Modifica data |
Modificare la descrizione |
---|---|
9 agosto 2023 |
|
9 aprile 2024 |
|
Riassunto
Questo articolo fornisce informazioni e aggiornamenti per una nuova classe di vulnerabilità di esecuzione speculativa e microarchitettura basata su silicio che interessano molti processori e sistemi operativi moderni. Fornisce inoltre un elenco completo delle risorse client e server Windows per proteggere i dispositivi a casa, al lavoro e in tutta l'azienda. Sono inclusi Intel, AMD e ARM. Dettagli specifici sulla vulnerabilità per questi problemi basati sui processori sono disponibili nei seguenti avvisi di sicurezza e CVE:
-
ADV180002 - Linee guida per mitigare le vulnerabilità di esecuzione speculativa del canale laterale
-
ADV180012 - Linee guida Microsoft per Speculative Store Bypass
-
ADV180013 - Microsoft Guidance for Rogue System Register Read
-
ADV180016 - Linee guida di Microsoft per il ripristino dello stato di Lazy FP
-
ADV180018 - Linee guida Microsoft per attenuare la variante L1TF
-
ADV220002 - Linee guida di Microsoft sulle vulnerabilità dei dati del processore Intel MMIO Stale
Il 3 gennaio 2018 Microsoft ha rilasciato un aggiornamento della sicurezza e degli avvisi correlati a una classe di vulnerabilità hardware appena individuata (nota come Spectre e Meltdown) che coinvolge canali laterali di esecuzione speculativi che interessano i processori AMD, ARM e Intel in diversi gradi. Questa classe di vulnerabilità si basa su un'architettura di chip comune originariamente progettata per velocizzare i computer. Per altre informazioni su queste vulnerabilità, vedere Google Project Zero.
Il 21 maggio 2018, Google Project Zero (GPZ), Microsoft e Intel hanno divulgato due nuove vulnerabilità dei chip che sono correlate ai problemi di Spectre e Meltdown e sono noti come Speculative Store Bypass (SSB) e Rogue System Registry Read. Il rischio del cliente per entrambe le divulgazioni è basso.
Per altre informazioni su queste vulnerabilità, vedi le risorse elencate in Aggiornamenti del sistema operativo Windows di maggio 2018 e fai riferimento ai seguenti avvisi di sicurezza:
-
ADV180012 | Linee guida Di Microsoft per Speculative Store Bypass
-
ADV180013 | Linee guida Microsoft per la lettura del registro di sistema rogue
Il 13 giugno 2018 è stata annunciata una vulnerabilità aggiuntiva che coinvolge l'esecuzione speculativa del canale laterale, nota come Lazy FP State Restore, a cui è stato assegnato CVE-2018-3665. Per ulteriori informazioni su questa vulnerabilità e sulle azioni consigliate, vedi il seguente avviso di sicurezza:
Il 14 agosto 2018, L1 Terminal Fault (L1TF), è stata annunciata una nuova vulnerabilità di esecuzione speculativa del canale laterale che ha più CVE. L1TF influisce sui processori Intel® Core® e sui processori Intel® Xeon®. Per ulteriori informazioni su L1TF e sulle azioni consigliate, vedi l'avviso di sicurezza:
Nota: È consigliabile installare tutti gli aggiornamenti più recenti di Windows Update prima di installare gli aggiornamenti del microcodice.
Il 14 maggio 2019 Intel ha pubblicato informazioni su una nuova sottoclasse di vulnerabilità di esecuzione speculativa del canale laterale nota come Microarchitectural Data Sampling. Sono stati assegnati i seguenti CVE:
-
CVE-2018-11091 - "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 - "Microarchitectural Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 - "MFBDS (Microarchitectural Fill Buffer Data Sampling)"
-
CVE-2018-12130 - "MlPDS(Microarchitectural Load Port Data Sampling)"
Importante: questi problemi interesseranno altri sistemi come Android, Chrome, iOS e MacOS. Consigliamo ai clienti di chiedere assistenza ai rispettivi fornitori.
Microsoft ha rilasciato aggiornamenti per ridurre queste vulnerabilità. Per ottenere tutte le protezioni disponibili, sono necessari aggiornamenti del firmware (microcodice) e software. Può includere il microcodice degli OEM del dispositivo. In alcuni casi, l'installazione di questi aggiornamenti avrà un impatto delle prestazioni. Abbiamo anche agito per proteggere i nostri servizi cloud.
Nota: è consigliabile installare tutti gli aggiornamenti più recenti di Windows Update prima di installare gli aggiornamenti del microcodice.
Per altre informazioni su questi problemi e sulle azioni consigliate, vedere il seguente avviso di sicurezza:
Il 6 agosto 2019 Intel ha rilasciato dettagli su una vulnerabilità di divulgazione di informazioni sul kernel di Windows. Questa vulnerabilità è una variante della vulnerabilità del canale laterale di esecuzione speculativa Spectre Variant 1 ed è stata assegnata CVE-2019-1125.
Microsoft ha rilasciato un aggiornamento della sicurezza per il sistema operativo Windows il 9 luglio 2019 per attenuare questo problema. I clienti che hanno Windows Update abilitato e hanno applicato gli aggiornamenti della sicurezza rilasciati il 9 luglio 2019 sono protetti automaticamente. Tieni presente che questa vulnerabilità non richiede un aggiornamento del microcodice del produttore del dispositivo (OEM).
Per ulteriori informazioni su questa vulnerabilità e sugli aggiornamenti applicabili, vedere CVE-2019-1125 | Vulnerabilità relativa alla divulgazione delle informazioni del kernel di Windows nella Guida sull'aggiornamento della sicurezza Di Microsoft.
Il 14 giugno 2022, Intel ha pubblicato informazioni su una nuova sottoclasse di vulnerabilità I/O mappate alla memoria di esecuzione speculativa (MMIO) del canale laterale elencate nell'avviso:
Procedura per proteggere i dispositivi Windows
Potrebbe essere necessario aggiornare sia il firmware (microcodice) che il software per risolvere queste vulnerabilità. Per le azioni consigliate, fai riferimento a Microsoft Security Advisories. Sono inclusi gli aggiornamenti del firmware (microcodice) applicabili dei produttori di dispositivi e, in alcuni casi, gli aggiornamenti del software antivirus. Microsoft consiglia di mantenere i dispositivi aggiornati installando gli aggiornamenti della sicurezza di Windows mensili.
Per ricevere tutte le protezioni disponibili, segui questi passaggi per ottenere gli aggiornamenti più recenti per software e hardware.
Nota: Prima di iniziare, verifica che il software antivirus (AV) sia aggiornato e compatibile. Controlla il sito Web del produttore del software antivirus per le informazioni sulla compatibilità più recenti.
-
Mantieni aggiornato il tuo dispositivo Windows attivando gli aggiornamenti automatici.
-
Verifica di avere installato l'ultimo aggiornamento della sicurezza Microsoft per il sistema operativo Windows. Se gli aggiornamenti automatici sono attivati, gli aggiornamenti devono essere distribuiti automaticamente all'utente. Tuttavia, è comunque consigliabile verificare che siano installati. Per istruzioni, vedere Windows Update: domande frequenti
-
Installa gli aggiornamenti del firmware (microcodice) disponibili rilasciati dal produttore del dispositivo. Tutti i clienti dovranno contattare il produttore del dispositivo per scaricare e installare l'aggiornamento hardware specifico del dispositivo. Vedi la sezione "Risorse aggiuntive" per un elenco dei siti Web dei produttori di dispositivi.
