Zmeniť dátum |
Zmeniť popis |
---|---|
9. augusta 2023 |
|
9. apríla 2024 |
|
Zhrnutie
Tento článok obsahuje informácie a aktualizácie pre novú triedu mikroarchitekturálnych a špekulatívnych chýb na strane kanála na spustenie založených na silicon, ktoré ovplyvňujú mnohé moderné procesory a operačné systémy. Poskytuje tiež komplexný zoznam klientskych a serverových zdrojov Windowsu, ktoré vám pomôžu chrániť vaše zariadenia doma, v práci aj v podniku. Patria sem intel, AMD a ARM. Konkrétne podrobnosti o zraniteľnosti pre tieto problémy založené na kremíku nájdete v nasledujúcich bezpečnostných upozorneniach a CVE:
-
ADV180002 – Pokyny na zmiernenie špekulatívnych chýb na strane kanála vykonávania
-
ADV180012 - Pokyny spoločnosti Microsoft na špekulatívne obídenie obchodu
-
ADV180013 – Pokyny spoločnosti Microsoft pre registráciu neporiadku systému – čítanie
-
ADV180016 – Pokyny spoločnosti Microsoft na obnovenie stavu lenivého FP
-
ADV180018 – pokyny spoločnosti Microsoft na zmiernenie variantov L1TF
3. januára 2018 vydala spoločnosť Microsoft aktualizácie poradenstva a zabezpečenia súvisiace s novoobjavenou triedou hardvérových zraniteľností (známych ako Spectre a Meltdown), ktoré zahŕňajú špekulatívne kanály na strane spustenia, ktoré ovplyvňujú procesory AMD, ARM a Intel v rôznej miere. Táto trieda zraniteľností je založená na spoločnej architektúre čipov, ktorá bola pôvodne navrhnutá na zrýchlenie počítačov. Ďalšie informácie o týchto rizikách nájdete na lokalite Google Project Zero.
21. mája 2018, Google Project Zero (GPZ), Microsoft a Intel zverejnili dve nové čipové zraniteľnosti, ktoré súvisia s problémami Spectre a Meltdown a sú známe ako špekulatívne obídenie obchodu (SSB) a Rogue System Registry Read. Riziko zákazníka z oboch zverejnení je nízke.
Ďalšie informácie o týchto rizikách nájdete v zdrojoch uvedených v aktualizáciách operačného systému Windows z mája 2018 a pozrite si nasledujúce upozornenia zabezpečenia:
-
ADV180012 | Pokyny spoločnosti Microsoft na špekulatívne obídenie obchodu
-
ADV180013 | Microsoft Sprievodný materiál pre Rogue System Register Čítať
13. júna 2018 bola oznámená ďalšia zraniteľnosť zahŕňajúca špekulatívne spustenie bočného kanála, známe ako lenivé obnovenie stavu FP, a bola mu pridelená funkcia CVE-2018-3665. Ďalšie informácie o tomto zraniteľnosti a odporúčaných akciách nájdete v nasledujúcom upozornení zabezpečenia:
14. augusta 2018, L1 Terminal Fault (L1TF), bolo oznámené nové špekulatívne spustenie strane kanála zraniteľnosť, ktorá má viac CVE. L1TF ovplyvňuje procesory Intel® Core® a procesory Intel® Xeon®. Ďalšie informácie o jazyku L1TF a odporúčaných akciách nájdete v našom upozornení zabezpečenia:
Poznámka: Pred inštaláciou aktualizácií mikrokódu odporúčame nainštalovať všetky najnovšie aktualizácie z Windows Update.
14. mája 2019 spoločnosť Intel zverejnila informácie o novej podtriede špekulatívnych chýb na strane kanála spustenia známych ako mikroarchitekturálne vzorkovanie údajov. Boli im priradené nasledujúce CVE:
-
CVE-2018-11091 – "Pamäť mdsum (Microarchitectural Data Sampling Uncacheable Memory)
-
CVE-2018-12126 – "Microarchitectural Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 – "Vzorkovanie údajov portu mikroarchitekturálneho zaťaženia (MLPDS)"
Dôležité: Tieto problémy sa prejavia v iných systémoch, ako sú napríklad Android, Chrome, iOS a MacOS. Odporúčame zákazníkom, aby hľadali pomoc od svojich príslušných dodávateľov.
Spoločnosť Microsoft vydala aktualizácie, ktoré pomáhajú zmierniť tieto zraniteľné miesta. Ak chcete získať všetky dostupné ochrany, vyžadujú sa aktualizácie firmvéru (mikrokódu) a softvéru. Môže to zahŕňať mikrokód z OEM zariadení. V niektorých prípadoch bude mať inštalácia týchto aktualizácií vplyv na výkon. Konali sme aj na zabezpečenie našich cloudových služieb.
Poznámka: Pred inštaláciou aktualizácií mikrokódu odporúčame nainštalovať všetky najnovšie aktualizácie z Windows Update.
Ďalšie informácie o týchto problémoch a odporúčaných akciách nájdete v nasledujúcom upozornení zabezpečenia:
6. augusta 2019 spoločnosť Intel zverejnila podrobnosti o zraniteľnosti pri zverejňovaní informácií o jadre systému Windows. Táto zraniteľnosť je variant Spectre Variant 1 špekulatívne spustenie bočné kanál zraniteľnosti a bol priradený CVE-2019-1125.
Spoločnosť Microsoft vydala 9. júla 2019 aktualizáciu zabezpečenia operačného systému Windows, aby pomohla zmierniť tento problém. Zákazníci, ktorí Windows Update povolili a použili aktualizácie zabezpečenia vydané 9. júla 2019, sú automaticky chránení. Všimnite si, že toto nedostatočné zabezpečenie nevyžaduje aktualizáciu mikrokódu od výrobcu zariadenia (OEM).
Ďalšie informácie o tomto zraniteľnosti a príslušných aktualizáciách nájdete v téme CVE-2019-1125 | Zraniteľnosť informácií o jadre systému Windows v sprievodcovi aktualizáciou zabezpečenia spoločnosti Microsoft.
14. júna 2022 spoločnosť Intel zverejnila informácie o novej podtriede špekulatívnych chýb kanála I/O (MMIO) mapovaných pamäťou, ktoré sú uvedené v upozornení:
Kroky na ochranu zariadení s Windowsom
Na vyriešenie týchto chýb možno budete musieť aktualizovať firmvér (mikrokód) aj softvér. Odporúčané akcie nájdete v poradcoch spoločnosti Microsoft pre zabezpečenie. Patria sem príslušné aktualizácie firmvéru (mikrokódu) od výrobcov zariadení a v niektorých prípadoch aktualizácie antivírusového softvéru. Odporúčame vám udržiavať svoje zariadenia aktualizované a zabezpečené inštaláciou aktualizácií zabezpečenia každý mesiac.
Ak chcete získať všetky dostupné ochrany, postupujte podľa týchto krokov a získajte najnovšie aktualizácie softvéru aj hardvéru.
Poznámka: Skôr než začnete, skontrolujte, či je antivírusový softvér (AV) aktuálny a kompatibilný. Najnovšie informácie o kompatibilite antivírusu nájdete na webovej lokalite výrobcu softvéru.
-
Aktualizujte svoje zariadenie s Windowsom zapnutím automatických aktualizácií.
-
Skontrolujte, či ste nainštalovali najnovšiu aktualizáciu zabezpečenia operačného systému Windows od spoločnosti Microsoft. Ak sú zapnuté automatické aktualizácie, aktualizácie by sa mali automaticky doručovať vám. Napriek tomu by ste však mali overiť, či sú nainštalované. Pokyny nájdete v téme Windows Update: Najčastejšie otázky
-
Nainštalujte dostupné aktualizácie firmvéru (mikrokódu) od výrobcu zariadenia. Všetci zákazníci sa budú musieť so svojím výrobcom zariadenia skontrolovať a nainštalovať aktualizáciu hardvéru špecifického pre zariadenie. Zoznam webových lokalít výrobcu zariadenia nájdete v časti Ďalšie zdroje informácií.
