Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Azure Local (formerly Azure Stack HCI) Windows Server 2022 Windows Server 2019 Windows Server 2016

Päivämäärän muuttaminen

Muuta kuvausta

9. elokuuta 2023

  • CVE-2022-23816-sisältöä on poistettu, koska CVE-numeroa ei käytetä

  • Windows-laitteiden suojaamiseen liittyvät ohjeet -osiossa on poistettu intel-mikrokoodipäivitykset -niminen aihe.

9. huhtikuuta 2024

  • Lisätty CVE-2022-0001 | Intelin haarahistorian lisäys

Yhteenveto

Tässä artikkelissa on tietoja ja päivityksiä uuteen piipohjaisten mikroarchitectural- ja spekulatiivisten suorituspuolen kanavan haavoittuvuuksien luokkaan, joka vaikuttaa moniin nykyaikaisiin suorittimeen ja käyttöjärjestelmiin. Se sisältää myös kattavan luettelon Windowsin asiakas- ja palvelinresursseista, joiden avulla voit pitää laitteesi suojattuina kotona, töissä ja koko yrityksessä. Tämä sisältää Intelin, AMD:n ja ARM:n. Näiden piipohjaisten ongelmien erityiset haavoittuvuustiedot löytyvät seuraavista suojausneuvonannuksista ja cve-tiedoista:

Microsoft julkaisi 3.1.2018 äskettäin löydettyyn laitteistohaavoittuvuuksien luokkaan (Spectre ja Meltdown) liittyvät neuvonta- ja suojauspäivitykset, joihin liittyy spekulatiivisia suorituspuolen kanavia, jotka vaikuttavat AMD-, ARM- ja Intel-suorittimeen vaihtelevassa määrin. Tämä haavoittuvuusluokka perustuu yleiseen siruarkkitehtuuriin, joka alun perin suunniteltiin nopeuttamaan tietokoneita. Lisätietoja näistä haavoittuvuuksista on Google Project Zerossa.

21. toukokuuta 2018 Google Project Zero (GPZ), Microsoft ja Intel paljastivat kaksi uutta siruhaavoittuvuutta, jotka liittyvät Spectre- ja Meltdown-ongelmiin ja jotka tunnetaan nimellä Spekulatiivisen Kaupan ohitus (SSB) ja Rogue System Registry Read. Asiakasriski molemmista ilmoituksista on pieni.

Lisätietoja näistä haavoittuvuuksista on ohjeaiheessa Toukokuun 2018 Windows-käyttöjärjestelmäpäivitykset luetellut resurssit ja katso seuraavat suojaustiedotteet:

13. kesäkuuta 2018 ilmoitettiin ylimääräisestä haavoittuvuudesta, joka liittyy sivukanavan spekulatiivisiin suorituksiin, joka tunnetaan nimellä Lazy FP State Restore, ja sille annettiin CVE-2018-3665. Lisätietoja tästä haavoittuvuudesta ja suositelluista toimista on seuraavassa suojausilmoituksessa:

14. elokuuta 2018 , L1 Terminal Fault (L1TF), ilmoitettiin uudesta spekulatiivisesta suorituspuolen kanavan haavoittuvuudesta, jossa on useita CVE:tä. L1TF vaikuttaa Intel® Core -® suorittimeen ja Intel® Xeon® -suorittimeen. Lisätietoja L1TF:stä ja suositelluista toimista on suojausilmoituksessa:

Huomautus: Suosittelemme, että asennat kaikki uusimmat päivitykset Windows Update ennen mikrokoodipäivitysten asentamista.

Intel julkaisi 14. toukokuuta 2019 tietoja spekulatiivisen suorituspuolen kanavan haavoittuvuuksien uudesta alaluokasta, joka tunnetaan nimellä Microarchitectural Data Sampling. Heille on määritetty seuraavat cv:t:

Tärkeää: Nämä ongelmat vaikuttavat muihin järjestelmiin, kuten Androidiin, Chromeen, iOS:ään ja MacOS:ään. Neuvomme asiakkaita hakemaan ohjeita toimittajiltaan.

Microsoft on julkaissut päivityksiä näiden haavoittuvuuksien lieventämiseksi. Kaikkien käytettävissä olevien suojausten saamiseksi tarvitaan laiteohjelmisto (mikrokoodi) ja ohjelmistopäivitykset. Tämä voi sisältää laitteen alkuperäisten laitevalmistajien mikrokoodin. Joissakin tapauksissa näiden päivitysten asentaminen vaikuttaa suorituskykyyn. Olemme myös toimineet pilvipalveluidemme suojaamiseksi.

Huomautus: Suosittelemme, että asennat kaikki uusimmat päivitykset Windows Update ennen mikrokoodipäivitysten asentamista.

Lisätietoja näistä ongelmista ja suositelluista toimista on seuraavassa suojausilmoituksessa:

6. elokuuta 2019 Intel julkaisi tietoja Windows-ytimen tietojen paljastumisen haavoittuvuudesta. Tämä haavoittuvuus on spectre-variantin 1 spekulatiivisen suorituspuolen kanavahaavoittuvuuden variantti, ja sille on määritetty CVE-2019-1125.

Microsoft julkaisi Windows-käyttöjärjestelmän suojauspäivityksen 9. heinäkuuta 2019 ongelman lieventämiseksi. Asiakkaat, joilla on Windows Update käytössä ja jotka ovat ottaneet käyttöön 9. heinäkuuta 2019 julkaistut suojauspäivitykset, suojataan automaattisesti. Huomaa, että tämä haavoittuvuus ei edellytä laitteen valmistajalta (OEM) mikrokoodipäivitystä.

Lisätietoja tästä haavoittuvuudesta ja soveltuvista päivityksistä on artikkelissa CVE-2019-1125 | Windows-ytimen tietojen paljastumisen haavoittuvuus Microsoft security update -oppaassa.

Intel julkaisi 14.6.2022 tietoja spekulatiivisen suoritusmuistiin yhdistetyn I/O (MMIO) -kanavan haavoittuvuuden uudesta alaluokasta, joka on lueteltu tiedotteessa:

Ohjeet Windows-laitteiden suojaamiseen

Sinun on ehkä päivitettävä sekä laiteohjelmistosi (mikrokoodi) että ohjelmistosi näiden haavoittuvuuksien korjaamiseksi. Lisätietoja suositelluista toimista on Microsoftin suojaustiedottuksissa. Tämä sisältää laitevalmistajien soveltuvat laiteohjelmistopäivitykset (mikrokoodi) ja joissakin tapauksissa virustentorjuntaohjelmiston päivitykset. Kehotamme sinua pitämään laitteesi ajan tasalla asentamalla tietoturvapäivitykset kuukausittain. 

Jos haluat saada kaikki käytettävissä olevat suojaukset, hanki uusimmat päivitykset sekä ohjelmistolle että laitteistolle noudattamalla seuraavia ohjeita.

Huomautus: Varmista ennen aloittamista, että virustentorjuntaohjelmisto on ajan tasalla ja yhteensopiva. Tarkista viimeisimmät yhteensopivuustiedot virustorjuntaohjelmistovalmistajasi verkkosivustosta.

  1. Pidä Windows-laitteesi ajan tasalla ottamalla automaattiset päivitykset käyttöön.

  2. Tarkista, että olet asentanut Microsoftin Windows-käyttöjärjestelmän uusimman suojauspäivityksen. Jos automaattiset päivitykset ovat käytössä, päivitykset on toimitettava sinulle automaattisesti. Varmista kuitenkin, että ne on asennettu. Katso ohjeet artikkelista Windows Update: usein kysytyt kysymykset

  3. Asenna laitteen valmistajalta saatavilla olevat laiteohjelmistopäivitykset (mikrokoodipäivitykset). Kaikkien asiakkaiden on tarkistettava asia laitevalmistajaltaan, jotta he voivat ladata ja asentaa laitekohtaista laitteistopäivitystään. Lisätietoja laitteen valmistajan sivustoista on Lisäresurssit-osiossa.

