Päivämäärän muuttaminen |
Muuta kuvausta |
---|---|
9. elokuuta 2023 |
|
9. huhtikuuta 2024 |
|
Yhteenveto
Tässä artikkelissa on tietoja ja päivityksiä uuteen piipohjaisten mikroarchitectural- ja spekulatiivisten suorituspuolen kanavan haavoittuvuuksien luokkaan, joka vaikuttaa moniin nykyaikaisiin suorittimeen ja käyttöjärjestelmiin. Se sisältää myös kattavan luettelon Windowsin asiakas- ja palvelinresursseista, joiden avulla voit pitää laitteesi suojattuina kotona, töissä ja koko yrityksessä. Tämä sisältää Intelin, AMD:n ja ARM:n. Näiden piipohjaisten ongelmien erityiset haavoittuvuustiedot löytyvät seuraavista suojausneuvonannuksista ja cve-tiedoista:
-
ADV180002 - Ohjeita spekulatiivisen suorituspuolen kanavan haavoittuvuuksien lieventämiseen
-
ADV180012 – Microsoftin ohjeet spekulatiiviselle Kaupan ohituksella
-
ADV180013 – Microsoftin ohjeita Rogue System Register Readille
-
ADV180016 – Microsoftin ohjeet Laiskan FP-tilan palauttamiseen
-
ADV180018 – Microsoftin ohjeet L1TF-variantin lieventämiseen
-
ADV190013 – Microsoftin ohjeet mikroarkkitectural data sampling -haavoittuvuuksien lieventämiseen
-
ADV220002 – Microsoftin ohjeet Intel Processorin MMIO Stale Data -haavoittuvuuksista
Microsoft julkaisi 3.1.2018 äskettäin löydettyyn laitteistohaavoittuvuuksien luokkaan (Spectre ja Meltdown) liittyvät neuvonta- ja suojauspäivitykset, joihin liittyy spekulatiivisia suorituspuolen kanavia, jotka vaikuttavat AMD-, ARM- ja Intel-suorittimeen vaihtelevassa määrin. Tämä haavoittuvuusluokka perustuu yleiseen siruarkkitehtuuriin, joka alun perin suunniteltiin nopeuttamaan tietokoneita. Lisätietoja näistä haavoittuvuuksista on Google Project Zerossa.
21. toukokuuta 2018 Google Project Zero (GPZ), Microsoft ja Intel paljastivat kaksi uutta siruhaavoittuvuutta, jotka liittyvät Spectre- ja Meltdown-ongelmiin ja jotka tunnetaan nimellä Spekulatiivisen Kaupan ohitus (SSB) ja Rogue System Registry Read. Asiakasriski molemmista ilmoituksista on pieni.
Lisätietoja näistä haavoittuvuuksista on ohjeaiheessa Toukokuun 2018 Windows-käyttöjärjestelmäpäivitykset luetellut resurssit ja katso seuraavat suojaustiedotteet:
13. kesäkuuta 2018 ilmoitettiin ylimääräisestä haavoittuvuudesta, joka liittyy sivukanavan spekulatiivisiin suorituksiin, joka tunnetaan nimellä Lazy FP State Restore, ja sille annettiin CVE-2018-3665. Lisätietoja tästä haavoittuvuudesta ja suositelluista toimista on seuraavassa suojausilmoituksessa:
14. elokuuta 2018 , L1 Terminal Fault (L1TF), ilmoitettiin uudesta spekulatiivisesta suorituspuolen kanavan haavoittuvuudesta, jossa on useita CVE:tä. L1TF vaikuttaa Intel® Core -® suorittimeen ja Intel® Xeon® -suorittimeen. Lisätietoja L1TF:stä ja suositelluista toimista on suojausilmoituksessa:
Huomautus: Suosittelemme, että asennat kaikki uusimmat päivitykset Windows Update ennen mikrokoodipäivitysten asentamista.
Intel julkaisi 14. toukokuuta 2019 tietoja spekulatiivisen suorituspuolen kanavan haavoittuvuuksien uudesta alaluokasta, joka tunnetaan nimellä Microarchitectural Data Sampling. Heille on määritetty seuraavat cv:t:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Microarchitectural Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 – "Microarchitectural Load Port Data Sampling (MLPDS)"
Tärkeää: Nämä ongelmat vaikuttavat muihin järjestelmiin, kuten Androidiin, Chromeen, iOS:ään ja MacOS:ään. Neuvomme asiakkaita hakemaan ohjeita toimittajiltaan.
Microsoft on julkaissut päivityksiä näiden haavoittuvuuksien lieventämiseksi. Kaikkien käytettävissä olevien suojausten saamiseksi tarvitaan laiteohjelmisto (mikrokoodi) ja ohjelmistopäivitykset. Tämä voi sisältää laitteen alkuperäisten laitevalmistajien mikrokoodin. Joissakin tapauksissa näiden päivitysten asentaminen vaikuttaa suorituskykyyn. Olemme myös toimineet pilvipalveluidemme suojaamiseksi.
Huomautus: Suosittelemme, että asennat kaikki uusimmat päivitykset Windows Update ennen mikrokoodipäivitysten asentamista.
Lisätietoja näistä ongelmista ja suositelluista toimista on seuraavassa suojausilmoituksessa:
6. elokuuta 2019 Intel julkaisi tietoja Windows-ytimen tietojen paljastumisen haavoittuvuudesta. Tämä haavoittuvuus on spectre-variantin 1 spekulatiivisen suorituspuolen kanavahaavoittuvuuden variantti, ja sille on määritetty CVE-2019-1125.
Microsoft julkaisi Windows-käyttöjärjestelmän suojauspäivityksen 9. heinäkuuta 2019 ongelman lieventämiseksi. Asiakkaat, joilla on Windows Update käytössä ja jotka ovat ottaneet käyttöön 9. heinäkuuta 2019 julkaistut suojauspäivitykset, suojataan automaattisesti. Huomaa, että tämä haavoittuvuus ei edellytä laitteen valmistajalta (OEM) mikrokoodipäivitystä.
Lisätietoja tästä haavoittuvuudesta ja soveltuvista päivityksistä on artikkelissa CVE-2019-1125 | Windows-ytimen tietojen paljastumisen haavoittuvuus Microsoft security update -oppaassa.
Intel julkaisi 14.6.2022 tietoja spekulatiivisen suoritusmuistiin yhdistetyn I/O (MMIO) -kanavan haavoittuvuuden uudesta alaluokasta, joka on lueteltu tiedotteessa:
Ohjeet Windows-laitteiden suojaamiseen
Sinun on ehkä päivitettävä sekä laiteohjelmistosi (mikrokoodi) että ohjelmistosi näiden haavoittuvuuksien korjaamiseksi. Lisätietoja suositelluista toimista on Microsoftin suojaustiedottuksissa. Tämä sisältää laitevalmistajien soveltuvat laiteohjelmistopäivitykset (mikrokoodi) ja joissakin tapauksissa virustentorjuntaohjelmiston päivitykset. Kehotamme sinua pitämään laitteesi ajan tasalla asentamalla tietoturvapäivitykset kuukausittain.
Jos haluat saada kaikki käytettävissä olevat suojaukset, hanki uusimmat päivitykset sekä ohjelmistolle että laitteistolle noudattamalla seuraavia ohjeita.
Huomautus: Varmista ennen aloittamista, että virustentorjuntaohjelmisto on ajan tasalla ja yhteensopiva. Tarkista viimeisimmät yhteensopivuustiedot virustorjuntaohjelmistovalmistajasi verkkosivustosta.
-
Pidä Windows-laitteesi ajan tasalla ottamalla automaattiset päivitykset käyttöön.
-
Tarkista, että olet asentanut Microsoftin Windows-käyttöjärjestelmän uusimman suojauspäivityksen. Jos automaattiset päivitykset ovat käytössä, päivitykset on toimitettava sinulle automaattisesti. Varmista kuitenkin, että ne on asennettu. Katso ohjeet artikkelista Windows Update: usein kysytyt kysymykset
-
Asenna laitteen valmistajalta saatavilla olevat laiteohjelmistopäivitykset (mikrokoodipäivitykset). Kaikkien asiakkaiden on tarkistettava asia laitevalmistajaltaan, jotta he voivat ladata ja asentaa laitekohtaista laitteistopäivitystään. Lisätietoja laitteen valmistajan sivustoista on Lisäresurssit-osiossa.
