Alterar data |
Alterar descrição |
---|---|
9 de agosto de 2023 |
|
9 de abril de 2024 |
|
Resumo
Este artigo fornece informações e atualizações para uma nova classe de vulnerabilidades de canal lateral de execução especulativa e microarquitectural baseada em silicone que afetam muitos processadores e sistemas operativos modernos. Também fornece uma lista abrangente de recursos de cliente e servidor do Windows para ajudar a manter os seus dispositivos protegidos em casa, no trabalho e em toda a sua empresa. Isto inclui Intel, AMD e ARM. Pode encontrar detalhes de vulnerabilidade específicos para estes problemas baseados em silicone nos seguintes avisos de segurança e CVEs:
-
ADV180002 - Orientações para mitigar vulnerabilidades do canal lateral de execução especulativa
-
ADV180016 - Orientações da Microsoft para o Restauro do Estado FP Em Diferido
-
ADV180018 - Orientações da Microsoft para mitigar a variante L1TF
Em 3 de janeiro de 2018, a Microsoft lançou uma atualização de aconselhamento e segurança relacionadas com uma classe recém-descoberta de vulnerabilidades de hardware (conhecida como Spectre e Meltdown) que envolvem canais do lado da execução especulativa que afetam os processadores AMD, ARM e Intel em diferentes graus. Esta classe de vulnerabilidades baseia-se numa arquitetura de chip comum que foi originalmente concebida para acelerar os computadores. Pode saber mais sobre estas vulnerabilidades no Google Project Zero.
Em 21 de maio de 2018, o Google Project Zero (GPZ), a Microsoft e a Intel divulgaram duas novas vulnerabilidades de chip relacionadas com os problemas do Spectre e Meltdown e são conhecidas como Speculative Store Bypass (SSB) e Rogue System Registry Read. O risco do cliente de ambas as divulgações é baixo.
Para obter mais informações sobre estas vulnerabilidades, consulte os recursos listados em Atualizações do sistema operativo Windows de maio de 2018 e veja os seguintes Avisos de Segurança:
Em 13 de junho de 2018, foi anunciada e atribuída a CVE-2018-3665 uma vulnerabilidade adicional que envolve a execução especulativa de canal lateral, conhecida como Lazy FP State Restore. Para obter mais informações sobre esta vulnerabilidade e as ações recomendadas, veja o seguinte Aviso de Segurança:
Em 14 de agosto de 2018, L1 Terminal Fault (L1TF), foi anunciada uma nova vulnerabilidade do canal do lado da execução especulativa que tem vários CVEs. L1TF afeta processadores Intel® Core® e processadores Intel® Xeon®. Para obter mais informações sobre l1TF e ações recomendadas, consulte o nosso Aviso de Segurança:
Nota: Recomendamos que instale todas as atualizações mais recentes do Windows Update antes de instalar quaisquer atualizações de microcódigo.
Em 14 de maio de 2019, a Intel publicou informações sobre uma nova subclasse de vulnerabilidades do canal lateral de execução especulativa conhecida como Amostragem de Dados Microarchitectural. Foram-lhes atribuídos os seguintes CVEs:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Amostragem de Dados da Memória Intermédia do Arquivo Microarchitectural (MSBDS)"
-
CVE-2018-12130 – "Amostragem de Dados da Porta de Carga Microarchitectural (MLPDS)"
Importante: estes problemas irão afetar outros sistemas, como Android, Chrome, iOS e MacOS. Aconselhamos os clientes a procurar orientação junto dos respetivos fornecedores.
A Microsoft lançou atualizações para ajudar a mitigar estas vulnerabilidades. Para obter todas as proteções disponíveis, são necessárias atualizações de firmware (microcódigo) e software. Isto pode incluir microcódigo dos OEMs do dispositivo. Em alguns casos, a instalação destas atualizações terá um impacto no desempenho. Também agimos para proteger os nossos serviços cloud.
Nota: recomendamos que instale todas as atualizações mais recentes do Windows Update antes de instalar as atualizações de microcódigo.
Para obter mais informações sobre estes problemas e ações recomendadas, veja o seguinte Aviso de Segurança:
Em 6 de agosto de 2019, a Intel divulgou detalhes sobre uma vulnerabilidade de divulgação de informações de kernel do Windows. Esta vulnerabilidade é uma variante da vulnerabilidade do canal do lado da execução especulativa Spectre Variant 1 e foi-lhe atribuída a CVE-2019-1125.
A Microsoft lançou uma atualização de segurança para o sistema operativo Windows a 9 de julho de 2019 para ajudar a mitigar este problema. Os clientes que tenham Windows Update ativado e tenham aplicado as atualizações de segurança lançadas a 9 de julho de 2019 são protegidos automaticamente. Tenha em atenção que esta vulnerabilidade não requer uma atualização de microcódigo do fabricante do dispositivo (OEM).
Para obter mais informações sobre esta vulnerabilidade e atualizações aplicáveis, consulte CVE-2019-1125 | Vulnerabilidade de Divulgação de Informações do Kernel do Windows no Guia de Atualização de Segurança da Microsoft.
Em 14 de junho de 2022, a Intel publicou informações sobre uma nova subclasse de vulnerabilidades de canais laterais de E/S (MMIO) mapeadas pela memória de execução especulativa que estão listadas no aviso:
Passos para ajudar a proteger os seus dispositivos Windows
Poderá ter de atualizar o firmware (microcódigo) e o software para resolver estas vulnerabilidades. Consulte os Avisos de Segurança da Microsoft para obter as ações recomendadas. Isto inclui atualizações de firmware (microcódigo) aplicáveis dos fabricantes de dispositivos e, em alguns casos, atualizações para o software antivírus. Recomendamos que mantenha os seus dispositivos atualizados ao instalar as atualizações de segurança mensais.
Para receber todas as proteções disponíveis, siga estes passos para obter as atualizações mais recentes para software e hardware.
Nota: Antes de começar, certifique-se de que o software antivírus (AV) está atualizado e compatível. Consulte o site do fabricante do software antivírus para obter as informações de compatibilidade mais recentes.
-
Mantenha o seu dispositivo Windows atualizado ao ativar as atualizações automáticas.
-
Verifique se instalou a atualização de segurança do sistema operativo Windows mais recente da Microsoft. Se as atualizações automáticas estiverem ativadas, as atualizações deverão ser entregues automaticamente. No entanto, deve continuar a verificar se estão instaladas. Para obter instruções, veja Windows Update: FAQ
-
Instale atualizações de firmware (microcódigo) disponíveis do fabricante do dispositivo. Todos os clientes terão de consultar o fabricante do dispositivo para transferir e instalar a atualização de hardware específica do dispositivo. Consulte a secção "Recursos adicionais" para obter uma lista dos sites do fabricante do dispositivo.
