HoloLens realicen más acciones para actualizar el firmware de sus dispositivos. Estas mitigaciones también se incluirán en las próximas versiones de Windows 10 para HoloLens.
Póngase en contacto con el OEM para obtener más información.
Para que su dispositivo esté completamente protegido, debe instalar las actualizaciones de seguridad del sistema operativo Windows más recientes para su dispositivo, así como las actualizaciones de firmware (microcódigo) aplicables del fabricante del dispositivo. Estas actualizaciones deberían estar disponibles en el sitio web del fabricante del dispositivo. Las actualizaciones del software antivirus se deben instalar en primer lugar. Las actualizaciones del sistema operativo y firmware se pueden instalar en cualquier orden.
Para corregir esta vulnerabilidad, deberá actualizar tanto el hardware como el software. También tendrás que instalar las actualizaciones de firmware (microcódigo) aplicables del fabricante del dispositivo para obtener una protección más completa. Te recomendamos mantener tus dispositivos actualizados instalando las actualizaciones de seguridad mensuales.
En cada actualización de características de Windows 10, incorporamos la tecnología de seguridad más reciente de manera profunda en el sistema operativo, proporcionando características de defensa en profundidad que impiden que conjuntos enteros de malware afecten al dispositivo. Las publicaciones de actualización de características se proporcionan dos veces al año. En cada actualización de calidad, agregamos otra capa de seguridad en la que se hace un seguimiento de las tendencias emergentes y cambiantes en el malware para que los sistemas actualizados estén más seguros ante las amenazas cambiantes y en evolución.
Microsoft ha mejorado la comprobación de compatibilidad de los AV de las actualizaciones de seguridad de Windows de las versiones compatibles para los dispositivos Windows 10, Windows 8.1 y Windows 7 SP1 compatibles a través de Windows Update.
Recomendaciones:-
Asegúrese de que los dispositivos tengan las actualizaciones de seguridad más recientes de Microsoft y del fabricante de hardware. Para obtener más información sobre cómo mantener tu dispositivo actualizado, consulta Windows Update: Preguntas frecuentes.
-
Siga teniendo cuidado cuando visite sitios web de origen desconocido y no se quede en sitios en los que no tiene confianza. Microsoft recomienda que todos los clientes protejan sus dispositivos mediante la ejecución de un programa antivirus admitido. Los clientes también pueden sacar partido de la protección antivirus integrada: Windows Defender para dispositivos Windows 10, o Microsoft Security Essentials para dispositivos Windows 7. Estas soluciones son compatibles en los casos en los que los clientes no pueden instalar o ejecutar software antivirus.
Para ayudar a evitar que los dispositivos de los clientes se vean afectados negativamente, las actualizaciones de seguridad de Windows que se publicaron en enero y febrero no se ofrecieron a todos los clientes. Para obtener información detallada, consulta el artículo 4072699 de Microsoft Knowledge Base.
Intel ha notificado problemas que afectan al microcódigo publicado recientemente cuya misión es mitigar la variante 2 de Spectre (CVE-2017-5715: "Branch Target Injection"). En concreto, Intel notificó que el microcódigo puede provocar "reinicios inesperados con mayor frecuencia y otros comportamientos inesperados del sistema", y esto puede provocar la "pérdida o daño de datos". Nuestra experiencia es que la inestabilidad del sistema a veces puede provocar la pérdida o el daño de datos. El 22 de enero, Intel recomendó que los clientes dejaran de implementar la versión actual del microcódigo en los procesadores afectados mientras realizan pruebas adicionales en la solución actualizada. Comprendemos que Intel sigue investigando el posible impacto de la versión actual del microcódigo y animamos a los clientes a que revisen sus instrucciones de manera continua para que puedan tomar decisiones informadas.
Mientras Intel realiza pruebas, actualiza e implementa nuevo microcódigo, ponemos a disposición una actualización fuera de banda, KB 4078130, que deshabilita específicamente solo la mitigación contra CVE-2017-5715: "Branch Target Injection". Durante las pruebas, se ha observado que esta actualización evita el comportamiento descrito. Para ver una lista completa de dispositivos, consulta la Guía de revisión de microcódigo de Intel. Esta actualización cubre Windows 7 (SP1), Windows 8.1 y todas las versiones de Windows 10, para clientes y servidores. Si usas un dispositivo afectado, esta actualización se puede aplicar descargándola desde el sitio web del Catálogo de Microsoft Update. La aplicación de esta carga solo deshabilita la mitigación contra CVE-2017-5715 "vulnerabilidad de la inserción de destino de bifurcación".
