Endre dato |
Endre beskrivelse |
---|---|
9. august 2023 kl. |
|
9. april 2024 |
|
Oppsummering
Denne artikkelen inneholder informasjon og oppdateringer for en ny klasse med silisiumbaserte mikroarkitecturale og spekulative sårbarheter for utførelse av sidekanaler som påvirker mange moderne prosessorer og operativsystemer. Den inneholder også en omfattende liste over Windows-klient- og serverressurser for å holde enhetene beskyttet hjemme, på jobb og på tvers av virksomheten. Dette inkluderer Intel, AMD og ARM. Du finner spesifikke sikkerhetsdetaljer for disse silisiumbaserte problemene i følgende sikkerhetsveiledninger og CVE-er:
-
ADV180002 – veiledning for å redusere spekulative sårbarheter i utførelsessiden
-
ADV180012 – Microsoft-veiledning for spekulativ butikkomkobling
-
ADV180013 – Microsoft Guidance for Rogue System Register Read
-
ADV180016 – Microsoft-veiledning for forsinket gjenoppretting av FP-tilstand
-
ADV180018 – Microsoft-veiledning for å redusere L1TF-variant
-
ADV190013 – Microsoft-veiledning for å redusere sårbarheter for mikroarkivaktivering av datasampling
-
ADV220002 – Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities
3. januar 2018 lanserte Microsoft en veiledning og sikkerhetsoppdateringer relatert til en nylig oppdaget klasse av maskinvaresårbarheter (kjent som Spectre og Meltdown) som involverer spekulative utførelsessidekanaler som påvirker AMD-, ARM- og Intel-prosessorer i varierende grad. Denne klassen av sårbarheter er basert på en vanlig chip arkitektur som opprinnelig ble designet for å øke hastigheten på datamaskiner. Du kan finne ut mer om disse sårbarhetene på Google Project Zero.
21. mai 2018 avslørte Google Project Zero (GPZ), Microsoft og Intel to nye brikkesårbarheter som er relatert til Spectre- og Meltdown-problemene og er kjent som Speculative Store Bypass (SSB) og Rogue System Registry Read. Kunderisikoen fra begge avsløringene er lav.
Hvis du vil ha mer informasjon om disse sikkerhetsproblemene, kan du se ressursene som er oppført under oppdateringer for Windows-operativsystemet mai 2018, og se følgende sikkerhetsveiledninger:
-
ADV180012 | Microsoft-veiledning for spekulativ butikkomkobling
-
ADV180013 | Microsoft-veiledning for rogue-systemregister lest
Juni 13, 2018, en ekstra sårbarhet som involverer side-kanal spekulativ utførelse, kjent som Lazy FP State Restore, ble annonsert og tildelt CVE-2018-3665. Hvis du vil ha mer informasjon om dette sikkerhetsproblemet og anbefalte handlinger, kan du se følgende sikkerhetsveiledning:
August 14, 2018, L1 Terminal Fault (L1TF), en ny spekulativ utførelse side kanal sårbarhet ble annonsert som har flere CVEer. L1TF påvirker Intel® Core-prosessorer® og Intel® Xeon-prosessorer®. Hvis du vil ha mer informasjon om L1TF og anbefalte handlinger, kan du se vår sikkerhetsveiledning:
Obs!: Vi anbefaler at du installerer alle de nyeste oppdateringene fra Windows Update før du installerer eventuelle mikrokodeoppdateringer.
14. mai 2019 publiserte Intel informasjon om en ny underklasse av spekulative sårbarheter for utførelse av sidekanaler kjent som Microarchitectural Data Sampling. De har blitt tilordnet følgende CVE-er:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Microarchitectural Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 – "Microarchitectural Load Port Data Sampling (MLPDS)"
Viktig: Disse problemene vil påvirke andre systemer som Android, Chrome, iOS og MacOS. Vi anbefaler kunder å søke veiledning fra sine respektive leverandører.
Microsoft har gitt ut oppdateringer for å bidra til å redusere disse sikkerhetsproblemene. For å få alle tilgjengelige beskyttelser kreves fastvare (mikrokode) og programvareoppdateringer. Dette kan omfatte mikrokode fra OEMer for enheten. I noen tilfeller vil installasjon av disse oppdateringene ha en innvirkning på ytelsen. Vi har også handlet for å sikre skytjenestene våre.
Obs! Vi anbefaler at du installerer alle de nyeste oppdateringene fra Windows Update før du installerer mikrokodeoppdateringer.
Hvis du vil ha mer informasjon om disse problemene og anbefalte handlinger, kan du se følgende sikkerhetsveiledning:
August 6, 2019 Intel utgitt detaljer om en Windows kjerne informasjon avsløring sårbarhet. Dette sikkerhetsproblemet er en variant av spectre variant 1 spekulativ kjøring side kanal sårbarhet og har blitt tilordnet CVE-2019-1125.
Microsoft lanserte en sikkerhetsoppdatering for Windows-operativsystemet 9. juli 2019 for å bidra til å redusere dette problemet. Kunder som har Windows Update aktivert og har brukt sikkerhetsoppdateringene som ble utgitt 9. juli 2019, beskyttes automatisk. Vær oppmerksom på at dette sikkerhetsproblemet ikke krever en mikrokodeoppdatering fra enhetsprodusenten (OEM).
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet og aktuelle oppdateringer, kan du se CVE-2019-1125 | Sikkerhetsproblem i Microsofts sikkerhetsoppdateringsveiledning for Windows Kernel Information Disclosure.
14. juni 2022 publiserte Intel informasjon om en ny underklasse av sikkerhetsproblemer med spekulativ kjøring av minnetilordnede I/O -sider (MMIO) som er oppført i veiledningen:
Fremgangsmåte for å beskytte Windows-enhetene dine
Du må kanskje oppdatere både fastvaren (mikrokode) og programvaren for å løse disse sikkerhetsproblemene. Se Microsofts sikkerhetsveiledninger for anbefalte handlinger. Dette omfatter gjeldende fastvareoppdateringer (mikrokode) fra enhetsprodusenter og i noen tilfeller oppdateringer av antivirusprogramvaren. Vi oppfordrer deg til å holde enhetene dine oppdaterte ved å installere de månedlige sikkerhetsoppdateringene.
Hvis du vil motta alle tilgjengelige beskyttelser, følger du disse trinnene for å få de nyeste oppdateringene for både programvare og maskinvare.
Obs!: Før du begynner, må du kontrollere at antivirusprogramvaren (AV) er oppdatert og kompatibel. Gå til nettstedet til produsenten av antivirusprogramvaren for å få oppdatert kompatibilitetsinformasjon.
-
Hold Windows-enheten oppdatert ved å slå på automatiske oppdateringer.
