Applies ToWindows Server 2012 Windows Server 2012 R2 Windows 10 Windows 10 Education, version 1607 Windows 10 Professional version 1607 Windows 10 Enterprise, version 1607 Windows 10 Enterprise version 1607 Windows 10 Enterprise, version 1809 Windows 10 Professional Education version 1607 Windows 10 Pro Education, version 1607 Windows Server 2022 Windows 10 Home and Pro, version 21H2 Windows 10 Enterprise and Education, version 21H2 Windows 10 IoT Enterprise, version 21H2 Windows 10 Home and Pro, version 22H2 Windows 10 Enterprise Multi-Session, version 22H2 Windows 10 Enterprise and Education, version 22H2 Windows 10 IoT Enterprise, version 22H2 Windows 11 Home and Pro, version 21H2 Windows 11 Enterprise Multi-Session, version 21H2 Windows 11 Enterprise and Education, version 21H2 Windows 11 IoT Enterprise, version 21H2 Windows 11 Home and Pro, version 22H2 Windows 11 Enterprise Multi-Session, version 22H2 Windows 11 Enterprise and Education, version 22H2 Windows 11 IoT Enterprise, version 22H2 Azure Local, version 22H2 Windows 11 Home and Pro, version 23H2 Windows 11 Enterprise and Education, version 23H2 Windows 11 Enterprise Multi-Session, version 23H2 Windows 11 IoT Enterprise, version 23H2 Azure Local (formerly Azure Stack HCI) Windows Server 2022 Windows Server 2019 Windows Server 2016

Spremeni datum

Opis spremembe

9. avgust 2023

  • Odstranjena vsebina o CVE-2022-23816, ker se številka CVE ne uporablja

  • Odstranjena je podvojena tema z naslovom »Posodobitve mikro kode Intel« v razdelku »Koraki za zaščito vaših naprav s sistemom Windows«

9. april 2024

  • Dodano CVE-2022-0001 | Vbrizgavanje zgodovine veje Intel

Povzetek

V tem članku so informacije in posodobitve za nov razred silicijevih ranljivosti mikroarhiktičnih in špekulativnih izvajanje, ki vplivajo na številne sodobne procesorje in operacijske sisteme. Ponuja tudi obsežen seznam virov odjemalca in strežnika sistema Windows, s katerimi lahko zaščitite svoje naprave doma, v službi in v podjetju. To vključuje Intel, AMD in ARM. Podrobnosti o posebnih ranljivostih za te težave, ki temeljijo na silicijevih procesorjih, so na voljo na naslednjih varnostnih nasvetih in cvI:

3. januarja 2018 je Microsoft izdal svetovalne in varnostne posodobitve, povezane z novo odkritim razredom ranljivosti strojne opreme (imenovanima Spectre in Meltdown), ki vključujejo stranske kanale špekulativnega izvajanja, ki v različnih stopnjah vplivajo na procesorje AMD, ARM in Intel. Ta razred ranljivosti temelji na skupni arhitekturi mikročipi, ki je bila prvotno zasnovana za pospešiti računalnike. Več o teh ranljivostih lahko izveste na spletnem mestu Google Project Zero.

21. maja 2018 so Google Project Zero (GPZ), Microsoft in Intel razkrili dve novi ranljivosti mikročipi, ki so povezane s težavami spectre in meltdown in so znane kot obhod špekulativnega shranjevanja (SSB) in branje registra sistema Rogue. Tveganje strank zaradi obeh razkritj je nizko.

