Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Azure Local (formerly Azure Stack HCI) Windows Server 2022 Windows Server 2019 Windows Server 2016

Dátum módosítása

Leírás módosítása

2023. augusztus 9.

  • Eltávolítottuk a CVE-2022-23816-ról szóló tartalmat, mivel a CVE-szám nincs használatban

  • Eltávolítottunk egy "Intel-mikrokód-frissítések" című duplikált témakört a "Windows-eszközök védelmének lépései" című szakaszban

2024. április 9.

  • Hozzáadva: CVE-2022-0001 | Intel-ágelőzmények injektálás

Összefoglalás

Ez a cikk információkat és frissítéseket tartalmaz a szilícium-alapú mikroarchitekturális és spekulatív végrehajtási oldalcsatornás biztonsági rések új osztályához, amelyek számos modern processzort és operációs rendszert érintenek. Emellett átfogó listát biztosít a Windows-ügyfél- és kiszolgáló-erőforrásokról, amelyek segítenek az eszközök védelmében otthon, a munkahelyen és a vállalaton belül. Ide tartozik az Intel, az AMD és az ARM. A szilíciumalapú problémákra vonatkozó biztonsági résekkel kapcsolatos részletek a következő biztonsági tanácsadásokban és CVE-kben találhatók:

2018. január 3-án a Microsoft kiadott egy tanácsadási és biztonsági frissítéseket a hardveres biztonsági rések (Spectre és Meltdown) újonnan felfedezett osztályához kapcsolódóan, amelyek különböző mértékben befolyásolják az AMD, ARM és Intel processzorokat érintő spekulatív végrehajtási oldali csatornákat. A biztonsági rések ezen osztálya egy olyan közös chiparchitektúrán alapul, amelyet eredetileg a számítógépek felgyorsítására terveztek. Ezekről a biztonsági résekről a Google Project Zero webhelyen tudhat meg többet.

2018. május 21-én a Google Project Zero (GPZ), a Microsoft és az Intel két új biztonsági rést tárt fel, amelyek a Spectre és a Meltdown problémáihoz kapcsolódnak, és spekulatív store bypass (SSB) és Rogue System Registry Read néven ismertek. Mindkét közzététel ügyfélkockázata alacsony.

A biztonsági résekkel kapcsolatos további információkért tekintse meg a 2018. májusi Windows operációsrendszer-frissítések alatt felsorolt erőforrásokat, és tekintse meg a következő biztonsági tanácsokat:

2018. június 13-án bejelentették és hozzárendelték a CVE-2018-3665 nevű, oldalcsatornás spekulatív végrehajtást érintő további biztonsági rést, az úgynevezett Lazy FP State Restoret. A biztonsági résről és az ajánlott műveletekről a következő biztonsági tanácsadásban talál további információt:

2018. augusztus 14-én bejelentették az L1 Terminálhiba (L1TF) nevű új spekulatív végrehajtásioldali csatorna biztonsági rését, amely több CVE-vel rendelkezik. Az L1TF az Intel® Core® processzorokat és az Intel® Xeon® processzorokat érinti. További információ az L1TF-ről és az ajánlott műveletekről: Biztonsági tanácsadás:

Megjegyzés: Javasoljuk, hogy a mikrokód-frissítések telepítése előtt telepítse az Windows Update összes legújabb frissítését.

2019. május 14-én az Intel közzétette a mikroarchitekturális adatmintavétel néven ismert spekulatív végrehajtásoldali biztonsági rések új alosztályáról szóló információkat. A következő CVE-k lettek hozzárendelve:

Fontos: Ezek a problémák más rendszereket is érintenek, például Androidot, Chrome-ot, iOS-t és MacOS-t. Azt javasoljuk az ügyfeleknek, hogy kérjenek útmutatást a megfelelő szállítóktól.

A Microsoft frissítéseket adott ki a biztonsági rések mérséklése érdekében. Az összes elérhető védelem beszerzéséhez belső vezérlőprogramra (mikrokódra) és szoftverfrissítésekre van szükség. Ide tartozhatnak az eszköz oem-jeiből származó mikrokódok is. Bizonyos esetekben a frissítések telepítése hatással lesz a teljesítményre. A felhőszolgáltatásaink védelme érdekében is cselekedtünk.

Megjegyzés: Javasoljuk, hogy a mikrokód-frissítések telepítése előtt telepítse az Windows Update összes legújabb frissítését.

Ezekről a problémákról és az ajánlott műveletekről a következő biztonsági tanácsadásban talál további információt:

2019. augusztus 6-án az Intel kiadta a Windows kerneladatok felfedésével kapcsolatos biztonsági rés részleteit. Ez a biztonsági rés a Spectre Variant 1 spekulatív végrehajtási oldali csatorna biztonsági résének változata, és CVE-2019-1125 lett hozzárendelve.

A Microsoft 2019. július 9-én kiadott egy biztonsági frissítést a Windows operációs rendszerhez a probléma megoldásához. Azok az ügyfelek, akik Windows Update engedélyezve vannak, és alkalmazták a 2019. július 9-én kiadott biztonsági frissítéseket, automatikusan védettek lesznek. Vegye figyelembe, hogy ez a biztonsági rés nem igényel mikrokód-frissítést az eszköz gyártójától (OEM).

További információ erről a biztonsági résről és a vonatkozó frissítésekről: CVE-2019-1125 | A Windows kerneladatok felfedésével kapcsolatos biztonsági rés a Microsoft biztonsági frissítési útmutatójában.

2022. június 14-én az Intel közzétette a spekulatív végrehajtási memórialeképezési I/O (MMIO) oldalcsatorna biztonsági réseinek új alosztályára vonatkozó információkat, amelyek a tanácsadásban szerepelnek:

A Windows-eszközök védelmének lépései

Előfordulhat, hogy frissítenie kell a belső vezérlőprogramját (mikrokódját) és a szoftverét is a biztonsági rések elhárításához. Az ajánlott műveletekért tekintse meg a Microsoft biztonsági tanácsadóit. Ide tartoznak az eszközgyártóktól származó belső vezérlőprogrammal (mikrokóddal) kapcsolatos frissítések, és bizonyos esetekben a víruskereső szoftver frissítései is. Javasoljuk, hogy eszközei naprakész állapotának megőrzése érdekében telepítse a Windows havonta megjelenő biztonsági frissítéseit. 

Az összes elérhető védelem fogadásához kövesse az alábbi lépéseket a szoftver és a hardver legújabb frissítéseinek beszerzéséhez.

Megjegyzés: Mielőtt hozzákezdene, győződjön meg arról, hogy a víruskereső (AV) szoftver naprakész és kompatibilis. A kompatibilitásra vonatkozó legfrissebb információkért keresse fel a víruskereső szoftver gyártójának webhelyét.

  1. Az automatikus frissítések bekapcsolásával naprakészen tarthatja Windows-eszközét.

  2. Ellenőrizze, hogy már telepítette-e a Windows operációs rendszer legújabb biztonsági frissítését a Microsofttól. Ha az automatikus frissítések be vannak kapcsolva, a frissítéseket a rendszer automatikusan kézbesíti Önnek. Azonban továbbra is ellenőriznie kell, hogy telepítve vannak-e. Útmutatásért lásd: Windows Update: GYIK

  3. Telepítse az eszköz gyártójától származó elérhető belsővezérlőprogram- (mikrokód-) frissítéseket. Minden ügyfélnek ellenőriznie kell az eszköz gyártóját az eszközspecifikus hardverfrissítés letöltéséhez és telepítéséhez. Az eszközgyártó webhelyeinek listáját a "További források" című szakaszban találja.

