Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Azure Stack HCI Windows Server 2022 Windows Server 2019 Windows Server 2016

Keisti datą

Keisti aprašą

2023 m. rugpjūčio 9 d.

  • Pašalintas turinys apie CVE-2022-23816, nes CVE numeris nenaudojamas

  • Pašalino pasikartojančią temą pavadinimu "Intel" mikrokodo naujinimai" skyriuje "Veiksmai, padedantys apsaugoti "Windows" įrenginius"

2024 m. balandžio 9 d.

  • Pridėta CVE-2022-0001 | "Intel Branch History" įdėjimas

Suvestinė

Šiame straipsnyje pateikiama informacija ir naujinimai apie naują mikroarchitektūros ir spėjamo vykdymo šalutinių kanalų spragas, kurios turi įtakos daugeliui šiuolaikinių procesorių ir operacinių sistemų. Joje taip pat pateikiamas išsamus "Windows" kliento ir serverio išteklių sąrašas, kad jūsų įrenginiai būtų apsaugoti namuose, darbe ir įmonėje. Tai apima "Intel", AMD ir ARM. Konkrečios informacijos apie pažeidžiamumą dėl šių mikros silicių problemų galima rasti šiose saugos patarimuose ir CVEs:

2018 m. sausio 3 d. "Microsoft" išleido patariamuosius ir saugos naujinimus, susijusius su naujai atrasta aparatūros spragų klase (vadinama "Spectre" ir "Meltdown"), įtraukianti su spėjamu vykdymu susijusius šalutinius kanalus, kurie įvairiu mastu veikia AMD, ARM ir "Intel" procesorius. Ši spragų klasė priklauso nuo įprastos lustų architektūros, kuri iš pradžių buvo sukurta kompiuteriams pagreitinti. Daugiau apie šiuos pažeidžiamumus galite sužinoti "Google Project Zero".

2018 m. gegužės 21 d. "Google Project Zero" (GPZ), "Microsoft " ir "Intel" atskleidė du naujus lusto pažeidžiamumus, susijusius su "Spectre" ir "Meltdown" problemomis, ir yra vadinami "Speculative Store Bypass" (SSB) ir "Rogue System Registry Read". Klientų rizika dėl abiejų atskleidimų yra maža.

Norėdami gauti daugiau informacijos apie šiuos pažeidžiamumą, peržiūrėkite išteklius, kurie išvardyti dalyje 2018 m. gegužės mėn. "Windows" operacinės sistemos naujinimai ir peržiūrėkite šiuos saugos patarimus:

2018 m. birželio 13 d. paskelbta apie papildomą pažeidžiamumą įtraukiant šalutinių kanalų spekuliacinį vykdymą, vadinamą "Lazy FP State Restore", ir priskirtas CVE-2018-3665. Daugiau informacijos apie šį pažeidžiamumą ir rekomenduojamus veiksmus, žr. šį saugos patarimą:

2018 m. rugpjūčio 14 d. paskelbta, kad L1 terminalo klaida (L1TF) yra naujas spėjamas vykdymo šalutinio kanalo pažeidžiamumas, kuriame yra keli CVEs. L1TF turi įtakos "Intel Core®"® procesoriams ir "Intel Xeon®"® procesoriams. Daugiau informacijos apie L1TF ir rekomenduojamus veiksmus žr. mūsų saugos patarime:

Pastaba: Rekomenduojame įdiegti visus naujausius naujinimus iš "Windows Update" prieš diegiant mikrokodo naujinimus.

2019 m. gegužės 14 d. "Intel" paskelbė informaciją apie naują su spėjamu vykdymu susijusių šalutinių kanalų spragų, vadinamų mikroarchitektūros duomenų atranka, poklasį. Jiems buvo priskirti šie CVEs:

Svarbu: šios problemos turės įtakos kitoms sistemoms, pvz., "Android", "Chrome", "iOS" ir "MacOS". Mes rekomenduojame klientams siekti patarimų iš jų atitinkamų pardavėjų.

"Microsoft" išleido naujinimus, kad padėtų sušvelninti šiuos pažeidžiamumus. Norint gauti visas galimas apsaugos priemones, reikalinga programinė-aparatinė įranga (mikrokodas) ir programinės įrangos naujinimai. Tai gali apimti mikrokodą iš įrenginio OĮG. Kai kuriais atvejais šių naujinimų diegimas turės įtakos veikimui. Taip pat veikėme siekdami apsaugoti savo debesies paslaugas.

Pastaba: rekomenduojame įdiegti visus naujausius naujinimus iš "Windows Update" prieš diegiant mikrokodo naujinimus.

Norėdami gauti daugiau informacijos apie šias problemas ir rekomenduojamus veiksmus, žr. šį saugos patarimą:

2019 m. rugpjūčio 6 d. "Intel" išleido išsamią informaciją apie "Windows" branduolio informacijos atskleidimo pažeidžiamumą. Šis pažeidžiamumas yra "Spectre Variant 1" spėjamo vykdymo šalutinio kanalo pažeidžiamumo variantas ir buvo priskirtas CVE-2019-1125.

"Microsoft" 2019 m. liepos 9 d. išleido "Windows" operacinės sistemos saugos naujinimą, kad padėtų išspręsti šią problemą. Klientai, kurie "Windows Update" įgalinti ir pritaikė 2019 m. liepos 9 d. išleistus saugos naujinimus, yra apsaugoti automatiškai. Atkreipkite dėmesį, kad šis pažeidžiamumas nereikalauja iš įrenginio gamintojo (OĮG) mikrokodo naujinimo.

Daugiau informacijos apie šį pažeidžiamumą ir taikomus naujinimus rasite CVE-2019-1125 | "Windows" branduolio informacijos atskleidimo pažeidžiamumas "Microsoft" saugos naujinimo vadove.

2022 m. birželio 14 d. "Intel" paskelbė informaciją apie naują spekuliacinių vykdymo atminties susietų įvesties/išvesties (MMIO) šalutinių kanalų spragų, išvardytų patarime, poklasį:

Veiksmai, padėsiančios apsaugoti "Windows" įrenginius

Gali tekti atnaujinti programinę-aparatinę įrangą (mikrokodą) ir programinę įrangą, kad išs spręsti šiuos pažeidžiamumus. Rekomenduojamų veiksmų ieškokite "Microsoft" saugos patarimuose. Tai apima įrenginių gamintojų taikomus programinės-aparatinės įrangos (mikrokodo) naujinimus ir, kai kuriais atvejais, antivirusinės programinės įrangos naujinimus. Raginame įdiegti mėnesio saugos naujinimus ir taip užtikrinti, kad jūsų įrenginiai būtų atnaujinti. 

Norėdami gauti visą galimą apsaugą, atlikite šiuos veiksmus, kad gautumėte naujausius programinės įrangos ir aparatūros naujinimus.

Pastaba: Prieš pradėdami įsitikinkite, kad antivirusinė (AV) programinė įranga yra atnaujinta ir suderinama. Naujausios informacijos apie suderinamumą ieškokite antivirusinės programinės įrangos gamintojo svetainėje.

  1. Atnaujinkite "Windows" įrenginį įjungdami automatinius naujinimus.

  2. Patikrinkite, ar įdiegėte naujausią „Windows“ operacinės sistemos saugos naujinimą iš „Microsoft“. Jei automatiniai naujinimai yra įjungti, naujinimai turėtų būti automatiškai jums pateikti. Tačiau vis tiek turėtumėte patikrinti, ar jos įdiegtos. Instrukcijas rasite "Windows Update": DUK

  3. Įdiekite galimus programinės-aparatinės įrangos (mikrokodo) naujinimus iš įrenginio gamintojo. Visi klientai turės kreiptis į įrenginio gamintoją, kad atsisiųstų ir įdiegtų konkretaus įrenginio aparatūros naujinimą. Įrenginio gamintojo svetainių sąrašą žr. skyriuje "Papildomi ištekliai".

