Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Stack HCI, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Azure Stack HCI Windows Server 2022 Windows Server 2019 Windows Server 2016

Datuma maiņa

Apraksta maiņa

2023. gada 9. augusts

  • Noņemtais saturs par CVE-2022-23816, jo CVE numurs netiek izmantots

  • Noņemta dublēta tēma ar nosaukumu "Intel microcode updates" sadaļā "Darbības, lai palīdzētu aizsargāt jūsu Windows ierīces".

2024. gada 9. aprīlis

  • Pievienots CVE-2022-0001 | Intel Branch History Injection

Kopsavilkums

Šajā rakstā ir sniegta informācija un atjauninājumi par jaunu elektronisku mikroarteksku klasi un specifikācijas izpildes blakus kanāla ievainojamību, kas ietekmē daudzus modernus procesorus un operētājsistēmas. Tas arī nodrošina visaptverošu sarakstu ar Windows klientu un serveru resursiem, lai aizsargātu jūsu ierīces mājās, darbā un uzņēmumā. Tas attiecas arī uz Intel, AMD un ARM. Detalizētu informāciju par konkrētu ievainojamību attiecībā uz šīm silicon problēmas var atrast šādos drošības konsultanti un CV:

2018. gada 3. janvārī Microsoft izlaida konsultāciju un drošības atjauninājumus, kas saistīti ar tikko atklāto aparatūras ievainojamību klasi (zināma kā Kauss un Kūdown), kuros iesaistītas specifikācijas izpildes kanālus, kas ietekmē AMD, ARM un Intel procesoru dažādas pakāpes. Šīs ievainojamības klases pamatā ir kopēja mikroshēmas arhitektūra, kas sākotnēji tika izstrādāta, lai paātrinātu datorus. Papildinformāciju par šīm ievainojamībām varat iegūt vietnē Google Project Zero.

2018. gada 21. maijā Google Project Zero (GPZ) un Microsoft un Intel atklāja divas jaunas mikroshēmu ievainojamības, kas ir saistītas ar Sentropēza un kūšanas problēmām, kas tiek dēvētas par speculatīvas krātuves apiešanu (SSB) un neskaidru sistēmas reģistra lasīšanu.Klientu risks, izmantojot abus atklāšanas datus, ir mazs.

Papildinformāciju par šīm ievainojamībām skatiet resursos, kas norādīti sadaļā Operētājsistēmas Windows 2018. gada maija atjauninājumi, un skatiet šos drošības padomniekus:

2018. gada 13. jūnijā tika paziņota papildu ievainojamība, iekļaujot sānkanālu specifikācijas izpildi, kas tiek dēvēta par Lazy FP State Restore, un tika piešķirta CVE-2018-3665. Papildinformāciju par šo ievainojamību un ieteicamajām darbībām skatiet šajā drošības ieteikums:

2018. gada 14. augustā L1 termināļa kļūme (L1TF) tika paziņota par jaunu apzīmētas izpildes kanāla ievainojamību, kurā ir vairāki CV. L1TF ietekmē Intel® Core® procesorus un Intel® Xeon procesorus®. Papildinformāciju par L1TF un ieteicamajām darbībām skatiet mūsu drošības ieteikums:

Piezīme. Iesakām instalēt visus jaunākos atjauninājumus no programmas Windows Update, pirms instalēt mikrokoda atjauninājumus.

2019. gada 14. maijā Intel publicēja informāciju par jaunu specifikācijas izpildes puses kanāla ievainojamību, kas tiek dēvēta par Microar izkliedes datu iztveršanu. Viņiem ir piešķirti šādi CV:

Svarīgi! Šīs problēmas ietekmēs citas sistēmas, piemēram, Android, Chrome, iOS un MacOS. Mēs iesakām klientiem meklēt norādījumus no attiecīgajiem piegādātājiem.

Korporācija Microsoft ir izlaidusi atjauninājumus, lai palīdzētu novērst šādas ievainojamības. Lai iegūtu visas pieejamās aizsardzības, ir nepieciešami aparātprogrammatūras (mikrokoda) un programmatūras atjauninājumi. Tas var ietvert mikrokodu no ierīces OEM. Dažos gadījumos šo atjauninājumu instalēšana ietekmēs veiktspēju. Mēs esam arī rīkojušies, lai aizsargātu mūsu mākoņpakalpojumus.

Piezīme. Iesakām instalēt visus jaunākos atjauninājumus no programmas Windows Update, pirms instalēt mikrokoda atjauninājumus.

Papildinformāciju par šīm problēmām un ieteicamajām darbībām skatiet šajā drošības ieteikums:

2019. gada 6. augustā Intel izlaida detalizētu informāciju par Windows kodola informācijas atklāšanas ievainojamību. Šī ievainojamība ir Sevī 1. varianta specifikācijas izpildes kanāla ievainojamības variants, un tai ir piešķirta CVE-2019-1125.

2019. gada 9. jūlijā Microsoft izlaida operētājsistēmas Windows drošības atjauninājumu, lai palīdzētu novērst šo problēmu. Klienti, kuriem Windows Update iespējoti un kuriem ir lietoti 2019. gada 9. jūlijā izlaistie drošības atjauninājumi, tiek aizsargāti automātiski. Ņemiet vērā, ka šīs ievainojamības vāj šim apdraudējumam nav nepieciešams mikrokoda atjauninājums no ierīces ražotāja (OEM).

Papildinformāciju par šo ievainojamību un attiecināmiem atjauninājumiem skatiet CVE-2019-1125 | Windows kernel information disclosure vulnerability in the Microsoft Security Update Guide.

2022. gada 14. jūnijā Intel publicēja informāciju par jaunu specifikācijas izpildes atmiņas kartēto I/O (MMIO) sānu kanāla ievainojamību, kas norādīta bieži izmantotajā cēloņu sarakstā:

Darbības, kas nepieciešamas, lai aizsargātu jūsu Windows ierīces

Lai novērstu šīs ievainojamības, iespējams, būs jāatjaunina gan aparātprogrammatūra (mikrokods), gan jūsu programmatūra. Ieteicamās darbības skatiet Microsoft drošības konsultantos. Tas ietver aparātprogrammatūras (mikrokoda) atjauninājumus no ierīces ražotājiem un dažos gadījumos arī pretvīrusu programmatūras atjauninājumus. Mēs aicinām jūs uzturēt jūsu ierīces atjauninātas un drošībā, instalējot Windows drošības atjauninājumus katru mēnesi. 

Lai saņemtu visu pieejamo aizsardzību, veiciet tālāk aprakstītās darbības, lai iegūtu jaunākos atjauninājumus gan programmatūrai, gan aparatūrai.

Piezīme.: Pirms sākat darbu, pārliecinieties, vai jūsu pretvīrusu (AV) programmatūra ir atjaunināta un saderīga. Jaunāko informāciju par saderību skatiet savas pretvīrusu programmatūras ražotāja tīmekļa vietnē.

  1. Atjauniniet savu Windows ierīci, ieslēdzot automātiskos atjauninājumus.

  2. Pārbaudiet, vai esat instalējis korporācijas Microsoft jaunākos Windows operētājsistēmas drošības atjauninājumus. Ja ir ieslēgti automātiskie atjauninājumi, tie ir automātiski jāpiegādā jums. Tomēr joprojām pārbaudiet, vai tās ir instalētas. Norādījumus skatiet rakstā Windows Update: bieži uzdotie jautājumi

  3. Instalējiet pieejamos aparātprogrammatūras (mikrokoda) atjauninājumus no ierīces ražotāja. Visiem klientiem būs jāpārbauda ierīces ražotājs, lai lejupielādētu un instalētu ierīces aparatūras atjauninājumu. Skatiet sadaļu "Papildu resursi", lai iegūtu ierīču ražotāja tīmekļa vietņu sarakstu.