Nota: È consigliabile installare gli ultimi aggiornamenti della sicurezza Microsoft per il sistema operativo Windows per usufruire della protezione disponibile. Gli aggiornamenti del software antivirus devono essere installati per primi. A seguire dovranno essere installati gli aggiornamenti del firmware e del sistema operativo. Microsoft consiglia di mantenere i dispositivi aggiornati installando gli aggiornamenti della sicurezza di Windows mensili.
I chip interessati includono quelli prodotti da Intel, AMD e ARM. Ciò significa che tutti i dispositivi che eseguono sistemi operativi Windows sono potenzialmente vulnerabili. Ciò include desktop, portatili, server cloud e smartphone. Sono interessati anche i dispositivi che eseguono altri sistemi operativi, ad esempio Android, Chrome, iOS e macOS. Consigliamo ai clienti che eseguono questi sistemi operativi di cercare assistenza da tali fornitori.
Al momento della pubblicazione, non avevamo ricevuto alcuna informazione per indicare che queste vulnerabilità sono state utilizzate per attaccare i clienti.
A partire da gennaio 2018, Microsoft ha rilasciato aggiornamenti per i sistemi operativi Windows e i Web browser Internet Explorer ed Edge per ridurre queste vulnerabilità e proteggere i clienti. Sono stati rilasciati anche aggiornamenti per proteggere i servizi cloud. Continuiamo a lavorare a stretto contatto con partner di settore, tra cui produttori di chip, OEM hardware e fornitori di app, per proteggere i clienti da questa classe di vulnerabilità.
Ti consigliamo di installare sempre gli aggiornamenti mensili per mantenere i tuoi dispositivi aggiornati e sicuri.
Questa documentazione verrà aggiornata non appena saranno disponibili nuove misure di prevenzione e ti consigliamo di ricontrollare regolarmente qui.
Aggiornamenti del sistema operativo Windows di luglio 2019
Il 6 agosto 2019 Intel ha divulgato informazioni dettagliate sulla vulnerabilità di sicurezza CVE-2019-1125 | Vulnerabilità divulgazione di informazioni kernel di Windows. Gli aggiornamenti della sicurezza per questa vulnerabilità sono stati rilasciati nell'ambito del rilascio dell'aggiornamento mensile di luglio del 9 luglio 2019.
Microsoft ha rilasciato un aggiornamento della sicurezza per il sistema operativo Windows il 9 luglio 2019 per attenuare questo problema. Abbiamo tenuto documenti pubblici su questa prevenzione fino alla divulgazione coordinata del settore martedì 6 agosto 2019.
I clienti che hanno Windows Update abilitato e hanno applicato gli aggiornamenti della sicurezza rilasciati il 9 luglio 2019 sono protetti automaticamente. Tieni presente che questa vulnerabilità non richiede un aggiornamento del microcodice del produttore del dispositivo (OEM).
Aggiornamenti del sistema operativo Windows di maggio 2019
Il 14 maggio 2019, Intel ha pubblicato informazioni su una nuova sottoclasse di vulnerabilità di esecuzione speculativa del canale laterale nota come Microarchitectural Data Sampling e ha ricevuto i seguenti CVE:
-
CVE-2018-11091 - "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 - "Microarchitectural Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 - "MFBDS (Microarchitectural Fill Buffer Data Sampling)"
-
CVE-2018-12130 - "MlPDS(Microarchitectural Load Port Data Sampling)"
Per altre informazioni su questo problema, vedere il seguente avviso di sicurezza e usare le linee guida basate su scenari descritte negli articoli windows per client e server per determinare le azioni necessarie per mitigare la minaccia:
Microsoft ha rilasciato protezioni contro una nuova sottoclasse di vulnerabilità di esecuzione speculativa del canale laterale nota come Microarchitectural Data Sampling per le versioni a 64 bit (x64) di Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).
Utilizza le impostazioni del Registro di sistema come descritto negli articoli Windows Client (KB4073119) e Windows Server (KB4457951). Queste impostazioni del Registro di sistema sono abilitate per impostazione predefinita per le edizioni del sistema operativo Windows Client e windows server.
È consigliabile installare tutti gli aggiornamenti più recenti di Windows Update prima di installare gli aggiornamenti del microcodice.
Per altre informazioni su questo problema e sulle azioni consigliate, vedere il seguente avviso di sicurezza:
Intel ha rilasciato un aggiornamento del microcodice per le recenti piattaforme della CPU per contribuire a mitigare il CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. L'4093836 della Knowledge Base del 14 maggio 2019 per Windows elenca specifici articoli della Knowledge Base in base alla versione del sistema operativo Windows. L'articolo contiene anche collegamenti agli aggiornamenti di microcodice Intel disponibili per CPU. Questi aggiornamenti sono disponibili tramite Microsoft Catalog.
Nota: è consigliabile installare tutti gli aggiornamenti più recenti di Windows Update prima di installare gli aggiornamenti del microcodice.
Siamo lieti di annunciare che Retpoline è abilitato per impostazione predefinita nei dispositivi Windows 10, versione 1809 (per client e server) se Spectre Variant 2 (CVE-2017-5715) è abilitato. Abilitando Retpoline sull'ultima versione di Windows 10, tramite l'aggiornamento del 14 maggio 2019 (KB 4494441), prevediamo prestazioni migliorate, in particolare sui processori meno recenti.
I clienti devono assicurarsi che le protezioni del sistema operativo precedenti contro la vulnerabilità Spectre Variant 2 siano abilitate utilizzando le impostazioni del Registro di sistema descritte negli articoli Windows Client e Windows Server . Queste impostazioni del Registro di sistema sono abilitate per impostazione predefinita per le edizioni del sistema operativo di Windows Client, ma sono disabilitate per impostazione predefinita per le edizioni del sistema operativo Windows Server. Per ulteriori informazioni su "Retpoline", vedi Prevenzione della variante 2 di Spectre con Retpoline in Windows.
Aggiornamenti del sistema operativo Windows di novembre 2018
Microsoft ha rilasciato protezioni del sistema operativo per Speculative Store Bypass (CVE-2018-3639) per processori AMD (CPU).
Microsoft ha rilasciato altre protezioni del sistema operativo per i clienti che usano processori ARM a 64 bit. Contatta il produttore OEM del dispositivo per il supporto del firmware perché le protezioni del sistema operativo ARM64 che attenuano le protezioni CVE-2018-3639, Speculative Store Bypass, richiedono l'aggiornamento più recente del firmware da parte dell'OEM del dispositivo.
Aggiornamenti del sistema operativo Windows di settembre 2018
L'11 settembre, 2018, Microsoft ha rilasciato l'aggiornamento cumulativo mensile di Windows Server 2008 SP2 4458010 e sicurezza 4457984 per Windows Server 2008 che forniscono protezioni contro una nuova vulnerabilità di esecuzione speculativa del canale laterale nota come L1 Terminal Fault (L1TF) che interessa i processori Intel® Core® e i processori Intel® Xeon® (CVE-2018-3620 e CVE-2018-3646).