    Huomautus: Asiakkaita suositellaan asentamaan uusimmat Windows-käyttöjärjestelmän tietoturvapäivitykset Microsoftilta voidakseen hyödyntää parasta mahdollista suojausta. Virustorjuntapäivitykset täytyy asentaa ensin. Asenna käyttöjärjestelmä- ja laiteohjelmistopäivitykset vasta niiden jälkeen. Kehotamme sinua pitämään laitteesi ajan tasalla asentamalla tietoturvapäivitykset kuukausittain. 

Näitä siruja ovat muun muassa Intelin, AMD:n ja ARM:n valmistamat sirut. Tämä tarkoittaa, että kaikki laitteet, joissa on Windows-käyttöjärjestelmä, ovat mahdollisesti haavoittuvia. Tämä koskee pöytätietokoneita, kannettavia tietokoneita, pilvipalvelimia ja älypuhelimia. Tämä koskee myös laitteita, joissa on käytössä muita käyttöjärjestelmiä, kuten Android, Chrome, iOS ja macOS. Neuvomme näitä käyttöjärjestelmiä käyttäviä asiakkaita pyytämään ohjeita näiltä toimittajilta.

Julkaisuhetkellä emme olleet saaneet mitään tietoja, jotka osoittaisivat, että näitä tietoturva-aukkoja on käytetty asiakkaiden hyökkäyksiin.

Tammikuusta 2018 alkaen Microsoft on julkaissut windows-käyttöjärjestelmien sekä Internet Explorer- ja Edge-selainten päivityksiä, jotka auttavat vähentämään näitä tietoturva-aukkoja ja suojaamaan asiakkaita. Olemme myös julkaisseet päivityksiä pilvipalveluidemme suojaamiseksi.  Jatkamme tiivistä yhteistyötä alan kumppaneiden, kuten siruvalmistajien, laitevalmistajien ja sovellustoimittajien, kanssa asiakkaiden suojaamiseksi tältä haavoittuvuudelta. 

Suosittelemme, että asennat aina kuukausittaiset päivitykset, jotta laitteesi pysyvät ajan tasalla ja turvassa. 

Päivitämme nämä ohjeet, kun uusia lievennyksiä tulee saataville, ja suosittelemme, että palaat tänne säännöllisesti. 

Heinäkuun 2019 Windows-käyttöjärjestelmäpäivitykset

Intel julkisti 6. elokuuta 2019 tietoturva-aukon CVE-2019-1125 tiedot | Windows-ytimen tietojen paljastumisen haavoittuvuus. Tämän haavoittuvuuden suojauspäivitykset julkaistiin osana heinäkuun kuukausittaista päivitystä 9. heinäkuuta 2019.

Microsoft julkaisi Windows-käyttöjärjestelmän suojauspäivityksen 9. heinäkuuta 2019 ongelman lieventämiseksi. Pidättelimme tämän lieventämisen dokumentoimista julkisesti, kunnes koordinoitu teollisuuden julkistaminen tiistaina 6. elokuuta 2019.

Asiakkaat, joilla on Windows Update käytössä ja jotka ovat ottaneet käyttöön 9. heinäkuuta 2019 julkaistut suojauspäivitykset, suojataan automaattisesti. Huomaa, että tämä haavoittuvuus ei edellytä laitteen valmistajalta (OEM) mikrokoodipäivitystä.

Toukokuun 2019 Windows-käyttöjärjestelmäpäivitykset

Intel julkaisi 14.5.2019 tietoja spekulatiivisen suorituspuolen kanavan haavoittuvuuksien uudesta alaluokasta, joka tunnetaan nimellä Microarchitectural Data Sampling , ja sille annettiin seuraavat cv:t:

Lisätietoja tästä ongelmasta on seuraavissa Suojaustiedote- ja käyttöskenaarioihin perustuvissa ohjeissa, jotka on kuvattu Windowsin asiakas- ja palvelinartikkeleissa, joissa määritetään uhan lieventämiseen tarvittavat toimet:

Microsoft on julkaissut suojauksia spekulatiivisen suorituspuolen kanavahaavoittuvuuksien uutta aliluokkaa vastaan, joka tunnetaan nimellä Microarchitectural Data Sampling 64-bittisille (x64) Windows-versioille (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Käytä rekisteriasetuksia Windows-asiakasohjelman (KB4073119) ja Windows Serverin (KB4457951) artikkeleissa kuvatulla tavalla. Nämä rekisteriasetukset ovat oletusarvoisesti käytössä Windows-asiakaskäyttöjärjestelmäversioissa ja Windows Server -käyttöjärjestelmäversioissa.

Suosittelemme, että asennat ensin kaikki uusimmat päivitykset Windows Update ennen mikrokoodipäivitysten asentamista.

Lisätietoja tästä ongelmasta ja suositelluista toiminnoista on seuraavassa suojausilmoituksessa: 

Intel on julkaissut mikrokoodipäivityksen viimeaikaisille suorittimen alustoille, jotka auttavat lieventämään CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. 14. toukokuuta 2019 julkaistussa Windows KB -4093836 luetellaan tietyt Knowledge Base -artikkelit Windows-käyttöjärjestelmän version mukaan.  Artikkelissa on myös linkkejä suorittimen käytettävissä oleviin Intel-mikrokoodipäivityksiin. Nämä päivitykset ovat saatavilla Microsoft-luettelosta.

Huomautus: Suosittelemme, että asennat kaikki uusimmat päivitykset Windows Update ennen mikrokoodipäivitysten asentamista.

Olemme iloisia voidessamme ilmoittaa, että Retpoline on oletusarvoisesti käytössä Windows 10, versio 1809 laitteissa (asiakas- ja palvelinlaitteissa), jos Spectre-variantti 2 (CVE-2017-5715) on käytössä. Ottamalla Retpolinen käyttöön Windows 10 uusimmassa versiossa 14. toukokuuta 2019 julkaistun päivityksen (KB 4494441) avulla odotamme parempaa suorituskykyä erityisesti vanhemmissa suorittimilla.

Asiakkaiden tulee varmistaa, että Spectre-variantin 2 haavoittuvuutta vastaan aikaisemmat käyttöjärjestelmäsuojaukset otetaan käyttöön Käyttämällä Windows-asiakasohjelma - ja Windows Server - artikkeleissa kuvattuja rekisteriasetuksia. (Nämä rekisteriasetukset ovat oletusarvoisesti käytössä Windows-asiakaskäyttöjärjestelmäversioissa, mutta ne on oletusarvoisesti poistettu käytöstä Windows Server -käyttöjärjestelmäversioissa). Lisätietoja Retpoline-versiosta on ohjeaiheessa Spectre-variantin 2 lieventäminen Windowsin Retpoline-toiminnolla.

Marraskuun 2018 Windows-käyttöjärjestelmäpäivitykset

Microsoft on julkaissut käyttöjärjestelmäsuojauksia spekulatiiviselle Storen ohituspalvelulle (CVE-2018-3639) AMD-suorittimia varten.

Microsoft on julkaissut muita käyttöjärjestelmäsuojauksia asiakkaille, jotka käyttävät 64-bittisiä ARM-suorittimia. Pyydä laiteohjelmiston tukea laitteen alkuperäiseltä laitevalmistajalta, koska ARM64-käyttöjärjestelmän suojaus, joka lieventää CVE-2018-3639:ää, spekulatiivista Kaupan ohittamista, vaatii uusimman laiteohjelmistopäivityksen laitteesi alkuperäiseltä laitevalmistajalta.

Syyskuun 2018 Windows-käyttöjärjestelmäpäivitykset

11. syyskuuta 2018, Microsoft julkaisi Windows Server 2008 SP2:n kuukausittaisen koontiversion 4458010 ja vain suojausta koskevat 4457984 Windows Server 2008:lle. Se suojaa uutta spekulatiivisen suorituspuolen kanavan haavoittuvuutta L1 Terminal Fault (L1TF) vastaan, joka vaikuttaa Intel® Core -® suorittimiin ja Intel® Xeon® -suorittimiin (CVE-2018-3620 ja CVE-2018-3646). 