Huomautus: Asiakkaita suositellaan asentamaan uusimmat Windows-käyttöjärjestelmän tietoturvapäivitykset Microsoftilta voidakseen hyödyntää parasta mahdollista suojausta. Virustorjuntapäivitykset täytyy asentaa ensin. Asenna käyttöjärjestelmä- ja laiteohjelmistopäivitykset vasta niiden jälkeen. Kehotamme sinua pitämään laitteesi ajan tasalla asentamalla tietoturvapäivitykset kuukausittain.
Näitä siruja ovat muun muassa Intelin, AMD:n ja ARM:n valmistamat sirut. Tämä tarkoittaa, että kaikki laitteet, joissa on Windows-käyttöjärjestelmä, ovat mahdollisesti haavoittuvia. Tämä koskee pöytätietokoneita, kannettavia tietokoneita, pilvipalvelimia ja älypuhelimia. Tämä koskee myös laitteita, joissa on käytössä muita käyttöjärjestelmiä, kuten Android, Chrome, iOS ja macOS. Neuvomme näitä käyttöjärjestelmiä käyttäviä asiakkaita pyytämään ohjeita näiltä toimittajilta.
Julkaisuhetkellä emme olleet saaneet mitään tietoja, jotka osoittaisivat, että näitä tietoturva-aukkoja on käytetty asiakkaiden hyökkäyksiin.
Tammikuusta 2018 alkaen Microsoft on julkaissut windows-käyttöjärjestelmien sekä Internet Explorer- ja Edge-selainten päivityksiä, jotka auttavat vähentämään näitä tietoturva-aukkoja ja suojaamaan asiakkaita. Olemme myös julkaisseet päivityksiä pilvipalveluidemme suojaamiseksi. Jatkamme tiivistä yhteistyötä alan kumppaneiden, kuten siruvalmistajien, laitevalmistajien ja sovellustoimittajien, kanssa asiakkaiden suojaamiseksi tältä haavoittuvuudelta.
Suosittelemme, että asennat aina kuukausittaiset päivitykset, jotta laitteesi pysyvät ajan tasalla ja turvassa.
Päivitämme nämä ohjeet, kun uusia lievennyksiä tulee saataville, ja suosittelemme, että palaat tänne säännöllisesti.
Heinäkuun 2019 Windows-käyttöjärjestelmäpäivitykset
Intel julkisti 6. elokuuta 2019 tietoturva-aukon CVE-2019-1125 tiedot | Windows-ytimen tietojen paljastumisen haavoittuvuus. Tämän haavoittuvuuden suojauspäivitykset julkaistiin osana heinäkuun kuukausittaista päivitystä 9. heinäkuuta 2019.
Microsoft julkaisi Windows-käyttöjärjestelmän suojauspäivityksen 9. heinäkuuta 2019 ongelman lieventämiseksi. Pidättelimme tämän lieventämisen dokumentoimista julkisesti, kunnes koordinoitu teollisuuden julkistaminen tiistaina 6. elokuuta 2019.
Asiakkaat, joilla on Windows Update käytössä ja jotka ovat ottaneet käyttöön 9. heinäkuuta 2019 julkaistut suojauspäivitykset, suojataan automaattisesti. Huomaa, että tämä haavoittuvuus ei edellytä laitteen valmistajalta (OEM) mikrokoodipäivitystä.
Toukokuun 2019 Windows-käyttöjärjestelmäpäivitykset
Intel julkaisi 14.5.2019 tietoja spekulatiivisen suorituspuolen kanavan haavoittuvuuksien uudesta alaluokasta, joka tunnetaan nimellä Microarchitectural Data Sampling , ja sille annettiin seuraavat cv:t:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Microarchitectural Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 – "Microarchitectural Load Port Data Sampling (MLPDS)"
Lisätietoja tästä ongelmasta on seuraavissa Suojaustiedote- ja käyttöskenaarioihin perustuvissa ohjeissa, jotka on kuvattu Windowsin asiakas- ja palvelinartikkeleissa, joissa määritetään uhan lieventämiseen tarvittavat toimet:
Microsoft on julkaissut suojauksia spekulatiivisen suorituspuolen kanavahaavoittuvuuksien uutta aliluokkaa vastaan, joka tunnetaan nimellä Microarchitectural Data Sampling 64-bittisille (x64) Windows-versioille (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).
Käytä rekisteriasetuksia Windows-asiakasohjelman (KB4073119) ja Windows Serverin (KB4457951) artikkeleissa kuvatulla tavalla. Nämä rekisteriasetukset ovat oletusarvoisesti käytössä Windows-asiakaskäyttöjärjestelmäversioissa ja Windows Server -käyttöjärjestelmäversioissa.
Suosittelemme, että asennat ensin kaikki uusimmat päivitykset Windows Update ennen mikrokoodipäivitysten asentamista.
Lisätietoja tästä ongelmasta ja suositelluista toiminnoista on seuraavassa suojausilmoituksessa:
Intel on julkaissut mikrokoodipäivityksen viimeaikaisille suorittimen alustoille, jotka auttavat lieventämään CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. 14. toukokuuta 2019 julkaistussa Windows KB -4093836 luetellaan tietyt Knowledge Base -artikkelit Windows-käyttöjärjestelmän version mukaan. Artikkelissa on myös linkkejä suorittimen käytettävissä oleviin Intel-mikrokoodipäivityksiin. Nämä päivitykset ovat saatavilla Microsoft-luettelosta.
Huomautus: Suosittelemme, että asennat kaikki uusimmat päivitykset Windows Update ennen mikrokoodipäivitysten asentamista.
Olemme iloisia voidessamme ilmoittaa, että Retpoline on oletusarvoisesti käytössä Windows 10, versio 1809 laitteissa (asiakas- ja palvelinlaitteissa), jos Spectre-variantti 2 (CVE-2017-5715) on käytössä. Ottamalla Retpolinen käyttöön Windows 10 uusimmassa versiossa 14. toukokuuta 2019 julkaistun päivityksen (KB 4494441) avulla odotamme parempaa suorituskykyä erityisesti vanhemmissa suorittimilla.
Asiakkaiden tulee varmistaa, että Spectre-variantin 2 haavoittuvuutta vastaan aikaisemmat käyttöjärjestelmäsuojaukset otetaan käyttöön Käyttämällä Windows-asiakasohjelma - ja Windows Server - artikkeleissa kuvattuja rekisteriasetuksia. (Nämä rekisteriasetukset ovat oletusarvoisesti käytössä Windows-asiakaskäyttöjärjestelmäversioissa, mutta ne on oletusarvoisesti poistettu käytöstä Windows Server -käyttöjärjestelmäversioissa). Lisätietoja Retpoline-versiosta on ohjeaiheessa Spectre-variantin 2 lieventäminen Windowsin Retpoline-toiminnolla.
Marraskuun 2018 Windows-käyttöjärjestelmäpäivitykset
Microsoft on julkaissut käyttöjärjestelmäsuojauksia spekulatiiviselle Storen ohituspalvelulle (CVE-2018-3639) AMD-suorittimia varten.
Microsoft on julkaissut muita käyttöjärjestelmäsuojauksia asiakkaille, jotka käyttävät 64-bittisiä ARM-suorittimia. Pyydä laiteohjelmiston tukea laitteen alkuperäiseltä laitevalmistajalta, koska ARM64-käyttöjärjestelmän suojaus, joka lieventää CVE-2018-3639:ää, spekulatiivista Kaupan ohittamista, vaatii uusimman laiteohjelmistopäivityksen laitteesi alkuperäiseltä laitevalmistajalta.
Syyskuun 2018 Windows-käyttöjärjestelmäpäivitykset
11. syyskuuta 2018, Microsoft julkaisi Windows Server 2008 SP2:n kuukausittaisen koontiversion 4458010 ja vain suojausta koskevat 4457984 Windows Server 2008:lle. Se suojaa uutta spekulatiivisen suorituspuolen kanavan haavoittuvuutta L1 Terminal Fault (L1TF) vastaan, joka vaikuttaa Intel® Core -® suorittimiin ja Intel® Xeon® -suorittimiin (CVE-2018-3620 ja CVE-2018-3646).