Poznámka: Zákazníci by si mali inštalovať najnovšie aktualizácie zabezpečenia operačného systému Windows od spoločnosti Microsoft, aby využívali dostupné ochrany. Najskôr si však nainštalujte aktualizácie antivírusového softvéru. Potom nainštalujte aktualizácie operačného systému a firmvéru. Odporúčame vám udržiavať svoje zariadenia aktualizované a zabezpečené inštaláciou aktualizácií zabezpečenia každý mesiac.
Ovplyvnené čipy zahŕňajú tie, ktoré vyrába spoločnosť Intel, AMD a ARM. To znamená, že všetky zariadenia s operačnými systémami Windows sú potenciálne zraniteľné. Patria sem stolné počítače, prenosné počítače, cloudové servery a smartfóny. Ovplyvnené sú aj zariadenia s inými operačnými systémami, ako sú napríklad Android, Chrome, iOS a macOS. Odporúčame zákazníkom, ktorí používajú tieto operačné systémy, aby od týchto dodávateľov vyhľadali pomoc.
V čase publikovania sme nedostali žiadne informácie, ktoré by naznačovali, že tieto zraniteľnosti boli použité na útok na zákazníkov.
Od januára 2018 vydala spoločnosť Microsoft aktualizácie pre operačné systémy Windows a webové prehliadače Internet Explorer a Edge, ktoré pomáhajú zmierniť tieto chyby a pomôcť chrániť zákazníkov. Vydali sme aj aktualizácie na zabezpečenie našich cloudových služieb. Naďalej úzko spolupracujeme s partnermi v odvetví vrátane tvorcov čipov, hardvérových výrobcov OEM a dodávateľov aplikácií, aby sme ochránili zákazníkov pred touto triedou zraniteľnosti.
Odporúčame vám, aby ste si vždy nainštalovali mesačné aktualizácie, aby vaše zariadenia boli aktuálne a zabezpečené.
Túto dokumentáciu aktualizujeme, keď budú k dispozícii nové obmedzenia rizík, a odporúčame vám, aby ste sa sem pravidelne vracali.
Aktualizácie operačného systému Windows z júla 2019
6. augusta 2019 spoločnosť Intel zverejnila podrobnosti o zraniteľnosti zabezpečenia CVE-2019-1125 | Nedostatočné zverejnenie informácií o jadre systému Windows. Aktualizácie zabezpečenia pre toto nedostatočné zabezpečenie boli vydané ako súčasť mesačného vydania aktualizácie z júla 9. júla 2019.
Spoločnosť Microsoft vydala 9. júla 2019 aktualizáciu zabezpečenia operačného systému Windows, aby pomohla zmierniť tento problém. Toto zmiernenie sme verejne zdokumentovali až do koordinovaného zverejnenia v odvetví v utorok 6. augusta 2019.
Zákazníci, ktorí Windows Update povolili a použili aktualizácie zabezpečenia vydané 9. júla 2019, sú automaticky chránení. Všimnite si, že toto nedostatočné zabezpečenie nevyžaduje aktualizáciu mikrokódu od výrobcu zariadenia (OEM).
Aktualizácie operačného systému Windows z mája 2019
14. mája 2019 spoločnosť Intel zverejnila informácie o novej podtriede špekulatívnych chýb vedľajšieho kanála vykonávania známych ako mikroarchitekturálne vzorkovanie údajov a boli im priradené nasledujúce CVE:
-
CVE-2018-11091 – "Pamäť mdsum (Microarchitectural Data Sampling Uncacheable Memory)
-
CVE-2018-12126 – "Microarchitectural Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 – "Vzorkovanie údajov portu mikroarchitekturálneho zaťaženia (MLPDS)"
Ďalšie informácie o tomto probléme nájdete v nasledujúcich pokynoch na poradenstvo v oblasti zabezpečenia a používaní scenárov, ktoré sú uvedené v článkoch o windowsových pokynoch pre klientov a servery na určenie akcií potrebných na zmiernenie hrozby:
Spoločnosť Microsoft vydala ochrany pred novou podtriedou špekulatívnych chýb bočného kanála spustenia známych ako microarchitectural Data Sampling pre 64-bitové (x64) verzie Windowsu (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).
Použite nastavenia databázy Registry tak, ako je popísané v článkoch o windowsovom klientovi (KB4073119) a Windows Serveri (KB4457951 ). Tieto nastavenia databázy Registry sú predvolene povolené pre vydania Windows Client OS a vydania systému Windows Server OS.
Pred inštaláciou aktualizácií mikrokódu odporúčame najskôr nainštalovať všetky najnovšie aktualizácie z Windows Update.
Ďalšie informácie o tomto probléme a odporúčaných akciách nájdete v nasledujúcom upozornení zabezpečenia:
Intel vydal aktualizáciu mikrokódov pre nedávne platformy procesora, ktoré pomáhajú zmierniť CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. 14. mája 2019 windows KB 4093836 uvádza konkrétne články databázy Knowledge Base podľa verzie operačného systému Windows. Tento článok obsahuje aj prepojenia na dostupné aktualizácie mikrokódov Intel procesorom. Tieto aktualizácie sú k dispozícii prostredníctvom katalógu spoločnosti Microsoft.
Poznámka: Pred inštaláciou aktualizácií mikrokódu odporúčame nainštalovať všetky najnovšie aktualizácie z Windows Update.
S radosťou oznamujeme, že Retpoline je predvolene povolená v zariadeniach Windows 10, verzia 1809 (pre klienta a server), ak je povolené Spectre Variant 2 (CVE-2017-5715). Povolením Retpoline na najnovšiu verziu Windows 10 prostredníctvom aktualizácie zo 14. mája 2019 (KB 4494441) očakávame vyšší výkon, najmä v prípade starších procesorov.
Zákazníci by mali zabezpečiť, aby boli predchádzajúce ochrany OS pred zraniteľnosťou Spectre Variant 2 povolené pomocou nastavení databázy Registry popísaných v článkoch o windowsovom klientovi a Windows Serveri . (Tieto nastavenia databázy Registry sú predvolene povolené pre vydania Windows Client OS, ale predvolene vypnuté pre vydania operačného systému Windows Server. Ďalšie informácie o "Retpoline" nájdete v časti Zmiernenie spectre variant 2 s Retpoline vo Windowse.
Aktualizácie operačného systému Windows na november 2018
Spoločnosť Microsoft vydala ochranu operačného systému pre špekulatívne obídenie obchodu (CVE-2018-3639) pre procesory AMD (PROCESORY).
Spoločnosť Microsoft vydala ďalšie ochrany operačného systému pre zákazníkov, ktorí používajú 64-bitové procesory ARM. Obráťte sa na výrobcu OEM zariadenia a požiadajte ho o podporu firmvéru, pretože ochrana operačného systému ARM64, ktorá zmierňuje CVE-2018-3639, špekulatívne obídenie obchodu, vyžaduje najnovšiu aktualizáciu firmvéru zo zariadenia OEM.
Aktualizácie operačného systému Windows zo septembra 2018
11. septembra 2018, Spoločnosť Microsoft vydala Windows Server 2008 SP2 Monthly Rollup 4458010 and Security only 4457984 for Windows Server 2008, ktoré poskytujú ochranu proti novému špekulatívnemu spusteniu bočného kanála, známemu ako L1 Terminal Fault (L1TF), ktoré ovplyvňuje procesory Intel® Core® a procesory Intel® Xeon® (CVE-2018-3620 a CVE-2018-3646).