Tämä versio täydentää kaikkien tuettujen Windows-järjestelmäversioiden lisäsuojaukset Windows Update kautta. Lisätietoja ja luettelo tuotteista, joihin ongelma vaikuttaa, on artikkelissa ADV180018 | Microsoftin ohjeet L1TF-variantin lieventämiseen.

Huomautus: Windows Server 2008 SP2 noudattaa nyt Windows servicingin vakiokoontimallia. Lisätietoja näistä muutoksista on Windows Server 2008 SP2:n ylläpitomuutosten blogissa. Windows Server 2008 :aa käyttävien asiakkaiden tulisi asentaa joko 4458010 tai 4457984 14. elokuuta 2018 julkaistun Security Update 4341832 -päivityksen lisäksi. Asiakkaiden tulee myös varmistaa, että Spectre-variantin 2 ja Meltdown-haavoittuvuuksien vastaiset aiemmat käyttöjärjestelmäsuojaukset otetaan käyttöön Käyttämällä Windows-asiakasohjelman ja Windows Serverin KB-ohjeartikkeleissa kuvattuja rekisteriasetuksia. Nämä rekisteriasetukset ovat oletusarvoisesti käytössä Windows-asiakaskäyttöjärjestelmäversioissa, mutta ne on oletusarvoisesti poistettu käytöstä Windows Server -käyttöjärjestelmäversioissa.

Microsoft on julkaissut muita käyttöjärjestelmäsuojauksia asiakkaille, jotka käyttävät 64-bittisiä ARM-suorittimia. Tarkista laitevalmistajalta laiteohjelmiston tuki, koska ARM64-käyttöjärjestelmän suojaukset, jotka lieventävät CVE-2017-5715 - Branch target injection (Spectre, Variant 2), vaativat uusimman laiteohjelmistopäivityksen laitteesi alkuperäisiltä laitevalmistajilta.

Elokuun 2018 Windows-käyttöjärjestelmäpäivitykset

14. elokuuta 2018 ilmoitettiin L1 Terminal Fault (L1TF) -terminaaliviasta, ja sille annettiin useita cv:tä. Näitä uusia spekulatiivisen suorituspuolen kanavan haavoittuvuuksia voidaan käyttää muistin sisällön lukemiseen luotetun rajan yli, ja jos niitä käytetään hyväksi, ne voivat johtaa tietojen paljastamiseen. On olemassa useita vektoreita, joiden avulla hyökkääjä voi laukaista haavoittuvuudet määritetyn ympäristön mukaan. L1TF vaikuttaa Intel® Core -® suorittimeen ja Intel® Xeon® -suorittimeen.

Lisätietoja L1TF:stä ja yksityiskohtainen näkymä skenaarioista, joihin ongelma vaikuttaa, mukaan lukien Microsoftin lähestymistapa L1TF:n lieventämiseen, on seuraavissa resursseissa:

Heinäkuun 2018 Windows-käyttöjärjestelmäpäivitykset

Olemme iloisia voidessamme ilmoittaa, että Microsoft on julkaissut lisäsuojauksia kaikkiin tuettuihin Windows-järjestelmäversioihin Windows Update kautta seuraaviin haavoittuvuuksiin:

  • Spectre Variant 2 AMD-suorittimia varten

  • Spekulatiivisen Storen ohitus Intel-suorittimilla

13. kesäkuuta 2018 ilmoitettiin ylimääräisestä haavoittuvuudesta, joka liittyy sivukanavan spekulatiivisiin suorituksiin, joka tunnetaan nimellä Lazy FP State Restore, ja sille annettiin CVE-2018-3665. Lazy Restore FP Restore -palautustoimintoa varten ei tarvita määritysasetuksia (rekisteriasetuksia).

Lisätietoja tästä haavoittuvuudesta, tuotteista, joihin ongelma vaikuttaa, ja suositelluista toiminnoista on seuraavassa suojausilmoituksessa:

Microsoft ilmoitti 12. kesäkuuta Windows-tuesta spekulatiiviselle Storen ohitustoiminnolle (SSBD) Intel-suorittimilla. Päivitykset edellyttävät vastaavia laiteohjelmistopäivityksiä (mikrokoodi) ja rekisteripäivityksiä. Lisätietoja päivityksistä ja SSBD:n käyttöönottovaiheista on ADV180012 | Microsoftin ohjeet spekulatiivisen Kaupan ohittamiseen.

Toukokuun 2018 Windows-käyttöjärjestelmäpäivitykset

Tammikuussa 2018 Microsoft julkaisi tietoja äskettäin löydetyistä laitteistohaavoittuvuuksista (Spectre ja Meltdown), joihin liittyy spekulatiivisia suorituspuolen kanavia, jotka vaikuttavat AMD:hen, ARM:hen ja Intelin suoritinyksikköihin vaihtelevassa määrin. 21. toukokuuta 2018 Google Project Zero (GPZ), Microsoft ja Intel paljastivat kaksi uutta siruhaavoittuvuutta, jotka liittyvät Spectre- ja Meltdown-ongelmiin, jotka tunnetaan nimellä Spekulatiivisen Kaupan ohitus (SSB) ja Rogue System Registry Read.

Asiakasriski molemmista ilmoituksista on pieni.

Lisätietoja näistä haavoittuvuuksista on seuraavissa resursseissa:

Koskee seuraavia: Windows 10, versio 1607, Windows Server 2016, Windows Server 2016 (Server Core -asennus) ja Windows Serverin versio 1709 (Server Core -asennus)

Olemme tarjonneet tukea epäsuoran haaran ennakointimuurin (IBPB) käytön hallintaan joissakin AMD-suorittimissa (CPU) CVE-2017-5715 Spectre-variantin 2 lieventämiseksi, kun vaihdat käyttäjäkontekstista ydinkontekstiin. (Lisätietoja on artikkelissa AMD-arkkitehtuurin ohjeet epäsuoran haaran hallinnasta ja AMD-suojauksen Päivitykset).

Asiakkaiden, joilla on käytössä Windows 10, versio 1607, Windows Server 2016, Windows Server 2016 (Server Core -asennus) ja Windows Serverin versio 1709 (Server Core -asennus), on asennettava suojauspäivitys 4103723 lisävähennyksiä AMD-suorittimille CVE-2017-5715, Branch Target Injection -versiolle. Tämä päivitys on saatavilla myös Windows Update.

Noudata ohjeissa KB 4073119 for Windows Client (IT Pro) kuvattuja ohjeita ja Windows Serverin KB-4072698 ohjeita, jotta voit ottaa IBPB:n käytön käyttöön joissakin AMD-suorittimissa Spectre-variantin 2 lieventämiseksi, kun vaihdat käyttäjäkontekstista ydinkontekstiin.

Microsoft tuo saataville Intelin vahvistamia mikrokoodipäivityksiä Spectre-variantin 2 ympärille (CVE-2017-5715 "Branch Target Injection"). Jotta asiakkaat voivat hankkia uusimmat Intel-mikrokoodipäivitykset Windows Update kautta, heidän on oltava asentaneet Intel-mikrokoodin laitteisiin, joissa on Windows 10 käyttöjärjestelmä, ennen päivittämistä Windows 10 huhtikuun 2018 päivitykseen (versio 1803).

Mikrokoodipäivitys on myös saatavilla suoraan luettelosta, jos se ei ole asennettuna laitteeseen ennen käyttöjärjestelmän päivittämistä. Intel-mikrokoodi on saatavilla Windows Update, WSUS:n tai Microsoft Update -luettelon kautta. Lisätietoja ja latausohjeita on artikkelissa KB-4100347.

Tarjoamme Intelin muita mikrokoodipäivityksiä Windows-käyttöjärjestelmään, kun ne tulevat Microsoftin saataville.

