KB4073757: Windows-eszközök védelme a szilíciumalapú mikroarchitekturális és spekulatív végrehajtás oldalcsatornás biztonsági rései ellen

Dátum módosítása	Leírás módosítása
2023. augusztus 9.	Eltávolítottuk a CVE-2022-23816-ról szóló tartalmat, mivel a CVE-szám nincs használatban Eltávolítottunk egy "Intel-mikrokód-frissítések" című duplikált témakört a "Windows-eszközök védelmének lépései" című szakaszban
2024. április 9.	Hozzáadva: CVE-2022-0001 | Intel-ágelőzmények injektálás

Előfordulhat, hogy frissítenie kell a belső vezérlőprogramját (mikrokódját) és a szoftverét is a biztonsági rések elhárításához. Az ajánlott műveletekért tekintse meg a Microsoft biztonsági tanácsadóit. Ide tartoznak az eszközgyártóktól származó belső vezérlőprogrammal (mikrokóddal) kapcsolatos frissítések, és bizonyos esetekben a víruskereső szoftver frissítései is. Javasoljuk, hogy eszközei naprakész állapotának megőrzése érdekében telepítse a Windows havonta megjelenő biztonsági frissítéseit. 

Az összes elérhető védelem fogadásához kövesse az alábbi lépéseket a szoftver és a hardver legújabb frissítéseinek beszerzéséhez.

1. Az automatikus frissítések bekapcsolásával naprakészen tarthatja Windows-eszközét.

2. Ellenőrizze, hogy már telepítette-e a Windows operációs rendszer legújabb biztonsági frissítését a Microsofttól. Ha az automatikus frissítések be vannak kapcsolva, a frissítéseket a rendszer automatikusan kézbesíti Önnek. Azonban továbbra is ellenőriznie kell, hogy telepítve vannak-e. Útmutatásért lásd: Windows Update: GYIK

3. Telepítse az eszköz gyártójától származó elérhető belsővezérlőprogram- (mikrokód-) frissítéseket. Minden ügyfélnek ellenőriznie kell az eszköz gyártóját az eszközspecifikus hardverfrissítés letöltéséhez és telepítéséhez. Az eszközgyártó webhelyeinek listáját a "További források" című szakaszban találja.

   Megjegyzés: Az elérhető védelmek igénybe vételéhez az ügyfeleknek telepíteniük kell a Windows operációs rendszerre vonatkozó legújabb biztonsági frissítéseket a Microsofttól. Először a víruskereső szoftver frissítéseit kell telepíteni. és ezután kell elvégezni az operációs rendszer és a belső vezérlőprogram frissítését. Javasoljuk, hogy eszközei naprakész állapotának megőrzése érdekében telepítse a Windows havonta megjelenő biztonsági frissítéseit. 

Az érintett lapkák közé tartoznak az Intel, az AMD és az ARM által gyártottak. Ez azt jelenti, hogy a Windows operációs rendszert futtató összes eszköz potenciálisan sebezhető. Ide tartoznak az asztali számítógépek, a laptopok, a felhőkiszolgálók és az okostelefonok. A más operációs rendszereket , például Androidot, Chrome-ot, iOS-t és macOS-t futtató eszközökre is hatással van. Azt javasoljuk azoknak az ügyfeleknek, akik ezeket az operációs rendszereket futtatják, kérjenek útmutatást ezektől a szállítóktól.

A közzététel időpontjában nem kaptunk semmilyen információt arról, hogy ezeket a biztonsági réseket az ügyfelek támadására használták.

2018 januárjától a Microsoft frissítéseket adott ki a Windows operációs rendszerekhez, valamint az Internet Explorer és az Edge böngészőkhöz, amelyek segítenek a biztonsági rések elhárításában és az ügyfelek védelmében. A felhőszolgáltatások védelme érdekében frissítéseket is kiadtunk.  Továbbra is szorosan együttműködünk az iparági partnerekkel, köztük a chipkészítőkkel, a hardvergyártókkal és az alkalmazásgyártókkal, hogy megvédjük az ügyfeleket az ilyen típusú biztonsági résekkel szemben. 

Javasoljuk, hogy mindig telepítse a havi frissítéseket, hogy az eszközei naprakészek és biztonságosak legyenek. 

Frissíteni fogjuk ezt a dokumentációt, amikor új kockázatcsökkentések válnak elérhetővé, és javasoljuk, hogy rendszeresen látogasson vissza ide. 

A Windows operációs rendszer 2019. júliusi frissítései

2019. augusztus 6-án az Intel közzétette a CVE-2019-1125 biztonsági rés részleteit | A Windows Kernel információfelfedés biztonsági rése. A biztonsági rés biztonsági frissítései a 2019. július 9-én kiadott havi frissítés részeként jelentek meg.

A Microsoft 2019. július 9-én kiadott egy biztonsági frissítést a Windows operációs rendszerhez a probléma megoldásához. A kockázatcsökkentés nyilvános dokumentálását 2019. augusztus 6-án, kedden, az iparág koordinált közzétételéig tartottuk.

Azok az ügyfelek, akik Windows Update engedélyezve vannak, és alkalmazták a 2019. július 9-én kiadott biztonsági frissítéseket, automatikusan védettek lesznek. Vegye figyelembe, hogy ez a biztonsági rés nem igényel mikrokód-frissítést az eszköz gyártójától (OEM).

A Windows operációs rendszer 2019. májusi frissítései

2019. május 14-én az Intel közzétette a mikroarchitekturális adatmintavétel néven ismert spekulatív végrehajtásoldali biztonsági rések új alosztályára vonatkozó információkat, amelyekhez a következő CVE-k lettek hozzárendelve:

• CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"

• CVE-2018-12126 – "Microarchitectural Store Buffer Data Sampling (MSBDS)"

• CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"

• CVE-2018-12130 – "Microarchitectural Load Port Data Sampling (MLPDS)"

A problémával kapcsolatos további információkért tekintse meg a következő biztonsági tanácsadási és használati forgatókönyv-alapú útmutatót a Windows-útmutató ügyfeleknek és kiszolgálóknak című cikkében a fenyegetés mérsékléséhez szükséges műveletek meghatározásához:

• ADV 190013 | A Microsoft útmutatója a mikroarchitekturális adatmintavétel biztonsági réseinek csökkentéséhez

• KB 4073119 | Útmutató a Windows IT Pro ügyféloldali biztonsági réseinek spekulatív végrehajtásához

• KB 4457951 | Windows Server-útmutató a spekulatív végrehajtás oldalcsatornás biztonsági rései elleni védelemhez

A Microsoft a Windows 64 bites (x64) verzióihoz (CVE-2018-11091,CVE-2018-12126, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) kiadott spekulatív végrehajtási oldalcsatorna-biztonsági rések új alosztálya elleni védelmet adott ki.

Használja a beállításjegyzék beállításait a Windows-ügyfél (KB4073119) és a Windows Server (KB4457951) című cikkben leírtak szerint. Ezek a beállításjegyzék-beállítások alapértelmezés szerint engedélyezve vannak a Windows-ügyfél operációsrendszer-kiadásaiban és a Windows Server operációsrendszer-kiadásokban.