    Megjegyzés: Az elérhető védelmek igénybe vételéhez az ügyfeleknek telepíteniük kell a Windows operációs rendszerre vonatkozó legújabb biztonsági frissítéseket a Microsofttól. Először a víruskereső szoftver frissítéseit kell telepíteni. és ezután kell elvégezni az operációs rendszer és a belső vezérlőprogram frissítését. Javasoljuk, hogy eszközei naprakész állapotának megőrzése érdekében telepítse a Windows havonta megjelenő biztonsági frissítéseit. 

Az érintett lapkák közé tartoznak az Intel, az AMD és az ARM által gyártottak. Ez azt jelenti, hogy a Windows operációs rendszert futtató összes eszköz potenciálisan sebezhető. Ide tartoznak az asztali számítógépek, a laptopok, a felhőkiszolgálók és az okostelefonok. A más operációs rendszereket , például Androidot, Chrome-ot, iOS-t és macOS-t futtató eszközökre is hatással van. Azt javasoljuk azoknak az ügyfeleknek, akik ezeket az operációs rendszereket futtatják, kérjenek útmutatást ezektől a szállítóktól.

A közzététel időpontjában nem kaptunk semmilyen információt arról, hogy ezeket a biztonsági réseket az ügyfelek támadására használták.

2018 januárjától a Microsoft frissítéseket adott ki a Windows operációs rendszerekhez, valamint az Internet Explorer és az Edge böngészőkhöz, amelyek segítenek a biztonsági rések elhárításában és az ügyfelek védelmében. A felhőszolgáltatások védelme érdekében frissítéseket is kiadtunk.  Továbbra is szorosan együttműködünk az iparági partnerekkel, köztük a chipkészítőkkel, a hardvergyártókkal és az alkalmazásgyártókkal, hogy megvédjük az ügyfeleket az ilyen típusú biztonsági résekkel szemben. 

Javasoljuk, hogy mindig telepítse a havi frissítéseket, hogy az eszközei naprakészek és biztonságosak legyenek. 

Frissíteni fogjuk ezt a dokumentációt, amikor új kockázatcsökkentések válnak elérhetővé, és javasoljuk, hogy rendszeresen látogasson vissza ide. 

A Windows operációs rendszer 2019. júliusi frissítései

2019. augusztus 6-án az Intel közzétette a CVE-2019-1125 biztonsági rés részleteit | A Windows Kernel információfelfedés biztonsági rése. A biztonsági rés biztonsági frissítései a 2019. július 9-én kiadott havi frissítés részeként jelentek meg.

A Microsoft 2019. július 9-én kiadott egy biztonsági frissítést a Windows operációs rendszerhez a probléma megoldásához. A kockázatcsökkentés nyilvános dokumentálását 2019. augusztus 6-án, kedden, az iparág koordinált közzétételéig tartottuk.

Azok az ügyfelek, akik Windows Update engedélyezve vannak, és alkalmazták a 2019. július 9-én kiadott biztonsági frissítéseket, automatikusan védettek lesznek. Vegye figyelembe, hogy ez a biztonsági rés nem igényel mikrokód-frissítést az eszköz gyártójától (OEM).

A Windows operációs rendszer 2019. májusi frissítései

2019. május 14-én az Intel közzétette a mikroarchitekturális adatmintavétel néven ismert spekulatív végrehajtásoldali biztonsági rések új alosztályára vonatkozó információkat, amelyekhez a következő CVE-k lettek hozzárendelve:

A problémával kapcsolatos további információkért tekintse meg a következő biztonsági tanácsadási és használati forgatókönyv-alapú útmutatót a Windows-útmutató ügyfeleknek és kiszolgálóknak című cikkében a fenyegetés mérsékléséhez szükséges műveletek meghatározásához:

A Microsoft a Windows 64 bites (x64) verzióihoz (CVE-2018-11091,CVE-2018-12126, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) kiadott spekulatív végrehajtási oldalcsatorna-biztonsági rések új alosztálya elleni védelmet adott ki.

Használja a beállításjegyzék beállításait a Windows-ügyfél (KB4073119) és a Windows Server (KB4457951) című cikkben leírtak szerint. Ezek a beállításjegyzék-beállítások alapértelmezés szerint engedélyezve vannak a Windows-ügyfél operációsrendszer-kiadásaiban és a Windows Server operációsrendszer-kiadásokban.

Javasoljuk, hogy a mikrokód-frissítések telepítése előtt először telepítse Windows Update összes legújabb frissítését.

A problémával kapcsolatos további információkért és az ajánlott műveletekért tekintse meg a következő biztonsági tanácsadást: 

Az Intel kiadott egy mikrokódfrissítést a legújabb PROCESSZORplatformokhoz a CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 enyhítése érdekében. A 2019. május 14-i Windows TUDÁSBÁZIS-4093836 a Windows operációs rendszer verziója szerinti tudásbáziscikkeket sorolja fel.  A cikk a processzor által elérhető Intel mikrokód-frissítésekre mutató hivatkozásokat is tartalmaz. Ezek a frissítések a Microsoft Katalógusban érhetők el.

Megjegyzés: Javasoljuk, hogy a mikrokód-frissítések telepítése előtt telepítse az Windows Update összes legújabb frissítését.

Örömmel jelentjük be, hogy a Retpoline alapértelmezés szerint engedélyezve van Windows 10, 1809-es verzió eszközökön (ügyfél és kiszolgáló esetén), ha a Spectre Variant 2 (CVE-2017-5715) engedélyezve van. Ha engedélyezi a Retpoline-t a Windows 10 legújabb verzióján, a 2019. május 14-i frissítéssel (KB 4494441) megnöveljük a teljesítményt, különösen a régebbi processzorok esetében.

Az ügyfeleknek biztosítaniuk kell, hogy a Spectre Variant 2 biztonsági rés elleni korábbi operációsrendszer-védelem engedélyezve legyen a Windows-ügyfélről és a Windows Serverről szóló cikkekben ismertetett beállításjegyzék-beállításokkal. (Ezek a beállításjegyzék-beállítások alapértelmezés szerint engedélyezve vannak a Windows-ügyfél operációsrendszer-kiadásaiban, de alapértelmezés szerint le vannak tiltva a Windows Server operációs rendszer kiadásaiban). A "Retpoline"-ról további információt a Spectre 2. változatának enyhítése a Windows retpoline-jával című témakörben talál.

A Windows operációs rendszer 2018. novemberi frissítései

A Microsoft kiadott operációsrendszer-védelmet a spekulatív áruház megkerüléséhez (CVE-2018-3639) AZ AMD processzorok (CPU-k) számára.

A Microsoft további operációsrendszer-védelmet adott ki a 64 bites ARM-processzorokat használó ügyfelek számára. Kérje az eszközgyártótól a belső vezérlőprogram támogatását, mert a CVE-2018-3639,spekulatív tároló megkerülését enyhítő ARM64 operációsrendszer-védelem megköveteli az eszköz oem-jének legújabb belsővezérlőprogram-frissítését.