Koskee seuraavia: Windows 10, versio 1709

Olemme tarjonneet tukea epäsuoran haaran ennakointimuurin (IBPB) käytön hallintaan joissakin AMD-suorittimissa (CPU) CVE-2017-5715 Spectre-variantin 2 lieventämiseksi, kun vaihdat käyttäjäkontekstista ydinkontekstiin. (Lisätietoja on artikkelissa AMD-arkkitehtuurin ohjeet epäsuoran haaran hallinnasta ja AMD-suojauksen Päivitykset).Noudata ohjeissa KB 4073119 for Windows Client (IT Pro) kuvattuja ohjeita, jotta voit ottaa IBPB:n käyttöön joissakin AMD-suorittimissa Spectre-variantin 2 lieventämiseksi, kun vaihdat käyttäjäkontekstista ydinkontekstiin.

Microsoft tuo saataville Intelin vahvistamia mikrokoodipäivityksiä Spectre-variantin 2 ympärille (CVE-2017-5715 "Branch Target Injection"). KB4093836 luetteloi tietyt Knowledge Base -artikkelit Windows-version mukaan. Jokainen tietty KB sisältää suorittimen uusimmat saatavilla olevat Intel-mikrokoodipäivitykset.

Tarjoamme Intelin muita mikrokoodipäivityksiä Windows-käyttöjärjestelmään, kun ne tulevat Microsoftin saataville. 

Maaliskuun 2018 ja uudemmat Windows-käyttöjärjestelmäpäivitykset

23. maaliskuuta TechNet Security Research & Defense: KVA Shadow: Meltdownin lieventäminen Windowsissa

14. maaliskuuta Security Tech Center: Spekulatiivisen suorituspuolen kanavan palkkio-ohjelman ehdot

13. maaliskuuta blogi: maaliskuun 2018 Windowsin suojaus päivitys – Laajennamme toimiamme asiakkaiden suojaamiseksi

1. maaliskuuta blogi: Päivitys Spectre- ja Meltdown-suojauspäivityksistä Windows-laitteille

Maaliskuusta 2018 alkaen Microsoft on julkaissut suojauspäivityksiä, jotka tarjoavat lievennyksiä laitteille, joissa on käytössä seuraavat x86-pohjaiset Windows-käyttöjärjestelmät. Asiakkaiden tulee asentaa uusimmat Windows-käyttöjärjestelmän suojauspäivitykset, jotta he voivat hyödyntää käytettävissä olevia suojaustoimintoja. Pyrimme suojaamaan muita tuettuja Windows-versioita, mutta meillä ei ole julkaisuaikataulua tällä hetkellä. Tarkista päivitykset täältä. Lisätietoja on aiheeseen liittyvässä Knowledge Base -artikkelissa, jossa on teknisiä tietoja, ja usein kysytyt kysymykset -osiosta.

Tuotepäivitys julkaistu

Tila

Julkaisupäivä

Julkaisukanava

KB

Windows 8.1 & Windows Server 2012 R2 – vain suojauspäivitys

Julkaistu

13.3.

WSUS, Luettelo,

KB4088879

Windows 7 SP1 & Windows Server 2008 R2 SP1 – vain suojauspäivitys

Julkaistu

13.3.

WSUS-palvelut, Catalog

KB4088878

Windows Server 2012 - Vain suojausta parantava päivitys Windows 8 Embedded Standard Edition - Vain suojauspäivitys

Julkaistu

13.3.

WSUS-palvelut, Catalog

KB4088877

Windows 8.1 & Windows Server 2012 R2 – kuukausittainen koontiversio

Julkaistu

13.3.

WU, WSUS-palvelut, Catalog

KB4088876

Windows 7 SP1 & Windows Server 2008 R2 SP1 – kuukausittainen koontiversio

Julkaistu

13.3.

WU, WSUS-palvelut, Catalog

KB4088875

Windows Server 2012 – kuukausittainen koontiversio Windows 8 Embedded Standard Edition – kuukausittainen koontiversio

Julkaistu

13.3.

WU, WSUS-palvelut, Catalog

KB4088877

Windows Server 2008 SP2

Julkaistu

13.3.

WU, WSUS-palvelut, Catalog

KB4090450

Maaliskuusta 2018 alkaen Microsoft on julkaissut suojauspäivityksiä, jotka tarjoavat lievennyksiä laitteille, joissa on käytössä seuraavat x64-pohjaiset Windows-käyttöjärjestelmät. Asiakkaiden tulee asentaa uusimmat Windows-käyttöjärjestelmän suojauspäivitykset, jotta he voivat hyödyntää käytettävissä olevia suojaustoimintoja. Pyrimme suojaamaan muita tuettuja Windows-versioita, mutta meillä ei ole julkaisuaikataulua tällä hetkellä. Tarkista päivitykset täältä. Lisätietoja on aiheeseen liittyvässä tietokanta artikkelissa tekniset tiedot ja usein kysytyt kysymykset -osiossa.

Tuotepäivitys julkaistu

Tila

Julkaisupäivä

Julkaisukanava

KB

Windows Server 2012 - Vain suojausta parantava päivitys Windows 8 Embedded Standard Edition - Vain suojauspäivitys

Julkaistu

13.3.

WSUS-palvelut, Catalog

KB4088877

Windows Server 2012 – kuukausittainen koontiversio Windows 8 Embedded Standard Edition – kuukausittainen koontiversio

Julkaistu

13.3.

WU, WSUS-palvelut, Catalog

KB4088877

Windows Server 2008 SP2

Julkaistu

13.3.

WU, WSUS-palvelut, Catalog

KB4090450

Tämä päivitys korjaa Windowsin 64-bittisen (x64) version Windows-ytimen käyttöoikeushaavoittuvuuden. Tämä haavoittuvuus on dokumentoitu versiossa CVE-2018-1038. Käyttäjien on otettava tämä päivitys käyttöön, jotta he voivat suojautua täydeltä haavoittuvuudelta, jos heidän tietokoneensa on päivitetty tammikuussa 2018 tai sen jälkeen, käyttämällä mitä tahansa seuraavassa Knowledge Base -artikkelissa lueteltuja päivityksiä:

Windows-ytimen päivitys CVE-2018-1038:lle

Tämä suojauspäivitys korjaa useita raportoituja Internet Explorerin tietoturva-aukkoja. Lisätietoja näistä haavoittuvuuksista on ohjeaiheessa Microsoftin yleiset haavoittuvuudet ja altistukset

Tuotepäivitys julkaistu

Tila

Julkaisupäivä

Julkaisukanava

KB

Internet Explorer 10 – Windows 8 Embedded Standard Editionin kumulatiivinen päivitys

Julkaistu

13.3.

WU, WSUS-palvelut, Catalog

KB4089187

Helmikuun 2018 Windows-käyttöjärjestelmäpäivitykset

Blogi: Windows Analytics auttaa nyt arvioimaan Spectre- ja Meltdown-suojauksia

Seuraavat suojauspäivitykset tarjoavat lisäsuojauksia laitteille, joissa on 32-bittinen (x86) Windows-käyttöjärjestelmä. Microsoft suosittelee, että asiakkaat asentavat päivityksen heti, kun se on saatavilla. Pyrimme edelleen suojaamaan muita tuettuja Windows-versioita, mutta meillä ei ole julkaisuaikataulua tällä hetkellä. Tarkista päivitykset täältä. 

Huomautus Windows 10 kuukausittaiset suojauspäivitykset ovat kumulatiivisia kuukausittain, ja ne ladataan ja asennetaan automaattisesti Windows Update. Jos olet asentanut aiemmat päivitykset, vain uudet osat ladataan ja asennetaan laitteeseesi. Lisätietoja on aiheeseen liittyvässä Knowledge Base -artikkelissa, jossa on teknisiä tietoja, ja usein kysytyt kysymykset -osiosta.

