Dátum módosítása |
Leírás módosítása |
---|---|
2023. augusztus 9. |
|
2024. április 9. |
|
Összefoglalás
Ez a cikk információkat és frissítéseket tartalmaz a szilícium-alapú mikroarchitekturális és spekulatív végrehajtási oldalcsatornás biztonsági rések új osztályához, amelyek számos modern processzort és operációs rendszert érintenek. Emellett átfogó listát biztosít a Windows-ügyfél- és kiszolgáló-erőforrásokról, amelyek segítenek az eszközök védelmében otthon, a munkahelyen és a vállalaton belül. Ide tartozik az Intel, az AMD és az ARM. A szilíciumalapú problémákra vonatkozó biztonsági résekkel kapcsolatos részletek a következő biztonsági tanácsadásokban és CVE-kben találhatók:
-
ADV180002 – Útmutatás a spekulatív végrehajtás oldalcsatornás biztonsági réseinek csökkentéséhez
-
ADV180012 – Microsoft-útmutató spekulatív áruház megkerüléséhez
-
ADV180013 – Útmutató a Microsoft rogue rendszerregisztrációjának olvasásához
-
ADV180016 – A Microsoft útmutatója a lusta FP állapot visszaállításához
-
ADV180018 – A Microsoft útmutatója az L1TF-változatok mérsékléséhez
2018. január 3-án a Microsoft kiadott egy tanácsadási és biztonsági frissítéseket a hardveres biztonsági rések (Spectre és Meltdown) újonnan felfedezett osztályához kapcsolódóan, amelyek különböző mértékben befolyásolják az AMD, ARM és Intel processzorokat érintő spekulatív végrehajtási oldali csatornákat. A biztonsági rések ezen osztálya egy olyan közös chiparchitektúrán alapul, amelyet eredetileg a számítógépek felgyorsítására terveztek. Ezekről a biztonsági résekről a Google Project Zero webhelyen tudhat meg többet.
2018. május 21-én a Google Project Zero (GPZ), a Microsoft és az Intel két új biztonsági rést tárt fel, amelyek a Spectre és a Meltdown problémáihoz kapcsolódnak, és spekulatív store bypass (SSB) és Rogue System Registry Read néven ismertek. Mindkét közzététel ügyfélkockázata alacsony.
A biztonsági résekkel kapcsolatos további információkért tekintse meg a 2018. májusi Windows operációsrendszer-frissítések alatt felsorolt erőforrásokat, és tekintse meg a következő biztonsági tanácsokat:
-
ADV180012 | Microsoft-útmutató spekulatív áruház megkerüléséhez
-
ADV180013 | Microsoft-útmutató a rogue rendszerregisztráció olvasásához
2018. június 13-án bejelentették és hozzárendelték a CVE-2018-3665 nevű, oldalcsatornás spekulatív végrehajtást érintő további biztonsági rést, az úgynevezett Lazy FP State Restoret. A biztonsági résről és az ajánlott műveletekről a következő biztonsági tanácsadásban talál további információt:
2018. augusztus 14-én bejelentették az L1 Terminálhiba (L1TF) nevű új spekulatív végrehajtásioldali csatorna biztonsági rését, amely több CVE-vel rendelkezik. Az L1TF az Intel® Core® processzorokat és az Intel® Xeon® processzorokat érinti. További információ az L1TF-ről és az ajánlott műveletekről: Biztonsági tanácsadás:
Megjegyzés: Javasoljuk, hogy a mikrokód-frissítések telepítése előtt telepítse az Windows Update összes legújabb frissítését.
2019. május 14-én az Intel közzétette a mikroarchitekturális adatmintavétel néven ismert spekulatív végrehajtásoldali biztonsági rések új alosztályáról szóló információkat. A következő CVE-k lettek hozzárendelve:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Microarchitectural Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 – "Microarchitectural Load Port Data Sampling (MLPDS)"
Fontos: Ezek a problémák más rendszereket is érintenek, például Androidot, Chrome-ot, iOS-t és MacOS-t. Azt javasoljuk az ügyfeleknek, hogy kérjenek útmutatást a megfelelő szállítóktól.
A Microsoft frissítéseket adott ki a biztonsági rések mérséklése érdekében. Az összes elérhető védelem beszerzéséhez belső vezérlőprogramra (mikrokódra) és szoftverfrissítésekre van szükség. Ide tartozhatnak az eszköz oem-jeiből származó mikrokódok is. Bizonyos esetekben a frissítések telepítése hatással lesz a teljesítményre. A felhőszolgáltatásaink védelme érdekében is cselekedtünk.
Megjegyzés: Javasoljuk, hogy a mikrokód-frissítések telepítése előtt telepítse az Windows Update összes legújabb frissítését.
Ezekről a problémákról és az ajánlott műveletekről a következő biztonsági tanácsadásban talál további információt:
2019. augusztus 6-án az Intel kiadta a Windows kerneladatok felfedésével kapcsolatos biztonsági rés részleteit. Ez a biztonsági rés a Spectre Variant 1 spekulatív végrehajtási oldali csatorna biztonsági résének változata, és CVE-2019-1125 lett hozzárendelve.
A Microsoft 2019. július 9-én kiadott egy biztonsági frissítést a Windows operációs rendszerhez a probléma megoldásához. Azok az ügyfelek, akik Windows Update engedélyezve vannak, és alkalmazták a 2019. július 9-én kiadott biztonsági frissítéseket, automatikusan védettek lesznek. Vegye figyelembe, hogy ez a biztonsági rés nem igényel mikrokód-frissítést az eszköz gyártójától (OEM).
További információ erről a biztonsági résről és a vonatkozó frissítésekről: CVE-2019-1125 | A Windows kerneladatok felfedésével kapcsolatos biztonsági rés a Microsoft biztonsági frissítési útmutatójában.
2022. június 14-én az Intel közzétette a spekulatív végrehajtási memórialeképezési I/O (MMIO) oldalcsatorna biztonsági réseinek új alosztályára vonatkozó információkat, amelyek a tanácsadásban szerepelnek:
A Windows-eszközök védelmének lépései
Előfordulhat, hogy frissítenie kell a belső vezérlőprogramját (mikrokódját) és a szoftverét is a biztonsági rések elhárításához. Az ajánlott műveletekért tekintse meg a Microsoft biztonsági tanácsadóit. Ide tartoznak az eszközgyártóktól származó belső vezérlőprogrammal (mikrokóddal) kapcsolatos frissítések, és bizonyos esetekben a víruskereső szoftver frissítései is. Javasoljuk, hogy eszközei naprakész állapotának megőrzése érdekében telepítse a Windows havonta megjelenő biztonsági frissítéseit.
Az összes elérhető védelem fogadásához kövesse az alábbi lépéseket a szoftver és a hardver legújabb frissítéseinek beszerzéséhez.
Megjegyzés: Mielőtt hozzákezdene, győződjön meg arról, hogy a víruskereső (AV) szoftver naprakész és kompatibilis. A kompatibilitásra vonatkozó legfrissebb információkért keresse fel a víruskereső szoftver gyártójának webhelyét.
-
Az automatikus frissítések bekapcsolásával naprakészen tarthatja Windows-eszközét.
-
Ellenőrizze, hogy már telepítette-e a Windows operációs rendszer legújabb biztonsági frissítését a Microsofttól. Ha az automatikus frissítések be vannak kapcsolva, a frissítéseket a rendszer automatikusan kézbesíti Önnek. Azonban továbbra is ellenőriznie kell, hogy telepítve vannak-e. Útmutatásért lásd: Windows Update: GYIK
-
Telepítse az eszköz gyártójától származó elérhető belsővezérlőprogram- (mikrokód-) frissítéseket. Minden ügyfélnek ellenőriznie kell az eszköz gyártóját az eszközspecifikus hardverfrissítés letöltéséhez és telepítéséhez. Az eszközgyártó webhelyeinek listáját a "További források" című szakaszban találja.