    Pastaba: Norėdami pasinaudoti galima apsauga, klientai turėtų įdiegti naujausius „Windows“ operacinės sistemos saugos naujinimus iš „Microsoft“. Pirmiausia reikia įdiegti antivirusinės programinės įrangos naujinimus. Tada turi sekti operacinės sistemos ir programinės-aparatinės įrangos naujinimai. Raginame įdiegti mėnesio saugos naujinimus ir taip užtikrinti, kad jūsų įrenginiai būtų atnaujinti. 

Paveikti "Intel", AMD ir ARM pagaminti lustai. Tai reiškia, kad visi įrenginiai, kuriuose veikia "Windows" operacinės sistemos, gali tapti pažeidžiami. Tai apima stalinius kompiuterius, nešiojamuosius kompiuterius, debesies serverius ir išmaniuosius telefonus. Įrenginiai, kuriuose veikia kitos operacinės sistemos, pvz., "Android", "Chrome", "iOS" ir "macOS", taip pat paveikti. Rekomenduojame klientams, kurie naudoja šias operacines sistemas, kreiptis pagalbos į šiuos tiekėjus.

Publikavimo metu negavome jokios informacijos, nurodančios, kad šios spragos buvo naudojamos atakoms prieš klientus.

Nuo 2018 m. sausio "Microsoft" išleido "Windows" operacinių sistemų ir "Internet Explorer" bei "Edge" žiniatinklio naršyklių naujinimus, kad padėtų sumažinti šiuos pažeidžiamumus ir apsaugoti klientus. Taip pat išleidome naujinimus, kad apsaugotume savo debesies paslaugas.  Mes toliau glaudžiai bendradarbiaujame su pramonės partneriais, įskaitant lustų gamintojus, aparatūros OĮG ir programėlių tiekėjus, kad apsaugotume klientus nuo šios pažeidžiamumo klasės. 

Raginame visada įdiegti mėnesinius naujinimus, kad jūsų įrenginiai būtų atnaujinti ir saugūs. 

Atnaujinsime šią dokumentaciją, kai atsiras naujų rizikos mažinimo priemonių, ir rekomenduojame reguliariai tikrinti čia. 

2019 m. liepos mėn. "Windows" operacinės sistemos naujinimai

2019 m. rugpjūčio 6 d. "Intel" atskleidė išsamią informaciją apie saugos pažeidžiamumą CVE-2019-1125 | "Windows" branduolio informacijos atskleidimo pažeidžiamumas. Šio pažeidžiamumo saugos naujinimai buvo išleisti kaip liepos mėnesio naujinimų leidimo 2019 m. liepos 9 d. dalis.

"Microsoft" 2019 m. liepos 9 d. išleido "Windows" operacinės sistemos saugos naujinimą, kad padėtų išspręsti šią problemą. Mes toliau dokumentavome šį rizikos mažinimą viešai iki koordinuoto pramonės atskleidimo 2019 m. rugpjūčio 6 d., antradienį.

Klientai, kurie "Windows Update" įgalinti ir pritaikė 2019 m. liepos 9 d. išleistus saugos naujinimus, yra apsaugoti automatiškai. Atkreipkite dėmesį, kad šis pažeidžiamumas nereikalauja iš įrenginio gamintojo (OĮG) mikrokodo naujinimo.

2019 m. gegužės mėn. "Windows" operacinės sistemos naujinimai

2019 m. gegužės 14 d. "Intel" paskelbė informaciją apie naują su spėjamu vykdymu susijusių šalutinių kanalų spragų, vadinamų mikroarchitektūros duomenų atranka , poklasį ir jiems buvo priskirti šie CVE:

Daugiau informacijos apie šią problemą ieškokite toliau pateiktuose saugos patarimuose ir naudokite scenarijus pagrįstas rekomendacijas, pateiktas "Windows" rekomendacijoje klientams ir serveriams straipsniuose, kad nustatytumėte veiksmus, kurių reikia grėsmėms sumažinti:

"Microsoft" išleido apsaugą nuo naujos spekuliacinių vykdymo šalutinių kanalų spragų, vadinamų mikroarchitektūros duomenų atranka 64 bitų (x64) "Windows" versijoms (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Naudokite registro parametrus, aprašytus straipsniuose "Windows Client" (KB4073119) ir "Windows Server" (KB4457951). Šie registro parametrai yra įjungti pagal numatytuosius parametrus "Windows" kliento OS leidimuose ir "Windows Server" OS leidimuose.

Rekomenduojame pirmiausia įdiegti visus naujausius "Windows Update" naujinimus, prieš diegiant mikrokodo naujinimus.

Norėdami gauti daugiau informacijos apie šią problemą ir rekomenduojamus veiksmus, žr. saugos patarimą: 

"Intel" išleido mikrokodo naujinimą naujausioms CPU platformoms, kad padėtų sumažinti CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. 2019 m. gegužės 14 d. "Windows " KB 4093836 pateikiami konkretūs žinių bazės straipsniai pagal "Windows" OS versiją.  Šiame straipsnyje taip pat pateikiami saitai į galimus "Intel" mikrokodo naujinimus pagal CPU. Šie naujinimai pasiekiami per "Microsoft" katalogą.

Pastaba: rekomenduojame įdiegti visus naujausius naujinimus iš "Windows Update" prieš diegiant mikrokodo naujinimus.

Džiaugiamės galėdami pranešti, kad "Retpoline" įjungta pagal numatytuosius parametrus Windows 10, 1809 versijos įrenginiuose (klientams ir serveriams), jei įgalintas "Spectre Variant 2" (CVE-2017-5715). Įjungdami "Retpoline" naujausioje Windows 10 versijoje, naudodami 2019 m. gegužės 14 d. naujinimą (KB 4494441), numatome didesnį našumą, ypač senesniuose procesoriuose.

Klientai turėtų užtikrinti, kad ankstesnės OS apsaugos nuo "Spectre Variant 2" pažeidžiamumo būtų įgalintos naudojant registro parametrus, aprašytus "Windows" kliento ir "Windows Server" straipsniuose. (Šie registro parametrai yra įjungti pagal numatytuosius parametrus "Windows" kliento OS leidimuose, bet išjungti pagal numatytuosius parametrus "Windows Server" OS leidimuose). Daugiau informacijos apie "Retpoline", žr. "Spectre" 2 variantas su "Retpoline" sistemoje "Windows".

2018 m. lapkričio mėn. "Windows" operacinės sistemos naujinimai

"Microsoft" išleido operacinės sistemos apsaugą, skirtą "Speculative Store Bypass" (CVE-2018-3639) AMD procesoriams (CPU).

"Microsoft" išleido papildomą operacinės sistemos apsaugą klientams, naudojantiems 64 bitų ARM procesorius. Dėl programinės-aparatinės įrangos palaikymo kreipkitės į įrenginio OĮG gamintoją, nes ARM64 operacinės sistemos apsaugai, sumažinančioms CVE-2018-3639, "Speculative Store Bypass", reikalingas naujausias programinės-aparatinės įrangos naujinimas iš įrenginio OĮG.

2018 m. rugsėjo mėn. "Windows" operacinės sistemos naujinimai

Rugsėjo 11 d. 2018 m. "Microsoft" išleido "Windows Server 2008 SP2" mėnesio naujinimų paketą 4458010 ir tik saugos 4457984, skirtus "Windows Server 2008", teikiančioms apsaugą nuo naujo spėjamo vykdymo šalutinio kanalo pažeidžiamumo, vadinamo L1 terminalo klaida (L1TF), turinčiu įtakos "Intel Core®"® procesoriams ir "Intel Xeon®"® procesoriams (CVE-2018-3620 ir CVE-2018-3646). 