A Windows operációs rendszer 2018. szeptemberi frissítései

Szeptember 11-én 2018-ban a Microsoft kiadta a Windows Server 2008 SP2 Monthly Rollup 4458010 and Security Only 4457984 for Windows Server 2008 kiadását, amely védelmet nyújt az L1 Terminálhiba (L1TF) nevű új spekulatív végrehajtási oldalcsatorna biztonsági rés ellen, amely az Intel® Core® processzorokat és az Intel® Xeon® processzorokat (CVE-2018-3620 és CVE-2018-3646) érinti. 

Ez a kiadás az összes támogatott Windows-rendszerverzió további védelmét Windows Update keresztül teljesíti. További információkért és az érintett termékek listájáért lásd: ADV180018 | A Microsoft útmutatója az L1TF-változatok mérsékléséhez.

Megjegyzés: A Windows Server 2008 SP2 mostantól a szabványos Windows karbantartási kumulatív modellt követi. A változásokról további információt a Windows Server 2008 SP2 karbantartási módosításait ismertető blogban talál. A Windows Server 2008 rendszert futtató ügyfeleknek a 2018. augusztus 14-én kiadott 4341832 biztonsági frissítésen kívül 4458010 vagy 4457984 kell telepíteniük. Az ügyfeleknek arról is gondoskodniuk kell, hogy a korábbi operációsrendszer-védelem engedélyezve legyen a Spectre Variant 2 és a Meltdown biztonsági rései ellen a Windows-ügyfél és a Windows Server útmutató tudásbáziscikkeiben ismertetett beállításjegyzék-beállításokkal. Ezek a beállításjegyzék-beállítások alapértelmezés szerint engedélyezve vannak a Windows-ügyfél operációsrendszer-kiadásaiban, de alapértelmezés szerint le vannak tiltva a Windows Server operációs rendszer kiadásaiban.

A Microsoft további operációsrendszer-védelmet adott ki a 64 bites ARM-processzorokat használó ügyfelek számára. Kérje az eszköz oem-gyártójától a belső vezérlőprogram támogatását, mert a CVE-2017-5715 – Branch target injektálást (Spectre, Variant 2) enyhítő ARM64 operációsrendszer-védelem érvénybe lépéséhez az eszköz operációs rendszerének legújabb frissítése szükséges.

A Windows operációs rendszer 2018. augusztusi frissítései

2018. augusztus 14-én bejelentették az L1 terminálhibát (L1TF), és több CVE-t rendeltek hozzá. Ezek az új spekulatív végrehajtási oldalcsatorna-biztonsági rések felhasználhatók a memória tartalmának megbízható határokon keresztüli olvasására, és ha kihasználják, információfelfedéshez vezethetnek. Több vektor is létezik, amelyekkel a támadók a konfigurált környezettől függően aktiválhatják a biztonsági réseket. Az L1TF az Intel® Core® processzorokat és az Intel® Xeon® processzorokat érinti.

Az L1TF-ről és az érintett forgatókönyvek részletes áttekintéséről, beleértve a Microsoft L1TF mérséklésére vonatkozó megközelítését, tekintse meg az alábbi forrásanyagokat:

A Windows operációs rendszer 2018. júliusi frissítései

Örömmel jelentjük be, hogy a Microsoft befejezte a windowsos rendszer összes támogatott verziójának további védelmét az alábbi biztonsági rések Windows Update keresztül:

  • Spectre Variant 2 AMD processzorokhoz

  • Spekulatív áruházi megkerülés Intel processzorokhoz

2018. június 13-án bejelentették és hozzárendelték a CVE-2018-3665 nevű, oldalcsatornás spekulatív végrehajtást érintő további biztonsági rést, az úgynevezett Lazy FP State Restoret. Az FP-visszaállítás szakaszos visszaállításához nincs szükség konfigurációs (beállításjegyzékbeli) beállításokra.

A biztonsági résről, az érintett termékekről és az ajánlott műveletekről a következő biztonsági tanácsadásban talál további információt:

Június 12-én a Microsoft bejelentette, hogy a Windows támogatja a Spekulatív áruház megkerülése letiltását (SSBD) az Intel processzorokban. A frissítések működéséhez megfelelő belső vezérlőprogram (mikrokód) és beállításjegyzék-frissítések szükségesek. A frissítésekről és az SSBD bekapcsolásának lépéseiről a ADV180012 | Microsoft-útmutató spekulatív áruház megkerüléséhez.

A Windows operációs rendszer 2018. májusi frissítései

2018 januárjában a Microsoft információkat adott ki a hardveres biztonsági rések (spectre és Meltdown) újonnan felfedezett osztályáról, amelyek különböző mértékben befolyásolják az AMD-t, AZ ARM-et és az Intel processzorokat érintő spekulatív végrehajtási oldali csatornákat. 2018. május 21-én a Google Project Zero (GPZ), a Microsoft és az Intel két új biztonsági rést tárt fel, amelyek a Spekulatív áruház megkerülésével (SSB) és a Rogue System Registry Readnel kapcsolatos Spectre- és Meltdown-problémákhoz kapcsolódnak.

Mindkét közzététel ügyfélkockázata alacsony.

További információ ezekről a biztonsági résekről:

A következőkre vonatkozik: Windows 10, 1607-es verzió, Windows Server 2016, Windows Server 2016 (Server Core telepítés) és Windows Server 1709-es verzió (Server Core telepítés)

Támogatást nyújtottunk a közvetett ág-előrejelzési gát (IBPB) használatának szabályozásához egyes AMD processzorokon (CPU-kon) a CVE-2017-5715, Spectre Variant 2 csökkentéséhez, amikor a felhasználói környezetről kernelkörnyezetre vált. (További információ: AMD Architecture Guidelines around Indirect Branch Control and AMD Security Frissítések).

A Windows 10, 1607-es, Windows Server 2016-es, Windows Server 2016 (Server Core-telepítés) és a Windows Server 1709-es verzióját (Server Core telepítés) futtató ügyfeleknek telepíteniük kell a biztonsági frissítési 4103723 a CVE-2017-5715, Branch Target Injection AMD processzorok további kockázatcsökkentéséhez. Ez a frissítés Windows Update keresztül is elérhető.

Kövesse a Kb 4073119 for Windows Client (IT Pro) útmutatójában és a Windows Serverhez készült TUDÁSBÁZIS-4072698 című útmutatóban ismertetett utasításokat az IBPB egyes AMD-processzorokon (CPU-kon) belüli használatának engedélyezéséhez a Felhasználói környezetről kernelkörnyezetre váltáskor a Spectre Variant 2 mérsékléséhez.

A Microsoft elérhetővé teszi az Intel által ellenőrzött mikrokód-frissítéseket a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") körül. A legújabb Intel mikrokódfrissítések Windows Update keresztüli beszerzéséhez az ügyfeleknek telepíteniük kell az Intel mikrokódját az Windows 10 operációs rendszert futtató eszközökre a 2018. áprilisi Windows 10 frissítésre (1803-es verzió) való frissítés előtt.

A mikrokódfrissítés közvetlenül a katalógusból is elérhető, ha nem telepítettek mikrokódot az eszközre az operációs rendszer frissítése előtt. Az Intel mikrokód a Windows Update, a WSUS vagy a Microsoft Update Catalog segítségével érhető el. További információkért és a letöltési utasításokért lásd: KB 4100347.

Az Intel további mikrokódfrissítéseket kínál a Windows operációs rendszerhez, amint azok elérhetővé válnak a Microsoft számára.