Megjegyzés: Az elérhető védelmek igénybe vételéhez az ügyfeleknek telepíteniük kell a Windows operációs rendszerre vonatkozó legújabb biztonsági frissítéseket a Microsofttól. Először a víruskereső szoftver frissítéseit kell telepíteni. és ezután kell elvégezni az operációs rendszer és a belső vezérlőprogram frissítését. Javasoljuk, hogy eszközei naprakész állapotának megőrzése érdekében telepítse a Windows havonta megjelenő biztonsági frissítéseit.
Az érintett lapkák közé tartoznak az Intel, az AMD és az ARM által gyártottak. Ez azt jelenti, hogy a Windows operációs rendszert futtató összes eszköz potenciálisan sebezhető. Ide tartoznak az asztali számítógépek, a laptopok, a felhőkiszolgálók és az okostelefonok. A más operációs rendszereket , például Androidot, Chrome-ot, iOS-t és macOS-t futtató eszközökre is hatással van. Azt javasoljuk azoknak az ügyfeleknek, akik ezeket az operációs rendszereket futtatják, kérjenek útmutatást ezektől a szállítóktól.
A közzététel időpontjában nem kaptunk semmilyen információt arról, hogy ezeket a biztonsági réseket az ügyfelek támadására használták.
2018 januárjától a Microsoft frissítéseket adott ki a Windows operációs rendszerekhez, valamint az Internet Explorer és az Edge böngészőkhöz, amelyek segítenek a biztonsági rések elhárításában és az ügyfelek védelmében. A felhőszolgáltatások védelme érdekében frissítéseket is kiadtunk. Továbbra is szorosan együttműködünk az iparági partnerekkel, köztük a chipkészítőkkel, a hardvergyártókkal és az alkalmazásgyártókkal, hogy megvédjük az ügyfeleket az ilyen típusú biztonsági résekkel szemben.
Javasoljuk, hogy mindig telepítse a havi frissítéseket, hogy az eszközei naprakészek és biztonságosak legyenek.
Frissíteni fogjuk ezt a dokumentációt, amikor új kockázatcsökkentések válnak elérhetővé, és javasoljuk, hogy rendszeresen látogasson vissza ide.
A Windows operációs rendszer 2019. júliusi frissítései
2019. augusztus 6-án az Intel közzétette a CVE-2019-1125 biztonsági rés részleteit | A Windows Kernel információfelfedés biztonsági rése. A biztonsági rés biztonsági frissítései a 2019. július 9-én kiadott havi frissítés részeként jelentek meg.
A Microsoft 2019. július 9-én kiadott egy biztonsági frissítést a Windows operációs rendszerhez a probléma megoldásához. A kockázatcsökkentés nyilvános dokumentálását 2019. augusztus 6-án, kedden, az iparág koordinált közzétételéig tartottuk.
Azok az ügyfelek, akik Windows Update engedélyezve vannak, és alkalmazták a 2019. július 9-én kiadott biztonsági frissítéseket, automatikusan védettek lesznek. Vegye figyelembe, hogy ez a biztonsági rés nem igényel mikrokód-frissítést az eszköz gyártójától (OEM).
A Windows operációs rendszer 2019. májusi frissítései
2019. május 14-én az Intel közzétette a mikroarchitekturális adatmintavétel néven ismert spekulatív végrehajtásoldali biztonsági rések új alosztályára vonatkozó információkat, amelyekhez a következő CVE-k lettek hozzárendelve:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Microarchitectural Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 – "Microarchitectural Load Port Data Sampling (MLPDS)"
A problémával kapcsolatos további információkért tekintse meg a következő biztonsági tanácsadási és használati forgatókönyv-alapú útmutatót a Windows-útmutató ügyfeleknek és kiszolgálóknak című cikkében a fenyegetés mérsékléséhez szükséges műveletek meghatározásához:
A Microsoft a Windows 64 bites (x64) verzióihoz (CVE-2018-11091,CVE-2018-12126, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) kiadott spekulatív végrehajtási oldalcsatorna-biztonsági rések új alosztálya elleni védelmet adott ki.
Használja a beállításjegyzék beállításait a Windows-ügyfél (KB4073119) és a Windows Server (KB4457951) című cikkben leírtak szerint. Ezek a beállításjegyzék-beállítások alapértelmezés szerint engedélyezve vannak a Windows-ügyfél operációsrendszer-kiadásaiban és a Windows Server operációsrendszer-kiadásokban.
Javasoljuk, hogy a mikrokód-frissítések telepítése előtt először telepítse Windows Update összes legújabb frissítését.
A problémával kapcsolatos további információkért és az ajánlott műveletekért tekintse meg a következő biztonsági tanácsadást:
Az Intel kiadott egy mikrokódfrissítést a legújabb PROCESSZORplatformokhoz a CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 enyhítése érdekében. A 2019. május 14-i Windows TUDÁSBÁZIS-4093836 a Windows operációs rendszer verziója szerinti tudásbáziscikkeket sorolja fel. A cikk a processzor által elérhető Intel mikrokód-frissítésekre mutató hivatkozásokat is tartalmaz. Ezek a frissítések a Microsoft Katalógusban érhetők el.
Megjegyzés: Javasoljuk, hogy a mikrokód-frissítések telepítése előtt telepítse az Windows Update összes legújabb frissítését.
Örömmel jelentjük be, hogy a Retpoline alapértelmezés szerint engedélyezve van Windows 10, 1809-es verzió eszközökön (ügyfél és kiszolgáló esetén), ha a Spectre Variant 2 (CVE-2017-5715) engedélyezve van. Ha engedélyezi a Retpoline-t a Windows 10 legújabb verzióján, a 2019. május 14-i frissítéssel (KB 4494441) megnöveljük a teljesítményt, különösen a régebbi processzorok esetében.
Az ügyfeleknek biztosítaniuk kell, hogy a Spectre Variant 2 biztonsági rés elleni korábbi operációsrendszer-védelem engedélyezve legyen a Windows-ügyfélről és a Windows Serverről szóló cikkekben ismertetett beállításjegyzék-beállításokkal. (Ezek a beállításjegyzék-beállítások alapértelmezés szerint engedélyezve vannak a Windows-ügyfél operációsrendszer-kiadásaiban, de alapértelmezés szerint le vannak tiltva a Windows Server operációs rendszer kiadásaiban). A "Retpoline"-ról további információt a Spectre 2. változatának enyhítése a Windows retpoline-jával című témakörben talál.
A Windows operációs rendszer 2018. novemberi frissítései
A Microsoft kiadott operációsrendszer-védelmet a spekulatív áruház megkerüléséhez (CVE-2018-3639) AZ AMD processzorok (CPU-k) számára.
A Microsoft további operációsrendszer-védelmet adott ki a 64 bites ARM-processzorokat használó ügyfelek számára. Kérje az eszközgyártótól a belső vezérlőprogram támogatását, mert a CVE-2018-3639,spekulatív tároló megkerülését enyhítő ARM64 operációsrendszer-védelem megköveteli az eszköz oem-jének legújabb belsővezérlőprogram-frissítését.
A Windows operációs rendszer 2018. szeptemberi frissítései
Szeptember 11-én 2018-ban a Microsoft kiadta a Windows Server 2008 SP2 Monthly Rollup 4458010 and Security Only 4457984 for Windows Server 2008 kiadását, amely védelmet nyújt az L1 Terminálhiba (L1TF) nevű új spekulatív végrehajtási oldalcsatorna biztonsági rés ellen, amely az Intel® Core® processzorokat és az Intel® Xeon® processzorokat (CVE-2018-3620 és CVE-2018-3646) érinti.