Hasta el 25 de enero, no se han recibido notificaciones que indican que esta variante 2 de Spectre (CVE-2017-5715) se ha usado para atacar a los clientes. Recomendamos a los clientes de Windows que, cuando sea conveniente, vuelvan a habilitar la mitigación contra CVE-2017-5715 cuando Intel les notifique que este comportamiento imprevisible del sistema ya está resuelto en sus dispositivos.
No. Las actualizaciones de solo seguridad no son acumulativas. En función de la versión de sistema operativo que ejecuta, debe instalar todas las actualizaciones de solo seguridad que se han publicado para protegerse contra estas vulnerabilidades. Por ejemplo, si ejecuta Windows 7 para sistemas de 32 bits en una CPU Intel afectada, debe instalar todas las actualizaciones de solo seguridad publicadas a partir de enero de 2018. Se recomienda instalar estas actualizaciones de solo seguridad según el orden de lanzamiento.
Nota Una versión anterior de las preguntas más frecuentes indicaba de forma incorrecta que la actualización de solo seguridad de febrero incluía las correcciones de seguridad publicadas en enero. De hecho, no lo hace.No. La actualización de seguridad 4078130 era una corrección específica para evitar comportamientos inesperados del sistema, problemas de rendimiento y reinicios imprevistos después de instalar el microcódigo. La aplicación de las actualizaciones de seguridad de febrero en los sistemas operativos cliente de Windows habilita las tres mitigaciones. En los sistemas operativos del servidor de Windows, aún debe habilitar las mitigaciones después de realizar las pruebas adecuadas. Para obtener más información, consulta el artículo 4072698 de Microsoft Knowledge Base.
AMD anunció recientemente que ha comenzado a distribuir el microcódigo para plataformas de CPU más recientes en torno a la variante 2 de Spectre (CVE-2017-5715 "Branch Target Injection"). Para obtener más información, consulte amd Security Updates y AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . Está disponible en el canal de firmware de OEM.
Intel anunció recientemente que ha completado las validaciones y ha comenzado a distribuir el microcódigo para nuevas plataformas de CPU. Microsoft pondrá a disposición de sus usuarios las actualizaciones de microcódigo de la variante 2 de Spectre (CVE-2017-5715 "inserción de destino de bifurcación") que haya validado Intel. KB 4093836 enumera una serie específica de artículos de Knowledge Base según cada versión de Windows. Cada artículo de KB contiene las actualizaciones disponibles de microcódigo de Intel según la CPU.
Microsoft ha empezado a poner a disposición de sus usuarios las actualizaciones de microcódigo validadas por Intel de la variante 2 de Spectre (CVE-2017-5715 "Branch Target Injection"). Para obtener las actualizaciones más recientes de microcódigo de Intel a través de Windows Update, los clientes deben haber instalado un microcódigo de Intel en dispositivos que ejecutan un sistema operativo de Windows 10 antes actualizarlo a la versión de abril de 2018 de Windows 10 (versión 1803).
La actualización de microcódigo también está disponible directamente desde el Catálogo de Microsoft Update si no se instaló en el dispositivo antes de actualizar el sistema. El microcódigo de Intel está disponible a través de Windows Update, de WSUS o del sitio web del Catálogo de Microsoft Update. Para obtener más información e instrucciones de descarga, consulta KB 4100347.
Para obtener más información, consulte los recursos siguientes:
-
ADV180012 | Guía de Microsoft para la de derivación de almacenamiento especulativo para CVE-2018-3639
-
ADV180013 | Guía de Microsoft para la lectura de registros de sistemas no autorizados para CVE-2018-3640 y KB 4073065 | Guía para clientes de Surface
-
Guía para desarrolladores para la omisión del almacén especulativo
Consulta las secciones "Acciones recomendadas" y "Preguntas más frecuentes" en ADV180012 | Guía de Microsoft para Derivación de almacenamiento especulativo.
Para comprobar el estado de SSBD, se actualizó el script de PowerShell Get-SpeculationControlSettings para detectar los procesadores afectados, el estado de las actualizaciones del sistema operativo para SSBD y el estado del microcódigo del procesador, si corresponde. Para obtener más información y obtener el script de PowerShell, consulte KB4074629.