A következőkre vonatkozik: Windows 10, 1709-es verzió

Támogatást nyújtottunk a közvetett ág-előrejelzési gát (IBPB) használatának szabályozásához egyes AMD processzorokon (CPU-kon) a CVE-2017-5715, Spectre Variant 2 csökkentéséhez, amikor a felhasználói környezetről kernelkörnyezetre vált. (További információ: AMD Architecture Guidelines around Indirect Branch Control and AMD Security Frissítések).A Kb 4073119 for Windows Client (IT Pro) útmutatójában ismertetett útmutatást követve engedélyezze az IBPB használatát egyes AMD processzorokon (CPU-kon) a Spectre Variant 2 csökkentéséhez, amikor a felhasználói környezetről a kernelkörnyezetre vált.

A Microsoft elérhetővé teszi az Intel által ellenőrzött mikrokód-frissítéseket a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") körül. KB4093836 a Tudásbázis adott cikkeit sorolja fel Windows-verzió szerint. Minden egyes tudásbázis tartalmazza a legújabb elérhető Intel mikrokód-frissítéseket PROCESSZOR szerint.

Az Intel további mikrokódfrissítéseket kínál a Windows operációs rendszerhez, amint azok elérhetővé válnak a Microsoft számára. 

A Windows operációs rendszer 2018. márciusi és újabb frissítései

Március 23. TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown on Windows

Március 14. Security Tech Center: Spekulatív végrehajtási oldal csatorna bounty program feltételei

2018. március 13., blog: 2018. márciusi Windows biztonság Update – Az ügyfelek védelmére tett erőfeszítéseink kibővítése

Március 1., blog: Frissítés a Windows-eszközök Spectre- és Meltdown-biztonsági frissítéseiről

2018 márciusában a Microsoft kiadott biztonsági frissítéseket, hogy elhárítsa a következő x86-alapú Windows operációs rendszereket futtató eszközök kockázatcsökkentését. Az ügyfeleknek telepíteniük kell a Windows operációs rendszer legújabb biztonsági frissítéseit, hogy kihasználhassák a rendelkezésre álló védelmi lehetőségeket. Dolgozunk azon, hogy védelmet nyújtsunk más támogatott Windows-verzióknak, de jelenleg nincs kiadási ütemezése. A frissítésekért látogasson vissza ide. További információkért tekintse meg a kapcsolódó Tudásbázis-cikket a technikai részletekért és a "GYIK" szakaszt.

Megjelent a termékfrissítés

Állapot

Kiadási dátum

Kiadási csatorna

KB-szám

Windows 8.1 & Windows Server 2012 R2 – Csak biztonsági frissítés

Kiadva

Március 13.

WSUS, Katalógus,

KB4088879

Windows 7 SP1 & Windows Server 2008 R2 SP1 – Csak biztonsági frissítés

Kiadva

Március 13.

WSUS, katalógus

KB4088878

Windows Server 2012 – Csak biztonsági frissítés Windows 8 Embedded Standard Edition – Csak biztonsági frissítés

Kiadva

Március 13.

WSUS, katalógus

KB4088877

Windows 8.1 & Windows Server 2012 R2 – Havi kumulatív frissítés

Kiadva

Március 13.

WU, WSUS, katalógus

KB4088876

Windows 7 SP1 & Windows Server 2008 R2 SP1 – Havi kumulatív frissítés

Kiadva

Március 13.

WU, WSUS, katalógus

KB4088875

Windows Server 2012 – Havi kumulatív frissítés Windows 8 Embedded Standard Edition – Havi kumulatív frissítés

Kiadva

Március 13.

WU, WSUS, katalógus

KB4088877

Windows Server 2008 SP2

Kiadva

Március 13.

WU, WSUS, katalógus

KB4090450

2018 márciusában a Microsoft kiadott biztonsági frissítéseket, hogy elhárítsa az alábbi x64-alapú Windows operációs rendszereket futtató eszközökre vonatkozó kockázatcsökkentést. Az ügyfeleknek telepíteniük kell a Windows operációs rendszer legújabb biztonsági frissítéseit, hogy kihasználhassák a rendelkezésre álló védelmi lehetőségeket. Dolgozunk azon, hogy védelmet nyújtsunk más támogatott Windows-verzióknak, de jelenleg nincs kiadási ütemezése. A frissítésekért látogasson vissza ide. További információért tekintse meg a kapcsolódó tudásbázis cikket a technikai részletekért és a "GYIK" szakaszt.

Megjelent a termékfrissítés

Állapot

Kiadási dátum

Kiadási csatorna

KB-szám

Windows Server 2012 – Csak biztonsági frissítés Windows 8 Embedded Standard Edition – Csak biztonsági frissítés

Kiadva

Március 13.

WSUS, katalógus

KB4088877

Windows Server 2012 – Havi kumulatív frissítés Windows 8 Embedded Standard Edition – Havi kumulatív frissítés

Kiadva

Március 13.

WU, WSUS, katalógus

KB4088877

Windows Server 2008 SP2

Kiadva

Március 13.

WU, WSUS, katalógus

KB4090450

Ez a frissítés a Windows 64 bites (x64) verziójában a Windows kernelének jogosultságszint-emelési biztonsági rését oldja meg. Ez a biztonsági rés a CVE-2018-1038-ban van dokumentálva. A felhasználóknak ezt a frissítést kell alkalmazniuk, hogy teljes mértékben védve legyenek a biztonsági rés ellen, ha számítógépeiket 2018 januárjában vagy azt követően frissítették az alábbi Tudásbázis-cikkben felsorolt frissítések alkalmazásával:

Windows kernelfrissítés a CVE-2018-1038-hoz

Ez a biztonsági frissítés számos jelentett biztonsági rést old fel az Internet Explorerben. További információ ezekről a biztonsági résekről: A Microsoft gyakori biztonsági rései és kitettségei

Megjelent a termékfrissítés

Állapot

Kiadási dátum

Kiadási csatorna

KB-szám

Internet Explorer 10 – Összegző frissítés Windows 8 Embedded Standard Editionhez

Kiadva

Március 13.

WU, WSUS, katalógus

KB4089187

A Windows operációs rendszer 2018. februári frissítései

Blog: A Windows Analytics mostantól segít felmérni a Spectre és a Meltdown védelmét

Az alábbi biztonsági frissítések további védelmet nyújtanak a 32 bites (x86) Windows operációs rendszert futtató eszközök számára. A Microsoft azt javasolja az ügyfeleknek, hogy amint elérhetők, telepítsenek egy frissítést. Továbbra is dolgozunk azon, hogy védelmet nyújtsunk más támogatott Windows-verzióknak, de jelenleg nincs kiadási ütemtervünk. A frissítésekért látogasson vissza ide. 

Megjegyzés Windows 10 havi biztonsági frissítések havonta összegzőek, és automatikusan letöltik és telepítik őket Windows Update. Ha korábban telepített frissítéseket, csak az új részek lesznek letöltve és telepítve az eszközre. További információkért tekintse meg a kapcsolódó Tudásbázis-cikket a technikai részletekért és a "GYIK" szakaszt.

Megjelent a termékfrissítés

Állapot

Kiadási dátum

Kiadási csatorna

KB-szám

Windows 10 – 1709-es verzió / Windows Server 2016 (1709) / IoT Core – minőségi frissítés

Kiadva

január 31.

WU, katalógus

KB4058258

Windows Server 2016 (1709) – Server-tároló

Kiadva

Február 13.

Docker Hub

KB4074588

Windows 10 – 1703-as verzió / IoT Core – minőségi frissítés

Kiadva

Február 13.