Šiame leidime per "Windows Update" užbaigiamos visos palaikomos "Windows" sistemos versijos papildoma apsauga. Daugiau informacijos ir paveiktų produktų sąrašą rasite ADV180018 | "Microsoft" rekomendacijos, kaip sumažinti L1TF variantą.

Pastaba: "Windows Server 2008 SP2" dabar atitinka standartinį "Windows" priežiūros naujinimų modelį. Daugiau informacijos apie šiuos pakeitimus žr. mūsų tinklaraštyje "Windows Server 2008 SP2" priežiūros pakeitimai. Klientai, naudojantys "Windows Server 2008", be saugos naujinimo 4341832, kuris buvo išleistas 2018 m. rugpjūčio 14 d., turėtų įdiegti 4458010 arba 4457984. Klientai taip pat turėtų užtikrinti ankstesnę OS apsaugą nuo "Spectre Variant 2" ir "Meltdown" pažeidžiamumų naudodami registro parametrus, aprašytus "Windows" kliento ir "Windows Server" patarimų KB straipsniuose. Šie registro parametrai yra įjungti pagal numatytuosius parametrus "Windows" kliento OS leidimuose, bet pagal numatytuosius parametrus yra išjungti "Windows Server" OS leidimuose.

"Microsoft" išleido papildomą operacinės sistemos apsaugą klientams, naudojantiems 64 bitų ARM procesorius. Dėl programinės-aparatinės įrangos palaikymo kreipkitės į įrenginio OĮG gamintoją, nes ARM64 operacinės sistemos apsaugai, sumažinančioms CVE-2017-5715 – "Branch Target Injection" ("Spectre", 2 variantas), reikia naujausio programinės-aparatinės įrangos naujinimo iš įrenginio OĮG, kad įsigaliotų.

2018 m. rugpjūčio mėn. "Windows" operacinės sistemos naujinimai

2018 m. rugpjūčio 14 d. paskelbta L1 terminalo klaida (L1TF) ir priskirta keletas CVEs. Šie nauji spekuliaciniai vykdymo šalutinių kanalų pažeidžiamumai gali būti naudojami skaityti atminties turinį per patikimą ribą ir, jei naudojama, gali sukelti informacijos atskleidimą. Yra keli vektoriai, iš kurių pažeidėjas gali sukelti pažeidžiamumus, atsižvelgiant į sukonfigūruotą aplinką. L1TF turi įtakos "Intel Core®"® procesoriams ir "Intel Xeon®"® procesoriams.

Daugiau informacijos apie L1TF ir išsamų susijusių scenarijų rodinį, įskaitant "Microsoft" požiūrį į L1TF sumažinimą, žr. šiuos išteklius:

2018 m. liepos mėn. "Windows" operacinės sistemos naujinimai

Džiaugiamės galėdami pranešti, kad "Microsoft" atliko papildomų apsaugos veiksmų visose palaikomose "Windows" sistemos versijose per "Windows Update" dėl šių pažeidžiamumų:

  • "Spectre Variant 2" AMD procesoriams

  • "Intel" procesoriams skirtas "Speculative Store Bypass"

2018 m. birželio 13 d. paskelbta apie papildomą pažeidžiamumą įtraukiant šalutinių kanalų spekuliacinį vykdymą, vadinamą "Lazy FP State Restore", ir priskirtas CVE-2018-3665. Nėra konfigūracijos (registro) parametrų, reikalingų "Lazy Restore FP Restore".

Daugiau informacijos apie šį pažeidžiamumą, paveiktus produktus ir rekomenduojamus veiksmus, žr. šį saugos patarimą:

Birželio 12 d. "Microsoft" paskelbė apie "Windows" palaikymą "Speculative Store Bypass Disable" (SSBD) "Intel" procesoriuose. Kad veiktų funkcijos, naujinimams reikia atitinkamos programinės-aparatinės įrangos (mikrokodo) ir registro naujinimų. Informacijos apie naujinimus ir veiksmus, kuriuos reikia atlikti norint įjungti SSBD, ieškokite skyriuje "Rekomenduojami veiksmai", esančiame ADV180012 | "Microsoft" rekomendacijos dėl "Speculative Store Bypass".

2018 m. gegužės mėn. "Windows" operacinės sistemos naujinimai

2018 m. sausio mėn. "Microsoft" išleido informaciją apie naujai atrastą aparatūros pažeidžiamumų klasę (vadinamą "Spectre" ir "Meltdown"), kuri apima su spėjamu vykdymu susijusių šalutinių kanalų poveikį AMD, ARM ir "Intel" CPU įvairiu laipsniu. 2018 m. gegužės 21 d. "Google Project Zero" (GPZ) "Microsoft " ir "Intel" pranešė apie du naujus lustų pažeidžiamumus, susijusius su "Spectre" ir "Meltdown" problemomis, vadinamomis "Speculative Store Bypass" (SSB) ir " Rogue System Registry Read".

Klientų rizika dėl abiejų atskleidimų yra maža.

Norėdami gauti daugiau informacijos apie šiuos pažeidžiamumą, peržiūrėkite šiuos išteklius:

Taikoma: Windows 10 1607 versija, "Windows Server 2016", "Windows Server 2016" ("Server Core" diegimas) ir "Windows Server" 1709 versija ("Server Core" diegimas)

Mes teikėme palaikymą, skirtą valdyti netiesioginio šakos nuspėjimo barjero (IBPB) naudojimą kai kuriuose AMD procesoriuose (CPU), siekiant sumažinti CVE-2017-5715, "Spectre" 2 variantą, kai pereinate nuo vartotojo prie branduolio konteksto. (Daugiau informacijos žr. AMD architektūros gairės dėl netiesioginio šakų valdymo ir AMD saugos Naujinimai).

Klientai, naudojantys "Windows 10" 1607 versiją, "Windows Server 2016", "Windows Server 2016" ("Server Core" diegimą) ir "Windows Server" 1709 versiją ("Server Core" diegimas), turi įdiegti saugos naujinimą 4103723, skirtą papildomas rizikos mažinimo priemones AMD procesoriams, skirtiems CVE-2017-5715, "Branch Target Injection". Šis naujinimas taip pat pasiekiamas per "Windows Update".

Vykdykite instrukcijas, pateiktas KB 4073119 ", skirtos "Windows" klientui (IT profesionalams), nurodymus ir KB 4072698 , skirtus "Windows Server", kad įgalintumėte IBPB naudojimą kai kuriuose AMD procesoriuose (CPU), siekiant sumažinti "Spectre" 2 variantą, kai pereinate nuo vartotojo konteksto prie branduolio konteksto.

"Microsoft" pateikia "Intel" patvirtintus mikrokodo naujinimus apie "Spectre Variant 2" (CVE-2017-5715 "Branch Target Injection"). Norėdami gauti naujausius "Intel" mikrokodo naujinimus per ""Windows Update"", klientai turi įdiegti "Intel" mikrokodą įrenginiuose, kuriuose veikia Windows 10 operacinė sistema, prieš atnaujindami versiją į Windows 10 2018 m. balandžio mėn. naujinimą (1803 versiją).

Mikrokodo naujinimas taip pat pasiekiamas tiesiogiai iš katalogo, jei jis nebuvo įdiegtas įrenginyje prieš naujinant operacinę sistemą. "Intel" mikrokodas pasiekiamas per "Windows Update", WSUS arba "Microsoft Update" katalogą. Daugiau informacijos ir atsisiuntimo instrukcijas žr. KB 4100347.

Pasiūlysime papildomų mikrokodo naujinimų iš "Intel", skirtų operacinei sistemai "Windows", kai jie taps pasiekiami "Microsoft".