Toto vydanie dokončí dodatočnú ochranu vo všetkých podporovaných systémových verziách Windowsu prostredníctvom Windows Update. Ďalšie informácie a zoznam dotknutých produktov nájdete v téme ADV180018 | Microsoft Guidance to mitigate L1TF variant.
Poznámka: Windows Server 2008 SP2 sa teraz riadi štandardným modelom súhrnu údržby systému Windows. Ďalšie informácie o týchto zmenách nájdete v našom blogu o zmenách údržby systému Windows Server 2008 SP2. Zákazníci so systémom Windows Server 2008 by si mali okrem 4341832 aktualizácie zabezpečenia, ktorá bola vydaná 14. augusta 2018, nainštalovať 4458010 alebo 4457984. Zákazníci by tiež mali zabezpečiť, aby boli predchádzajúce ochrany operačného systému pred zraniteľnosťami Spectre Variant 2 a Meltdown povolené pomocou nastavení databázy Registry uvedených v článkoch vedomostnej databázy KB s pokynmi pre windows klienta a Windows Server . Tieto nastavenia databázy Registry sú predvolene povolené pre vydania Windows Client OS, ale sú predvolene zakázané pre vydania operačného systému Windows Server.
Spoločnosť Microsoft vydala ďalšie ochrany operačného systému pre zákazníkov, ktorí používajú 64-bitové procesory ARM. Obráťte sa na výrobcu OEM zariadenia a požiadajte ho o podporu firmvéru, pretože ochrana operačného systému ARM64, ktorá zmierňuje cve-2017-5715 – injekciu cieľa vetvy (Spectre, Variant 2), vyžaduje, aby sa prejavila najnovšia aktualizácia firmvéru z OEM zariadenia.
Aktualizácie operačného systému Windows z augusta 2018
Augusta 14, 2018, L1 Terminal Fault (L1TF)bola oznámená a pridelený viac CVE. Tieto nové špekulatívne spustenie side-kanál zraniteľnosti možno použiť na čítanie obsahu pamäte cez dôveryhodné hranice, a ak je využité, môže viesť k zverejneniu informácií. Existuje viacero vektorov, pomocou ktorých útočník môže spustiť chyby v závislosti od nakonfigurovaného prostredia. L1TF ovplyvňuje procesory Intel® Core® a procesory Intel® Xeon®.
Ďalšie informácie o jazyku L1TF a podrobnom zobrazení ovplyvnených scenárov vrátane prístupu spoločnosti Microsoft k zmierňovaniu L1TF nájdete v týchto zdrojoch:
Aktualizácie operačného systému Windows z júla 2018
S potešením oznamujeme, že spoločnosť Microsoft dokončila vydávanie ďalších ochranných opatrení pre všetky podporované verzie systému Windows prostredníctvom Windows Update pre nasledujúce chyby:
-
Spectre Variant 2 pre procesory AMD
-
Špekulatívne Obídenie obchodu pre procesory Intel
13. júna 2018 bola oznámená ďalšia zraniteľnosť zahŕňajúca špekulatívne spustenie bočného kanála, známe ako lenivé obnovenie stavu FP, a bola mu pridelená funkcia CVE-2018-3665. Na obnovenie protokolu FP lenivej obnovy nie sú potrebné žiadne nastavenia konfigurácie (databázy Registry).
Ďalšie informácie o tomto zraniteľnosti, ovplyvnených produktoch a odporúčaných akciách nájdete v nasledujúcom upozornení na zabezpečenie:
12. júna spoločnosť Microsoft oznámila podporu windowsu pre špekulatívne Store Bypass Disable (SSBD) v procesoroch Intel. Aktualizácie vyžadujú zodpovedajúce aktualizácie firmvéru (mikrokódu) a aktualizácie databázy Registry pre funkčnosť. Informácie o aktualizáciách a krokoch, ktoré je potrebné použiť na zapnutie SSBD, nájdete v časti Odporúčané akcie v ADV180012 | Pokyny spoločnosti Microsoft na špekulatívne obídenie obchodu.
Aktualizácie operačného systému Windows z mája 2018
V januári 2018 spoločnosť Microsoft zverejnila informácie o novoobjavenej triede hardvérových zraniteľností (známych ako Spectre a Meltdown), ktoré zahŕňajú špekulatívne kanály na strane spustenia, ktoré ovplyvňujú procesory AMD, ARM a Intel v rôznej miere. 21. mája 2018 Google Project Zero (GPZ), Microsoft a Intel zverejnili dve nové zraniteľnosti čipov, ktoré súvisia s problémami Spectre a Meltdown, ktoré sú známe ako špekulatívne obídenie obchodu (SSB) a Rogue System Registry Read.
Riziko zákazníka z oboch zverejnení je nízke.
Ďalšie informácie o týchto rizikách nájdete v nasledujúcich zdrojoch:
-
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639
-
Microsoft Security Advisory for Rogue System Register Čítanie: MSRC ADV180013a CVE-2018-3640
-
Výskum a obrana zabezpečenia: Analýza a zmiernenie špekulatívneho obídenia obchodu (CVE-2018-3639)
Vzťahuje sa na: Windows 10, verzia 1607, Windows Server 2016, Windows Server 2016 (inštalácia Servera Core) a Windows Server, verzia 1709 (inštalácia servera Core)
Poskytli sme podporu na kontrolu používania bariéry nepriamej predpovede vetvy (IBPB) v rámci niektorých procesorov AMD (PROCESORY) na zmiernenie CVE-2017-5715, Spectre Variant 2 pri prechode z používateľského kontextu na kontext jadra. (Ďalšie informácie nájdete v pokynoch architektúry AMD týkajúcich sa nepriameho riadenia vetvy a zabezpečenia AMD Aktualizácie).
Zákazníci, ktorí používajú Windows 10 verzie 1607, Windows Server 2016, Windows Server 2016 (inštalácia Servera Core) a Windows Servera verzie 1709 (inštalácia Servera Core), musia nainštalovať aktualizáciu zabezpečenia 4103723 pre ďalšie obmedzenia rizík pre procesory AMD pre CVE-2017-5715, Branch Target Injection. Táto aktualizácia je k dispozícii aj prostredníctvom Windows Update.
Postupujte podľa pokynov, ktoré sú uvedené v 4073119 KB pre Windows Client (IT Pro) a kb 4072698 pre Windows Server pokyny na umožnenie používania IBPB v niektorých procesoroch AMD (PROCESORY) na zmiernenie Spectre Variant 2 pri prepnutí z používateľského kontextu do kontextu jadra.
Spoločnosť Microsoft sprístupňuje aktualizácie mikrokódov overené spoločnosťou Intel okolo spectre variantu 2 (CVE-2017-5715 "Branch Target Injection"). Ak chcú zákazníci získať najnovšie aktualizácie mikrokódov Intel prostredníctvom Windows Update, pred inováciou na aktualizáciu Windows 10 z apríla 2018 (verzia 1803) musia mať zákazníci nainštalovaný mikrokód Intel v zariadeniach s operačným systémom Windows 10.
Aktualizácia mikrokódu je k dispozícii priamo z katalógu aj vtedy, ak nebol nainštalovaný v zariadení ešte pred inováciou operačného systému. Mikrokód Intel je k dispozícii prostredníctvom Windows Update, WSUS alebo katalógu microsoft update. Ďalšie informácie a pokyny na stiahnutie nájdete v 4100347 KB.
Keď budú k dispozícii spoločnosti Microsoft, budeme ponúkať ďalšie aktualizácie mikrokódov od spoločnosti Intel pre operačný systém Windows.