WU, WSUS, katalógus

KB4074592

Windows 10 – 1607-es verzió / Windows Server 2016 / IoT Core – minőségi frissítés

Kiadva

Február 13.

WU, WSUS, katalógus

KB4074590

Windows 10 HoloLens – operációs rendszer és belső vezérlőprogram Frissítések

Kiadva

Február 13.

WU, katalógus

KB4074590

Windows Server 2016 (1607) – tárolólemezképek

Kiadva

Február 13.

Docker Hub

KB4074590

Windows 10 – 1511-es verzió / IoT Core – minőségi frissítés

Kiadva

Február 13.

WU, WSUS, katalógus

KB4074591

Windows 10 – RTM verzió – minőségi frissítés

Kiadva

Február 13.

WU, WSUS, katalógus

KB4074596

A Windows operációs rendszer 2018. januári frissítései

Blog: A Spectre és a Meltdown-kockázatcsökkentések teljesítményre gyakorolt hatásának megértése Windows-rendszereken

2018 januárjától a Microsoft kiadott biztonsági frissítéseket, hogy elhárítsa az alábbi x64-alapú Windows operációs rendszereket futtató eszközökre vonatkozó kockázatcsökkentéseket. Az ügyfeleknek telepíteniük kell a Windows operációs rendszer legújabb biztonsági frissítéseit, hogy kihasználhassák a rendelkezésre álló védelmi lehetőségeket. Dolgozunk azon, hogy védelmet nyújtsunk más támogatott Windows-verzióknak, de jelenleg nincs kiadási ütemezése. A frissítésekért látogasson vissza ide. További információkért tekintse meg a kapcsolódó Tudásbázis-cikket a technikai részletekért és a "GYIK" szakaszt.

Megjelent a termékfrissítés

Állapot

Kiadási dátum

Kiadási csatorna

KB-szám

Windows 10 – 1709-es verzió / Windows Server 2016 (1709) / IoT Core – minőségi frissítés

Kiadva

Január 3.

WU, WSUS, katalógus, Azure Image Gallery

KB4056892

Windows Server 2016 (1709) – Server-tároló

Kiadva

január 5.

Docker Hub

KB4056892

Windows 10 – 1703-as verzió / IoT Core – minőségi frissítés

Kiadva

Január 3.

WU, WSUS, katalógus

KB4056891

Windows 10 – 1607-es verzió / Windows Server 2016 / IoT Core – minőségi frissítés

Kiadva

Január 3.

WU, WSUS, katalógus

KB4056890

Windows Server 2016 (1607) – tárolólemezképek

Kiadva

Január 4.

Docker Hub

KB4056890

Windows 10 – 1511-es verzió / IoT Core – minőségi frissítés

Kiadva

Január 3.

WU, WSUS, katalógus

KB4056888

Windows 10 – RTM verzió – minőségi frissítés

Kiadva

Január 3.

WU, WSUS, katalógus

KB4056893

Windows 10 Mobile (operációs rendszer buildje: 15254.192) – ARM

Kiadva

január 5.

WU, katalógus

KB4073117

Windows 10 Mobile (operációs rendszer buildje: 15063.850)

Kiadva

január 5.

WU, katalógus

KB4056891

Windows 10 Mobile (operációs rendszer buildje: 14393.2007)

Kiadva

január 5.

WU, katalógus

KB4056890

Windows 10 HoloLens

Kiadva

január 5.

WU, katalógus

KB4056890

Windows 8.1 / Windows Server 2012 R2 – csak biztonsági frissítés

Kiadva

Január 3.

WSUS, katalógus

KB4056898

Windows Embedded 8.1 Industry Enterprise

Kiadva

Január 3.

WSUS, katalógus

KB4056898

Windows Embedded 8.1 Industry Pro

Kiadva

Január 3.

WSUS, katalógus

KB4056898

Windows Embedded 8.1 Pro

Kiadva

Január 3.

WSUS, katalógus

KB4056898

Windows 8.1 / Windows Server 2012 R2 – havi kumulatív frissítés

Kiadva

január 8.

WU, WSUS, katalógus

KB4056895

Windows Embedded 8.1 Industry Enterprise

Kiadva

január 8.

WU, WSUS, katalógus

KB4056895

Windows Embedded 8.1 Industry Pro

Kiadva

január 8.

WU, WSUS, katalógus

KB4056895

Windows Embedded 8.1 Pro

Kiadva

január 8.

WU, WSUS, katalógus

KB4056895

Windows Server 2012 – csak biztonsági frissítés

Kiadva

WSUS, katalógus

Windows Server 2008 SP2

Kiadva

WU, WSUS, katalógus

Windows Server 2012 – havi kumulatív frissítés

Kiadva

WU, WSUS, katalógus

Windows Embedded 8 Standard

Kiadva

WU, WSUS, katalógus

Windows 7 SP1 / Windows Server 2008 R2 SP1 – csak biztonsági frissítés

Kiadva

Január 3.

WSUS, katalógus

KB4056897

Windows Embedded Standard 7

Kiadva

Január 3.

WSUS, katalógus

KB4056897

Windows Embedded POSReady 7

Kiadva

Január 3.

WSUS, katalógus

KB4056897

Windows Thin PC

Kiadva

Január 3.

WSUS, katalógus

KB4056897

Windows 7 SP1 / Windows Server 2008 R2 SP1 – havi kumulatív frissítés

Kiadva

Január 4.

WU, WSUS, katalógus

KB4056894

Windows Embedded Standard 7

Kiadva

Január 4.

WU, WSUS, katalógus

KB4056894

Windows Embedded POSReady 7

Kiadva

Január 4.

WU, WSUS, katalógus

KB4056894

Windows Thin PC

Kiadva

Január 4.

WU, WSUS, katalógus

KB4056894

Internet Explorer 11 – kumulatív frissítés a Windows 7 SP1 és a Windows 8.1 rendszerhez

Kiadva

Január 3.

WU, WSUS, katalógus

KB4056568

2024. április 9-én megjelent a CVE-2022-0001 | Intel Branch History Injection ( Ágelőzmény-injektálás ), amely az elágazási előzmények injektálását (BHI) ismerteti, amely a módon belüli BTI egy speciális formája. Ez a biztonsági rés akkor fordul elő, ha egy támadó manipulálhatja az ágelőzményeket, mielőtt a felhasználóról a felügyeleti módra vált (vagy a VMX nem gyökérszintű/vendég módból a gyökér módba). Ez a módosítás azt eredményezheti, hogy egy közvetett ág-előrejelző kiválaszt egy adott prediktorbejegyzést egy közvetett ághoz, és az előrejelzett célnál egy közzétételi minialkalmazás átmenetien végre lesz hajtva. Ez azért lehetséges, mert a vonatkozó ágelőzmények tartalmazhatnak korábbi biztonsági környezetekben, és különösen más előrejelző módokban vett ágakat.

A CVE-2022-0001-ben leírt biztonsági rések elhárításához kövesse a Windows-ügyfélre (IT Pro) vonatkozó KB4073119 és a Windows Serverhez készült KB4072698 című útmutatóban ismertetett utasításokat | Intel branch history injektálás.

Források és műszaki útmutató

Szerepkörétől függően az alábbi támogatási cikkek segíthetnek azonosítani és enyhíteni a Spectre és a Meltdown biztonsági rései által érintett ügyfél- és kiszolgálókörnyezeteket.

