Modifier la date |
Modifier la description |
---|---|
9 août 2023 |
|
9 avril 2024 |
|
Résumé
Cet article fournit des informations et des mises à jour pour une nouvelle classe de vulnérabilités par canal auxiliaire d’exécution spéculative et microarchitectural basées sur le silicium qui affectent de nombreux processeurs et systèmes d’exploitation modernes. Il fournit également une liste exhaustive de ressources sur les clients et serveurs Windows permettant d’assurer la protection des appareils à domicile, au travail et dans l’ensemble de l’entreprise. Cela inclut Intel, AMD et ARM. Vous trouverez des détails spécifiques sur les vulnérabilités basées sur le silicium dans les avis de sécurité et les CVE suivants :
-
ADV180002 – Conseils pour atténuer les vulnérabilités par canal auxiliaire d’exécution spéculative
-
ADV180013 – Instructions de Microsoft pour Lecture non autorisée du registre système
-
ADV180016 – Instructions de Microsoft pour Restauration différée de l’état de la virgule flottante
-
ADV180018 – Instructions de Microsoft pour atténuer la variante L1TF
-
CVE-2022-23825 Confusion du type de branche du processeur AMD
Le 3 janvier 2018, Microsoft a publié un avis et des mises à jour de sécurité en ce qui concerne une nouvelle classe de vulnérabilités matérielles (appelées « Spectre » et « Meltdown ») impliquant les canaux auxiliaires d’exécution spéculative et touchant les processeurs AMD, ARM et Intel à différents degrés. Cette classe de vulnérabilités repose sur une architecture de puce commune qui a été conçue à l’origine pour accélérer les ordinateurs. Vous pouvez en apprendre davantage sur ces vulnérabilités sur Google Project Zero.
Le 21 mai 2018, Google Project Zero (GPZ), Microsoft et Intel ont divulgué deux nouvelles vulnérabilités de puce liées aux problèmes Spectre et Meltdown et appelées Contournement de magasin spéculatif (SSB) et Lecture non autorisée du registre système. Les risques inhérents à ces deux divulgations sont faibles pour le client.
Pour plus d’informations sur ces vulnérabilités, consultez les ressources mentionnées à la section Mises à jour du système d’exploitation Windows de mai 2018, ainsi que les avis de sécurité suivants :
-
ADV180012 | Conseils Microsoft pour le contournement du magasin spéculatif
-
ADV180013 | Instructions de Microsoft pour Lecture non autorisée du registre système
Le 13 juin 2018, une vulnérabilité supplémentaire impliquant une exécution spéculative par canal auxiliaire, appelée Restauration différée de l’état de la virgule flottante, a été annoncée et a reçu le code CVE-2018-3665. Pour plus d’informations sur cette vulnérabilité et sur les actions recommandées, consultez l’avis de sécurité suivant :
Le 14 août 2018, L1 Terminal Fault (L1TF), une nouvelle vulnérabilité par canal auxiliaire d’exécution spéculative a été annoncée ; elle comporte plusieurs codes CVE. La vulnérabilité L1TF touche les processeurs Intel® Core® et Intel® Xeon®. Pour plus d’informations sur L1TF et sur les actions recommandées, consultez l’avis de sécurité suivant :
Remarque : Microsoft vous recommande d’installer toutes les dernières mises à jour de Windows Update avant d’installer des mises à jour du microcode.
Le 14 mai 2019, Intel a publié des informations concernant une nouvelle sous-classe de vulnérabilités de canal auxiliaire d’exécution spéculative appelées « Microarchitectural Data Sampling ». Ces vulnérabilités ont été attribuées aux CVE suivantes :
-
CVE-2018-11091 – « MDSUM (Mémoire non cachable d'échantillonnage de données microarchitecturales) »
-
CVE-2018-12130 – « Échantillonnage des données de port de chargement microarchitectural (MLPDS) »
Important : ces problèmes concernent d’autres systèmes comme Android, Chrome, iOS et MacOS. Microsoft conseille à ses clients de rechercher des instructions auprès de leur fournisseur correspondant.
Microsoft a publié des mises à jour pour contribuer à atténuer ces vulnérabilités. Pour bénéficier de toutes les protections disponibles, des mises à jour du microprogramme (microcode) et des mises à jour logicielles sont requises. Cela peut concerner notamment le microcode des fabricants d’appareils OEM. Dans certains cas, l’installation de ces mises à jour a un impact sur les performances. Microsoft a également pris des mesures pour sécuriser ses services cloud.
Remarque : nous vous recommande d’installer toutes les dernières mises à jour de Windows Update avant d’installer des mises à jour de microcode.
Pour plus d’informations sur ces problèmes et sur les actions recommandées, consultez l’avis de sécurité suivant :
Le 6 août 2019, Intel a publié des détails sur une vulnérabilité de divulgation d’informations dans le noyau Windows. Cette vulnérabilité est une variante de la vulnérabilité par canal auxiliaire d’exécution spéculative de la variante 1 de Spectre et a reçu le code CVE-2019-1125.
Le 9 juillet 2019, Microsoft a publié une mise à jour de sécurité pour le système d’exploitation Windows afin d’atténuer ce problème. Les clients ayant activé Windows Update et appliqué les mises à jour de sécurité publiées le 9 juillet 2019 sont automatiquement protégés. Cette vulnérabilité ne nécessite pas de mise à jour du microcode du fabricant de l’appareil (OEM).
Pour plus d’informations sur cette vulnérabilité et sur les mises à jour applicables, consultez la page CVE-2019-1125 | Vulnérabilité de divulgation d’informations dans le noyau Windows dans le guide des mises à jour de sécurité Microsoft.
Le 14 juin 2022, Intel a publié des informations sur une nouvelle sous-classe de vulnérabilités par canal auxiliaire d’E/S mappées en mémoire (MMIO) d’exécution spéculative qui sont énumérées dans l’avis :
Mesures permettant de protéger vos appareils Windows
Vous devrez peut-être mettre à jour votre microprogramme (microcode) et vos logiciels pour corriger ces vulnérabilités. Consultez les avis de sécurité Microsoft pour connaître les actions recommandées. Cela inclut les mises à jour du microprogramme (microcode) des fabricants d’appareils et, dans certains cas, les mises à jour de votre logiciel antivirus. Nous vous incitons à tenir vos appareils à jour en installant les mises à jour mensuelles de sécurité Windows.
Pour bénéficier de toutes les protections disponibles, procédez comme suit pour obtenir les dernières mises à jour des logiciels et du matériel.
Remarque : Avant de commencer, assurez-vous que votre logiciel antivirus est à jour et compatible. Visitez le site web du fournisseur de votre antivirus pour obtenir les dernières informations de compatibilité.
-
Maintenez votre appareil Windows à jour en activant les mises à jour automatiques.
-
Vérifiez que vous avez installé la dernière mise à jour de sécurité du système d’exploitation Windows disponible auprès de Microsoft. Si les mises à jour automatiques sont activées, les mises à jour devraient vous parvenir automatiquement. Cependant, vérifiez tout de même si elles sont bien installées. Pour obtenir des instructions, consultez Windows Update : FAQ
-
Installez les mises à jour du microprogramme (microcode) disponibles auprès du fabricant de l’appareil. Tous les clients doivent se renseigner auprès du fabricant de leur appareil pour télécharger et installer la mise à jour matérielle appropriée. Consultez la section « Ressources supplémentaires » pour obtenir la liste des sites web de fabricants d’appareils.