Vzťahuje sa na: Windows 10, verzia 1709
Poskytli sme podporu na kontrolu používania bariéry nepriamej predpovede vetvy (IBPB) v rámci niektorých procesorov AMD (PROCESORY) na zmiernenie CVE-2017-5715, Spectre Variant 2 pri prechode z používateľského kontextu na kontext jadra. (Ďalšie informácie nájdete v pokynoch architektúry AMD týkajúcich sa nepriameho riadenia vetvy a zabezpečenia AMD Aktualizácie). Postupujte podľa pokynov uvedených v 4073119 KB pre Windows Client (IT Pro) a povoľte používanie IBPB v rámci niektorých procesorov AMD (CPU) na zmiernenie prízraku Variant 2 pri prechode z používateľského kontextu na kontext jadra.
Spoločnosť Microsoft sprístupňuje aktualizácie mikrokódov overené spoločnosťou Intel okolo spectre variantu 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 uvádza konkrétne články vedomostnej databázy Knowledge Base podľa verzie Windowsu. Každá konkrétna kb obsahuje najnovšie dostupné aktualizácie mikrokódu Intel podľa procesora.
Keď budú k dispozícii spoločnosti Microsoft, budeme ponúkať ďalšie aktualizácie mikrokódov od spoločnosti Intel pre operačný systém Windows.
Aktualizácie operačného systému Windows z marca 2018 a novších verzií
23. marca, TechNet Security Research & obrany: KVA Shadow: Zmiernenie zrútenia vo Windowse
14. marca, Security Tech Center: Špekulatívne spustenie Side Channel Bounty program Podmienky
13. marec blog: Aktualizácia Windows Zabezpečenie z marca 2018 – rozšírenie nášho úsilia o ochranu zákazníkov
1. marec, blog: Aktualizácia aktualizácií zabezpečenia Spectre a Meltdown pre zariadenia s Windowsom
Od marca 2018 vydala spoločnosť Microsoft aktualizácie zabezpečenia, ktoré poskytujú obmedzenia rizík pre zariadenia s nasledujúcimi operačnými systémami Windows s platformou x86. Zákazníci by si mali nainštalovať najnovšie aktualizácie zabezpečenia operačného systému Windows, aby mohli využívať dostupné ochrany. Pracujeme na tom, aby sme poskytli ochranu pre iné podporované verzie Windowsu, ale momentálne nemajú plán vydania. Aktualizácie nájdete tu. Ďalšie informácie nájdete v súvisiacom článku vedomostnej databázy Knowledge Base, kde nájdete technické podrobnosti a časť Najčastejšie otázky.
Vydaná aktualizácia produktu |
Stav |
Dátum vydania |
Kanál vydania |
KB |
Windows 8.1 & Windows Server 2012 R2 – aktualizácia zabezpečenia |
Vydané |
13. marec |
WSUS, katalóg, |
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 – aktualizácia zabezpečenia |
Vydané |
13. marec |
WSUS, Katalóg |
|
Windows Server 2012 – aktualizácia zabezpečenia Windows 8 Embedded Standard Edition – iba aktualizácia zabezpečenia |
Vydané |
13. marec |
WSUS, Katalóg |
|
Windows 8.1 & Windows Server 2012 R2 – mesačná súhrnná aktualizácia |
Vydané |
13. marec |
WU, WSUS, Katalóg |
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 – mesačná súhrnná aktualizácia |
Vydané |
13. marec |
WU, WSUS, Katalóg |
|
Windows Server 2012 – mesačná súhrnná aktualizácia Windows 8 Embedded Standard Edition – mesačná súhrnná aktualizácia |
Vydané |
13. marec |
WU, WSUS, Katalóg |
|
Windows Server 2008 SP2 |
Vydané |
13. marec |
WU, WSUS, Katalóg |
Od marca 2018 vydala spoločnosť Microsoft aktualizácie zabezpečenia, ktoré poskytujú obmedzenia rizík pre zariadenia s nasledujúcimi operačnými systémami Windows s platformou x64. Zákazníci by si mali nainštalovať najnovšie aktualizácie zabezpečenia operačného systému Windows, aby mohli využívať dostupné ochrany. Pracujeme na tom, aby sme poskytli ochranu pre iné podporované verzie Windowsu, ale momentálne nemajú plán vydania. Aktualizácie nájdete tu. Ďalšie informácie nájdete v súvisiacom vedomostná databáza článku, kde nájdete technické podrobnosti a časť Najčastejšie otázky.
Vydaná aktualizácia produktu |
Stav |
Dátum vydania |
Kanál vydania |
KB |
Windows Server 2012 – aktualizácia zabezpečenia Windows 8 Embedded Standard Edition – iba aktualizácia zabezpečenia |
Vydané |
13. marec |
WSUS, Katalóg |
|
Windows Server 2012 – mesačná súhrnná aktualizácia Windows 8 Embedded Standard Edition – mesačná súhrnná aktualizácia |
Vydané |
13. marec |
WU, WSUS, Katalóg |
|
Windows Server 2008 SP2 |
Vydané |
13. marec |
WU, WSUS, Katalóg |
Táto aktualizácia rieši zvýšenie nedostatočného oprávnenia v jadre Windowsu v 64-bitovej (x64) verzii Systému Windows. Toto nedostatočné zabezpečenie je zdokumentované v CVE-2018-1038. Ak sa ich počítače aktualizovali v januári 2018 alebo po januári 2018, používatelia musia použiť túto aktualizáciu, aby boli plne chránení pred týmto rizikom, a to použitím niektorej z aktualizácií uvedených v nasledujúcom článku databázy Knowledge Base:
Táto aktualizácia zabezpečenia rieši niekoľko hlásených chýb v Internet Exploreri. Ďalšie informácie o týchto zraniteľných miestach nájdete v téme Bežné zraniteľnosti a expozície spoločnosti Microsoft.
Vydaná aktualizácia produktu |
Stav |
Dátum vydania |
Kanál vydania |
KB |
Internet Explorer 10 – kumulatívna aktualizácia pre Windows 8 Embedded Standard Edition |
Vydané |
13. marec |
WU, WSUS, Katalóg |
Aktualizácie operačného systému Windows z februára 2018
Blog: Windows Analytics teraz pomáha posúdiť ochranu spectre a zrútenia
Nasledujúce aktualizácie zabezpečenia poskytujú dodatočnú ochranu pre zariadenia s 32-bitovou verziou (x86) operačnými systémami Windows. Spoločnosť Microsoft odporúča zákazníkom nainštalovať aktualizáciu hneď, ako budú k dispozícii. Naďalej pracujeme na poskytovaní ochrany iných podporovaných verzií Windowsu, ale momentálne nemáme plán vydania. Aktualizácie nájdete tu.
Poznámka Windows 10 mesačné aktualizácie zabezpečenia sú kumulatívne každý mesiac a automaticky sa sťahujú a inštalujú z Windows Update. Ak ste si nainštalovali staršie aktualizácie, do zariadenia sa stiahnu a nainštalujú len nové časti. Ďalšie informácie nájdete v súvisiacom článku vedomostnej databázy Knowledge Base, kde nájdete technické podrobnosti a časť Najčastejšie otázky.