Taikoma: „Windows 10“ 1709 versija

Mes teikėme palaikymą, skirtą valdyti netiesioginio šakos nuspėjimo barjero (IBPB) naudojimą kai kuriuose AMD procesoriuose (CPU), siekiant sumažinti CVE-2017-5715, "Spectre" 2 variantą, kai pereinate nuo vartotojo prie branduolio konteksto. (Daugiau informacijos žr. AMD architektūros gairės dėl netiesioginio šakų valdymo ir AMD saugos Naujinimai).Vykdykite kb 4073119 "Windows" klientui (IT specialistams) pateiktas instrukcijas, kad įgalintumėte IBPB naudojimą kai kuriuose AMD procesoriuose (CPU), siekiant sumažinti "Spectre" 2 variantą, kai pereinate nuo vartotojo konteksto prie branduolio konteksto.

"Microsoft" pateikia "Intel" patvirtintus mikrokodo naujinimus apie "Spectre Variant 2" (CVE-2017-5715 "Branch Target Injection"). KB4093836 pateikiami konkretūs žinių bazės straipsniai pagal "Windows" versiją. Kiekvienoje konkrečioje KB yra naujausi galimi "Intel" mikrokodo naujinimai pagal CPU.

Pasiūlysime papildomų mikrokodo naujinimų iš "Intel", skirtų operacinei sistemai "Windows", kai jie taps pasiekiami "Microsoft". 

2018 m. kovo mėn. ir vėlesni "Windows" operacinės sistemos naujinimai

Kovo 23 d. "TechNet" saugos tyrimų & defense: KVA Shadow: Mitigating Meltdown on Windows

Kovo 14 d. Saugos technologijų centras: spekuliatyvios vykdymo šalutinių kanalų bounty programos sąlygos

Kovo 13 d. tinklaraštis: 2018 m. kovo mėn. "Windows" sauga naujinimas – plečiame savo pastangas apsaugoti klientus

Kovo 1 d. tinklaraštis: naujinimas "Spectre" ir "Meltdown" saugos naujinimuose, skirtiems "Windows" įrenginiams

Nuo 2018 m. kovo mėn. "Microsoft" išleido saugos naujinimus, skirtus sumažinti riziką įrenginiams, kuriuose veikia šios x86 pagrindo "Windows" operacinės sistemos. Norėdami pasinaudoti galima apsauga, klientai turėtų įdiegti naujausius "Windows" operacinės sistemos saugos naujinimus. Stengiamės suteikti kitų palaikomų "Windows" versijų apsaugą, bet šiuo metu neturime leidimų grafiko. Patikrinkite, ar yra naujinimų. Daugiau informacijos ieškokite susijusiame žinių bazės straipsnyje, kur rasite techninės informacijos ir skyrių "DUK".

Išleistas produkto naujinimas

Būsena

Išleidimo data

Leidimo kanalas

KB

"Windows 8".1 & "Windows Server 2012 R2" – tik saugos naujinimas

Išleista

Kovo 13 d.

WSUS, katalogas,

KB4088879

"Windows 7" SP1 & "Windows Server 2008 R2" SP1 – tik saugos naujinimas

Išleista

Kovo 13 d.

WSUS, katalogas

KB4088878

"Windows Server 2012" – tik saugos naujinimas"Windows 8" įdėtasis standartinis leidimas – tik saugos naujinimas

Išleista

Kovo 13 d.

WSUS, katalogas

KB4088877

"Windows 8".1 & "Windows Server 2012 R2" – mėnesio naujinimų paketas

Išleista

Kovo 13 d.

WU, WSUS, katalogas

KB4088876

"Windows 7 SP1" & "Windows Server 2008 R2" SP1 – mėnesio naujinimų paketas

Išleista

Kovo 13 d.

WU, WSUS, katalogas

KB4088875

"Windows Server 2012" – mėnesio naujinimų paketas"Windows 8" Įdėtasis standartinis leidimas – mėnesio naujinimų paketas

Išleista

Kovo 13 d.

WU, WSUS, katalogas

KB4088877

Windows Server 2008 SP2

Išleista

Kovo 13 d.

WU, WSUS, katalogas

KB4090450

Nuo 2018 m. kovo "Microsoft" išleido saugos naujinimus, skirtus sumažinti riziką įrenginiams, kuriuose veikia šios x64 pagrindo "Windows" operacinės sistemos. Norėdami pasinaudoti galima apsauga, klientai turėtų įdiegti naujausius "Windows" operacinės sistemos saugos naujinimus. Stengiamės suteikti kitų palaikomų "Windows" versijų apsaugą, bet šiuo metu neturime leidimų grafiko. Patikrinkite, ar yra naujinimų. Daugiau informacijos ieškokite susijusiame žinių bazė straipsnyje, jei reikia techninės informacijos, ir skyriuje "DUK".

Išleistas produkto naujinimas

Būsena

Išleidimo data

Leidimo kanalas

KB

"Windows Server 2012" – tik saugos naujinimas"Windows 8" įdėtasis standartinis leidimas – tik saugos naujinimas

Išleista

Kovo 13 d.

WSUS, katalogas

KB4088877

"Windows Server 2012" – mėnesio naujinimų paketas"Windows 8" Įdėtasis standartinis leidimas – mėnesio naujinimų paketas

Išleista

Kovo 13 d.

WU, WSUS, katalogas

KB4088877

Windows Server 2008 SP2

Išleista

Kovo 13 d.

WU, WSUS, katalogas

KB4090450

Šis naujinimas išsprendžia "Windows" branduolio 64 bitų (x64) "Windows" versijos teisių pažeidžiamumo padidinimą. Šis pažeidžiamumas dokumentuotas CVE-2018-1038. Vartotojai turi taikyti šį naujinimą, kad būtų visiškai apsaugotas nuo šio pažeidžiamumo, jei jų kompiuteriai buvo atnaujinti arba po 2018 m. sausio mėn. taikant naujinimus, kurie išvardyti šiame žinių bazės straipsnyje:

"Windows" branduolio naujinimas, skirtas CVE-2018-1038

Šis saugos naujinimas išsprendžia keletą "Internet Explorer" pažeidžiamumų, apie kuriuos pranešta. Norėdami sužinoti daugiau apie šiuos pažeidžiamumą, ieškokite "Microsoft" bendro pažeidžiamumas ir rizikos

Išleistas produkto naujinimas

Būsena

Išleidimo data

Leidimo kanalas

KB

"Internet Explorer 10" – kaupiamasis naujinimas, skirtas ""Windows 8" Embedded Standard Edition"

Išleista

Kovo 13 d.

WU, WSUS, katalogas

KB4089187

2018 m. vasario mėn. "Windows" operacinės sistemos naujinimai

Tinklaraštis: "Windows Analytics" dabar padeda įvertinti "Spectre" ir "Meltdown" apsaugą

Šie saugos naujinimai suteikia papildomą apsaugą įrenginiams, kuriuose veikia 32 bitų (x86) "Windows" operacinės sistemos. "Microsoft" rekomenduoja klientams įdiegti naujinimą, kai tik jis bus pasiekiamas. Mes ir toliau dirbame teiksime kitų palaikomų "Windows" versijų apsaugą, tačiau šiuo metu neturime leidimų grafiko. Patikrinkite, ar yra naujinimų. 

Pastaba Windows 10 mėnesio saugos naujinimai yra kaupiamieji mėnuo per mėnesį ir bus automatiškai atsisiųsti ir įdiegti iš "Windows Update". Jei įdiegėte ankstesnius naujinimus, į įrenginį bus atsiųsmos ir įdiegtos tik naujos dalys. Daugiau informacijos ieškokite susijusiame žinių bazės straipsnyje, kur rasite techninės informacijos ir skyrių "DUK".

Išleistas produkto naujinimas

Būsena

Išleidimo data

Leidimo kanalas

KB

„Windows 10“ – versija 1709 / „Windows Server 2016“ (1709) / „IoT Core“ – kokybinis naujinimas

Išleista

Sausio 31 d.

WU, katalogas

KB4058258

„Windows Server 2016“ (1709) – „Server“ konteineris

Išleista

Vasario 13 d.