Remarque : Vous devez installer les dernières mises à jour de sécurité du système d’exploitation Windows disponibles auprès de Microsoft pour bénéficier de toutes les protections existantes. Commencez par installer les mises à jour de l’antivirus. Les mises à jour du système d'exploitation et du microprogramme doivent suivre. Nous vous incitons à tenir vos appareils à jour en installant les mises à jour mensuelles de sécurité Windows.
Les puces concernées sont celles fabriquées par Intel, AMD et ARM. Par conséquent, tous les appareils exécutant le système d’exploitation Windows sont potentiellement vulnérables. Il s’agit notamment des ordinateurs de bureau, des ordinateurs portables, des serveurs cloud et des smartphones. Les appareils exécutant d’autres systèmes d’exploitation tels qu’Android, Chrome, iOS et Mac OS sont également concernés. Nous conseillons aux clients qui utilisent ces systèmes d’exploitation de rechercher des instructions auprès du fournisseur correspondant.
Lors de la publication, nous n’avions reçu aucune information faisant état d’une utilisation de ces vulnérabilités dans le but d’attaquer les clients.
Depuis le mois de janvier 2018, Microsoft a publié des mises à jour pour les systèmes d’exploitation Windows ainsi que pour les navigateurs web Internet Explorer et Edge afin de contribuer à atténuer ces vulnérabilités et à protéger les clients. Nous avons également publié des mises à jour pour sécuriser nos services cloud. Nous continuons de collaborer étroitement avec des partenaires du secteur, notamment des fabricants de puces, des fabricants de matériel OEM et des fournisseurs d’application, afin de protéger nos clients contre cette classe de vulnérabilités.
Nous vous encourageons à toujours installer les mises à jour mensuelles afin d’assurer la mise à jour et la sécurité de vos appareils.
Nous vous recommandons de consulter ce document régulièrement, car nous le mettrons à jour dès que de nouvelles atténuations seront disponibles.
Mises à jour du système d’exploitation Windows de juillet 2019
Le 6 août 2019, Intel a divulgué des détails sur la vulnérabilité de sécurité CVE-2019-1125 | Vulnérabilité de divulgation d’informations dans le noyau Windows. Des mises à jour de sécurité ont été publiées pour cette vulnérabilité dans le cadre de la publication des mises à jour mensuelles du 9 juillet 2019.
Le 9 juillet 2019, Microsoft a publié une mise à jour de sécurité pour le système d’exploitation Windows afin d’atténuer ce problème. Microsoft n’a publié les informations sur cette atténuation que le mardi 6 août 2019, lors de la divulgation coordonnée à l’échelle du secteur.
Les clients ayant activé Windows Update et appliqué les mises à jour de sécurité publiées le 9 juillet 2019 sont automatiquement protégés. Cette vulnérabilité ne nécessite pas de mise à jour du microcode du fabricant de l’appareil (OEM).
Mises à jour du système d’exploitation Windows de mai 2019
Le 14 mai 2019, Intel a publié des informations concernant une nouvelle sous-classe de vulnérabilités de canal auxiliaire d’exécution spéculative appelées « Microarchitectural Data Sampling » et attribuées aux CVE suivantes :
-
CVE-2018-11091 – « MDSUM (Mémoire non cachable d'échantillonnage de données microarchitecturales) »
-
CVE-2018-12130 – « Échantillonnage des données de port de chargement microarchitectural (MLPDS) »
Pour plus d’informations sur ce problème, consultez l’avis de sécurité suivant et utilisez les instructions propres à chaque scénario figurant dans les articles sur les instructions relatives aux clients Windows et à Windows Server pour déterminer les actions nécessaires pour atténuer la menace :
Microsoft a publié des protections contre une nouvelle sous-classe de vulnérabilités par canal auxiliaire d’exécution spéculative appelées Échantillonnage de données microarchitecturales pour les versions 64 bits (x64) de Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).
Utilisez les paramètres de registre décrits dans les articles Client Windows (KB4073119) et Windows Server (KB4457951). Ces paramètres de registre sont activés par défaut pour les éditions du système d’exploitation Client Windows et les éditions du système d’exploitation Windows Server.
Microsoft vous recommande d’installer toutes les dernières mises à jour de Windows Update avant d’installer des mises à jour du microcode.
Pour plus d’informations sur ce problème et sur les actions recommandées, consultez l’avis de sécurité suivant :
Intel a publié une mise à jour de microcode pour les plateformes de processeur récentes pour atténuer les vulnérabilités CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. Le 14 mai 2019, Windows KB 4093836 répertorie les articles spécifiques de la Base de connaissances par version du système d’exploitation Windows. Cet article contient également des liens vers les mises à jour du microcode Intel disponibles par processeur. Ces mises à jour sont disponibles dans le Catalogue Microsoft.
Remarque : nous vous recommandons d’installer toutes les dernières mises à jour de Windows Update avant d’installer les mises à jour de microcode.
Microsoft a le plaisir d’annoncer que Retpoline est activé par défaut sur les appareils Windows 10, version 1809 (clients et serveurs) si la variante 2 de Spectre (CVE-2017-5715) est activée. Grâce à l’activation de Retpoline sur la dernière version de Windows 10 au moyen de la mise à jour du 14 mai 2019 (KB 4494441), Microsoft anticipe une amélioration des performances, en particulier sur les anciens processeurs.
Les clients doivent veiller à ce que les protections précédentes du système d’exploitation contre la vulnérabilité de la variante 2 de Spectre soient activées à l’aide des paramètres de registre décrits dans les articles Client Windows et Windows Server. (Ces paramètres de Registre sont activés par défaut pour les systèmes d’exploitation clients Windows, mais désactivés par défaut pour les systèmes d’exploitation Windows Server.) Pour plus d’informations sur « Retpoline », consultez la rubrique Atténuation de la variante 2 de Spectre avec Retpoline sur Windows.
Mises à jour du système d’exploitation Windows de novembre 2018
Microsoft a publié des protections du système d’exploitation pour la vulnérabilité Contournement de magasin spéculatif (CVE-2018-3639) pour les processeurs AMD.
Microsoft a publié des protections supplémentaires du système d’exploitation pour les clients qui utilisent des processeurs ARM 64 bits. Contactez le fabricant OEM de votre appareil pour obtenir un support sur le microprogramme, car les protections du système d’exploitation ARM64 qui atténuent CVE-2018-3639, Contournement de magasin spéculatif, nécessitent la dernière mise à jour du microprogramme auprès de l’OEM de votre appareil.
Mises à jour du système d’exploitation Windows de septembre 2018
Le 11 septembre 2018, Microsoft a publié le correctif cumulatif mensuel 4458010 pour Windows Server 2008 SP2 et la mise à jour de sécurité uniquement 4457984 pour Windows Server 2008 afin de fournir des protections contre une nouvelle vulnérabilité de canal auxiliaire d’exécution spéculative appelée « L1 Terminal Fault » (L1TF) qui touche les processeurs Intel® Core® et Intel® Xeon® (CVE-2018-3620 et CVE-2018-3646).