Tuotepäivitys julkaistu

Tila

Julkaisupäivä

Julkaisukanava

KB

Windows 10:n versio 1709 / Windows Server 2016 (1709) / IoT Core – laatupäivitys

Julkaistu

31.1.2019

WU, Catalog

KB4058258

Windows Server 2016 (1709) – Server-säilö

Julkaistu

13.-2. helmikuuta

Docker Hub

KB4074588

Windows 10:n versio 1703 / IoT Core – laatupäivitys

Julkaistu

13.-2. helmikuuta

WU, WSUS-palvelut, Catalog

KB4074592

Windows 10 – versio 1607 / Windows Server 2016 / IoT Core - laatupäivitys

Julkaistu

13.-2. helmikuuta

WU, WSUS-palvelut, Catalog

KB4074590

Windows 10 HoloLens – käyttöjärjestelmän ja laiteohjelmiston Päivitykset

Julkaistu

13.-2. helmikuuta

WU, Catalog

KB4074590

Windows Server 2016 (1607) – säilökuvat

Julkaistu

13.-2. helmikuuta

Docker Hub

KB4074590

Windows 10:n versio 1511 / IoT Core – laatupäivitys

Julkaistu

13.-2. helmikuuta

WU, WSUS-palvelut, Catalog

KB4074591

Windows 10:n RTM-versio – laatupäivitys

Julkaistu

13.-2. helmikuuta

WU, WSUS-palvelut, Catalog

KB4074596

Windows-käyttöjärjestelmän tammikuun 2018 päivitykset

Blogi: Spectren suorituskykyvaikutuksen ja sulamisen lieventämisen ymmärtäminen Windows-järjestelmissä

Tammikuusta 2018 alkaen Microsoft julkaisi suojauspäivityksiä, jotka tarjoavat lievennyksiä laitteille, joissa on käytössä seuraavat x64-pohjaiset Windows-käyttöjärjestelmät. Asiakkaiden tulee asentaa uusimmat Windows-käyttöjärjestelmän suojauspäivitykset, jotta he voivat hyödyntää käytettävissä olevia suojaustoimintoja. Pyrimme suojaamaan muita tuettuja Windows-versioita, mutta meillä ei ole julkaisuaikataulua tällä hetkellä. Tarkista päivitykset täältä. Lisätietoja on aiheeseen liittyvässä Knowledge Base -artikkelissa, jossa on teknisiä tietoja, ja usein kysytyt kysymykset -osiosta.

Tuotepäivitys julkaistu

Tila

Julkaisupäivä

Julkaisukanava

KB

Windows 10:n versio 1709 / Windows Server 2016 (1709) / IoT Core – laatupäivitys

Julkaistu

3.1.2019

WU, WSUS, Catalog, Azure Image Gallery

KB4056892

Windows Server 2016 (1709) – Server-säilö

Julkaistu

5.1.2019

Docker Hub

KB4056892

Windows 10:n versio 1703 / IoT Core – laatupäivitys

Julkaistu

3.1.2019

WU, WSUS-palvelut, Catalog

KB4056891

Windows 10:n versio 1607 / Windows Server 2016 / IoT Core – laatupäivitys

Julkaistu

3.1.2019

WU, WSUS-palvelut, Catalog

KB4056890

Windows Server 2016 (1607) – säilökuvat

Julkaistu

4.1.2019

Docker Hub

KB4056890

Windows 10:n versio 1511 / IoT Core – laatupäivitys

Julkaistu

3.1.2019

WU, WSUS-palvelut, Catalog

KB4056888

Windows 10:n RTM-versio – laatupäivitys

Julkaistu

3.1.2019

WU, WSUS-palvelut, Catalog

KB4056893

Windows 10 Mobile (käyttöjärjestelmän koontiversio 15254.192) – ARM

Julkaistu

5.1.2019

WU, Catalog

KB4073117

Windows 10 Mobile (käyttöjärjestelmän koontiversio 15063.850)

Julkaistu

5.1.2019

WU, Catalog

KB4056891

Windows 10 Mobile (käyttöjärjestelmän koontiversio 14393.2007)

Julkaistu

5.1.2019

WU, Catalog

KB4056890

Windows 10 HoloLens

Julkaistu

5.1.2019

WU, Catalog

KB4056890

Windows 8.1 / Windows Server 2012 R2 – pelkkä suojauspäivitys

Julkaistu

3.1.2019

WSUS-palvelut, Catalog

KB4056898

Windows Embedded 8.1 Industry Enterprise

Julkaistu

3.1.2019

WSUS-palvelut, Catalog

KB4056898

Windows Embedded 8.1 Industry Pro

Julkaistu

3.1.2019

WSUS-palvelut, Catalog

KB4056898

Windows Embedded 8.1 Pro

Julkaistu

3.1.2019

WSUS-palvelut, Catalog

KB4056898

Windows 8.1 / Windows Server 2012 R2 – kuukausittainen koontipäivitys

Julkaistu

8.1.2019

WU, WSUS-palvelut, Catalog

KB4056895

Windows Embedded 8.1 Industry Enterprise

Julkaistu

8.1.2019

WU, WSUS-palvelut, Catalog

KB4056895

Windows Embedded 8.1 Industry Pro

Julkaistu

8.1.2019

WU, WSUS-palvelut, Catalog

KB4056895

Windows Embedded 8.1 Pro

Julkaistu

8.1.2019

WU, WSUS-palvelut, Catalog

KB4056895

Windows Server 2012 – vain suojauspäivitys

Julkaistu

WSUS-palvelut, Catalog

Windows Server 2008 SP2

Julkaistu

WU, WSUS-palvelut, Catalog

Windows Server 2012 – kuukausittainen koontipäivitys

Julkaistu

WU, WSUS-palvelut, Catalog

Windows Embedded 8 Standard

Julkaistu

WU, WSUS-palvelut, Catalog

Windows 7 SP1 / Windows Server 2008 R2 SP1 – vain suojauspäivitys

Julkaistu

3.1.2019

WSUS-palvelut, Catalog

KB4056897

Windows Embedded Standard 7

Julkaistu

3.1.2019

WSUS-palvelut, Catalog

KB4056897

Windows Embedded POSReady 7

Julkaistu

3.1.2019

WSUS-palvelut, Catalog

KB4056897

Windows Thin -tietokone

Julkaistu

3.1.2019

WSUS-palvelut, Catalog

KB4056897

Windows 7 SP1 / Windows Server 2008 R2 SP1 – kuukausittainen koontipäivitys

Julkaistu

4.1.2019

WU, WSUS-palvelut, Catalog

KB4056894

Windows Embedded Standard 7

Julkaistu

4.1.2019

WU, WSUS-palvelut, Catalog

KB4056894

Windows Embedded POSReady 7

Julkaistu

4.1.2019

WU, WSUS-palvelut, Catalog

KB4056894

Windows Thin -tietokone

Julkaistu

4.1.2019

WU, WSUS-palvelut, Catalog

KB4056894

Internet Explorer 11:n kumulatiivinen päivitys Windows 7 SP1:lle ja Windows 8.1:lle

Julkaistu

3.1.2019

WU, WSUS-palvelut, Catalog

KB4056568

9. huhtikuuta 2024 julkaisimme CVE-2022-0001 | Intel Branch History Injection , joka kuvaa haarahistorian lisäystä (BHI), joka on erityinen moodin sisäinen BTI. Tämä haavoittuvuus ilmenee, kun hyökkääjä voi käsitellä haarahistoriaa ennen siirtymistä käyttäjästä valvojatilaan (tai VMX:stä, joka ei ole pää-/vieras, päätilaan). Tämä manipulointi voi saada epäsuoran haaran ennustajaa valitsemaan tietyn ennustajamerkinnän epäsuoralle haaralle, ja ennustetun kohteen paljastusohjelma suoritetaan tilapäisesti. Tämä voi olla mahdollista, koska kyseisessä haarahistoriassa voi olla aikaisemmissa suojauskonteksteissa ja erityisesti muissa ennustajatiloissa otettuja haaroja.

Noudata windows-asiakasohjelman (IT Pro) KB4073119 ohjeita ja KB4072698 Windows Serverin ohjeisiin CVE-2022-0001 | Intelin haarahistorian lisäys.

Resurssit ja tekninen ohjeistus

Roolistasi riippuen seuraavat tukiartikkelit auttavat sinua tunnistamaan ja lieventämään asiakas- ja palvelinympäristöjä, joihin Spectren ja Meltdownin haavoittuvuudet vaikuttavat.