Javasoljuk, hogy a mikrokód-frissítések telepítése előtt először telepítse Windows Update összes legújabb frissítését.

A problémával kapcsolatos további információkért és az ajánlott műveletekért tekintse meg a következő biztonsági tanácsadást: 

• ADV 190013 | A Microsoft útmutatója a mikroarchitekturális adatmintavétel biztonsági réseinek csökkentéséhez

Az Intel kiadott egy mikrokódfrissítést a legújabb PROCESSZORplatformokhoz a CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 enyhítése érdekében. A 2019. május 14-i Windows TUDÁSBÁZIS-4093836 a Windows operációs rendszer verziója szerinti tudásbáziscikkeket sorolja fel.  A cikk a processzor által elérhető Intel mikrokód-frissítésekre mutató hivatkozásokat is tartalmaz. Ezek a frissítések a Microsoft Katalógusban érhetők el.

Megjegyzés: Javasoljuk, hogy a mikrokód-frissítések telepítése előtt telepítse az Windows Update összes legújabb frissítését.

Örömmel jelentjük be, hogy a Retpoline alapértelmezés szerint engedélyezve van Windows 10, 1809-es verzió eszközökön (ügyfél és kiszolgáló esetén), ha a Spectre Variant 2 (CVE-2017-5715) engedélyezve van. Ha engedélyezi a Retpoline-t a Windows 10 legújabb verzióján, a 2019. május 14-i frissítéssel (KB 4494441) megnöveljük a teljesítményt, különösen a régebbi processzorok esetében.

Az ügyfeleknek biztosítaniuk kell, hogy a Spectre Variant 2 biztonsági rés elleni korábbi operációsrendszer-védelem engedélyezve legyen a Windows-ügyfélről és a Windows Serverről szóló cikkekben ismertetett beállításjegyzék-beállításokkal. (Ezek a beállításjegyzék-beállítások alapértelmezés szerint engedélyezve vannak a Windows-ügyfél operációsrendszer-kiadásaiban, de alapértelmezés szerint le vannak tiltva a Windows Server operációs rendszer kiadásaiban). A "Retpoline"-ról további információt a Spectre 2. változatának enyhítése a Windows retpoline-jával című témakörben talál.

A Windows operációs rendszer 2018. novemberi frissítései

A Microsoft kiadott operációsrendszer-védelmet a spekulatív áruház megkerüléséhez (CVE-2018-3639) AZ AMD processzorok (CPU-k) számára.

A Microsoft további operációsrendszer-védelmet adott ki a 64 bites ARM-processzorokat használó ügyfelek számára. Kérje az eszközgyártótól a belső vezérlőprogram támogatását, mert a CVE-2018-3639,spekulatív tároló megkerülését enyhítő ARM64 operációsrendszer-védelem megköveteli az eszköz oem-jének legújabb belsővezérlőprogram-frissítését.

A Windows operációs rendszer 2018. szeptemberi frissítései

Szeptember 11-én 2018-ban a Microsoft kiadta a Windows Server 2008 SP2 Monthly Rollup 4458010 and Security Only 4457984 for Windows Server 2008 kiadását, amely védelmet nyújt az L1 Terminálhiba (L1TF) nevű új spekulatív végrehajtási oldalcsatorna biztonsági rés ellen, amely az Intel® Core® processzorokat és az Intel® Xeon® processzorokat (CVE-2018-3620 és CVE-2018-3646) érinti. 

Ez a kiadás az összes támogatott Windows-rendszerverzió további védelmét Windows Update keresztül teljesíti. További információkért és az érintett termékek listájáért lásd: ADV180018 | A Microsoft útmutatója az L1TF-változatok mérsékléséhez.

Megjegyzés: A Windows Server 2008 SP2 mostantól a szabványos Windows karbantartási kumulatív modellt követi. A változásokról további információt a Windows Server 2008 SP2 karbantartási módosításait ismertető blogban talál. A Windows Server 2008 rendszert futtató ügyfeleknek a 2018. augusztus 14-én kiadott 4341832 biztonsági frissítésen kívül 4458010 vagy 4457984 kell telepíteniük. Az ügyfeleknek arról is gondoskodniuk kell, hogy a korábbi operációsrendszer-védelem engedélyezve legyen a Spectre Variant 2 és a Meltdown biztonsági rései ellen a Windows-ügyfél és a Windows Server útmutató tudásbáziscikkeiben ismertetett beállításjegyzék-beállításokkal. Ezek a beállításjegyzék-beállítások alapértelmezés szerint engedélyezve vannak a Windows-ügyfél operációsrendszer-kiadásaiban, de alapértelmezés szerint le vannak tiltva a Windows Server operációs rendszer kiadásaiban.

A Microsoft további operációsrendszer-védelmet adott ki a 64 bites ARM-processzorokat használó ügyfelek számára. Kérje az eszköz oem-gyártójától a belső vezérlőprogram támogatását, mert a CVE-2017-5715 – Branch target injektálást (Spectre, Variant 2) enyhítő ARM64 operációsrendszer-védelem érvénybe lépéséhez az eszköz operációs rendszerének legújabb frissítése szükséges.

A Windows operációs rendszer 2018. augusztusi frissítései

2018. augusztus 14-én bejelentették az L1 terminálhibát (L1TF), és több CVE-t rendeltek hozzá. Ezek az új spekulatív végrehajtási oldalcsatorna-biztonsági rések felhasználhatók a memória tartalmának megbízható határokon keresztüli olvasására, és ha kihasználják, információfelfedéshez vezethetnek. Több vektor is létezik, amelyekkel a támadók a konfigurált környezettől függően aktiválhatják a biztonsági réseket. Az L1TF az Intel® Core® processzorokat és az Intel® Xeon® processzorokat érinti.

Az L1TF-ről és az érintett forgatókönyvek részletes áttekintéséről, beleértve a Microsoft L1TF mérséklésére vonatkozó megközelítését, tekintse meg az alábbi forrásanyagokat:

• ADV180018 | A Microsoft útmutatója az L1TF-változatok mérsékléséhez

• Security Advisory Security Research Blog

• Kiszolgálói útmutató az L1 terminálhibához

A Windows operációs rendszer 2018. júliusi frissítései

Örömmel jelentjük be, hogy a Microsoft befejezte a windowsos rendszer összes támogatott verziójának további védelmét az alábbi biztonsági rések Windows Update keresztül:

• Spectre Variant 2 AMD processzorokhoz

• Spekulatív áruházi megkerülés Intel processzorokhoz

2018. június 13-án bejelentették és hozzárendelték a CVE-2018-3665 nevű, oldalcsatornás spekulatív végrehajtást érintő további biztonsági rést, az úgynevezett Lazy FP State Restoret. Az FP-visszaállítás szakaszos visszaállításához nincs szükség konfigurációs (beállításjegyzékbeli) beállításokra.