Ez a kiadás az összes támogatott Windows-rendszerverzió további védelmét Windows Update keresztül teljesíti. További információkért és az érintett termékek listájáért lásd: ADV180018 | A Microsoft útmutatója az L1TF-változatok mérsékléséhez.
Megjegyzés: A Windows Server 2008 SP2 mostantól a szabványos Windows karbantartási kumulatív modellt követi. A változásokról további információt a Windows Server 2008 SP2 karbantartási módosításait ismertető blogban talál. A Windows Server 2008 rendszert futtató ügyfeleknek a 2018. augusztus 14-én kiadott 4341832 biztonsági frissítésen kívül 4458010 vagy 4457984 kell telepíteniük. Az ügyfeleknek arról is gondoskodniuk kell, hogy a korábbi operációsrendszer-védelem engedélyezve legyen a Spectre Variant 2 és a Meltdown biztonsági rései ellen a Windows-ügyfél és a Windows Server útmutató tudásbáziscikkeiben ismertetett beállításjegyzék-beállításokkal. Ezek a beállításjegyzék-beállítások alapértelmezés szerint engedélyezve vannak a Windows-ügyfél operációsrendszer-kiadásaiban, de alapértelmezés szerint le vannak tiltva a Windows Server operációs rendszer kiadásaiban.
A Microsoft további operációsrendszer-védelmet adott ki a 64 bites ARM-processzorokat használó ügyfelek számára. Kérje az eszköz oem-gyártójától a belső vezérlőprogram támogatását, mert a CVE-2017-5715 – Branch target injektálást (Spectre, Variant 2) enyhítő ARM64 operációsrendszer-védelem érvénybe lépéséhez az eszköz operációs rendszerének legújabb frissítése szükséges.
A Windows operációs rendszer 2018. augusztusi frissítései
2018. augusztus 14-én bejelentették az L1 terminálhibát (L1TF), és több CVE-t rendeltek hozzá. Ezek az új spekulatív végrehajtási oldalcsatorna-biztonsági rések felhasználhatók a memória tartalmának megbízható határokon keresztüli olvasására, és ha kihasználják, információfelfedéshez vezethetnek. Több vektor is létezik, amelyekkel a támadók a konfigurált környezettől függően aktiválhatják a biztonsági réseket. Az L1TF az Intel® Core® processzorokat és az Intel® Xeon® processzorokat érinti.
Az L1TF-ről és az érintett forgatókönyvek részletes áttekintéséről, beleértve a Microsoft L1TF mérséklésére vonatkozó megközelítését, tekintse meg az alábbi forrásanyagokat:
A Windows operációs rendszer 2018. júliusi frissítései
Örömmel jelentjük be, hogy a Microsoft befejezte a windowsos rendszer összes támogatott verziójának további védelmét az alábbi biztonsági rések Windows Update keresztül:
-
Spectre Variant 2 AMD processzorokhoz
-
Spekulatív áruházi megkerülés Intel processzorokhoz
2018. június 13-án bejelentették és hozzárendelték a CVE-2018-3665 nevű, oldalcsatornás spekulatív végrehajtást érintő további biztonsági rést, az úgynevezett Lazy FP State Restoret. Az FP-visszaállítás szakaszos visszaállításához nincs szükség konfigurációs (beállításjegyzékbeli) beállításokra.
A biztonsági résről, az érintett termékekről és az ajánlott műveletekről a következő biztonsági tanácsadásban talál további információt:
Június 12-én a Microsoft bejelentette, hogy a Windows támogatja a Spekulatív áruház megkerülése letiltását (SSBD) az Intel processzorokban. A frissítések működéséhez megfelelő belső vezérlőprogram (mikrokód) és beállításjegyzék-frissítések szükségesek. A frissítésekről és az SSBD bekapcsolásának lépéseiről a ADV180012 | Microsoft-útmutató spekulatív áruház megkerüléséhez.
A Windows operációs rendszer 2018. májusi frissítései
2018 januárjában a Microsoft információkat adott ki a hardveres biztonsági rések (spectre és Meltdown) újonnan felfedezett osztályáról, amelyek különböző mértékben befolyásolják az AMD-t, AZ ARM-et és az Intel processzorokat érintő spekulatív végrehajtási oldali csatornákat. 2018. május 21-én a Google Project Zero (GPZ), a Microsoft és az Intel két új biztonsági rést tárt fel, amelyek a Spekulatív áruház megkerülésével (SSB) és a Rogue System Registry Readnel kapcsolatos Spectre- és Meltdown-problémákhoz kapcsolódnak.
Mindkét közzététel ügyfélkockázata alacsony.
További információ ezekről a biztonsági résekről:
-
Microsoft biztonsági tanácsadás spekulatív áruház megkerüléséhez: MSRC ADV180012 és CVE-2018-3639
-
Microsoft biztonsági tanácsadás a rogue rendszerregisztrálóhoz Olvasás: MSRC ADV180013és CVE-2018-3640
-
Biztonságkutatás és védelem: Spekulatív tároló megkerülésének elemzése és elhárítása (CVE-2018-3639)
A következőkre vonatkozik: Windows 10, 1607-es verzió, Windows Server 2016, Windows Server 2016 (Server Core telepítés) és Windows Server 1709-es verzió (Server Core telepítés)
Támogatást nyújtottunk a közvetett ág-előrejelzési gát (IBPB) használatának szabályozásához egyes AMD processzorokon (CPU-kon) a CVE-2017-5715, Spectre Variant 2 csökkentéséhez, amikor a felhasználói környezetről kernelkörnyezetre vált. (További információ: AMD Architecture Guidelines around Indirect Branch Control and AMD Security Frissítések).
A Windows 10, 1607-es, Windows Server 2016-es, Windows Server 2016 (Server Core-telepítés) és a Windows Server 1709-es verzióját (Server Core telepítés) futtató ügyfeleknek telepíteniük kell a biztonsági frissítési 4103723 a CVE-2017-5715, Branch Target Injection AMD processzorok további kockázatcsökkentéséhez. Ez a frissítés Windows Update keresztül is elérhető.
Kövesse a Kb 4073119 for Windows Client (IT Pro) útmutatójában és a Windows Serverhez készült TUDÁSBÁZIS-4072698 című útmutatóban ismertetett utasításokat az IBPB egyes AMD-processzorokon (CPU-kon) belüli használatának engedélyezéséhez a Felhasználói környezetről kernelkörnyezetre váltáskor a Spectre Variant 2 mérsékléséhez.
A Microsoft elérhetővé teszi az Intel által ellenőrzött mikrokód-frissítéseket a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") körül. A legújabb Intel mikrokódfrissítések Windows Update keresztüli beszerzéséhez az ügyfeleknek telepíteniük kell az Intel mikrokódját az Windows 10 operációs rendszert futtató eszközökre a 2018. áprilisi Windows 10 frissítésre (1803-es verzió) való frissítés előtt.
A mikrokódfrissítés közvetlenül a katalógusból is elérhető, ha nem telepítettek mikrokódot az eszközre az operációs rendszer frissítése előtt. Az Intel mikrokód a Windows Update, a WSUS vagy a Microsoft Update Catalog segítségével érhető el. További információkért és a letöltési utasításokért lásd: KB 4100347.
Az Intel további mikrokódfrissítéseket kínál a Windows operációs rendszerhez, amint azok elérhetővé válnak a Microsoft számára.