Vydaná aktualizácia produktu |
Stav |
Dátum vydania |
Kanál vydania |
KB |
Windows 10 – verzia 1709/Windows Server 2016 (1709) / IoT Core – aktualizácia kvality |
Vydané |
31. január |
WU, Katalóg |
|
Windows Server 2016 (1709) – kontajner servera |
Vydané |
13. februára |
Centrum Docker |
|
Windows 10 – verzia 1703 / IoT Core - aktualizácia kvality |
Vydané |
13. februára |
WU, WSUS, Katalóg |
|
Windows 10 – verzia 1607/ Windows Server 2016/IoT Core – aktualizácia kvality |
Vydané |
13. februára |
WU, WSUS, Katalóg |
|
Windows 10 HoloLens – operačný systém a Aktualizácie firmvéru |
Vydané |
13. februára |
WU, Katalóg |
|
Windows Server 2016 (1607) – obrázky kontajnera |
Vydané |
13. februára |
Centrum Docker |
|
Windows 10 – verzia 1511 / IoT Core - aktualizácia kvality |
Vydané |
13. februára |
WU, WSUS, Katalóg |
|
Windows 10 - verzia RTM - aktualizácia kvality |
Vydané |
13. februára |
WU, WSUS, Katalóg |
Aktualizácie operačného systému Windows na január 2018
Blog: Pochopenie vplyvu na výkon Spectre a zrútenia zmiernenie na systémy Windows
Od januára 2018 vydala spoločnosť Microsoft aktualizácie zabezpečenia, ktoré poskytujú obmedzenia rizík pre zariadenia s nasledujúcimi operačnými systémami Windows s platformou x64. Zákazníci by si mali nainštalovať najnovšie aktualizácie zabezpečenia operačného systému Windows, aby mohli využívať dostupné ochrany. Pracujeme na tom, aby sme poskytli ochranu pre iné podporované verzie Windowsu, ale momentálne nemajú plán vydania. Aktualizácie nájdete tu. Ďalšie informácie nájdete v súvisiacom článku vedomostnej databázy Knowledge Base, kde nájdete technické podrobnosti a časť Najčastejšie otázky.
Vydaná aktualizácia produktu |
Stav |
Dátum vydania |
Kanál vydania |
KB |
Windows 10 – verzia 1709/Windows Server 2016 (1709) / IoT Core – aktualizácia kvality |
Vydané |
3. január |
WU, WSUS, Katalóg, Azure a Galéria |
|
Windows Server 2016 (1709) – kontajner servera |
Vydané |
5. január |
Centrum Docker |
|
Windows 10 – verzia 1703 / IoT Core - aktualizácia kvality |
Vydané |
3. január |
WU, WSUS, Katalóg |
|
Windows 10 – verzia 1607/Windows Server 2016 /IoT Core – aktualizácia kvality |
Vydané |
3. január |
WU, WSUS, Katalóg |
|
Windows Server 2016 (1607) – obrázky kontajnera |
Vydané |
4. január |
Centrum Docker |
|
Windows 10 – verzia 1511 / IoT Core - aktualizácia kvality |
Vydané |
3. január |
WU, WSUS, Katalóg |
|
Windows 10 - verzia RTM - aktualizácia kvality |
Vydané |
3. január |
WU, WSUS, Katalóg |
|
Windows 10 Mobile (zostava OS 15254.192) - ARM |
Vydané |
5. január |
WU, Katalóg |
|
Windows 10 Mobile (zostava OS 15063.850) |
Vydané |
5. január |
WU, Katalóg |
|
Windows 10 Mobile (zostava OS 14393.2007) |
Vydané |
5. január |
WU, Katalóg |
|
HoloLens s Windowsom 10 |
Vydané |
5. január |
WU, Katalóg |
|
Windows 8.1 a Windows Server 2012 R2 – iba aktualizácia zabezpečenia |
Vydané |
3. január |
WSUS, Katalóg |
|
Windows Embedded 8.1 Industry Enterprise |
Vydané |
3. január |
WSUS, Katalóg |
|
Windows Embedded 8.1 Industry Pro |
Vydané |
3. január |
WSUS, Katalóg |
|
Windows Embedded 8.1 Pro |
Vydané |
3. január |
WSUS, Katalóg |
|
Windows 8.1/Windows Server 2012 R2 – mesačná súhrnná aktualizácia |
Vydané |
8. január |
WU, WSUS, Katalóg |
|
Windows Embedded 8.1 Industry Enterprise |
Vydané |
8. január |
WU, WSUS, Katalóg |
|
Windows Embedded 8.1 Industry Pro |
Vydané |
8. január |
WU, WSUS, Katalóg |
|
Windows Embedded 8.1 Pro |
Vydané |
8. január |
WU, WSUS, Katalóg |
|
Windows Server 2012 – iba aktualizácia zabezpečenia |
Vydané |
WSUS, Katalóg |
||
Windows Server 2008 SP2 |
Vydané |
WU, WSUS, Katalóg |
||
Windows Server 2012 – mesačná súhrnná aktualizácia |
Vydané |
WU, WSUS, Katalóg |
||
Windows Embedded 8 Standard |
Vydané |
WU, WSUS, Katalóg |
||
Windows 7 SP1 a Windows Server 2008 R2 SP1 – iba aktualizácia zabezpečenia |
Vydané |
3. január |
WSUS, Katalóg |
|
Windows Embedded Standard 7 |
Vydané |
3. január |
WSUS, Katalóg |
|
Windows Embedded POSReady 7 |
Vydané |
3. január |
WSUS, Katalóg |
|
Windows Thin PC |
Vydané |
3. január |
WSUS, Katalóg |
|
Windows 7 SP1 a Windows Server 2008 R2 SP1 – mesačná súhrnná aktualizácia |
Vydané |
4. január |
WU, WSUS, Katalóg |
|
Windows Embedded Standard 7 |
Vydané |
4. január |
WU, WSUS, Katalóg |
|
Windows Embedded POSReady 7 |
Vydané |
4. január |
WU, WSUS, Katalóg |
|
Windows Thin PC |
Vydané |
4. január |
WU, WSUS, Katalóg |
|
Internet Explorer 11 – Kumulatívna aktualizácia pre Windows 7 SP1 a Windows 8.1 |
Vydané |
3. január |
WU, WSUS, Katalóg |
9. apríla 2024 sme publikovali CVE-2022-0001 | Intel Branch History Injection , ktorá popisuje vloženie histórie pobočky (BHI), čo je špecifická forma interného BTI. Toto nedostatočné zabezpečenie sa vyskytuje, keď útočník môže manipulovať s históriou vetvy pred prechodom z používateľa do režimu dohľadu (alebo z VMX non-root/hosť do koreňového režimu). Táto manipulácia by mohla spôsobiť, že nepriamy prediktor vetvy vyberie konkrétnu položku prediktora pre nepriamu vetvu a miniaplikácia zverejňovania v predpovedanom cieli sa prechodne spustí. Môže to byť možné, pretože príslušná história vetvy môže obsahovať vetvy v predchádzajúcich kontextoch zabezpečenia, a najmä iné režimy prediktora.
Postupujte podľa pokynov uvedených v KB4073119 pre klientov s Windowsom (IT Pro) a KB4072698 pre Windows Server s pokynmi na zmiernenie chýb opísaných v CVE-2022-0001 | Injekcia histórie pobočky Intel.
Zdroje informácií a technické pokyny
V závislosti od vašej roly vám nasledujúce články podpory pomôžu identifikovať a zmierniť klientske a serverové prostredia, ktoré sú ovplyvnené zraniteľnosťami Spectre a Meltdown.