Cette publication complète les protections supplémentaires sur toutes les versions prises en charge du système Windows via Windows Update. Pour plus d’informations et pour obtenir la liste des produits concernés, consultez ADV180018 | Conseils Microsoft pour atténuer la variante L1TF.
Remarque : Windows Server 2008 SP2 respecte désormais le modèle de correctif cumulatif de maintenance standard de Windows. Pour plus d’informations sur ces modifications, consultez notre blog Modifications de maintenance Windows Server 2008 SP2. Les clients qui utilisent Windows Server 2008 doivent installer la mise à jour 4458010 ou 4457984 en plus de la mise à jour de sécurité 4341832 publiée le 14 août 2018. Les clients doivent également veiller à ce que les protections précédentes du système d’exploitation contre les vulnérabilités Variante 2 de Spectre et Meltdown soient activées à l’aide des paramètres de registre décrits dans les articles de la Base de connaissances sur les conseils Client Windows et Windows Server. Ces paramètres de Registre sont activés par défaut pour les systèmes d’exploitation clients Windows mais désactivés par défaut pour les systèmes d’exploitation serveurs Windows.
Microsoft a publié des protections supplémentaires du système d’exploitation pour les clients qui utilisent des processeurs ARM 64 bits. Contactez le fabricant OEM de votre appareil pour obtenir un support sur le microprogramme, car les protections du système d’exploitation ARM64 qui atténuent CVE-2017-5715 – Injection dans la cible de la branche (Spectre, variante 2) nécessitent la dernière mise à jour du microprogramme auprès des OEM de votre appareil pour être prises en compte.
Mises à jour du système d’exploitation Windows d’août 2018
Le 14 août 2018, L1 Terminal Fault (L1TF)a été annoncée et a reçu plusieurs CVE. Ces nouvelles vulnérabilités de canal auxiliaire d’exécution spéculative peuvent servir à lire le contenu de la mémoire sur une limite approuvée et, en cas d’exploitation, peuvent entraîner une divulgation d’informations. Il existe plusieurs vecteurs permettant à un attaquant de déclencher les vulnérabilités en fonction de l’environnement configuré. La vulnérabilité L1TF touche les processeurs Intel® Core® et Intel® Xeon®.
Pour plus d’informations sur L1TF et pour obtenir une présentation détaillée des scénarios concernés, entre autres l’approche de Microsoft en ce qui concerne l’atténuation de L1TF, consultez les ressources suivantes :
Mises à jour du système d’exploitation Windows de juillet 2018
Nous sommes heureux d’annoncer que Microsoft a publié des protections supplémentaires sur toutes les versions prises en charge du système d’exploitation Windows pour les vulnérabilités via Windows Update :
-
Variante 2 de Spectre pour processeurs AMD
-
Speculative Store Bypass pour processeurs Intel
Le 13 juin 2018, une vulnérabilité supplémentaire impliquant une exécution spéculative par canal auxiliaire, appelée Restauration différée de l’état de la virgule flottante, a été annoncée et a reçu le code CVE-2018-3665. Aucun paramètre de configuration (Registre) n’est nécessaire pour Lazy FP State Restore.
Pour plus d’informations sur cette vulnérabilité et sur les actions recommandées, consultez l’avis de sécurité suivant :
Le 12 juin, Microsoft a annoncé la prise en charge Windows de la fonctionnalité SSBD (Speculative Store Bypass Disable) dans les processeurs Intel. Les mises à jour nécessitent des mises à jour correspondantes du microprogramme (microcode) et du Registre. Pour plus d’informations sur les mises à jour et sur la procédure à suivre pour activer la fonctionnalité SSBD, consultez la section « Actions recommandées » dans ADV180012 | Instructions de Microsoft concernant la vulnérabilité Contournement de magasin spéculatif.
Mises à jour du système d’exploitation Windows de mai 2018
En janvier 2018, Microsoft a publié des informations sur une nouvelle classe de vulnérabilités matérielles (appelées « Spectre » et « Meltdown ») impliquant les canaux auxiliaires d’exécution spéculative et touchant les processeurs AMD, ARM et Intel à différents degrés. Le 21 mai 2018 Google Project Zero (GPZ), Microsoft et Intel ont divulgué deux nouvelles vulnérabilités de puce liées aux problèmes Spectre et Meltdown et appelées Contournement de magasin spéculatif (SSB) et Lecture non autorisée du registre système.
Les risques inhérents à ces vulnérabilités sont faibles pour les clients.
Pour plus d’informations sur ces vulnérabilités, consultez les ressources suivantes :
-
Avis de sécurité Microsoft concernant la vulnérabilité Contournement de magasin spéculatif : MSRC ADV180012 et CVE-2018-3639
-
Avis de sécurité Microsoft concernant la vulnérabilité Lecture non autorisée du registre système : MSRC ADV180013et CVE-2018-3640
-
Recherche et défense en matière de sécurité : Analyse et atténuation de la vulnérabilité Contournement de magasin spéculatif (CVE-2018-3639)
Produits concernés : Windows 10 version 1607, Windows Server 2016, Windows Server 2016 (installation Server Core) et Windows Server version 1709 (installation Server Core)
Nous avons fourni un support pour contrôler l’utilisation de la barrière de prédiction de branchement indirect (IBPB) dans certains processeurs AMD pour atténuer CVE-2017-5715, variante 2 de Spectre lorsque vous basculez du contexte utilisateur vers le contexte de noyau. (Pour plus d’informations, consultez les instructions relatives à l’architecture AMD concernant le contrôle du branchement indirect et les mises à jour de sécurité AMD.)
Les clients qui exécutent Windows 10, version 1607, Windows Server 2016, Windows Server 2016 (installation minimale), et Windows Server, version 1709 (installation minimale) doivent installer la mise à jour de sécurité 4103723 pour des atténuations supplémentaires pour les processeurs AMD pour CVE-2017-5715, Injection dans la cible de la branche. Cette mise à jour est également disponible via Windows Update.
Suivez les instructions décrites dans KB 4073119 pour les conseils Client Windows (IT Pro) et KB 4072698 pour les conseils Windows Server afin d’activer l’utilisation de l’IBPB dans certains processeurs AMD pour atténuer la variante 2 de Spectre lorsque vous basculez du contexte utilisateur vers le contexte de noyau.
Microsoft met à disposition des mises à jour de microcode validées par Intel en ce qui concerne la variante 2 de Spectre (CVE-2017-5715, « Injection dans la cible de la branche»). Pour obtenir les dernières mises à jour du microcode Intel au moyen de Windows Update, vous devez avoir installé le microcode Intel sur un appareil Windows 10 avant de procéder à la mise à niveau vers la mise à jour d’avril 2018 de Windows 10 (version 1803).
La mise à jour du microcode est également disponible directement à partir du Catalogue si elle n’était pas installée sur l’appareil avant la mise à niveau du système d’exploitation. Le microcode Intel est disponible par le biais de Windows Update, de WSUS ou du Catalogue Microsoft Update. Pour plus d’informations et pour obtenir des instructions de téléchargement, consultez KB 4100347.
Nous proposerons des mises à jour supplémentaires du microcode fournies par Intel pour le système d’exploitation Windows dès qu’elles seront disponibles.