A következőkre vonatkozik: Windows 10, 1709-es verzió
Támogatást nyújtottunk a közvetett ág-előrejelzési gát (IBPB) használatának szabályozásához egyes AMD processzorokon (CPU-kon) a CVE-2017-5715, Spectre Variant 2 csökkentéséhez, amikor a felhasználói környezetről kernelkörnyezetre vált. (További információ: AMD Architecture Guidelines around Indirect Branch Control and AMD Security Frissítések). A Kb 4073119 for Windows Client (IT Pro) útmutatójában ismertetett útmutatást követve engedélyezze az IBPB használatát egyes AMD processzorokon (CPU-kon) a Spectre Variant 2 csökkentéséhez, amikor a felhasználói környezetről a kernelkörnyezetre vált.
A Microsoft elérhetővé teszi az Intel által ellenőrzött mikrokód-frissítéseket a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") körül. KB4093836 a Tudásbázis adott cikkeit sorolja fel Windows-verzió szerint. Minden egyes tudásbázis tartalmazza a legújabb elérhető Intel mikrokód-frissítéseket PROCESSZOR szerint.
Az Intel további mikrokódfrissítéseket kínál a Windows operációs rendszerhez, amint azok elérhetővé válnak a Microsoft számára.
A Windows operációs rendszer 2018. márciusi és újabb frissítései
Március 23. TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown on Windows
Március 14. Security Tech Center: Spekulatív végrehajtási oldal csatorna bounty program feltételei
Március 1., blog: Frissítés a Windows-eszközök Spectre- és Meltdown-biztonsági frissítéseiről
2018 márciusában a Microsoft kiadott biztonsági frissítéseket, hogy elhárítsa a következő x86-alapú Windows operációs rendszereket futtató eszközök kockázatcsökkentését. Az ügyfeleknek telepíteniük kell a Windows operációs rendszer legújabb biztonsági frissítéseit, hogy kihasználhassák a rendelkezésre álló védelmi lehetőségeket. Dolgozunk azon, hogy védelmet nyújtsunk más támogatott Windows-verzióknak, de jelenleg nincs kiadási ütemezése. A frissítésekért látogasson vissza ide. További információkért tekintse meg a kapcsolódó Tudásbázis-cikket a technikai részletekért és a "GYIK" szakaszt.
Megjelent a termékfrissítés |
Állapot |
Kiadási dátum |
Kiadási csatorna |
KB-szám |
Windows 8.1 & Windows Server 2012 R2 – Csak biztonsági frissítés |
Kiadva |
Március 13. |
WSUS, Katalógus, |
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 – Csak biztonsági frissítés |
Kiadva |
Március 13. |
WSUS, katalógus |
|
Windows Server 2012 – Csak biztonsági frissítés Windows 8 Embedded Standard Edition – Csak biztonsági frissítés |
Kiadva |
Március 13. |
WSUS, katalógus |
|
Windows 8.1 & Windows Server 2012 R2 – Havi kumulatív frissítés |
Kiadva |
Március 13. |
WU, WSUS, katalógus |
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 – Havi kumulatív frissítés |
Kiadva |
Március 13. |
WU, WSUS, katalógus |
|
Windows Server 2012 – Havi kumulatív frissítés Windows 8 Embedded Standard Edition – Havi kumulatív frissítés |
Kiadva |
Március 13. |
WU, WSUS, katalógus |
|
Windows Server 2008 SP2 |
Kiadva |
Március 13. |
WU, WSUS, katalógus |
2018 márciusában a Microsoft kiadott biztonsági frissítéseket, hogy elhárítsa az alábbi x64-alapú Windows operációs rendszereket futtató eszközökre vonatkozó kockázatcsökkentést. Az ügyfeleknek telepíteniük kell a Windows operációs rendszer legújabb biztonsági frissítéseit, hogy kihasználhassák a rendelkezésre álló védelmi lehetőségeket. Dolgozunk azon, hogy védelmet nyújtsunk más támogatott Windows-verzióknak, de jelenleg nincs kiadási ütemezése. A frissítésekért látogasson vissza ide. További információért tekintse meg a kapcsolódó tudásbázis cikket a technikai részletekért és a "GYIK" szakaszt.
Megjelent a termékfrissítés |
Állapot |
Kiadási dátum |
Kiadási csatorna |
KB-szám |
Windows Server 2012 – Csak biztonsági frissítés Windows 8 Embedded Standard Edition – Csak biztonsági frissítés |
Kiadva |
Március 13. |
WSUS, katalógus |
|
Windows Server 2012 – Havi kumulatív frissítés Windows 8 Embedded Standard Edition – Havi kumulatív frissítés |
Kiadva |
Március 13. |
WU, WSUS, katalógus |
|
Windows Server 2008 SP2 |
Kiadva |
Március 13. |
WU, WSUS, katalógus |
Ez a frissítés a Windows 64 bites (x64) verziójában a Windows kernelének jogosultságszint-emelési biztonsági rését oldja meg. Ez a biztonsági rés a CVE-2018-1038-ban van dokumentálva. A felhasználóknak ezt a frissítést kell alkalmazniuk, hogy teljes mértékben védve legyenek a biztonsági rés ellen, ha számítógépeiket 2018 januárjában vagy azt követően frissítették az alábbi Tudásbázis-cikkben felsorolt frissítések alkalmazásával:
Ez a biztonsági frissítés számos jelentett biztonsági rést old fel az Internet Explorerben. További információ ezekről a biztonsági résekről: A Microsoft gyakori biztonsági rései és kitettségei.
Megjelent a termékfrissítés |
Állapot |
Kiadási dátum |
Kiadási csatorna |
KB-szám |
Internet Explorer 10 – Összegző frissítés Windows 8 Embedded Standard Editionhez |
Kiadva |
Március 13. |
WU, WSUS, katalógus |
A Windows operációs rendszer 2018. februári frissítései
Blog: A Windows Analytics mostantól segít felmérni a Spectre és a Meltdown védelmét
Az alábbi biztonsági frissítések további védelmet nyújtanak a 32 bites (x86) Windows operációs rendszert futtató eszközök számára. A Microsoft azt javasolja az ügyfeleknek, hogy amint elérhetők, telepítsenek egy frissítést. Továbbra is dolgozunk azon, hogy védelmet nyújtsunk más támogatott Windows-verzióknak, de jelenleg nincs kiadási ütemtervünk. A frissítésekért látogasson vissza ide.
Megjegyzés Windows 10 havi biztonsági frissítések havonta összegzőek, és automatikusan letöltik és telepítik őket Windows Update. Ha korábban telepített frissítéseket, csak az új részek lesznek letöltve és telepítve az eszközre. További információkért tekintse meg a kapcsolódó Tudásbázis-cikket a technikai részletekért és a "GYIK" szakaszt.