„Docker“ telkinys

KB4074588

„Windows 10“ – versija 1703 / „IoT Core“ – kokybinis naujinimas

Išleista

Vasario 13 d.

WU, WSUS, katalogas

KB4074592

Windows 10 – versija 1607 / "Windows Server 2016" / "IoT Core" – kokybinis naujinimas

Išleista

Vasario 13 d.

WU, WSUS, katalogas

KB4074590

"Windows 10 HoloLens" – operacinės sistemos ir programinės-aparatinės įrangos Naujinimai

Išleista

Vasario 13 d.

WU, katalogas

KB4074590

„Windows Server 2016“ (1607) – konteinerių vaizdai

Išleista

Vasario 13 d.

„Docker“ telkinys

KB4074590

„Windows 10“ – versija 1511 / „IoT Core“ – kokybinis naujinimas

Išleista

Vasario 13 d.

WU, WSUS, katalogas

KB4074591

„Windows 10“ – versija RTM – kokybinis naujinimas

Išleista

Vasario 13 d.

WU, WSUS, katalogas

KB4074596

2018 m. sausio mėn. "Windows" operacinės sistemos naujinimai

Tinklaraštis: "Spectre" ir "Meltdown" rizikos mažinimo priemonių poveikio "Windows" sistemoms supratimas

Nuo 2018 m. sausio mėn. "Microsoft" išleido saugos naujinimus, skirtus sumažinti riziką įrenginiams, kuriuose veikia šios x64 pagrindo "Windows" operacinės sistemos. Norėdami pasinaudoti galima apsauga, klientai turėtų įdiegti naujausius "Windows" operacinės sistemos saugos naujinimus. Stengiamės suteikti kitų palaikomų "Windows" versijų apsaugą, bet šiuo metu neturime leidimų grafiko. Patikrinkite, ar yra naujinimų. Daugiau informacijos ieškokite susijusiame žinių bazės straipsnyje, kur rasite techninės informacijos ir skyrių "DUK".

Išleistas produkto naujinimas

Būsena

Išleidimo data

Leidimo kanalas

KB

„Windows 10“ – versija 1709 / „Windows Server 2016“ (1709) / „IoT Core“ – kokybinis naujinimas

Išleista

Sausio 3 d.

WU, WSUS, katalogas, „Azure“ vaizdų galerija

KB4056892

„Windows Server 2016“ (1709) – „Server“ konteineris

Išleista

Sausio 5 d.

„Docker“ telkinys

KB4056892

„Windows 10“ – versija 1703 / „IoT Core“ – kokybinis naujinimas

Išleista

Sausio 3 d.

WU, WSUS, katalogas

KB4056891

„Windows 10“ – versija 1607 / „Windows Server 2016“ / „IoT Core“ – kokybinis naujinimas

Išleista

Sausio 3 d.

WU, WSUS, katalogas

KB4056890

„Windows Server 2016“ (1607) – konteinerių vaizdai

Išleista

Sausio 4 d.

„Docker“ telkinys

KB4056890

„Windows 10“ – versija 1511 / „IoT Core“ – kokybinis naujinimas

Išleista

Sausio 3 d.

WU, WSUS, katalogas

KB4056888

„Windows 10“ – versija RTM – kokybinis naujinimas

Išleista

Sausio 3 d.

WU, WSUS, katalogas

KB4056893

„Windows 10 Mobile“ (OS Komponavimo versija 15254.192) – ARM

Išleista

Sausio 5 d.

WU, katalogas

KB4073117

„Windows 10 Mobile“ (OS Komponavimo versija 15063.850)

Išleista

Sausio 5 d.

WU, katalogas

KB4056891

„Windows 10 Mobile“ (OS Komponavimo versija 14393.2007)

Išleista

Sausio 5 d.

WU, katalogas

KB4056890

„Windows 10 HoloLens“

Išleista

Sausio 5 d.

WU, katalogas

KB4056890

„Windows 8.1“ / „Windows Server 2012 R2“ – tik saugos naujinimas

Išleista

Sausio 3 d.

WSUS, katalogas

KB4056898

„Windows Embedded 8.1 Industry Enterprise‟

Išleista

Sausio 3 d.

WSUS, katalogas

KB4056898

Windows Embedded 8.1 Industry Pro

Išleista

Sausio 3 d.

WSUS, katalogas

KB4056898

„Windows Embedded 8.1 Pro‟

Išleista

Sausio 3 d.

WSUS, katalogas

KB4056898

„Windows 8.1“ / „Windows Server 2012 R2“ specifinių mėnesio naujinimų paketas

Išleista

Sausio 8 d.

WU, WSUS, katalogas

KB4056895

„Windows Embedded 8.1 Industry Enterprise‟

Išleista

Sausio 8 d.

WU, WSUS, katalogas

KB4056895

Windows Embedded 8.1 Industry Pro

Išleista

Sausio 8 d.

WU, WSUS, katalogas

KB4056895

„Windows Embedded 8.1 Pro‟

Išleista

Sausio 8 d.

WU, WSUS, katalogas

KB4056895

„Windows Server 2012“ tik saugos naujinimas

Išleista

WSUS, katalogas

Windows Server 2008 SP2

Išleista

WU, WSUS, katalogas

„Windows Server 2012“ specifinių mėnesio naujinimų paketas

Išleista

WU, WSUS, katalogas

Windows Embedded 8 Standard

Išleista

WU, WSUS, katalogas

„Windows 7 SP1“ / „Windows Server 2008 R2“ SP1 – tik saugos naujinimas

Išleista

Sausio 3 d.

WSUS, katalogas

KB4056897

Windows Embedded Standard 7

Išleista

Sausio 3 d.

WSUS, katalogas

KB4056897

„Windows Embedded POSReady 7“

Išleista

Sausio 3 d.

WSUS, katalogas

KB4056897

„Windows Thin PC“

Išleista

Sausio 3 d.

WSUS, katalogas

KB4056897

„Windows 7 SP1“ / „Windows Server 2008 R2“ SP1 specifinių mėnesio naujinimų paketas

Išleista

Sausio 4 d.

WU, WSUS, katalogas

KB4056894

Windows Embedded Standard 7

Išleista

Sausio 4 d.

WU, WSUS, katalogas

KB4056894

„Windows Embedded POSReady 7“

Išleista

Sausio 4 d.

WU, WSUS, katalogas

KB4056894

„Windows Thin PC“

Išleista

Sausio 4 d.

WU, WSUS, katalogas

KB4056894

Kaupiamasis „Internet Explorer 11“ naujinimas, skirtas sistemoms „Windows 7 SP1“ ir „Windows 8.1“

Išleista

Sausio 3 d.

WU, WSUS, katalogas

KB4056568

2024 m. balandžio 9 d. paskelbėme CVE-2022-0001 | "Intel Branch History" įdėjimas , kuris aprašo filialo istorijos įdėjimas (BHI), kuris yra konkrečios formos vidinio režimo BTI. Šis pažeidžiamumas atsiranda, kai pažeidėjas gali valdyti šakos retrospektyvą prieš pereidamas iš vartotojo į priežiūros režimą (arba iš VMX ne šakninio / svečio į šakninį režimą). Dėl šio manipuliavimo netiesioginis šakos numatymas gali pasirinkti konkretų netiesioginio šakos prognozės įrašą, o atskleidimo įtaisas, esantis numatytame tiksliniame objekte, bus laikinai vykdomas. Tai gali būti įmanoma, nes atitinkamoje šakų retrospektyvoje gali būti šakų, paimtų ankstesniuose saugos kontekstuose, ypač kitų prognozės režimų.

Vykdykite nurodymus, aprašytus KB4073119", skirtos "Windows" klientui (IT specialistams), nurodymus ir KB4072698, skirtus "Windows Server", kad sumažintumėte CVE-2022-0001 aprašytus pažeidžiamumus | "Intel Branch History Injection".