Questa versione completa le protezioni aggiuntive in tutte le versioni di sistema di Windows supportate tramite Windows Update. Per ulteriori informazioni e un elenco dei prodotti interessati, vedi ADV180018 | Linee guida Microsoft per attenuare la variante L1TF.
Nota: Windows Server 2008 SP2 segue ora il modello di aggiornamento cumulativo di manutenzione di Windows standard. Per ulteriori informazioni su queste modifiche, vedi il nostro blog relativo alle modifiche alla manutenzione di Windows Server 2008 SP2. I clienti che eseguono Windows Server 2008 devono installare 4458010 o 4457984 oltre all'aggiornamento della sicurezza 4341832, rilasciato il 14 agosto 2018. I clienti devono anche assicurarsi che le protezioni del sistema operativo precedenti contro le vulnerabilità Spectre Variant 2 e Meltdown siano abilitate usando le impostazioni del Registro di sistema descritte negli articoli della Knowledge Base di Windows Client e Windows Server . Queste impostazioni del Registro di sistema sono abilitate per impostazione predefinita per le edizioni del sistema operativo Windows Client, ma sono disabilitate per impostazione predefinita per le edizioni del sistema operativo Windows Server.
Microsoft ha rilasciato altre protezioni del sistema operativo per i clienti che usano processori ARM a 64 bit. Contatta il produttore OEM del dispositivo per il supporto del firmware perché le protezioni del sistema operativo ARM64 che attenuano il CVE-2017-5715 - Branch Target Injection (Spectre, variante 2) richiedono l'aggiornamento più recente del firmware da parte degli OEM del dispositivo per rendere effettivo.
Aggiornamenti del sistema operativo Windows di agosto 2018
Il 14 agosto 2018, è stato annunciato l'L1 Terminal Fault (L1TF) e sono stati assegnati più CVE. Queste nuove vulnerabilità di esecuzione speculativa del canale laterale possono essere usate per leggere il contenuto della memoria attraverso un limite attendibile e, se sfruttate, possono portare alla divulgazione delle informazioni. Esistono più vettori tramite i quali un utente malintenzionato potrebbe attivare le vulnerabilità a seconda dell'ambiente configurato. L1TF influisce sui processori Intel® Core® e sui processori Intel® Xeon®.
Per ulteriori informazioni su L1TF e una visualizzazione dettagliata degli scenari interessati, incluso l'approccio di Microsoft alla prevenzione di L1TF, vedi le risorse seguenti:
Aggiornamenti del sistema operativo Windows di luglio 2018
Siamo lieti di annunciare che Microsoft ha completato il rilascio di protezioni aggiuntive in tutte le versioni di sistema Windows supportate tramite Windows Update per le vulnerabilità seguenti:
-
Spectre Variant 2 per processori AMD
-
Speculative Store Bypass per processori Intel
Il 13 giugno 2018 è stata annunciata una vulnerabilità aggiuntiva che coinvolge l'esecuzione speculativa del canale laterale, nota come Lazy FP State Restore, a cui è stato assegnato CVE-2018-3665. Non sono necessarie impostazioni di configurazione (Registro di sistema) per Lazy Restore FP Restore.
Per ulteriori informazioni su questa vulnerabilità, sui prodotti interessati e sulle azioni consigliate, vedi il seguente avviso di sicurezza:
Il 12 giugno Microsoft ha annunciato il supporto di Windows per Speculative Store Bypass Disable (SSBD) nei processori Intel. Gli aggiornamenti richiedono firmware (microcodice) corrispondente e aggiornamenti del Registro di sistema per le funzionalità. Per informazioni sugli aggiornamenti e sui passaggi da applicare per attivare SSBD, vedere la sezione "Azioni consigliate" in ADV180012 | Linee guida Di Microsoft per Speculative Store Bypass.
Aggiornamenti del sistema operativo Windows di maggio 2018
Nel mese di gennaio 2018, Microsoft ha rilasciato informazioni su una classe di vulnerabilità hardware appena individuata (nota come Spectre e Meltdown) che coinvolgono canali laterali di esecuzione speculativa che interessano AMD, ARM e CPU Intel in diversi livelli. Il 21 maggio 2018 Google Project Zero (GPZ), Microsoft e Intel hanno divulgato due nuove vulnerabilità dei chip che sono correlate ai problemi di Spectre e Meltdown noti come Speculative Store Bypass (SSB) e Rogue System Registry Read.
Il rischio del cliente per entrambe le divulgazioni è basso.
Per altre informazioni su queste vulnerabilità, vedere le risorse seguenti:
-
Avviso di sicurezza Microsoft per Speculative Store Bypass: MSRC ADV180012 e CVE-2018-3639
-
Avviso di sicurezza Microsoft per Rogue System Register Lettura: MSRC ADV180013e CVE-2018-3640
-
Ricerca e difesa sulla sicurezza: analisi e prevenzione del bypass speculativo dello store (CVE-2018-3639)
Si applica a: Windows 10, versione 1607, Windows Server 2016, Windows Server 2016 (installazione Server Core) e Windows Server, versione 1709 (installazione Server Core)
Abbiamo fornito il supporto per controllare l'uso di Indirect Branch Prediction Barrier (IBPB) all'interno di alcuni processori AMD (CPU) per attenuare i problemi relativi a CVE-2017-5715, Spectre Variant 2 quando si passa dal contesto utente al contesto kernel. Per altre informazioni, vedere Le linee guida sull'architettura AMD relative al controllo Indirect Branch e ai Aggiornamenti per la sicurezza AMD.
I clienti che eseguono Windows 10, versione 1607, Windows Server 2016, Windows Server 2016 (installazione Server Core) e Windows Server, versione 1709 (installazione Server Core) devono installare l'aggiornamento della sicurezza 4103723 per altre misure di prevenzione per i processori AMD per CVE-2017-5715, Branch Target Injection. Questo aggiornamento è disponibile anche tramite Windows Update.
Segui le istruzioni indicate in Kb 4073119 for Windows Client (IT Pro) guidance e KB 4072698 for Windows Server guidance per abilitare l'uso di IBPB all'interno di alcuni processori AMD (CPU) per attenuare i problemi di Spectre Variant 2 quando passi dal contesto utente al contesto kernel.
Microsoft sta rendendo disponibili gli aggiornamenti del microcodice convalidato da Intel per la variante 2 di Spectre (CVE-2017-5715 "Branch Target Injection"). Per ottenere gli aggiornamenti più recenti del microcodice Intel tramite Windows Update, i clienti devono aver installato il microcodice Intel nei dispositivi che eseguono un sistema operativo Windows 10 prima di eseguire l'aggiornamento Windows 10 aprile 2018 (versione 1803).
L'aggiornamento del microcodice è anche disponibile direttamente dal catalogo se non è stato installato nel dispositivo prima di aggiornare il sistema operativo. Il microcodice Intel è disponibile tramite Windows Update, WSUS o Microsoft Update Catalog. Per altre informazioni e istruzioni per il download, vedi kb 4100347.
Microsoft offrirà ulteriori aggiornamenti del microcodice di Intel per il sistema operativo Windows non appena saranno disponibili per Microsoft.