Nota: Os clientes devem instalar as atualizações de segurança de sistema operativo Windows mais recentes disponibilizadas pela Microsoft para tirarem partido das proteções disponíveis. As atualizações do software antivírus devem ser instaladas primeiro. Em seguida, devem ser instaladas as atualizações do firmware e do sistema operativo. Recomendamos que mantenha os seus dispositivos atualizados ao instalar as atualizações de segurança mensais.
Os chips afetados incluem os fabricados pela Intel, AMD e ARM. Isto significa que todos os dispositivos com sistemas operativos Windows estão potencialmente vulneráveis. Isto inclui computadores de secretária, portáteis, servidores na cloud e smartphones. Os dispositivos com outros sistemas operativos, como Android, Chrome, iOS e macOS, também são afetados. Aconselhamos os clientes que estão a executar estes sistemas operativos a procurar orientação desses fornecedores.
No momento da publicação, não recebemos nenhuma informação que indicasse que estas vulnerabilidades foram utilizadas para atacar clientes.
A partir de janeiro de 2018, a Microsoft lançou atualizações para sistemas operativos Windows e browsers Internet Explorer e Edge para ajudar a mitigar estas vulnerabilidades e ajudar a proteger os clientes. Também lançámos atualizações para proteger os nossos serviços cloud. Continuamos a trabalhar em estreita colaboração com parceiros do setor, incluindo fabricantes de chips, OEMs de hardware e fornecedores de aplicações, para proteger os clientes contra esta classe de vulnerabilidades.
Recomendamos que instale sempre as atualizações mensais para manter os seus dispositivos atualizados e seguros.
Atualizaremos esta documentação quando estiverem disponíveis novas mitigações e recomendamos que volte aqui regularmente.
Atualizações do sistema operativo Windows de julho de 2019
Em 6 de agosto de 2019, a Intel divulgou detalhes sobre a vulnerabilidade de segurança CVE-2019-1125 | Vulnerabilidade de Divulgação de Informações do Kernel do Windows. As atualizações de segurança para esta vulnerabilidade foram lançadas no âmbito da atualização mensal de julho de 9 de julho de 2019.
A Microsoft lançou uma atualização de segurança para o sistema operativo Windows a 9 de julho de 2019 para ajudar a mitigar este problema. Retivemos publicamente a documentação desta mitigação até à divulgação coordenada da indústria na terça-feira, 6 de agosto de 2019.
Os clientes que tenham Windows Update ativado e tenham aplicado as atualizações de segurança lançadas a 9 de julho de 2019 são protegidos automaticamente. Tenha em atenção que esta vulnerabilidade não requer uma atualização de microcódigo do fabricante do dispositivo (OEM).
Atualizações do sistema operativo Windows de maio de 2019
Em 14 de maio de 2019, a Intel publicou informações sobre uma nova subclasse de vulnerabilidades do canal lateral de execução especulativa conhecida como Amostragem de Dados Microarchitectural e foram-lhe atribuídos os seguintes CVEs:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Amostragem de Dados da Memória Intermédia do Arquivo Microarchitectural (MSBDS)"
-
CVE-2018-12130 – "Amostragem de Dados da Porta de Carga Microarchitectural (MLPDS)"
Para obter mais informações sobre este problema, veja a seguinte documentação de orientação baseada em cenários de Aconselhamento de Segurança e utilização descrita na documentação de orientação do Windows para Clientes e Artigos do Servidor para determinar as ações necessárias para mitigar a ameaça:
A Microsoft lançou proteções contra uma nova subclasse de vulnerabilidades do canal lateral de execução especulativa conhecida como Amostragem de Dados Microarchitectural para versões de 64 bits (x64) do Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).
Utilize as definições de registo conforme descrito nos artigos Cliente Windows (KB4073119) e Windows Server (KB4457951 ). Estas definições de registo estão ativadas por predefinição para edições do SO do Cliente Windows e edições do SO do Windows Server.
Recomendamos que instale primeiro todas as atualizações mais recentes do Windows Update, antes de instalar quaisquer atualizações de microcódigo.
Para obter mais informações sobre este problema e as ações recomendadas, veja o seguinte Aviso de Segurança:
A Intel lançou uma atualização de microcódigo para plataformas recentes da CPU para ajudar a mitigar o CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. A 4093836 do Windows KB de 14 de maio de 2019 lista artigos específicos da Base de Dados de Conhecimento por versão do SO Windows. O artigo também contém ligações para as atualizações de microcódigo Intel disponíveis pela CPU. Estas atualizações estão disponíveis através do Catálogo Microsoft.
Nota: recomendamos que instale todas as atualizações mais recentes a partir de Windows Update antes de instalar quaisquer atualizações de microcódigo.
Temos o prazer de anunciar que a Retpoline está ativada por predefinição em dispositivos Windows 10, versão 1809 (para cliente e servidor) se o Spectre Variant 2 (CVE-2017-5715) estiver ativado. Ao ativar a Retpoline na versão mais recente do Windows 10, através da atualização de 14 de maio de 2019 (KB 4494441), prevemos um desempenho melhorado, particularmente em processadores mais antigos.
Os clientes devem garantir que as proteções anteriores do SO contra a vulnerabilidade spectre Variant 2 são ativadas através das definições de registo descritas nos artigos Cliente Windows e Windows Server . (Estas definições de registo estão ativadas por predefinição para as edições do SO do Cliente Windows, mas desativadas por predefinição para as edições do SO do Windows Server). Para obter mais informações sobre "Retpoline", consulte Mitigating Spectre variant 2 with Retpoline on Windows (Mitigar a Variante 2 do Spectre com Retpoline no Windows).
Atualizações do sistema operativo Windows de novembro de 2018
A Microsoft lançou proteções do sistema operativo para o Speculative Store Bypass (CVE-2018-3639) para processadores AMD (CPUs).
A Microsoft lançou proteções adicionais do sistema operativo para clientes que utilizam processadores ARM de 64 bits. Contacte o fabricante do OEM do dispositivo para obter suporte para firmware, uma vez que as proteções do sistema operativo ARM64 que mitigam o CVE-2018-3639, o Speculative Store Bypass, necessitam da atualização de firmware mais recente do OEM do dispositivo.
Atualizações do sistema operativo Windows de setembro de 2018
A 11 de setembro de 2018, A Microsoft lançou o Rollup Mensal do Windows Server 2008 SP2 4458010 e Apenas de Segurança 4457984 para o Windows Server 2008 que fornece proteções contra uma nova vulnerabilidade especulativa do canal lateral de execução conhecida como L1 Terminal Fault (L1TF) que afeta processadores Intel® Core® e processadores Intel® Xeon® (CVE-2018-3620 e CVE-2018-3646).
Esta versão conclui as proteções adicionais em todas as versões suportadas do sistema Windows através de Windows Update. Para obter mais informações e uma lista dos produtos afetados, consulte ADV180018 | Documentação de Orientação da Microsoft para mitigar a variante L1TF.