Microsoft Security Advisory for L1 Terminal Fault (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 a CVE-2018-3646
Výskum a obrana zabezpečenia: Analýza a zmiernenie špekulatívneho obídenia obchodu (CVE-2018-3639)
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639
Microsoft Security Advisory for Rogue System Register Čítať | Sprievodca aktualizáciou zabezpečenia pre Surface: MSRC ADV180013a CVE-2018-3640
Výskum a obrana zabezpečenia: Analýza a zmiernenie špekulatívneho obídenia obchodu (CVE-2018-3639)
TechNet Bezpečnostný výskum & obrany: KVA Shadow: Zmiernenie zrútenia vo Windowse
Security Tech Center: Špekulatívne spustenie Side Channel Bounty Program Podmienky
Blog o skúsenostiach spoločnosti Microsoft: Aktualizácia aktualizácií zabezpečenia Spectre a Meltdown pre zariadenia s Windowsom
Blog o Windowse for Business: Windows Analytics teraz pomáha posúdiť ochranu spectre a zrútenia
Microsoft Secure blog: Pochopenie vplyvu na výkon Spectre a zrútenia zmiernenie na Windows Systems
Blog pre vývojárov Prehliadača Edge: Zmiernenie špekulatívnych útokov na bočnom kanáli v prehliadačoch Microsoft Edge a Internet Explorer
Blog o Azure: Zabezpečenie zákazníkov služby Azure pred zraniteľnosťou procesora
SCCM sprievodný materiál: Ďalšie pokyny na zmiernenie špekulatívnych chýb na strane kanála spustenia
Poradenstvo spoločnosti Microsoft:
-
ADV180002 | Pokyny na zmiernenie špekulatívnych chýb na strane kanála vykonávania
-
ADV180012 | Pokyny spoločnosti Microsoft na špekulatívne obídenie obchodu
-
ADV180013 | Microsoft Sprievodný materiál pre Rogue System Register Čítať
-
ADV180016 | Pokyny spoločnosti Microsoft na obnovenie stavu lenivého FP
Intel: Upozornenie zabezpečenia
NVIDIA: Upozornenie zabezpečenia
Pokyny pre spotrebiteľov: Ochrana zariadenia pred zraniteľnosťami zabezpečenia súvisiacimi s čipom
Antivirus Guidance: Windows security updates released January 3, 2018, and antivirus software
Sprievodný materiál k bloku aktualizácie zabezpečenia operačného systému Windows AMD: KB4073707: Blok aktualizácie zabezpečenia operačného systému Windows pre niektoré zariadenia s amd
Update to Disable Mitigation against Spectre, Variant 2: KB4078130: Intel has identified reboot issues with microcode on some older processors
Sprievodný materiál pre Surface: Sprievodný materiál pre Surface na ochranu pred špekulatívnymi zraniteľnosťami bočného kanála spustenia
Overenie stavu obmedzenia rizík kanála na strane špekulatívneho spustenia: Vysvetlenie Get-SpeculationControlSettings výstup skriptu prostredia PowerShell
It Pro Guidance: Windows Client Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities
Pokyny pre server: Pokyny pre Windows Server na ochranu pred špekulatívnym spustením chýb bočného kanála
Pokyny pre server L1 Terminal Fault: Pokyny pre Windows Server na ochranu pred poruchou terminálu L1
Pokyny pre vývojárov: Pokyny pre vývojárov pre špekulatívne obídenie obchodu
Pokyny pre technológiu Hyper-V Server
Azure KB: KB4073235: Microsoft Cloud Protections Against Špekulatívne spustenie Side-Channel zraniteľnosti
Sprievodný materiál k službe Azure Stack: KB4073418: Azure stack guidance to protect against the speculative execution side-channel vulnerabilities
Spoľahlivosť platformy Azure: Portál spoľahlivosti platformy Azure
SQL Server sprievodný materiál: KB4073225: SQL Server Sprievodný materiál na ochranu pred špekulatívnymi zraniteľnosťami vedľajšieho kanála vykonávania
Prepojenia na výrobcov zariadení OEM a Server pre aktualizácie na ochranu pred zraniteľnosťami Spectre a Meltdown
Ak chcete tieto chyby vyriešiť, musíte aktualizovať hardvér aj softvér. Pomocou nasledujúcich prepojení sa informujte u výrobcu zariadenia o príslušných aktualizáciách firmvéru (mikrokódu).
Pomocou nasledujúcich prepojení sa informujte u výrobcu zariadenia o aktualizáciách firmvéru (mikrokódu). Budete musieť nainštalovať aktualizácie operačného systému aj firmvéru (mikrokódu) pre všetky dostupné ochrany.
OEM výrobcovia zariadení |
Prepojenie na dostupnosť microcode |
Acer |
|
Asus |
|
Dell |
|
Epson |
|
Fujitsu |
Hardvér procesora citlivý na útoky bočného kanála (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
HP |
|
Lenovo |
|
LG |
|
NEC |
O reakcii na zraniteľnosť procesora (zrútenie, spektrum) v našich produktoch |
Panasonic |
|
Samsung |
|
Surface |
Pokyny pre zariadenia Surface na ochranu pred rizikom špekulatívneho spustenia bočného kanála |
Toshiba |
|
Vaio |
OEM výrobcovia serverov |
Prepojenie na dostupnosť microcode |
Dell |
|
Fujitsu |
Hardvér procesora citlivý na útoky bočného kanála (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
HPE |
Upozornenia na zraniteľnosť zabezpečenia podnikového produktu v spoločnosti Packard |
Huawei |
|
Lenovo |
Najčastejšie otázky
Aktualizácie firmvéru (mikrokódu) budete musieť vyhľadať u výrobcu zariadenia. Ak výrobca zariadenia nie je uvedený v tabuľke, kontaktujte ho priamo.
Aktualizácie pre zariadenia Microsoft Surface sú zákazníkom k dispozícii prostredníctvom Windows Update. Zoznam dostupných aktualizácií firmvéru zariadenia Surface (mikrokód) nájdete v 4073065 KB.
Ak vaše zariadenie nie je od spoločnosti Microsoft, použite aktualizácie firmvéru od výrobcu zariadenia. Ďalšie informácie vám poskytne výrobca zariadenia.
Riešenie nedostatočného hardvéru pomocou aktualizácie softvéru predstavuje významné výzvy a zmiernenia rizík pre staršie operačné systémy a môže vyžadovať rozsiahle architektonické zmeny. Pokračujeme v spolupráci s dotknutými výrobcami čipov, aby sme preskúmali najlepší spôsob, ako poskytnúť zmiernenie. Možno ju poskytnúť v budúcej aktualizácii. Nahradenie starších zariadení, ktoré používajú tieto staršie operačné systémy a zároveň aktualizuje antivírusový softvér, by malo riešiť zostávajúce riziko.
Poznámky:
-
Produkty, ktoré sú momentálne mimo bežnej aj rozšírenej podpory, nebudú dostávať tieto aktualizácie systému. Odporúčame zákazníkom aktualizovať na podporovanú systémovú verziu.
-
Špekulatívne útoky spúšťania na bočnej strane kanála využívajú správanie procesora a funkčnosť. Výrobcovia procesora musia najprv určiť, ktorí procesory môžu byť ohrození, a potom to oznámiť spoločnosti Microsoft. V mnohých prípadoch sa na poskytovanie komplexnejšej ochrany zákazníkom budú vyžadovať aj zodpovedajúce aktualizácie operačného systému. Odporúčame, aby dodávatelia Windows CE so zabezpečením spolupracovali so svojím výrobcom čipov, aby porozumeli zraniteľnosti a použiteľným zmierňovaniam rizík.
-
Pre nasledujúce platformy nebudeme vydávať aktualizácie:
-
Operačné systémy Windows, ktoré sú momentálne bez podpory alebo tie, pre ktoré sa ukončí poskytovanie podpory v roku 2018
-
Windows XP-založené systémy vrátane WES 2009 a POSReady 2009
-
Hoci windows XP-založené systémy sú ovplyvnené produkty, Microsoft nie je vydávanie aktualizácie pre nich, pretože komplexné architektonické zmeny, ktoré by boli potrebné by ohrozilo stabilitu systému a spôsobiť problémy s kompatibilitou aplikácií. Odporúčame zákazníkom, ktorým záleží na zabezpečené, aby inovovali na novší podporovaný operačný systém, aby držali krok s meniacimi sa bezpečnostnými hrozbami a využívali robustnejšiu ochranu poskytovanú novšími operačnými systémami.