Microsoft-tanácsadók:

Intel: Biztonsági tanácsadás

ARM: Biztonsági tanácsadás

AMD: Biztonsági tanácsadás

NVIDIA: Biztonsági tanácsadás

Fogyasztói útmutató: Az eszköz védelme a chipekkel kapcsolatos biztonsági résekkel szemben

Víruskereső útmutató: A 2018. január 3-án megjelent Windows biztonsági frissítések és a víruskereső szoftver

Útmutató az AMD Windows operációs rendszer biztonsági frissítési blokkja: KB4073707: Windows operációs rendszer biztonsági frissítési blokkja egyes AMD-alapú eszközökhöz

Frissítés a Kockázatcsökkentés letiltása a Spectre, 2. változat: KB4078130: Az Intel újraindítási problémákat észlelt néhány régebbi processzor mikrokódjával kapcsolatban 

Surface-útmutató: Surface-útmutató a spekulatív végrehajtás oldalcsatornás biztonsági rései elleni védelemhez

Spekulatív végrehajtási oldali csatornamegoldások állapotának ellenőrzése: Get-SpeculationControlSettings PowerShell-szkript kimenetének ismertetése

It Pro-útmutató: Windows ügyfél-útmutató informatikai szakembereknek a spekulatív végrehajtási oldalcsatorna biztonsági rései elleni védelemhez

Kiszolgálói útmutató: Windows Server-útmutató a spekulatív végrehajtás oldalcsatornás biztonsági rései elleni védelemhez

Kiszolgálói útmutató az L1 terminálhibához: A Windows Server útmutatója az L1 terminálhiba elleni védelemhez

Fejlesztői útmutató: Fejlesztői útmutató a spekulatív áruház megkerüléséhez

Server Hyper-V-re vonatkozó útmutatás

Azure KB: KB4073235: Microsoft Cloud Protections a spekulatív végrehajtás Side-Channel biztonsági rések ellen

Azure Stack-útmutató: KB4073418: Azure Stack-útmutató a spekulatív végrehajtás oldalcsatornás biztonsági rései elleni védelemhez

Azure-megbízhatóság: Azure megbízhatósági portál

SQL Server útmutató: KB4073225: SQL Server Útmutató a spekulatív végrehajtás oldalcsatornás biztonsági rései elleni védelemhez

A Spectre és a Meltdown biztonsági rései elleni védelem érdekében az OEM- és a kiszolgáló-eszközgyártókra mutató hivatkozások

A biztonsági rések elhárításához frissítenie kell a hardvert és a szoftvert is. Az alábbi hivatkozások segítségével kérdezze meg az eszköz gyártóját a belső vezérlőprogram (mikrokód) megfelelő frissítéseiről.

Az alábbi hivatkozások segítségével kérdezze meg az eszköz gyártóját a belső vezérlőprogram (mikrokód) frissítéseiről. Az összes elérhető védelemhez telepítenie kell az operációs rendszer és a belső vezérlőprogram (mikrokód) frissítéseit is.

OEM eszközgyártók

Hivatkozás a mikrokód elérhetőségének ellenőrzésére

Acer

A Meltdown és a Spectre biztonsági rései

Asus

ASUS Update a spekulatív végrehajtás és a közvetett ág előrejelzése oldalcsatorna elemzési módszer

Dell

Meltdown és Spectre biztonsági rések

Epson

CPU-biztonsági rések (oldalsó csatornatámadások)

Fujitsu

A processzorhardverek sebezhetőek az oldalcsatornás támadásokkal szemben (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HP

TÁMOGATÁSI KOMMUNIKÁCIÓ – BIZTONSÁGI KÖZLEMÉNY

Lenovo

Kiemelt memória olvasása mellékcsatornával

LG

Terméktámogatási & lekérése

NEC

A processzor biztonsági résére (leolvadás, spektrum) adott válaszként termékeinkben

Panasonic

Biztonsági információk a biztonsági résről spekulatív végrehajtás és közvetett ág-előrejelzési oldalcsatorna-elemzési módszer alapján

Samsung

Intel processzorok szoftverfrissítésének bejelentése

Surface

A Surface-re vonatkozó útmutatás a spekulatív végrehajtási, oldalcsatornát érintő biztonsági rések elleni védelemhez

Toshiba

Intel, AMD & Microsoft spekulatív végrehajtása és közvetett ág-előrejelzés oldalcsatorna-elemzési módszer biztonsági rései (2017)

Vaio

A biztonsági rések támogatása az oldalcsatorna-elemzéshez

Kiszolgáló OEM-gyártók

Hivatkozás a mikrokód elérhetőségének ellenőrzésére

Dell

Meltdown és Spectre biztonsági rések

Fujitsu

A processzorhardverek sebezhetőek az oldalcsatornás támadásokkal szemben (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HPE

Hewlett Packard Enterprise termékbiztonsági biztonsági résekkel kapcsolatos riasztások

Huawei

Biztonsági közlemény – Nyilatkozat az Intel CPU-architektúra biztonsági réseinek médiafelfedéséről

Lenovo

Kiemelt memória olvasása mellékcsatornával

Gyakori kérdések

A belső vezérlőprogram (mikrokód) frissítéseit az eszköz gyártójához kell ellenőriznie. Ha az eszközgyártó nem szerepel a táblázatban, forduljon közvetlenül az eredeti hardvergyártóhoz.

A Microsoft Surface-eszközökhöz készült Frissítések Windows Update keresztül érhetők el az ügyfelek számára. A Surface-eszköz belső vezérlőprogramjának (mikrokód) elérhető frissítéseinek listáját lásd: KB 4073065.

Ha az eszköz nem a Microsofttól származik, alkalmazza az eszköz gyártójától származó belső vezérlőprogram-frissítéseket. További információért forduljon az eszköz gyártójához.

A hardveres biztonsági rések szoftverfrissítéssel történő kezelése jelentős kihívásokat és kockázatcsökkentéseket jelent a régebbi operációs rendszerek számára, és jelentős architekturális változtatásokat igényelhet. Továbbra is együttműködünk az érintett chipgyártókkal, hogy megvizsgáljuk a kockázatcsökkentés legjobb módját. Ezt egy későbbi frissítésben is meg lehet adni. Az ezeket a régebbi operációs rendszereket futtató régebbi eszközök cseréje és a víruskereső szoftver frissítése a fennmaradó kockázatra is kihat.

Megjegyzések: 

  • Azok a termékek, amelyek jelenleg mind az általános, mind a kiterjesztett támogatáson kívül vannak, nem kapják meg ezeket a rendszerfrissítéseket. Javasoljuk, hogy az ügyfelek frissítsenek egy támogatott rendszerverzióra. 

  • A spekulatív végrehajtási oldalcsatorna-támadások kihasználják a processzor viselkedését és funkcióit. A processzorgyártóknak először meg kell határozniuk, hogy mely processzorok lehetnek veszélyben, majd értesíteniük kell a Microsoftot. Sok esetben a megfelelő operációsrendszer-frissítésekre is szükség lesz az ügyfelek átfogóbb védelmének biztosításához. Javasoljuk, hogy a biztonságtudatos Windows CE szállítók együttműködjenek a chipgyártóval a biztonsági rések és az alkalmazható kockázatcsökkentések megértéséhez.