Microsoftin tiedotteet:

Intel: suojaustiedote

ARM: Suojausilmoitus

AMD: Suojaustiedote

NVIDIA: Suojaustiedote

Kuluttajien ohjeet: Laitteen suojaaminen siruun liittyviltä tietoturva-aukkoilta

Virustentorjuntaohjeet: 3. tammikuuta 2018 julkaistut Windowsin suojauspäivitykset ja virustentorjuntaohjelmat

Ohjeita AMD Windows -käyttöjärjestelmän suojauspäivityslohkoon: KB4073707: Windows-käyttöjärjestelmän suojauspäivityslohko joillekin AMD-pohjaisille laitteille

Update to Disable Mitigation against Spectre, Variant 2: KB4078130: Intel has identified reboot issues with microcode on some older processors 

Surfacen ohjeet: Surfacen ohjeet spekulatiivisilta suorituspuolen kanavan haavoittuvuuksilta suojautumiseen

Spekulatiivisen suorituspuolen kanavan lievennysten tilan tarkistaminen: powershellin komentosarjan Get-SpeculationControlSettings ymmärtäminen

IT-ammattilaisten ohjeet: Windows-asiakasohjeet IT-ammattilaisille spekulatiivisen suorituspuolen kanavan haavoittuvuuksilta suojautumiseen

Palvelimen ohjeet: Windows Serverin ohjeet spekulatiivisilta suorituspuolen kanavan haavoittuvuuksilta suojautumiseen

L1-päätevirheen palvelinohjeet: Windows Serverin ohjeet L1-päätevirheen varalta

Kehittäjän ohjeet: Kehittäjän ohjeet spekulatiiviselle Kaupan ohituksella

Server Hyper-V -ohjeet

Azure KB: KB4073235: Microsoftin pilvisuojaukset spekulatiivista suoritusta Side-Channel haavoittuvuuksia vastaan

Azure Stack -ohjeet: KB4073418: Azure-pinon ohjeet spekulatiivisilta suorituspuolen kanavan haavoittuvuuksilta suojautumiseen

Azuren luotettavuus: Azuren luotettavuusportaali

SQL Server ohjeet: KB4073225: SQL Server Ohjeita spekulatiivisilta suorituspuolen kanavan haavoittuvuuksilta suojautumiseen

Linkit OEM- ja Server-laitevalmistajiin Spectre- ja Meltdown-haavoittuvuuksilta suojautumista varten

Näiden haavoittuvuuksien korjaamiseksi sinun on päivitettävä sekä laitteistosi että ohjelmistosi. Seuraavien linkkien avulla voit tarkistaa laitteen valmistajalta soveltuvat laiteohjelmistopäivitykset (mikrokoodit).

Seuraavien linkkien avulla voit tarkistaa laitevalmistajalta laiteohjelmiston (mikrokoodi) päivitykset. Sinun on asennettava sekä käyttöjärjestelmän että laiteohjelmiston (mikrokoodi) päivitykset kaikkia käytettävissä olevia suojauksia varten.

Laitevalmistajat

Linkki mikrokoodiin

Acer

Meltdownin ja Spectren tietoturva-aukot

Asus

ASUS-päivitys spekulatiivisesta suorittamisesta ja epäsuoran haaran ennakoinnin sivukanavan analyysimenetelmästä

Dell

Meltdown- ja Spectre-haavoittuvuudet

Epson

Suorittimen haavoittuvuudet (sivukanavahyökkäykset)

Fujitsu

Suorittimen laitteisto alttiina sivukanavahyökkäyksille (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HP

TUKIVIESTINTÄ – SUOJAUSTIEDOTE

Lenovo

Etuoikeutetun muistin lukeminen sivukanavalla

LG

Tuoteohjeiden & tuen hankkiminen

NEC

Vastauksena suorittimen haavoittuvuuteen (sulaminen, spektri) tuotteissamme

Panasonic

Spekulatiivisen suoritus- ja epäsuoran haaran ennakoinnin sivukanava-analyysimenetelmän aiheuttaman haavoittuvuuden suojaustiedot

Samsung

Intel CPUs Software Update -ilmoitus

Surface

Surface-ohjeet spekulatiivisen suorituspuolen kanavan haavoittuvuuksilta suojautumiseen

Toshiba

Intel, AMD & Microsoftin spekulatiivisen suorittamisen ja epäsuoran haaran ennakoinnin sivukanavan analyysimenetelmän tietoturva-aukot (2017)

Vaio

Sivukanava-analyysin haavoittuvuuden tuki

Palvelinlaitevalmistajat

Linkki mikrokoodiin

Dell

Meltdown- ja Spectre-haavoittuvuudet

Fujitsu

Suorittimen laitteisto alttiina sivukanavahyökkäyksille (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HPE

Hewlett Packard Enterprisen tuotesuojauksen haavoittuvuusilmoitukset

Huawei

Suojausilmoitus – lausunto Tietoturva-aukkojen paljastumisesta Intelin suoritinarkkitehtuurin suunnittelussa

Lenovo

Etuoikeutetun muistin lukeminen sivukanavalla

Usein kysytyt kysymykset

Sinun on tarkistettava laitevalmistajalta laiteohjelmistopäivitykset (mikrokoodit). Jos laitevalmistajaasi ei ole taulukossa, ota yhteyttä suoraan laitevalmistajaan.

microsoft Surface -laitteiden Päivitykset ovat asiakkaiden käytettävissä Windows Update kautta. Luettelo saatavilla olevista Surface-laitteen laiteohjelmistopäivityksistä (mikrokoodi) on ohjeaiheessa KB 4073065.

Jos laitteesi ei ole Microsoftilta, ota laiteohjelmistopäivitykset käyttöön laitteen valmistajalta. Saat lisätietoja laitteen valmistajalta.

Laitteistohaavoittuvuuden korjaaminen ohjelmistopäivityksen avulla aiheuttaa merkittäviä haasteita ja lievennyksiä vanhoille käyttöjärjestelmille, ja se voi vaatia laajoja arkkitehtonisia muutoksia. Jatkamme yhteistyötä siruvalmistajien kanssa selvittääksemme parhaan tavan tarjota lievennyksiä. Tämä voi olla saatavilla tulevassa päivityksessä. Vanhojen laitteiden, joissa on käytössä nämä vanhemmat käyttöjärjestelmät, korvaamisen ja virustentorjuntaohjelmiston päivittämisen pitäisi korjata jäljellä oleva riski.

Huomautukset: 

  • Tuotteet, jotka ovat tällä hetkellä sekä mainstream- että extended-tuen ulkopuolelle, eivät saa näitä järjestelmäpäivityksiä. Suosittelemme, että asiakkaat päivittävät tuettuun järjestelmäversioon. 

  • Spekulatiiviset suorituspuolen kanavahyökkäykset hyödyntävät suorittimen käyttäytymistä ja toimintoja. Suoritinvalmistajien on ensin määritettävä, mitkä suorittimet voivat olla vaarassa, ja ilmoitettava siitä microsoftille. Monissa tapauksissa vastaavia käyttöjärjestelmäpäivityksiä tarvitaan myös asiakkaiden kattavamman suojauksen tarjoamiseksi. Suosittelemme, että tietoturvatietoiset Windows CE toimittajat tekevät yhteistyötä siruvalmistajansa kanssa haavoittuvuuksien ja sovellettavien lievennysten ymmärtämiseksi.