Ištekliai ir techninės rekomendacijos

Atsižvelgiant į jūsų vaidmenį, toliau nurodyti palaikymo straipsniai gali padėti nustatyti ir sumažinti klientų ir serverių aplinkas, kurias veikia "Spectre" ir "Meltdown" pažeidžiamumai.

"Microsoft" patarimai:

"Intel": saugos patarimas

ARM: saugos patarimas

AMD: saugos patarimas

NVIDIA: saugos patarimas

Patarimai vartotojams: įrenginio apsauga nuo su lustu susijusių saugos pažeidžiamumų

Patarimai dėl antivirusinės programos: "Windows" saugos naujinimai, išleisti 2018 m. sausio 3 d., ir antivirusinė programinė įranga

Rekomendacijos dėl AMD "Windows" OS saugos naujinimo bloko: KB4073707: "Windows" operacinės sistemos saugos naujinimo blokas, skirtas kai kuriems AMD pagrindo įrenginiams

Naujinimas, skirtas išjungti rizikos mažinimą dėl "Spectre", 2 variantas: KB4078130: "Intel" nustatė paleidimo iš naujo problemas dėl kai kurių senesnių procesorių mikrokodo 

Patarimai dėl "Surface": patarimai, kaip apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų

Patikrinkite, ar yra su spėjamu vykdymu susijusių šalutinių kanalų mažinimų būsena: supratimas, Get-SpeculationControlSettings "PowerShell" scenarijaus išvestis

Patarimai IT specialistams: patarimai IT specialistams, kaip "Windows" klientams apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų

Patarimai dėl serverio: patarimai dėl "Windows Server", padėsiančio apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų

Patarimai dėl serverio L1 terminalo klaidos: patarimai dėl "Windows Server", padėsiančio apsisaugoti nuo L1 terminalo gedimo

Kūrėjo rekomendacijos: Kūrėjo rekomendacijos dėl "Speculative Store Bypass"

Patarimai dėl „Server Hyper-V“

"Azure" KB: KB4073235: "Microsoft" debesies apsaugos nuo spekuliacinio vykdymo Side-Channel pažeidžiamumas

Patarimai dėl "Azure Stack": KB4073418: rekomendacijos dėl "Azure Stack", skirtos apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų

"Azure" patikimumas: "Azure" patikimumo portalas

"SQL Server" patarimai: KB4073225: "SQL Server" rekomendacijos, kaip apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų

Saitai su OĮG ir serverio įrenginių gamintojais dėl naujinimų, skirtų apsisaugoti nuo "Spectre" ir "Meltdown" pažeidžiamumų

Norėdami išspręsti šiuos pažeidžiamumus, turite atnaujinti savo aparatūrą ir programinę įrangą. Norėdami patikrinti, ar įrenginio gamintojas turi taikomų programinės-aparatinės įrangos (mikrokodo) naujinimų, naudokite šiuos saitus.

Norėdami patikrinti, ar įrenginio gamintojas turi programinės-aparatinės įrangos (mikrokodo) naujinimų, naudokite šiuos saitus. Turėsite įdiegti tiek operacinės sistemos, tiek programinės-aparatinės įrangos (mikrokodo) naujinimus visoms galimai apsaugai.

OĮG įrenginių gamintojai

Saitas dėl prieinamo mikrokodo

„Acer‟

"Meltdown" ir "Spectre" saugos spragos

„Asus‟

ASUS naujinimas dėl spėjamo vykdymo ir netiesioginio šakos numatymo šalutinių kanalų analizės metodo

Dell

"Meltdown" ir "Spectre" pažeidžiamumai

Epson

CPU pažeidžiamumai (šalutinių kanalų atakos)

Fujitsu

CPU aparatūra pažeidžiama šoninio kanalo atakų (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HP

PALAIKYMO KOMUNIKACIJA – SAUGOS BIULETENIS

Lenovo

Privilegijuotos atminties skaitymas šoniniame kanale

LG

Gaukite pagalbos dėl produkto & palaikymą

NEC

Reaguojant į procesoriaus pažeidžiamumą ("meltdown", spektras) mūsų produktuose

Panasonic

Saugos informacija apie pažeidžiamumą pagal spekuliacinį vykdymą ir netiesioginio šakos numatymo kanalo analizės metodą

„Samsung‟

"Intel" CPU programinės įrangos naujinimo pranešimas

„Surface“

Patarimai dėl „Surface“, padėsiantys apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų

„Toshiba‟

"Intel", AMD & "Microsoft" su spėjamu vykdymu ir netiesioginio šakos numatymo kanalo analizės metodo saugos pažeidžiamumais (2017 m.)

„Vaio“

Šalutinių kanalų analizės pažeidžiamumo palaikymo

Serverių OĮG gamintojai

Saitas dėl prieinamo mikrokodo

Dell

"Meltdown" ir "Spectre" pažeidžiamumai

Fujitsu

CPU aparatūra pažeidžiama šoninio kanalo atakų (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HPE

"Hewlett Packard Enterprise" produktų saugos pažeidžiamumo įspėjimai

„Huawei“

Saugos pranešimas – "Intel" CPU architektūros dizaino saugos pažeidžiamumų medijos atskleidimo pareiškimas

Lenovo

Privilegijuotos atminties skaitymas šoniniame kanale

Dažnai užduodami klausimai

Turėsite pasiteiiškinkite įrenginio gamintojo, ar nėra programinės-aparatinės įrangos (mikrokodo) naujinimų. Jei lentelėje jūsų įrenginio gamintojo nėra, kreipkitės tiesiogiai į OĮG.

"Microsoft Surface" įrenginių Naujinimai klientams pasiekiamos per "Windows Update". Galimų "Surface" įrenginio programinės-aparatinės įrangos (mikrokodo) naujinimų sąrašą rasite KB 4073065.

Jei jūsų įrenginys nėra iš "Microsoft", taikykite įrenginio gamintojo programinės-aparatinės įrangos naujinimus. Norėdami gauti daugiau informacijos, kreipkitės į įrenginio gamintoją.

Aparatūros pažeidžiamumo šalinimas naudojant programinės įrangos naujinimą kelia didelių sunkumų ir pažeidžiamumą mažinančių priemonių senesnėms operacinėms sistemoms ir gali reikėti išsamių architektūros pakeitimų. Mes ir toliau dirbame su paveiktų lustų gamintojais, kad ištirtumėte geriausią rizikos mažinimo būdą. Tai gali būti pateikta būsimame naujinime. Pakeitus senesnius įrenginius, kuriuose veikia šios senesnės operacinės sistemos, taip pat atnaujinant antivirusinę programinę įrangą, turėtų būti išspręsta likusi rizika.

Pastabos: 

  • Produktai, kuriems šiuo metu netaikomas standartinis ir papildomas palaikymas, šių sistemos naujinimų negaus. Klientams rekomenduojame atnaujinti į palaikomą sistemos versiją. 

  • Spekuliacinio vykdymo šalutinių kanalų atakos išnaudoti CPU veikimą ir funkcionalumą. Cpu gamintojai pirmiausia turi nustatyti, kuriems procesoriams gali grėsti pavojus, ir pranešti apie tai "Microsoft". Daugeliu atvejų, siekiant užtikrinti visapusiškesnę klientų apsaugą, taip pat reikės atitinkamų operacinės sistemos naujinimų. Rekomenduojame, kad "Windows" CE tiekėjai, kuriems taikoma sauga, veiktų su lustų gamintoju, kad suprastų pažeidžiamumą ir taikomas priemones.

  • Neišleisime naujinimų šioms platformoms:

    • „Windows“ operacinėms sistemoms, kurios šiuo metu iš nepalaikomos arba paslaugų teikimas baigiasi 2018 m.