A biztonsági résről, az érintett termékekről és az ajánlott műveletekről a következő biztonsági tanácsadásban talál további információt:

• ADV180016 | A Microsoft útmutatója a szakaszolt FP állapot visszaállításához

Június 12-én a Microsoft bejelentette, hogy a Windows támogatja a Spekulatív áruház megkerülése letiltását (SSBD) az Intel processzorokban. A frissítések működéséhez megfelelő belső vezérlőprogram (mikrokód) és beállításjegyzék-frissítések szükségesek. A frissítésekről és az SSBD bekapcsolásának lépéseiről a ADV180012 | Microsoft-útmutató spekulatív áruház megkerüléséhez.

A Windows operációs rendszer 2018. májusi frissítései

2018 januárjában a Microsoft információkat adott ki a hardveres biztonsági rések (spectre és Meltdown) újonnan felfedezett osztályáról, amelyek különböző mértékben befolyásolják az AMD-t, AZ ARM-et és az Intel processzorokat érintő spekulatív végrehajtási oldali csatornákat. 2018. május 21-én a Google Project Zero (GPZ), a Microsoft és az Intel két új biztonsági rést tárt fel, amelyek a Spekulatív áruház megkerülésével (SSB) és a Rogue System Registry Readnel kapcsolatos Spectre- és Meltdown-problémákhoz kapcsolódnak.

Mindkét közzététel ügyfélkockázata alacsony.

További információ ezekről a biztonsági résekről:

• Microsoft biztonsági tanácsadás spekulatív áruház megkerüléséhez: MSRC ADV180012 és CVE-2018-3639

• Microsoft biztonsági tanácsadás a rogue rendszerregisztrálóhoz Olvasás: MSRC ADV180013és CVE-2018-3640

• Biztonságkutatás és védelem: Spekulatív tároló megkerülésének elemzése és elhárítása (CVE-2018-3639)

A következőkre vonatkozik: Windows 10, 1607-es verzió, Windows Server 2016, Windows Server 2016 (Server Core telepítés) és Windows Server 1709-es verzió (Server Core telepítés)

Támogatást nyújtottunk a közvetett ág-előrejelzési gát (IBPB) használatának szabályozásához egyes AMD processzorokon (CPU-kon) a CVE-2017-5715, Spectre Variant 2 csökkentéséhez, amikor a felhasználói környezetről kernelkörnyezetre vált. (További információ: AMD Architecture Guidelines around Indirect Branch Control and AMD Security Frissítések).

A Windows 10, 1607-es, Windows Server 2016-es, Windows Server 2016 (Server Core-telepítés) és a Windows Server 1709-es verzióját (Server Core telepítés) futtató ügyfeleknek telepíteniük kell a biztonsági frissítési 4103723 a CVE-2017-5715, Branch Target Injection AMD processzorok további kockázatcsökkentéséhez. Ez a frissítés Windows Update keresztül is elérhető.

Kövesse a Kb 4073119 for Windows Client (IT Pro) útmutatójában és a Windows Serverhez készült TUDÁSBÁZIS-4072698 című útmutatóban ismertetett utasításokat az IBPB egyes AMD-processzorokon (CPU-kon) belüli használatának engedélyezéséhez a Felhasználói környezetről kernelkörnyezetre váltáskor a Spectre Variant 2 mérsékléséhez.

A Microsoft elérhetővé teszi az Intel által ellenőrzött mikrokód-frissítéseket a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") körül. A legújabb Intel mikrokódfrissítések Windows Update keresztüli beszerzéséhez az ügyfeleknek telepíteniük kell az Intel mikrokódját az Windows 10 operációs rendszert futtató eszközökre a 2018. áprilisi Windows 10 frissítésre (1803-es verzió) való frissítés előtt.

A mikrokódfrissítés közvetlenül a katalógusból is elérhető, ha nem telepítettek mikrokódot az eszközre az operációs rendszer frissítése előtt. Az Intel mikrokód a Windows Update, a WSUS vagy a Microsoft Update Catalog segítségével érhető el. További információkért és a letöltési utasításokért lásd: KB 4100347.

Az Intel további mikrokódfrissítéseket kínál a Windows operációs rendszerhez, amint azok elérhetővé válnak a Microsoft számára.

A következőkre vonatkozik: Windows 10, 1709-es verzió

Támogatást nyújtottunk a közvetett ág-előrejelzési gát (IBPB) használatának szabályozásához egyes AMD processzorokon (CPU-kon) a CVE-2017-5715, Spectre Variant 2 csökkentéséhez, amikor a felhasználói környezetről kernelkörnyezetre vált. (További információ: AMD Architecture Guidelines around Indirect Branch Control and AMD Security Frissítések).

A Kb 4073119 for Windows Client (IT Pro) útmutatójában ismertetett útmutatást követve engedélyezze az IBPB használatát egyes AMD processzorokon (CPU-kon) a Spectre Variant 2 csökkentéséhez, amikor a felhasználói környezetről a kernelkörnyezetre vált.

A Microsoft elérhetővé teszi az Intel által ellenőrzött mikrokód-frissítéseket a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") körül. KB4093836 a Tudásbázis adott cikkeit sorolja fel Windows-verzió szerint. Minden egyes tudásbázis tartalmazza a legújabb elérhető Intel mikrokód-frissítéseket PROCESSZOR szerint.

Az Intel további mikrokódfrissítéseket kínál a Windows operációs rendszerhez, amint azok elérhetővé válnak a Microsoft számára. 

A Windows operációs rendszer 2018. márciusi és újabb frissítései

Március 23. TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown on Windows

Március 14. Security Tech Center: Spekulatív végrehajtási oldal csatorna bounty program feltételei

2018. március 13., blog: 2018. márciusi Windows biztonság Update – Az ügyfelek védelmére tett erőfeszítéseink kibővítése

Március 1., blog: Frissítés a Windows-eszközök Spectre- és Meltdown-biztonsági frissítéseiről

2018 márciusában a Microsoft kiadott biztonsági frissítéseket, hogy elhárítsa a következő x86-alapú Windows operációs rendszereket futtató eszközök kockázatcsökkentését. Az ügyfeleknek telepíteniük kell a Windows operációs rendszer legújabb biztonsági frissítéseit, hogy kihasználhassák a rendelkezésre álló védelmi lehetőségeket. Dolgozunk azon, hogy védelmet nyújtsunk más támogatott Windows-verzióknak, de jelenleg nincs kiadási ütemezése. A frissítésekért látogasson vissza ide. További információkért tekintse meg a kapcsolódó Tudásbázis-cikket a technikai részletekért és a "GYIK" szakaszt.