Si applica a: Windows 10, versione 1709
Abbiamo fornito il supporto per controllare l'uso di Indirect Branch Prediction Barrier (IBPB) all'interno di alcuni processori AMD (CPU) per attenuare i problemi relativi a CVE-2017-5715, Spectre Variant 2 quando si passa dal contesto utente al contesto kernel. Per altre informazioni, vedere Le linee guida sull'architettura AMD relative al controllo Indirect Branch e ai Aggiornamenti per la sicurezza AMD. Segui le istruzioni descritte in KB 4073119 for Windows Client (IT Pro) per abilitare l'uso di IBPB all'interno di alcuni processori AMD (CPU) per la prevenzione di Spectre Variant 2 quando passi dal contesto utente al contesto kernel.
Microsoft sta rendendo disponibili gli aggiornamenti del microcodice convalidato da Intel per la variante 2 di Spectre (CVE-2017-5715 "Branch Target Injection"). KB4093836 elenca specifici articoli della Knowledge Base in base alla versione di Windows. Ogni kb specifica contiene gli ultimi aggiornamenti di microcodice Intel disponibili per CPU.
Microsoft offrirà ulteriori aggiornamenti del microcodice di Intel per il sistema operativo Windows non appena saranno disponibili per Microsoft.
Aggiornamenti del sistema operativo Windows di marzo 2018 e versioni successive
23 marzo, TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown on Windows
14 marzo, Security Tech Center: Condizioni del programma Speculative Execution Side Channel Bounty
Blog del 13 marzo 2018: aggiornamento Sicurezza di Windows di marzo 2018 - Espansione dei nostri sforzi per proteggere i clienti
Blog del 1° marzo: Aggiornamento degli aggiornamenti della sicurezza Spectre e Meltdown per i dispositivi Windows
A partire da marzo 2018, Microsoft ha rilasciato aggiornamenti della sicurezza per fornire misure di prevenzione per i dispositivi che eseguono i sistemi operativi Windows basati su x86 seguenti. I clienti devono installare gli ultimi aggiornamenti della sicurezza del sistema operativo Windows per sfruttare le protezioni disponibili. Stiamo lavorando per fornire protezioni per altre versioni di Windows supportate, ma al momento non è disponibile una pianificazione dei rilasci. Ricontrollare qui per gli aggiornamenti. Per ulteriori informazioni, vedere l'articolo della Knowledge Base correlato per dettagli tecnici e la sezione "Domande frequenti".
Aggiornamento del prodotto rilasciato |
Stato |
Data di rilascio |
Canale di rilascio |
KB |
Windows 8.1 & Windows Server 2012 R2 - Aggiornamento solo della sicurezza |
Rilasciato |
13-mar |
WSUS, Catalogo, |
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 - Aggiornamento della sicurezza |
Rilasciato |
13-mar |
WSUS, Catalogo |
|
Windows Server 2012 - Aggiornamento della sicurezza Windows 8 Embedded Standard Edition - Aggiornamento della sicurezza |
Rilasciato |
13-mar |
WSUS, Catalogo |
|
Windows 8.1 & Windows Server 2012 R2 - Aggiornamento cumulativo mensile |
Rilasciato |
13-mar |
Windows Update, WSUS, Catalogo |
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 - Aggiornamento cumulativo mensile |
Rilasciato |
13-mar |
Windows Update, WSUS, Catalogo |
|
Windows Server 2012 - Aggiornamento cumulativo mensile Windows 8 Embedded Standard Edition - Aggiornamento cumulativo mensile |
Rilasciato |
13-mar |
Windows Update, WSUS, Catalogo |
|
Windows Server 2008 SP2 |
Rilasciato |
13-mar |
Windows Update, WSUS, Catalogo |
A partire da marzo 2018, Microsoft ha rilasciato aggiornamenti della sicurezza per fornire misure di prevenzione per i dispositivi che eseguono i sistemi operativi Windows basati su x64 seguenti. I clienti devono installare gli ultimi aggiornamenti della sicurezza del sistema operativo Windows per sfruttare le protezioni disponibili. Stiamo lavorando per fornire protezioni per altre versioni di Windows supportate, ma al momento non è disponibile una pianificazione dei rilasci. Ricontrollare qui per gli aggiornamenti. Per altre informazioni, vedere l'articolo knowledge base correlato per dettagli tecnici e la sezione "Domande frequenti".
Aggiornamento del prodotto rilasciato |
Stato |
Data di rilascio |
Canale di rilascio |
KB |
Windows Server 2012 - Aggiornamento della sicurezza Windows 8 Embedded Standard Edition - Aggiornamento della sicurezza |
Rilasciato |
13-mar |
WSUS, Catalogo |
|
Windows Server 2012 - Aggiornamento cumulativo mensile Windows 8 Embedded Standard Edition - Aggiornamento cumulativo mensile |
Rilasciato |
13-mar |
Windows Update, WSUS, Catalogo |
|
Windows Server 2008 SP2 |
Rilasciato |
13-mar |
Windows Update, WSUS, Catalogo |
Questo aggiornamento risolve una vulnerabilità dell'elevazione dei privilegi nel kernel di Windows nella versione a 64 bit (x64) di Windows. Questa vulnerabilità è documentata in CVE-2018-1038. Gli utenti devono applicare questo aggiornamento per essere completamente protetti da questa vulnerabilità se i loro computer sono stati aggiornati in data o dopo gennaio 2018 applicando uno degli aggiornamenti elencati nel seguente articolo della Knowledge Base:
Questo aggiornamento della sicurezza risolve diverse vulnerabilità segnalate in Internet Explorer. Per altre informazioni su queste vulnerabilità, vedi Vulnerabilità e esposizioni comuni di Microsoft.
Aggiornamento del prodotto rilasciato |
Stato |
Data di rilascio |
Canale di rilascio |
KB |
Internet Explorer 10 - Aggiornamento cumulativo per Windows 8 Embedded Standard Edition |
Rilasciato |
13-mar |
Windows Update, WSUS, Catalogo |
Aggiornamenti del sistema operativo Windows di febbraio 2018
Blog: Windows Analytics ora aiuta a valutare le protezioni Spectre e Meltdown
I seguenti aggiornamenti della sicurezza forniscono protezioni aggiuntive per i dispositivi che eseguono sistemi operativi Windows a 32 bit (x86). Microsoft consiglia di installare l'aggiornamento non appena disponibile. Microsoft continua a lavorare per fornire protezioni per altre versioni di Windows supportate, ma al momento non ha una pianificazione dei rilasci. Ricontrollare qui per gli aggiornamenti.
Nota Windows 10 aggiornamenti mensili della sicurezza sono cumulativi mese dopo mese e verranno scaricati e installati automaticamente da Windows Update. Se hai installato aggiornamenti precedenti, nel tuo dispositivo verranno scaricate e installate solo le nuove parti. Per ulteriori informazioni, vedere l'articolo della Knowledge Base correlato per dettagli tecnici e la sezione "Domande frequenti".