Megjelent a termékfrissítés |
Állapot |
Kiadási dátum |
Kiadási csatorna |
KB-szám |
Windows 10 – 1709-es verzió / Windows Server 2016 (1709) / IoT Core – minőségi frissítés |
Kiadva |
január 31. |
WU, katalógus |
|
Windows Server 2016 (1709) – Server-tároló |
Kiadva |
Február 13. |
Docker Hub |
|
Windows 10 – 1703-as verzió / IoT Core – minőségi frissítés |
Kiadva |
Február 13. |
WU, WSUS, katalógus |
|
Windows 10 – 1607-es verzió / Windows Server 2016 / IoT Core – minőségi frissítés |
Kiadva |
Február 13. |
WU, WSUS, katalógus |
|
Windows 10 HoloLens – operációs rendszer és belső vezérlőprogram Frissítések |
Kiadva |
Február 13. |
WU, katalógus |
|
Windows Server 2016 (1607) – tárolólemezképek |
Kiadva |
Február 13. |
Docker Hub |
|
Windows 10 – 1511-es verzió / IoT Core – minőségi frissítés |
Kiadva |
Február 13. |
WU, WSUS, katalógus |
|
Windows 10 – RTM verzió – minőségi frissítés |
Kiadva |
Február 13. |
WU, WSUS, katalógus |
A Windows operációs rendszer 2018. januári frissítései
2018 januárjától a Microsoft kiadott biztonsági frissítéseket, hogy elhárítsa az alábbi x64-alapú Windows operációs rendszereket futtató eszközökre vonatkozó kockázatcsökkentéseket. Az ügyfeleknek telepíteniük kell a Windows operációs rendszer legújabb biztonsági frissítéseit, hogy kihasználhassák a rendelkezésre álló védelmi lehetőségeket. Dolgozunk azon, hogy védelmet nyújtsunk más támogatott Windows-verzióknak, de jelenleg nincs kiadási ütemezése. A frissítésekért látogasson vissza ide. További információkért tekintse meg a kapcsolódó Tudásbázis-cikket a technikai részletekért és a "GYIK" szakaszt.
Megjelent a termékfrissítés |
Állapot |
Kiadási dátum |
Kiadási csatorna |
KB-szám |
Windows 10 – 1709-es verzió / Windows Server 2016 (1709) / IoT Core – minőségi frissítés |
Kiadva |
Január 3. |
WU, WSUS, katalógus, Azure Image Gallery |
|
Windows Server 2016 (1709) – Server-tároló |
Kiadva |
január 5. |
Docker Hub |
|
Windows 10 – 1703-as verzió / IoT Core – minőségi frissítés |
Kiadva |
Január 3. |
WU, WSUS, katalógus |
|
Windows 10 – 1607-es verzió / Windows Server 2016 / IoT Core – minőségi frissítés |
Kiadva |
Január 3. |
WU, WSUS, katalógus |
|
Windows Server 2016 (1607) – tárolólemezképek |
Kiadva |
Január 4. |
Docker Hub |
|
Windows 10 – 1511-es verzió / IoT Core – minőségi frissítés |
Kiadva |
Január 3. |
WU, WSUS, katalógus |
|
Windows 10 – RTM verzió – minőségi frissítés |
Kiadva |
Január 3. |
WU, WSUS, katalógus |
|
Windows 10 Mobile (operációs rendszer buildje: 15254.192) – ARM |
Kiadva |
január 5. |
WU, katalógus |
|
Windows 10 Mobile (operációs rendszer buildje: 15063.850) |
Kiadva |
január 5. |
WU, katalógus |
|
Windows 10 Mobile (operációs rendszer buildje: 14393.2007) |
Kiadva |
január 5. |
WU, katalógus |
|
Windows 10 HoloLens |
Kiadva |
január 5. |
WU, katalógus |
|
Windows 8.1 / Windows Server 2012 R2 – csak biztonsági frissítés |
Kiadva |
Január 3. |
WSUS, katalógus |
|
Windows Embedded 8.1 Industry Enterprise |
Kiadva |
Január 3. |
WSUS, katalógus |
|
Windows Embedded 8.1 Industry Pro |
Kiadva |
Január 3. |
WSUS, katalógus |
|
Windows Embedded 8.1 Pro |
Kiadva |
Január 3. |
WSUS, katalógus |
|
Windows 8.1 / Windows Server 2012 R2 – havi kumulatív frissítés |
Kiadva |
január 8. |
WU, WSUS, katalógus |
|
Windows Embedded 8.1 Industry Enterprise |
Kiadva |
január 8. |
WU, WSUS, katalógus |
|
Windows Embedded 8.1 Industry Pro |
Kiadva |
január 8. |
WU, WSUS, katalógus |
|
Windows Embedded 8.1 Pro |
Kiadva |
január 8. |
WU, WSUS, katalógus |
|
Windows Server 2012 – csak biztonsági frissítés |
Kiadva |
WSUS, katalógus |
||
Windows Server 2008 SP2 |
Kiadva |
WU, WSUS, katalógus |
||
Windows Server 2012 – havi kumulatív frissítés |
Kiadva |
WU, WSUS, katalógus |
||
Windows Embedded 8 Standard |
Kiadva |
WU, WSUS, katalógus |
||
Windows 7 SP1 / Windows Server 2008 R2 SP1 – csak biztonsági frissítés |
Kiadva |
Január 3. |
WSUS, katalógus |
|
Windows Embedded Standard 7 |
Kiadva |
Január 3. |
WSUS, katalógus |
|
Windows Embedded POSReady 7 |
Kiadva |
Január 3. |
WSUS, katalógus |
|
Windows Thin PC |
Kiadva |
Január 3. |
WSUS, katalógus |
|
Windows 7 SP1 / Windows Server 2008 R2 SP1 – havi kumulatív frissítés |
Kiadva |
Január 4. |
WU, WSUS, katalógus |
|
Windows Embedded Standard 7 |
Kiadva |
Január 4. |
WU, WSUS, katalógus |
|
Windows Embedded POSReady 7 |
Kiadva |
Január 4. |
WU, WSUS, katalógus |
|
Windows Thin PC |
Kiadva |
Január 4. |
WU, WSUS, katalógus |
|
Internet Explorer 11 – kumulatív frissítés a Windows 7 SP1 és a Windows 8.1 rendszerhez |
Kiadva |
Január 3. |
WU, WSUS, katalógus |
2024. április 9-én megjelent a CVE-2022-0001 | Intel Branch History Injection ( Ágelőzmény-injektálás ), amely az elágazási előzmények injektálását (BHI) ismerteti, amely a módon belüli BTI egy speciális formája. Ez a biztonsági rés akkor fordul elő, ha egy támadó manipulálhatja az ágelőzményeket, mielőtt a felhasználóról a felügyeleti módra vált (vagy a VMX nem gyökérszintű/vendég módból a gyökér módba). Ez a módosítás azt eredményezheti, hogy egy közvetett ág-előrejelző kiválaszt egy adott prediktorbejegyzést egy közvetett ághoz, és az előrejelzett célnál egy közzétételi minialkalmazás átmenetien végre lesz hajtva. Ez azért lehetséges, mert a vonatkozó ágelőzmények tartalmazhatnak korábbi biztonsági környezetekben, és különösen más előrejelző módokban vett ágakat.
A CVE-2022-0001-ben leírt biztonsági rések elhárításához kövesse a Windows-ügyfélre (IT Pro) vonatkozó KB4073119 és a Windows Serverhez készült KB4072698 című útmutatóban ismertetett utasításokat | Intel branch history injektálás.
Források és műszaki útmutató
Szerepkörétől függően az alábbi támogatási cikkek segíthetnek azonosítani és enyhíteni a Spectre és a Meltdown biztonsági rései által érintett ügyfél- és kiszolgálókörnyezeteket.