    Piezīme.: Klientiem jāinstalē jaunākie Windows operētājsistēmas drošības atjauninājumi no korporācijas Microsoft, lai izmantotu pieejamo aizsardzība. Vispirms ir jāinstalē pretvīrusu programmatūras atjauninājumi. Operētājsistēmas un aparātprogrammatūras atjauninājumi jāinstalē pēc tam. Mēs aicinām jūs uzturēt jūsu ierīces atjauninātas un drošībā, instalējot Windows drošības atjauninājumus katru mēnesi. 

Ietekmētās mikroshēmas ietver tos, kurus ražo Intel, AMD un ARM. Tas nozīmē, ka visas ierīces, kurās darbojas Windows operētājsistēmas, ir potenciāli neaizsargātas. Tas attiecas uz galddatoriem, klēpjdatoriem, mākoņa serveriem un viedtālruņi. Tiek ietekmētas arī ierīces, kurās darbojas citas operētājsistēmas, piemēram, Android, Chrome, iOS un macOS. Mēs iesakām klientiem, kuri izmanto šīs operētājsistēmas, meklēt šo piegādātāju norādījumus.

Publikācijas laikā nesaņēma nekādu informāciju, kas norādītu, ka šī ievainojamība ir izmantota, lai uzbrukuma klientiem.

Sākot ar 2018. gada janvāri, Microsoft izlaida atjauninājumus operētājsistēmām Windows un Internet Explorer un Microsoft Edge tīmekļa pārlūkprogrammām, lai palīdzētu mazināt šo ievainojamību un palīdzētu aizsargāt klientus. Mēs arī izlaidām atjauninājumus, lai aizsargātu mūsu mākoņpakalpojumus.  Mēs cieši sadarbojamies ar nozares partneriem, tostarp mikroshēmu veidotājiem, aparatūras OEM un programmu piegādātājiem, lai aizsargātu klientus pret šīs ievainojamības nodarbības. 

Iesakām vienmēr instalēt ikmēneša atjauninājumus, lai jūsu ierīces būtu atjauninātas un drošas. 

Atjaunināsim šo dokumentāciju, tiklīdz būs pieejamas jaunas risku mazināšanas programmas, un mēs iesakām šos dokumentus regulāri pārskatīt. 

2019. gada jūlija operētājsistēmas Windows atjauninājumi

2019. gada 6. augustā intelimizētā detalizētā informācija par drošības ievainojamību CVE-2019-1125 | Windows kernel information disclosure vulnerability. Šīs ievainojamības drošības atjauninājumi tika izlaisti kā daļa no 2019. gada 9. jūlija mēneša atjauninājuma laidiena.

2019. gada 9. jūlijā Microsoft izlaida operētājsistēmas Windows drošības atjauninājumu, lai palīdzētu novērst šo problēmu. Mēs paturam atpakaļ informāciju par šo risku mazināšanas pasākumu, līdz 2019. gada 6. augustā tika publiski pieejama koordinēta nozares izpaušana.

Klienti, kuriem Windows Update iespējoti un kuriem ir lietoti 2019. gada 9. jūlijā izlaistie drošības atjauninājumi, tiek aizsargāti automātiski. Ņemiet vērā, ka šīs ievainojamības vāj šim apdraudējumam nav nepieciešams mikrokoda atjauninājums no ierīces ražotāja (OEM).

Operētājsistēmas Windows 2019. gada maija atjauninājumi

2019. gada 14. maijā Intel publicēja informāciju par jaunu specifikācijas izpildes puses kanāla ievainojamību, ko sauc par Microar neformuālu datu iztveršanu, un tika piešķirti šādi CV:

Papildinformāciju par šo problēmu skatiet tālāk sniegtajā drošības ieteikums un izmantojiet scenāriju norādījumus, kas izklāstīti Windows rakstos klientiem un serverim, lai noteiktu darbības, kas nepieciešamas, lai mazinātu apdraudējumu:

Microsoft ir izlaidusi aizsardzību pret jaunu specifikācijas izpildes sānkanāla ievainojamību, ko sauc par Microarhinectural datu iztveršanu 64 bitu (x64) Windows versijām (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Izmantojiet reģistra iestatījumus, kā aprakstīts rakstā Windows klients (KB4073119) un Windows Server (KB4457951). Šie reģistra iestatījumi pēc noklusējuma ir iespējoti Windows Client OS izdevumos un Windows Server OS izdevumos.

Pirms mikrokoda atjauninājumu instalēšanas no Windows Update ieteicams instalēt visus jaunākos atjauninājumus no programmas.

Papildinformāciju par šo problēmu un ieteicamajām darbībām skatiet šajā drošības ieteikums: 

Intel ir izlaidusi mikrokoda atjauninājumu nesenām centrālā procesora platformām, lai palīdzētu mazināt CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. 2019. gada 14. maija Windows KB 4093836 zināšanu bāzes rakstus pēc Windows OS versijas.  Rakstā ir iekļautas arī saites uz pieejamiem centrālā procesora veiktiem Intel mikrokoda atjauninājumiem. Šie atjauninājumi ir pieejami Microsoft katalogā.

Piezīme. Ieteicams instalēt visus jaunākos atjauninājumus no Windows Update, pirms instalēt mikrokoda atjauninājumus.

Ar prieku paziņojam, ka repozitorējums pēc noklusējuma ir iespējots Windows 10 versijā 1809 (klientam un serverim), ja Irbeta 2. variants (CVE-2017-5715) ir iespējots. Iespējojot Retpoline jaunākajā Windows 10 versijā, izmantojot 2019. gada 14. maija atjauninājumu (KB 4494441), paredzam uzlabotu veiktspēju, īpaši vecāku procesoru gadījumā.

Klientiem ir jānodrošina iepriekšējo operētājsistēmas aizsardzību pret Iītola 2. varianta ievainojamību, izmantojot reģistra iestatījumus, kas aprakstīti Windows klienta un Windows Server rakstos. (Šie reģistra iestatījumi pēc noklusējuma ir iespējoti Windows Client OS izdevumos, bet pēc noklusējuma ir atspējoti Windows Server OS izdevumos). Papildinformāciju par Retpoline skatiet rakstā 2. varianta mitigēšana ar repoline operētājsistēmā Windows.

2018. gada novembra operētājsistēmas Windows atjauninājumi

Microsoft izlaida operētājsistēmas aizsardzību speculatīvajiem veikala apiet (CVE-2018-3639) AMD procesoriem (CPU).

Microsoft izlaida papildu operētājsistēmu aizsardzību klientiem, kuri izmanto 64 bitu ARM procesorus. Sazinieties ar ierīces OEM ražotāju, lai saņemtu aparātprogrammatūras atbalstu, jo arM64 operētājsistēmas aizsardzību, kas izraisa CVE-2018-3639, produkta Speculative Store apiešanu, pieprasa jaunāko aparātprogrammatūras atjauninājumu no ierīces OEM.

2018. gada septembra operētājsistēmas Windows atjauninājumi

2018. gada 11. septembrī Microsoft izlaida Windows Server 2008 SP2 ikmēneša apkopojuma 4458010 un tikai drošības 4457984 operētājsistēmai Windows Server 2008, kas nodrošina aizsardzību pret jaunu speculative execution side-channel vulnerability known as L1 Terminal Fault (L1TF), kas ietekmē Intel® Core® procesorus un Intel® Xeon® procesorus (CVE-2018-3620 un CVE-2018-3646). 

Šis laidiens aizpilda visu atbalstīto Windows sistēmas versiju papildu aizsardzību, izmantojot Windows Update. Papildinformāciju un ietekmēto produktu sarakstu skatiet sadaļā ADV180018 | Microsoft norādījumi, lai mazinātu L1TF variantu.