Produits concernés : Windows 10, version 1709
Nous avons fourni une prise en charge pour contrôler l’utilisation de Indirect Branch Prediction Barrier (IBPB) dans certains processeurs AMD afin d’atténuer la vulnérabilité CVE-2017-5715, variante 2 de Spectre, en cas de basculement du contexte utilisateur vers le contexte de noyau. (Pour plus d’informations, consultez les instructions relatives à l’architecture AMD concernant le contrôle du branchement indirect et les mises à jour de sécurité AMD.) Suivez les instructions décrites dans KB 4073119 pour les conseils Client Windows (IT Pro) afin d’activer l’utilisation de l’IBPB dans certains processeurs AMD pour atténuer la variante 2 de Spectre lorsque vous basculez du contexte utilisateur vers le contexte de noyau.
Microsoft publie les mises à jour du microcode validées par Intel disponibles en ce qui concerne la variante 2 de Spectre (CVE-2017-5715, « Branch Target Injection »). KB4093836 répertorie les articles spécifiques de la base de connaissances par version de Windows. Chaque article contient les dernières mises à jour du microcode Intel disponibles par processeur.
Nous proposerons des mises à jour supplémentaires du microcode fournies par Intel pour le système d’exploitation Windows dès qu’elles seront disponibles.
Mises à jour du système d’exploitation Windows de mars 2018 et ultérieures
23 mars, Recherche et défense en matière de sécurité TechNet : Clichés instantanés KVA : atténuation de Meltdown sous Windows
14 mars, Centre technique de sécurité : Modalités du programme de primes du canal auxiliaire d’exécution spéculative
13 mars, blog: Mise à jour de sécurité Windows de mars 2018 – Développement de nos efforts pour protéger nos clients
1er mars, blog : Mise à jour sur les mises à jour de sécurité Spectre et Meltdown pour les appareils Windows
Depuis le mois de mars 2018, Microsoft a publié des mises à jour de sécurité pour fournir des atténuations pour les appareils qui exécutent l’un des systèmes d’exploitation Windows x86 ci-dessous. Vous devez installer les dernières mises à jour de sécurité du système d’exploitation Windows pour bénéficier de toutes les protections existantes. Nous travaillons pour fournir des protections pour les autres versions prises en charge de Windows, mais n’avons pas encore établi de calendrier de publication. Consultez régulièrement cette section pour obtenir les dernières mises à jour. Pour plus d’informations, consultez l’article de la Base de connaissances correspondant pour obtenir des détails techniques et la section « FAQ ».
Mise à jour de produit publiée |
État |
Date de publication |
Canal de publication |
Article |
Windows 8.1 et Windows Server 2012 R2 - Mise à jour de sécurité uniquement |
Publiée |
13 mars |
WSUS, Catalogue |
|
Windows 7 SP1 et Windows Server 2008 R2 SP1 - Mise à jour de sécurité uniquement |
Publiée |
13 mars |
WSUS, Catalogue |
|
Windows Server 2012 – Mise à jour de sécurité uniquement Windows 8 Embedded Standard Edition – Mise à jour de sécurité uniquement |
Publiée |
13 mars |
WSUS, Catalogue |
|
Windows 8.1 et Windows Server 2012 R2 - Correctif cumulatif mensuel |
Publiée |
13 mars |
WU, WSUS, Catalogue |
|
Windows 7 SP1 et Windows Server 2008 R2 SP1 - Correctif cumulatif mensuel |
Publiée |
13 mars |
WU, WSUS, Catalogue |
|
Windows Server 2012 – Cumul mensuel Windows 8 Embedded Standard Edition – Cumul mensuel |
Publiée |
13 mars |
WU, WSUS, Catalogue |
|
Windows Server 2008 SP2 |
Publiée |
13 mars |
WU, WSUS, Catalogue |
Depuis le mois de mars 2018, Microsoft a publié des mises à jour de sécurité pour fournir des atténuations pour les appareils qui exécutent l’un des systèmes d’exploitation Windows x64 ci-dessous. Vous devez installer les dernières mises à jour de sécurité du système d’exploitation Windows pour bénéficier de toutes les protections existantes. Nous travaillons pour fournir des protections pour les autres versions prises en charge de Windows, mais n’avons pas encore établi de calendrier de publication. Consultez régulièrement cette section pour obtenir les dernières mises à jour. Pour plus d’informations, consultez l’article de la base de connaissances correspondant pour obtenir des détails techniques et la section « FAQ ».
Mise à jour de produit publiée |
État |
Date de publication |
Canal de publication |
Article |
Windows Server 2012 – Mise à jour de sécurité uniquement Windows 8 Embedded Standard Edition – Mise à jour de sécurité uniquement |
Publiée |
13 mars |
WSUS, Catalogue |
|
Windows Server 2012 – Cumul mensuel Windows 8 Embedded Standard Edition – Cumul mensuel |
Publiée |
13 mars |
WU, WSUS, Catalogue |
|
Windows Server 2008 SP2 |
Publiée |
13 mars |
WU, WSUS, Catalogue |
Cette mise à jour corrige une vulnérabilité d’élévation de privilèges dans le noyau Windows pour la version 64 bits (x64) de Windows. Cette vulnérabilité est décrite dans CVE-2018-1038. Pour bénéficier d’une protection complète contre cette vulnérabilité, les utilisateurs doivent installer cette mise à jour si leur ordinateur a été mis à jour en ou après janvier 2018 en appliquant une des mises à jour listées dans l’article suivant de la Base de connaissances :
Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées dans Internet Explorer. Pour en savoir plus sur ces vulnérabilités, consultez la page Vulnérabilités et risques courants Microsoft.
Mise à jour de produit publiée |
État |
Date de publication |
Canal de publication |
Article |
Internet Explorer 10 - Mise à jour cumulative pour Windows 8 Embedded Standard Edition |
Publiée |
13 mars |
WU, WSUS, Catalogue |
Mises à jour du système d’exploitation Windows de février 2018
Blog : Windows Analytics permet désormais d'évaluer les protections contre Spectre et Meltdown
Les mises à jour de sécurité suivantes fournissent des protections supplémentaires pour les appareils qui exécutent un système d’exploitation Windows 32 bits (x86). Microsoft recommande aux clients d’installer la mise à jour dès que possible. Nous continuons de travailler pour fournir des protections pour les autres versions prises en charge de Windows, mais n’avons pas encore établi de calendrier de publication. Consultez régulièrement cette section pour obtenir les dernières mises à jour.
Remarque Les mises à jour de sécurité mensuelles de Windows 10 sont cumulatives d’un mois sur l’autre et sont téléchargées et installées automatiquement à partir de Windows Update. Si vous avez installé les mises à jour précédentes, seules les nouvelles parties sont téléchargées et installées sur votre appareil. Pour plus d’informations, consultez les détails techniques dans l’article correspondant de la Base de connaissances et la section forum aux questions ci-dessous.