Microsoft biztonsági tanácsadás L1 terminálhibához (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 és CVE-2018-3646
Biztonságkutatás és védelem: Spekulatív tároló megkerülésének elemzése és elhárítása (CVE-2018-3639)
Microsoft biztonsági tanácsadás spekulatív áruház megkerüléséhez: MSRC ADV180012 és CVE-2018-3639
Microsoft security advisory for Rogue System Register Read | Biztonsági frissítési útmutató a Surface-hez: MSRC ADV180013és CVE-2018-3640
Biztonságkutatás és védelem: Spekulatív tároló megkerülésének elemzése és elhárítása (CVE-2018-3639)
TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown on Windows
Security Tech Center: Spekulatív végrehajtási oldal csatorna Bounty Program feltételek
Microsoft Experience blog: Frissítés a Windows-eszközök Spectre és Meltdown biztonsági frissítéseiről
A Windows For Business blogja: A Windows Analytics mostantól segít felmérni a Spectre és a Meltdown védelmét
Microsoft Secure blog: A Spectre és a Meltdown-kockázatcsökkentések teljesítményre gyakorolt hatásának megértése Windows-rendszereken
Edge fejlesztői blog: Spekulatív végrehajtási oldalcsatorna-támadások elhárítása a Microsoft Edge-ben és az Internet Explorerben
Azure Blog: Az Azure-ügyfelek védelme a CPU biztonsági réseitől
SCCM útmutató: További útmutatás a spekulatív végrehajtás oldalcsatornás biztonsági réseinek csökkentéséhez
Microsoft-tanácsadók:
-
ADV180002 | Útmutatás a spekulatív végrehajtás oldalcsatornás biztonsági réseinek csökkentéséhez
-
ADV180012 | Microsoft-útmutató spekulatív áruház megkerüléséhez
-
ADV180013 | Microsoft-útmutató a rogue rendszerregisztráció olvasásához
-
ADV180016 | A Microsoft útmutatója a szakaszolt FP állapot visszaállításához
-
ADV180018 | A Microsoft útmutatója az L1TF-változatok mérsékléséhez
Intel: Biztonsági tanácsadás
NVIDIA: Biztonsági tanácsadás
Fogyasztói útmutató: Az eszköz védelme a chipekkel kapcsolatos biztonsági résekkel szemben
Víruskereső útmutató: A 2018. január 3-án megjelent Windows biztonsági frissítések és a víruskereső szoftver
Útmutató az AMD Windows operációs rendszer biztonsági frissítési blokkja: KB4073707: Windows operációs rendszer biztonsági frissítési blokkja egyes AMD-alapú eszközökhöz
Frissítés a Kockázatcsökkentés letiltása a Spectre, 2. változat: KB4078130: Az Intel újraindítási problémákat észlelt néhány régebbi processzor mikrokódjával kapcsolatban
Surface-útmutató: Surface-útmutató a spekulatív végrehajtás oldalcsatornás biztonsági rései elleni védelemhez
Spekulatív végrehajtási oldali csatornamegoldások állapotának ellenőrzése: Get-SpeculationControlSettings PowerShell-szkript kimenetének ismertetése
It Pro-útmutató: Windows ügyfél-útmutató informatikai szakembereknek a spekulatív végrehajtási oldalcsatorna biztonsági rései elleni védelemhez
Kiszolgálói útmutató: Windows Server-útmutató a spekulatív végrehajtás oldalcsatornás biztonsági rései elleni védelemhez
Kiszolgálói útmutató az L1 terminálhibához: A Windows Server útmutatója az L1 terminálhiba elleni védelemhez
Fejlesztői útmutató: Fejlesztői útmutató a spekulatív áruház megkerüléséhez
Server Hyper-V-re vonatkozó útmutatás
Azure KB: KB4073235: Microsoft Cloud Protections a spekulatív végrehajtás Side-Channel biztonsági rések ellen
Azure Stack-útmutató: KB4073418: Azure Stack-útmutató a spekulatív végrehajtás oldalcsatornás biztonsági rései elleni védelemhez
Azure-megbízhatóság: Azure megbízhatósági portál
SQL Server útmutató: KB4073225: SQL Server Útmutató a spekulatív végrehajtás oldalcsatornás biztonsági rései elleni védelemhez
A Spectre és a Meltdown biztonsági rései elleni védelem érdekében az OEM- és a kiszolgáló-eszközgyártókra mutató hivatkozások
A biztonsági rések elhárításához frissítenie kell a hardvert és a szoftvert is. Az alábbi hivatkozások segítségével kérdezze meg az eszköz gyártóját a belső vezérlőprogram (mikrokód) megfelelő frissítéseiről.
Az alábbi hivatkozások segítségével kérdezze meg az eszköz gyártóját a belső vezérlőprogram (mikrokód) frissítéseiről. Az összes elérhető védelemhez telepítenie kell az operációs rendszer és a belső vezérlőprogram (mikrokód) frissítéseit is.
OEM eszközgyártók |
Hivatkozás a mikrokód elérhetőségének ellenőrzésére |
Acer |
|
Asus |
ASUS Update a spekulatív végrehajtás és a közvetett ág előrejelzése oldalcsatorna elemzési módszer |
Dell |
|
Epson |
|
Fujitsu |
|
HP |
|
Lenovo |
|
LG |
|
NEC |
A processzor biztonsági résére (leolvadás, spektrum) adott válaszként termékeinkben |
Panasonic |
|
Samsung |
|
Surface |
|
Toshiba |
|
Vaio |
Kiszolgáló OEM-gyártók |
Hivatkozás a mikrokód elérhetőségének ellenőrzésére |
Dell |
|
Fujitsu |
|
HPE |
Hewlett Packard Enterprise termékbiztonsági biztonsági résekkel kapcsolatos riasztások |
Huawei |
Biztonsági közlemény – Nyilatkozat az Intel CPU-architektúra biztonsági réseinek médiafelfedéséről |
Lenovo |
Gyakori kérdések
A belső vezérlőprogram (mikrokód) frissítéseit az eszköz gyártójához kell ellenőriznie. Ha az eszközgyártó nem szerepel a táblázatban, forduljon közvetlenül az eredeti hardvergyártóhoz.
A Microsoft Surface-eszközökhöz készült Frissítések Windows Update keresztül érhetők el az ügyfelek számára. A Surface-eszköz belső vezérlőprogramjának (mikrokód) elérhető frissítéseinek listáját lásd: KB 4073065.
Ha az eszköz nem a Microsofttól származik, alkalmazza az eszköz gyártójától származó belső vezérlőprogram-frissítéseket. További információért forduljon az eszköz gyártójához.
A hardveres biztonsági rések szoftverfrissítéssel történő kezelése jelentős kihívásokat és kockázatcsökkentéseket jelent a régebbi operációs rendszerek számára, és jelentős architekturális változtatásokat igényelhet. Továbbra is együttműködünk az érintett chipgyártókkal, hogy megvizsgáljuk a kockázatcsökkentés legjobb módját. Ezt egy későbbi frissítésben is meg lehet adni. Az ezeket a régebbi operációs rendszereket futtató régebbi eszközök cseréje és a víruskereső szoftver frissítése a fennmaradó kockázatra is kihat.
Megjegyzések:
-
Azok a termékek, amelyek jelenleg mind az általános, mind a kiterjesztett támogatáson kívül vannak, nem kapják meg ezeket a rendszerfrissítéseket. Javasoljuk, hogy az ügyfelek frissítsenek egy támogatott rendszerverzióra.
-
A spekulatív végrehajtási oldalcsatorna-támadások kihasználják a processzor viselkedését és funkcióit. A processzorgyártóknak először meg kell határozniuk, hogy mely processzorok lehetnek veszélyben, majd értesíteniük kell a Microsoftot. Sok esetben a megfelelő operációsrendszer-frissítésekre is szükség lesz az ügyfelek átfogóbb védelmének biztosításához. Javasoljuk, hogy a biztonságtudatos Windows CE szállítók együttműködjenek a chipgyártóval a biztonsági rések és az alkalmazható kockázatcsökkentések megértéséhez.