Piezīme. Windows Server 2008 SP2 tagad izmanto standarta Windows apkalpošanas apkopojuma modeli. Papildinformāciju par šīm izmaiņām skatiet mūsu emuārā Windows Server 2008 SP2 apkalpošanas izmaiņas. Klientiem, kuri izmanto Windows Server 2008, papildus 4341832. gada 14. augustam ir jāinstalē vai nu 4458010 vai 4457984 drošības atjauninājums, kas izlaists 2018. gada 14. augustā. Klientiem ir arī jānodrošina iepriekšējā OS aizsardzība pret Iītola 2. variantu un Kūšanas ievainojamību, izmantojot Windows klienta un Windows Server norādījumu KB rakstos aprakstītos reģistra iestatījumus. Šie reģistra iestatījumi pēc noklusējuma ir iespējoti Windows Client OS izdevumos, bet pēc noklusējuma ir atspējoti Windows Server OS izdevumos.

Microsoft izlaida papildu operētājsistēmu aizsardzību klientiem, kuri izmanto 64 bitu ARM procesorus. Lai aparātprogrammatūras atbalsts būtu pieejams, sazinieties ar ierīces OEM ražotāju, jo arM64 operētājsistēmu aizsardzībai, kas ietekmē CVE-2017-5715 — zaru mērķa ievadīšanas veidu (Arm64, Variant 2), ir nepieciešams jaunākais aparātprogrammatūras atjauninājums, ko nodrošina ierīces OEMs.

2018. gada augusta operētājsistēmas Windows atjauninājumi

2018. gada 14. augustā L1 termināļa kļūme (L1TF) tika paziņota un piešķirta vairākiem CV. Šīs jaunās potenciālās izpildes blakus kanāla ievainojamības var izmantot, lai lasītu atmiņas saturu uzticamā robežas gadījumā, un, ja tā tiek izmantota, var radīt informācijas izpaušanu. Ir vairāki vektori, pēc kuriem uzbrukums var izraisīt ievainojamību atkarībā no konfigurētās vides. L1TF ietekmē Intel® Core® procesorus un Intel® Xeon procesorus®.

Lai iegūtu papildinformāciju par L1TF un detalizētu skatu par ietekmētajiem scenārijiem, tostarp Microsoft pieeju L1TF mazināšanai, skatiet šos resursus:

2018. gada jūlija operētājsistēmas Windows atjauninājumi

Ar prieku paziņojam, ka Microsoft ir pabeigusi papildu aizsardzību pret visām atbalstītajām Windows sistēmas versijām, izmantojot Windows Update, lai aizsargātu šādas ievainojamības:

  • 2. Variants AmD procesoriem

  • Speculative Store Bypass for Intel processors

2018. gada 13. jūnijā tika paziņota papildu ievainojamība, iekļaujot sānkanālu specifikācijas izpildi, kas tiek dēvēta par Lazy FP State Restore, un tika piešķirta CVE-2018-3665. Lazy Restore FP Restore (Atjaunošana FP atjaunošana) nav nepieciešami konfigurācijas (reģistra) iestatījumi.

Papildinformāciju par šo ievainojamību, ietekmētajiem produktiem un ieteicamajām darbībām skatiet šajā drošības ieteikums:

12. jūnijā Microsoft paziņoja par Windows atbalstu Speculative Store apiešanas atspējošanai (SSBD) Intel procesoros. Atjauninājumiem ir nepieciešama atbilstoša aparātprogrammatūra (mikrokods) un reģistra atjauninājumi funkcionalitātei. Informāciju par atjauninājumiem un darbībām, kas jāveic, lai ieslēgtu SSBD, skatiet sadaļas "Ieteicamās darbības" sadaļā ADV180012 | Microsoft norādījumi par apzīmētā veikala apiešanu.

Operētājsistēmas Windows 2018. gada maija atjauninājumi

2018. gada janvārī Microsoft izlaida informāciju par tikko atklāto aparatūras ievainojamību klasi (dēvētu par ātrdarbi un kustēšanu), kurās ir iesaistīti specifikācijas izpildes puses kanāli, kas ietekmē AMD, ARM un Intel CPUs dažādās pakāpēs. 2018. gada 21. maijā Google Project Zero (GPZ), Microsoft un Intel atklāja divas jaunas mikroshēmas ievainojamības, kas ir saistītas ar Senās pilsētas un kūšanas problēmām, kas tiek dēvētas par Speculative Store Bypass (SSB) un Rogue System Registry Read.

Klientu risks, izmantojot abus atklāšanas datus, ir mazs.

Papildinformāciju par šīm ievainojamībām skatiet šajos resursos:

Attiecas uz: Windows 10, versija 1607, Windows Server 2016, Windows Server 2016 (Server Core instalācija) un Windows Server versija 1709 (Server Core instalēšana)

Esam nodrošināuši atbalstu netiešā atzara prognozēšanas barjeras (IBPB) lietošanai dažos AMD procesoros (CPU), lai mazinātu CVE-2017-5715, 2. variantu, kad pārslēdzaties no lietotāja konteksta uz kodola kontekstu. (Papildinformāciju skatiet rakstā AMD arhitektūras vadlīnijas attiecībā uz netiešās filiāles kontroli un AMD drošības Atjauninājumi).

Klientiem, kuri izmanto Windows 10, versiju 1607, Windows Server 2016, Windows Server 2016 (Server Core instalāciju) un Windows Server versiju 1709 (Server Core instalāciju), jāinstalē drošības atjauninājums 4103723, lai amd procesoriem iegūtu papildu riskus CVE-2017-5715, filiāles mērķa rādīšanu. Šis atjauninājums ir pieejams arī ar Windows Update.

Izpildiet norādījumus, kas izklāstīti KB 4073119 for Windows Client (IT Pro) norādījumos un KB 4072698 for Windows Server norādījumos, lai iespējotu IBPB lietošanu dažos AMD procesoros (CPU), lai mazinātu 2. variantu gadījumā, ja pārslēdzaties no lietotāja konteksta uz kodola kontekstu.

Microsoft padara intel validētu mikrokoda atjaunināšanu apKodēt 2. variantu (CVE-2017-5715 "Filiāles mērķa ievadīšanas"). Lai iegūtu jaunākos Intel microcode atjauninājumus, izmantojot Windows Update, klientiem ir jāinstalē Intel microcode ierīcēs, kurās darbojas Windows 10 operētājsistēma, pirms jaunināšanas uz Windows 10 2018. gada aprīļa atjauninājumu (versija 1803).

Mikrokoda atjauninājums ir pieejams arī tieši no kataloga, ja tas netika instalēts ierīcē pirms operētājsistēmas jaunināšanas. Intel microcode ir pieejams, izmantojot Windows Update, WSUS vai Microsoft Update katalogu. Papildinformāciju un lejupielādes norādījumus skatiet rakstā KB 4100347.

Mēs piedāvāsim papildu mikrokoda atjauninājumus no Intel operētājsistēmai Windows, tiklīdz tā kļūs pieejama korporācijai Microsoft.

Attiecas uz: Windows 10, versija 1709

Esam nodrošināuši atbalstu netiešā atzara prognozēšanas barjeras (IBPB) lietošanai dažos AMD procesoros (CPU), lai mazinātu CVE-2017-5715, 2. variantu, kad pārslēdzaties no lietotāja konteksta uz kodola kontekstu. (Papildinformāciju skatiet rakstā AMD arhitektūras vadlīnijas attiecībā uz netiešās filiāles kontroli un AMD drošības Atjauninājumi).Izpildiet norādījumus, kas izklāstīti KB 4073119 operētājsistēmai Windows klienta (IT Pro) norādījumos, lai iespējotu IBPB lietošanu dažos AMD procesoros (CPU), lai mazinātu Kaitra 2. variantu, kad pārslēdzaties no lietotāja konteksta uz kodola kontekstu.