-
Kontroller at du har installert Microsofts nyeste sikkerhetsoppdatering for Windows-operativsystemet. Hvis automatiske oppdateringer er aktivert, skal oppdateringene automatisk leveres til deg. Du bør imidlertid fortsatt kontrollere at de er installert. Hvis du vil ha instruksjoner, kan du se Windows Update: Vanlige spørsmål
-
Installer tilgjengelige fastvareoppdateringer (mikrokode) fra enhetsprodusenten. Alle kunder må ta kontakt med enhetsprodusenten for å laste ned og installere den enhetsspesifikke maskinvareoppdateringen. Se delen «Flere ressurser» for en liste over nettsteder fra enhetsprodusenten.
Obs!: Kundene bør installere de nyeste sikkerhetsoppdateringene for Windows-operativsystemet fra Microsoft for å dra nytte av den tilgjengelige beskyttelsen. Du må installere oppdateringer for antivirusprogramvare først. Operativsystem- og fastvareoppdateringer vil sannsynligvis følge. Vi oppfordrer deg til å holde enhetene dine oppdaterte ved å installere de månedlige sikkerhetsoppdateringene.
Berørte brikker inkluderer de som er produsert av Intel, AMD og ARM. Dette betyr at alle enheter som kjører Windows-operativsystemer, er potensielt sårbare. Dette omfatter stasjonære, bærbare datamaskiner, skyservere og smarttelefoner. Enheter som kjører andre operativsystemer, for eksempel Android, Chrome, iOS og macOS, påvirkes også. Vi råder kunder som kjører disse operativsystemene til å søke veiledning fra disse leverandørene.
På tidspunktet for publisering hadde vi ikke mottatt noen informasjon som indikerer at disse sårbarhetene har blitt brukt til å angripe kunder.
Fra og med januar 2018 lanserte Microsoft oppdateringer for Windows-operativsystemer og nettleserne Internet Explorer og Edge for å bidra til å redusere disse sikkerhetsproblemene og bidra til å beskytte kunder. Vi har også lansert oppdateringer for å sikre skytjenestene våre. Vi fortsetter å jobbe tett med bransjepartnere, inkludert brikkeprodusenter, maskinvare-operativsystemet og appleverandører, for å beskytte kunder mot denne klassen av sårbarhet.
Vi oppfordrer deg til alltid å installere de månedlige oppdateringene for å holde enhetene oppdaterte og sikre.
Vi oppdaterer denne dokumentasjonen når nye begrensninger blir tilgjengelige, og vi anbefaler at du kommer tilbake hit regelmessig.
Oppdateringer for Windows-operativsystemet for juli 2019
6. august 2019 avslørte Intel detaljer om sikkerhetssårbarhet CVE-2019-1125 | Sikkerhetsproblem for offentliggjøring av Windows-kjerneinformasjon. Sikkerhetsoppdateringer for dette sikkerhetsproblemet ble utgitt som en del av den månedlige oppdateringen for juli 9. juli 2019.
Microsoft lanserte en sikkerhetsoppdatering for Windows-operativsystemet 9. juli 2019 for å bidra til å redusere dette problemet. Vi holdt tilbake dokumentering av denne reduksjonen offentlig frem til den koordinerte industriavsløringen tirsdag 6.
Kunder som har Windows Update aktivert og har brukt sikkerhetsoppdateringene som ble utgitt 9. juli 2019, beskyttes automatisk. Vær oppmerksom på at dette sikkerhetsproblemet ikke krever en mikrokodeoppdatering fra enhetsprodusenten (OEM).
Oppdateringer for Windows-operativsystemet for mai 2019
14. mai 2019 publiserte Intel informasjon om en ny underklasse av spekulative sårbarheter for utførelse av sidekanaler, kjent som Microarchitectural Data Sampling , og ble tilordnet følgende CVE-er:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Microarchitectural Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 – "Microarchitectural Load Port Data Sampling (MLPDS)"
Hvis du vil ha mer informasjon om dette problemet, kan du se følgende sikkerhetsveiledning og bruke scenariobasert veiledning som er beskrevet i Windows-veiledningen for klienter og serverartikler, for å finne handlinger som er nødvendige for å redusere trusselen:
Microsoft har gitt ut beskyttelse mot en ny underklasse av spekulative sikkerhetsproblemer i sidekanaler som kalles Microarchitectural Data Sampling for 64-Biters (x64) versjoner av Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).
Bruk registerinnstillingene som beskrevet i artiklene Windows Client (KB4073119) og Windows Server (KB4457951 ). Disse registerinnstillingene er aktivert som standard for Windows Client OS-versjoner og Windows Server OS-versjoner.
Vi anbefaler at du installerer alle de nyeste oppdateringene fra Windows Update først, før du installerer eventuelle mikrokodeoppdateringer.
Hvis du vil ha mer informasjon om dette problemet og anbefalte handlinger, kan du se følgende sikkerhetsveiledning:
Intel har lansert en mikrokodeoppdatering for nylige CPU-plattformer for å redusere CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. Windows KB-4093836 14. mai 2019 viser bestemte Knowledge Base-artikler etter Windows OS-versjon. Artikkelen inneholder også koblinger til de tilgjengelige Intel-mikrokodeoppdateringene av CPU. Disse oppdateringene er tilgjengelige via Microsoft-katalogen.
Obs! Vi anbefaler at du installerer alle de nyeste oppdateringene fra Windows Update før du installerer eventuelle mikrokodeoppdateringer.
Vi er glade for å kunngjøre at Retpoline er aktivert som standard på Windows 10, versjon 1809 enheter (for klient og server) hvis Spectre Variant 2 (CVE-2017-5715) er aktivert. Ved å aktivere Retpoline på den nyeste versjonen av Windows 10, via oppdateringen for mai 14, 2019 (KB 4494441), forventer vi forbedret ytelse, spesielt på eldre prosessorer.
Kunder bør sørge for at tidligere OS-beskyttelse mot spectre variant 2-sikkerhetsproblemet er aktivert ved hjelp av registerinnstillingene som er beskrevet i Windows-klient - og Windows Server-artiklene . (Disse registerinnstillingene er aktivert som standard for Windows Client OS-versjoner, men deaktivert som standard for Windows Server OS-versjoner). Hvis du vil ha mer informasjon om "Retpoline", kan du se Mitigating Spectre variant 2 med Retpoline på Windows.
Oppdateringer for Windows-operativsystemet for november 2018
Microsoft har gitt ut operativsystembeskyttelse for Speculative Store Bypass (CVE-2018-3639) for AMD-prosessorer (CPU-er).
Microsoft har gitt ut ytterligere operativsystembeskyttelse for kunder som bruker 64-biters ARM-prosessorer. Ta kontakt med enhetens OEM-produsent for fastvarestøtte fordi ARM64-operativsystembeskyttelse som reduserer CVE-2018-3639, Speculative Store Bypass, krever den nyeste fastvareoppdateringen fra enhetens OEM.
Oppdateringer for Windows-operativsystemet for september 2018
11. september kl. 2018, Microsoft lanserte Windows Server 2008 SP2 Månedlig beregnet 4458010 og Sikkerhet bare 4457984 for Windows Server 2008 som gir beskyttelse mot et nytt spekulativt sikkerhetsproblemet i sidekanalen som kalles L1 Terminal Fault (L1TF) som påvirker Intel® Core-prosessorer® og Intel® Xeon-prosessorer® (CVE-2018-3620 og CVE-2018-3646).