Aktualizácie Windows 10 pre HoloLens sú zákazníkom okuliarov HoloLens k dispozícii prostredníctvom Windows Update.
Po použitíaktualizácie Windows Zabezpečenie z februára 2018 zákazníci okuliarov HoloLens nemusia vykonať žiadne ďalšie kroky na aktualizáciu firmvéru zariadenia. Tieto obmedzenia rizík budú zahrnuté aj vo všetkých budúcich vydaniach Windows 10 pre HoloLens.
Ďalšie informácie vám poskytne OEM.
Na úplnú ochranu zariadenia by ste mali nainštalovať najnovšie aktualizácie zabezpečenia operačného systému Windows pre vaše zariadenie a príslušné aktualizácie firmvéru (mikrokódu) od výrobcu zariadenia. Tieto aktualizácie firmvéru by mali byť k dispozícii na webovej lokalite výrobcu zariadenia. Najskôr si však nainštalujte aktualizácie antivírusového softvéru. Aktualizácie operačného systému a firmvéru možno nainštalovať v ľubovoľnom poradí.
Na vyriešenie tohto nedostatočného zabezpečenia budete musieť aktualizovať hardvér aj softvér. Na komplexnejšiu ochranu budete musieť od výrobcu zariadenia nainštalovať príslušné aktualizácie firmvéru (mikrokódu). Odporúčame vám udržiavať svoje zariadenia aktualizované a zabezpečené inštaláciou aktualizácií zabezpečenia každý mesiac.
V každej aktualizácii funkcií Windows 10 zostavujeme najnovšiu technológiu zabezpečenia hlboko do operačného systému a poskytujeme funkcie hĺbkovej ochrany, ktoré zabraňujú ovplyvneniu vášho zariadenia celými triedami malvéru. Aktualizácie funkcií sú vydávané dvakrát ročne. V každej mesačnej aktualizácii kvality pridávame ďalšiu vrstvu zabezpečenia, ktorá sleduje vznikajúce a meniace sa trendy v malvéru, aby boli aktuálne systémy bezpečnejšie tvárou v tvár meniacim sa a vyvíjajúcim sa hrozbám.
Spoločnosť Microsoft zrušila kontrolu kompatibility AV pre aktualizácie zabezpečenia Windowsu pre podporované verzie Windows 10, Windows 8.1 a Zariadenia s Windowsom 7 SP1 prostredníctvom Windows Update.
Odporúčania:-
Skontrolujte, či sú vaše zariadenia aktuálne, a to tak, že získate najnovšie aktualizácie zabezpečenia od spoločnosti Microsoft a výrobcu hardvéru. Ďalšie informácie o tom, ako udržiavať zariadenie aktuálne, nájdete v téme Windows Update: Najčastejšie otázky.
-
Keď navštívite webové lokality neznámeho pôvodu a nezostávajte na lokalitách, ktorým nedôverujete, naďalej postupujte rozumne. Spoločnosť Microsoft odporúča, aby všetci zákazníci chránili svoje zariadenia spustením podporovaného antivírusového programu. Zákazníci môžu využívať aj vstavanú ochranu pred vírusmi: Windows Defender pre zariadenia s Windowsom 10 alebo Microsoft Security Essentials pre zariadenia s Windowsom 7. Tieto riešenia sú kompatibilné v prípadoch, keď zákazníci nemôžu nainštalovať alebo spustiť antivírusový softvér.
Aby nedochádzalo k nepriaznivému vplyvu na zariadenia zákazníkov, aktualizácie zabezpečenia Windowsu vydané v januári alebo februári neboli ponúkané všetkým zákazníkom. Podrobnosti nájdete v článku databázy Microsoft Knowledge Base 4072699.
Intel oznámil problémy , ktoré ovplyvňujú nedávno vydané mikrokód, ktorý je určený na riešenie Spectre Variant 2 (CVE-2017-5715 - "Pobočka Cieľová injekcia"). Spoločnosť Intel konkrétne poznamenala, že tento mikrokód môže spôsobiť "vyššie než očakávané reštarty a iné nepredvídateľné správanie systému" a tiež to, že situácie, ako je táto, môžu spôsobiť "stratu údajov alebo poškodenie". Naša vlastná skúsenosť spočíva v tom, že nestabilita systému môže za určitých okolností spôsobiť stratu údajov alebo korupciu. 22. januára spoločnosť Intel odporučila, aby zákazníci prestali nasadzovať aktuálnu verziu mikrokódu na ovplyvnených procesoroch a zároveň vykonali ďalšie testovanie aktualizovaného riešenia. Chápeme, že spoločnosť Intel naďalej skúma potenciálny vplyv aktuálnej verzie mikrokódu a odporúčame zákazníkom, aby priebežne preskúmali svoje usmernenia na informovanie o svojich rozhodnutiach.
Zatiaľ čo Intel testuje, aktualizuje a nasadzuje nový mikrokód, sprístupňujeme neviazanú aktualizáciu KB 4078130, ktorá špecificky zakáže iba obmedzenie voči CVE-2017-5715 – "Branch Target Injection". Pri testovaní sa táto aktualizácia zistila, aby sa zabránilo popísanému správaniu. Úplný zoznam zariadení nájdete v pokynoch spoločnosti Intel na revíziu mikrokódov. Táto aktualizácia sa vzťahuje na Windows 7 (SP1), Windows 8.1 a všetky verzie Windowsu 10, klientske aj serverové. Ak používate ovplyvnené zariadenie, túto aktualizáciu možno použiť tak, že ju stiahnete z webovej lokality katalógu služby Microsoft Update. Použitie tejto údajovej časti špecificky zakáže iba obmedzenie pre CVE-2017-5715 – "Branch Target Injection" (Cieľová injekcia vetvy).
Od 25. januára neexistujú žiadne známe správy, ktoré by naznačovali, že tento spectre Variant 2 (CVE-2017-5715) bol použitý na útok na zákazníkov. Odporúčame, aby v prípade potreby zákazníci s Windowsom znova povolili obmedzenie rizík voči CVE-2017-5715, keď spoločnosť Intel hlási, že toto nepredvídateľné systémové správanie bolo pre vaše zariadenie vyriešené.
Nie. Aktualizácie iba zabezpečenia nie sú kumulatívne. V závislosti od verzie operačného systému, ktorú používate, musíte nainštalovať všetky vydané aktualizácie zabezpečenia, aby ste boli chránení pred týmito zraniteľnosťami. Ak napríklad používate Windows 7 pre 32-bitové systémy v ovplyvnenom procesore Intel, od januára 2018 je potrebné nainštalovať každú aktualizáciu Iba zabezpečenie. Odporúčame nainštalovať tieto aktualizácie zabezpečenia iba v poradí od vydania.
Poznámka V staršej verzii týchto najčastejších otázok sa nesprávne uvádza, že aktualizácia zabezpečenia z februára obsahovala opravy zabezpečenia vydané v januári. V skutočnosti to tak nie je.Nie. Aktualizácia zabezpečenia 4078130 bola špecifická oprava, ktorá zabraňuje nepredvídateľnému správaniu systému, problémom s výkonom a neočakávaným reštartom po inštalácii mikrokódu. Použitie februárových aktualizácií zabezpečenia v operačných systémoch Windows klienta umožňuje všetky tri obmedzenia rizík. V operačných systémoch Windows Server je potrebné povoliť obmedzenia rizík aj po vykonaní vhodného testovania. Ďalšie informácie nájdete v článku 4072698 databázy Microsoft Knowledge Base .