Microsoft padara pieejamus Intel validētus mikrokoda atjauninājumus apKodēšanas 2. variantu (CVE-2017-5715 "Filiāles mērķa ievadīšanas"). KB4093836 zināšanu bāzes rakstus pēc Windows versijas. Katrā konkrētā KB ir iekļauti jaunākie pieejamie Intel mikrokoda atjauninājumi, ko veic centrālais procesors.

Mēs piedāvāsim papildu mikrokoda atjauninājumus no Intel operētājsistēmai Windows, tiklīdz tā kļūs pieejama korporācijai Microsoft. 

2018. gada marta un jaunāku Windows versiju operētājsistēmas atjauninājumi

23. marts, TechNet drošības & aizsardzība: KVA ēna: Kūšanas aktivizēšana operētājsistēmā Windows

14. marts, drošības tehnoloģiju centrs: specifikācijas izpildes puses kanāla bounty programmas nosacījumi

2018. gada 13. marta emuārs, Windows drošība atjauninājums — paplašinām mūsu centienus aizsargāt klientus

1. marta emuārs: Atjaunināšana uz Ābeļa un Kūdēšanas drošības atjauninājumiem Windows ierīcēm

Sākot ar 2018. gada martā izlaistajiem Microsoft drošības atjauninājumiem, lai nodrošinātu riskus ierīcēm, kurās darbojas šādas x86 operētājsistēmas Windows. Lai izmantotu pieejamo aizsardzību, klientiem ir jāinstalē jaunākie Windows operētājsistēmas drošības atjauninājumi. Mēs strādājam, lai nodrošinātu aizsardzību citām atbalstītajām Windows versijām, bet pašlaik nav laidiena grafika. Lūdzu, atgriezieties šeit, lai saņemtu atjauninājumus. Papildinformāciju skatiet saistītajā zināšanu bāzes rakstā, lai iegūtu tehnisko informāciju un sadaļu Bieži uzdotie jautājumi.

Izlaists produkta atjauninājums

Statuss

Izlaišanas datums

Laidiena kanāls

KB

Windows 8.1 & Windows Server 2012 R2 — tikai drošības atjauninājums

Izlaists

13-Mar

WSUS, Katalogs,

KB4088879

Windows 7 SP1 & Windows Server 2008 R2 SP1 — tikai drošības atjauninājums

Izlaists

13-Mar

WSUS, katalogs

KB4088878

Windows Server 2012 — tikai drošības atjauninājums Windows 8 Embedded Standard Edition — tikai drošības atjauninājums

Izlaists

13-Mar

WSUS, katalogs

KB4088877

Windows 8.1 & Windows Server 2012 R2 — ikmēneša apkopojums

Izlaists

13-Mar

WU, WSUS, katalogs

KB4088876

Windows 7 SP1 & Windows Server 2008 R2 SP1 — ikmēneša apkopojums

Izlaists

13-Mar

WU, WSUS, katalogs

KB4088875

Windows Server 2012 — ikmēneša apkopojums Windows 8 Embedded Standard Edition — ikmēneša apkopojums

Izlaists

13-Mar

WU, WSUS, katalogs

KB4088877

Windows Server 2008 SP2

Izlaists

13-Mar

WU, WSUS, katalogs

KB4090450

Sākot ar 2018. gada martā izlaistajiem Microsoft drošības atjauninājumiem, lai nodrošinātu riskus ierīcēm, kurās darbojas šādas x64 operētājsistēmas Windows. Lai izmantotu pieejamo aizsardzību, klientiem ir jāinstalē jaunākie Windows operētājsistēmas drošības atjauninājumi. Mēs strādājam, lai nodrošinātu aizsardzību citām atbalstītajām Windows versijām, bet pašlaik nav laidiena grafika. Lūdzu, atgriezieties šeit, lai saņemtu atjauninājumus. Papildinformāciju skatiet saistītajā rakstā zināšanu bāze detalizētu informāciju un sadaļu "Bieži uzdotie jautājumi".

Izlaists produkta atjauninājums

Statuss

Izlaišanas datums

Laidiena kanāls

KB

Windows Server 2012 — tikai drošības atjauninājums Windows 8 Embedded Standard Edition — tikai drošības atjauninājums

Izlaists

13-Mar

WSUS, katalogs

KB4088877

Windows Server 2012 — ikmēneša apkopojums Windows 8 Embedded Standard Edition — ikmēneša apkopojums

Izlaists

13-Mar

WU, WSUS, katalogs

KB4088877

Windows Server 2008 SP2

Izlaists

13-Mar

WU, WSUS, katalogs

KB4090450

Šajā atjauninājumā ir novērsta privilēģiju ievainojamības pacēlums Windows kernel 64 bitu (x64) Windows versijā. Šī ievainojamība ir dokumentēta CVE-2018-1038. Lietotājiem šis atjauninājums ir jālieto, lai pilnībā aizsargātu pret šo ievainojamību, ja viņu datori tika atjaunināti 2018. gada janvārī vai pēc tam, lietojot kādu no atjauninājumiem, kas norādīti šajā zināšanu bāzes rakstā:

Windows kernel update for CVE-2018-1038

Šis drošības atjauninājums novērš vairākas paziņotās ievainojamības pārlūkprogrammā Internet Explorer. Papildinformāciju par šīm ievainojamībām skatiet rakstā Microsoft bieži sastopamās ievainojamības un apdraudējumi

Izlaists produkta atjauninājums

Statuss

Izlaišanas datums

Laidiena kanāls

KB

Internet Explorer 10 — kumulatīvais atjauninājums operētājsistēmai Windows 8 Embedded Standard Edition

Izlaists

13-Mar

WU, WSUS, katalogs

KB4089187

2018. gada februāra operētājsistēmas Windows atjauninājumi

Emuārs: Windows Analytics tagad palīdz novērtēt kūdīšanas un kūšanas aizsardzību

Šie drošības atjauninājumi nodrošina papildu aizsardzību ierīcēm, kurās darbojas 32 bitu (x86) Windows operētājsistēmas. Microsoft iesaka klientiem instalēt atjauninājumu, tiklīdz tas ir pieejams. Mēs turpinām strādāt, lai nodrošinātu aizsardzību citām atbalstītajām Windows versijām, bet pašlaik nav laidiena grafika. Lūdzu, atgriezieties šeit, lai saņemtu atjauninājumus. 

Piezīme Windows 10 mēneša drošības atjauninājumi ir kumulatīvi katru mēnesi un tiks automātiski lejupielādēti un instalēti no Windows Update. Ja esat instalējis iepriekšējos atjauninājumus, ierīcē tiks lejupielādētas un instalētas tikai jaunās daļas. Papildinformāciju skatiet saistītajā zināšanu bāzes rakstā, lai iegūtu tehnisko informāciju un sadaļu Bieži uzdotie jautājumi.

Izlaists produkta atjauninājums

Statuss

Izlaišanas datums

Laidiena kanāls

KB

Windows 10 — versija 1709/Windows Server 2016 (1709)/IoT Core — kvalitātes atjauninājums

Izlaists

31-Jan

WU, katalogs

KB4058258

Windows Server 2016 (1709) — servera konteiners

Izlaists

13-Feb

Docker kopa

KB4074588

Windows 10 — versija 1703/IoT Core — kvalitātes atjauninājums

Izlaists

13-Feb

WU, WSUS, katalogs

KB4074592

Windows 10 versija 1607/Windows Server 2016/IoT Core — kvalitātes atjauninājums

Izlaists

13-Feb

WU, WSUS, katalogs

KB4074590

Windows 10 HoloLens — OS un aparātprogrammatūras Atjauninājumi

Izlaists

13-Feb

WU, katalogs

KB4074590

Windows Server 2016 (1607) — konteinera attēli

Izlaists

13-Feb

Docker kopa

KB4074590

Windows 10 — versija 1511/IoT Core — kvalitātes atjauninājums

Izlaists

13-Feb

WU, WSUS, katalogs

KB4074591

Windows 10 — versija RTM — kvalitātes atjauninājums

Izlaists

13-Feb

WU, WSUS, katalogs

KB4074596

Operētājsistēmas Windows 2018. gada janvāra atjauninājumi

Emuārs: Uzmācības un kūšanas risku veiktspējas ietekme Windows sistēmā

Sākot ar 2018. gada janvāri, Microsoft izlaida drošības atjauninājumus, lai nodrošinātu riskus ierīcēm, kurās darbojas šādas x64 operētājsistēmas Windows. Lai izmantotu pieejamo aizsardzību, klientiem ir jāinstalē jaunākie Windows operētājsistēmas drošības atjauninājumi. Mēs strādājam, lai nodrošinātu aizsardzību citām atbalstītajām Windows versijām, bet pašlaik nav laidiena grafika. Lūdzu, atgriezieties šeit, lai saņemtu atjauninājumus. Papildinformāciju skatiet saistītajā zināšanu bāzes rakstā, lai iegūtu tehnisko informāciju un sadaļu Bieži uzdotie jautājumi.