  • Emme julkaise päivityksiä seuraavissa ympäristöissä:

    • Windows-käyttöjärjestelmät, joita ei enää tueta tai joiden tukipalvelu päättyy vuonna 2018

    • Windows XP -pohjaiset järjestelmät, kuten WES 2009 ja POSReady 2009

Vaikka tämä koskee Windows XP -pohjaisia järjestelmiä, Microsoft ei julkaise niille päivitystä, koska tarvittavat kattavat arkkitehtoniset muutokset vaarantaisivat järjestelmän vakauden ja aiheuttaisivat sovellusten yhteensopivuusongelmia. Suosittelemme, että tietoturvasta huolestuneet asiakkaat päivittävät käyttöönsä uudemman tuetun käyttöjärjestelmän. Tällä tavoin he voivat hyödyntää niiden tarjoamia tehokkaampia suojaustoimintoja ja pysyä ajan tasalla kehittyvistä uhista.

holoLensin Päivitykset Windows 10 hololens -asiakkaille Windows Update kautta.

Helmikuun 2018 Windowsin suojaus päivityksen käyttöönoton jälkeen HoloLensin asiakkaiden ei tarvitse tehdä mitään lisätoimia laitteen laiteohjelmiston päivittämiseksi. Nämä lievennykset sisällytetään myös kaikkiin holoLensin tuleviin Windows 10 julkaisuihin.

Saat lisätietoja ottamalla yhteyttä alkuperäiseen laitevalmistajaan.

Jotta laitteesi olisi täysin suojattu, asenna uusimmat Windows-käyttöjärjestelmän suojauspäivitykset laitteeseesi ja soveltuvat laiteohjelmistopäivitykset (mikrokoodi) laitteen valmistajalta. Näiden päivitysten pitäisi olla saatavilla laitteen valmistajan sivustossa. Virustorjuntapäivitykset täytyy asentaa ensin. Käyttöjärjestelmän ja laiteohjelmiston päivitysten asentamisen järjestyksellä ei ole väliä.

Sinun on päivitettävä sekä laitteistosi että ohjelmistosi tämän haavoittuvuuden korjaamiseksi. Sinun on myös asennettava laitteen valmistajalta soveltuvat laiteohjelmistopäivitykset (mikrokoodit), jotta saat kattavamman suojauksen. Kehotamme sinua pitämään laitteesi ajan tasalla asentamalla tietoturvapäivitykset kuukausittain.

Jokaisessa Windows 10 ominaisuuspäivityksessä kehitämme uusimman suojausteknologian syvälle käyttöjärjestelmään ja tarjoamme suojaukseen liittyviä ominaisuuksia, jotka estävät kokonaisia haittaohjelmaluokkia vaikuttamasta laitteeseesi. Ominaisuuspäivityksiä julkaistaan kaksi kertaa vuodessa. Lisäämme jokaiseen kuukausittaiseen laatupäivitykseen toisen suojauskerroksen, joka seuraa haittaohjelmien uusia ja muuttuvia trendejä, jotta ajan tasalla olevat järjestelmät ovat turvallisempia muuttuvien ja kehittyvien uhkien edessä.

Microsoft on poistanut Windowsin suojauspäivitysten AV-yhteensopivuustarkistuksen Windows 10-, Windows 8.1- ja Windows 7 SP1 -laitteiden tuetuista versioista Windows Update kautta. Suosituksia:

  • Varmista, että laitteesi ovat ajan tasalla, hankkimalla uusimmat suojauspäivitykset Microsoftilta ja laitevalmistajalta. Lisätietoja laitteen pitämisestä ajan tasalla on artikkelissa Windows Update: usein kysytyt kysymykset.

  • Jatka järkevän varovaisuuden harjoittamista käydessäsi tuntemattoman alkuperän sivustoissa, äläkä jää sivustoille, joihin et luota. Microsoft suosittelee, että kaikki asiakkaat suojaavat laitteitaan suorittamalla tuetun virustentorjuntaohjelman. Asiakkaat voivat myös hyödyntää sisäistä virustentorjuntaa: Windows Defender Windows 10 -laitteille tai Microsoft Security Essentials Windows 7 -laitteille. Nämä ratkaisut ovat yhteensopivia tapauksissa, joissa asiakkaat eivät voi asentaa tai suorittaa virustentorjuntaohjelmistoa.

Jotta asiakaslaitteisiin ei aiheutuisi haittaa, tammi- tai helmikuussa julkaistuja Windowsin suojauspäivityksiä ei ole tarjottu kaikille asiakkaille. Lisätietoja on Microsoft Knowledge Base -artikkelissa 4072699

Intel on raportoinut ongelmista , jotka vaikuttavat äskettäin julkaistuun mikrokoodiin, jonka tarkoituksena on käsitellä Spectre-varianttia 2 (CVE-2017-5715 – "Branch Target Injection"). Tarkemmin sanottuna Intel totesi, että tämä mikrokoodi voi aiheuttaa "odotettua suurempia uudelleenkäynnistyksiä ja muuta arvaamatonta järjestelmän toimintaa" ja että tällaiset tilanteet voivat aiheuttaa "tietojen menettämistä tai vioittumista".  Oma kokemuksemme on, että järjestelmän epävakaus voi joissakin tapauksissa aiheuttaa tietojen menettämistä tai vioittumista. Intel suositteli 22.1.2019, että asiakkaat lopettaisivat nykyisen mikrokoodiversion käyttöönoton suorittimilla, joita ongelma koskee, samalla kun he suorittavat lisätestausta päivitetyssä ratkaisussa. Ymmärrämme, että Intel jatkaa nykyisen mikrokoodiversion mahdollisten vaikutusten tutkimista, ja kehotamme asiakkaita tarkistamaan ohjeistuksensa jatkuvasti tiedottaakseen päätöksistään.

Kun Intel testaa, päivittää ja ottaa käyttöön uuden mikrokoodin, julkaisemme kaistan ulkopuolisen päivityksen KB 4078130, joka poistaa erityisesti käytöstä vain CVE-2017-5715 – "Branch Target Injection" -päivitykseen kohdistuvat lievennykset. Testauksessamme tämän päivityksen on todettu estävän kuvatun toiminnan. Täydellinen laiteluettelo on Intelin mikrokoodin muokkausohjeissa. Tämä päivitys kattaa Windows 7:n (SP1), Windows 8.1:n ja kaikki Windows 10:n asiakas- ja palvelinversiot. Jos käytät laitetta, johon ongelma vaikuttaa, päivitys voidaan asentaa lataamalla se Microsoft Update -luettelon sivustosta. Tämän hyötykuorman soveltaminen poistaa erityisesti käytöstä vain CVE-2017-5715 – "Branch Target Injection" -lievennyksen. 

25. tammikuuta alkaen ei ole tiedossa raportteja, jotka osoittaisivat, että tätä Spectre-varianttia 2 (CVE-2017-5715) on käytetty asiakkaiden hyökkäämiseen. Suosittelemme, että Windows-asiakkaat voivat tarvittaessa ottaa lievennyksen uudelleen käyttöön CVE-2017-5715:tä vastaan, kun Intel ilmoittaa, että tämä arvaamaton järjestelmän toiminta on ratkaistu laitteessasi.

Et. Vain suojauspäivitykset eivät ole kumulatiivisia. Käytössä olevan käyttöjärjestelmäversion mukaan kaikki julkaistut vain suojauspäivitykset on asennettava, jotta ne voidaan suojata näheiltä. Jos käytössäsi on esimerkiksi Windows 7 32-bittisille järjestelmille intel-suorittimen kanssa, johon ongelma vaikuttaa, sinun on asennettava jokainen vain suojausta parantava päivitys tammikuusta 2018 alkaen. Suosittelemme, että asennat nämä vain suojauspäivitykset julkaisujärjestyksessä.  Huomautus Näiden usein kysyttyjen kyselyjen aiemmassa versiossa todettiin virheellisesti, että helmikuun vain suojaukseen liittyvä päivitys sisälsi tammikuussa julkaistut suojauskorjaukset. Itse asiassa se ei.

Et. Suojauspäivityksen 4078130 oli erityinen korjaus, jolla estettiin järjestelmän arvaamattomat toimintatavat, suorituskykyongelmat ja odottamattomat uudelleenkäynnistykset mikrokoodin asentamisen jälkeen. Helmikuun suojauspäivitysten käyttöönotto Windows-asiakaskäyttöjärjestelmissä mahdollistaa kaikki kolme lievennystä. Windows Server -käyttöjärjestelmissä lievennykset on otettava käyttöön asianmukaisen testauksen jälkeen. Lisätietoja on Microsoft Knowledge Base -artikkelissa 4072698 .