Nota: O Windows Server 2008 SP2 segue agora o modelo de rollup de manutenção padrão do Windows. Para obter mais informações sobre estas alterações, consulte o nosso blogue Alterações de manutenção do Windows Server 2008 SP2. Os clientes que executem o Windows Server 2008 devem instalar 4458010 ou 4457984 para além do 4341832 de Atualização de Segurança, que foi lançado a 14 de agosto de 2018. Os clientes também devem garantir que as proteções anteriores do SO contra vulnerabilidades spectre Variant 2 e Meltdown são ativadas através das definições de registo descritas nos artigos de orientação do Cliente Windows e do Windows Server KB. Estas definições de registo estão ativadas por predefinição para as edições do SO do Cliente Windows, mas estão desativadas por predefinição para as edições do SO do Windows Server.
A Microsoft lançou proteções adicionais do sistema operativo para clientes que utilizam processadores ARM de 64 bits. Contacte o fabricante do OEM do dispositivo para obter suporte para firmware, uma vez que as proteções do sistema operativo ARM64 que mitigam o CVE-2017-5715 – Injeção de destino do ramo (Spectre, Variante 2) necessitam da atualização de firmware mais recente dos OEMs do dispositivo para entrar em vigor.
Atualizações do sistema operativo Windows de agosto de 2018
Em 14 de agosto de 2018, a L1 Terminal Fault (L1TF) foi anunciada e atribuída a vários CVEs. Estas novas vulnerabilidades do canal lateral de execução especulativa podem ser utilizadas para ler o conteúdo da memória através de um limite fidedigno e, se forem exploradas, podem levar à divulgação de informações. Existem vários vetores através dos quais um atacante pode acionar as vulnerabilidades, dependendo do ambiente configurado. L1TF afeta processadores Intel® Core® e processadores Intel® Xeon®.
Para obter mais informações sobre l1TF e uma vista detalhada dos cenários afetados, incluindo a abordagem da Microsoft para mitigar a L1TF, veja os seguintes recursos:
-
ADV180018 | Orientação da Microsoft para mitigar a variante L1TF
-
Blogue de Pesquisa de Segurança de Aconselhamento de Segurança
-
Documentação de Orientação do Servidor para a Falha do Terminal L1
Atualizações do sistema operativo Windows de julho de 2018
Temos o prazer de anunciar que a Microsoft concluiu o lançamento de proteções adicionais em todas as versões suportadas do sistema Windows através de Windows Update para as seguintes vulnerabilidades:
-
Spectre Variant 2 para processadores AMD
-
Bypass da Loja Especulativa para processadores Intel
Em 13 de junho de 2018, foi anunciada e atribuída a CVE-2018-3665 uma vulnerabilidade adicional que envolve a execução especulativa de canal lateral, conhecida como Lazy FP State Restore. Não são necessárias definições de configuração (registo) para o Restauro Em Diferido do Restauro FP.
Para obter mais informações sobre esta vulnerabilidade, produtos afetados e ações recomendadas, consulte o seguinte Aviso de Segurança:
A 12 de junho, a Microsoft anunciou o suporte do Windows para a Disable de Bypass (SSBD) da Loja Especulativa em processadores Intel. As atualizações requerem firmware (microcódigo) correspondente e atualizações de registo para a funcionalidade. Para obter informações sobre as atualizações e os passos a aplicar para ativar o SSBD, consulte a secção "Ações recomendadas" em ADV180012 | Documentação de Orientação da Microsoft para Ignorar a Loja Especulativa.
Atualizações do sistema operativo Windows de maio de 2018
Em janeiro de 2018, a Microsoft divulgou informações sobre uma classe recentemente detetada de vulnerabilidades de hardware (conhecida como Spectre e Meltdown) que envolvem canais do lado da execução especulativa que afetam as CPUs AMD, ARM e Intel em diferentes graus. Em 21 de maio de 2018, o Google Project Zero (GPZ), a Microsoft e a Intel divulgaram duas novas vulnerabilidades de chip relacionadas com os problemas do Spectre e meltdown conhecidos como Speculative Store Bypass (SSB) e Rogue System Registry Read.
O risco do cliente de ambas as divulgações é baixo.
Para obter mais informações sobre estas vulnerabilidades, veja os seguintes recursos:
-
Aviso de Segurança da Microsoft para Bypass da Loja Especulativa: MSRC ADV180012 e CVE-2018-3639
-
Aviso de Segurança da Microsoft para Registo de Sistemas Não Autorizados Leia: MSRC ADV180013e CVE-2018-3640
-
Investigação e Defesa de Segurança: Análise e mitigação do bypass especulativo da loja (CVE-2018-3639)
Aplica-se a: Windows 10, versão 1607, Windows Server 2016, Windows Server 2016 (instalação Server Core) e Windows Server, versão 1709 (instalação Server Core)
Fornecemos suporte para controlar a utilização da IbPB (Indirect Branch Prediction Barrier) em alguns processadores AMD (CPUs) para mitigação do CVE-2017-5715, Spectre Variant 2 quando muda do contexto de utilizador para o contexto de kernel. (Para obter mais informações, veja Diretrizes de Arquitetura amd em torno do Controlo de Ramo Indireto e Atualizações de Segurança AMD).
Os clientes com Windows 10, versão 1607, Windows Server 2016, Windows Server 2016 (instalação Server Core) e Windows Server, versão 1709 (instalação Server Core) têm de instalar a atualização de segurança 4103723 para mitigações adicionais para processadores AMD para CVE-2017-5715, Injeção de Destino de Ramo. Esta atualização também está disponível através de Windows Update.
Siga as instruções descritas em KB 4073119 para documentação de orientação do Cliente Windows (IT Pro) e documentação de orientação da KB 4072698 para Windows Server para permitir a utilização do IBPB em alguns processadores AMD (CPUs) para mitigar o Spectre Variant 2 quando muda do contexto de utilizador para o contexto de kernel.
A Microsoft está a disponibilizar atualizações de microcódigo validadas pela Intel em torno do Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Para obter as atualizações mais recentes do microcódigo Intel através de Windows Update, os clientes têm de ter instalado o microcódigo Intel em dispositivos com um sistema operativo Windows 10 antes de atualizar para a Atualização de Abril de 2018 do Windows 10 (versão 1803).
A atualização do microcódigo também está disponível diretamente no Catálogo, se não tiver sido instalada no dispositivo antes da atualização do SO. O microcódigo Intel está disponível através de Windows Update, WSUS ou Catálogo Microsoft Update. Para obter mais informações e instruções de transferência, veja KB 4100347.
Iremos oferecer atualizações adicionais de microcódigo da Intel para o sistema operativo Windows à medida que estiverem disponíveis para a Microsoft.