Denne utgivelsen fullfører ekstra beskyttelse på alle støttede Windows-systemversjoner gjennom Windows Update. Hvis du vil ha mer informasjon og en liste over berørte produkter, kan du se ADV180018 | Microsoft-veiledning for å redusere L1TF-variant.
Obs!: Windows Server 2008 SP2 følger nå standard modell for beregnet windows-service. Hvis du vil ha mer informasjon om disse endringene, kan du se bloggen vår om vedlikeholdsendringer for Windows Server 2008 SP2. Kunder som kjører Windows Server 2008, bør installere enten 4458010 eller 4457984 i tillegg til Sikkerhetsoppdatering 4341832, som ble utgitt 14. august 2018. Kunder bør også sikre at tidligere OS-beskyttelse mot Spectre Variant 2 og Meltdown-sårbarheter er aktivert ved hjelp av registerinnstillingene som er beskrevet i KB-artiklene for Windows-klient og Windows Server-veiledning . Disse registerinnstillingene er aktivert som standard for Windows Client OS-versjoner, men er deaktivert som standard for Windows Server OS-versjoner.
Microsoft har gitt ut ytterligere operativsystembeskyttelse for kunder som bruker 64-biters ARM-prosessorer. Ta kontakt med enhetens OEM-produsent for fastvarestøtte fordi ARM64-operativsystembeskyttelse som reduserer CVE-2017-5715 – injeksjon av grenmål (Spectre, Variant 2) krever at den nyeste fastvareoppdateringen fra OEM-ene på enheten trer i kraft.
Oppdateringer for Windows-operativsystemet for august 2018
14. august 2018 ble L1 Terminal Fault (L1TF) annonsert og tilordnet flere CVE-er. Disse nye, spekulative sårbarhetene for utførelse av sidekanaler kan brukes til å lese innholdet i minnet på tvers av en klarert grense, og hvis de utnyttes, kan det føre til fremlegging av informasjon. Det finnes flere vektorer der en angriper kan utløse sårbarhetene avhengig av det konfigurerte miljøet. L1TF påvirker Intel® Core-prosessorer® og Intel® Xeon-prosessorer®.
Hvis du vil ha mer informasjon om L1TF og en detaljert visning av berørte scenarioer, inkludert Microsofts tilnærming til å redusere L1TF, kan du se følgende ressurser:
Oppdateringer for Windows-operativsystemet i juli 2018
Vi er glade for å kunngjøre at Microsoft har fullført utgivelsen av ekstra beskyttelse på alle støttede Windows-systemversjoner gjennom Windows Update for følgende sårbarheter:
-
Spectre Variant 2 for AMD-prosessorer
-
Spekulativ store bypass for Intel-prosessorer
Juni 13, 2018, en ekstra sårbarhet som involverer side-kanal spekulativ utførelse, kjent som Lazy FP State Restore, ble annonsert og tildelt CVE-2018-3665. Det er ingen konfigurasjonsinnstillinger (registerinnstillinger) som kreves for Gjenoppretting av koblet gjenoppretting.
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, berørte produkter og anbefalte handlinger, kan du se følgende sikkerhetsveiledning:
12. juni annonserte Microsoft Windows-støtte for Speculative Store Bypass Disable (SSBD) i Intel-prosessorer. Oppdateringene krever tilsvarende fastvare (mikrokode) og registeroppdateringer for funksjonalitet. Hvis du vil ha informasjon om oppdateringene og trinnene for å aktivere SSBD, kan du se delen Anbefalte handlinger i ADV180012 | Microsoft-veiledning for spekulativ butikkomkobling.
Oppdateringer for Windows-operativsystemet for mai 2018
I januar 2018 offentliggjorde Microsoft informasjon om en nyoppdaget klasse av maskinvaresårbarheter (kjent som Spectre og Meltdown) som involverer spekulative utførelsessidekanaler som påvirker AMD-, ARM- og Intel CPUs i varierende grad. Mai 21, 2018 Google Project Zero (GPZ), Microsoft og Intel avslørte to nye chip sårbarheter som er relatert til Spectre og Meltdown problemer som er kjent som Spekulativ Store Bypass (SSB) og Rogue System Registry Read.
Kunderisikoen fra begge avsløringene er lav.
Hvis du vil ha mer informasjon om disse sikkerhetsproblemene, kan du se følgende ressurser:
-
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 og CVE-2018-3639
-
Microsoft Security Advisory for Rogue System Register Les: MSRC ADV180013og CVE-2018-3640
-
Security Research and Defense: Analyse og reduksjon av spekulativ butikk bypass (CVE-2018-3639)
Gjelder for: Windows 10, versjon 1607, Windows Server 2016, Windows Server 2016 (Server Core-installasjon) og Windows Server, versjon 1709 (Server Core-installasjon)
Vi har gitt støtte til å kontrollere bruken av indirekte grenforutsigelsesbarriere (IBPB) i noen AMD-prosessorer (CPU-er) for å redusere CVE-2017-5715, Spectre Variant 2 når du bytter fra brukerkontekst til kjernekontekst. (Hvis du vil ha mer informasjon, kan du se AMD Architecture Guidelines around Indirect Branch Control and AMD Security Oppdateringer).
Kunder som kjører Windows 10, versjon 1607, Windows Server 2016, Windows Server 2016 (Server Core-installasjon) og Windows Server, versjon 1709 (Server Core-installasjon) må installere sikkerhetsoppdatering 4103723 for ytterligere begrensninger for AMD-prosessorer for CVE-2017-5715, Branch Target Injection. Denne oppdateringen er også tilgjengelig via Windows Update.
Følg instruksjonene som er beskrevet i KB 4073119 for Windows Client (IT Pro)-veiledning og KB-4072698 for Windows Server-veiledning for å aktivere bruk av IBPB i noen AMD-prosessorer (CPU-er) for å redusere Spectre Variant 2 når du bytter fra brukerkontekst til kjernekontekst.
Microsoft gjør tilgjengelige Intel-validerte mikrokodeoppdateringer rundt Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). For å få de nyeste Intel-mikrokodeoppdateringene gjennom Windows Update, må kunder ha installert Intel-mikrokode på enheter som kjører et Windows 10 operativsystem før de oppgraderer til Windows 10 april 2018 Update (versjon 1803).
Mikrokodeoppdateringen er også tilgjengelig direkte fra katalogen hvis den ikke ble installert på enheten før du oppgraderte operativsystemet. Intel-mikrokode er tilgjengelig via Windows Update, WSUS eller Microsoft Update-katalogen. Hvis du vil ha mer informasjon og instruksjoner for nedlasting, kan du se KB-4100347.
Vi tilbyr flere mikrokodeoppdateringer fra Intel for Windows-operativsystemet etter hvert som de blir tilgjengelige for Microsoft.