Tämä versio täydentää kaikkien tuettujen Windows-järjestelmäversioiden lisäsuojaukset Windows Update kautta. Lisätietoja ja luettelo tuotteista, joihin ongelma vaikuttaa, on artikkelissa ADV180018 | Microsoftin ohjeet L1TF-variantin lieventämiseen.
Huomautus: Windows Server 2008 SP2 noudattaa nyt Windows servicingin vakiokoontimallia. Lisätietoja näistä muutoksista on Windows Server 2008 SP2:n ylläpitomuutosten blogissa. Windows Server 2008 :aa käyttävien asiakkaiden tulisi asentaa joko 4458010 tai 4457984 14. elokuuta 2018 julkaistun Security Update 4341832 -päivityksen lisäksi. Asiakkaiden tulee myös varmistaa, että Spectre-variantin 2 ja Meltdown-haavoittuvuuksien vastaiset aiemmat käyttöjärjestelmäsuojaukset otetaan käyttöön Käyttämällä Windows-asiakasohjelman ja Windows Serverin KB-ohjeartikkeleissa kuvattuja rekisteriasetuksia. Nämä rekisteriasetukset ovat oletusarvoisesti käytössä Windows-asiakaskäyttöjärjestelmäversioissa, mutta ne on oletusarvoisesti poistettu käytöstä Windows Server -käyttöjärjestelmäversioissa.
Microsoft on julkaissut muita käyttöjärjestelmäsuojauksia asiakkaille, jotka käyttävät 64-bittisiä ARM-suorittimia. Tarkista laitevalmistajalta laiteohjelmiston tuki, koska ARM64-käyttöjärjestelmän suojaukset, jotka lieventävät CVE-2017-5715 - Branch target injection (Spectre, Variant 2), vaativat uusimman laiteohjelmistopäivityksen laitteesi alkuperäisiltä laitevalmistajilta.
Elokuun 2018 Windows-käyttöjärjestelmäpäivitykset
14. elokuuta 2018 ilmoitettiin L1 Terminal Fault (L1TF) -terminaaliviasta, ja sille annettiin useita cv:tä. Näitä uusia spekulatiivisen suorituspuolen kanavan haavoittuvuuksia voidaan käyttää muistin sisällön lukemiseen luotetun rajan yli, ja jos niitä käytetään hyväksi, ne voivat johtaa tietojen paljastamiseen. On olemassa useita vektoreita, joiden avulla hyökkääjä voi laukaista haavoittuvuudet määritetyn ympäristön mukaan. L1TF vaikuttaa Intel® Core -® suorittimeen ja Intel® Xeon® -suorittimeen.
Lisätietoja L1TF:stä ja yksityiskohtainen näkymä skenaarioista, joihin ongelma vaikuttaa, mukaan lukien Microsoftin lähestymistapa L1TF:n lieventämiseen, on seuraavissa resursseissa:
Heinäkuun 2018 Windows-käyttöjärjestelmäpäivitykset
Olemme iloisia voidessamme ilmoittaa, että Microsoft on julkaissut lisäsuojauksia kaikkiin tuettuihin Windows-järjestelmäversioihin Windows Update kautta seuraaviin haavoittuvuuksiin:
-
Spectre Variant 2 AMD-suorittimia varten
-
Spekulatiivisen Storen ohitus Intel-suorittimilla
13. kesäkuuta 2018 ilmoitettiin ylimääräisestä haavoittuvuudesta, joka liittyy sivukanavan spekulatiivisiin suorituksiin, joka tunnetaan nimellä Lazy FP State Restore, ja sille annettiin CVE-2018-3665. Lazy Restore FP Restore -palautustoimintoa varten ei tarvita määritysasetuksia (rekisteriasetuksia).
Lisätietoja tästä haavoittuvuudesta, tuotteista, joihin ongelma vaikuttaa, ja suositelluista toiminnoista on seuraavassa suojausilmoituksessa:
Microsoft ilmoitti 12. kesäkuuta Windows-tuesta spekulatiiviselle Storen ohitustoiminnolle (SSBD) Intel-suorittimilla. Päivitykset edellyttävät vastaavia laiteohjelmistopäivityksiä (mikrokoodi) ja rekisteripäivityksiä. Lisätietoja päivityksistä ja SSBD:n käyttöönottovaiheista on ADV180012 | Microsoftin ohjeet spekulatiivisen Kaupan ohittamiseen.
Toukokuun 2018 Windows-käyttöjärjestelmäpäivitykset
Tammikuussa 2018 Microsoft julkaisi tietoja äskettäin löydetyistä laitteistohaavoittuvuuksista (Spectre ja Meltdown), joihin liittyy spekulatiivisia suorituspuolen kanavia, jotka vaikuttavat AMD:hen, ARM:hen ja Intelin suoritinyksikköihin vaihtelevassa määrin. 21. toukokuuta 2018 Google Project Zero (GPZ), Microsoft ja Intel paljastivat kaksi uutta siruhaavoittuvuutta, jotka liittyvät Spectre- ja Meltdown-ongelmiin, jotka tunnetaan nimellä Spekulatiivisen Kaupan ohitus (SSB) ja Rogue System Registry Read.
Asiakasriski molemmista ilmoituksista on pieni.
Lisätietoja näistä haavoittuvuuksista on seuraavissa resursseissa:
-
Microsoft security advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639
-
Microsoft Security Advisory for Rogue System Register Lue: MSRC ADV180013ja CVE-2018-3640
-
Security Research and Defense: Spekulatiivisen myymälän ohittamisen analyysi ja lieventäminen (CVE-2018-3639)
Koskee seuraavia: Windows 10, versio 1607, Windows Server 2016, Windows Server 2016 (Server Core -asennus) ja Windows Serverin versio 1709 (Server Core -asennus)
Olemme tarjonneet tukea epäsuoran haaran ennakointimuurin (IBPB) käytön hallintaan joissakin AMD-suorittimissa (CPU) CVE-2017-5715 Spectre-variantin 2 lieventämiseksi, kun vaihdat käyttäjäkontekstista ydinkontekstiin. (Lisätietoja on artikkelissa AMD-arkkitehtuurin ohjeet epäsuoran haaran hallinnasta ja AMD-suojauksen Päivitykset).
Asiakkaiden, joilla on käytössä Windows 10, versio 1607, Windows Server 2016, Windows Server 2016 (Server Core -asennus) ja Windows Serverin versio 1709 (Server Core -asennus), on asennettava suojauspäivitys 4103723 lisävähennyksiä AMD-suorittimille CVE-2017-5715, Branch Target Injection -versiolle. Tämä päivitys on saatavilla myös Windows Update.
Noudata ohjeissa KB 4073119 for Windows Client (IT Pro) kuvattuja ohjeita ja Windows Serverin KB-4072698 ohjeita, jotta voit ottaa IBPB:n käytön käyttöön joissakin AMD-suorittimissa Spectre-variantin 2 lieventämiseksi, kun vaihdat käyttäjäkontekstista ydinkontekstiin.
Microsoft tuo saataville Intelin vahvistamia mikrokoodipäivityksiä Spectre-variantin 2 ympärille (CVE-2017-5715 "Branch Target Injection"). Jotta asiakkaat voivat hankkia uusimmat Intel-mikrokoodipäivitykset Windows Update kautta, heidän on oltava asentaneet Intel-mikrokoodin laitteisiin, joissa on Windows 10 käyttöjärjestelmä, ennen päivittämistä Windows 10 huhtikuun 2018 päivitykseen (versio 1803).
Mikrokoodipäivitys on myös saatavilla suoraan luettelosta, jos se ei ole asennettuna laitteeseen ennen käyttöjärjestelmän päivittämistä. Intel-mikrokoodi on saatavilla Windows Update, WSUS:n tai Microsoft Update -luettelon kautta. Lisätietoja ja latausohjeita on artikkelissa KB-4100347.