AMD nedávno oznámila, že začali vydávať mikrokód pre novšie procesor platformy okolo Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Ďalšie informácie nájdete v technickej dokumentácii amd security Aktualizácie and AMD: Architecture Guidelines around Indirect Branch Control. Sú k dispozícii v kanáli firmvéru OEM.
Spoločnosť Intel nedávno oznámila , že dokončila svoje overovanie a začala vydávať mikrokód pre novšie platformy procesora. Spoločnosť Microsoft sprístupňuje aktualizácie mikrokódov overené spoločnosťou Intel okolo spectre variantu 2 (CVE-2017-5715 "Branch Target Injection"). Kb 4093836 uvádza konkrétne články databázy Knowledge Base podľa verzie Windowsu. Každý konkrétny článok KB obsahuje dostupné aktualizácie mikrokódu Intel rozdelené podľa procesora.
Spoločnosť Microsoft sprístupňuje aktualizácie mikrokódov overené spoločnosťou Intel okolo spectre variantu 2 (CVE-2017-5715 "Branch Target Injection"). Ak chcú zákazníci získať najnovšie aktualizácie mikrokódov Intel prostredníctvom Windows Update, pred inováciou na aktualizáciu Windows 10 z apríla 2018 (verzia 1803) musia mať zákazníci nainštalovaný mikrokód Intel v zariadeniach s operačným systémom Windows 10.
Aktualizácia mikrokódu je k dispozícii aj priamo z katalógu aktualizácií, ak nebola nainštalovaná v zariadení pred inováciou systému. Mikrokód Intel je k dispozícii prostredníctvom Windows Update, WSUS alebo katalógu microsoft update. Ďalšie informácie a pokyny na stiahnutie nájdete v 4100347 KB.
Ďalšie informácie nájdete v týchto zdrojoch:
-
ADV180012 | Pokyny spoločnosti Microsoft na obídenie špekulatívneho obchodu pre CVE-2018-3639
-
ADV180013 | Microsoft Pokyny pre Rogue System Register Čítanie cve-2018-3640 a KB 4073065 | Sprievodný materiál pre zákazníkov zariadenia Surface
-
Blog spoločnosti Microsoft o výskume a obrane zabezpečenia spoločnosti Microsoft
Podrobnosti nájdete v častiach Odporúčané akcie a Najčastejšie otázky v ADV180012 | Pokyny spoločnosti Microsoft na špekulatívne obídenie obchodu.
Ak chcete overiť stav SSBD, bol aktualizovaný skript Get-SpeculationControlSettings PowerShell, aby sa zistili dotknuté procesory, stav aktualizácií operačného systému SSBD a stav mikrokódu procesora, ak je to možné. Ďalšie informácie a informácie o získaní skriptu prostredia PowerShell nájdete v téme KB4074629.
13. júna 2018 bola oznámená ďalšia zraniteľnosť zahŕňajúca špekulatívne spustenie bočného kanála, známe ako lenivé obnovenie stavu FP, a bola mu pridelená funkcia CVE-2018-3665. Na obnovenie protokolu FP lenivej obnovy nie sú potrebné žiadne nastavenia konfigurácie (databázy Registry).
Ďalšie informácie o tomto zraniteľnosti a odporúčaných akciách nájdete v upozornení zabezpečenia: ADV180016 | Pokyny spoločnosti Microsoft na obnovenie stavu lenivého FP
PoznámkaNa obnovenie protokolu FP lenivej obnovy nie sú potrebné žiadne nastavenia konfigurácie (databázy Registry).
Bounds Check Bypass Store (BCBS) bol zverejnený 10. júla 2018 a priradený CVE-2018-3693. Domnievame sa, že BCBS patrí do rovnakej triedy zraniteľností ako obídenie kontroly hraníc (Variant 1). V súčasnosti nevieme o žiadnych inštanciách BCBS v našom softvéri, ale pokračujeme vo výskume tejto triedy zraniteľnosti a budeme spolupracovať s partnermi v odvetví, aby sme podľa potreby uvoľnili zmiernenia rizík. Naďalej vyzývame výskumných pracovníkov, aby predložili všetky relevantné zistenia do špekulatívneho programu odmien Side Channel spoločnosti Microsoft vrátane všetkých vykorisťovateľných inštancií BCBS. Softvéroví vývojári by si mali pozrieť pokyny pre vývojárov, ktoré boli aktualizované pre BCBS v https://aka.ms/sescdevguide.
Augusta 14, 2018, L1 Terminal Fault (L1TF) bola oznámená a pridelených viac CVE. Tieto nové špekulatívne spustenie side-kanál zraniteľnosti možno použiť na čítanie obsahu pamäte cez dôveryhodné hranice, a ak je využité, môže viesť k zverejneniu informácií. Existuje viacero vektorov, pomocou ktorých útočník môže spustiť chyby v závislosti od nakonfigurovaného prostredia. L1TF ovplyvňuje procesory Intel® Core® a procesory Intel® Xeon®.
Ďalšie informácie o tomto zraniteľnosti a podrobnom zobrazení ovplyvnených scenárov vrátane prístupu spoločnosti Microsoft k zmierneniu L1TF nájdete v nasledujúcich zdrojoch:
Zákazníci Microsoft Surface: Zákazníci používajúci produkty Microsoft Surface a Surface Book musia postupovať podľa pokynov pre klienta Windows uvedených v upozornení zabezpečenia: ADV180018 | Microsoft Guidance to mitigate L1TF variant. Ďalšie informácie o ovplyvnených produktoch Surface a dostupnosti aktualizácií mikrokódov nájdete aj v článku 4073065 databázy Microsoft Knowledge Base .
Zákazníci so službou Microsoft Hololens: Microsoft HoloLens neovplyvňuje L1TF, pretože nepoužíva ovplyvnený procesor Intel.
Kroky potrebné na zakázanie Hyper-Threading sa budú líšiť od OEM po OEM, ale vo všeobecnosti sú súčasťou systému BIOS alebo nástrojov na nastavenie firmvéru a konfiguračné nástroje.
Zákazníci, ktorí používajú 64-bitové procesory ARM, by si mali so zariadením OEM overiť podporu firmvéru, pretože ochrana operačného systému ARM64, ktorá zmierňuje CVE-2017-5715 – cieľová injekcia vetvy (Spectre, Variant 2), vyžaduje, aby sa prejavila najnovšia aktualizácia firmvéru zo zariadení OEM.
Podrobnosti o tomto zraniteľnosti nájdete v Príručke zabezpečenia spoločnosti Microsoft: CVE-2019-1125 | Nedostatočné zverejnenie informácií o jadre systému Windows.
Nie sme si vedomí žiadnej inštancie tejto zraniteľnosti pri zverejňovaní informácií, ktorá by ovplyvnila našu infraštruktúru cloudových služieb.
Hneď ako sme sa dozvedeli o tomto probléme, rýchlo sme pracovali na jeho vyriešení a vydaní aktualizácie. Pevne veríme v úzke partnerstvá s výskumnými pracovníkmi a partnermi v odvetví, aby sa zákazníci bezpečnejšie, a nezverejnil podrobnosti až do utorka 6.srpna, v súlade s koordinovanými postupmi zraniteľnosti zverejňovanie.
Referencie
Spoločnosť Microsoft poskytuje kontaktné informácie tretích strán, ktoré vám pomôžu nájsť ďalšie informácie o tejto téme. Tieto kontaktné informácie môžu zmeniť bez predchádzajúceho upozornenia. Spoločnosť Microsoft nezaručuje presnosť kontaktných informácií tretích strán.