El 13 de junio de 2018 se anunció una nueva vulnerabilidad relacionada con la ejecución especulativa del canal lateral, conocida como Restauración del estado de FP en diferido (Lazy FP State Restore), a la que se le asignó CVE-2018-3665. No se necesitan opciones de configuración (registro) para Lazy Restore FP Restore.
Para más información sobre esta vulnerabilidad y las acciones recomendadas, consulte la advertencia de seguridad ADV180016: Guía de Microsoft para Restauración del estado de FP en diferido.
Nota No se necesitan opciones de configuración (registro) para Lazy Restore FP Restore.
Bounds Check Bypass Store (BCBS) se divulgó el 10 de julio de 2018 y se le asignó CVE-2018-3693. Consideramos que BCBS pertenece a la misma clase de vulnerabilidades que Bounds Check Bypass (variante 1). Actualmente, no conocemos de instancias de BCBS en nuestro software, pero seguimos investigando esta clase de vulnerabilidades y trabajaremos con los partners del sector para publicar mitigaciones según sea necesario. Seguimos animando a los investigadores a que envíen las conclusiones pertinentes al programa de recompensa de canal lateral de ejecución especulativa de Microsoft, incluso toda instancia aprovechable de BCBS. Los desarrolladores de software deben consultar la guía para desarrolladores que se ha actualizado para BCBS en https://aka.ms/sescdevguide.
El 14 de agosto de 2018 se anunció L1 Terminal Fault (L1TF) y se le asignaron varios CVE. Estas nuevas vulnerabilidades de canal lateral de ejecución especulativa pueden utilizarse para leer el contenido de la memoria a través de un límite de confianza y, si se explotan, pueden provocar que se divulgue información. Existen múltiples vectores por medio de los cuales un atacante podría activar las vulnerabilidades, según el entorno configurado. L1TF afecta a los procesadores de Intel® Core® e Intel® Xeon®.
Para obtener más información sobre esta vulnerabilidad y una vista detallada de los escenarios afectados, incluido el enfoque de Microsoft’ para mitigar la vulnerabilidad, consulte los siguientes recursos:
Clientes de Microsoft Surface: Los clientes que usan productos de Microsoft Surface y Surface Book deben seguir las instrucciones para el cliente de Windows descritas en la advertencia de seguridad: ADV180018 | Guía de Microsoft para mitigar la variante L1TF. Consulte también el artículo 4073065 del Knowledge Base Microsoft para obtener más información sobre los productos de Surface afectados y la disponibilidad de las actualizaciones de microcódigos.
Clientes de Microsoft HoloLens: Microsoft HoloLens no se ve afectado por L1TF debido a que no utiliza un procesador Intel afectado.
Los pasos necesarios para deshabilitar Hyper-Threading serán diferentes para los distintos OEM, pero en general, son parte de la configuración del BIOS o el firmware y de las herramientas de configuración.
Los clientes que usan procesadores ARM de 64 bits deben comprobar con el OEM del dispositivo si tienen soporte técnico de firmware, ya que las protecciones del sistema operativo de ARM64 que mitigan CVE-2017-5715: Branch target injection (variante 2 de Spectre) requieren la última actualización de firmware de los OEM del dispositivo para que surtan efecto.
Para obtener más información sobre esta vulnerabilidad, consulte la Guía de seguridad de Microsoft: CVE-2019-1125 | Vulnerabilidad de divulgación de información del kernel de Windows.
No tenemos conocimientos de instancias en las que esta vulnerabilidad de divulgación de información haya afectado a nuestra infraestructura de servicios en la nube.
Tan pronto conocimos el problema, trabajamos rápidamente para solucionarlo y publicar una actualización. Creemos firmemente en establecer asociaciones estrechas con investigadores y partners del sector para la protección de nuestros clientes y no publicamos detalles hasta el martes, 6 de agosto, de acuerdo con las prácticas de divulgación de vulnerabilidades coordinadas.
Referencias
Microsoft proporciona información de contacto de otros proveedores para ayudarle a encontrar información adicional sobre este tema. Dicha información de contacto puede cambiar sin notificación previa. Microsoft no garantiza la precisión de esta información de contacto de terceros.