Tarjoamme Intelin muita mikrokoodipäivityksiä Windows-käyttöjärjestelmään, kun ne tulevat Microsoftin saataville.
Koskee seuraavia: Windows 10, versio 1709
Olemme tarjonneet tukea epäsuoran haaran ennakointimuurin (IBPB) käytön hallintaan joissakin AMD-suorittimissa (CPU) CVE-2017-5715 Spectre-variantin 2 lieventämiseksi, kun vaihdat käyttäjäkontekstista ydinkontekstiin. (Lisätietoja on artikkelissa AMD-arkkitehtuurin ohjeet epäsuoran haaran hallinnasta ja AMD-suojauksen Päivitykset). Noudata ohjeissa KB 4073119 for Windows Client (IT Pro) kuvattuja ohjeita, jotta voit ottaa IBPB:n käyttöön joissakin AMD-suorittimissa Spectre-variantin 2 lieventämiseksi, kun vaihdat käyttäjäkontekstista ydinkontekstiin.
Microsoft tuo saataville Intelin vahvistamia mikrokoodipäivityksiä Spectre-variantin 2 ympärille (CVE-2017-5715 "Branch Target Injection"). KB4093836 luetteloi tietyt Knowledge Base -artikkelit Windows-version mukaan. Jokainen tietty KB sisältää suorittimen uusimmat saatavilla olevat Intel-mikrokoodipäivitykset.
Tarjoamme Intelin muita mikrokoodipäivityksiä Windows-käyttöjärjestelmään, kun ne tulevat Microsoftin saataville.
Maaliskuun 2018 ja uudemmat Windows-käyttöjärjestelmäpäivitykset
23. maaliskuuta TechNet Security Research & Defense: KVA Shadow: Meltdownin lieventäminen Windowsissa
14. maaliskuuta Security Tech Center: Spekulatiivisen suorituspuolen kanavan palkkio-ohjelman ehdot
13. maaliskuuta blogi: maaliskuun 2018 Windowsin suojaus päivitys – Laajennamme toimiamme asiakkaiden suojaamiseksi
1. maaliskuuta blogi: Päivitys Spectre- ja Meltdown-suojauspäivityksistä Windows-laitteille
Maaliskuusta 2018 alkaen Microsoft on julkaissut suojauspäivityksiä, jotka tarjoavat lievennyksiä laitteille, joissa on käytössä seuraavat x86-pohjaiset Windows-käyttöjärjestelmät. Asiakkaiden tulee asentaa uusimmat Windows-käyttöjärjestelmän suojauspäivitykset, jotta he voivat hyödyntää käytettävissä olevia suojaustoimintoja. Pyrimme suojaamaan muita tuettuja Windows-versioita, mutta meillä ei ole julkaisuaikataulua tällä hetkellä. Tarkista päivitykset täältä. Lisätietoja on aiheeseen liittyvässä Knowledge Base -artikkelissa, jossa on teknisiä tietoja, ja usein kysytyt kysymykset -osiosta.
Tuotepäivitys julkaistu |
Tila |
Julkaisupäivä |
Julkaisukanava |
KB |
Windows 8.1 & Windows Server 2012 R2 – vain suojauspäivitys |
Julkaistu |
13.3. |
WSUS, Luettelo, |
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 – vain suojauspäivitys |
Julkaistu |
13.3. |
WSUS-palvelut, Catalog |
|
Windows Server 2012 - Vain suojausta parantava päivitys Windows 8 Embedded Standard Edition - Vain suojauspäivitys |
Julkaistu |
13.3. |
WSUS-palvelut, Catalog |
|
Windows 8.1 & Windows Server 2012 R2 – kuukausittainen koontiversio |
Julkaistu |
13.3. |
WU, WSUS-palvelut, Catalog |
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 – kuukausittainen koontiversio |
Julkaistu |
13.3. |
WU, WSUS-palvelut, Catalog |
|
Windows Server 2012 – kuukausittainen koontiversio Windows 8 Embedded Standard Edition – kuukausittainen koontiversio |
Julkaistu |
13.3. |
WU, WSUS-palvelut, Catalog |
|
Windows Server 2008 SP2 |
Julkaistu |
13.3. |
WU, WSUS-palvelut, Catalog |
Maaliskuusta 2018 alkaen Microsoft on julkaissut suojauspäivityksiä, jotka tarjoavat lievennyksiä laitteille, joissa on käytössä seuraavat x64-pohjaiset Windows-käyttöjärjestelmät. Asiakkaiden tulee asentaa uusimmat Windows-käyttöjärjestelmän suojauspäivitykset, jotta he voivat hyödyntää käytettävissä olevia suojaustoimintoja. Pyrimme suojaamaan muita tuettuja Windows-versioita, mutta meillä ei ole julkaisuaikataulua tällä hetkellä. Tarkista päivitykset täältä. Lisätietoja on aiheeseen liittyvässä tietokanta artikkelissa tekniset tiedot ja usein kysytyt kysymykset -osiossa.
Tuotepäivitys julkaistu |
Tila |
Julkaisupäivä |
Julkaisukanava |
KB |
Windows Server 2012 - Vain suojausta parantava päivitys Windows 8 Embedded Standard Edition - Vain suojauspäivitys |
Julkaistu |
13.3. |
WSUS-palvelut, Catalog |
|
Windows Server 2012 – kuukausittainen koontiversio Windows 8 Embedded Standard Edition – kuukausittainen koontiversio |
Julkaistu |
13.3. |
WU, WSUS-palvelut, Catalog |
|
Windows Server 2008 SP2 |
Julkaistu |
13.3. |
WU, WSUS-palvelut, Catalog |
Tämä päivitys korjaa Windowsin 64-bittisen (x64) version Windows-ytimen käyttöoikeushaavoittuvuuden. Tämä haavoittuvuus on dokumentoitu versiossa CVE-2018-1038. Käyttäjien on otettava tämä päivitys käyttöön, jotta he voivat suojautua täydeltä haavoittuvuudelta, jos heidän tietokoneensa on päivitetty tammikuussa 2018 tai sen jälkeen, käyttämällä mitä tahansa seuraavassa Knowledge Base -artikkelissa lueteltuja päivityksiä:
Tämä suojauspäivitys korjaa useita raportoituja Internet Explorerin tietoturva-aukkoja. Lisätietoja näistä haavoittuvuuksista on ohjeaiheessa Microsoftin yleiset haavoittuvuudet ja altistukset.
Tuotepäivitys julkaistu |
Tila |
Julkaisupäivä |
Julkaisukanava |
KB |
Internet Explorer 10 – Windows 8 Embedded Standard Editionin kumulatiivinen päivitys |
Julkaistu |
13.3. |
WU, WSUS-palvelut, Catalog |
Helmikuun 2018 Windows-käyttöjärjestelmäpäivitykset
Blogi: Windows Analytics auttaa nyt arvioimaan Spectre- ja Meltdown-suojauksia
Seuraavat suojauspäivitykset tarjoavat lisäsuojauksia laitteille, joissa on 32-bittinen (x86) Windows-käyttöjärjestelmä. Microsoft suosittelee, että asiakkaat asentavat päivityksen heti, kun se on saatavilla. Pyrimme edelleen suojaamaan muita tuettuja Windows-versioita, mutta meillä ei ole julkaisuaikataulua tällä hetkellä. Tarkista päivitykset täältä.
Huomautus Windows 10 kuukausittaiset suojauspäivitykset ovat kumulatiivisia kuukausittain, ja ne ladataan ja asennetaan automaattisesti Windows Update. Jos olet asentanut aiemmat päivitykset, vain uudet osat ladataan ja asennetaan laitteeseesi. Lisätietoja on aiheeseen liittyvässä Knowledge Base -artikkelissa, jossa on teknisiä tietoja, ja usein kysytyt kysymykset -osiosta.