Če želite več informacij o teh ranljivostih, glejte vire, ki so navedeni v posodobitvah operacijskega sistema Windows v maju 2018, in si oglejte te varnostne svetovalce:

13. junija 2018 je bila objavljena dodatna ranljivost stranskega kanala, ki vključuje špekulativno izvajanje, znano kot obnovitev stanja Lazy FP, in dodeljena CVE-2018-3665. Če želite več informacij o tej ranljivosti in priporočenih dejanjih, glejte to varnostno svetovanje:

14. avgusta 2018 je bila objavljena napaka terminala L1 (L1TF) zaradi nove ranljivosti stranskega kanala zaradi špekulativnega izvajanja, ki ima več cvEs. Funkcija L1TF vpliva na procesorje Intel® Core® in procesorje Intel® Xeon®. Če želite več informacij o skladih L1TF in priporočenih dejanjih, glejte naš varnostni svetovalec:

Opomba: Priporočamo, da namestite vse najnovejše posodobitve iz Windows Update preden namestite posodobitve mikro kode.

14. maja 2019 je Intel objavil informacije o novem podrazredu ranljivosti stranskega kanala zaradi špekulativnega izvajanja, ki se imenujejo mikroarhiktično vzorčenje podatkov. Dodeljeni so jim bili naslednji življenjepisi:

Pomembno: Te težave bodo vplivale na druge sisteme, kot so Android, Chrome, iOS in MacOS. Priporočamo, da stranke poiščejo navodila pri svojih prodajalcih.

Microsoft je izdal posodobitve, s katerimi je ublažil te ranljivosti. Če želite pridobiti vso razpoložljivo zaščito, potrebujete posodobitve vdelane programske opreme (mikrokod) in programske opreme. To lahko vključuje mikrokod iz strojne opreme naprave. V nekaterih primerih bo namestitev teh posodobitev vplivala na učinkovitost delovanja. Prav tako smo se odzvali na varnost svojih storitev v oblaku.

Opomba: Priporočamo, da namestite vse najnovejše posodobitve iz Windows Update preden namestite posodobitve mikro kode.

Če želite več informacij o teh težavah in priporočenih dejanjih, glejte to varnostno svetovanje:

6. avgusta 2019 je Intel izdal podrobnosti o ranljivosti zaradi razkritja informacij v jedru sistema Windows. Ta ranljivost je različica ranljivosti stranskega kanala Spectre Variant 1 zaradi špekulativnega izvajanja in je bila dodeljena CVE-2019-1125.

Microsoft je 9. julija 2019 izdal varnostno posodobitev za operacijski sistem Windows, da bi ublažil to težavo. Uporabniki, ki Windows Update omogočili in uporabili varnostne posodobitve, izdane 9. julija 2019, so samodejno zaščitene. Upoštevajte, da za to ranljivost ne potrebujete posodobitve mikro kode proizvajalca naprave.

Če želite več informacij o tej ranljivosti in veljavnih posodobitvah, glejte CVE-2019-1125 | Ranljivost razkritja informacij jedra sistema Windows v Vodniku po Microsoftovih varnostnih posodobitvah.

14. junija 2022 je Intel objavil informacije o novem podrazredu ranljivosti stranskega kanala V/I (MMIO), preslikanih v V/I (MMIO), ki so navedene v svetovalnem razdelku:

Koraki za zaščito naprav s sistemom Windows

Morda boste morali posodobiti tako vdelano programsko opremo (mikrokod) kot tudi programsko opremo, da boste lahko odpravljali te ranljivosti. Za priporočena dejanja glejte Microsoftove varnostne svetovalce. To vključuje posodobitve vdelane programske opreme (mikro kode) proizvajalcev naprav in v nekaterih primerih posodobitev protivirusne programske opreme. Priporočamo, da vsak mesec namestite varnostne posodobitve ter s tem poskrbite za posodobljenost svojih naprav. 

Če želite prejemati vso razpoložljivo zaščito, sledite tem korakom in pridobite najnovejše posodobitve tako za programsko kot tudi za strojno opremo.

Opomba: Preden začnete, se prepričajte, da je protivirusna programska oprema posodobljena in združljiva. Na spletnem mestu proizvajalca protivirusne programske opreme poiščite njegove najnovejše informacije glede združljivosti.