Megjelent a termékfrissítés	Állapot	Kiadási dátum	Kiadási csatorna	KB-szám
Windows 8.1 & Windows Server 2012 R2 – Csak biztonsági frissítés	Kiadva	Március 13.	WSUS, Katalógus,	KB4088879
Windows 7 SP1 & Windows Server 2008 R2 SP1 – Csak biztonsági frissítés	Kiadva	Március 13.	WSUS, katalógus	KB4088878
Windows Server 2012 – Csak biztonsági frissítés Windows 8 Embedded Standard Edition – Csak biztonsági frissítés	Kiadva	Március 13.	WSUS, katalógus	KB4088877
Windows 8.1 & Windows Server 2012 R2 – Havi kumulatív frissítés	Kiadva	Március 13.	WU, WSUS, katalógus	KB4088876
Windows 7 SP1 & Windows Server 2008 R2 SP1 – Havi kumulatív frissítés	Kiadva	Március 13.	WU, WSUS, katalógus	KB4088875
Windows Server 2012 – Havi kumulatív frissítés Windows 8 Embedded Standard Edition – Havi kumulatív frissítés	Kiadva	Március 13.	WU, WSUS, katalógus	KB4088877
Windows Server 2008 SP2	Kiadva	Március 13.	WU, WSUS, katalógus	KB4090450

2018 márciusában a Microsoft kiadott biztonsági frissítéseket, hogy elhárítsa az alábbi x64-alapú Windows operációs rendszereket futtató eszközökre vonatkozó kockázatcsökkentést. Az ügyfeleknek telepíteniük kell a Windows operációs rendszer legújabb biztonsági frissítéseit, hogy kihasználhassák a rendelkezésre álló védelmi lehetőségeket. Dolgozunk azon, hogy védelmet nyújtsunk más támogatott Windows-verzióknak, de jelenleg nincs kiadási ütemezése. A frissítésekért látogasson vissza ide. További információért tekintse meg a kapcsolódó tudásbázis cikket a technikai részletekért és a "GYIK" szakaszt.

Megjelent a termékfrissítés	Állapot	Kiadási dátum	Kiadási csatorna	KB-szám
Windows Server 2012 – Csak biztonsági frissítés Windows 8 Embedded Standard Edition – Csak biztonsági frissítés	Kiadva	Március 13.	WSUS, katalógus	KB4088877
Windows Server 2012 – Havi kumulatív frissítés Windows 8 Embedded Standard Edition – Havi kumulatív frissítés	Kiadva	Március 13.	WU, WSUS, katalógus	KB4088877
Windows Server 2008 SP2	Kiadva	Március 13.	WU, WSUS, katalógus	KB4090450

Ez a frissítés a Windows 64 bites (x64) verziójában a Windows kernelének jogosultságszint-emelési biztonsági rését oldja meg. Ez a biztonsági rés a CVE-2018-1038-ban van dokumentálva. A felhasználóknak ezt a frissítést kell alkalmazniuk, hogy teljes mértékben védve legyenek a biztonsági rés ellen, ha számítógépeiket 2018 januárjában vagy azt követően frissítették az alábbi Tudásbázis-cikkben felsorolt frissítések alkalmazásával:

Windows kernelfrissítés a CVE-2018-1038-hoz

Ez a biztonsági frissítés számos jelentett biztonsági rést old fel az Internet Explorerben. További információ ezekről a biztonsági résekről: A Microsoft gyakori biztonsági rései és kitettségei. 

Megjelent a termékfrissítés	Állapot	Kiadási dátum	Kiadási csatorna	KB-szám
Internet Explorer 10 – Összegző frissítés Windows 8 Embedded Standard Editionhez	Kiadva	Március 13.	WU, WSUS, katalógus	KB4089187

A Windows operációs rendszer 2018. februári frissítései

Blog: A Windows Analytics mostantól segít felmérni a Spectre és a Meltdown védelmét

Az alábbi biztonsági frissítések további védelmet nyújtanak a 32 bites (x86) Windows operációs rendszert futtató eszközök számára. A Microsoft azt javasolja az ügyfeleknek, hogy amint elérhetők, telepítsenek egy frissítést. Továbbra is dolgozunk azon, hogy védelmet nyújtsunk más támogatott Windows-verzióknak, de jelenleg nincs kiadási ütemtervünk. A frissítésekért látogasson vissza ide. 

Megjegyzés Windows 10 havi biztonsági frissítések havonta összegzőek, és automatikusan letöltik és telepítik őket Windows Update. Ha korábban telepített frissítéseket, csak az új részek lesznek letöltve és telepítve az eszközre. További információkért tekintse meg a kapcsolódó Tudásbázis-cikket a technikai részletekért és a "GYIK" szakaszt.

Megjelent a termékfrissítés	Állapot	Kiadási dátum	Kiadási csatorna	KB-szám
Windows 10 – 1709-es verzió / Windows Server 2016 (1709) / IoT Core – minőségi frissítés	Kiadva	január 31.	WU, katalógus	KB4058258
Windows Server 2016 (1709) – Server-tároló	Kiadva	Február 13.	Docker Hub	KB4074588
Windows 10 – 1703-as verzió / IoT Core – minőségi frissítés	Kiadva	Február 13.	WU, WSUS, katalógus	KB4074592
Windows 10 – 1607-es verzió / Windows Server 2016 / IoT Core – minőségi frissítés	Kiadva	Február 13.	WU, WSUS, katalógus	KB4074590
Windows 10 HoloLens – operációs rendszer és belső vezérlőprogram Frissítések	Kiadva	Február 13.	WU, katalógus	KB4074590
Windows Server 2016 (1607) – tárolólemezképek	Kiadva	Február 13.	Docker Hub	KB4074590
Windows 10 – 1511-es verzió / IoT Core – minőségi frissítés	Kiadva	Február 13.	WU, WSUS, katalógus	KB4074591
Windows 10 – RTM verzió – minőségi frissítés	Kiadva	Február 13.	WU, WSUS, katalógus	KB4074596

A Windows operációs rendszer 2018. januári frissítései

Blog: A Spectre és a Meltdown-kockázatcsökkentések teljesítményre gyakorolt hatásának megértése Windows-rendszereken

2018 januárjától a Microsoft kiadott biztonsági frissítéseket, hogy elhárítsa az alábbi x64-alapú Windows operációs rendszereket futtató eszközökre vonatkozó kockázatcsökkentéseket. Az ügyfeleknek telepíteniük kell a Windows operációs rendszer legújabb biztonsági frissítéseit, hogy kihasználhassák a rendelkezésre álló védelmi lehetőségeket. Dolgozunk azon, hogy védelmet nyújtsunk más támogatott Windows-verzióknak, de jelenleg nincs kiadási ütemezése. A frissítésekért látogasson vissza ide. További információkért tekintse meg a kapcsolódó Tudásbázis-cikket a technikai részletekért és a "GYIK" szakaszt.