AMD ilmoitti äskettäin, että he ovat alkaneet julkaista mikrokoodia uudempaan suoritinalustaan Spectre-variantin 2 ympärillä (CVE-2017-5715 "Branch Target Injection"). Lisätietoja on artikkelissa AMD Security Päivitykset ja AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Nämä ovat saatavilla OEM-laiteohjelmistokanavalta. 

Intel ilmoitti äskettäin suorittaneensa validointinsa ja alkaneensa julkaista mikrokoodia uudempaa suoritinympäristöä varten. Microsoft tuo saataville Intelin vahvistamia mikrokoodipäivityksiä Spectre-variantin 2 ympärille (CVE-2017-5715 "Branch Target Injection"). KB 4093836 luetteloi tietyt Knowledge Base -artikkelit Windows-version mukaan. Kukin tietty kt sisältää käytettävissä olevat Intelin mikrokoodipäivitykset suorittimen mukaan.

Microsoft tuo saataville Intelin vahvistamia mikrokoodipäivityksiä Spectre-variantin 2 ympärille (CVE-2017-5715 "Branch Target Injection"). Jotta asiakkaat voivat hankkia uusimmat Intel-mikrokoodipäivitykset Windows Update kautta, heidän on oltava asentaneet Intel-mikrokoodin laitteisiin, joissa on Windows 10 käyttöjärjestelmä, ennen päivittämistä Windows 10 huhtikuun 2018 päivitykseen (versio 1803).

Mikrokoodipäivitys on saatavilla myös suoraan päivitysluettelosta, jos sitä ei ole asennettu laitteeseen ennen järjestelmän päivittämistä. Intel-mikrokoodi on saatavilla Windows Update, WSUS:n tai Microsoft Update -luettelon kautta. Lisätietoja ja latausohjeita on artikkelissa KB-4100347.

SSBD:n tilan tarkistamista varten Get-SpeculationControlSettings PowerShell -komentosarja on päivitetty havaitsemaan kyseiset suorittimet, SSBD-käyttöjärjestelmäpäivitysten tila ja suorittimen mikrokoodin tila tarvittaessa. Lisätietoja ja PowerShell-komentosarjan hankkiminen on artikkelissa KB4074629.

13. kesäkuuta 2018 ilmoitettiin ylimääräisestä haavoittuvuudesta, joka liittyy sivukanavan spekulatiivisiin suorituksiin, joka tunnetaan nimellä Lazy FP State Restore, ja sille annettiin CVE-2018-3665. Lazy Restore FP Restore -palautustoimintoa varten ei tarvita määritysasetuksia (rekisteriasetuksia).

Lisätietoja tästä haavoittuvuudesta ja suositelluista toimista on suojausilmoituksessa: ADV180016 | Microsoftin ohjeet laiskan FP-tilan palauttamiseen

HuomautusLazy Restore FP Restore -palautustoimintoa varten ei tarvita määritysasetuksia (rekisteriasetuksia).

Bounds Check Bypass Store (BCBS) julkistettiin 10. heinäkuuta 2018 ja sille annettiin CVE-2018-3693. Katsomme, että BCBS kuuluu samaan haavoittuvuusluokkaan kuin Bounds Check Bypass (muuttuja 1). Emme ole tällä hetkellä tietoisia BCBS-esiintymistä ohjelmistossamme, mutta jatkamme tämän haavoittuvuusluokan tutkimista ja teemme yhteistyötä alan kumppaneiden kanssa vapauttaaksemme lievennyksiä tarpeen mukaan. Kannustamme edelleen tutkijoita toimittamaan kaikki asiaankuuluvat havainnot Microsoftin spekulatiivisen suorituspuolen kanavan palkkio-ohjelmaan, mukaan lukien BCBS:n hyväksikäytettävät esiintymät. Ohjelmistokehittäjien tulee tutustua kehittäjän ohjeisiin, jotka on päivitetty BCBS:lle https://aka.ms/sescdevguide.

14. elokuuta 2018 ilmoitettiin L1 Terminal Fault (L1TF) -terminaaliviasta , ja sille annettiin useita cv:tä. Näitä uusia spekulatiivisen suorituspuolen kanavan haavoittuvuuksia voidaan käyttää muistin sisällön lukemiseen luotetun rajan yli, ja jos niitä käytetään hyväksi, ne voivat johtaa tietojen paljastamiseen. On olemassa useita vektoreita, joiden avulla hyökkääjä voi laukaista haavoittuvuudet määritetyn ympäristön mukaan. L1TF vaikuttaa Intel® Core -® suorittimeen ja Intel® Xeon® -suorittimeen.

Lisätietoja tästä haavoittuvuudesta ja yksityiskohtainen näkymä skenaarioista, joihin ongelma vaikuttaa, mukaan lukien Microsoftin lähestymistapa L1TF:n lieventämiseen, on seuraavissa resursseissa:

Microsoft Surface -asiakkaat: Microsoft Surfacea ja Surface Book tuotteita käyttävien asiakkaiden on noudatettava suojausilmoituksessa kuvattuja Windows-asiakasohjelman ohjeita: ADV180018 | Microsoftin ohjeet L1TF-variantin lieventämiseen. Lisätietoja ongelmasta kärsivistä Surface-tuotteista ja mikrokoodipäivitysten saatavuudesta on myös Microsoft Knowledge Base -artikkelissa 4073065 .

Microsoft Hololens -asiakkaat: L1TF ei vaikuta Microsoft HoloLens, koska se ei käytä intel-suoritinta, johon ongelma vaikuttaa.

Vaiheet, jotka tarvitaan Hyper-Threading poistamiseen käytöstä, eroavat alkuperäisestä laitevalmistajasta alkuperäiseen laitevalmistajaan, mutta ovat yleensä osa BIOS- tai laiteohjelmiston määritys- ja määritystyökaluja.

Asiakkaiden, jotka käyttävät 64-bittisiä ARM-suorittimia, tulisi tarkistaa laiteohjelmiston tuki laitteen OEM-laiteohjelmistotuesta, koska ARM64-käyttöjärjestelmän suojaus, joka lieventää CVE-2017-5715 - Branch target injection (Spectre, Variant 2), edellyttää laitteen alkuperäisten laiteohjelmistojen uusimman laiteohjelmistopäivityksen asentamista voimaan.

Lisätietoja tästä haavoittuvuudesta on Microsoftin suojausoppaassa: CVE-2019-1125 | Windows-ytimen tietojen paljastumisen haavoittuvuus.

Emme ole tietoisia tämän tiedon paljastumisen haavoittuvuudesta, joka vaikuttaa pilvipalveluinfrastruktuuriimme.

Heti kun saimme tietää tästä ongelmasta, työskentelimme nopeasti sen korjaamiseksi ja päivityksen julkaisemiseksi. Uskomme vahvasti tiiviisiin kumppanuuksiin sekä tutkijoiden että alan kumppaneiden kanssa asiakkaiden turvallisuuden parantamiseksi, ja julkaisimme tiedot vasta tiistaina 6. elokuuta koordinoitujen haavoittuvuuksien paljastuskäytäntöjen mukaisesti.

Lisätietoja

Microsoft tarjoaa kolmannen osapuolen yhteystiedot, joiden avulla voit etsiä lisätietoja tästä aiheesta. Nämä yhteystiedot saattavat muuttua ilman ennakkoilmoitusta. Microsoft ei takaa kolmannen osapuolen yhteystietojen tarkkuutta.

Tarvitsetko lisäohjeita?

Haluatko lisää vaihtoehtoja?

Tutustu tilausetuihin, selaa harjoituskursseja, opi suojaamaan laitteesi ja paljon muuta.

Osallistumalla yhteisöihin voit kysyä kysymyksiä ja vastata niihin, antaa palautetta sekä kuulla lisää asiantuntijoilta, joilla on runsaasti tietoa.