Aplica-se a: Windows 10, versão 1709
Fornecemos suporte para controlar a utilização da IbPB (Indirect Branch Prediction Barrier) em alguns processadores AMD (CPUs) para mitigação do CVE-2017-5715, Spectre Variant 2 quando muda do contexto de utilizador para o contexto de kernel. (Para obter mais informações, veja Diretrizes de Arquitetura amd em torno do Controlo de Ramo Indireto e Atualizações de Segurança AMD). Siga as instruções descritas em KB 4073119 para documentação de orientação do Cliente Windows (IT Pro) para permitir a utilização do IBPB em alguns processadores AMD (CPUs) para mitigar o Spectre Variant 2 quando muda do contexto de utilizador para o contexto de kernel.
A Microsoft está a disponibilizar atualizações de microcódigo validadas pela Intel em torno do Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 lista artigos específicos da Base de Dados de Conhecimento por versão do Windows. Cada KB específica contém as atualizações de microcódigo Intel mais recentes disponíveis pela CPU.
Iremos oferecer atualizações adicionais de microcódigo da Intel para o sistema operativo Windows à medida que estiverem disponíveis para a Microsoft.
Março de 2018 e atualizações posteriores do sistema operativo Windows
23 de março, TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown on Windows
14 de março, Centro Técnico de Segurança: Termos do Programa Bounty do Lado da Execução Especulativa
1 de março, blogue: Atualização das atualizações de segurança spectre e Meltdown para dispositivos Windows
A partir de março de 2018, a Microsoft lançou atualizações de segurança para fornecer mitigações para dispositivos com os seguintes sistemas operativos Windows baseados em x86. Os clientes devem instalar as atualizações de segurança mais recentes do sistema operativo Windows para tirar partido das proteções disponíveis. Estamos a trabalhar para fornecer proteções para outras versões suportadas do Windows, mas não temos um agendamento de lançamento neste momento. Consulte novamente aqui para obter atualizações. Para obter mais informações, veja o artigo relacionado da Base de Dados de Conhecimento para obter detalhes técnicos e a secção "FAQ".
Atualização do produto lançada |
Estado |
Data de lançamento |
Canal de lançamento |
BDC |
Windows 8.1 & Windows Server 2012 R2 – Atualização Apenas de Segurança |
Disponibilizada em |
13-Mar |
WSUS, Catálogo, |
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 – Atualização Apenas de Segurança |
Disponibilizada em |
13-Mar |
WSUS, Catálogo |
|
Windows Server 2012 – Atualização Apenas de Segurança Windows 8 Edição Standard Incorporada – Atualização Apenas de Segurança |
Disponibilizada em |
13-Mar |
WSUS, Catálogo |
|
Windows 8.1 & Windows Server 2012 R2 – Rollup Mensal |
Disponibilizada em |
13-Mar |
WU, WSUS, Catálogo |
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 - Rollup Mensal |
Disponibilizada em |
13-Mar |
WU, WSUS, Catálogo |
|
Windows Server 2012 - Rollup Mensal Windows 8 Embedded Standard Edition - Rollup Mensal |
Disponibilizada em |
13-Mar |
WU, WSUS, Catálogo |
|
Windows Server 2008 SP2 |
Disponibilizada em |
13-Mar |
WU, WSUS, Catálogo |
A partir de março de 2018, a Microsoft lançou atualizações de segurança para fornecer mitigações para dispositivos com os seguintes sistemas operativos Windows baseados em x64. Os clientes devem instalar as atualizações de segurança mais recentes do sistema operativo Windows para tirar partido das proteções disponíveis. Estamos a trabalhar para fornecer proteções para outras versões suportadas do Windows, mas não temos um agendamento de lançamento neste momento. Consulte novamente aqui para obter atualizações. Para obter mais informações, veja o artigo relacionado base de dados de conhecimento para obter detalhes técnicos e a secção "FAQ".
Atualização do produto lançada |
Estado |
Data de lançamento |
Canal de lançamento |
BDC |
Windows Server 2012 – Atualização Apenas de Segurança Windows 8 Edição Standard Incorporada – Atualização Apenas de Segurança |
Disponibilizada em |
13-Mar |
WSUS, Catálogo |
|
Windows Server 2012 - Rollup Mensal Windows 8 Embedded Standard Edition - Rollup Mensal |
Disponibilizada em |
13-Mar |
WU, WSUS, Catálogo |
|
Windows Server 2008 SP2 |
Disponibilizada em |
13-Mar |
WU, WSUS, Catálogo |
Esta atualização aborda uma elevação de vulnerabilidade de privilégios no kernel do Windows na versão de 64 bits (x64) do Windows. Esta vulnerabilidade está documentada no CVE-2018-1038. Os utilizadores têm de aplicar esta atualização para estarem totalmente protegidos contra esta vulnerabilidade se os respetivos computadores tiverem sido atualizados em ou depois de janeiro de 2018 ao aplicar qualquer uma das atualizações listadas no seguinte artigo da Base de Dados de Conhecimento:
Esta atualização de segurança resolve várias vulnerabilidades reportadas no Internet Explorer. Para saber mais sobre estas vulnerabilidades, veja Vulnerabilidades e Exposições Comuns da Microsoft.
Atualização do produto lançada |
Estado |
Data de lançamento |
Canal de lançamento |
BDC |
Internet Explorer 10 - Atualização Cumulativa para Windows 8 Embedded Standard Edition |
Disponibilizada em |
13-Mar |
WU, WSUS, Catálogo |
Atualizações do sistema operativo Windows de fevereiro de 2018
Blogue: O Windows Analytics ajuda agora a avaliar as proteções Spectre e Meltdown
As seguintes atualizações de segurança fornecem proteções adicionais para dispositivos com sistemas operativos Windows de 32 bits (x86). A Microsoft recomenda que os clientes instalem a atualização assim que estiverem disponíveis. Continuamos a trabalhar para fornecer proteções para outras versões suportadas do Windows, mas não temos uma agenda de lançamento neste momento. Consulte novamente aqui para obter atualizações.
Nota Windows 10 atualizações de segurança mensais são cumulativas mês a mês e serão transferidas e instaladas automaticamente a partir de Windows Update. Se tiver instalado atualizações anteriores, apenas as novas partes serão transferidas e instaladas no seu dispositivo. Para obter mais informações, veja o artigo relacionado da Base de Dados de Conhecimento para obter detalhes técnicos e a secção "FAQ".