    • "Windows XP" sistemos, įskaitant WES 2009 ir "POSReady 2009"

Nors "Windows XP" sistemos yra paveikti produktai, "Microsoft" joms naujinimo neišleidžia, nes išsamūs architektūros pakeitimai, kurių reikėtų, keltų grėsmę sistemos stabilumui ir sukeltų programų suderinamumo problemų. Klientams, kuriems svarbi sauga, rekomenduojame savo operacinę sistemą išplėtoti į naujesnę palaikomą sistemą ir neatsilikti nuo kintančios grėsmių saugai aplinkos ir išnaudotų patikimesnę apsaugą, kurią suteikia naujesnės operacinės sistemos.

Naujinimai "HoloLens" Windows 10 "HoloLens" klientams pasiekiamos per "Windows Update".

Pritaikius 2018 m. vasario mėn. "Windows" sauga naujinimą, "HoloLens" klientai neturi imtis jokių papildomų veiksmų įrenginio programinei-aparatinei įrangai atnaujinti. Šios rizikos mažinimo priemonės taip pat bus įtrauktos į visus būsimus "holoLens" skirtus Windows 10 leidimus.

Norėdami gauti daugiau informacijos, kreipkitės į OĮG.

Kad įrenginys būtų visiškai apsaugotas, įdiekite naujausius "Windows" operacinės sistemos saugos naujinimus, skirtus jūsų įrenginiui, ir taikomus programinės-aparatinės įrangos (mikrokodo) naujinimus iš įrenginio gamintojo. Šie naujinimai turėtų būti prieinami įrenginio gamintojo svetainėje. Pirmiausia reikia įdiegti antivirusinės programinės įrangos naujinimus. Operacinės sistemos ir programinės-aparatinės įrangos naujinimai gali būti diegiami bet kokia tvarka.

Jums reikės atnaujinti aparatūrą ir programinę įrangą, kad būtų išspręstas šis pažeidžiamumas. Visapusiškesnapsaugos tikslais taip pat turėsite įdiegti taikomus programinės-aparatinės įrangos (mikrokodo) naujinimus iš įrenginio gamintojo. Raginame įdiegti mėnesio saugos naujinimus ir taip užtikrinti, kad jūsų įrenginiai būtų atnaujinti.

Kiekviename Windows 10 funkcijų naujinime giliai operacinėje sistemoje sukuriame naujausias saugos technologijas, kurios teikia išsamios gynybos funkcijas, kurios neleidžia ištisoms kenkėjiškos programinės įrangos klasėms paveikti jūsų įrenginio. Funkcijų naujinimo leidimai leidžiami du kartus per metus. Kiekviename mėnesiniame kokybiniame naujinime pridedame dar vieną saugos lygmenį, kuris seka kenkėjiškų programų naujas ir kintančias tendencijas, kad besikeičiančios ir besikeičiančios grėsmių sistemos taptų saugesnės.

"Microsoft" atiėlė "Windows" saugos naujinimų, skirtų palaikomoms Windows 10, "Windows 8".1" ir "Windows 7" SP1 įrenginių versijoms, AV suderinamumo patikrą per "Windows Update". Rekomendacijas:

  • Įsitikinkite, kad jūsų įrenginiai yra atnaujinti, naudodami naujausius saugos naujinimus iš "Microsoft" ir aparatūros gamintojo. Daugiau informacijos apie tai, kaip užtikrinti įrenginio atnaujinimą, žr. "Windows Update": DUK.

  • Toliau praktikuokite atsargiai, kai lankotės nežinomos kilmės svetainėse ir nepasilikite svetainėse, kuriomis nepasitikite. "Microsoft" rekomenduoja visiems klientams apsaugoti savo įrenginius naudojant palaikomą antivirusinę programą. Klientai taip pat gali pasinaudoti integruota apsauga nuo virusų: „Windows“ sargyba, skirta „Windows 10“ įrenginiams, ar „Microsoft Security Essentials“, skirta „Windows 7“ įrenginiams. Šie sprendimai suderinami tais atvejais, kai klientai negali įdiegti arba paleisti antivirusinės programinės įrangos.

Siekiant išvengti neigiamos įtakos klientų įrenginiams, sausio arba vasario mėn. išleisti "Windows" saugos naujinimai nebuvo pasiūlyti visiems klientams. Daugiau informacijos ieškokite "Microsoft" žinių bazės straipsnyje 4072699

"Intel" pranešė apie problemas , kurios turi įtakos neseniai išleistam mikrokodui, kuris skirtas "Spectre Variant 2" (CVE-2017-5715 – "Branch Target Injection"). Konkrečiai "Intel" pažymėjo, kad šis mikrokodas gali sukelti "didesnį nei tikėtasi perkrovimą ir kitą neprognozuojamą sistemos veikimą", taip pat, kad tokiose situacijose gali būti "duomenų praradimas arba sugadinimas".  Mūsų patirtis yra ta, kad sistemos nestabilumas tam tikromis aplinkybėmis gali sukelti duomenų praradimą ar sugadinimą. Sausio 22 d. "Intel" rekomendavo klientams sustabdyti dabartinės mikrokodo versijos diegimą paveiktuose procesoriuose, kol jie atlieka papildomus atnaujinto sprendimo testus. Suprantame, kad "Intel" toliau tiria dabartinės mikrokodo versijos galimą poveikį ir raginame klientus nuolat peržiūrėti savo rekomendacijas, kad jie galėtų priimti sprendimus.

Kol "Intel" tikrina, atnaujina ir diegia naują mikrokodą, pateikiame ne juostos (OOB) naujinimą KB 4078130, kuris išjungia tik poveikio sumažinimą dėl CVE-2017-5715 – "Branch Target Injection". Tikrinant aptikta, kad šis naujinimas neleidžia atlikti aprašytų veiksmų. Išsamų įrenginių sąrašą rasite "Intel" mikrokodo peržiūros rekomendacijose. Šis naujinimas apima „Windows 7“ (SP1), „Windows 8.1“ ir visas „Windows 10“ versijas, skirtas klientams ir serveriams. Jei naudojate paveiktą įrenginį, šį naujinimą galima taikyti atsisiunčiant jį iš "Microsoft Update" katalogo svetainės. Šio paketo turinio taikymas išjungia tik poveikio mažinimą dėl CVE-2017-5715 – "Branch Target Injection". 

Nuo sausio 25 d. nėra žinomų ataskaitų, nurodančių, kad šis "Spectre" 2 variantas (CVE-2017-5715) buvo naudojamas atakoms klientams. Rekomenduojame, kai reikia, "Windows" klientams iš naujo įjungti rizikos mažinimą dėl CVE-2017-5715, kai "Intel" praneša, kad jūsų įrenginiui buvo išspręstas šis neprognozuojamas sistemos veikimas.

Ne. Tik saugos naujinimai nėra kaupiamieji. Atsižvelgiant į naudojamą operacinės sistemos versiją, turite įdiegti visus išleistus tik saugos naujinimus, kad jie būtų apsaugoti nuo šių pažeidžiamumų. Pavyzdžiui, jei naudojate "Windows 7" 32 bitų sistemoms paveiktame "Intel" CPU, turite įdiegti kiekvieną tik saugos naujinimą nuo 2018 m. sausio mėn. Rekomenduojame įdiegti šiuos tik saugos naujinimus leidimo tvarka.  Pastaba Ankstesnėje šių DUK versijoje neteisingai nurodyta, kad vasario mėn. tik saugos naujinime buvo saugos pataisos, išleistos sausio mėn. Tiesą sakant, tai nėra.

Ne. Saugos naujinimo 4078130 buvo konkreti pataisa, skirta išvengti neprognozuojamo sistemos veikimo, efektyvumo problemų ir netikėto paleidimo iš naujo įdiegus mikrokodą. Vasario mėn. saugos naujinimų taikymas "Windows" kliento operacinėse sistemose įgalina visus tris mažinimus. "Windows Server" operacinėse sistemose vis tiek turite įgalinti mažinimą atlikus atitinkamus testus. Daugiau informacijos žr. "Microsoft" žinių bazės 4072698 straipsnyje.