Tuotepäivitys julkaistu |
Tila |
Julkaisupäivä |
Julkaisukanava |
KB |
Windows 10:n versio 1709 / Windows Server 2016 (1709) / IoT Core – laatupäivitys |
Julkaistu |
31.1.2019 |
WU, Catalog |
|
Windows Server 2016 (1709) – Server-säilö |
Julkaistu |
13.-2. helmikuuta |
Docker Hub |
|
Windows 10:n versio 1703 / IoT Core – laatupäivitys |
Julkaistu |
13.-2. helmikuuta |
WU, WSUS-palvelut, Catalog |
|
Windows 10 – versio 1607 / Windows Server 2016 / IoT Core - laatupäivitys |
Julkaistu |
13.-2. helmikuuta |
WU, WSUS-palvelut, Catalog |
|
Windows 10 HoloLens – käyttöjärjestelmän ja laiteohjelmiston Päivitykset |
Julkaistu |
13.-2. helmikuuta |
WU, Catalog |
|
Windows Server 2016 (1607) – säilökuvat |
Julkaistu |
13.-2. helmikuuta |
Docker Hub |
|
Windows 10:n versio 1511 / IoT Core – laatupäivitys |
Julkaistu |
13.-2. helmikuuta |
WU, WSUS-palvelut, Catalog |
|
Windows 10:n RTM-versio – laatupäivitys |
Julkaistu |
13.-2. helmikuuta |
WU, WSUS-palvelut, Catalog |
Windows-käyttöjärjestelmän tammikuun 2018 päivitykset
Tammikuusta 2018 alkaen Microsoft julkaisi suojauspäivityksiä, jotka tarjoavat lievennyksiä laitteille, joissa on käytössä seuraavat x64-pohjaiset Windows-käyttöjärjestelmät. Asiakkaiden tulee asentaa uusimmat Windows-käyttöjärjestelmän suojauspäivitykset, jotta he voivat hyödyntää käytettävissä olevia suojaustoimintoja. Pyrimme suojaamaan muita tuettuja Windows-versioita, mutta meillä ei ole julkaisuaikataulua tällä hetkellä. Tarkista päivitykset täältä. Lisätietoja on aiheeseen liittyvässä Knowledge Base -artikkelissa, jossa on teknisiä tietoja, ja usein kysytyt kysymykset -osiosta.
Tuotepäivitys julkaistu |
Tila |
Julkaisupäivä |
Julkaisukanava |
KB |
Windows 10:n versio 1709 / Windows Server 2016 (1709) / IoT Core – laatupäivitys |
Julkaistu |
3.1.2019 |
WU, WSUS, Catalog, Azure Image Gallery |
|
Windows Server 2016 (1709) – Server-säilö |
Julkaistu |
5.1.2019 |
Docker Hub |
|
Windows 10:n versio 1703 / IoT Core – laatupäivitys |
Julkaistu |
3.1.2019 |
WU, WSUS-palvelut, Catalog |
|
Windows 10:n versio 1607 / Windows Server 2016 / IoT Core – laatupäivitys |
Julkaistu |
3.1.2019 |
WU, WSUS-palvelut, Catalog |
|
Windows Server 2016 (1607) – säilökuvat |
Julkaistu |
4.1.2019 |
Docker Hub |
|
Windows 10:n versio 1511 / IoT Core – laatupäivitys |
Julkaistu |
3.1.2019 |
WU, WSUS-palvelut, Catalog |
|
Windows 10:n RTM-versio – laatupäivitys |
Julkaistu |
3.1.2019 |
WU, WSUS-palvelut, Catalog |
|
Windows 10 Mobile (käyttöjärjestelmän koontiversio 15254.192) – ARM |
Julkaistu |
5.1.2019 |
WU, Catalog |
|
Windows 10 Mobile (käyttöjärjestelmän koontiversio 15063.850) |
Julkaistu |
5.1.2019 |
WU, Catalog |
|
Windows 10 Mobile (käyttöjärjestelmän koontiversio 14393.2007) |
Julkaistu |
5.1.2019 |
WU, Catalog |
|
Windows 10 HoloLens |
Julkaistu |
5.1.2019 |
WU, Catalog |
|
Windows 8.1 / Windows Server 2012 R2 – pelkkä suojauspäivitys |
Julkaistu |
3.1.2019 |
WSUS-palvelut, Catalog |
|
Windows Embedded 8.1 Industry Enterprise |
Julkaistu |
3.1.2019 |
WSUS-palvelut, Catalog |
|
Windows Embedded 8.1 Industry Pro |
Julkaistu |
3.1.2019 |
WSUS-palvelut, Catalog |
|
Windows Embedded 8.1 Pro |
Julkaistu |
3.1.2019 |
WSUS-palvelut, Catalog |
|
Windows 8.1 / Windows Server 2012 R2 – kuukausittainen koontipäivitys |
Julkaistu |
8.1.2019 |
WU, WSUS-palvelut, Catalog |
|
Windows Embedded 8.1 Industry Enterprise |
Julkaistu |
8.1.2019 |
WU, WSUS-palvelut, Catalog |
|
Windows Embedded 8.1 Industry Pro |
Julkaistu |
8.1.2019 |
WU, WSUS-palvelut, Catalog |
|
Windows Embedded 8.1 Pro |
Julkaistu |
8.1.2019 |
WU, WSUS-palvelut, Catalog |
|
Windows Server 2012 – vain suojauspäivitys |
Julkaistu |
WSUS-palvelut, Catalog |
||
Windows Server 2008 SP2 |
Julkaistu |
WU, WSUS-palvelut, Catalog |
||
Windows Server 2012 – kuukausittainen koontipäivitys |
Julkaistu |
WU, WSUS-palvelut, Catalog |
||
Windows Embedded 8 Standard |
Julkaistu |
WU, WSUS-palvelut, Catalog |
||
Windows 7 SP1 / Windows Server 2008 R2 SP1 – vain suojauspäivitys |
Julkaistu |
3.1.2019 |
WSUS-palvelut, Catalog |
|
Windows Embedded Standard 7 |
Julkaistu |
3.1.2019 |
WSUS-palvelut, Catalog |
|
Windows Embedded POSReady 7 |
Julkaistu |
3.1.2019 |
WSUS-palvelut, Catalog |
|
Windows Thin -tietokone |
Julkaistu |
3.1.2019 |
WSUS-palvelut, Catalog |
|
Windows 7 SP1 / Windows Server 2008 R2 SP1 – kuukausittainen koontipäivitys |
Julkaistu |
4.1.2019 |
WU, WSUS-palvelut, Catalog |
|
Windows Embedded Standard 7 |
Julkaistu |
4.1.2019 |
WU, WSUS-palvelut, Catalog |
|
Windows Embedded POSReady 7 |
Julkaistu |
4.1.2019 |
WU, WSUS-palvelut, Catalog |
|
Windows Thin -tietokone |
Julkaistu |
4.1.2019 |
WU, WSUS-palvelut, Catalog |
|
Internet Explorer 11:n kumulatiivinen päivitys Windows 7 SP1:lle ja Windows 8.1:lle |
Julkaistu |
3.1.2019 |
WU, WSUS-palvelut, Catalog |
9. huhtikuuta 2024 julkaisimme CVE-2022-0001 | Intel Branch History Injection , joka kuvaa haarahistorian lisäystä (BHI), joka on erityinen moodin sisäinen BTI. Tämä haavoittuvuus ilmenee, kun hyökkääjä voi käsitellä haarahistoriaa ennen siirtymistä käyttäjästä valvojatilaan (tai VMX:stä, joka ei ole pää-/vieras, päätilaan). Tämä manipulointi voi saada epäsuoran haaran ennustajaa valitsemaan tietyn ennustajamerkinnän epäsuoralle haaralle, ja ennustetun kohteen paljastusohjelma suoritetaan tilapäisesti. Tämä voi olla mahdollista, koska kyseisessä haarahistoriassa voi olla aikaisemmissa suojauskonteksteissa ja erityisesti muissa ennustajatiloissa otettuja haaroja.
Noudata windows-asiakasohjelman (IT Pro) KB4073119 ohjeita ja KB4072698 Windows Serverin ohjeisiin CVE-2022-0001 | Intelin haarahistorian lisäys.
Resurssit ja tekninen ohjeistus
Roolistasi riippuen seuraavat tukiartikkelit auttavat sinua tunnistamaan ja lieventämään asiakas- ja palvelinympäristöjä, joihin Spectren ja Meltdownin haavoittuvuudet vaikuttavat.