Izlaists produkta atjauninājums

Statuss

Izlaišanas datums

Laidiena kanāls

KB

Windows 10 — versija 1709/Windows Server 2016 (1709)/IoT Core — kvalitātes atjauninājums

Izlaists

3-Jan

WU, WSUS, katalogs, Azure attēlu galerija

KB4056892

Windows Server 2016 (1709) — servera konteiners

Izlaists

5-Jan

Docker kopa

KB4056892

Windows 10 — versija 1703/IoT Core — kvalitātes atjauninājums

Izlaists

3-Jan

WU, WSUS, katalogs

KB4056891

Windows 10 — versija 1607/Windows Server 2016/IoT Core — kvalitātes atjauninājums

Izlaists

3-Jan

WU, WSUS, katalogs

KB4056890

Windows Server 2016 (1607) — konteinera attēli

Izlaists

4-Jan

Docker kopa

KB4056890

Windows 10 — versija 1511/IoT Core — kvalitātes atjauninājums

Izlaists

3-Jan

WU, WSUS, katalogs

KB4056888

Windows 10 — versija RTM — kvalitātes atjauninājums

Izlaists

3-Jan

WU, WSUS, katalogs

KB4056893

Windows 10 Mobile (operētājsistēmas būvējums 15254.192) — ARM

Izlaists

5-Jan

WU, katalogs

KB4073117

Windows 10 Mobile (operētājsistēmas būvējums 15063.850)

Izlaists

5-Jan

WU, katalogs

KB4056891

Windows 10 Mobile (operētājsistēmas būvējums 14393.2007)

Izlaists

5-Jan

WU, katalogs

KB4056890

Windows 10 HoloLens

Izlaists

5-Jan

WU, katalogs

KB4056890

Windows 8.1/Windows Server 2012 R2 — tikai drošības atjauninājums

Izlaists

3-Jan

WSUS, katalogs

KB4056898

Windows Embedded 8.1 Industry Enterprise

Izlaists

3-Jan

WSUS, katalogs

KB4056898

Windows Embedded 8.1 Industry Pro

Izlaists

3-Jan

WSUS, katalogs

KB4056898

Windows Embedded 8.1 Pro

Izlaists

3-Jan

WSUS, katalogs

KB4056898

Windows 8.1/Windows Server 2012 R2 ikmēneša apkopojums

Izlaists

8-Jan

WU, WSUS, katalogs

KB4056895

Windows Embedded 8.1 Industry Enterprise

Izlaists

8-Jan

WU, WSUS, katalogs

KB4056895

Windows Embedded 8.1 Industry Pro

Izlaists

8-Jan

WU, WSUS, katalogs

KB4056895

Windows Embedded 8.1 Pro

Izlaists

8-Jan

WU, WSUS, katalogs

KB4056895

Windows Server 2012, tikai drošības

Izlaists

WSUS, katalogs

Windows Server 2008 SP2

Izlaists

WU, WSUS, katalogs

Windows Server 2012 ikmēneša apkopojums

Izlaists

WU, WSUS, katalogs

Windows Embedded 8 Standard

Izlaists

WU, WSUS, katalogs

Windows 7 SP1/Windows Server 2008 R2 SP1— tikai drošības atjauninājums

Izlaists

3-Jan

WSUS, katalogs

KB4056897

Windows Embedded Standard 7

Izlaists

3-Jan

WSUS, katalogs

KB4056897

Windows Embedded POSReady 7

Izlaists

3-Jan

WSUS, katalogs

KB4056897

Windows Thin PC

Izlaists

3-Jan

WSUS, katalogs

KB4056897

Windows 7 SP1/Windows Server 2008 R2 SP1 ikmēneša apkopojums

Izlaists

4-Jan

WU, WSUS, katalogs

KB4056894

Windows Embedded Standard 7

Izlaists

4-Jan

WU, WSUS, katalogs

KB4056894

Windows Embedded POSReady 7

Izlaists

4-Jan

WU, WSUS, katalogs

KB4056894

Windows Thin PC

Izlaists

4-Jan

WU, WSUS, katalogs

KB4056894

Internet Explorer 11 kumulatīvais atjauninājums operētājsistēmām Windows 7 SP1 un Windows 8.1

Izlaists

3-Jan

WU, WSUS, katalogs

KB4056568

2024. gada 9. aprīlī tika publicēts CVE-2022-0001 | Intel Branch History Intra-mode BTI ir aprakstīta atzaru vēstures ievadīšanas (Branch History Injection — DARBLAPU) izveide, kas ir īpaša intra režīma BTI forma. Šī ievainojamība rodas, ja uzbrucējs var manipulēt ar zaru vēsturi pirms pārejas no lietotāja uz pārrauga režīmu (vai no VMX nav saknes/viesa uz saknes režīmu). Šāda manipulācija var izraisīt netiešu zaru prognozētāju atlasīt konkrētu prognozējamu ierakstu netiešam zaram, un atklāšanas sīkrīks prognozētā mērķī īslaicīgi tiks izpildīts. Tas var būt iespējams, jo attiecīgajā zaru vēsturē var būt zari, kas saistīti ar iepriekšējo drošības kontekstu, un jo īpaši citiem prognozētajiem režīmiem.

Izpildiet norādījumus, kas izklāstīti KB4073119 for Windows Client (IT Pro) norādījumos un KB4072698 for Windows Server norādījumus, lai mazinātu CVE-2022-0001 ievainojamību | Intel Branch History injection.

Resursi un tehniskā informācija

Atkarībā no jūsu lomas tālāk norādītajos atbalsta rakstos sniegtā informācija var palīdzēt identificēt un mazināt klientu un serveru vidi, ko ietekmē slāpēšanas un kūšanas ievainojamība.