Atualização do produto lançada |
Estado |
Data de lançamento |
Canal de lançamento |
BDC |
Windows 10 - Versão 1709/Windows Server 2016 (1709)/ IoT Core - Atualização de Qualidade |
Disponibilizada em |
31-Jan |
WU, Catálogo |
|
Windows Server 2016 (1709) - Contentor do Server |
Disponibilizada em |
13-Fev |
Hub do Docker |
|
Windows 10 - Versão 1703/IoT Core - Atualização de Qualidade |
Disponibilizada em |
13-Fev |
WU, WSUS, Catálogo |
|
Windows 10 – Versão 1607/Windows Server 2016/IoT Core – Atualização de Qualidade |
Disponibilizada em |
13-Fev |
WU, WSUS, Catálogo |
|
Windows 10 HoloLens - SO e Atualizações de Firmware |
Disponibilizada em |
13-Fev |
WU, Catálogo |
|
Windows Server 2016 (1607) - Imagens de Contentor |
Disponibilizada em |
13-Fev |
Hub do Docker |
|
Windows 10 - Versão 1511/IoT Core - Atualização de Qualidade |
Disponibilizada em |
13-Fev |
WU, WSUS, Catálogo |
|
Windows 10 - Versão RTM - Atualização de Qualidade |
Disponibilizada em |
13-Fev |
WU, WSUS, Catálogo |
Atualizações do sistema operativo Windows de janeiro de 2018
A partir de janeiro de 2018, a Microsoft lançou atualizações de segurança para fornecer mitigações para dispositivos com os seguintes sistemas operativos Windows baseados em x64. Os clientes devem instalar as atualizações de segurança mais recentes do sistema operativo Windows para tirar partido das proteções disponíveis. Estamos a trabalhar para fornecer proteções para outras versões suportadas do Windows, mas não temos um agendamento de lançamento neste momento. Consulte novamente aqui para obter atualizações. Para obter mais informações, veja o artigo relacionado da Base de Dados de Conhecimento para obter detalhes técnicos e a secção "FAQ".
Atualização do produto lançada |
Estado |
Data de lançamento |
Canal de lançamento |
BDC |
Windows 10 - Versão 1709/Windows Server 2016 (1709)/ IoT Core - Atualização de Qualidade |
Disponibilizada em |
3-Jan |
WU, WSUS, Catálogo, Galeria de Imagens do Azure |
|
Windows Server 2016 (1709) - Contentor do Server |
Disponibilizada em |
5-Jan |
Hub do Docker |
|
Windows 10 - Versão 1703/IoT Core - Atualização de Qualidade |
Disponibilizada em |
3-Jan |
WU, WSUS, Catálogo |
|
Windows 10 - Versão 1607/Windows Server 2016/ IoT Core - Atualização de Qualidade |
Disponibilizada em |
3-Jan |
WU, WSUS, Catálogo |
|
Windows Server 2016 (1607) - Imagens de Contentor |
Disponibilizada em |
4-Jan |
Hub do Docker |
|
Windows 10 - Versão 1511/IoT Core - Atualização de Qualidade |
Disponibilizada em |
3-Jan |
WU, WSUS, Catálogo |
|
Windows 10 - Versão RTM - Atualização de Qualidade |
Disponibilizada em |
3-Jan |
WU, WSUS, Catálogo |
|
Windows 10 Mobile (Compilação 15254.12 do SO) - ARM |
Disponibilizada em |
5-Jan |
WU, Catálogo |
|
Windows 10 Mobile (Compilação 15063.850 do SO) |
Disponibilizada em |
5-Jan |
WU, Catálogo |
|
Windows 10 Mobile (Compilação 14393.2007 do SO) |
Disponibilizada em |
5-Jan |
WU, Catálogo |
|
Windows 10 HoloLens |
Disponibilizada em |
5-Jan |
WU, Catálogo |
|
Windows 8.1/Windows Server 2012 R2 - Atualização Apenas de Segurança |
Disponibilizada em |
3-Jan |
WSUS, Catálogo |
|
Windows Embedded 8.1 Industry Enterprise |
Disponibilizada em |
3-Jan |
WSUS, Catálogo |
|
Windows Embedded 8.1 Industry Pro |
Disponibilizada em |
3-Jan |
WSUS, Catálogo |
|
Windows Embedded 8.1 Pro |
Disponibilizada em |
3-Jan |
WSUS, Catálogo |
|
Windows 8.1/Windows Server 2012 R2 - Rollup Mensal |
Disponibilizada em |
8-Jan |
WU, WSUS, Catálogo |
|
Windows Embedded 8.1 Industry Enterprise |
Disponibilizada em |
8-Jan |
WU, WSUS, Catálogo |
|
Windows Embedded 8.1 Industry Pro |
Disponibilizada em |
8-Jan |
WU, WSUS, Catálogo |
|
Windows Embedded 8.1 Pro |
Disponibilizada em |
8-Jan |
WU, WSUS, Catálogo |
|
Windows Server 2012 - Apenas de Segurança |
Disponibilizada em |
WSUS, Catálogo |
||
Windows Server 2008 SP2 |
Disponibilizada em |
WU, WSUS, Catálogo |
||
Windows Server 2012 - Rollup Mensal |
Disponibilizada em |
WU, WSUS, Catálogo |
||
Windows Embedded 8 Standard |
Disponibilizada em |
WU, WSUS, Catálogo |
||
Windows 7 SP1/Windows Server 2008 R2 SP1 - Atualização Apenas de Segurança |
Disponibilizada em |
3-Jan |
WSUS, Catálogo |
|
Windows Embedded Standard 7 |
Disponibilizada em |
3-Jan |
WSUS, Catálogo |
|
Windows Embedded POSReady 7 |
Disponibilizada em |
3-Jan |
WSUS, Catálogo |
|
Windows Thin PC |
Disponibilizada em |
3-Jan |
WSUS, Catálogo |
|
Rollup Mensal do Windows 7 SP1/Windows Server 2008 R2 SP1 |
Disponibilizada em |
4-Jan |
WU, WSUS, Catálogo |
|
Windows Embedded Standard 7 |
Disponibilizada em |
4-Jan |
WU, WSUS, Catálogo |
|
Windows Embedded POSReady 7 |
Disponibilizada em |
4-Jan |
WU, WSUS, Catálogo |
|
Windows Thin PC |
Disponibilizada em |
4-Jan |
WU, WSUS, Catálogo |
|
Internet Explorer 11 - Atualização Cumulativa para Windows 7 SP1 e Windows 8.1 |
Disponibilizada em |
3-Jan |
WU, WSUS, Catálogo |
A 9 de abril de 2024, publicámos CVE-2022-0001 | Injeção de Histórico do Ramo Intel que descreve a Injeção de Histórico de Ramificações (BHI), que é uma forma específica de BTI intra-modo. Esta vulnerabilidade ocorre quando um atacante pode manipular o histórico do ramo antes de transitar do modo de utilizador para o modo de supervisor (ou de VMX não raiz/convidado para o modo de raiz). Esta manipulação pode fazer com que um preditor de ramo indireto selecione uma entrada preditiva específica para um ramo indireto e uma miniaplicação de divulgação no destino previsto será executada de forma transitória. Isto pode ser possível porque o histórico de ramificações relevante pode conter ramos em contextos de segurança anteriores e, em particular, outros modos de predição.
Siga as instruções descritas no KB4073119 para documentação de orientação do Cliente Windows (IT Pro) e documentação de orientação KB4072698 para Windows Server para mitigar as vulnerabilidades descritas em CVE-2022-0001 | Injeção de Histórico do Ramo Intel.