Microsoft security advisory for L1 Terminal Fault (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646
Security Research and Defense: Spekulatiivisen myymälän ohittamisen analyysi ja lieventäminen (CVE-2018-3639)
Microsoft security advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639
Microsoft Security Advisory for Rogue System Register Read | Surfacen tietoturvapäivitysopas: MSRC ADV180013ja CVE-2018-3640
Security Research and Defense: Spekulatiivisen myymälän ohittamisen analyysi ja lieventäminen (CVE-2018-3639)
TechNet Security Research & Defense: KVA Shadow: Meltdownin lieventäminen Windowsissa
Security Tech Center: Spekulatiivisen suorituspuolen kanavan palkkio-ohjelman ehdot
Microsoft Experience -blogi: Päivitys Spectre- ja Meltdown-suojauspäivityksistä Windows-laitteille
Windows for Business -blogi: Windows Analytics auttaa nyt arvioimaan Spectre- ja Meltdown-suojausta
Microsoft Secure -blogi: Spectren suorituskykyvaikutuksen ymmärtäminen ja sulamisen lieventämisen vaikutus Windows-järjestelmiin
Edge Developer Blog: Spekulatiivisen suorituspuolen kanavahyökkäysten lieventäminen Microsoft Edgessä ja Internet Explorerissa
Azure-blogi: Azure-asiakkaiden suojaaminen suoritinhaavoittuvuudelta
SCCM ohjeet: Lisäohjeita spekulatiivisen suorituspuolen kanavan haavoittuvuuksien lieventämiseksi
Microsoftin tiedotteet:
-
ADV180002 | Ohjeita spekulatiivisen suorituspuolen kanavahaavoittuvuuksien lieventämiseen
-
ADV180012 | Microsoftin ohjeet spekulatiivisen Kaupan ohittamiseen
-
ADV180016 | Microsoftin ohjeet laiskan FP-tilan palauttamiseen
-
ADV180018 | Microsoftin ohjeet L1TF-variantin lieventämiseen
Intel: suojaustiedote
ARM: Suojausilmoitus
AMD: Suojaustiedote
NVIDIA: Suojaustiedote
Kuluttajien ohjeet: Laitteen suojaaminen siruun liittyviltä tietoturva-aukkoilta
Virustentorjuntaohjeet: 3. tammikuuta 2018 julkaistut Windowsin suojauspäivitykset ja virustentorjuntaohjelmat
Ohjeita AMD Windows -käyttöjärjestelmän suojauspäivityslohkoon: KB4073707: Windows-käyttöjärjestelmän suojauspäivityslohko joillekin AMD-pohjaisille laitteille
Update to Disable Mitigation against Spectre, Variant 2: KB4078130: Intel has identified reboot issues with microcode on some older processors
Surfacen ohjeet: Surfacen ohjeet spekulatiivisilta suorituspuolen kanavan haavoittuvuuksilta suojautumiseen
Spekulatiivisen suorituspuolen kanavan lievennysten tilan tarkistaminen: powershellin komentosarjan Get-SpeculationControlSettings ymmärtäminen
IT-ammattilaisten ohjeet: Windows-asiakasohjeet IT-ammattilaisille spekulatiivisen suorituspuolen kanavan haavoittuvuuksilta suojautumiseen
Palvelimen ohjeet: Windows Serverin ohjeet spekulatiivisilta suorituspuolen kanavan haavoittuvuuksilta suojautumiseen
L1-päätevirheen palvelinohjeet: Windows Serverin ohjeet L1-päätevirheen varalta
Kehittäjän ohjeet: Kehittäjän ohjeet spekulatiiviselle Kaupan ohituksella
Server Hyper-V -ohjeet
Azure Stack -ohjeet: KB4073418: Azure-pinon ohjeet spekulatiivisilta suorituspuolen kanavan haavoittuvuuksilta suojautumiseen
Azuren luotettavuus: Azuren luotettavuusportaali
SQL Server ohjeet: KB4073225: SQL Server Ohjeita spekulatiivisilta suorituspuolen kanavan haavoittuvuuksilta suojautumiseen
Linkit OEM- ja Server-laitevalmistajiin Spectre- ja Meltdown-haavoittuvuuksilta suojautumista varten
Näiden haavoittuvuuksien korjaamiseksi sinun on päivitettävä sekä laitteistosi että ohjelmistosi. Seuraavien linkkien avulla voit tarkistaa laitteen valmistajalta soveltuvat laiteohjelmistopäivitykset (mikrokoodit).
Seuraavien linkkien avulla voit tarkistaa laitevalmistajalta laiteohjelmiston (mikrokoodi) päivitykset. Sinun on asennettava sekä käyttöjärjestelmän että laiteohjelmiston (mikrokoodi) päivitykset kaikkia käytettävissä olevia suojauksia varten.
Laitevalmistajat |
Linkki mikrokoodiin |
Acer |
|
Asus |
|
Dell |
|
Epson |
|
Fujitsu |
|
HP |
|
Lenovo |
|
LG |
|
NEC |
Vastauksena suorittimen haavoittuvuuteen (sulaminen, spektri) tuotteissamme |
Panasonic |
|
Samsung |
|
Surface |
Surface-ohjeet spekulatiivisen suorituspuolen kanavan haavoittuvuuksilta suojautumiseen |
Toshiba |
|
Vaio |
Palvelinlaitevalmistajat |
Linkki mikrokoodiin |
Dell |
|
Fujitsu |
|
HPE |
Hewlett Packard Enterprisen tuotesuojauksen haavoittuvuusilmoitukset |
Huawei |
|
Lenovo |
Usein kysytyt kysymykset
Sinun on tarkistettava laitevalmistajalta laiteohjelmistopäivitykset (mikrokoodit). Jos laitevalmistajaasi ei ole taulukossa, ota yhteyttä suoraan laitevalmistajaan.
microsoft Surface -laitteiden Päivitykset ovat asiakkaiden käytettävissä Windows Update kautta. Luettelo saatavilla olevista Surface-laitteen laiteohjelmistopäivityksistä (mikrokoodi) on ohjeaiheessa KB 4073065.
Jos laitteesi ei ole Microsoftilta, ota laiteohjelmistopäivitykset käyttöön laitteen valmistajalta. Saat lisätietoja laitteen valmistajalta.
Laitteistohaavoittuvuuden korjaaminen ohjelmistopäivityksen avulla aiheuttaa merkittäviä haasteita ja lievennyksiä vanhoille käyttöjärjestelmille, ja se voi vaatia laajoja arkkitehtonisia muutoksia. Jatkamme yhteistyötä siruvalmistajien kanssa selvittääksemme parhaan tavan tarjota lievennyksiä. Tämä voi olla saatavilla tulevassa päivityksessä. Vanhojen laitteiden, joissa on käytössä nämä vanhemmat käyttöjärjestelmät, korvaamisen ja virustentorjuntaohjelmiston päivittämisen pitäisi korjata jäljellä oleva riski.
Huomautukset:
-
Tuotteet, jotka ovat tällä hetkellä sekä mainstream- että extended-tuen ulkopuolelle, eivät saa näitä järjestelmäpäivityksiä. Suosittelemme, että asiakkaat päivittävät tuettuun järjestelmäversioon.
-
Spekulatiiviset suorituspuolen kanavahyökkäykset hyödyntävät suorittimen käyttäytymistä ja toimintoja. Suoritinvalmistajien on ensin määritettävä, mitkä suorittimet voivat olla vaarassa, ja ilmoitettava siitä microsoftille. Monissa tapauksissa vastaavia käyttöjärjestelmäpäivityksiä tarvitaan myös asiakkaiden kattavamman suojauksen tarjoamiseksi. Suosittelemme, että tietoturvatietoiset Windows CE toimittajat tekevät yhteistyötä siruvalmistajansa kanssa haavoittuvuuksien ja sovellettavien lievennysten ymmärtämiseksi.