Microsoft drošības ieteikums L1 termināļa kļūmei (L1TF):MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 un CVE-2018-3646

Drošības izpēte un aizsardzība: specifikāciju krātuves apiešanas analīze un risku mazināšana (CVE-2018-3639)

Microsoft drošības ieteikums Speculative Store bypass: MSRC ADV180012 un CVE-2018-3639

Microsoft drošības ieteikums rogue System Register Read | Surface drošības atjaunināšanas rokasgrāmata: MSRC ADV180013un CVE-2018-3640

Drošības izpēte un aizsardzība: specifikāciju krātuves apiešanas analīze un risku mazināšana (CVE-2018-3639)

TechNet drošības izpēte & aizsardzība: KVA ēna: kūšanas slāpēšana operētājsistēmā Windows

Drošības tehnoloģiju centrs: specifikācijas izpildes puses kanāla bounty programmas nosacījumi

Microsoft ērtību emuārs: Atjaunināšana ātrdzimu un kūdēšanas drošības atjauninājumos Windows ierīcēm

Windows darbam emuārs: Windows Analytics tagad palīdz novērtēt kūšanas un kūšanas aizsardzību

Microsoft Secure emuārs: informācija par izgaistošanas un kūšanas risku veiktspējas ietekmi Windows sistēmā

Microsoft Edge izstrādātāja emuārs: Speculative execution side-channel attacks in Microsoft Edge and Internet Explorer

Azure emuārs: Azure klientu drošība pret centrālā procesora ievainojamību

SCCM: papildu norādījumi, lai mazinātu specifikācijas izpildes blakus kanāla ievainojamību

Microsoft padomnieki:

Intel: drošības ieteikums

ARM: drošības ieteikums

AMD: drošības ieteikums

NVIDIA: drošības ieteikums

Patērētāju norādījumi: ierīces aizsardzība pret ar mikroshēmu saistītām drošības ievainojamībām

Pretvīrusu norādījumi: 2018. gada 3. janvārī izlaistie Windows drošības atjauninājumi un pretvīrusu programmatūra

Norādījumi par AMD Windows OS drošības atjaunināšanas bloķēšanu: KB4073707: Operētājsistēmas Windows drošības atjaunināšanas bloks dažām AMD ierīcēm

Atjauninājums, lai atspējotu riskus attiecībā pret Ābekli, 2. variants: KB4078130: Intel ir konstatējusi atkārtotas palaišanas problēmas ar mikrokodu dažos vecākos procesoros 

Surface norādījumi: Surface norādījumi par aizsardzību pret apzīmētās izpildes puses kanāla ievainojamību

Specifikācijas izpildes puses kanāla risku mazināšanas statusa pārbaude: informācija Get-SpeculationControlSettings PowerShell skripta izvadi

Norādījumi IT klientiem: Windows klienta norādījumi IT klientiem, lai aizsargātu pret apzīmētas izpildes puses kanāla ievainojamību

Servera norādījumi: Windows Server norādījumi aizsardzībai pret apzīmētās izpildes blakus kanāla ievainojamību

Servera norādījumi par L1 termināļa kļūmi: Windows Server norādījumi aizsardzībai pret L1 termināļa kļūmi

Izstrādātāja norādījumi: izstrādātāja norādījumi par apzīmētā veikala apiešanu

Server Hyper-V norādījumi

Azure KB: KB4073235: Microsoft mākoņa aizsardzība pret apzīmēto izpildi Side-Channel ievainojamību

Azure grēdas norādījumi. KB4073418: Azure grēdas norādījumi aizsardzībai pret apzīmētās izpildes sānu kanāla ievainojamību

Azure uzticamība: Azure uzticamības portāls

SQL Server: KB4073225: SQL Server, kā aizsargāties pret speculative execution side-channel vulnerabilities

Saites uz OEM un serveru ierīču ražotājiem, lai saņemtu atjauninājumus aizsardzībai pret slāpēšanas un kūšanas ievainojamībām

Lai novērstu šo ievainojamību, atjauniniet gan aparatūru, gan programmatūru. Izmantojiet tālāk norādītās saites, lai sa saņemtu attiecināmus aparātprogrammatūras (mikrokoda) atjauninājumus pie ierīces ražotāja.

Izmantojiet tālāk norādītās saites, lai sa saņemtu aparātprogrammatūras (mikrokoda) atjauninājumus pie ierīces ražotāja. Jums būs jāinstalē gan operētājsistēmas, gan aparātprogrammatūras (mikrokoda) atjauninājumi visiem pieejamajiem aizsardzībai.

OEM ierīču ražotāji

Saite uz mikrokoda pieejamību

Acer

Kūšanas un lēkšanas drošības ievainojamības

Asus

ASUS atjauninājums specifikācijas izpildei un netiešās filiāles prognozes kanāla analīzes metodei

Dell

Kūšanas un slāpējuma ievainojamības

Epson

Centrālā procesora ievainojamības (sānu kanāla uzbrukumi)

Fujitsu

Centrālā procesora aparatūra, kas ir neaizsargāta pret sānu kanāla uzbrukumiem (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HP

ATBALSTA SAZIŅA — DROŠĪBAS BIĻETENS

Lenovo

Priviliģētās atmiņas lasīšana sān kanālā

LG

Produktu palīdzības saņemšana & atbalstu

NEC

Atbildot uz procesora ievainojamību (kūšanu, spektra) mūsu produktos

Panasonic

Security information of vulnerability by Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method

Samsung

Intel CPUs programmatūras atjaunināšanas paziņojums

Surface

Surface norādījumi aizsardzībai pret spekulatīvās izpildes blakus kanāla ievainojamības problēmām

Toshiba

Intel, AMD & Microsoft speculative execution and Indirect Branch Prediction Side Channel Analysis Method Security Vulnerabilities (2017)

Vaio

Par ievainojamības atbalstu kanāla analīzei

Servera OEM ražotāji

Saite uz mikrokoda pieejamību

Dell

Kūšanas un slāpējuma ievainojamības

Fujitsu

Centrālā procesora aparatūra, kas ir neaizsargāta pret sānu kanāla uzbrukumiem (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HPE

Hewlett Packard Enterprise produktu drošības ievainojamības brīdinājumi

Huawei

Drošības paziņojums — paziņojums par informācijas nesēja izpaušanu par drošības ievainojamībām Intel CPU arhitektūras noformējumā

Lenovo

Priviliģētās atmiņas lasīšana sān kanālā

Bieži uzdotie jautājumi

Lai saņemtu aparātprogrammatūras (mikrokoda) atjauninājumus, jums būs jāpārbauda ierīces ražotājs. Ja jūsu ierīces ražotājs nav norādīts tabulā, sazinieties ar OEM tieši.

Atjauninājumi ierīcei Microsoft Surface ir pieejamas klientiem, izmantojot Windows Update. Pieejamo Surface ierīces aparātprogrammatūras (mikrokoda) atjauninājumu sarakstu skatiet KB 4073065.

Ja jūsu ierīce nav no Microsoft, lietojiet aparātprogrammatūras atjauninājumus no ierīces ražotāja. Lai iegūtu papildinformāciju,sazinieties ar ierīces ražotāju.

Aparatūras ievainojamības novēršana, izmantojot programmatūras atjauninājumu, rada būtiskas problēmas un riskus, kas ietekmē vecākas operētājsistēmas, un var būt nepieciešamas plašas arhitektūras izmaiņas. Mēs turpinām strādāt ar ietekmēto mikroshēmu ražotājiem, lai izpētītu labāko veidu, kā nodrošināt riskus. Tas var būt nodrošināts nākotnes atjauninājumā. Nomainot vecākas ierīces, kurās darbojas šīs vecākās operētājsistēmas, kā arī atjauninot pretvīrusu programmatūru, būtu ņemiet vērā atlikušo risku.

Piezīmes.: 

  • Produkti, kuriem pašlaik ir gan pamata, gan paplašinātā atbalsta, nesaņems šos sistēmas atjauninājumus. Iesakām klientiem veikt atjaunināšanu uz atbalstītu sistēmas versiju. 

  • Speculative execution side-channel attacks exploit CPU behavior and functionality. Centrālā procesora ražotājiem vispirms ir jānosaka, kuri procesori var būt riskanti, un pēc tam tas jāinformē Microsoft. Daudzos gadījumos, lai nodrošinātu klientiem plašāku aizsardzību, būs nepieciešami arī atbilstoši operētājsistēmas atjauninājumi. Drošības apsvērumu dēļ ir ieteicams sadarboties ar savas mikroshēmas ražotāju, lai izprastu ievainojamību un attiecināmo risku mazināšanas pasākumu.

  • Tālāk minētajām platformām netiks izlaisti atjauninājumi.