Mise à jour de produit publiée |
État |
Date de publication |
Canal de publication |
Article |
Windows 10 version 1709 / Windows Server 2016 (1709) / IoT Core - Mise à jour de qualité |
Publiée |
31 janvier |
WU, Catalogue |
|
Windows Server 2016 (1709) - Conteneur Server |
Publiée |
13 février |
Hub Docker |
|
Windows 10 version 1703 / IoT Core - Mise à jour de qualité |
Publiée |
13 février |
WU, WSUS, Catalogue |
|
Windows 10 version 1607 / Windows Server 2016 / IoT Core - Mise à jour de qualité |
Publiée |
13 février |
WU, WSUS, Catalogue |
|
Windows 10 HoloLens - Mises à jour du système d’exploitation et du microprogramme |
Publiée |
13 février |
WU, Catalogue |
|
Windows Server 2016 (1607) - Images de conteneur |
Publiée |
13 février |
Hub Docker |
|
Windows 10 - Version 1511 / IoT standard - Mise à jour qualité |
Publiée |
13 février |
WU, WSUS, Catalogue |
|
Windows 10 - Version RTM - Mise à jour de qualité |
Publiée |
13 février |
WU, WSUS, Catalogue |
Mises à jour du système d’exploitation Windows de janvier 2018
Depuis le mois de janvier 2018, Microsoft a publié des mises à jour de sécurité pour fournir des atténuations pour les appareils qui exécutent l’un des systèmes d’exploitation Windows x64 ci-dessous. Vous devez installer les dernières mises à jour de sécurité du système d’exploitation Windows pour bénéficier de toutes les protections existantes. Nous travaillons pour fournir des protections pour les autres versions prises en charge de Windows, mais n’avons pas encore établi de calendrier de publication. Consultez régulièrement cette section pour obtenir les dernières mises à jour. Pour plus d’informations, consultez les détails techniques dans l’article correspondant de la Base de connaissances et la section forum aux questions ci-dessous.
Mise à jour de produit publiée |
État |
Date de publication |
Canal de publication |
Article |
Windows 10 version 1709 / Windows Server 2016 (1709) / IoT Core - Mise à jour de qualité |
Publiée |
3 janvier |
WU, WSUS, Catalogue, Galerie d’images Azure |
|
Windows Server 2016 (1709) - Conteneur Server |
Publiée |
5 janvier |
Hub Docker |
|
Windows 10 version 1703 / IoT Core - Mise à jour de qualité |
Publiée |
3 janvier |
WU, WSUS, Catalogue |
|
Windows 10 version 1607 / Windows Server 2016 / IoT Core - Mise à jour de qualité |
Publiée |
3 janvier |
WU, WSUS, Catalogue |
|
Windows Server 2016 (1607) - Images de conteneur |
Publiée |
4 janvier |
Hub Docker |
|
Windows 10 - Version 1511 / IoT standard - Mise à jour qualité |
Publiée |
3 janvier |
WU, WSUS, Catalogue |
|
Windows 10 - Version RTM - Mise à jour de qualité |
Publiée |
3 janvier |
WU, WSUS, Catalogue |
|
Windows 10 Mobile (build du système d’exploitation 15254.192) - ARM |
Publiée |
5 janvier |
WU, Catalogue |
|
Windows 10 Mobile (build du système d’exploitation 15063.850) |
Publiée |
5 janvier |
WU, Catalogue |
|
Windows 10 Mobile (Build SE 14393.2007) |
Publiée |
5 janvier |
WU, Catalogue |
|
Windows 10 HoloLens |
Publiée |
5 janvier |
WU, Catalogue |
|
Windows 8.1 / Windows Server 2012 R2 - Mise à jour de sécurité uniquement |
Publiée |
3 janvier |
WSUS, Catalogue |
|
Windows Embedded 8.1 Industry Enterprise |
Publiée |
3 janvier |
WSUS, Catalogue |
|
Windows Embedded 8.1 Industry Pro |
Publiée |
3 janvier |
WSUS, Catalogue |
|
Windows Embedded 8.1 Pro |
Publiée |
3 janvier |
WSUS, Catalogue |
|
Windows 8.1 / Windows Server 2012 R2 - Correctif cumulatif mensuel |
Publiée |
8 janvier |
WU, WSUS, Catalogue |
|
Windows Embedded 8.1 Industry Enterprise |
Publiée |
8 janvier |
WU, WSUS, Catalogue |
|
Windows Embedded 8.1 Industry Pro |
Publiée |
8 janvier |
WU, WSUS, Catalogue |
|
Windows Embedded 8.1 Pro |
Publiée |
8 janvier |
WU, WSUS, Catalogue |
|
Windows Server 2012 - Sécurité uniquement |
Publiée |
WSUS, Catalogue |
||
Windows Server 2008 SP2 |
Publiée |
WU, WSUS, Catalogue |
||
Windows Server 2012 - Correctif cumulatif mensuel |
Publiée |
WU, WSUS, Catalogue |
||
Windows Embedded 8 Standard |
Publiée |
WU, WSUS, Catalogue |
||
Windows 7 SP1 / Windows Server 2008 R2 SP1 - Mise à jour de sécurité uniquement |
Publiée |
3 janvier |
WSUS, Catalogue |
|
Windows Embedded Standard 7 |
Publiée |
3 janvier |
WSUS, Catalogue |
|
Windows Embedded POSReady 7 |
Publiée |
3 janvier |
WSUS, Catalogue |
|
Windows Thin PC |
Publiée |
3 janvier |
WSUS, Catalogue |
|
Windows 7 SP1 / Windows Server 2008 R2 SP1 - Correctif cumulatif mensuel |
Publiée |
4 janvier |
WU, WSUS, Catalogue |
|
Windows Embedded Standard 7 |
Publiée |
4 janvier |
WU, WSUS, Catalogue |
|
Windows Embedded POSReady 7 |
Publiée |
4 janvier |
WU, WSUS, Catalogue |
|
Windows Thin PC |
Publiée |
4 janvier |
WU, WSUS, Catalogue |
|
Internet Explorer 11 - Mise à jour cumulative pour Windows 7 SP1 et Windows 8.1 |
Publiée |
3 janvier |
WU, WSUS, Catalogue |
Le 9 avril 2024, nous avons publié CVE-2022-0001 | Injection d’historique de branche Intel qui décrit l’injection d’historique de branche (BHI) qui est une forme spécifique de BTI intra-mode. Cette vulnérabilité se produit lorsqu’un attaquant peut manipuler l’historique des branches avant de passer du mode utilisateur au mode superviseur (ou du mode VMX non racine/invité au mode racine). Cette manipulation peut entraîner la sélection d’une entrée de prédiction spécifique pour une branche indirecte par un prédicteur indirect, et un gadget de divulgation sur la cible prédite s’exécutera temporairement. Cela peut être possible, car l’historique de branche pertinent peut contenir des branches prises dans des contextes de sécurité précédents, et en particulier d’autres modes de prédiction.
Suivre les instructions décrites dans KB4073119 pour le client Windows (professionnel de l’informatique) etKB4072698 pour obtenir des conseils sur Windows Server afin d’atténuer les vulnérabilités décrites dans CVE-2022-0001 | Injection d’historique de branche Intel.
Ressources et conseils techniques
Selon le cas, les articles de support suivants peuvent vous aider à identifier et à atténuer les environnements client et serveur concernés par les vulnérabilités Spectre et Meltdown.