AMD neseniai paskelbė, kad jie pradėjo išleisti mikrokodo naujesnių CPU platformų aplink Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Daugiau informacijos žr. AMD saugos Naujinimai ir AMD techninę dokumentaciją: Architektūros gairės dėl netiesioginio šakų valdymo. Jas galima gauti iš OĮG programinės-aparatinės įrangos kanalo. 

"Intel" neseniai paskelbė, kad užbaigė savo tikrinimus ir pradėjo išleisti mikrokodą naujesnėms CPU platformoms. "Microsoft" pateikia "Intel" patvirtintus mikrokodo naujinimus apie "Spectre Variant 2" (CVE-2017-5715 "Branch Target Injection"). KB 4093836 pateikiami konkretūs žinių bazės straipsniai pagal "Windows" versiją. Kiekvienoje konkrečioje KB yra galimų „Intel“ mikrokodų naujinimai pagal CPU.

"Microsoft" pateikia "Intel" patvirtintus mikrokodo naujinimus apie "Spectre Variant 2" (CVE-2017-5715 "Branch Target Injection"). Norėdami gauti naujausius "Intel" mikrokodo naujinimus per ""Windows Update"", klientai turi įdiegti "Intel" mikrokodą įrenginiuose, kuriuose veikia Windows 10 operacinė sistema, prieš atnaujindami versiją į Windows 10 2018 m. balandžio mėn. naujinimą (1803 versiją).

Mikrokodo naujinimas taip pat pasiekiamas tiesiogiai iš naujinimo katalogo, jei jis nebuvo įdiegtas įrenginyje prieš naujinant sistemos versiją. "Intel" mikrokodas pasiekiamas per "Windows Update", WSUS arba "Microsoft Update" katalogą. Daugiau informacijos ir atsisiuntimo instrukcijas žr. KB 4100347.

Daugiau informacijos žr. ADV180012 | skiltyse "Rekomenduojami veiksmai" ir "DUK" "Microsoft" rekomendacijos dėl "Speculative Store Bypass".

Norint patikrinti SSBD būseną, atnaujintas Get-SpeculationControlSettings "PowerShell" scenarijus, kad aptiktų paveiktus procesorius, SSBD operacinės sistemos naujinimų būseną ir procesoriaus mikrokodo būseną, jei taikoma. Norėdami gauti daugiau informacijos ir gauti "PowerShell" scenarijų, žr. KB4074629.

2018 m. birželio 13 d. paskelbta apie papildomą pažeidžiamumą įtraukiant šalutinių kanalų spekuliacinį vykdymą, vadinamą "Lazy FP State Restore", ir priskirtas CVE-2018-3665. Nėra konfigūracijos (registro) parametrų, reikalingų "Lazy Restore FP Restore".

Daugiau informacijos apie šį pažeidžiamumą ir rekomenduojamus veiksmus rasite saugos patarime: ADV180016 | "Microsoft" rekomendacijos dėl "Lazy FP State Restore"

PastabaNėra konfigūracijos (registro) parametrų, reikalingų "Lazy Restore FP Restore".

"Bounds Check Bypass Store" (BCBS) buvo atskleista 2018 m. liepos 10 d. ir priskirta CVE-2018-3693. Mes laikome, kad BCBS priklauso tai pačiai spragų klasei kaip "Bounds Check Bypass" (1 variantas). Šiuo metu nesame susipažinę su jokiais BCBS egzemplioriais savo programinėje įrangoje, tačiau toliau tiriame šią pažeidžiamumo klasę ir dirbsime su pramonės partneriais, kad prireikus išleistume pažeidžiamumą mažinančias priemones. Mes ir toliau skatiname tyrėjus pateikti atitinkamas išvadas į "Microsoft" spekuliacinio vykdymo šalutinių kanalų dosninę programą, įskaitant bet kokius išnaudojamus BCBS egzempliorius. Programinės įrangos kūrėjai turėtų peržiūrėti BCBS atnaujintas rekomendacijas https://aka.ms/sescdevguide.

2018 m. rugpjūčio 14 d. paskelbta apie L1 terminalo gedimą (L1TF) ir priskirti keli CVEs. Šie nauji spekuliaciniai vykdymo šalutinių kanalų pažeidžiamumai gali būti naudojami skaityti atminties turinį per patikimą ribą ir, jei naudojama, gali sukelti informacijos atskleidimą. Yra keli vektoriai, iš kurių pažeidėjas gali sukelti pažeidžiamumus, atsižvelgiant į sukonfigūruotą aplinką. L1TF turi įtakos "Intel Core®"® procesoriams ir "Intel Xeon®"® procesoriams.

Norėdami gauti daugiau informacijos apie šį pažeidžiamumą ir išsamų susijusių scenarijų rodinį, įskaitant "Microsoft" požiūrį į L1TF, žr. šiuos išteklius:

"Microsoft Surface" klientai: "Microsoft Surface" ir Surface Book produktus naudojantys klientai turi vadovautis nurodymais, skirtais "Windows" klientui, kaip nurodyta saugos patarime: ADV180018 | "Microsoft" rekomendacijos, kaip sumažinti L1TF variantą. Daugiau informacijos apie paveiktus "Surface" produktus ir mikrokodo naujinimų pasiekiamumą žr. "Microsoft" žinių bazės straipsnyje 4073065 .

"Microsoft Hololens" klientai: Microsoft HoloLens neveikia L1TF, nes jis nenaudoja paveikto "Intel" procesoriaus.

Veiksmai, kurių reikia norint išjungti Hyper-Threading, skirsis nuo OĮG iki OĮG, bet paprastai yra BIOS arba programinės-aparatinės įrangos sąrankos ir konfigūravimo įrankių dalis.

Klientai, naudojantys 64 bitų ARM procesorius, turėtų kreiptis į įrenginio OĮG dėl programinės-aparatinės įrangos palaikymo, nes ARM64 operacinės sistemos apsaugai, sumažinančioms CVE-2017-5715 – "Branch Target Injection" ("Spectre", "Variant 2"), reikia, kad įsigaliotų naujausias programinės-aparatinės įrangos naujinimas iš įrenginio OĮG.

Daugiau informacijos apie šį pažeidžiamumą žr. "Microsoft" saugos vadove: CVE-2019-1125 | "Windows" branduolio informacijos atskleidimo pažeidžiamumas.

Mes nežinome apie jokius šios informacijos atskleidimo pažeidžiamumus, kurie daro įtaką mūsų debesies tarnybų infrastruktūrai.

Kai tik sužinome apie šią problemą, mes greitai dirbome, kad išstengtume ją išspręsti ir išleistume naujinimą. Esame tvirtai įsitikinę, kad reikia glaudžiai bendradarbiauti su tyrėjais ir pramonės partneriais, kad klientai būtų saugesni, ir nepaskelbėme išsamios informacijos iki antradienį, rugpjūčio 6 d., pagal koordinuotą pažeidžiamumo atskleidimo praktiką.

Nuorodos

"Microsoft" teikia trečiųjų šalių kontaktinę informaciją, kad padėtų rasti papildomos informacijos šia tema. Ši kontaktinė informacija gali būti keičiama be pranešimo. "Microsoft" negarantuoja trečiųjų šalių kontaktinės informacijos tikslumo.

Reikia daugiau pagalbos?

Norite daugiau parinkčių?

Sužinokite apie prenumeratos pranašumus, peržiūrėkite mokymo kursus, sužinokite, kaip apsaugoti savo įrenginį ir kt.

Bendruomenės padeda užduoti klausimus ir į juos atsakyti, pateikti atsiliepimų ir išgirsti iš ekspertų, turinčių daug žinių.