-
Emme julkaise päivityksiä seuraavissa ympäristöissä:
-
Windows-käyttöjärjestelmät, joita ei enää tueta tai joiden tukipalvelu päättyy vuonna 2018
-
Windows XP -pohjaiset järjestelmät, kuten WES 2009 ja POSReady 2009
-
Vaikka tämä koskee Windows XP -pohjaisia järjestelmiä, Microsoft ei julkaise niille päivitystä, koska tarvittavat kattavat arkkitehtoniset muutokset vaarantaisivat järjestelmän vakauden ja aiheuttaisivat sovellusten yhteensopivuusongelmia. Suosittelemme, että tietoturvasta huolestuneet asiakkaat päivittävät käyttöönsä uudemman tuetun käyttöjärjestelmän. Tällä tavoin he voivat hyödyntää niiden tarjoamia tehokkaampia suojaustoimintoja ja pysyä ajan tasalla kehittyvistä uhista.
holoLensin Päivitykset Windows 10 hololens -asiakkaille Windows Update kautta.
Helmikuun 2018 Windowsin suojaus päivityksen käyttöönoton jälkeen HoloLensin asiakkaiden ei tarvitse tehdä mitään lisätoimia laitteen laiteohjelmiston päivittämiseksi. Nämä lievennykset sisällytetään myös kaikkiin holoLensin tuleviin Windows 10 julkaisuihin.
Saat lisätietoja ottamalla yhteyttä alkuperäiseen laitevalmistajaan.
Jotta laitteesi olisi täysin suojattu, asenna uusimmat Windows-käyttöjärjestelmän suojauspäivitykset laitteeseesi ja soveltuvat laiteohjelmistopäivitykset (mikrokoodi) laitteen valmistajalta. Näiden päivitysten pitäisi olla saatavilla laitteen valmistajan sivustossa. Virustorjuntapäivitykset täytyy asentaa ensin. Käyttöjärjestelmän ja laiteohjelmiston päivitysten asentamisen järjestyksellä ei ole väliä.
Sinun on päivitettävä sekä laitteistosi että ohjelmistosi tämän haavoittuvuuden korjaamiseksi. Sinun on myös asennettava laitteen valmistajalta soveltuvat laiteohjelmistopäivitykset (mikrokoodit), jotta saat kattavamman suojauksen. Kehotamme sinua pitämään laitteesi ajan tasalla asentamalla tietoturvapäivitykset kuukausittain.
Jokaisessa Windows 10 ominaisuuspäivityksessä kehitämme uusimman suojausteknologian syvälle käyttöjärjestelmään ja tarjoamme suojaukseen liittyviä ominaisuuksia, jotka estävät kokonaisia haittaohjelmaluokkia vaikuttamasta laitteeseesi. Ominaisuuspäivityksiä julkaistaan kaksi kertaa vuodessa. Lisäämme jokaiseen kuukausittaiseen laatupäivitykseen toisen suojauskerroksen, joka seuraa haittaohjelmien uusia ja muuttuvia trendejä, jotta ajan tasalla olevat järjestelmät ovat turvallisempia muuttuvien ja kehittyvien uhkien edessä.
Microsoft on poistanut Windowsin suojauspäivitysten AV-yhteensopivuustarkistuksen Windows 10-, Windows 8.1- ja Windows 7 SP1 -laitteiden tuetuista versioista Windows Update kautta.
Suosituksia:-
Varmista, että laitteesi ovat ajan tasalla, hankkimalla uusimmat suojauspäivitykset Microsoftilta ja laitevalmistajalta. Lisätietoja laitteen pitämisestä ajan tasalla on artikkelissa Windows Update: usein kysytyt kysymykset.
-
Jatka järkevän varovaisuuden harjoittamista käydessäsi tuntemattoman alkuperän sivustoissa, äläkä jää sivustoille, joihin et luota. Microsoft suosittelee, että kaikki asiakkaat suojaavat laitteitaan suorittamalla tuetun virustentorjuntaohjelman. Asiakkaat voivat myös hyödyntää sisäistä virustentorjuntaa: Windows Defender Windows 10 -laitteille tai Microsoft Security Essentials Windows 7 -laitteille. Nämä ratkaisut ovat yhteensopivia tapauksissa, joissa asiakkaat eivät voi asentaa tai suorittaa virustentorjuntaohjelmistoa.
Jotta asiakaslaitteisiin ei aiheutuisi haittaa, tammi- tai helmikuussa julkaistuja Windowsin suojauspäivityksiä ei ole tarjottu kaikille asiakkaille. Lisätietoja on Microsoft Knowledge Base -artikkelissa 4072699.
Intel on raportoinut ongelmista , jotka vaikuttavat äskettäin julkaistuun mikrokoodiin, jonka tarkoituksena on käsitellä Spectre-varianttia 2 (CVE-2017-5715 – "Branch Target Injection"). Tarkemmin sanottuna Intel totesi, että tämä mikrokoodi voi aiheuttaa "odotettua suurempia uudelleenkäynnistyksiä ja muuta arvaamatonta järjestelmän toimintaa" ja että tällaiset tilanteet voivat aiheuttaa "tietojen menettämistä tai vioittumista". Oma kokemuksemme on, että järjestelmän epävakaus voi joissakin tapauksissa aiheuttaa tietojen menettämistä tai vioittumista. Intel suositteli 22.1.2019, että asiakkaat lopettaisivat nykyisen mikrokoodiversion käyttöönoton suorittimilla, joita ongelma koskee, samalla kun he suorittavat lisätestausta päivitetyssä ratkaisussa. Ymmärrämme, että Intel jatkaa nykyisen mikrokoodiversion mahdollisten vaikutusten tutkimista, ja kehotamme asiakkaita tarkistamaan ohjeistuksensa jatkuvasti tiedottaakseen päätöksistään.
Kun Intel testaa, päivittää ja ottaa käyttöön uuden mikrokoodin, julkaisemme kaistan ulkopuolisen päivityksen KB 4078130, joka poistaa erityisesti käytöstä vain CVE-2017-5715 – "Branch Target Injection" -päivitykseen kohdistuvat lievennykset. Testauksessamme tämän päivityksen on todettu estävän kuvatun toiminnan. Täydellinen laiteluettelo on Intelin mikrokoodin muokkausohjeissa. Tämä päivitys kattaa Windows 7:n (SP1), Windows 8.1:n ja kaikki Windows 10:n asiakas- ja palvelinversiot. Jos käytät laitetta, johon ongelma vaikuttaa, päivitys voidaan asentaa lataamalla se Microsoft Update -luettelon sivustosta. Tämän hyötykuorman soveltaminen poistaa erityisesti käytöstä vain CVE-2017-5715 – "Branch Target Injection" -lievennyksen.
25. tammikuuta alkaen ei ole tiedossa raportteja, jotka osoittaisivat, että tätä Spectre-varianttia 2 (CVE-2017-5715) on käytetty asiakkaiden hyökkäämiseen. Suosittelemme, että Windows-asiakkaat voivat tarvittaessa ottaa lievennyksen uudelleen käyttöön CVE-2017-5715:tä vastaan, kun Intel ilmoittaa, että tämä arvaamaton järjestelmän toiminta on ratkaistu laitteessasi.
Et. Vain suojauspäivitykset eivät ole kumulatiivisia. Käytössä olevan käyttöjärjestelmäversion mukaan kaikki julkaistut vain suojauspäivitykset on asennettava, jotta ne voidaan suojata näheiltä. Jos käytössäsi on esimerkiksi Windows 7 32-bittisille järjestelmille intel-suorittimen kanssa, johon ongelma vaikuttaa, sinun on asennettava jokainen vain suojausta parantava päivitys tammikuusta 2018 alkaen. Suosittelemme, että asennat nämä vain suojauspäivitykset julkaisujärjestyksessä.
Huomautus Näiden usein kysyttyjen kyselyjen aiemmassa versiossa todettiin virheellisesti, että helmikuun vain suojaukseen liittyvä päivitys sisälsi tammikuussa julkaistut suojauskorjaukset. Itse asiassa se ei.Et. Suojauspäivityksen 4078130 oli erityinen korjaus, jolla estettiin järjestelmän arvaamattomat toimintatavat, suorituskykyongelmat ja odottamattomat uudelleenkäynnistykset mikrokoodin asentamisen jälkeen. Helmikuun suojauspäivitysten käyttöönotto Windows-asiakaskäyttöjärjestelmissä mahdollistaa kaikki kolme lievennystä. Windows Server -käyttöjärjestelmissä lievennykset on otettava käyttöön asianmukaisen testauksen jälkeen. Lisätietoja on Microsoft Knowledge Base -artikkelissa 4072698 .