  • Nem fogunk kiadni frissítést a következő platformokhoz:

    • A jelenleg nem támogatott Windows operációs rendszerekhez, illetve azokhoz, amelyek 2018-ban ki lesznek vezetve

    • Windows XP-alapú rendszerek, beleértve a WES 2009-et és a POSReady 2009-et

Bár a Windows XP-alapú rendszerek érintett termékek, a Microsoft nem ad ki frissítést, mert a szükséges átfogó architekturális módosítások veszélyeztetnék a rendszer stabilitását, és alkalmazáskompatibilitási problémákat okoznának. Javasoljuk, hogy a biztonságtudatos ügyfelek frissítsenek egy újabb, támogatott operációs rendszerre, hogy lépést tudjanak tartani a folyamatosan változó biztonsági fenyegetésekkel, és ki tudják használni az újabb operációs rendszerek által kínált robusztusabb védelmi eszközöket.

A HoloLenshez Windows 10 Frissítések a HoloLens ügyfelei Windows Update keresztül érhetik el.

A 2018. februári Windows biztonság Updatealkalmazása után a HoloLens-ügyfeleknek nem kell további lépéseket tenniük az eszköz belső vezérlőprogramjának frissítéséhez. Ezek a kockázatcsökkentések a HoloLenshez készült Windows 10 összes jövőbeli kiadásában is szerepelni fognak.

További információért forduljon az OEM-hez.

Ahhoz, hogy az eszköz teljes mértékben védett legyen, telepítenie kell az eszköz legújabb Windows operációsrendszer-biztonsági frissítéseit és az eszköz gyártójától származó belső vezérlőprogrammal (mikrokóddal) kapcsolatos frissítéseket. Ezek a frissítések az eszköz gyártójának webhelyén érhetők el. Először a víruskereső szoftver frissítéseit kell telepíteni. Az operációs rendszer és a vezérlőprogramok frissítései bármilyen sorrendben telepíthetők.

A biztonsági rés elhárításához frissítenie kell a hardvert és a szoftvert is. Az átfogóbb védelem érdekében telepítenie kell a belső vezérlőprogrammal (mikrokóddal) kapcsolatos megfelelő frissítéseket az eszköz gyártójától. Javasoljuk, hogy eszközei naprakész állapotának megőrzése érdekében telepítse a Windows havonta megjelenő biztonsági frissítéseit.

Minden Windows 10 funkciófrissítésben a legújabb biztonsági technológiát építjük be mélyen az operációs rendszerbe, olyan részletes védelmi funkciókat biztosítva, amelyek megakadályozzák, hogy a kártevők teljes osztályai hatással vannak az eszközére. Funkciófrissítést évente két alkalommal tervezünk kiadni. Minden havi minőségi frissítésben egy újabb biztonsági réteget adunk hozzá, amely nyomon követi a kártevőkben megjelenő és változó trendeket, hogy a naprakész rendszereket biztonságosabbá tegyük a változó és változó fenyegetésekkel szemben.

A Microsoft a Windows 10, Windows 8.1 és Windows 7 SP1 rendszerű eszközök támogatott verzióinak AV-kompatibilitási ellenőrzését Windows Update keresztül törölte. Ajánlások:

  • A Microsoft és a hardvergyártó legújabb biztonsági frissítéseivel győződjön meg arról, hogy eszközei naprakészek. Az eszköz naprakészen tartásáról további információt a Windows Update: GYAKORI KÉRDÉSEK című témakörben talál.

  • Folytassa az ésszerű óvatosság gyakorlását, ha ismeretlen eredetű webhelyeket látogat meg, és nem marad meg olyan webhelyeken, amelyekben nem bízik meg. A Microsoft azt javasolja, hogy minden ügyfél egy támogatott víruskereső program futtatásával védje eszközeit. A felhasználók ezenkívül a beépített vírusvédelmet is alkalmazhatják: Windows 10-es készülékek esetében ez a Windows Defender, míg Windows 7-es készülékek esetében a Microsoft Security Essentials. Ezek a megoldások kompatibilisek olyan esetekben, amikor az ügyfelek nem tudnak víruskereső szoftvert telepíteni vagy futtatni.

A januárban vagy februárban kiadott Windows biztonsági frissítéseket nem ajánlottuk fel minden ügyfélnek, hogy elkerülje az ügyféleszközökre gyakorolt kedvezőtlen hatásokat. További információt a Microsoft Tudásbázis 4072699 című cikkben talál. 

Az Intel olyan problémákat jelentett be, amelyek hatással vannak a nemrég kiadott mikrokódra, amely a Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection") kezelésére szolgál. Pontosabban, az Intel megállapította, hogy ez a mikrokód "a vártnál magasabb újraindításokat és más kiszámíthatatlan rendszerviselkedést" okozhat, és az ilyen helyzetek "adatvesztést vagy sérülést" okozhatnak.  Saját tapasztalatunk az, hogy a rendszer instabilitása bizonyos körülmények között adatvesztést vagy sérülést okozhat. Január 22-én az Intel azt javasolta, hogy az ügyfelek ne helyezték üzembe az aktuális mikrokódverziót az érintett processzorokon, miközben további tesztelést végeznek a frissített megoldáson. Tisztában vagyunk azzal, hogy az Intel továbbra is vizsgálja a jelenlegi mikrokódverzió lehetséges hatásait, és arra biztatjuk az ügyfeleket, hogy folyamatosan felülvizsgálják az útmutatójukat, hogy tájékoztassák a döntéseiket.

Bár az Intel új mikrokódokat tesztel, frissít és helyez üzembe, egy sávon kívüli ( KB 4078130) frissítést teszünk elérhetővé, amely kifejezetten letiltja a CVE-2017-5715 – "Branch Target Injection" elleni kockázatcsökkentést. A tesztelés során ezt a frissítést találtuk, hogy megakadályozzuk a leírt viselkedést. Az eszközök teljes listáját az Intel mikrokód-változatának útmutatójában találja. Ez a frissítés a Windows 7 SP1-re, a Windows 8.1-re és a Windows 10 valamennyi verziójára érvényes, ügyfélgépek és kiszolgálók esetén egyaránt. Ha érintett eszközt futtat, ezt a frissítést a Microsoft Update Katalógus webhelyéről töltheti le. Ennek a hasznos adatnak az alkalmazása kifejezetten csak a CVE-2017-5715 – "Branch Target Injection" kockázatcsökkentést tiltja le. 

Január 25-étől nincsenek olyan ismert jelentések, amelyek azt jelezték volna, hogy ezt a Spectre Variant 2-t (CVE-2017-5715) használták az ügyfelek megtámadására. Azt javasoljuk, hogy ha szükséges, a Windows-ügyfelek engedélyezzenek újra a CVE-2017-5715-re vonatkozó kockázatcsökkentést, ha az Intel arról számol be, hogy ez a kiszámíthatatlan rendszerviselkedés megoldódott az eszközén.

Nem. A Csak biztonsági frissítések nem halmozottak. A futtatott operációs rendszer verziójától függően telepítenie kell az összes kiadott csak biztonsági frissítést, hogy védve legyen ezekkel a biztonsági résekkel szemben. Ha például 32 bites Windows 7 rendszert futtat egy érintett Intel CPU-n, akkor 2018 januárjától minden csak biztonsági frissítést telepítenie kell. Javasoljuk, hogy a csak biztonsági frissítéseket a kiadás sorrendjében telepítse.  Megjegyzés A gyik egy korábbi verziója helytelenül állította, hogy a csak februári biztonsági frissítés tartalmazza a januárban kiadott biztonsági javításokat. Valójában nem.