Avis de sécurité Microsoft concernant la vulnérabilité Terminal Fault L1 (L1TF) : MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646
Recherche et défense en matière de sécurité : Analyse et atténuation de la vulnérabilité Contournement de magasin spéculatif (CVE-2018-3639)
Avis de sécurité Microsoft concernant la vulnérabilité Contournement de magasin spéculatif : MSRC ADV180012 et CVE-2018-3639
Avis de sécurité Microsoft concernant la vulnérabilité Lecture non autorisée du registre système | Guide des mises à jour de sécurité pour Surface : MSRC ADV180013et CVE-2018-3640
Recherche et défense en matière de sécurité : Analyse et atténuation de la vulnérabilité Contournement de magasin spéculatif (CVE-2018-3639)
Recherche et défense en matière de sécurité TechNet : Clichés instantanés KVA : atténuation de Meltdown sous Windows
Centre technique de sécurité : Modalités du programme de primes du canal auxiliaire d’exécution spéculative
Blog de l’expérience Microsoft : Mise à jour des mises à jour de sécurité Spectre et Meltdown pour les appareils Windows
Blog Windows Entreprise : Windows Analytics permet désormais d’évaluer les protections Spectre et Meltdown
Blog Microsoft Secure : Comprendre l’impact des atténuations Spectre et Meltdown sur les performances des systèmes Windows
Blog des développeurs Edge : Atténuation des attaques par canal auxiliaire d’exécution spéculative dans Microsoft Edge et Internet Explorer
Blog Azure : Sécuriser les clients Azure contre la vulnérabilité du processeur
Instructions SCCM : Instructions supplémentaires pour atténuer les vulnérabilités par canal auxiliaire d’exécution spéculative
Avis Microsoft :
-
ADV180013 | Instructions de Microsoft pour Lecture non autorisée du registre système
-
ADV180016 | Instructions de Microsoft pour Restauration différée de l’état de la virgule flottante
-
ADV180018 | Instructions de Microsoft pour atténuer la variante L1TF
Intel : Avis de sécurité
ARM : Avis de sécurité
AMD : Avis de sécurité
NVIDIA : Avis de sécurité
Instructions à l’intention des consommateurs : Protection de votre appareil contre les vulnérabilités de sécurité liées aux puces
Instructions sur les antivirus : Mises à jour de sécurité Windows publiées le 3 janvier 2018 et logiciels antivirus
Instructions pour le blocage des mises à jour de sécurité du système d’exploitation Windows d’AMD : KB4073707 : Blocage des mises à jour de sécurité du système d’exploitation Windows pour certains appareils AMD
Mise à jour pour désactiver l’atténuation contre Spectre, variante 2 : KB4078130 : Intel a identifié des problèmes de redémarrage liés au microcode sur d’anciens processeurs
Instructions concernant Surface : Instructions concernant Surface pour la protection contre les vulnérabilités par canal auxiliaire d’exécution spéculative
Vérifier l’état des atténuations par canal auxiliaire d’exécution spéculative : Présentation des résultats du script PowerShell Get-SpeculationControlSettings
Instructions pour les professionnels de l’informatique : Instructions de Client Windows pour permettre aux professionnels de l’informatique de se protéger contre les vulnérabilités par canal auxiliaire d’exécution spéculative
Instructions concernant Server : Instructions de Windows Server pour la protection contre les vulnérabilités par canal auxiliaire d’exécution spéculative
Instructions concernant Server pour Terminal Fault L1 : Instructions de Windows Server pour la protection contre les défaillances du terminal L1
Instructions pour les développeurs : Instructions pour les développeurs concernant la vulnérabilité Contournement de magasin spéculatif
Instructions Server Hyper-V
Base de connaissances Azure : KB4073235 : Protections Microsoft Cloud contre les vulnérabilités par canal auxiliaire d’exécution spéculative
Instructions d’Azure Stack : KB4073418 : Instructions d’Azure Stack pour la protection contre les vulnérabilités par canal auxiliaire d’exécution spéculative
Fiabilité Azure : Portail de fiabilité Azure
Instructions de SQL Server : KB4073225 : Instructions de SQL Server pour la protection contre les vulnérabilités par canal auxiliaire d’exécution spéculative
Liens vers les fabricants d’appareils OEM et serveurs proposant des mises à jour assurant une protection contre les vulnérabilités Spectre et Meltdown
Pour corriger ces vulnérabilités, vous devez mettre à jour votre matériel et vos logiciels. Utilisez les liens ci-dessous pour obtenir les mises à jour appropriées du microprogramme (microcode) auprès du fabricant de votre appareil.
Utilisez les liens ci-dessous pour obtenir les mises à jour du microprogramme (microcode) auprès du fabricant de votre appareil. Vous devez installer les mises à jour du système d’exploitation et du microprogramme (microcode) pour bénéficier de toutes les protections disponibles.
Fabricants d’appareils OEM |
Lien vers la disponibilité du microcode |
Acer |
|
Asus |
|
Dell |
|
Epson |
Vulnérabilités du processeur (attaques par canal auxiliaire) |
Fujitsu |
|
HP |
|
Lenovo |
|
LG |
|
NEC |
À propos de la réponse à la vulnérabilité du processeur (meltdown, spectrum) dans nos produits |
Panasonic |
|
Samsung |
|
Surface |
|
Toshiba |
|
Vaio |
À propos du support sur la vulnérabilité de l’analyse par canal auxiliaire |
Fabricants de serveurs OEM |
Lien vers la disponibilité du microcode |
Dell |
|
Fujitsu |
|
HPE |
Alertes sur les vulnérabilités de sécurité des produits de Hewlett Packard Enterprise |
Huawei |
|
Lenovo |
Forum aux questions
Vous devez contacter le fabricant de votre appareil pour obtenir les mises à jour du microprogramme (microcode). Si le fabricant OEM de votre appareil ne figure pas dans le tableau, contactez-le directement.
Les mises à jour pour les appareils Surface sont disponibles pour les clients par le biais de Windows Update. Pour obtenir la liste des mises à jour du microprogramme (microcode) disponibles pour les appareils Surface, consultez KB 4073065.
Dans le cas d’un appareil non-Microsoft, appliquez les mises à jour du microprogramme disponibles auprès du fabricant de l’appareil. Contactez le fabricant de votre appareil pour plus d’informations.
La résolution d’une vulnérabilité matérielle à l’aide d’une mise à jour logicielle constitue un défi considérable, implique des atténuations pour les systèmes d’exploitation antérieurs et peut nécessiter des modifications importantes de l’architecture. Nous continuons de collaborer avec les fabricants de puces concernés pour déterminer le meilleur moyen de proposer les atténuations qui pourront être fournies dans des mises à jour ultérieures. Le remplacement des anciens appareils qui utilisent ces anciens systèmes d’exploitation et la mise à jour de l’antivirus devraient répondre au risque résiduel.
Remarques :
-
Les produits qui ne bénéficient plus du support standard et étendu ne reçoivent pas ces mises à jour système. Nous recommandons à nos clients d’effectuer une mise à jour vers une version prise en charge du système.
-
Les attaques par canal auxiliaire d’exécution spéculative exploitent le comportement et les fonctionnalités du processeur. Les fabricants de processeurs doivent tout d’abord déterminer les processeurs exposés et les signaler à Microsoft. Dans de nombreux cas, des mises à jour correspondantes du système d’exploitation sont également nécessaires pour que les clients puissent bénéficier d’une protection renforcée. Nous conseillons aux fournisseurs Windows CE soucieux de la sécurité de contacter leur fabricant de processeurs pour comprendre les failles de sécurité et les atténuations possibles.