Recursos e documentação de orientação técnica
Consoante a sua função, os seguintes artigos de suporte podem ajudá-lo a identificar e mitigar ambientes de cliente e servidor que são afetados pelas vulnerabilidades Spectre e Meltdown.
Aviso de Segurança da Microsoft para Falha do Terminal L1 (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646
Investigação e Defesa de Segurança: Análise e mitigação do bypass especulativo da loja (CVE-2018-3639)
Aviso de Segurança da Microsoft para Bypass da Loja Especulativa: MSRC ADV180012 e CVE-2018-3639
Aviso de Segurança da Microsoft para Registo de Sistemas Não Autorizados Lido | Guia de Atualização de Segurança para Surface: MSRC ADV180013e CVE-2018-3640
Investigação e Defesa de Segurança: Análise e mitigação do bypass especulativo da loja (CVE-2018-3639)
TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown on Windows
Centro Técnico de Segurança: Termos do Programa Bounty do Lado da Execução Especulativa
Blogue da Experiência Microsoft: Atualização das atualizações de segurança spectre e Meltdown para dispositivos Windows
Blogue do Windows para Empresas: O Windows Analytics ajuda agora a avaliar as proteções Spectre e Meltdown
Blogue Microsoft Secure: Understanding the Performance Impact of Spectre and Meltdown Mitigations on Windows Systems (Compreender o Impacto no Desempenho das Mitigações spectre e Meltdown nos Sistemas Windows)
Blogue para Programadores do Edge: Mitigar ataques de canal lateral de execução especulativa no Microsoft Edge e no Internet Explorer
Blogue do Azure: Proteger os clientes do Azure da vulnerabilidade da CPU
SCCM documentação de orientação: Orientação adicional para mitigar vulnerabilidades do canal lateral de execução especulativa
Microsoft Advisories:
-
ADV180013 | Microsoft Guidance for Rogue System Register Read
-
ADV180018 | Orientação da Microsoft para mitigar a variante L1TF
Intel: Aviso de Segurança
ARM: Aconselhamento de Segurança
AMD: Aviso de Segurança
NVIDIA: Aviso de Segurança
Orientação para o Consumidor: Proteger o seu dispositivo contra vulnerabilidades de segurança relacionadas com chips
Orientação antivírus: atualizações de segurança do Windows lançadas a 3 de janeiro de 2018 e software antivírus
Documentação de orientação para o bloco de atualização de segurança do SO Windows AMD: KB4073707: Bloco de atualização de segurança do sistema operativo Windows para alguns dispositivos baseados em AMD
Atualização para Desativar Mitigação contra Spectre, Variante 2: KB4078130: A Intel identificou problemas de reinício com microcódigo em alguns processadores mais antigos
Documentação de Orientação do Surface: Orientações do Surface para proteger contra vulnerabilidades especulativas do canal lateral de execução
Verificar o estado das mitigações do canal do lado da execução especulativa: Compreender Get-SpeculationControlSettings saída do script do PowerShell
Orientação para Profissionais de TI: Orientação do Cliente Windows para Profissionais de TI para proteger contra vulnerabilidades do canal lateral de execução especulativa
Orientação do Servidor: orientação do Windows Server para proteger contra vulnerabilidades do canal lateral de execução especulativa
Documentação de Orientação do Servidor para a Falha do Terminal L1: orientação do Windows Server para proteger contra falhas no terminal L1
Orientação para programadores: Orientações para Programadores para Ignorar Loja Especulativa
Documentação de Orientação para o Hyper-V Server
Orientação do Azure Stack: KB4073418: orientação do Azure Stack para proteger contra as vulnerabilidades especulativas do canal lateral de execução
Fiabilidade do Azure: Portal de Fiabilidade do Azure
SQL Server documentação de orientação: KB4073225: documentação de orientação do SQL Server para proteger contra vulnerabilidades do canal lateral de execução especulativa
Ligações para fabricantes de dispositivos OEM e Server para atualizações para proteger contra vulnerabilidades spectre e Meltdown
Para ajudar a resolver estas vulnerabilidades, tem de atualizar o hardware e o software. Utilize as seguintes ligações para verificar junto do fabricante do dispositivo se existem atualizações de firmware (microcódigo) aplicáveis.
Utilize as seguintes ligações para verificar junto do fabricante do dispositivo se existem atualizações de firmware (microcódigo). Terá de instalar atualizações do sistema operativo e do firmware (microcódigo) para todas as proteções disponíveis.
Fabricantes OEM de Dispositivos |
Ligação para disponibilidade de microcódigo |
Acer |
|
Asus |
|
Dell |
|
Epson |
|
Fujitsu |
Hardware da CPU vulnerável a ataques de canal lateral (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
HP |
|
Lenovo |
|
LG |
|
NEC |
Na resposta à vulnerabilidade do processador (fusão, espectro) nos nossos produtos |
Panasonic |
|
Samsung |
|
Surface |
Guia do Surface para proteção contra vulnerabilidades do canal lateral de execução especulativa |
Toshiba |
|
Vaio |
No suporte de vulnerabilidades para análise de canais laterais |
Fabricantes OEM de Servidores |
Ligação para disponibilidade de microcódigo |
Dell |
|
Fujitsu |
Hardware da CPU vulnerável a ataques de canal lateral (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
HPE |
Alertas de Vulnerabilidades de Segurança do Produto Hewlett Packard Enterprise |
Huawei |
|
Lenovo |
Perguntas mais frequentes
Terá de consultar o fabricante do dispositivo para obter atualizações de firmware (microcódigo). Se o fabricante do dispositivo não estiver listado na tabela, contacte o OEM diretamente.
Atualizações para dispositivos Microsoft Surface estão disponíveis para os clientes através de Windows Update. Para obter uma lista das atualizações de firmware de dispositivos Surface (microcódigo) disponíveis, consulte KB 4073065.
Se o seu dispositivo não for da Microsoft, aplique atualizações de firmware do fabricante do dispositivo. Contacte o fabricante do dispositivopara obter mais informações.
Resolver uma vulnerabilidade de hardware através de uma atualização de software apresenta desafios e mitigações significativos para sistemas operativos mais antigos e pode exigir alterações arquiteturais extensas. Continuamos a trabalhar com os fabricantes de chips afetados para investigar a melhor forma de fornecer mitigações. Isto pode ser fornecido numa atualização futura. Substituir os dispositivos mais antigos que executam estes sistemas operativos mais antigos e também atualizar o software antivírus deve resolver o risco restante.
Notas:
-
Os produtos atualmente sem suporte base e alargado não receberão estas atualizações do sistema. Recomendamos que os clientes atualizem para uma versão de sistema suportada.