Aggiornamento del prodotto rilasciato |
Stato |
Data di rilascio |
Canale di rilascio |
KB |
Windows 10 - Versione 1709/Windows Server 2016 (1709)/IoT Core - Aggiornamento qualitativo |
Rilasciato |
31-gen |
Windows Update, Catalogo |
|
Windows Server 2016 (1709) - Contenitore server |
Rilasciato |
13-feb |
Hub Docker |
|
Windows 10 - Versione 1703/IoT Core - Aggiornamento qualitativo |
Rilasciato |
13-feb |
Windows Update, WSUS, Catalogo |
|
Windows 10 - Versione 1607/Windows Server 2016/IoT Core - Aggiornamento qualitativo |
Rilasciato |
13-feb |
Windows Update, WSUS, Catalogo |
|
Windows 10 HoloLens - Sistema operativo e Aggiornamenti firmware |
Rilasciato |
13-feb |
Windows Update, Catalogo |
|
Windows Server 2016 (1607) - Immagini contenitore |
Rilasciato |
13-feb |
Hub Docker |
|
Windows 10 - Versione 1511/IoT Core - Aggiornamento qualitativo |
Rilasciato |
13-feb |
Windows Update, WSUS, Catalogo |
|
Windows 10 - Versione RTM - Aggiornamento qualitativo |
Rilasciato |
13-feb |
Windows Update, WSUS, Catalogo |
Aggiornamenti del sistema operativo Windows di gennaio 2018
A partire da gennaio 2018, Microsoft ha rilasciato aggiornamenti della sicurezza per fornire le misure di prevenzione per i dispositivi che eseguono i seguenti sistemi operativi Windows basati su x64. I clienti devono installare gli ultimi aggiornamenti della sicurezza del sistema operativo Windows per sfruttare le protezioni disponibili. Stiamo lavorando per fornire protezioni per altre versioni di Windows supportate, ma al momento non è disponibile una pianificazione dei rilasci. Ricontrollare qui per gli aggiornamenti. Per ulteriori informazioni, vedere l'articolo della Knowledge Base correlato per dettagli tecnici e la sezione "Domande frequenti".
Aggiornamento del prodotto rilasciato |
Stato |
Data di rilascio |
Canale di rilascio |
KB |
Windows 10 - Versione 1709/Windows Server 2016 (1709)/IoT Core - Aggiornamento qualitativo |
Rilasciato |
3-gen |
Windows Update, WSUS, Catalogo, Raccolta immagini di Azure |
|
Windows Server 2016 (1709) - Contenitore server |
Rilasciato |
5-gen |
Hub Docker |
|
Windows 10 - Versione 1703/IoT Core - Aggiornamento qualitativo |
Rilasciato |
3-gen |
Windows Update, WSUS, Catalogo |
|
Windows 10 - Versione 1607/Windows Server 2016/IoT Core - Aggiornamento qualitativo |
Rilasciato |
3-gen |
Windows Update, WSUS, Catalogo |
|
Windows Server 2016 (1607) - Immagini contenitore |
Rilasciato |
4-gen |
Hub Docker |
|
Windows 10 - Versione 1511/IoT Core - Aggiornamento qualitativo |
Rilasciato |
3-gen |
Windows Update, WSUS, Catalogo |
|
Windows 10 - Versione RTM - Aggiornamento qualitativo |
Rilasciato |
3-gen |
Windows Update, WSUS, Catalogo |
|
Windows 10 Mobile (build del sistema operativo 15254.192) - ARM |
Rilasciato |
5-gen |
Windows Update, Catalogo |
|
Windows 10 Mobile (build del sistema operativo 15063.850) |
Rilasciato |
5-gen |
Windows Update, Catalogo |
|
Windows 10 Mobile (build del sistema operativo 14393.2007) |
Rilasciato |
5-gen |
Windows Update, Catalogo |
|
Windows 10 HoloLens |
Rilasciato |
5-gen |
Windows Update, Catalogo |
|
Windows 8.1/Windows Server 2012 R2 - Aggiornamento della sicurezza |
Rilasciato |
3-gen |
WSUS, Catalogo |
|
Windows Embedded 8.1 Industry Enterprise |
Rilasciato |
3-gen |
WSUS, Catalogo |
|
Windows Embedded 8.1 Industry Pro |
Rilasciato |
3-gen |
WSUS, Catalogo |
|
Windows Embedded 8.1 Pro |
Rilasciato |
3-gen |
WSUS, Catalogo |
|
Windows 8.1/Aggiornamento cumulativo mensile di Windows Server 2012 R2 |
Rilasciato |
8-gen |
Windows Update, WSUS, Catalogo |
|
Windows Embedded 8.1 Industry Enterprise |
Rilasciato |
8-gen |
Windows Update, WSUS, Catalogo |
|
Windows Embedded 8.1 Industry Pro |
Rilasciato |
8-gen |
Windows Update, WSUS, Catalogo |
|
Windows Embedded 8.1 Pro |
Rilasciato |
8-gen |
Windows Update, WSUS, Catalogo |
|
Solo sicurezza di Windows Server 2012 |
Rilasciato |
WSUS, Catalogo |
||
Windows Server 2008 SP2 |
Rilasciato |
Windows Update, WSUS, Catalogo |
||
Aggiornamento cumulativo mensile di Windows Server 2012 |
Rilasciato |
Windows Update, WSUS, Catalogo |
||
Windows Embedded 8 Standard |
Rilasciato |
Windows Update, WSUS, Catalogo |
||
Windows 7 SP1/Windows Server 2008 R2 SP1 - Aggiornamento della sicurezza |
Rilasciato |
3-gen |
WSUS, Catalogo |
|
Windows Embedded Standard 7 |
Rilasciato |
3-gen |
WSUS, Catalogo |
|
Windows Embedded POSReady 7 |
Rilasciato |
3-gen |
WSUS, Catalogo |
|
Windows Thin PC |
Rilasciato |
3-gen |
WSUS, Catalogo |
|
Windows 7 SP1/Aggiornamento cumulativo mensile di Windows Server 2008 R2 SP1 |
Rilasciato |
4-gen |
Windows Update, WSUS, Catalogo |
|
Windows Embedded Standard 7 |
Rilasciato |
4-gen |
Windows Update, WSUS, Catalogo |
|
Windows Embedded POSReady 7 |
Rilasciato |
4-gen |
Windows Update, WSUS, Catalogo |
|
Windows Thin PC |
Rilasciato |
4-gen |
Windows Update, WSUS, Catalogo |
|
Internet Explorer 11 - Aggiornamento cumulativo per Windows 7 SP1 e Windows 8.1 |
Rilasciato |
3-gen |
Windows Update, WSUS, Catalogo |
Il 9 aprile 2024 è stato pubblicato CVE-2022-0001 | Intel Branch History Injection che descrive Branch History Injection (BHI), che è una forma specifica di BTI intra-mode. Questa vulnerabilità si verifica quando un utente malintenzionato può manipolare la cronologia dei rami prima della transizione dalla modalità utente a supervisore (o dalla modalità non radice/guest VMX alla modalità radice). Questa modifica potrebbe causare la selezione di una voce del preditore specifico per un ramo indiretto e l'esecuzione transitoria di un gadget di divulgazione presso la destinazione prevista. Ciò può essere possibile perché la cronologia dei rami rilevante può contenere rami acquisiti in contesti di sicurezza precedenti e, in particolare, in altre modalità di previsione.
Seguire le istruzioni indicate in KB4073119 per i client Windows (professionisti IT) e KB4072698 per Windows Server per attenuare le vulnerabilità descritte in CVE-2022-0001 | Intel Branch History Injection.