-
Nous ne publions pas de mises à jour pour les plateformes suivantes :
-
Systèmes d’exploitation Windows ne bénéficiant plus du support ou dont la fin du service (EOS) est prévue pour 2018
-
Systèmes Windows XP, y compris WES 2009, et POSReady 2009
-
Bien que les systèmes Windows XP fassent partie des produits concernés, Microsoft ne publie pas de mise à jour pour ces produits, car les modifications d’architecture complètes nécessaires menaceraient la stabilité du système et pourraient provoquer des problèmes de compatibilité entre les applications. Nous recommandons aux clients soucieux de la sécurité de procéder à la mise à niveau vers un système d’exploitation pris en charge plus récent afin de suivre la cadence des menaces de sécurité variables et de tirer parti des protections plus efficaces offertes par les systèmes d’exploitation plus récents.
Les mises à jour pour Windows 10 pour HoloLens sont disponibles pour les clients HoloLens par le biais de Windows Update.
Après l’application de la mise à jour de sécurité Windows de février 2018, les clients HoloLens n’ont pas besoin de prendre des mesures supplémentaires pour mettre à jour le microprogramme de leur appareil. Ces atténuations seront également incluses dans toutes les versions futures de Windows 10 pour HoloLens.
Contactez votre fabricant OEM pour plus d’informations.
Pour que vous puissiez bénéficier d’une protection complète de votre appareil, vous devez installer les dernières mises à jour de sécurité du système d’exploitation Windows pour votre appareil et les mises à jour appropriées du microprogramme (microcode) disponibles auprès du fabricant de l’appareil. Ces mises à jour devraient être disponibles sur le site web du fabricant. Commencez par installer les mises à jour de l’antivirus. Vous pouvez installer les mises à jour du système d’exploitation et du microprogramme dans l’ordre de votre choix.
Vous devez mettre à jour votre matériel et vos logiciels pour corriger ces vulnérabilités. Vous devrez également installer les mises à jour du microprogramme (microcode) du fabricant de votre appareil pour bénéficier d’une protection plus complète. Nous vous incitons à tenir vos appareils à jour en installant les mises à jour mensuelles de sécurité Windows.
Dans chaque mise à jour de fonctionnalités Windows 10, nous intégrons les dernières technologies de sécurité dans le système d’exploitation, offrant des fonctionnalités de défense en profondeur qui empêchent des classes entières de logiciels malveillants d’affecter votre appareil. Les publications des mises à jour des fonctionnalités ont lieu deux fois par an. Dans chaque mise à jour de qualité mensuelle, nous ajoutons une autre couche de sécurité afin de suivre les tendances d’apparition et d’évolution des programmes malveillants afin de renforcer la sécurité des systèmes face à l’évolution des menaces.
Microsoft a levé le contrôle de compatibilité d’antivirus pour les mises à jour de sécurité Windows pour les versions prises en charge des appareils Windows 10, Windows 8.1 et Windows 7 SP1 par le biais de Windows Update.
Recommandations :-
Assurez-vous que vos appareils sont à jour en fonction des dernières mises à jour de sécurité disponibles auprès de Microsoft et du fabricant de matériel. Pour plus d’informations sur le maintien à jour de votre appareil, consultez la page Windows Update : FAQ.
-
Faites preuve en permanence de prudence lorsque vous visitez des sites web d’origine inconnue et ne restez pas sur les sites auxquels vous ne faites pas confiance. Microsoft recommande à tous ses clients de protéger leurs appareils à l’aide d’un antivirus pris en charge. Les clients peuvent également bénéficier de la protection antivirus intégrée : Windows Defender pour les appareils Windows 10, ou Microsoft Security Essentials pour les appareils Windows 7. Ces solutions sont compatibles au cas où les clients ne peuvent pas installer ou exécuter un antivirus.
Afin d’éviter tout impact négatif sur les appareils, les mises à jour de sécurité Windows publiées en janvier ou en février n’ont pas été proposées à tous les clients. Pour plus d’informations, consultez l’article 4072699 de la Base de connaissances Microsoft.
Intel a signalé des problèmes qui affectent le microcode récemment publié destiné à corriger la variante 2 de Spectre (CVE-2017-5715 – « Injection dans la cible de la branche »). Plus précisément, Intel a constaté que ce microcode peut provoquer des « redémarrages plus fréquents que prévu et d’autres comportements imprévisibles du système », et que des situations de ce type peuvent entraîner « une perte ou une corruption des données ». D’après notre expérience, l’instabilité du système peut, dans certains cas, provoquer la perte ou l’altération des données. Le 22 janvier, Intel a recommandé à ses clients d’arrêter le déploiement de la version actuelle du microcode sur les processeurs concernés pendant qu’il réalisait des tests supplémentaires sur la solution mise à jour. Nous comprenons qu’Intel poursuit ses recherches sur l’impact potentiel de la version actuelle du microcode et nous invitons nos clients à consulter régulièrement ses instructions pour les aider à prendre des décisions.
En attendant qu’Intel teste, mette à jour et déploie un nouveau microcode, nous mettons à disposition une mise à jour hors-bande (OOB), KB 4078130, qui désactive uniquement l’atténuation contre la vulnérabilité CVE-2017-5715 – « Injection dans la cible de la branche ». Nos tests confirment que cette mise à jour empêche le comportement décrit. Pour obtenir la liste complète des appareils, consultez les instructions de révision du microcode d’Intel. Cette mise à jour concerne Windows 7 (SP1), Windows 8.1 et toutes les versions de Windows 10 (client et serveur). Si vous utilisez un appareil affecté, vous pouvez appliquer cette mise à jour en la téléchargeant à partir du site web de Catalogue Microsoft Update. L’application de cette charge utile désactive en particulier uniquement l’atténuation contre la vulnérabilité CVE-2017-5715, « injection cible de branche ».
En date du 25 janvier, il n’existe aucun rapport connu faisant état d’une utilisation de la variante 2 de Spectre (CVE-2017-5715) dans le but d’attaquer des clients. Nous recommandons aux utilisateurs Windows de réactiver le cas échéant l’atténuation contre CVE-2017-5715 dès qu’Intel aura signalé que ce comportement imprévisible du système est résolu pour l’appareil concerné.
Non. Les mises à jour de sécurité uniquement ne sont pas cumulatives. Selon la version du système d’exploitation que vous utilisez, vous devez installer toutes les mises à jour de sécurité uniquement publiées pour bénéficier d’une protection contre ces vulnérabilités. Par exemple, si vous utilisez Windows 7 pour systèmes 32 bits sur un processeur Intel concerné, vous devez installer chaque mise à jour de sécurité uniquement à partir de janvier 2018. Nous recommandons d’installer ces mises à jour de sécurité uniquement dans leur ordre de publication.
Remarque Une version antérieure de ce FAQ indiquait de manière erronée que la mise à jour de sécurité uniquement de février contenait les correctifs de sécurité publiés en janvier. En réalité, ce n’est pas le cas.Non. La mise à jour de sécurité 4078130 était un correctif spécifique destiné à empêcher les comportements imprévisibles du système, les problèmes de performances et les redémarrages inattendus suite à l’installation du microcode. L’application des mises à jour de sécurité de février sur les systèmes d’exploitation clients Windows active toutes les trois atténuations. Sur les systèmes d’exploitation serveurs Windows, vous devez encore activer les atténuations une fois les tests appropriés effectués. Consultez l’article 4072698 de la Base de connaissances Microsoft pour plus d’informations.