Megjelent a termékfrissítés	Állapot	Kiadási dátum	Kiadási csatorna	KB-szám
Windows 10 – 1709-es verzió / Windows Server 2016 (1709) / IoT Core – minőségi frissítés	Kiadva	Január 3.	WU, WSUS, katalógus, Azure Image Gallery	KB4056892
Windows Server 2016 (1709) – Server-tároló	Kiadva	január 5.	Docker Hub	KB4056892
Windows 10 – 1703-as verzió / IoT Core – minőségi frissítés	Kiadva	Január 3.	WU, WSUS, katalógus	KB4056891
Windows 10 – 1607-es verzió / Windows Server 2016 / IoT Core – minőségi frissítés	Kiadva	Január 3.	WU, WSUS, katalógus	KB4056890
Windows Server 2016 (1607) – tárolólemezképek	Kiadva	Január 4.	Docker Hub	KB4056890
Windows 10 – 1511-es verzió / IoT Core – minőségi frissítés	Kiadva	Január 3.	WU, WSUS, katalógus	KB4056888
Windows 10 – RTM verzió – minőségi frissítés	Kiadva	Január 3.	WU, WSUS, katalógus	KB4056893
Windows 10 Mobile (operációs rendszer buildje: 15254.192) – ARM	Kiadva	január 5.	WU, katalógus	KB4073117
Windows 10 Mobile (operációs rendszer buildje: 15063.850)	Kiadva	január 5.	WU, katalógus	KB4056891
Windows 10 Mobile (operációs rendszer buildje: 14393.2007)	Kiadva	január 5.	WU, katalógus	KB4056890
Windows 10 HoloLens	Kiadva	január 5.	WU, katalógus	KB4056890
Windows 8.1 / Windows Server 2012 R2 – csak biztonsági frissítés	Kiadva	Január 3.	WSUS, katalógus	KB4056898
Windows Embedded 8.1 Industry Enterprise	Kiadva	Január 3.	WSUS, katalógus	KB4056898
Windows Embedded 8.1 Industry Pro	Kiadva	Január 3.	WSUS, katalógus	KB4056898
Windows Embedded 8.1 Pro	Kiadva	Január 3.	WSUS, katalógus	KB4056898
Windows 8.1 / Windows Server 2012 R2 – havi kumulatív frissítés	Kiadva	január 8.	WU, WSUS, katalógus	KB4056895
Windows Embedded 8.1 Industry Enterprise	Kiadva	január 8.	WU, WSUS, katalógus	KB4056895
Windows Embedded 8.1 Industry Pro	Kiadva	január 8.	WU, WSUS, katalógus	KB4056895
Windows Embedded 8.1 Pro	Kiadva	január 8.	WU, WSUS, katalógus	KB4056895
Windows Server 2012 – csak biztonsági frissítés	Kiadva		WSUS, katalógus
Windows Server 2008 SP2	Kiadva		WU, WSUS, katalógus
Windows Server 2012 – havi kumulatív frissítés	Kiadva		WU, WSUS, katalógus
Windows Embedded 8 Standard	Kiadva		WU, WSUS, katalógus
Windows 7 SP1 / Windows Server 2008 R2 SP1 – csak biztonsági frissítés	Kiadva	Január 3.	WSUS, katalógus	KB4056897
Windows Embedded Standard 7	Kiadva	Január 3.	WSUS, katalógus	KB4056897
Windows Embedded POSReady 7	Kiadva	Január 3.	WSUS, katalógus	KB4056897
Windows Thin PC	Kiadva	Január 3.	WSUS, katalógus	KB4056897
Windows 7 SP1 / Windows Server 2008 R2 SP1 – havi kumulatív frissítés	Kiadva	Január 4.	WU, WSUS, katalógus	KB4056894
Windows Embedded Standard 7	Kiadva	Január 4.	WU, WSUS, katalógus	KB4056894
Windows Embedded POSReady 7	Kiadva	Január 4.	WU, WSUS, katalógus	KB4056894
Windows Thin PC	Kiadva	Január 4.	WU, WSUS, katalógus	KB4056894
Internet Explorer 11 – kumulatív frissítés a Windows 7 SP1 és a Windows 8.1 rendszerhez	Kiadva	Január 3.	WU, WSUS, katalógus	KB4056568

2024. április 9-én megjelent a CVE-2022-0001 | Intel Branch History Injection ( Ágelőzmény-injektálás ), amely az elágazási előzmények injektálását (BHI) ismerteti, amely a módon belüli BTI egy speciális formája. Ez a biztonsági rés akkor fordul elő, ha egy támadó manipulálhatja az ágelőzményeket, mielőtt a felhasználóról a felügyeleti módra vált (vagy a VMX nem gyökérszintű/vendég módból a gyökér módba). Ez a módosítás azt eredményezheti, hogy egy közvetett ág-előrejelző kiválaszt egy adott prediktorbejegyzést egy közvetett ághoz, és az előrejelzett célnál egy közzétételi minialkalmazás átmenetien végre lesz hajtva. Ez azért lehetséges, mert a vonatkozó ágelőzmények tartalmazhatnak korábbi biztonsági környezetekben, és különösen más előrejelző módokban vett ágakat.

A CVE-2022-0001-ben leírt biztonsági rések elhárításához kövesse a Windows-ügyfélre (IT Pro) vonatkozó KB4073119 és a Windows Serverhez készült KB4072698 című útmutatóban ismertetett utasításokat | Intel branch history injektálás.

Microsoft biztonsági tanácsadás L1 terminálhibához (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 és CVE-2018-3646

Biztonságkutatás és védelem: Spekulatív tároló megkerülésének elemzése és elhárítása (CVE-2018-3639)

Microsoft biztonsági tanácsadás spekulatív áruház megkerüléséhez: MSRC ADV180012 és CVE-2018-3639

Microsoft security advisory for Rogue System Register Read | Biztonsági frissítési útmutató a Surface-hez: MSRC ADV180013és CVE-2018-3640

Biztonságkutatás és védelem: Spekulatív tároló megkerülésének elemzése és elhárítása (CVE-2018-3639)

TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown on Windows

Security Tech Center: Spekulatív végrehajtási oldal csatorna Bounty Program feltételek

Microsoft Experience blog: Frissítés a Windows-eszközök Spectre és Meltdown biztonsági frissítéseiről

A Windows For Business blogja: A Windows Analytics mostantól segít felmérni a Spectre és a Meltdown védelmét

Microsoft Secure blog: A Spectre és a Meltdown-kockázatcsökkentések teljesítményre gyakorolt hatásának megértése Windows-rendszereken

Edge fejlesztői blog: Spekulatív végrehajtási oldalcsatorna-támadások elhárítása a Microsoft Edge-ben és az Internet Explorerben

Azure Blog: Az Azure-ügyfelek védelme a CPU biztonsági réseitől

SCCM útmutató: További útmutatás a spekulatív végrehajtás oldalcsatornás biztonsági réseinek csökkentéséhez

Microsoft-tanácsadók:

• ADV180002 | Útmutatás a spekulatív végrehajtás oldalcsatornás biztonsági réseinek csökkentéséhez

• ADV180012 | Microsoft-útmutató spekulatív áruház megkerüléséhez

• ADV180013 | Microsoft-útmutató a rogue rendszerregisztráció olvasásához

• ADV180016 | A Microsoft útmutatója a szakaszolt FP állapot visszaállításához

• ADV180018 | A Microsoft útmutatója az L1TF-változatok mérsékléséhez

Intel: Biztonsági tanácsadás

ARM: Biztonsági tanácsadás

AMD: Biztonsági tanácsadás

NVIDIA: Biztonsági tanácsadás

Fogyasztói útmutató: Az eszköz védelme a chipekkel kapcsolatos biztonsági résekkel szemben

Víruskereső útmutató: A 2018. január 3-án megjelent Windows biztonsági frissítések és a víruskereső szoftver