-
Nem fogunk kiadni frissítést a következő platformokhoz:
-
A jelenleg nem támogatott Windows operációs rendszerekhez, illetve azokhoz, amelyek 2018-ban ki lesznek vezetve
-
Windows XP-alapú rendszerek, beleértve a WES 2009-et és a POSReady 2009-et
-
Bár a Windows XP-alapú rendszerek érintett termékek, a Microsoft nem ad ki frissítést, mert a szükséges átfogó architekturális módosítások veszélyeztetnék a rendszer stabilitását, és alkalmazáskompatibilitási problémákat okoznának. Javasoljuk, hogy a biztonságtudatos ügyfelek frissítsenek egy újabb, támogatott operációs rendszerre, hogy lépést tudjanak tartani a folyamatosan változó biztonsági fenyegetésekkel, és ki tudják használni az újabb operációs rendszerek által kínált robusztusabb védelmi eszközöket.
A HoloLenshez Windows 10 Frissítések a HoloLens ügyfelei Windows Update keresztül érhetik el.
A 2018. februári Windows biztonság Updatealkalmazása után a HoloLens-ügyfeleknek nem kell további lépéseket tenniük az eszköz belső vezérlőprogramjának frissítéséhez. Ezek a kockázatcsökkentések a HoloLenshez készült Windows 10 összes jövőbeli kiadásában is szerepelni fognak.
További információért forduljon az OEM-hez.
Ahhoz, hogy az eszköz teljes mértékben védett legyen, telepítenie kell az eszköz legújabb Windows operációsrendszer-biztonsági frissítéseit és az eszköz gyártójától származó belső vezérlőprogrammal (mikrokóddal) kapcsolatos frissítéseket. Ezek a frissítések az eszköz gyártójának webhelyén érhetők el. Először a víruskereső szoftver frissítéseit kell telepíteni. Az operációs rendszer és a vezérlőprogramok frissítései bármilyen sorrendben telepíthetők.
A biztonsági rés elhárításához frissítenie kell a hardvert és a szoftvert is. Az átfogóbb védelem érdekében telepítenie kell a belső vezérlőprogrammal (mikrokóddal) kapcsolatos megfelelő frissítéseket az eszköz gyártójától. Javasoljuk, hogy eszközei naprakész állapotának megőrzése érdekében telepítse a Windows havonta megjelenő biztonsági frissítéseit.
Minden Windows 10 funkciófrissítésben a legújabb biztonsági technológiát építjük be mélyen az operációs rendszerbe, olyan részletes védelmi funkciókat biztosítva, amelyek megakadályozzák, hogy a kártevők teljes osztályai hatással vannak az eszközére. Funkciófrissítést évente két alkalommal tervezünk kiadni. Minden havi minőségi frissítésben egy újabb biztonsági réteget adunk hozzá, amely nyomon követi a kártevőkben megjelenő és változó trendeket, hogy a naprakész rendszereket biztonságosabbá tegyük a változó és változó fenyegetésekkel szemben.
A Microsoft a Windows 10, Windows 8.1 és Windows 7 SP1 rendszerű eszközök támogatott verzióinak AV-kompatibilitási ellenőrzését Windows Update keresztül törölte.
Ajánlások:-
A Microsoft és a hardvergyártó legújabb biztonsági frissítéseivel győződjön meg arról, hogy eszközei naprakészek. Az eszköz naprakészen tartásáról további információt a Windows Update: GYAKORI KÉRDÉSEK című témakörben talál.
-
Folytassa az ésszerű óvatosság gyakorlását, ha ismeretlen eredetű webhelyeket látogat meg, és nem marad meg olyan webhelyeken, amelyekben nem bízik meg. A Microsoft azt javasolja, hogy minden ügyfél egy támogatott víruskereső program futtatásával védje eszközeit. A felhasználók ezenkívül a beépített vírusvédelmet is alkalmazhatják: Windows 10-es készülékek esetében ez a Windows Defender, míg Windows 7-es készülékek esetében a Microsoft Security Essentials. Ezek a megoldások kompatibilisek olyan esetekben, amikor az ügyfelek nem tudnak víruskereső szoftvert telepíteni vagy futtatni.
A januárban vagy februárban kiadott Windows biztonsági frissítéseket nem ajánlottuk fel minden ügyfélnek, hogy elkerülje az ügyféleszközökre gyakorolt kedvezőtlen hatásokat. További információt a Microsoft Tudásbázis 4072699 című cikkben talál.
Az Intel olyan problémákat jelentett be, amelyek hatással vannak a nemrég kiadott mikrokódra, amely a Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection") kezelésére szolgál. Pontosabban, az Intel megállapította, hogy ez a mikrokód "a vártnál magasabb újraindításokat és más kiszámíthatatlan rendszerviselkedést" okozhat, és az ilyen helyzetek "adatvesztést vagy sérülést" okozhatnak. Saját tapasztalatunk az, hogy a rendszer instabilitása bizonyos körülmények között adatvesztést vagy sérülést okozhat. Január 22-én az Intel azt javasolta, hogy az ügyfelek ne helyezték üzembe az aktuális mikrokódverziót az érintett processzorokon, miközben további tesztelést végeznek a frissített megoldáson. Tisztában vagyunk azzal, hogy az Intel továbbra is vizsgálja a jelenlegi mikrokódverzió lehetséges hatásait, és arra biztatjuk az ügyfeleket, hogy folyamatosan felülvizsgálják az útmutatójukat, hogy tájékoztassák a döntéseiket.
Bár az Intel új mikrokódokat tesztel, frissít és helyez üzembe, egy sávon kívüli ( KB 4078130) frissítést teszünk elérhetővé, amely kifejezetten letiltja a CVE-2017-5715 – "Branch Target Injection" elleni kockázatcsökkentést. A tesztelés során ezt a frissítést találtuk, hogy megakadályozzuk a leírt viselkedést. Az eszközök teljes listáját az Intel mikrokód-változatának útmutatójában találja. Ez a frissítés a Windows 7 SP1-re, a Windows 8.1-re és a Windows 10 valamennyi verziójára érvényes, ügyfélgépek és kiszolgálók esetén egyaránt. Ha érintett eszközt futtat, ezt a frissítést a Microsoft Update Katalógus webhelyéről töltheti le. Ennek a hasznos adatnak az alkalmazása kifejezetten csak a CVE-2017-5715 – "Branch Target Injection" kockázatcsökkentést tiltja le.
Január 25-étől nincsenek olyan ismert jelentések, amelyek azt jelezték volna, hogy ezt a Spectre Variant 2-t (CVE-2017-5715) használták az ügyfelek megtámadására. Azt javasoljuk, hogy ha szükséges, a Windows-ügyfelek engedélyezzenek újra a CVE-2017-5715-re vonatkozó kockázatcsökkentést, ha az Intel arról számol be, hogy ez a kiszámíthatatlan rendszerviselkedés megoldódott az eszközén.
Nem. A Csak biztonsági frissítések nem halmozottak. A futtatott operációs rendszer verziójától függően telepítenie kell az összes kiadott csak biztonsági frissítést, hogy védve legyen ezekkel a biztonsági résekkel szemben. Ha például 32 bites Windows 7 rendszert futtat egy érintett Intel CPU-n, akkor 2018 januárjától minden csak biztonsági frissítést telepítenie kell. Javasoljuk, hogy a csak biztonsági frissítéseket a kiadás sorrendjében telepítse.
Megjegyzés A gyik egy korábbi verziója helytelenül állította, hogy a csak februári biztonsági frissítés tartalmazza a januárban kiadott biztonsági javításokat. Valójában nem.Nem. A biztonsági frissítési 4078130 a mikrokód telepítése után a rendszer előre nem látható viselkedésének, teljesítményproblémáinak és váratlan újraindulásának megelőzésére szolgáló speciális javítás volt. A februári biztonsági frissítések windowsos ügyféloldali operációs rendszereken való alkalmazása mindhárom kockázatcsökkentést lehetővé teszi. Windows server operációs rendszereken a megfelelő tesztelés elvégzése után is engedélyeznie kell a kockázatcsökkentéseket. További információt a Microsoft Tudásbázis 4072698 című cikkben talál.