Gjelder for: Windows 10 versjon 1709
Vi har gitt støtte til å kontrollere bruken av indirekte grenforutsigelsesbarriere (IBPB) i noen AMD-prosessorer (CPU-er) for å redusere CVE-2017-5715, Spectre Variant 2 når du bytter fra brukerkontekst til kjernekontekst. (Hvis du vil ha mer informasjon, kan du se AMD Architecture Guidelines around Indirect Branch Control and AMD Security Oppdateringer). Følg instruksjonene som er beskrevet i KB 4073119 for Windows Client (IT Pro)-veiledning for å aktivere bruk av IBPB i noen AMD-prosessorer (CPU-er) for å redusere Spectre Variant 2 når du bytter fra brukerkontekst til kjernekontekst.
Microsoft gjør tilgjengelige Intel-validerte mikrokodeoppdateringer rundt Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 lister opp spesifikke Knowledge Base-artikler etter Windows-versjon. Hver spesifikke KB inneholder de nyeste tilgjengelige Intel-mikrokodeoppdateringene av CPU.
Vi tilbyr flere mikrokodeoppdateringer fra Intel for Windows-operativsystemet etter hvert som de blir tilgjengelige for Microsoft.
Oppdateringer for Windows-operativsystemet i mars 2018 og nyere
23. mars, TechNet Security Research & Defense: KVA Shadow: Begrensende Meltdown på Windows
14. mars, Security Tech Center: Spekulativ utførelse Side Channel Bounty Program Vilkår
Mars 13, blogg: Mars 2018 Windows Sikkerhet Oppdatering – Utvide vår innsats for å beskytte kunder
1. mars– blogg: Oppdatering om sikkerhetsoppdateringer for Spectre og Meltdown for Windows-enheter
Fra og med mars 2018 lanserte Microsoft sikkerhetsoppdateringer for å gi begrensninger for enheter som kjører følgende x86-baserte Windows-operativsystemer. Kunder bør installere de nyeste sikkerhetsoppdateringene for Windows-operativsystemet for å dra nytte av tilgjengelige beskyttelser. Vi arbeider for å gi beskyttelse for andre støttede Windows-versjoner, men har ikke en utgivelsesplan på dette tidspunktet. Kom tilbake hit for oppdateringer. Hvis du vil ha mer informasjon, kan du se den relaterte Knowledge Base-artikkelen for tekniske detaljer og delen Vanlige spørsmål.
Produktoppdatering utgitt |
Status |
Utgivelsesdato |
Utgivelseskanal |
KB |
Windows 8.1 & Windows Server 2012 R2 – bare sikkerhetsoppdatering |
Utgitt |
13. mars kl. |
WSUS, Catalog, |
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 – bare sikkerhetsoppdatering |
Utgitt |
13. mars kl. |
WSUS, katalog |
|
Windows Server 2012 – bare sikkerhetsoppdatering Windows 8 Embedded Standard Edition – oppdatering bare for sikkerhet |
Utgitt |
13. mars kl. |
WSUS, katalog |
|
Windows 8.1 & Windows Server 2012 R2 – månedlig beregnet verdi |
Utgitt |
13. mars kl. |
WU, WSUS, katalog |
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 – månedlig beregnet verdi |
Utgitt |
13. mars kl. |
WU, WSUS, katalog |
|
Windows Server 2012 – månedlig beregnet verdi Windows 8 Embedded Standard Edition – månedlig beregnet verdi |
Utgitt |
13. mars kl. |
WU, WSUS, katalog |
|
Windows Server 2008 SP2 |
Utgitt |
13. mars kl. |
WU, WSUS, katalog |
Fra og med mars 2018 lanserte Microsoft sikkerhetsoppdateringer for å gi begrensninger for enheter som kjører følgende x64-baserte Windows-operativsystemer. Kunder bør installere de nyeste sikkerhetsoppdateringene for Windows-operativsystemet for å dra nytte av tilgjengelige beskyttelser. Vi arbeider for å gi beskyttelse for andre støttede Windows-versjoner, men har ikke en utgivelsesplan på dette tidspunktet. Kom tilbake hit for oppdateringer. Hvis du vil ha mer informasjon, kan du se den relaterte kunnskapsbase artikkelen for tekniske detaljer og delen Vanlige spørsmål.
Produktoppdatering utgitt |
Status |
Utgivelsesdato |
Utgivelseskanal |
KB |
Windows Server 2012 – bare sikkerhetsoppdatering Windows 8 Embedded Standard Edition – oppdatering bare for sikkerhet |
Utgitt |
13. mars kl. |
WSUS, katalog |
|
Windows Server 2012 – månedlig beregnet verdi Windows 8 Embedded Standard Edition – månedlig beregnet verdi |
Utgitt |
13. mars kl. |
WU, WSUS, katalog |
|
Windows Server 2008 SP2 |
Utgitt |
13. mars kl. |
WU, WSUS, katalog |
Denne oppdateringen tar for seg et sikkerhetsproblem med rettighetsutvidelse i Windows-kjernen i 64-bitersversjonen (x64) av Windows. Dette sikkerhetsproblemet er dokumentert i CVE-2018-1038. Brukere må bruke denne oppdateringen for å være fullstendig beskyttet mot dette sikkerhetsproblemet hvis datamaskinene deres ble oppdatert på eller etter januar 2018 ved å bruke noen av oppdateringene som er oppført i følgende Knowledge Base-artikkel:
Denne sikkerhetsoppdateringen løser flere rapporterte sikkerhetsproblemer i Internet Explorer. Hvis du vil vite mer om disse sikkerhetsproblemene, kan du se Microsofts vanlige sikkerhetsproblemer og eksponeringer.
Produktoppdatering utgitt |
Status |
Utgivelsesdato |
Utgivelseskanal |
KB |
Internet Explorer 10 – kumulativ oppdatering for Windows 8 Embedded Standard Edition |
Utgitt |
13. mars kl. |
WU, WSUS, katalog |
Oppdateringer for Windows-operativsystemet i februar 2018
Blogg: Windows Analytics bidrar nå til å vurdere Spectre- og Meltdown-beskyttelser
Følgende sikkerhetsoppdateringer gir ekstra beskyttelse for enheter som kjører 32-biters (x86) Windows-operativsystemer. Microsoft anbefaler at kunder installerer oppdateringen så snart som tilgjengelig. Vi fortsetter å arbeide for å gi beskyttelse for andre støttede Windows-versjoner, men har ikke en utgivelsesplan på dette tidspunktet. Kom tilbake hit for oppdateringer.
Obs! Windows 10 månedlige sikkerhetsoppdateringer er kumulative måned for måned og lastes ned og installeres automatisk fra Windows Update. Hvis du har installert tidligere oppdateringer, lastes bare de nye delene ned og installeres på enheten. Hvis du vil ha mer informasjon, kan du se den relaterte Knowledge Base-artikkelen for tekniske detaljer og delen Vanlige spørsmål.