Risorse e linee guida tecniche
A seconda del tuo ruolo, i seguenti articoli di supporto possono aiutarti a identificare e ridurre gli ambienti client e server interessati dalle vulnerabilità Spectre e Meltdown.
Avviso di sicurezza Microsoft per L1 Terminal Fault (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646
Ricerca e difesa sulla sicurezza: analisi e prevenzione del bypass speculativo dello store (CVE-2018-3639)
Avviso di sicurezza Microsoft per Speculative Store Bypass: MSRC ADV180012 e CVE-2018-3639
Avviso di sicurezza Microsoft per la lettura di Rogue System Register | Guida all'aggiornamento della sicurezza per Surface: MSRC ADV180013e CVE-2018-3640
Ricerca e difesa sulla sicurezza: analisi e prevenzione del bypass speculativo dello store (CVE-2018-3639)
TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown su Windows
Security Tech Center: Condizioni del programma Speculative Execution Side Channel Bounty
Blog sull'esperienza Microsoft: Aggiornamento degli aggiornamenti della sicurezza Spectre e Meltdown per i dispositivi Windows
Blog di Windows for Business: Windows Analytics ora aiuta a valutare le protezioni Spectre e Meltdown
Blog di Microsoft Secure: Informazioni sull'impatto sulle prestazioni delle misure di prevenzione di Spectre e Meltdown nei sistemi Windows
Blog degli sviluppatori di Edge: Prevenzione degli attacchi di esecuzione speculativa del canale laterale in Microsoft Edge e Internet Explorer
Blog di Azure: Protezione dei clienti Azure dalla vulnerabilità della CPU
linee guida SCCM: Linee guida aggiuntive per mitigare le vulnerabilità di esecuzione speculativa del canale laterale
Consulenti Microsoft:
-
ADV180002 | Linee guida per attenuare le vulnerabilità di esecuzione speculativa del canale laterale
-
ADV180012 | Linee guida Di Microsoft per Speculative Store Bypass
-
ADV180013 | Linee guida Microsoft per la lettura del registro di sistema rogue
-
ADV180016 | Linee guida Microsoft per il ripristino dello stato di Lazy FP
-
ADV180018 | Linee guida Microsoft per attenuare la variante L1TF
Intel: avviso di sicurezza
ARM: avviso di sicurezza
AMD: avviso di sicurezza
NVIDIA: avviso di sicurezza
Linee guida per i consumatori: protezione del dispositivo dalle vulnerabilità di protezione correlate ai chip
Linee guida antivirus: aggiornamenti della sicurezza di Windows rilasciati il 3 gennaio 2018 e software antivirus
Linee guida per il blocco degli aggiornamenti della sicurezza del sistema operativo Windows amD: KB4073707: Blocco degli aggiornamenti della sicurezza del sistema operativo Windows per alcuni dispositivi basati su AMD
Aggiornamento per disabilitare la prevenzione contro Spectre, variante 2: KB4078130: Intel ha identificato problemi di riavvio con il microcodice su alcuni processori meno recenti
Linee guida di Surface: Linee guida di Surface per la protezione dalle vulnerabilità di esecuzione speculativa del canale laterale
Verifica lo stato delle misure di prevenzione del canale laterale di esecuzione speculativa: informazioni Get-SpeculationControlSettings output di script di PowerShell
Linee guida per professionisti IT: Linee guida del client Windows per i professionisti IT per la protezione dalle vulnerabilità di esecuzione speculativa del canale laterale
Linee guida del server: linee guida di Windows Server per la protezione dalle vulnerabilità di esecuzione speculativa del canale laterale
Linee guida del server per l'errore terminale L1: linee guida di Windows Server per la protezione dagli errori dei terminali L1
Linee guida per sviluppatori: Linee guida per sviluppatori per Speculative Store Bypass
Linee guida di Server Hyper-V
KB di Azure: KB4073235: Microsoft Cloud Protections against Speculative Execution Side-Channel Vulnerabilità
Linee guida dello stack di Azure: KB4073418: Linee guida dello stack di Azure per la protezione dalle vulnerabilità di esecuzione speculativa del canale laterale
Affidabilità di Azure: Portale di affidabilità di Azure
linee guida SQL Server: KB4073225: linee guida SQL Server per la protezione dalle vulnerabilità di esecuzione speculativa del canale laterale
Collegamenti ai produttori di dispositivi OEM e server per gli aggiornamenti da proteggere dalle vulnerabilità Spectre e Meltdown
Per risolvere queste vulnerabilità, è necessario aggiornare sia l'hardware che il software. Utilizza i collegamenti seguenti per contattare il produttore del dispositivo per verificare la disponibilità di aggiornamenti del firmware (microcodice) applicabili.
Utilizza i collegamenti seguenti per contattare il produttore del dispositivo per verificare la disponibilità di aggiornamenti del firmware (microcodice). Dovrai installare gli aggiornamenti del sistema operativo e del firmware (microcodice) per tutte le protezioni disponibili.
Produttori di dispositivi OEM |
Collegamento alla disponibilità del microcodice |
Acer |
|
Asus |
|
Dell |
|
Epson |
|
Fujitsu |
|
HP |
|
Lenovo |
|
LG |
|
NEC |
Sulla risposta alla vulnerabilità del processore (meltdown, spectrum) nei nostri prodotti |
Panasonic |
|
Samsung |
|
Surface |
|
Toshiba |
|
Vaio |
Sul supporto delle vulnerabilità per l'analisi dei canali laterali |
Produttori OEM di server |
Collegamento alla disponibilità del microcodice |
Dell |
|
Fujitsu |
|
HPE |
Avvisi di vulnerabilità relative alla sicurezza dei prodotti Hewlett Packard Enterprise |
Huawei |
|
Lenovo |
Domande frequenti
Dovrai contattare il produttore del dispositivo per verificare la disponibilità di aggiornamenti del firmware (microcodice). Se il produttore del dispositivo non è elencato nella tabella, contatta direttamente l'OEM.
Aggiornamenti per i dispositivi Microsoft Surface sono disponibili per i clienti tramite Windows Update. Per un elenco degli aggiornamenti del firmware del dispositivo Surface (microcodice) disponibili, vedi kb 4073065.
Se il dispositivo non proviene da Microsoft, applica gli aggiornamenti del firmware rilasciati dal produttore del dispositivo. Per altre informazioni, contatta il produttore del dispositivo.
La risoluzione di una vulnerabilità hardware tramite un aggiornamento software presenta sfide significative e misure di prevenzione per i sistemi operativi meno recenti e può richiedere modifiche architetturali estese. Stiamo continuando a lavorare con i produttori di chip interessati per analizzare il modo migliore per fornire le misure di prevenzione. Questo potrebbe essere fornito in un aggiornamento futuro. La sostituzione dei dispositivi meno recenti che eseguono questi sistemi operativi meno recenti e l'aggiornamento del software antivirus dovrebbe risolvere il rischio rimanente.
Note:
-
I prodotti attualmente non supportati sia dal supporto Mainstream che dal supporto Extended non riceveranno questi aggiornamenti di sistema. Consigliamo ai clienti di eseguire l'aggiornamento a una versione di sistema supportata.