AMD a récemment annoncé qu’elle a commencé à publier des microcodes pour les nouvelles plateformes de processeurs en ce qui concerne la variante 2 de Spectre (CVE-2017-5715 « Injection dans la cible de la branche »). Pour plus d'informations, consultez les mises à jour de sécurité AMDet le livre blanc AMD: Directives d'architecture autour du contrôle de branche indirect . Ces documents sont disponibles à partir du canal de microprogramme OEM.
Intel a récemment annoncé qu'elle avait achevé ses validations et commencé à publier des microcodes pour les nouvelles plates-formes de processeurs. Microsoft publie les mises à jour du microcode validées par Intel disponibles en ce qui concerne la variante 2 de Spectre (CVE-2017-5715, « Branch Target Injection »). KB 4093836 répertorie les articles spécifiques de la Base de connaissances par version de Windows. Chaque article contient les mises à jour du microcode Intel disponibles par processeur.
Microsoft met à disposition des mises à jour de microcode validées par Intel en ce qui concerne la variante 2 de Spectre (CVE-2017-5715, « Injection dans la cible de la branche»). Pour obtenir les dernières mises à jour du microcode Intel au moyen de Windows Update, vous devez avoir installé le microcode Intel sur un appareil Windows 10 avant de procéder à la mise à niveau vers la mise à jour d’avril 2018 de Windows 10 (version 1803).
La mise à jour du microcode est également disponible directement à partir du Catalogue Microsoft Update si elle n’était pas installée sur l’appareil avant la mise à niveau du système. Le microcode Intel est disponible par le biais de Windows Update, de WSUS ou du Catalogue Microsoft Update. Pour plus d’informations et pour obtenir des instructions de téléchargement, consultez KB 4100347.
Pour plus d’informations, consultez les ressources suivantes :
-
ADV180012 | Conseils Microsoft pour la de contournement des magasins spéculatifs pour CVE-2018-3639
-
ADV180013 | Guide Microsoft pour les de lecture de registre système non autorisés pour CVE-2018-3640 et KB 4073065 | Conseils pour les clients Surface
-
Guide du développeur pour le contournement du magasin spéculatif
Pour plus d’informations, consultez les sections « Actions recommandées » et « FAQ » dans ADV180012 | Instructions de Microsoft concernant la vulnérabilité Contournement de magasin spéculatif.
Pour vérifier l’état de la fonctionnalité SSBD, le script PowerShell Get-SpeculationControlSettings a été mis à jour pour détecter les processeurs concernés, l’état des mises à jour du système d’exploitation SSBD et l’état du microcode du processeur, le cas échéant. Pour plus d’informations et pour obtenir le script PowerShell, consultez KB4074629.
Le 13 juin 2018, une vulnérabilité supplémentaire impliquant une exécution spéculative par canal auxiliaire, appelée Restauration différée de l’état de la virgule flottante, a été annoncée et a reçu le code CVE-2018-3665. Aucun paramètre de configuration (Registre) n’est nécessaire pour Lazy FP State Restore.
Pour plus d’informations sur cette vulnérabilité et les actions recommandées, consultez l’avis de sécurité suivant : ADV180016 | Instructions Microsoft pour Restauration différée de l’état de la virgule flottante
Remarque Aucun paramètre de configuration (Registre) n’est nécessaire pour Lazy FP State Restore.
La vulnérabilité « Bounds Check Bypass Store » (BCBS) a été divulguée le 10 juillet 2018 et attribuée à la CVE-2018-3693. Nous estimons que BCBS appartient à la même classe de vulnérabilités que « Bounds Check Bypass » (variante 1). À ce jour, nous n’avons connaissance d’aucune instance de BCBS dans nos logiciels. Nous poursuivons toutefois nos recherches sur cette classe de vulnérabilités et nous collaborerons avec des partenaires du secteur pour publier des atténuations, le cas échéant. Nous continuons d'encourager les chercheurs à soumettre toute découverte pertinente au programme de primes de Microsoft pour le canal latéral d'exécution spéculative Speculative Execution Side Channel, y compris toute instance exploitable de BCBS. Les développeurs de logiciels doivent consulter les instructions pour les développeurs mises à jour pour BCBS à l’adresse https://aka.ms/sescdevguide.
Le 14 août 2018, L1 Terminal Fault (L1TF) a été annoncée et a reçu plusieurs CVE. Ces nouvelles vulnérabilités de canal auxiliaire d’exécution spéculative peuvent servir à lire le contenu de la mémoire sur une limite approuvée et, en cas d’exploitation, peuvent entraîner une divulgation d’informations. Il existe plusieurs vecteurs permettant à un attaquant de déclencher les vulnérabilités en fonction de l’environnement configuré. La vulnérabilité L1TF touche les processeurs Intel® Core® et Intel® Xeon®.
Pour plus d’informations sur cette vulnérabilité et pour obtenir une présentation détaillée des scénarios concernés, entre autres l’approche de Microsoft en ce qui concerne l’atténuation de L1TF, consultez les ressources suivantes :
Clients Microsoft Surface : Les clients qui utilisent Microsoft Surface et les produits Surface Book doivent suivre les instructions pour Client Windows décrites dans l’avis de sécurité : ADV180018 | Instructions Microsoft pour atténuer la variante L1TF. Consultez également Article 4073065 de la Base de connaissances Microsoft pour plus d’informations sur les produits Surface concernés et sur la disponibilité des mises à jour du microcode.
Clients Microsoft HoloLens : Microsoft HoloLens n’est pas concerné par la vulnérabilité L1TF, car il n’utilise pas de processeur Intel concerné.
La procédure à suivre pour désactiver l’hyperthreading varie d’un fabricant à l’autre, mais elle est généralement effectuée à l’aide des outils de configuration du BIOS ou du microprogramme.
Les clients qui utilisent des processeurs ARM 64 bits doivent vérifier la prise en charge du microprogramme auprès de l’OEM de l’appareil, car les protections du système d’exploitation ARM64 qui atténuent CVE-2017-5715 – Injection dans la cible de la branche (Spectre, variante 2) nécessitent que la dernière mise à jour du microprogramme auprès des OEM de votre appareil pour être prises en compte.
Pour plus d’informations sur cette vulnérabilité, consultez le Guide de sécurité Microsoft : CVE-2019-1125 | Vulnérabilité de divulgation d’informations dans le noyau Windows.
Microsoft n’a connaissance d’aucun cas où cette vulnérabilité de divulgation d’informations touche son infrastructure de services cloud.
Dès qu’elle a eu connaissance de ce problème, Microsoft a cherché rapidement une solution à ce problème et a publié une mise à jour. Microsoft est convaincue qu’une étroite collaboration avec les chercheurs et les partenaires du secteur permet de renforcer la sécurité des clients. Elle n’a dès lors publié les détails que le mardi 6 août, conformément à des pratiques de divulgation de vulnérabilité coordonnée.
Références
Microsoft fournit des informations de contacts externes afin de vous aider à obtenir un support technique sur ce sujet. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant les sociétés externes.