Produktoppdatering utgitt |
Status |
Utgivelsesdato |
Utgivelseskanal |
KB |
Windows 10 – versjon 1709 / Windows Server 2016 (1709) / IoT Core – kvalitetsoppdatering |
Utgitt |
31.jan. |
WU, katalog |
|
Windows Server 2016 (1709) – Server-beholder |
Utgitt |
13 til februar |
Docker Hub |
|
Windows 10 – versjon 1703 / IoT Core – kvalitetsoppdatering |
Utgitt |
13 til februar |
WU, WSUS, katalog |
|
Windows 10 – versjon 1607 / Windows Server 2016 / IoT Core – kvalitetsoppdatering |
Utgitt |
13 til februar |
WU, WSUS, katalog |
|
Windows 10 HoloLens – OS og fastvare Oppdateringer |
Utgitt |
13 til februar |
WU, katalog |
|
Windows Server 2016 (1607) – beholderbilder |
Utgitt |
13 til februar |
Docker Hub |
|
Windows 10 – versjon 1511 / IoT Core – kvalitetsoppdatering |
Utgitt |
13 til februar |
WU, WSUS, katalog |
|
Windows 10 – versjon RTM – kvalitetsoppdatering |
Utgitt |
13 til februar |
WU, WSUS, katalog |
Oppdateringer for Windows-operativsystemet for januar 2018
Blogg: Forstå ytelsesvirkningen av Spectre og Meltdown Mitigations på Windows-systemer
Fra og med januar 2018 lanserte Microsoft sikkerhetsoppdateringer for å gi begrensninger for enheter som kjører følgende x64-baserte Windows-operativsystemer. Kunder bør installere de nyeste sikkerhetsoppdateringene for Windows-operativsystemet for å dra nytte av tilgjengelige beskyttelser. Vi arbeider for å gi beskyttelse for andre støttede Windows-versjoner, men har ikke en utgivelsesplan på dette tidspunktet. Kom tilbake hit for oppdateringer. Hvis du vil ha mer informasjon, kan du se den relaterte Knowledge Base-artikkelen for tekniske detaljer og delen Vanlige spørsmål.
Produktoppdatering utgitt |
Status |
Utgivelsesdato |
Utgivelseskanal |
KB |
Windows 10 – versjon 1709 / Windows Server 2016 (1709) / IoT Core – kvalitetsoppdatering |
Utgitt |
3.jan. |
WU, WSUS, katalog, Azure-bildegalleri |
|
Windows Server 2016 (1709) – Server-beholder |
Utgitt |
5.jan. |
Docker Hub |
|
Windows 10 – versjon 1703 / IoT Core – kvalitetsoppdatering |
Utgitt |
3.jan. |
WU, WSUS, katalog |
|
Windows 10 – versjon 1607 / Windows Server 2016 / IoT Core – kvalitetsoppdatering |
Utgitt |
3.jan. |
WU, WSUS, katalog |
|
Windows Server 2016 (1607) – beholderbilder |
Utgitt |
4.jan. |
Docker Hub |
|
Windows 10 – versjon 1511 / IoT Core – kvalitetsoppdatering |
Utgitt |
3.jan. |
WU, WSUS, katalog |
|
Windows 10 – versjon RTM – kvalitetsoppdatering |
Utgitt |
3.jan. |
WU, WSUS, katalog |
|
Windows 10 Mobile (OS-build 15254.192) – ARM |
Utgitt |
5.jan. |
WU, katalog |
|
Windows 10 Mobile (OS-build 15063.850) |
Utgitt |
5.jan. |
WU, katalog |
|
Windows 10 Mobile (OS-build 14393.2007) |
Utgitt |
5.jan. |
WU, katalog |
|
Windows 10 HoloLens |
Utgitt |
5.jan. |
WU, katalog |
|
Windows 8.1 / Windows Server 2012 R2 – bare sikkerhetsoppdatering |
Utgitt |
3.jan. |
WSUS, katalog |
|
Windows Embedded 8.1 Industry Enterprise |
Utgitt |
3.jan. |
WSUS, katalog |
|
Windows Embedded 8.1 Industry Pro |
Utgitt |
3.jan. |
WSUS, katalog |
|
Windows Embedded 8.1 Pro |
Utgitt |
3.jan. |
WSUS, katalog |
|
Windows 8.1 / månedlig samleoppdatering for Windows Server 2012 R2 |
Utgitt |
8.jan. |
WU, WSUS, katalog |
|
Windows Embedded 8.1 Industry Enterprise |
Utgitt |
8.jan. |
WU, WSUS, katalog |
|
Windows Embedded 8.1 Industry Pro |
Utgitt |
8.jan. |
WU, WSUS, katalog |
|
Windows Embedded 8.1 Pro |
Utgitt |
8.jan. |
WU, WSUS, katalog |
|
Windows Server 2012 – bare sikkerhetsoppdatering |
Utgitt |
WSUS, katalog |
||
Windows Server 2008 SP2 |
Utgitt |
WU, WSUS, katalog |
||
Månedlig samleoppdatering for Windows Server 2012 |
Utgitt |
WU, WSUS, katalog |
||
Windows Embedded 8 Standard |
Utgitt |
WU, WSUS, katalog |
||
Windows 7 SP1 / Windows Server 2008 R2 SP1 – bare sikkerhetsoppdatering |
Utgitt |
3.jan. |
WSUS, katalog |
|
Windows Embedded Standard 7 |
Utgitt |
3.jan. |
WSUS, katalog |
|
Windows Embedded POSReady 7 |
Utgitt |
3.jan. |
WSUS, katalog |
|
Windows Thin PC |
Utgitt |
3.jan. |
WSUS, katalog |
|
Windows 7 SP1 / månedlig samleoppdatering for Windows Server 2008 R2 SP1 |
Utgitt |
4.jan. |
WU, WSUS, katalog |
|
Windows Embedded Standard 7 |
Utgitt |
4.jan. |
WU, WSUS, katalog |
|
Windows Embedded POSReady 7 |
Utgitt |
4.jan. |
WU, WSUS, katalog |
|
Windows Thin PC |
Utgitt |
4.jan. |
WU, WSUS, katalog |
|
Internet Explorer 11 – samleoppdatering for Windows 7 SP1 og Windows 8.1 |
Utgitt |
3.jan. |
WU, WSUS, katalog |
9. april 2024 publiserte vi CVE-2022-0001 | Intel Branch History Injection som beskriver Branch History Injection (BHI) som er en bestemt form for intra-modus BTI. Dette sikkerhetsproblemet oppstår når en angriper kan manipulere grenloggen før overgangen fra bruker til tilsynsmodus (eller fra VMX ikke-rot-/gjest til rotmodus). Denne manipulasjonen kan føre til at en indirekte grenforutsiger velger en bestemt prediktoroppføring for en indirekte gren, og et miniprogram for avsløring på det forutsette målet vil kjøre midlertidig. Dette kan være mulig fordi den relevante grenloggen kan inneholde grener som er tatt i tidligere sikkerhetskontekster, og spesielt andre prediktormoduser.
Følg instruksjonene som er beskrevet i KB4073119 for Veiledning for Windows Client (IT Pro), og KB4072698 for Windows Server-veiledning for å redusere sikkerhetsproblemene som er beskrevet i CVE-2022-0001 | Innsetting av Intel-grenlogg.