    • Windows operētājsistēmas, kas šobrīd netiek atbalstītas vai kurām 2018. gadā beigsies atbalsts (end of service — EOS)

    • Windows XP sistēmas, tostarp WES 2009 un POSReady 2009

Lai gan tiek ietekmēti sistēmas, kuru pamatā ir Windows XP, Microsoft neizdoties to atjauninājums, jo visaptverošas arhitektūras izmaiņas, kas būtu nepieciešamas, varētu negatīvi ietekmēt sistēmas stabilitāti un izraisīt lietojumprogrammu saderības problēmas. Mēs iesakām klientiem, kuriem rūp drošība, veikt jaunināšanu uz jaunāku, atbalstītu operētājsistēmu, lai pielāgotos mainīgajai drošības apdraudējumu situācijai un izmantotu labākus aizsardzības pasākumus, ko nodrošina jaunākās operētājsistēmas.

Atjauninājumi Windows 10, kas attiecas uz HoloLens, ir pieejami HoloLens klientiem, izmantojot Windows Update.

Pēc 2018. gada februāra atjauninājuma Windows drošība, HoloLens klientiem nav jāveic nekādas papildu darbības, lai atjauninātu ierīces aparātprogrammatūru. Šie atvieglojumus tiks iekļauti arī visos turpmākajos HoloLens Windows 10 laidienos.

Lai iegūtu papildinformāciju, sazinieties ar OEM.

Lai ierīce būtu pilnībā aizsargāta, jums jāinstalē jaunākie Windows operētājsistēmas drošības atjauninājumi ierīcei un attiecīgos aparātprogrammatūras (mikrokoda) atjauninājumi no ierīces ražotāja. Šie atjauninājumi ir pieejami jūsu ierīces ražotāja tīmekļa vietnē. Vispirms ir jāinstalē pretvīrusu programmatūras atjauninājumi. Operētājsistēmas un aparātprogrammatūras atjauninājumus var instalēt jebkurā secībā.

Lai novērstu šo ievainojamību, ir jāatjaunina gan aparatūra, gan programmatūra. Jums būs arī jāinstalē piemērojamie aparātprogrammatūras (mikrokoda) atjauninājumi no ierīces ražotāja, lai iegūtu plašāku aizsardzību. Mēs aicinām jūs uzturēt jūsu ierīces atjauninātas un drošībā, instalējot Windows drošības atjauninājumus katru mēnesi.

Katrā Windows 10 atjauninājumā mēs iebūvēt jaunāko drošības tehnoloģiju padziļināti operētājsistēmā, nodrošinot drošības līdzekļus, kas neļauj veselām klasēm ar ļaunprogrammatūru ietekmēt jūsu ierīci. Līdzekļu atjauninājumu laidieni tiek izdoti divas reizes gadā. Katrā ikmēneša kvalitātes atjauninājumā mēs pievienojam vēl vienu drošības slāni, kas seko jaunām un mainīgajām ļaunprogrammatūras tendencēm, lai padarītu jaunākās sistēmas drošākas izmaiņu un augošo apdraudējumu gadījumā.

Microsoft atcēlusi AV saderības pārbaudi Windows drošības atjauninājumiem atbalstītajām Windows 10, Windows 8.1 un Windows 7 SP1 ierīcēm, izmantojot Windows Update. Ieteikumi.

  • Pārliecinieties, vai jūsu ierīces ir atjauninātas, ņemot vērā microsoft un aparatūras ražotāja jaunākos drošības atjauninājumus. Papildinformāciju par to, kā uzturēt ierīces atjauninājumu, skatiet rakstā Windows Update: bieži uzdotie jautājumi.

  • Turpiniet ievērot saprotamu piesardzību, apmeklējot nezināmas izcelsmes tīmekļa vietnes, bet nepaliek vietnēs, kurām neuzticaties. Microsoft iesaka visiem klientiem aizsargāt savas ierīces, palaižot atbalstītu pretvīrusu programmu. Klienti var arī izmantot iebūvēto pretvīrusu aizsardzību: Windows Defender operētājsistēmai Windows 10 vai Microsoft Security Essentials operētājsistēmai Windows 7. Šie risinājumi ir saderīgi gadījumos, kad klienti nevar instalēt vai palaist pretvīrusu programmatūru.

Lai nepieļautu klientu ierīču nelabvēlīgu ietekmēšanu, visiem klientiem netiek piedāvāti janvāra vai februāra Windows drošības atjauninājumi. Detalizētu informāciju skatiet Microsoft zināšanu bāzes rakstā 4072699

Intel ir ziņojis par problēmām, kas ietekmē nesen izlaisto mikrokodu, kas ir paredzēts 2. varianta (CVE-2017-5715 — "Filiāles mērķa novēršanai") adresēšanai. Īpaši Intel atzīmēja, ka šis mikrokods var izraisīt "augstākas vērtības, nekā paredzēts, restartēšanu un citu neparedzētu sistēmas darbību", kā arī situācijas, piemēram, var izraisīt datu zudumu vai bojājumus.  Mūsu pieredze ir tā, ka sistēmas neesība dažos gadījumos var izraisīt datu zudumu vai bojājumus. 22. janvārī Intel iesaka klientiem pārtraukt pašreizējās mikrokoda versijas izvietošanu ietekmētajos procesoros, kamēr viņi veic papildu pārbaudi par atjaunināto risinājumu. Mēs saprotam, ka Intel turpina izpētīt pašreizējās mikrokoda versijas iespējamo ietekmi un iesakām klientiem regulāri pārskatīt norādījumus, lai informētu par saviem lēmumiem.

Intel pārbauda, atjaunina un izvieto jaunu mikrokodu, tāpēc mēs sniedzam iespēju izmantot ārpusjoslas (OOB) atjauninājumu, KB 4078130, kas īpaši atspējo tikai risku mazināšanas iespēju attiecībā uz CVE-2017-5715 — "Zaru mērķa ieviesināšana". Mūsu pārbaudē tika konstatēts, ka šis atjauninājums novērš aprakstītas darbības. Pilnu ierīču sarakstu skatiet Intel mikrokoda pārskatīšanas norādījumos. Šis atjauninājums attiecas uz Windows 7 (SP1), Windows 8.1 un visām Windows 10 klienta un servera versijām. Ja izmantojat ietekmēto ierīci, šo atjauninājumu var lietot, lejupielādējot to no tīmekļa vietnes Microsoft atjaunināšanas katalogs. Šīs lietderīgās slodzes lietošana īpaši atspējo tikai risku, kas tiek piemērots CVE-2017-5715 — "Zaru mērķa piemērošanu". 

No 25. janvāra nav nevienas zināmas atskaites, kas norādītu, ka šis 2. variants (CVE-2017-5715) ir piederīgs uzbrukumiem klientiem. Mēs iesakām atbilstošos gadījumos Windows klienti atkārtoti iespējot risku mazināšanas iespēju attiecībā uz CVE-2017-5715, ja Intel ziņo, ka šī neprognozējamā sistēmas darbība jūsu ierīcē ir atrisināta.

Nē. Drošība Tikai atjauninājumi nav kumulatīvi. Atkarībā no izmantotās operētājsistēmas versijas ir jāinstalē visi izlaistie tikai drošības atjauninājumi, lai aizsargātu šo ievainojamību. Piemēram, ja izmantojat operētājsistēmu Windows 7 32 bitu sistēmām ietekmētā Intel CPU, no 2018. gada janvāra ir jāinstalē katrs tikai drošības atjauninājums. Mēs iesakām instalēt šos tikai drošības atjauninājumus laidienu secībā.  Piezīme Iepriekš šī bieži uzdoto jautājumu versija nepareizi norāda, ka februāra tikai drošības atjauninājumā bija iekļauti drošības labojumi, kas izlaisti janvārī. Patiesībā tā tas nav.

Nē. Drošības atjauninājumu 4078130 bija konkrēts labojums, lai novērstu neparedzētu sistēmas darbību, veiktspējas problēmas un neparedzētas restartēšanas pēc mikrokoda instalēšanas. Februāra drošības atjauninājumu lietojot Windows klienta operētājsistēmās, var izmantot visus trīs riskus. Windows serveru operētājsistēmās pēc atbilstošās testēšanas veikšanas joprojām ir jāiespējo risku mazināšana. Papildinformāciju skatiet Microsoft zināšanu 4072698 rakstā.