Útmutató az AMD Windows operációs rendszer biztonsági frissítési blokkja: KB4073707: Windows operációs rendszer biztonsági frissítési blokkja egyes AMD-alapú eszközökhöz

Frissítés a Kockázatcsökkentés letiltása a Spectre, 2. változat: KB4078130: Az Intel újraindítási problémákat észlelt néhány régebbi processzor mikrokódjával kapcsolatban 

Surface-útmutató: Surface-útmutató a spekulatív végrehajtás oldalcsatornás biztonsági rései elleni védelemhez

Spekulatív végrehajtási oldali csatornamegoldások állapotának ellenőrzése: Get-SpeculationControlSettings PowerShell-szkript kimenetének ismertetése

It Pro-útmutató: Windows ügyfél-útmutató informatikai szakembereknek a spekulatív végrehajtási oldalcsatorna biztonsági rései elleni védelemhez

Kiszolgálói útmutató: Windows Server-útmutató a spekulatív végrehajtás oldalcsatornás biztonsági rései elleni védelemhez

Kiszolgálói útmutató az L1 terminálhibához: A Windows Server útmutatója az L1 terminálhiba elleni védelemhez

Fejlesztői útmutató: Fejlesztői útmutató a spekulatív áruház megkerüléséhez

Server Hyper-V-re vonatkozó útmutatás

• Virtuális gép erőforrás-vezérlői

• Hyper-V-gazdagép CPU-erőforrás-kezelése

Azure KB: KB4073235: Microsoft Cloud Protections a spekulatív végrehajtás Side-Channel biztonsági rések ellen

Azure Stack-útmutató: KB4073418: Azure Stack-útmutató a spekulatív végrehajtás oldalcsatornás biztonsági rései elleni védelemhez

Azure-megbízhatóság: Azure megbízhatósági portál

SQL Server útmutató: KB4073225: SQL Server Útmutató a spekulatív végrehajtás oldalcsatornás biztonsági rései elleni védelemhez

A Spectre és a Meltdown biztonsági rései elleni védelem érdekében az OEM- és a kiszolgáló-eszközgyártókra mutató hivatkozások

A biztonsági rések elhárításához frissítenie kell a hardvert és a szoftvert is. Az alábbi hivatkozások segítségével kérdezze meg az eszköz gyártóját a belső vezérlőprogram (mikrokód) megfelelő frissítéseiről.

Az alábbi hivatkozások segítségével kérdezze meg az eszköz gyártóját a belső vezérlőprogram (mikrokód) frissítéseiről. Az összes elérhető védelemhez telepítenie kell az operációs rendszer és a belső vezérlőprogram (mikrokód) frissítéseit is.

OEM eszközgyártók	Hivatkozás a mikrokód elérhetőségének ellenőrzésére
Acer	A Meltdown és a Spectre biztonsági rései
Asus	ASUS Update a spekulatív végrehajtás és a közvetett ág előrejelzése oldalcsatorna elemzési módszer
Dell	Meltdown és Spectre biztonsági rések
Epson	CPU-biztonsági rések (oldalsó csatornatámadások)
Fujitsu	A processzorhardverek sebezhetőek az oldalcsatornás támadásokkal szemben (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HP	TÁMOGATÁSI KOMMUNIKÁCIÓ – BIZTONSÁGI KÖZLEMÉNY
Lenovo	Kiemelt memória olvasása mellékcsatornával
LG	Terméktámogatási & lekérése
NEC	A processzor biztonsági résére (leolvadás, spektrum) adott válaszként termékeinkben
Panasonic	Biztonsági információk a biztonsági résről spekulatív végrehajtás és közvetett ág-előrejelzési oldalcsatorna-elemzési módszer alapján
Samsung	Intel processzorok szoftverfrissítésének bejelentése
Surface	A Surface-re vonatkozó útmutatás a spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések elleni védelemhez
Toshiba	Intel, AMD & Microsoft spekulatív végrehajtása és közvetett ág-előrejelzés oldalcsatorna-elemzési módszer biztonsági rései (2017)
Vaio	A biztonsági rések támogatása az oldalcsatorna-elemzéshez

Kiszolgáló OEM-gyártók	Hivatkozás a mikrokód elérhetőségének ellenőrzésére
Dell	Meltdown és Spectre biztonsági rések
Fujitsu	A processzorhardverek sebezhetőek az oldalcsatornás támadásokkal szemben (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HPE	Hewlett Packard Enterprise termékbiztonsági biztonsági résekkel kapcsolatos riasztások
Huawei	Biztonsági közlemény – Nyilatkozat az Intel CPU-architektúra biztonsági réseinek médiafelfedéséről
Lenovo	Kiemelt memória olvasása mellékcsatornával

A belső vezérlőprogram (mikrokód) frissítéseit az eszköz gyártójához kell ellenőriznie. Ha az eszközgyártó nem szerepel a táblázatban, forduljon közvetlenül az eredeti hardvergyártóhoz.

A Microsoft Surface-eszközökhöz készült Frissítések Windows Update keresztül érhetők el az ügyfelek számára. A Surface-eszköz belső vezérlőprogramjának (mikrokód) elérhető frissítéseinek listáját lásd: KB 4073065.

Ha az eszköz nem a Microsofttól származik, alkalmazza az eszköz gyártójától származó belső vezérlőprogram-frissítéseket. További információért forduljon az eszköz gyártójához.

A hardveres biztonsági rések szoftverfrissítéssel történő kezelése jelentős kihívásokat és kockázatcsökkentéseket jelent a régebbi operációs rendszerek számára, és jelentős architekturális változtatásokat igényelhet. Továbbra is együttműködünk az érintett chipgyártókkal, hogy megvizsgáljuk a kockázatcsökkentés legjobb módját. Ezt egy későbbi frissítésben is meg lehet adni. Az ezeket a régebbi operációs rendszereket futtató régebbi eszközök cseréje és a víruskereső szoftver frissítése a fennmaradó kockázatra is kihat.

Bár a Windows XP-alapú rendszerek érintett termékek, a Microsoft nem ad ki frissítést, mert a szükséges átfogó architekturális módosítások veszélyeztetnék a rendszer stabilitását, és alkalmazáskompatibilitási problémákat okoznának. Javasoljuk, hogy a biztonságtudatos ügyfelek frissítsenek egy újabb, támogatott operációs rendszerre, hogy lépést tudjanak tartani a folyamatosan változó biztonsági fenyegetésekkel, és ki tudják használni az újabb operációs rendszerek által kínált robusztusabb védelmi eszközöket.

A HoloLenshez Windows 10 Frissítések a HoloLens ügyfelei Windows Update keresztül érhetik el.

A 2018. februári Windows biztonság Updatealkalmazása után a HoloLens-ügyfeleknek nem kell további lépéseket tenniük az eszköz belső vezérlőprogramjának frissítéséhez. Ezek a kockázatcsökkentések a HoloLenshez készült Windows 10 összes jövőbeli kiadásában is szerepelni fognak.

További információért forduljon az OEM-hez.