Nem. A biztonsági frissítési 4078130 a mikrokód telepítése után a rendszer előre nem látható viselkedésének, teljesítményproblémáinak és váratlan újraindulásának megelőzésére szolgáló speciális javítás volt. A februári biztonsági frissítések windowsos ügyféloldali operációs rendszereken való alkalmazása mindhárom kockázatcsökkentést lehetővé teszi. Windows server operációs rendszereken a megfelelő tesztelés elvégzése után is engedélyeznie kell a kockázatcsökkentéseket. További információt a Microsoft Tudásbázis 4072698 című cikkben talál.

Az Intel nemrég bejelentette, hogy befejezte az ellenőrzést, és megkezdte a mikrokód kiadását az újabb CPU-platformokhoz. A Microsoft elérhetővé teszi az Intel által ellenőrzött mikrokód-frissítéseket a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") körül. A TUDÁSBÁZIS-4093836 a Tudásbázis adott cikkeit sorolja fel Windows-verzió szerint. Mindegyik specifikus tudásbáziscikk tartalmazza az Intel elérhető mikrokódfrissítéseit CPU szerint.

A Microsoft elérhetővé teszi az Intel által ellenőrzött mikrokód-frissítéseket a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") körül. A legújabb Intel mikrokódfrissítések Windows Update keresztüli beszerzéséhez az ügyfeleknek telepíteniük kell az Intel mikrokódját az Windows 10 operációs rendszert futtató eszközökre a 2018. áprilisi Windows 10 frissítésre (1803-es verzió) való frissítés előtt.

A mikrokód-frissítés közvetlenül a frissítési katalógusból is elérhető, ha a rendszer frissítése előtt nem volt telepítve az eszközön. Az Intel mikrokód a Windows Update, a WSUS vagy a Microsoft Update Catalog segítségével érhető el. További információkért és a letöltési utasításokért lásd: KB 4100347.

További információt a következő forrásanyagokban talál:

Részletekért tekintse meg a ADV180012 | "Javasolt műveletek" és "GYIK" című szakaszát . Microsoft-útmutató spekulatív áruház megkerüléséhez.

Az SSBD állapotának ellenőrzéséhez a Get-SpeculationControlSettings PowerShell-szkript frissült, hogy észlelje az érintett processzorokat, az SSBD operációs rendszer frissítéseinek állapotát és a processzor mikrokódjának állapotát, ha van ilyen. További információkért és a PowerShell-szkript beszerzéséhez lásd: KB4074629.

2018. június 13-án bejelentették és hozzárendelték a CVE-2018-3665 nevű, oldalcsatornás spekulatív végrehajtást érintő további biztonsági rést, az úgynevezett Lazy FP State Restoret. Az FP-visszaállítás szakaszos visszaállításához nincs szükség konfigurációs (beállításjegyzékbeli) beállításokra.

A biztonsági résről és az ajánlott műveletekről további információt a biztonsági tanácsadásban talál: ADV180016 | A Microsoft útmutatója a szakaszolt FP állapot visszaállításához

MegjegyzésAz FP-visszaállítás szakaszos visszaállításához nincs szükség konfigurációs (beállításjegyzékbeli) beállításokra.

A Bounds Check Bypass Store (BCBS) 2018. július 10-én került nyilvánosságra, és hozzárendelte a CVE-2018-3693-at. Úgy véljük, hogy a BCBS ugyanahhoz a biztonsági résosztályhoz tartozik, mint a Bounds Check Bypass (1. változat). Jelenleg nem tudunk a BCBS-ről a szoftverünkben, de továbbra is kutatjuk ezt a biztonságirés-osztályt, és az iparági partnerekkel együttműködve szükség szerint kiadjuk a kockázatcsökkentéseket. Továbbra is arra biztatjuk a kutatókat, hogy küldjenek el minden releváns megállapítást a Microsoft Spekulatív végrehajtási oldal csatorna bounty programba, beleértve a BCBS bármely kihasználható példányát is. A szoftverfejlesztőknek át kell tekinteniük a BCBS-hez frissített fejlesztői útmutatót a https://aka.ms/sescdevguide.

2018. augusztus 14-én bejelentették az L1 terminálhibát (L1TF), és több CVE-t rendeltek hozzá. Ezek az új spekulatív végrehajtási oldalcsatorna-biztonsági rések felhasználhatók a memória tartalmának megbízható határokon keresztüli olvasására, és ha kihasználják, információfelfedéshez vezethetnek. Több vektor is létezik, amelyekkel a támadók a konfigurált környezettől függően aktiválhatják a biztonsági réseket. Az L1TF az Intel® Core® processzorokat és az Intel® Xeon® processzorokat érinti.

A biztonsági résről és az érintett forgatókönyvek részletes áttekintéséről, beleértve a Microsoft L1TF mérséklésére vonatkozó megközelítését, tekintse meg az alábbi forrásanyagokat:

Microsoft Surface-ügyfelek: A Microsoft Surface- és Surface Book-termékeket használó ügyfeleknek követnie kell a Windows-ügyfélre vonatkozó biztonsági tanácsadásban ismertetett útmutatást: ADV180018 | A Microsoft útmutatója az L1TF-változatok mérsékléséhez. Az érintett Surface-termékekkel és a mikrokódfrissítések rendelkezésre állásával kapcsolatos további információkért lásd még a Microsoft Tudásbázis 4073065 cikket.

Microsoft Hololens-ügyfelek: Microsoft HoloLens az L1TF nem érinti, mert nem használ érintett Intel processzort.

A Hyper-Threading letiltásához szükséges lépések eltérnek az OEM-től az OEM-től, de általában a BIOS vagy a belső vezérlőprogram beállítási és konfigurációs eszközeinek részét képezik.

A 64 bites ARM-processzorokat használó ügyfeleknek ellenőrizniük kell az eszköz OEM-jének belső vezérlőprogram-támogatását, mert a CVE-2017-5715 – Branch target injektálást (Spectre, Variant 2) enyhítő ARM64 operációs rendszer védelméhez az eszköz oem-jeiről érkező legújabb belsővezérlőprogram-frissítés szükséges.

A biztonsági rés részleteiért tekintse meg a Microsoft biztonsági útmutatóját: CVE-2019-1125 | A Windows Kernel információfelfedés biztonsági rése.

Nem tudunk arról, hogy ez az információfelfedési biztonsági rés hatással lehet a felhőszolgáltatás infrastruktúrájára.

Amint tudomást szereztünk a problémáról, gyorsan dolgoztunk a megoldásán, és kiadtunk egy frissítést. Határozottan hiszünk a kutatókkal és az iparági partnerekkel kialakított szoros partnerségekben, hogy az ügyfelek biztonságosabbak legyenek, és augusztus 6., keddig nem tették közzé a részleteket, összhangban az összehangolt biztonságirés-közzétételi gyakorlatokkal.

Referenciák

A Microsoft harmadik féltől származó kapcsolattartási adatokat biztosít, hogy további információkat találjon erről a témakörről. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. A Microsoft nem garantálja a külső felek kapcsolattartási adatainak pontosságát.

További segítségre van szüksége?

További lehetőségeket szeretne?

Fedezze fel az előfizetés előnyeit, böngésszen az oktatóanyagok között, ismerje meg, hogyan teheti biztonságossá eszközét, és így tovább.

A közösségek segítségével kérdéseket tehet fel és válaszolhat meg, visszajelzést adhat, és részletes ismeretekkel rendelkező szakértőktől hallhat.