-
Os ataques de canal lateral de execução especulativa exploram o comportamento e a funcionalidade da CPU. Os fabricantes da CPU têm primeiro de determinar quais os processadores que podem estar em risco e, em seguida, notificar a Microsoft. Em muitos casos, as atualizações do sistema operativo correspondentes também serão necessárias para fornecer aos clientes uma proteção mais abrangente. Recomendamos que os fornecedores de Windows CE conscientes da segurança trabalhem com o fabricante do chip para compreender as vulnerabilidades e as mitigações aplicáveis.
-
Deixarão de ser disponibilizadas atualizações para as seguintes plataformas:
-
Sistemas operativos Windows atualmente sem suporte ou com fim de serviço (EOS) em 2018
-
Sistemas baseados em Windows XP, incluindo WES 2009 e POSReady 2009
-
Embora os sistemas baseados em Windows XP sejam produtos afetados, a Microsoft não está a emitir uma atualização para os mesmos porque as alterações arquiteturais abrangentes que seriam necessárias iriam comprometer a estabilidade do sistema e causar problemas de compatibilidade de aplicações. Recomendamos que os clientes atentos à segurança atualizem para um sistema operativo suportado mais recente para acompanharem o panorama de ameaças de segurança em constante evolução e beneficiarem das proteções mais robustas disponibilizadas pelos sistemas operativos mais recentes.
Atualizações para Windows 10 para HoloLens estão disponíveis para os clientes do HoloLens através de Windows Update.
Depois de aplicar aAtualização de Segurança do Windows de fevereiro de 2018, os clientes do HoloLens não têm de tomar medidas adicionais para atualizar o firmware do dispositivo. Estas mitigações também serão incluídas em todas as versões futuras do Windows 10 para o HoloLens.
Contacte o seu OEM para obter mais informações.
Para que o seu dispositivo esteja totalmente protegido, deve instalar as atualizações de segurança do sistema operativo Windows mais recentes para o seu dispositivo e atualizações de firmware (microcódigo) aplicáveis do fabricante do dispositivo. Estas atualizações devem estar disponíveis no site do fabricante do dispositivo. As atualizações do software antivírus devem ser instaladas primeiro. As atualizações do sistema operativo e do firmware podem ser instaladas por qualquer ordem.
Terá de atualizar o hardware e o software para resolver esta vulnerabilidade. Também terá de instalar atualizações de firmware (microcódigo) aplicáveis do fabricante do dispositivo para uma proteção mais abrangente. Recomendamos que mantenha os seus dispositivos atualizados ao instalar as atualizações de segurança mensais.
Em cada Windows 10 atualização de funcionalidades, criamos a tecnologia de segurança mais recente no sistema operativo, fornecendo funcionalidades de defesa em profundidade que impedem que classes inteiras de software maligno afetem o seu dispositivo. As versões de atualização de funcionalidades são lançadas, por norma, duas vezes por ano. Em cada atualização de qualidade mensal, adicionamos outra camada de segurança que monitoriza tendências emergentes e em mudança no software maligno para tornar os sistemas atualizados mais seguros face às ameaças em constante mudança e evolução.
A Microsoft levantou a verificação de compatibilidade av para atualizações de segurança do Windows para versões suportadas de dispositivos Windows 10, Windows 8.1 e Windows 7 SP1 através de Windows Update.
Recomendações:-
Certifique-se de que os seus dispositivos estão atualizados ao ter as atualizações de segurança mais recentes da Microsoft e do fabricante do hardware. Para obter mais informações sobre como manter o seu dispositivo atualizado, consulte Windows Update: FAQ.
-
Continue a praticar precauções sensatas quando visita sites de origem desconhecida e não permanece em sites em que não confia. A Microsoft recomenda que todos os clientes protejam os seus dispositivos ao executar um programa antivírus suportado. Os clientes também podem tirar partido da proteção antivírus incorporada: o Windows Defender para dispositivos Windows 10 ou o Microsoft Security Essentials para dispositivos Windows 7. Estas soluções são compatíveis nos casos em que os clientes não podem instalar ou executar software antivírus.
Para ajudar a evitar afetar negativamente os dispositivos dos clientes, as atualizações de segurança do Windows disponibilizadas em janeiro ou fevereiro não foram disponibilizadas a todos os clientes. Para obter detalhes, consulte o artigo da Base de Dados de Conhecimento Microsoft 4072699.
A Intel comunicou problemas que afetam o microcódigo recentemente lançado que se destina a abordar o Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection"). Especificamente, a Intel observou que este microcódigo pode causar "reinícios superiores ao esperado e outro comportamento imprevisível do sistema" e também que situações como esta podem causar "perda de dados ou danos". A nossa própria experiência é que a instabilidade do sistema pode, em algumas circunstâncias, causar perda de dados ou danos. A 22 de janeiro, a Intel recomendou que os clientes deixassem de implementar a versão atual do microcódigo nos processadores afetados enquanto realizavam testes adicionais na solução atualizada. Compreendemos que a Intel continua a investigar o impacto potencial da versão atual do microcódigo e encorajamos os clientes a reverem as suas orientações de forma contínua para informarem as suas decisões.
Enquanto a Intel testa, atualiza e implementa um novo microcódigo, estamos a disponibilizar uma atualização fora de banda (OOB), 4078130 KB, que desativa especificamente apenas a mitigação contra CVE-2017-5715 – "Injeção de Destino de Ramo". Nos nossos testes, esta atualização foi encontrada para impedir o comportamento descrito. Para obter a lista completa de dispositivos, veja a documentação de orientação de revisão do microcódigo da Intel. Esta atualização destina-se ao Windows 7 (SP1), ao Windows 8.1 e a todas as versões do Windows 10 para cliente e servidor. Se estiver a executar um dispositivo afetado, esta atualização pode ser aplicada ao transferi-la a partir do site do Catálogo Microsoft Update. A aplicação deste payload desativa especificamente apenas a mitigação em relação ao CVE-2017-5715 – "Injeção de Destino de Ramo".
A partir de 25 de janeiro, não existem relatórios conhecidos que indiquem que este Spectre Variant 2 (CVE-2017-5715) tenha sido utilizado para atacar clientes. Recomendamos que, quando adequado, os clientes do Windows reativam a mitigação contra o CVE-2017-5715 quando a Intel comunica que este comportamento imprevisível do sistema foi resolvido para o seu dispositivo.
Não. As atualizações apenas de segurança não são cumulativas. Consoante a versão do sistema operativo que está a executar, tem de instalar todas as atualizações lançadas Apenas de Segurança para serem protegidas contra estas vulnerabilidades. Por exemplo, se estiver a executar o Windows 7 para Sistemas de 32 bits numa CPU Intel afetada, tem de instalar todas as atualizações Apenas de Segurança a partir de janeiro de 2018. Recomendamos que instale estas atualizações Apenas de Segurança na ordem de lançamento.