Ahhoz, hogy az eszköz teljes mértékben védett legyen, telepítenie kell az eszköz legújabb Windows operációsrendszer-biztonsági frissítéseit és az eszköz gyártójától származó belső vezérlőprogrammal (mikrokóddal) kapcsolatos frissítéseket. Ezek a frissítések az eszköz gyártójának webhelyén érhetők el. Először a víruskereső szoftver frissítéseit kell telepíteni. Az operációs rendszer és a vezérlőprogramok frissítései bármilyen sorrendben telepíthetők.

A biztonsági rés elhárításához frissítenie kell a hardvert és a szoftvert is. Az átfogóbb védelem érdekében telepítenie kell a belső vezérlőprogrammal (mikrokóddal) kapcsolatos megfelelő frissítéseket az eszköz gyártójától. Javasoljuk, hogy eszközei naprakész állapotának megőrzése érdekében telepítse a Windows havonta megjelenő biztonsági frissítéseit.

Minden Windows 10 funkciófrissítésben a legújabb biztonsági technológiát építjük be mélyen az operációs rendszerbe, olyan részletes védelmi funkciókat biztosítva, amelyek megakadályozzák, hogy a kártevők teljes osztályai hatással vannak az eszközére. Funkciófrissítést évente két alkalommal tervezünk kiadni. Minden havi minőségi frissítésben egy újabb biztonsági réteget adunk hozzá, amely nyomon követi a kártevőkben megjelenő és változó trendeket, hogy a naprakész rendszereket biztonságosabbá tegyük a változó és változó fenyegetésekkel szemben.

A Microsoft a Windows 10, Windows 8.1 és Windows 7 SP1 rendszerű eszközök támogatott verzióinak AV-kompatibilitási ellenőrzését Windows Update keresztül törölte. 

Ajánlások:

• A Microsoft és a hardvergyártó legújabb biztonsági frissítéseivel győződjön meg arról, hogy eszközei naprakészek. Az eszköz naprakészen tartásáról további információt a Windows Update: GYAKORI KÉRDÉSEK című témakörben talál.

• Folytassa az ésszerű óvatosság gyakorlását, ha ismeretlen eredetű webhelyeket látogat meg, és nem marad meg olyan webhelyeken, amelyekben nem bízik meg. A Microsoft azt javasolja, hogy minden ügyfél egy támogatott víruskereső program futtatásával védje eszközeit. A felhasználók ezenkívül a beépített vírusvédelmet is alkalmazhatják: Windows 10-es készülékek esetében ez a Windows Defender, míg Windows 7-es készülékek esetében a Microsoft Security Essentials. Ezek a megoldások kompatibilisek olyan esetekben, amikor az ügyfelek nem tudnak víruskereső szoftvert telepíteni vagy futtatni.

A januárban vagy februárban kiadott Windows biztonsági frissítéseket nem ajánlottuk fel minden ügyfélnek, hogy elkerülje az ügyféleszközökre gyakorolt kedvezőtlen hatásokat. További információt a Microsoft Tudásbázis 4072699 című cikkben talál. 

Az Intel olyan problémákat jelentett be, amelyek hatással vannak a nemrég kiadott mikrokódra, amely a Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection") kezelésére szolgál. Pontosabban, az Intel megállapította, hogy ez a mikrokód "a vártnál magasabb újraindításokat és más kiszámíthatatlan rendszerviselkedést" okozhat, és az ilyen helyzetek "adatvesztést vagy sérülést" okozhatnak.  Saját tapasztalatunk az, hogy a rendszer instabilitása bizonyos körülmények között adatvesztést vagy sérülést okozhat. Január 22-én az Intel azt javasolta, hogy az ügyfelek ne helyezték üzembe az aktuális mikrokódverziót az érintett processzorokon, miközben további tesztelést végeznek a frissített megoldáson. Tisztában vagyunk azzal, hogy az Intel továbbra is vizsgálja a jelenlegi mikrokódverzió lehetséges hatásait, és arra biztatjuk az ügyfeleket, hogy folyamatosan felülvizsgálják az útmutatójukat, hogy tájékoztassák a döntéseiket.

Bár az Intel új mikrokódokat tesztel, frissít és helyez üzembe, egy sávon kívüli ( KB 4078130) frissítést teszünk elérhetővé, amely kifejezetten letiltja a CVE-2017-5715 – "Branch Target Injection" elleni kockázatcsökkentést. A tesztelés során ezt a frissítést találtuk, hogy megakadályozzuk a leírt viselkedést. Az eszközök teljes listáját az Intel mikrokód-változatának útmutatójában találja. Ez a frissítés a Windows 7 SP1-re, a Windows 8.1-re és a Windows 10 valamennyi verziójára érvényes, ügyfélgépek és kiszolgálók esetén egyaránt. Ha érintett eszközt futtat, ezt a frissítést a Microsoft Update Katalógus webhelyéről töltheti le. Ennek a hasznos adatnak az alkalmazása kifejezetten csak a CVE-2017-5715 – "Branch Target Injection" kockázatcsökkentést tiltja le. 

Január 25-étől nincsenek olyan ismert jelentések, amelyek azt jelezték volna, hogy ezt a Spectre Variant 2-t (CVE-2017-5715) használták az ügyfelek megtámadására. Azt javasoljuk, hogy ha szükséges, a Windows-ügyfelek engedélyezzenek újra a CVE-2017-5715-re vonatkozó kockázatcsökkentést, ha az Intel arról számol be, hogy ez a kiszámíthatatlan rendszerviselkedés megoldódott az eszközén.

Nem. A Csak biztonsági frissítések nem halmozottak. A futtatott operációs rendszer verziójától függően telepítenie kell az összes kiadott csak biztonsági frissítést, hogy védve legyen ezekkel a biztonsági résekkel szemben. Ha például 32 bites Windows 7 rendszert futtat egy érintett Intel CPU-n, akkor 2018 januárjától minden csak biztonsági frissítést telepítenie kell. Javasoljuk, hogy a csak biztonsági frissítéseket a kiadás sorrendjében telepítse.
 
Megjegyzés A gyik egy korábbi verziója helytelenül állította, hogy a csak februári biztonsági frissítés tartalmazza a januárban kiadott biztonsági javításokat. Valójában nem.

Nem. A biztonsági frissítési 4078130 a mikrokód telepítése után a rendszer előre nem látható viselkedésének, teljesítményproblémáinak és váratlan újraindulásának megelőzésére szolgáló speciális javítás volt. A februári biztonsági frissítések windowsos ügyféloldali operációs rendszereken való alkalmazása mindhárom kockázatcsökkentést lehetővé teszi. Windows server operációs rendszereken a megfelelő tesztelés elvégzése után is engedélyeznie kell a kockázatcsökkentéseket. További információt a Microsoft Tudásbázis 4072698 című cikkben talál.

Az AMD nemrég bejelentette, hogy a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") köré kezdett mikrokódokat kiadni az újabb PROCESSZORplatformokhoz. További információért tekintse meg az AMD biztonsági Frissítések és az AMD tanulmányt: Architecture Guidelines around Indirect Branch Control (Az AMD biztonsági Frissítések és AZ AMD útmutatója: Architecture Guidelines around Indirect Branch Control (Az AMD biztonsági Frissítések és AZ AMD útmutatója: Architecture Guidelines around Indirect Branch Control (Az AMD biztonsági Frissítések és AZ AMD útmutatója Ezek az OEM belső vezérlőprogram-csatornáján érhetők el. 