-
Gli attacchi di esecuzione speculativa del canale laterale sfruttano il comportamento e la funzionalità della CPU. I produttori di CPU devono prima determinare quali processori possono essere a rischio e quindi informare Microsoft. In molti casi, gli aggiornamenti del sistema operativo corrispondenti saranno necessari anche per offrire ai clienti una protezione più completa. È consigliabile che i fornitori di Windows CE attenti alla sicurezza collaborino con il produttore del chip per comprendere le vulnerabilità e le misure di prevenzione applicabili.
-
Non verranno rilasciati gli aggiornamenti per le piattaforme seguenti:
-
Sistemi operativi Windows che sono attualmente privi di supporto o quelle che termineranno il servizio nel 2018
-
Sistemi basati su Windows XP, tra cui WES 2009 e POSReady 2009
-
Anche se i sistemi basati su Windows XP sono prodotti interessati, Microsoft non rilascia alcun aggiornamento per loro perché le modifiche dell'architettura complete che sarebbero necessarie potrebbero compromettere la stabilità del sistema e causare problemi di compatibilità delle applicazioni. È consigliabile che i clienti che temono problemi relativi alla sicurezza eseguano l'aggiornamento a un sistema operativo supportato più recente per rimanere al passo con il paesaggio in continuo mutamento delle minacce della sicurezza e per trarre vantaggio dalle protezioni più affidabili offerte dai sistemi operativi più recenti.
Aggiornamenti per Windows 10 per HoloLens sono disponibili per i clienti holoLens tramite Windows Update.
Dopo aver applicatol'aggiornamento di Sicurezza di Windows di febbraio 2018, i clienti di HoloLens non devono eseguire altre azioni per aggiornare il firmware del dispositivo. Queste misure di prevenzione saranno incluse anche in tutte le versioni future di Windows 10 per HoloLens.
Per altre informazioni, contatta l'OEM.
Per proteggere completamente il dispositivo, devi installare gli ultimi aggiornamenti della sicurezza del sistema operativo Windows per il dispositivo e gli aggiornamenti del firmware (microcodice) applicabili rilasciati dal produttore del dispositivo. Questi aggiornamenti sono di solito disponibili sul sito Web del produttore del dispositivo. Gli aggiornamenti del software antivirus devono essere installati per primi. Gli aggiornamenti del sistema operativo e del firmware possono essere installati in qualsiasi ordine.
Dovrai aggiornare sia l'hardware che il software per risolvere questa vulnerabilità. Dovrai anche installare gli aggiornamenti del firmware (microcodice) applicabili rilasciati dal produttore del dispositivo per una protezione più completa. Microsoft consiglia di mantenere i dispositivi aggiornati installando gli aggiornamenti della sicurezza di Windows mensili.
In ogni aggiornamento delle funzionalità di Windows 10, creiamo la tecnologia di sicurezza più recente nel sistema operativo, fornendo funzionalità di difesa in profondità che impediscono a intere classi di malware di influire sul dispositivo. I rilasci degli aggiornamenti delle funzionalità sono previsti due volte l'anno. In ogni aggiornamento qualitativo mensile, aggiungiamo un altro livello di sicurezza che tiene traccia delle tendenze emergenti e in evoluzione del malware per rendere i sistemi aggiornati più sicuri di fronte al cambiamento e all'evoluzione delle minacce.
Microsoft ha sospeso il controllo di compatibilità av per gli aggiornamenti della sicurezza di Windows per le versioni supportate dei dispositivi Windows 10, Windows 8.1 e Windows 7 SP1 tramite Windows Update.
Consigli:-
Assicurati che i dispositivi siano aggiornati grazie agli aggiornamenti della sicurezza più recenti rilasciati da Microsoft e dal produttore dell'hardware. Per altre info su come mantenere aggiornato il tuo dispositivo, vedi Windows Update: domande frequenti.
-
Continuare a prestare particolare attenzione quando si visitano siti Web di origine sconosciuta e non rimangono in siti non attendibili. Microsoft consiglia a tutti i clienti di proteggere i propri dispositivi eseguendo un programma antivirus supportato. I clienti possono anche usufruire della protezione antivirus incorporata: Windows Defender per i dispositivi Windows 10 o Microsoft Security Essentials per i dispositivi Windows 7. Queste soluzioni sono compatibili nei casi in cui i clienti non possono installare o eseguire software antivirus.
Per evitare di influire negativamente sui dispositivi dei clienti, gli aggiornamenti della sicurezza di Windows rilasciati a gennaio o febbraio non sono stati offerti a tutti i clienti. Per informazioni dettagliate, vedere l'articolo della Microsoft Knowledge Base 4072699.
Intel ha segnalato problemi che interessano il microcodice rilasciato di recente che ha lo scopo di risolvere Spectre Variant 2 (CVE-2017-5715 - "Branch Target Injection"). In particolare, Intel ha osservato che questo microcodice può causare "riavvii superiori al previsto e altri comportamenti imprevisti del sistema" e anche che situazioni come questa possono causare "perdita o danneggiamento dei dati". La nostra esperienza personale è che l'instabilità del sistema può, in alcune circostanze, causare la perdita o il danneggiamento dei dati. Il 22 gennaio Intel ha consigliato ai clienti di interrompere la distribuzione della versione corrente del microcodice sui processori interessati mentre eseguono ulteriori test sulla soluzione aggiornata. Sappiamo che Intel sta continuando ad analizzare il potenziale impatto della versione corrente del microcodice e incoraggiamo i clienti a rivedere le loro indicazioni su base continuativa per informare le loro decisioni.
Mentre Intel testa, aggiorna e distribuisce nuovo microcodice, stiamo rendendo disponibile un aggiornamento fuori banda, KB 4078130, che disabilita in modo specifico solo la prevenzione contro CVE-2017-5715, "Branch Target Injection". Nei nostri test, questo aggiornamento è stato trovato per impedire il comportamento descritto. Per l'elenco completo dei dispositivi, vedi le linee guida per la revisione del microcodice di Intel. Questo aggiornamento riguarda Windows 7 (SP1), Windows 8.1 e tutte le versioni di Windows 10, per client e server. Se stai eseguendo un dispositivo interessato, questo aggiornamento può essere applicato scaricandolo dal sito Web Microsoft Update Catalog. L'applicazione di questo payload disabilita in modo specifico solo la prevenzione contro la CVE-2017-5715 - "Branch Target Injection".
A partire dal 25 gennaio, non ci sono rapporti noti per indicare che questo Spectre Variant 2 (CVE-2017-5715) è stato utilizzato per attaccare i clienti. Quando appropriato, consigliamo ai clienti Windows di abilitare nuovamente la prevenzione contro la CVE-2017-5715 quando Intel segnala che questo comportamento imprevisto del sistema è stato risolto per il tuo dispositivo.
No. Gli aggiornamenti solo della sicurezza non sono cumulativi. A seconda della versione del sistema operativo in esecuzione, è necessario installare tutti gli aggiornamenti rilasciati solo della sicurezza per essere protetti da queste vulnerabilità. Ad esempio, se esegui Windows 7 per sistemi a 32 bit su una CPU Intel interessata, devi installare ogni aggiornamento solo della sicurezza a partire da gennaio 2018. È consigliabile installare questi aggiornamenti solo della sicurezza nell'ordine di rilascio.