Ressurser og teknisk veiledning
Avhengig av rollen din kan følgende støtteartikler hjelpe deg med å identifisere og redusere klient- og servermiljøer som påvirkes av spectre- og meltdown-sårbarhetene.
Microsofts sikkerhetsveiledning for L1 Terminal Fault (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646
Security Research and Defense: Analyse og reduksjon av spekulativ butikk bypass (CVE-2018-3639)
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 og CVE-2018-3639
Microsoft Security Advisory for Rogue System Register Lest | Sikkerhetsoppdateringsveiledning for Surface: MSRC ADV180013og CVE-2018-3640
Security Research and Defense: Analyse og reduksjon av spekulativ butikk bypass (CVE-2018-3639)
TechNet Security Research & Defense: KVA Shadow: Begrensende meltdown på Windows
Security Tech Center: Spekulativ utførelse Side Channel Bounty Program Vilkår
Microsoft Experience-blogg: Oppdatering om sikkerhetsoppdateringer for Spectre og Meltdown for Windows-enheter
Windows for Business-blogg: Windows Analytics bidrar nå til å vurdere Spectre- og Meltdown-beskyttelser
Microsoft Secure-blogg: Forstå ytelsesvirkningen av Spectre og Meltdown Mitigations på Windows Systems
Edge Developer Blog: Begrense spekulativ kjøring sidekanal angrep i Microsoft Edge og Internet Explorer
Azure Blog: Sikre Azure-kunder fra CPU-sårbarhet
SCCM veiledning: Ytterligere veiledning for å redusere spekulativ utførelse sidekanal sårbarheter
Microsoft Advisories:
-
ADV180002 | Veiledning for å redusere spekulativ utførelse sidekanal sårbarheter
-
ADV180012 | Microsoft-veiledning for spekulativ butikkomkobling
-
ADV180013 | Microsoft-veiledning for rogue-systemregister lest
-
ADV180018 | Microsoft-veiledning for å redusere L1TF-variant
Intel: Sikkerhetsveiledning
ARM: Sikkerhetsveiledning
AMD: Sikkerhetsveiledning
NVIDIA: Sikkerhetsveiledning
Forbrukerveiledning: Beskytte enheten mot sikkerhetsproblemer relatert til brikke
Antivirusveiledning: Windows-sikkerhetsoppdateringer utgitt 3. januar 2018 og antivirusprogramvare
Veiledning for sikkerhetsoppdateringsblokk for AMD Windows OS: KB4073707: Sikkerhetsoppdateringsblokk for Windows-operativsystemet for enkelte AMD-baserte enheter
Oppdatering for å deaktivere reduksjon mot Spectre, variant 2: KB4078130: Intel har identifisert omstartsproblemer med mikrokode på noen eldre prosessorer
Surface Guidance: Surface Guidance for å beskytte mot spekulativ utførelse sidekanal sårbarheter
Bekreft statusen for spekulative begrensninger for utførelsessidekanaler: Forstå utdata for Get-SpeculationControlSettings PowerShell-skript
IT Pro-veiledning: Windows Client Guidance for IT-eksperter for å beskytte mot spekulativ utførelse sidekanal sårbarheter
Serverveiledning: Windows Server-veiledning for å beskytte mot spekulative sårbarheter i utførelsessiden
Serverveiledning for L1 Terminal Fault: Windows Server-veiledning for å beskytte mot L1-terminalfeil
Utviklerveiledning: Utviklerveiledning for spekulativ butikk bypass
Veiledning for Server Hyper-V
Azure KB: KB4073235: Microsoft Cloud Protections against Speculative Execution Side-Channel Vulnerabilities
Azure Stack-veiledning: KB4073418: Azure Stack-veiledning for å beskytte mot de spekulative sårbarhetene i utførelsessiden
Azure-pålitelighet: Azure Reliability Portal
SQL Server veiledning: KB4073225: SQL Server veiledning for å beskytte mot spekulative sårbarheter i utførelsessiden
Koblinger til OEM- og Server-enhetsprodusenter for oppdateringer for å beskytte mot spectre- og meltdown-sårbarheter
Du må oppdatere både maskinvaren og programvaren for å løse disse sikkerhetsproblemene. Bruk følgende koblinger til å ta kontakt med enhetsprodusenten for aktuelle fastvareoppdateringer (mikrokode).
Bruk følgende koblinger til å ta kontakt med enhetsprodusenten for fastvareoppdateringer (mikrokode). Du må installere både operativsystem- og fastvareoppdateringer (mikrokode) for alle tilgjengelige beskyttelser.
OEM-enhetsprodusenter |
Kobling til mikrokodetilgjengelighet |
Acer |
|
Asus |
ASUS-oppdatering om spekulativ utførelse og indirekte grenprognose sidekanalanalysemetode |
Dell |
|
Epson |
|
Fujitsu |
CPU-maskinvare som er sårbar for sidekanalangrep (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
HP |
|
Lenovo |
|
LG |
|
NEC |
På svaret på prosessorens sårbarhet (meltdown, spektrum) i våre produkter |
Panasonic |
|
Samsung |
|
Surface |
Surface-veiledning for å beskytte mot spekulative kanalsårbarheter på kjøringssiden |
Toshiba |
|
Vaio |
Server OEM-produsenter |
Kobling til mikrokodetilgjengelighet |
Dell |
|
Fujitsu |
CPU-maskinvare som er sårbar for sidekanalangrep (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
HPE |
|
Huawei |
|
Lenovo |
Vanlige spørsmål
Du må ta kontakt med enhetsprodusenten for fastvareoppdateringer (mikrokode). Hvis enhetsprodusenten av ikke er oppført i tabellen, kan du kontakte OEM direkte.
Oppdateringer for Microsoft Surface-enheter er tilgjengelige for kunder gjennom Windows Update. Hvis du vil ha en liste over tilgjengelige oppdateringer for Surface-enhetens fastvare (mikrokode), kan du se KB-4073065.
Hvis enheten ikke er fra Microsoft, kan du bruke fastvareoppdateringer fra enhetsprodusenten. Kontakt enhetsprodusentenfor mer informasjon.
Håndtering av en maskinvaresårbarhet ved hjelp av en programvareoppdatering byr på betydelige utfordringer og begrensninger for eldre operativsystemer og kan kreve omfattende arkitektoniske endringer. Vi fortsetter å jobbe med berørte brikkeprodusenter for å undersøke den beste måten å gi begrensninger på. Dette kan bli gitt i en fremtidig oppdatering. Hvis du erstatter eldre enheter som kjører disse eldre operativsystemene og oppdaterer antivirusprogrammer, bør du håndtere den gjenværende risikoen.
Obs!:
-
Produkter som for øyeblikket er utenfor både vanlig og utvidet støtte, vil ikke motta disse systemoppdateringene. Vi anbefaler at kunder oppdaterer til en støttet systemversjon.