Nota Uma versão anterior desta FAQ declarou incorretamente que a atualização Apenas de Segurança de Fevereiro incluía as correções de segurança lançadas em janeiro. Na verdade, não.Não. A atualização de segurança 4078130 foi uma correção específica para evitar comportamentos imprevisíveis do sistema, problemas de desempenho e reinícios inesperados após a instalação do microcódigo. A aplicação das atualizações de segurança de fevereiro nos sistemas operativos cliente Windows permite as três mitigações. Nos sistemas operativos windows server, continua a ter de ativar as mitigações após a realização dos testes adequados. Consulte o artigo da Base de Dados de Conhecimento Microsoft 4072698 para obter mais informações.
A AMD anunciou recentemente que começou a lançar o microcódigo para plataformas de CPU mais recentes em torno do Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Para obter mais informações, consulte o Atualizações de Segurança AMD e o Documento Técnico amd: Diretrizes de Arquitetura em torno do Controlo de Ramo Indireto. Estes estão disponíveis no canal de firmware do OEM.
A Intel anunciou recentemente que concluiu as validações e começou a lançar o microcódigo para plataformas de CPU mais recentes. A Microsoft está a disponibilizar atualizações de microcódigo validadas pela Intel em torno do Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). A 4093836 KB lista artigos específicos da Base de Dados de Conhecimento por versão do Windows. Cada artigo específico da KB contém as atualizações de microcódigo da Intel disponíveis por CPU.
A Microsoft está a disponibilizar atualizações de microcódigo validadas pela Intel em torno do Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Para obter as atualizações mais recentes do microcódigo Intel através de Windows Update, os clientes têm de ter instalado o microcódigo Intel em dispositivos com um sistema operativo Windows 10 antes de atualizar para a Atualização de Abril de 2018 do Windows 10 (versão 1803).
A atualização de microcódigo também está disponível diretamente a partir do Catálogo de Atualizações se não tiver sido instalada no dispositivo antes de atualizar o sistema. O microcódigo Intel está disponível através de Windows Update, WSUS ou Catálogo Microsoft Update. Para obter mais informações e instruções de transferência, veja KB 4100347.
Para obter mais informações, veja os seguintes recursos:
Para obter detalhes, veja as secções "Ações recomendadas" e "FAQ" em ADV180012 | Documentação de Orientação da Microsoft para Ignorar a Loja Especulativa.
Para verificar o estado do SSBD, o script do Get-SpeculationControlSettings PowerShell foi atualizado para detetar processadores afetados, o estado das atualizações do sistema operativo SSBD e o estado do microcódigo do processador, se aplicável. Para obter mais informações e obter o script do PowerShell, veja KB4074629.
Em 13 de junho de 2018, foi anunciada e atribuída a CVE-2018-3665 uma vulnerabilidade adicional que envolve a execução especulativa de canal lateral, conhecida como Lazy FP State Restore. Não são necessárias definições de configuração (registo) para o Restauro Em Diferido do Restauro FP.
Para obter mais informações sobre esta vulnerabilidade e as ações recomendadas, consulte o Aviso de Segurança: ADV180016 | Microsoft Guidance for Lazy FP State Restore (Documentação de Orientação da Microsoft para o Restauro do Estado FP Em Diferido)
NotaNão são necessárias definições de configuração (registo) para o Restauro Em Diferido do Restauro FP.
Bounds Check Bypass Store (BCBS) foi divulgado em 10 de julho de 2018 e atribuído CVE-2018-3693. Consideramos que o BCBS pertence à mesma classe de vulnerabilidades que o Bounds Check Bypass (Variante 1). Atualmente, não temos conhecimento de nenhuma instância do BCBS no nosso software, mas continuamos a investigar esta classe de vulnerabilidades e trabalharemos com parceiros do setor para lançar mitigações conforme necessário. Continuamos a incentivar os investigadores a submeter quaisquer conclusões relevantes ao programa de recompensas do Canal de Execução Especulativa da Microsoft, incluindo quaisquer instâncias exploráveis do BCBS. Os programadores de software devem rever as orientações para programadores que foram atualizadas para BCBS em https://aka.ms/sescdevguide.
Em 14 de agosto de 2018, a L1 Terminal Fault (L1TF) foi anunciada e atribuída a vários CVEs. Estas novas vulnerabilidades do canal lateral de execução especulativa podem ser utilizadas para ler o conteúdo da memória através de um limite fidedigno e, se forem exploradas, podem levar à divulgação de informações. Existem vários vetores através dos quais um atacante pode acionar as vulnerabilidades, dependendo do ambiente configurado. L1TF afeta processadores Intel® Core® e processadores Intel® Xeon®.
Para obter mais informações sobre esta vulnerabilidade e uma vista detalhada dos cenários afetados, incluindo a abordagem da Microsoft para mitigar o L1TF, veja os seguintes recursos:
-
ADV180018 | Orientação da Microsoft para mitigar a variante L1TF
-
Blogue de Pesquisa de Segurança de Aconselhamento de Segurança
-
Documentação de Orientação do Servidor para a Falha do Terminal L1
Clientes do Microsoft Surface: Os clientes que utilizam o Microsoft Surface e os produtos Surface Book têm de seguir as orientações para o Cliente Windows descritas no Aviso de Segurança: ADV180018 | Documentação de Orientação da Microsoft para mitigar a variante L1TF. Consulte também o Artigo da Base de Dados de Conhecimento Microsoft 4073065 para obter mais informações sobre os produtos Surface afetados e a disponibilidade das atualizações de microcódigo.
Clientes do Microsoft Hololens: Microsoft HoloLens não é afetada pela L1TF porque não utiliza um processador Intel afetado.
Os passos necessários para desativar Hyper-Threading diferem do OEM para o OEM, mas geralmente fazem parte do BIOS ou das ferramentas de configuração e configuração de firmware.
Os clientes que utilizam processadores ARM de 64 bits devem consultar o OEM do dispositivo para obter suporte de firmware, uma vez que as proteções do sistema operativo ARM64 que mitigam o CVE-2017-5715 – Injeção de destino do ramo (Spectre, Variante 2) necessitam da atualização de firmware mais recente dos OEMs do dispositivo para entrarem em vigor.
Para obter detalhes sobre esta vulnerabilidade, consulte o Guia de Segurança da Microsoft: CVE-2019-1125 | Vulnerabilidade de Divulgação de Informações do Kernel do Windows.
Não temos conhecimento de nenhuma instância desta vulnerabilidade de divulgação de informações que afete a nossa infraestrutura de serviço cloud.
Assim que tivemos conhecimento deste problema, trabalhámos rapidamente para o resolver e lançar uma atualização. Acreditamos fortemente em parcerias estreitas com investigadores e parceiros do setor para tornar os clientes mais seguros, e não publicámos detalhes até terça-feira, 6 de agosto, consistentes com práticas coordenadas de divulgação de vulnerabilidades.
Referências
A Microsoft fornece informações de contacto de terceiros para o ajudar a encontrar informações adicionais sobre este tópico. Estas informações de contacto poderão ser alteradas sem aviso prévio. A Microsoft não garante a exatidão das informações de contacto de terceiros.