AED nesen paziņoja, ka ir sācis izlaist mikrokodu jaunākām centrālā procesora platformām ap Sevī Variant 2 (CVE-2017-5715 "Filiāles mērķa izlaides"). Lai iegūtu papildinformāciju, skatiet AMD drošības AtjauninājumiAMD Whitepaper: arhitektūras vadlīnijas attiecībā uz netiešās filiāles kontroli. Tie ir pieejami OEM aparātprogrammatūras kanālā. 

Intel nesen paziņoja, ka ir pabeiguši validāciju un sācis izlaist mikrokodu jaunākām centrālā procesora platformām. Microsoft padara pieejamus Intel validētus mikrokoda atjauninājumus apKodēšanas 2. variantu (CVE-2017-5715 "Filiāles mērķa ievadīšanas"). KB 4093836 uzskaitīti konkrēti zināšanu bāzes raksti pēc Windows versijas. Katrā konkrētajā KB ir ietverti Intel mikrokoda atjauninājumi pēc CPU.

Microsoft padara intel validētu mikrokoda atjaunināšanu apKodēt 2. variantu (CVE-2017-5715 "Filiāles mērķa ievadīšanas"). Lai iegūtu jaunākos Intel microcode atjauninājumus, izmantojot Windows Update, klientiem ir jāinstalē Intel microcode ierīcēs, kurās darbojas Windows 10 operētājsistēma, pirms jaunināšanas uz Windows 10 2018. gada aprīļa atjauninājumu (versija 1803).

Mikrokoda atjauninājums ir pieejams arī tieši no atjauninājumu kataloga, ja tas netika instalēts ierīcē pirms sistēmas jaunināšanas. Intel microcode ir pieejams, izmantojot Windows Update, WSUS vai Microsoft Update katalogu. Papildinformāciju un lejupielādes norādījumus skatiet rakstā KB 4100347.

Detalizētu informāciju skatiet sadaļas "Ieteicamās darbības" un "Bieži uzdotie jautājumi" ADV180012 | Microsoft norādījumi par apzīmētā veikala apiešanu.

Lai pārbaudītu SSBD statusu, Get-SpeculationControlSettings PowerShell skripts ir atjaunināts, lai noteiktu ietekmētos procesorus, SSBD operētājsistēmas atjauninājumu statusu un procesora mikrokoda stāvokli, ja piemērojams. Papildinformāciju un PowerShell skripta iegūšanas iespējas skatiet rakstā KB4074629.

2018. gada 13. jūnijā tika paziņota papildu ievainojamība, iekļaujot sānkanālu specifikācijas izpildi, kas tiek dēvēta par Lazy FP State Restore, un tika piešķirta CVE-2018-3665. Lazy Restore FP Restore (Atjaunošana FP atjaunošana) nav nepieciešami konfigurācijas (reģistra) iestatījumi.

Papildinformāciju par šo ievainojamību un ieteicamajām darbībām skatiet drošības ieteikums: ADV180016 | Microsoft norādījumi par lazāmu FP stāvokļa atjaunošanu

PiezīmeLazy Restore FP Restore (Atjaunošana FP atjaunošana) nav nepieciešami konfigurācijas (reģistra) iestatījumi.

Bounds Check Bypass Store (BCBS) ir izpausta 2018. gada 10. jūlijā un ir piešķirta CVE-2018-3693. Mēs uzskatām, ka BCBS ietilpst vienā un tajā pašā ievainojamību klasē kā Bounds Check Bypass (1. variants). Pašlaik mēs zinām par BCBS instancēm mūsu programmatūrā, taču turpinām izpētīt šo ievainojamības nodarbības daļu un darbotos ar nozares partneriem, lai pēc vajadzības atbrīvotu risku mazināšanas pasākumus. Mēs turpinām rosināt zinātniekus iesniegt jebkādus atbilstošus rezultātus Microsoft speculative Execution Side Channel bounty programmā, tostarp visas izmantojamās BCBS instances. Programmatūras izstrādātājiem ir jāpārskata izstrādātāja norādījumi, kas ir atjaunināti BCBS vietnē https://aka.ms/sescdevguide.

2018. gada 14. augustā L1 termināļa kļūme (L1TF) tika paziņota un piešķirta vairākiem CV. Šīs jaunās potenciālās izpildes blakus kanāla ievainojamības var izmantot, lai lasītu atmiņas saturu uzticamā robežas gadījumā, un, ja tā tiek izmantota, var radīt informācijas izpaušanu. Ir vairāki vektori, pēc kuriem uzbrukums var izraisīt ievainojamību atkarībā no konfigurētās vides. L1TF ietekmē Intel® Core® procesorus un Intel® Xeon procesorus®.

Lai iegūtu papildinformāciju par šo ievainojamību un detalizētu skatu par ietekmētajiem scenārijiem, tostarp Microsoft pieeju L1TF migrēšanas migrācijai, skatiet šādus resursus:

Microsoft Surface klienti: Klientiem, kuri izmanto Microsoft Surface Surface Book un Surface Book, ir jāievēro Windows klienta norādījumi, kas izklāstīti drošības ieteikums: ADV180018 | Microsoft norādījumi, lai mazinātu L1TF variantu. Papildinformāciju par ietekmētajiem Surface produktiem un mikrokoda atjauninājumu pieejamību skatiet arī Microsoft zināšanu bāzes rakstā 4073065.

Microsoft Hololens klienti: Microsoft HoloLens neietekmē L1TF, jo tā neizmanto ietekmēto Intel procesoru.

Darbības, kas jāveic, lai atspējotu Hyper-Threading atšķiras no OEM uz OEM, bet parasti ir daļa no BIOS vai aparātprogrammatūras iestatīšanas un konfigurācijas rīkiem.

Klientiem, kuri izmanto 64 bitu ARM procesorus, ir jāpārbauda ierīces OEM aparātprogrammatūras atbalsts, jo ARM64 operētājsistēmas aizsardzībai, kas ietekmē CVE-2017-5715 — zaru mērķa iesiešana (Esiet, 2. variants), ir nepieciešams jaunākais aparātprogrammatūras atjauninājums, ko nodrošina ierīces OEM.

Detalizētu informāciju par šo ievainojamību skatiet Microsoft drošības rokasgrāmatā: CVE-2019-1125 | Windows kernel information disclosure vulnerability.

Mēs neapzināmies nevienu šādas informācijas atklāšanas ievainojamību, kas ietekmē mūsu mākoņpakalpojumu infrastruktūru.

Tiklīdz kļuva zināms par šo problēmu, mēs ātri strādājām, lai novērstu šo problēmu un izlaistu atjauninājumu. Mēs cieši ticam sadarbību gan ar zinātniekiem, gan nozares partneriem, lai padarītu klientus drošākus, un nepublicējām informāciju līdz otrdienai un 6. augustam saskaņā ar koordinētu ievainojamības atklāšanas praksi.

Uzziņas

Microsoft nodrošina trešās puses kontaktinformāciju, lai palīdzētu jums atrast papildinformāciju par šo tēmu. Šī kontaktinformācija var tikt mainīta bez iepriekšēja paziņojuma. Korporācija Microsoft negarantē trešo pušu kontaktinformācijas precizitāti.

Nepieciešama papildu palīdzība?

Vēlaties vairāk opciju?

Izpētiet abonementa priekšrocības, pārlūkojiet apmācības kursus, uzziniet, kā aizsargāt ierīci un veikt citas darbības.

Kopienas palīdz uzdot jautājumus un atbildēt uz tiem, sniegt atsauksmes, kā arī saņemt informāciju no ekspertiem ar bagātīgām zināšanām.