-
Spekulativ kjøring av sidekanalangrep utnytter CPU-virkemåte og funksjonalitet. CPU-produsenter må først bestemme hvilke prosessorer som kan være utsatt, og deretter varsle Microsoft. I mange tilfeller kreves det også tilsvarende oppdateringer av operativsystemet for å gi kundene mer omfattende beskyttelse. Vi anbefaler at sikkerhetsbevisste Windows CE leverandører samarbeider med brikkeprodusenten for å forstå sårbarhetene og gjeldende begrensninger.
-
Vi utsteder ikke oppdateringer for følgende plattformer:
-
Windows-operativsystemer som for øyeblikket er uten støtte, eller de som nærmer seg støtteavvikling i 2018
-
Windows XP-baserte systemer, inkludert WES 2009 og POSReady 2009
-
Selv om Windows XP-baserte systemer påvirkes av produkter, utsteder ikke Microsoft en oppdatering for dem fordi de omfattende arkitektoniske endringene som ville være nødvendige, ville sette systemstabiliteten i fare og forårsake programkompatibilitetsproblemer. Vi anbefaler at kunder som er opptatt av sikkerhet, oppgraderer til et nyere, støttet operativsystem for å holde tritt med de nye sikkerhetstruslene og dra fordel av de mer robuste beskyttelsesmekanismene i nyere operativsystemer.
Oppdateringer for å Windows 10 for HoloLens er tilgjengelige for HoloLens-kunder gjennom Windows Update.
Etter å ha brukt Windows Sikkerhet Update i februar 2018, trenger ikke HoloLens-kunder å gjøre noe mer for å oppdatere fastvaren for enheten. Disse begrensningene vil også bli inkludert i alle fremtidige utgivelser av Windows 10 for HoloLens.
Kontakt OEM-en for mer informasjon.
For at enheten skal være fullstendig beskyttet, bør du installere de nyeste sikkerhetsoppdateringene for Windows-operativsystemet for enheten og gjeldende fastvareoppdateringer (mikrokode) fra enhetsprodusenten. Disse oppdateringene skal være tilgjengelige på enhetsprodusentens nettsted. Du må installere oppdateringer for antivirusprogramvare først. Du kan installere oppdateringer for operativsystem og fastvare i en hvilken som helst rekkefølge.
Du må oppdatere både maskinvaren og programvaren for å løse dette sikkerhetsproblemet. Du må også installere gjeldende fastvareoppdateringer (mikrokode) fra enhetsprodusenten for mer omfattende beskyttelse. Vi oppfordrer deg til å holde enhetene dine oppdaterte ved å installere de månedlige sikkerhetsoppdateringene.
I hver Windows 10 funksjonsoppdatering bygger vi den nyeste sikkerhetsteknologien dypt inn i operativsystemet, og tilbyr dyptgående forsvarsfunksjoner som hindrer at hele klasser av skadelig programvare påvirker enheten. Funksjonsoppdateringer lanseres etter planen to ganger i året. I hver månedlige kvalitetsoppdatering legger vi til et nytt lag med sikkerhet som sporer nye og endrede trender i skadelig programvare for å gjøre oppdaterte systemer tryggere i møte med skiftende og utviklende trusler.
Microsoft har løftet AV-kompatibilitetskontrollen for Windows-sikkerhetsoppdateringer for støttede versjoner av Windows 10-, Windows 8.1- og Windows 7 SP1-enheter gjennom Windows Update.
Anbefalinger:-
Kontroller at enhetene dine er oppdaterte ved å ha de nyeste sikkerhetsoppdateringene fra Microsoft og maskinvareprodusenten. Hvis du vil ha mer informasjon om hvordan du holder enheten oppdatert, kan du se Windows Update: Vanlige spørsmål.
-
Fortsett å praktisere fornuftig forsiktighet når du besøker nettsteder av ukjent opprinnelse, og ikke forbli på nettsteder som du ikke stoler på. Microsoft anbefaler at alle kunder beskytter enhetene sine ved å kjøre et støttet antivirusprogram. Du kan også dra nytte av den innebygde virusbeskyttelsen: Windows Defender for Windows 10-enheter eller Microsoft Security Essentials for Windows 7-enheter. Disse løsningene er kompatible i tilfeller der kundene ikke kan installere eller kjøre antivirusprogramvare.
Windows-sikkerhetsoppdateringene som ble utgitt i januar eller februar, har ikke blitt tilbudt alle kunder for å unngå negativ innvirkning på kundeenheter. Hvis du vil ha mer informasjon, kan du se Microsoft Knowledge Base-artikkelen 4072699.
Intel har rapportert problemer som påvirker nylig utgitt mikrokode som er ment å adressere Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection"). Nærmere bestemt bemerket Intel at dette mikrokoden kan forårsake «høyere enn forventet omstart og annen uforutsigbar systematferd», og også at situasjoner som dette kan føre til «tap av data eller skade». Vår egen erfaring er at ustabilitet i systemet i noen tilfeller kan føre til tap av data eller skade. 22. januar anbefalte Intel at kunder slutter å distribuere den gjeldende mikrokodeversjonen på berørte prosessorer mens de utfører ytterligere testing på den oppdaterte løsningen. Vi forstår at Intel fortsetter å undersøke den potensielle virkningen av den gjeldende mikrokodeversjonen, og vi oppfordrer kunder til å gå gjennom veiledningen kontinuerlig for å informere sine beslutninger.
Mens Intel tester, oppdaterer og distribuerer nye mikrokoder, gjør vi tilgjengelig en ut-av-bånd -oppdatering (OOB), KB 4078130, som spesifikt deaktiverer bare begrensningen mot CVE-2017-5715 – «Grenmålinjeksjon». I testingen vår har denne oppdateringen blitt funnet for å forhindre virkemåten som er beskrevet. Hvis du vil ha en fullstendig liste over enheter, kan du se Intels revisjonsveiledning for mikrokoder. Denne oppdateringen omfatter Windows 7 (SP1), Windows 8.1 og alle versjoner av Windows 10, for klienten og serveren. Hvis du kjører en påvirket enhet, kan denne oppdateringen brukes ved å laste den ned fra nettstedet for Microsoft Update-katalogen. Bruk av denne nyttelasten deaktiverer spesifikt bare begrensningen mot CVE-2017-5715 – «Grenmålinjeksjon».
Per 25. januar er det ingen kjente rapporter som angir at denne Spectre Variant 2 (CVE-2017-5715) har blitt brukt til å angripe kunder. Vi anbefaler at Windows-kunder aktiverer løsningen på nytt mot CVE-2017-5715 når Intel rapporterer at denne uforutsigbare systemvirkemåten er løst for enheten.
Nei. Bare sikkerhetsoppdateringer er ikke kumulative. Avhengig av hvilken versjon av operativsystemet du kjører, må du installere alle utgitte sikkerhetsoppdateringer som skal beskyttes mot disse sikkerhetsproblemene. Hvis du for eksempel kjører Windows 7 for 32-biters systemer på en berørt Intel CPU, må du installere hver ren sikkerhetsoppdatering fra og med januar 2018. Vi anbefaler at du installerer disse oppdateringene bare for sikkerhet i utgivelsesrekkefølgen.