Az Intel nemrég bejelentette, hogy befejezte az ellenőrzést, és megkezdte a mikrokód kiadását az újabb CPU-platformokhoz. A Microsoft elérhetővé teszi az Intel által ellenőrzött mikrokód-frissítéseket a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") körül. A TUDÁSBÁZIS-4093836 a Tudásbázis adott cikkeit sorolja fel Windows-verzió szerint. Mindegyik specifikus tudásbáziscikk tartalmazza az Intel elérhető mikrokódfrissítéseit CPU szerint.

A Microsoft elérhetővé teszi az Intel által ellenőrzött mikrokód-frissítéseket a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") körül. A legújabb Intel mikrokódfrissítések Windows Update keresztüli beszerzéséhez az ügyfeleknek telepíteniük kell az Intel mikrokódját az Windows 10 operációs rendszert futtató eszközökre a 2018. áprilisi Windows 10 frissítésre (1803-es verzió) való frissítés előtt.

A mikrokód-frissítés közvetlenül a frissítési katalógusból is elérhető, ha a rendszer frissítése előtt nem volt telepítve az eszközön. Az Intel mikrokód a Windows Update, a WSUS vagy a Microsoft Update Catalog segítségével érhető el. További információkért és a letöltési utasításokért lásd: KB 4100347.

További információt a következő forrásanyagokban talál:

• ADV180012 | Microsoft-útmutató spekulatív áruház megkerüléséhez a CVE-2018-3639-hez

• ADV180013 | Microsoft-útmutató a CVE-2018-3640-hez és a KB-4073065 rendszerhez készült rogue rendszerregisztráció olvasásához | Útmutatás Surface-ügyfeleknek

• Microsoft Security Research and Defense Blog

• Fejlesztői útmutató a spekulatív áruház megkerüléséhez

Részletekért tekintse meg a ADV180012 | "Javasolt műveletek" és "GYIK" című szakaszát . Microsoft-útmutató spekulatív áruház megkerüléséhez.

Az SSBD állapotának ellenőrzéséhez a Get-SpeculationControlSettings PowerShell-szkript frissült, hogy észlelje az érintett processzorokat, az SSBD operációs rendszer frissítéseinek állapotát és a processzor mikrokódjának állapotát, ha van ilyen. További információkért és a PowerShell-szkript beszerzéséhez lásd: KB4074629.

2018. június 13-án bejelentették és hozzárendelték a CVE-2018-3665 nevű, oldalcsatornás spekulatív végrehajtást érintő további biztonsági rést, az úgynevezett Lazy FP State Restoret. Az FP-visszaállítás szakaszos visszaállításához nincs szükség konfigurációs (beállításjegyzékbeli) beállításokra.

A biztonsági résről és az ajánlott műveletekről további információt a biztonsági tanácsadásban talál: ADV180016 | A Microsoft útmutatója a szakaszolt FP állapot visszaállításához

MegjegyzésAz FP-visszaállítás szakaszos visszaállításához nincs szükség konfigurációs (beállításjegyzékbeli) beállításokra.

A Bounds Check Bypass Store (BCBS) 2018. július 10-én került nyilvánosságra, és hozzárendelte a CVE-2018-3693-at. Úgy véljük, hogy a BCBS ugyanahhoz a biztonsági résosztályhoz tartozik, mint a Bounds Check Bypass (1. változat). Jelenleg nem tudunk a BCBS-ről a szoftverünkben, de továbbra is kutatjuk ezt a biztonságirés-osztályt, és az iparági partnerekkel együttműködve szükség szerint kiadjuk a kockázatcsökkentéseket. Továbbra is arra biztatjuk a kutatókat, hogy küldjenek el minden releváns megállapítást a Microsoft Spekulatív végrehajtási oldal csatorna bounty programba, beleértve a BCBS bármely kihasználható példányát is. A szoftverfejlesztőknek át kell tekinteniük a BCBS-hez frissített fejlesztői útmutatót a https://aka.ms/sescdevguide.

2018. augusztus 14-én bejelentették az L1 terminálhibát (L1TF), és több CVE-t rendeltek hozzá. Ezek az új spekulatív végrehajtási oldalcsatorna-biztonsági rések felhasználhatók a memória tartalmának megbízható határokon keresztüli olvasására, és ha kihasználják, információfelfedéshez vezethetnek. Több vektor is létezik, amelyekkel a támadók a konfigurált környezettől függően aktiválhatják a biztonsági réseket. Az L1TF az Intel® Core® processzorokat és az Intel® Xeon® processzorokat érinti.

A biztonsági résről és az érintett forgatókönyvek részletes áttekintéséről, beleértve a Microsoft L1TF mérséklésére vonatkozó megközelítését, tekintse meg az alábbi forrásanyagokat:

• ADV180018 | A Microsoft útmutatója az L1TF-változatok mérsékléséhez

• Security Advisory Security Research Blog

• Kiszolgálói útmutató az L1 terminálhibához

Microsoft Surface-ügyfelek: A Microsoft Surface- és Surface Book-termékeket használó ügyfeleknek követnie kell a Windows-ügyfélre vonatkozó biztonsági tanácsadásban ismertetett útmutatást: ADV180018 | A Microsoft útmutatója az L1TF-változatok mérsékléséhez. Az érintett Surface-termékekkel és a mikrokódfrissítések rendelkezésre állásával kapcsolatos további információkért lásd még a Microsoft Tudásbázis 4073065 cikket.

Microsoft Hololens-ügyfelek: Microsoft HoloLens az L1TF nem érinti, mert nem használ érintett Intel processzort.

A Hyper-Threading letiltásához szükséges lépések eltérnek az OEM-től az OEM-től, de általában a BIOS vagy a belső vezérlőprogram beállítási és konfigurációs eszközeinek részét képezik.

A 64 bites ARM-processzorokat használó ügyfeleknek ellenőrizniük kell az eszköz OEM-jének belső vezérlőprogram-támogatását, mert a CVE-2017-5715 – Branch target injektálást (Spectre, Variant 2) enyhítő ARM64 operációs rendszer védelméhez az eszköz oem-jeiről érkező legújabb belsővezérlőprogram-frissítés szükséges.

A biztonsági rés részleteiért tekintse meg a Microsoft biztonsági útmutatóját: CVE-2019-1125 | A Windows Kernel információfelfedés biztonsági rése.

Nem tudunk arról, hogy ez az információfelfedési biztonsági rés hatással lehet a felhőszolgáltatás infrastruktúrájára.

Amint tudomást szereztünk a problémáról, gyorsan dolgoztunk a megoldásán, és kiadtunk egy frissítést. Határozottan hiszünk a kutatókkal és az iparági partnerekkel kialakított szoros partnerségekben, hogy az ügyfelek biztonságosabbak legyenek, és augusztus 6., keddig nem tették közzé a részleteket, összhangban az összehangolt biztonságirés-közzétételi gyakorlatokkal.