AMD ilmoitti äskettäin, että he ovat alkaneet julkaista mikrokoodia uudempaan suoritinalustaan Spectre-variantin 2 ympärillä (CVE-2017-5715 "Branch Target Injection"). Lisätietoja on artikkelissa AMD Security Päivitykset ja AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Nämä ovat saatavilla OEM-laiteohjelmistokanavalta.
Intel ilmoitti äskettäin suorittaneensa validointinsa ja alkaneensa julkaista mikrokoodia uudempaa suoritinympäristöä varten. Microsoft tuo saataville Intelin vahvistamia mikrokoodipäivityksiä Spectre-variantin 2 ympärille (CVE-2017-5715 "Branch Target Injection"). KB 4093836 luetteloi tietyt Knowledge Base -artikkelit Windows-version mukaan. Kukin tietty kt sisältää käytettävissä olevat Intelin mikrokoodipäivitykset suorittimen mukaan.
Microsoft tuo saataville Intelin vahvistamia mikrokoodipäivityksiä Spectre-variantin 2 ympärille (CVE-2017-5715 "Branch Target Injection"). Jotta asiakkaat voivat hankkia uusimmat Intel-mikrokoodipäivitykset Windows Update kautta, heidän on oltava asentaneet Intel-mikrokoodin laitteisiin, joissa on Windows 10 käyttöjärjestelmä, ennen päivittämistä Windows 10 huhtikuun 2018 päivitykseen (versio 1803).
Mikrokoodipäivitys on saatavilla myös suoraan päivitysluettelosta, jos sitä ei ole asennettu laitteeseen ennen järjestelmän päivittämistä. Intel-mikrokoodi on saatavilla Windows Update, WSUS:n tai Microsoft Update -luettelon kautta. Lisätietoja ja latausohjeita on artikkelissa KB-4100347.
Lisätietoja on seuraavissa resursseissa:
-
ADV180012 | Microsoftin ohjeet spekulatiivisen Kaupan ohittamiseen CVE-2018-3639:lle
-
ADV180013 | Microsoftin ohjeet rogue system register read for CVE-2018-3640 and KB 4073065 | Ohjeita Surface-asiakkaille
SSBD:n tilan tarkistamista varten Get-SpeculationControlSettings PowerShell -komentosarja on päivitetty havaitsemaan kyseiset suorittimet, SSBD-käyttöjärjestelmäpäivitysten tila ja suorittimen mikrokoodin tila tarvittaessa. Lisätietoja ja PowerShell-komentosarjan hankkiminen on artikkelissa KB4074629.
13. kesäkuuta 2018 ilmoitettiin ylimääräisestä haavoittuvuudesta, joka liittyy sivukanavan spekulatiivisiin suorituksiin, joka tunnetaan nimellä Lazy FP State Restore, ja sille annettiin CVE-2018-3665. Lazy Restore FP Restore -palautustoimintoa varten ei tarvita määritysasetuksia (rekisteriasetuksia).
Lisätietoja tästä haavoittuvuudesta ja suositelluista toimista on suojausilmoituksessa: ADV180016 | Microsoftin ohjeet laiskan FP-tilan palauttamiseen
HuomautusLazy Restore FP Restore -palautustoimintoa varten ei tarvita määritysasetuksia (rekisteriasetuksia).
Bounds Check Bypass Store (BCBS) julkistettiin 10. heinäkuuta 2018 ja sille annettiin CVE-2018-3693. Katsomme, että BCBS kuuluu samaan haavoittuvuusluokkaan kuin Bounds Check Bypass (muuttuja 1). Emme ole tällä hetkellä tietoisia BCBS-esiintymistä ohjelmistossamme, mutta jatkamme tämän haavoittuvuusluokan tutkimista ja teemme yhteistyötä alan kumppaneiden kanssa vapauttaaksemme lievennyksiä tarpeen mukaan. Kannustamme edelleen tutkijoita toimittamaan kaikki asiaankuuluvat havainnot Microsoftin spekulatiivisen suorituspuolen kanavan palkkio-ohjelmaan, mukaan lukien BCBS:n hyväksikäytettävät esiintymät. Ohjelmistokehittäjien tulee tutustua kehittäjän ohjeisiin, jotka on päivitetty BCBS:lle https://aka.ms/sescdevguide.
14. elokuuta 2018 ilmoitettiin L1 Terminal Fault (L1TF) -terminaaliviasta , ja sille annettiin useita cv:tä. Näitä uusia spekulatiivisen suorituspuolen kanavan haavoittuvuuksia voidaan käyttää muistin sisällön lukemiseen luotetun rajan yli, ja jos niitä käytetään hyväksi, ne voivat johtaa tietojen paljastamiseen. On olemassa useita vektoreita, joiden avulla hyökkääjä voi laukaista haavoittuvuudet määritetyn ympäristön mukaan. L1TF vaikuttaa Intel® Core -® suorittimeen ja Intel® Xeon® -suorittimeen.
Lisätietoja tästä haavoittuvuudesta ja yksityiskohtainen näkymä skenaarioista, joihin ongelma vaikuttaa, mukaan lukien Microsoftin lähestymistapa L1TF:n lieventämiseen, on seuraavissa resursseissa:
Microsoft Surface -asiakkaat: Microsoft Surfacea ja Surface Book tuotteita käyttävien asiakkaiden on noudatettava suojausilmoituksessa kuvattuja Windows-asiakasohjelman ohjeita: ADV180018 | Microsoftin ohjeet L1TF-variantin lieventämiseen. Lisätietoja ongelmasta kärsivistä Surface-tuotteista ja mikrokoodipäivitysten saatavuudesta on myös Microsoft Knowledge Base -artikkelissa 4073065 .
Microsoft Hololens -asiakkaat: L1TF ei vaikuta Microsoft HoloLens, koska se ei käytä intel-suoritinta, johon ongelma vaikuttaa.
Vaiheet, jotka tarvitaan Hyper-Threading poistamiseen käytöstä, eroavat alkuperäisestä laitevalmistajasta alkuperäiseen laitevalmistajaan, mutta ovat yleensä osa BIOS- tai laiteohjelmiston määritys- ja määritystyökaluja.
Asiakkaiden, jotka käyttävät 64-bittisiä ARM-suorittimia, tulisi tarkistaa laiteohjelmiston tuki laitteen OEM-laiteohjelmistotuesta, koska ARM64-käyttöjärjestelmän suojaus, joka lieventää CVE-2017-5715 - Branch target injection (Spectre, Variant 2), edellyttää laitteen alkuperäisten laiteohjelmistojen uusimman laiteohjelmistopäivityksen asentamista voimaan.
Lisätietoja tästä haavoittuvuudesta on Microsoftin suojausoppaassa: CVE-2019-1125 | Windows-ytimen tietojen paljastumisen haavoittuvuus.
Emme ole tietoisia tämän tiedon paljastumisen haavoittuvuudesta, joka vaikuttaa pilvipalveluinfrastruktuuriimme.
Heti kun saimme tietää tästä ongelmasta, työskentelimme nopeasti sen korjaamiseksi ja päivityksen julkaisemiseksi. Uskomme vahvasti tiiviisiin kumppanuuksiin sekä tutkijoiden että alan kumppaneiden kanssa asiakkaiden turvallisuuden parantamiseksi, ja julkaisimme tiedot vasta tiistaina 6. elokuuta koordinoitujen haavoittuvuuksien paljastuskäytäntöjen mukaisesti.
Lisätietoja
Microsoft tarjoaa kolmannen osapuolen yhteystiedot, joiden avulla voit etsiä lisätietoja tästä aiheesta. Nämä yhteystiedot saattavat muuttua ilman ennakkoilmoitusta. Microsoft ei takaa kolmannen osapuolen yhteystietojen tarkkuutta.