Nota Una versione precedente di queste domande frequenti indicava erroneamente che l'aggiornamento solo della sicurezza di febbraio includeva le correzioni per la sicurezza rilasciate a gennaio. In realtà, non lo fa.No. L'aggiornamento della sicurezza 4078130 è stato una correzione specifica per evitare comportamenti imprevisti del sistema, problemi di prestazioni e riavvii imprevisti dopo l'installazione del microcodice. L'applicazione degli aggiornamenti della sicurezza di febbraio nei sistemi operativi client Windows abilita tutte e tre le misure di prevenzione. Nei sistemi operativi server Windows, è comunque necessario abilitare le misure di prevenzione dopo l'esecuzione dei test appropriati. Per altre informazioni , vedere l'articolo 4072698 della Microsoft Knowledge Base .
AMD ha recentemente annunciato di aver iniziato a rilasciare microcodice per le piattaforme CPU più recenti intorno a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Per altre informazioni, vedere il white paper su AMD Security Aggiornamenti e AMD: Linee guida sull'architettura per il controllo indirect branch. Sono disponibili dal canale del firmware OEM.
Intel ha recentemente annunciato di aver completato le convalide e ha iniziato a rilasciare microcodice per le piattaforme CPU più recenti. Microsoft sta rendendo disponibili gli aggiornamenti del microcodice convalidato da Intel per la variante 2 di Spectre (CVE-2017-5715 "Branch Target Injection"). 4093836 KB elenca specifici articoli della Knowledge Base in base alla versione di Windows. Ogni specifico articolo KB contiene gli aggiornamenti di microcodice Intel disponibili per CPU.
Microsoft sta rendendo disponibili gli aggiornamenti del microcodice convalidato da Intel per la variante 2 di Spectre (CVE-2017-5715 "Branch Target Injection"). Per ottenere gli aggiornamenti più recenti del microcodice Intel tramite Windows Update, i clienti devono aver installato il microcodice Intel nei dispositivi che eseguono un sistema operativo Windows 10 prima di eseguire l'aggiornamento Windows 10 aprile 2018 (versione 1803).
L'aggiornamento del microcodice è disponibile anche direttamente dal catalogo di aggiornamento se non è stato installato nel dispositivo prima dell'aggiornamento del sistema. Il microcodice Intel è disponibile tramite Windows Update, WSUS o Microsoft Update Catalog. Per altre informazioni e istruzioni per il download, vedi kb 4100347.
Per altre informazioni, vedere le risorse seguenti:
Per informazioni dettagliate, vedere le sezioni "Azioni consigliate" e "Domande frequenti" in ADV180012 | Linee guida Di Microsoft per Speculative Store Bypass.
Per verificare lo stato di SSBD, lo script Get-SpeculationControlSettings PowerShell è stato aggiornato per rilevare i processori interessati, lo stato degli aggiornamenti del sistema operativo SSBD e lo stato del microcodice del processore, se applicabile. Per altre informazioni e per ottenere lo script di PowerShell, vedere KB4074629.
Il 13 giugno 2018 è stata annunciata una vulnerabilità aggiuntiva che coinvolge l'esecuzione speculativa del canale laterale, nota come Lazy FP State Restore, a cui è stato assegnato CVE-2018-3665. Non sono necessarie impostazioni di configurazione (Registro di sistema) per Lazy Restore FP Restore.
Per ulteriori informazioni su questa vulnerabilità e sulle azioni consigliate, consulta l'avviso di sicurezza: ADV180016 | Linee guida Microsoft per il ripristino dello stato di Lazy FP
NotaNon sono necessarie impostazioni di configurazione (Registro di sistema) per Lazy Restore FP Restore.
Bounds Check Bypass Store (BCBS) è stato divulgato il 10 luglio 2018 e ha assegnato CVE-2018-3693. Riteniamo che BCBS appartenga alla stessa classe di vulnerabilità di Bounds Check Bypass (variante 1). Attualmente non siamo a conoscenza di alcuna istanza di BCBS nel nostro software, ma stiamo continuando a cercare questa classe di vulnerabilità e collaboreremo con i partner del settore per rilasciare le misure di prevenzione in base alle esigenze. Continuiamo a incoraggiare i ricercatori a presentare qualsiasi risultato pertinente al programma di taglie Speculative Execution Side Channel di Microsoft, incluse eventuali istanze sfruttabili di BCBS. Gli sviluppatori di software devono esaminare le linee guida per gli sviluppatori aggiornate per BCBS all'https://aka.ms/sescdevguide.
Il 14 agosto 2018, è stato annunciato l'L1 Terminal Fault (L1TF) e sono stati assegnati più CVE. Queste nuove vulnerabilità di esecuzione speculativa del canale laterale possono essere usate per leggere il contenuto della memoria attraverso un limite attendibile e, se sfruttate, possono portare alla divulgazione delle informazioni. Esistono più vettori tramite i quali un utente malintenzionato potrebbe attivare le vulnerabilità a seconda dell'ambiente configurato. L1TF influisce sui processori Intel® Core® e sui processori Intel® Xeon®.
Per ulteriori informazioni su questa vulnerabilità e una visualizzazione dettagliata degli scenari interessati, incluso l'approccio di Microsoft alla prevenzione di L1TF, vedere le risorse seguenti:
Clienti di Microsoft Surface: I clienti che usano Microsoft Surface e i prodotti Surface Book devono seguire le indicazioni per il client Windows indicate nell'avviso di sicurezza: ADV180018 | Linee guida Microsoft per attenuare la variante L1TF. Vedi anche l'articolo della Microsoft Knowledge Base 4073065 per ulteriori informazioni sui prodotti Surface interessati e sulla disponibilità degli aggiornamenti del microcodice.
Clienti Microsoft Hololens: Microsoft HoloLens non è interessato da L1TF perché non usa un processore Intel interessato.
I passaggi necessari per disabilitare Hyper-Threading saranno diversi da OEM a OEM, ma in genere fanno parte del BIOS o degli strumenti di configurazione e configurazione del firmware.
I clienti che usano processori ARM a 64 bit devono contattare l'OEM del dispositivo per richiedere il supporto del firmware perché le protezioni del sistema operativo ARM64 che attenuano il CVE-2017-5715 - Branch Target Injection (Spectre, variante 2) richiedono l'aggiornamento più recente del firmware da parte degli OEM dei dispositivi per rendere effettivo.
Per informazioni dettagliate su questa vulnerabilità, vedere la Guida alla sicurezza Microsoft: CVE-2019-1125 | Vulnerabilità divulgazione di informazioni kernel di Windows.
Non siamo a conoscenza di alcuna istanza di questa vulnerabilità della divulgazione delle informazioni che interessa l'infrastruttura dei servizi cloud.
Non appena siamo a conoscenza di questo problema, abbiamo lavorato rapidamente per risolverlo e rilasciare un aggiornamento. Crediamo fortemente in strette partnership con ricercatori e partner di settore per rendere i clienti più sicuri e non abbiamo pubblicato dettagli fino a martedì 6 agosto, in linea con le procedure coordinate di divulgazione delle vulnerabilità.
Riferimenti
Microsoft fornisce informazioni di contatto di terze parti per consentire all'utente di trovare altre informazioni su questo argomento. Le informazioni di contatto sono soggette a modifica senza preavviso. Microsoft non garantisce l'accuratezza delle informazioni di contatto di terze parti.