Merk En tidligere versjon av disse vanlige spørsmålene uttalte feil at oppdateringen for bare sikkerhetsoppdatering for februar inkluderte sikkerhetsoppdateringene som ble utgitt i januar. Faktisk gjør det ikke det.Nei. Sikkerhetsoppdatering 4078130 var en bestemt løsning for å forhindre uforutsigbar systematferd, ytelsesproblemer og uventede omstarter etter installasjonen av mikrokode. Bruk av sikkerhetsoppdateringene for februar på operativsystemer for Windows-klienten muliggjør alle tre begrensninger. På Windows Server-operativsystemer må du fortsatt aktivere begrensningene etter at riktig testing er utført. Se Microsoft Knowledge Base-artikkel 4072698 for mer informasjon.
AMD kunngjorde nylig at de har begynt å lansere mikrokode for nyere CPU-plattformer rundt Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Hvis du vil ha mer informasjon, kan du se AMD Security Oppdateringer og AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Disse er tilgjengelige fra OEM-fastvarekanalen.
Intel kunngjorde nylig at de har fullført valideringene sine og begynte å lansere mikrokode for nyere CPU-plattformer. Microsoft gjør tilgjengelige Intel-validerte mikrokodeoppdateringer rundt Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB 4093836 viser bestemte Knowledge Base-artikler etter Windows-versjon. Hver enkelt KB inneholder tilgjengelige Intel-mikrokodeoppdateringer etter CPU.
Microsoft gjør tilgjengelige Intel-validerte mikrokodeoppdateringer rundt Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). For å få de nyeste Intel-mikrokodeoppdateringene gjennom Windows Update, må kunder ha installert Intel-mikrokode på enheter som kjører et Windows 10 operativsystem før de oppgraderer til Windows 10 april 2018 Update (versjon 1803).
Mikrokodeoppdateringen er også tilgjengelig direkte fra oppdateringskatalogen hvis den ikke ble installert på enheten før du oppgraderte systemet. Intel-mikrokode er tilgjengelig via Windows Update, WSUS eller Microsoft Update-katalogen. Hvis du vil ha mer informasjon og instruksjoner for nedlasting, kan du se KB-4100347.
Hvis du vil ha mer informasjon, kan du se følgende ressurser:
Hvis du vil ha mer informasjon, kan du se avsnittene Anbefalte handlinger og Vanlige spørsmål i ADV180012 | Microsoft-veiledning for spekulativ butikkomkobling.
For å bekrefte statusen for SSBD har Get-SpeculationControlSettings PowerShell-skriptet blitt oppdatert for å oppdage berørte prosessorer, status for SSBD-operativsystemoppdateringer og tilstanden til prosessormikrokoden hvis aktuelt. Hvis du vil ha mer informasjon og få Tak i PowerShell-skriptet, kan du se KB4074629.
Juni 13, 2018, en ekstra sårbarhet som involverer side-kanal spekulativ utførelse, kjent som Lazy FP State Restore, ble annonsert og tildelt CVE-2018-3665. Det er ingen konfigurasjonsinnstillinger (registerinnstillinger) som kreves for Gjenoppretting av koblet gjenoppretting.
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet og anbefalte handlinger, kan du se sikkerhetsveiledningen: ADV180016 | Microsoft Guidance for Lazy FP State Restore
MerkDet er ingen konfigurasjonsinnstillinger (registerinnstillinger) som kreves for Gjenoppretting av koblet gjenoppretting.
Bounds Check Bypass Store (BCBS) ble offentliggjort 10. juli 2018 og tilordnet CVE-2018-3693. Vi anser BCBS for å tilhøre samme klasse av sikkerhetsproblemer som Bounds Check Bypass (variant 1). Vi er for øyeblikket ikke klar over noen forekomster av BCBS i programvaren vår, men vi fortsetter å undersøke denne sårbarhetsklassen og vil samarbeide med bransjepartnere for å frigi begrensninger etter behov. Vi fortsetter å oppfordre forskere til å sende inn relevante funn til Microsofts speculative Execution Side Channel bounty program, inkludert eventuelle utnyttelige forekomster av BCBS. Programvareutviklere bør se gjennom utviklerveiledningen som er oppdatert for BCBS på https://aka.ms/sescdevguide.
14. august 2018 ble L1 Terminal Fault (L1TF) annonsert og tilordnet flere CVE-er. Disse nye, spekulative sårbarhetene for utførelse av sidekanaler kan brukes til å lese innholdet i minnet på tvers av en klarert grense, og hvis de utnyttes, kan det føre til fremlegging av informasjon. Det finnes flere vektorer der en angriper kan utløse sårbarhetene avhengig av det konfigurerte miljøet. L1TF påvirker Intel® Core-prosessorer® og Intel® Xeon-prosessorer®.
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet og en detaljert visning av berørte scenarioer, inkludert Microsofts tilnærming til å redusere L1TF, kan du se følgende ressurser:
Microsoft Surface-kunder: Kunder som bruker Microsoft Surface og Surface Book produkter, må følge veiledningen for Windows Client som er beskrevet i sikkerhetsveiledningen: ADV180018 | Microsoft-veiledning for å redusere L1TF-variant. Se også Microsoft Knowledge Base-artikkel 4073065 for mer informasjon om berørte Surface-produkter og tilgjengeligheten til mikrokodeoppdateringene.
Microsoft Hololens-kunder: Microsoft HoloLens påvirkes ikke av L1TF fordi den ikke bruker en berørt Intel-prosessor.
Trinnene som er nødvendige for å deaktivere Hyper-Threading, vil variere fra OEM til OEM, men er vanligvis en del av BIOS- eller fastvareoppsettet og konfigurasjonsverktøyene.
Kunder som bruker 64-biters ARM-prosessorer, bør ta kontakt med enhetens OEM for fastvarestøtte, fordi ARM64-operativsystembeskyttelse som reduserer CVE-2017-5715 - grenmålinjeksjon (Spectre, Variant 2) krever at den nyeste fastvareoppdateringen fra enhets-OEM-er trer i kraft.
Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se Microsofts sikkerhetsveiledning: CVE-2019-1125 | Sikkerhetsproblem for offentliggjøring av Windows-kjerneinformasjon.
Vi er ikke klar over noen forekomst av dette sikkerhetsproblemet for fremlegging av informasjon som påvirker infrastrukturen for skytjenesten.
Så snart vi ble oppmerksomme på dette problemet, jobbet vi raskt for å løse det og lansere en oppdatering. Vi har stor tro på nære partnerskap med både forskere og bransjepartnere for å gjøre kundene sikrere, og publiserte ikke detaljer før tirsdag 6.
Referanser
Microsoft tilbyr tredjeparts kontaktinformasjon for å hjelpe deg med å finne mer informasjon om dette emnet. Denne kontaktinformasjonen kan endres uten varsel. Microsoft garanterer ikke nøyaktigheten til tredjeparts kontaktinformasjon.