Az AMD nemrég bejelentette, hogy a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") köré kezdett mikrokódokat kiadni az újabb PROCESSZORplatformokhoz. További információért tekintse meg az AMD biztonsági Frissítések és az AMD tanulmányt: Architecture Guidelines around Indirect Branch Control (Az AMD biztonsági Frissítések és AZ AMD útmutatója: Architecture Guidelines around Indirect Branch Control (Az AMD biztonsági Frissítések és AZ AMD útmutatója: Architecture Guidelines around Indirect Branch Control (Az AMD biztonsági Frissítések és AZ AMD útmutatója Ezek az OEM belső vezérlőprogram-csatornáján érhetők el.
Az Intel nemrég bejelentette, hogy befejezte az ellenőrzést, és megkezdte a mikrokód kiadását az újabb CPU-platformokhoz. A Microsoft elérhetővé teszi az Intel által ellenőrzött mikrokód-frissítéseket a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") körül. A TUDÁSBÁZIS-4093836 a Tudásbázis adott cikkeit sorolja fel Windows-verzió szerint. Mindegyik specifikus tudásbáziscikk tartalmazza az Intel elérhető mikrokódfrissítéseit CPU szerint.
A Microsoft elérhetővé teszi az Intel által ellenőrzött mikrokód-frissítéseket a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection") körül. A legújabb Intel mikrokódfrissítések Windows Update keresztüli beszerzéséhez az ügyfeleknek telepíteniük kell az Intel mikrokódját az Windows 10 operációs rendszert futtató eszközökre a 2018. áprilisi Windows 10 frissítésre (1803-es verzió) való frissítés előtt.
A mikrokód-frissítés közvetlenül a frissítési katalógusból is elérhető, ha a rendszer frissítése előtt nem volt telepítve az eszközön. Az Intel mikrokód a Windows Update, a WSUS vagy a Microsoft Update Catalog segítségével érhető el. További információkért és a letöltési utasításokért lásd: KB 4100347.
További információt a következő forrásanyagokban talál:
-
ADV180012 | Microsoft-útmutató spekulatív áruház megkerüléséhez a CVE-2018-3639-hez
-
ADV180013 | Microsoft-útmutató a CVE-2018-3640-hez és a KB-4073065 rendszerhez készült rogue rendszerregisztráció olvasásához | Útmutatás Surface-ügyfeleknek
Részletekért tekintse meg a ADV180012 | "Javasolt műveletek" és "GYIK" című szakaszát . Microsoft-útmutató spekulatív áruház megkerüléséhez.
Az SSBD állapotának ellenőrzéséhez a Get-SpeculationControlSettings PowerShell-szkript frissült, hogy észlelje az érintett processzorokat, az SSBD operációs rendszer frissítéseinek állapotát és a processzor mikrokódjának állapotát, ha van ilyen. További információkért és a PowerShell-szkript beszerzéséhez lásd: KB4074629.
2018. június 13-án bejelentették és hozzárendelték a CVE-2018-3665 nevű, oldalcsatornás spekulatív végrehajtást érintő további biztonsági rést, az úgynevezett Lazy FP State Restoret. Az FP-visszaállítás szakaszos visszaállításához nincs szükség konfigurációs (beállításjegyzékbeli) beállításokra.
A biztonsági résről és az ajánlott műveletekről további információt a biztonsági tanácsadásban talál: ADV180016 | A Microsoft útmutatója a szakaszolt FP állapot visszaállításához
MegjegyzésAz FP-visszaállítás szakaszos visszaállításához nincs szükség konfigurációs (beállításjegyzékbeli) beállításokra.
A Bounds Check Bypass Store (BCBS) 2018. július 10-én került nyilvánosságra, és hozzárendelte a CVE-2018-3693-at. Úgy véljük, hogy a BCBS ugyanahhoz a biztonsági résosztályhoz tartozik, mint a Bounds Check Bypass (1. változat). Jelenleg nem tudunk a BCBS-ről a szoftverünkben, de továbbra is kutatjuk ezt a biztonságirés-osztályt, és az iparági partnerekkel együttműködve szükség szerint kiadjuk a kockázatcsökkentéseket. Továbbra is arra biztatjuk a kutatókat, hogy küldjenek el minden releváns megállapítást a Microsoft Spekulatív végrehajtási oldal csatorna bounty programba, beleértve a BCBS bármely kihasználható példányát is. A szoftverfejlesztőknek át kell tekinteniük a BCBS-hez frissített fejlesztői útmutatót a https://aka.ms/sescdevguide.
2018. augusztus 14-én bejelentették az L1 terminálhibát (L1TF), és több CVE-t rendeltek hozzá. Ezek az új spekulatív végrehajtási oldalcsatorna-biztonsági rések felhasználhatók a memória tartalmának megbízható határokon keresztüli olvasására, és ha kihasználják, információfelfedéshez vezethetnek. Több vektor is létezik, amelyekkel a támadók a konfigurált környezettől függően aktiválhatják a biztonsági réseket. Az L1TF az Intel® Core® processzorokat és az Intel® Xeon® processzorokat érinti.
A biztonsági résről és az érintett forgatókönyvek részletes áttekintéséről, beleértve a Microsoft L1TF mérséklésére vonatkozó megközelítését, tekintse meg az alábbi forrásanyagokat:
Microsoft Surface-ügyfelek: A Microsoft Surface- és Surface Book-termékeket használó ügyfeleknek követnie kell a Windows-ügyfélre vonatkozó biztonsági tanácsadásban ismertetett útmutatást: ADV180018 | A Microsoft útmutatója az L1TF-változatok mérsékléséhez. Az érintett Surface-termékekkel és a mikrokódfrissítések rendelkezésre állásával kapcsolatos további információkért lásd még a Microsoft Tudásbázis 4073065 cikket.
Microsoft Hololens-ügyfelek: Microsoft HoloLens az L1TF nem érinti, mert nem használ érintett Intel processzort.
A Hyper-Threading letiltásához szükséges lépések eltérnek az OEM-től az OEM-től, de általában a BIOS vagy a belső vezérlőprogram beállítási és konfigurációs eszközeinek részét képezik.
A 64 bites ARM-processzorokat használó ügyfeleknek ellenőrizniük kell az eszköz OEM-jének belső vezérlőprogram-támogatását, mert a CVE-2017-5715 – Branch target injektálást (Spectre, Variant 2) enyhítő ARM64 operációs rendszer védelméhez az eszköz oem-jeiről érkező legújabb belsővezérlőprogram-frissítés szükséges.
A biztonsági rés részleteiért tekintse meg a Microsoft biztonsági útmutatóját: CVE-2019-1125 | A Windows Kernel információfelfedés biztonsági rése.
Nem tudunk arról, hogy ez az információfelfedési biztonsági rés hatással lehet a felhőszolgáltatás infrastruktúrájára.
Amint tudomást szereztünk a problémáról, gyorsan dolgoztunk a megoldásán, és kiadtunk egy frissítést. Határozottan hiszünk a kutatókkal és az iparági partnerekkel kialakított szoros partnerségekben, hogy az ügyfelek biztonságosabbak legyenek, és augusztus 6., keddig nem tették közzé a részleteket, összhangban az összehangolt biztonságirés-közzétételi gyakorlatokkal.
Referenciák
A Microsoft harmadik féltől származó kapcsolattartási adatokat biztosít, hogy további információkat találjon erről a témakörről. Ezek az elérhetőségi adatok értesítés nélkül megváltozhatnak. A Microsoft nem garantálja a külső felek kapcsolattartási adatainak pontosságát.