  1. Vklopite samodejne posodobitve in poskrbite, da bo vaša naprava s sistemom Windows posodobljena.

  2. Preverite, ali je bila nameščena najnovejša Microsoftova varnostna posodobitev operacijskega sistema Windows. Če so samodejne posodobitve vklopljene, bi morale biti posodobitve samodejno dostavljene vam. Še vedno pa morate preveriti, ali so nameščene. Če želite navodila, glejte Windows Update: pogosta vprašanja

  3. Namestite posodobitve vdelane programske opreme (mikrokod), ki jih je na voljo izdelovalec naprave. Vsi uporabniki se bodo morali za prenos in namestitev posodobitve strojne opreme za določeno napravo obrnite na proizvajalca naprave. Seznam spletnih mest proizvajalca naprave najdete v razdelku »Dodatni viri«.

    Opomba: Strankam priporočamo, da namestijo najnovejše Microsoftove varnostne posodobitve operacijskega sistema Windows in tako izkoristijo razpoložljivo zaščito. Najprej je treba namestiti posodobitve protivirusne programske opreme. Nato sledijo posodobitve operacijskega sistema in vdelane programske opreme. Priporočamo, da vsak mesec namestite varnostne posodobitve ter s tem poskrbite za posodobljenost svojih naprav. 

To vpliva na mikročipo, ki jih izdelujejo Intel, AMD in ARM. To pomeni, da so potencialno ranljive vse naprave z operacijskimi sistemi Windows. To vključuje namizne računalnike, prenosnike, strežnike v oblaku in pametne telefone. To vpliva tudi na naprave z drugimi operacijskimi sistemi, kot so Android, Chrome, iOS in macOS. Strankam, ki uporabljajo te operacijske sisteme, svetujemo, da pri teh prodajalcih poiščejo pomoč.

V času objave nismo prejeli nobenih informacij, ki bi nakazujejo, da so bile te ranljivosti uporabljene za napad na stranke.

Od januarja 2018 je Microsoft izdal posodobitve za operacijske sisteme Windows ter spletne brskalnike Internet Explorer in Edge, s katerimi je ublažil te ranljivosti in pomagal zaščititi stranke. Izdali smo tudi posodobitve za varnost naših storitev v oblaku.  Še naprej tesno sodelujemo s industrijskimi partnerji, vključno z izdelovalci mikročipov, proizvajalci strojne opreme in prodajalci aplikacij, da bi uporabnike zaščitili pred to ranljivostjo. 

Priporočamo, da vedno namestite mesečne posodobitve, da bodo vaše naprave posodobljene in varne. 

Ko bodo na voljo nove ublažitve posledic, bomo posodobili to dokumentacijo, zato priporočamo, da redno preverjate to dokumentacijo. 

Posodobitve operacijskega sistema Windows v juliju 2019

6. avgusta 2019 je Intel razkril podrobnosti o varnostni ranljivosti CVE-2019-1125 | Ranljivost razkritja informacij v sistemu Windows. Varnostne posodobitve za to ranljivost so bile izdane v okviru mesečne posodobitve z julija 9. julija 2019.

Microsoft je 9. julija 2019 izdal varnostno posodobitev za operacijski sistem Windows, da bi ublažil to težavo. V torek, 6. avgusta 2019, smo dokumentiranje tega ublažitve javno objavljali v usklajenem sektorju.

Uporabniki, ki Windows Update omogočili in uporabili varnostne posodobitve, izdane 9. julija 2019, so samodejno zaščitene. Upoštevajte, da za to ranljivost ne potrebujete posodobitve mikro kode proizvajalca naprave.

Posodobitve operacijskega sistema Windows v maju 2019

14. maja 2019 je Intel objavil informacije o novem podrazredu ranljivosti stranskega kanala zaradi špekulativnega izvajanja, ki so znane kot mikroarhiktično vzorčenje podatkov, in jim dodelil naslednje cvEs:

Če želite več informacij o tej težavi, glejte spodnja navodila na podlagi svetovanja o varnosti in uporabe, ki temeljijo na scenarijih, ki so opisana v člankih sistema Windows za odjemalce in strežnike za določanje ukrepov, potrebnih za preprečevanje grožnje:

Microsoft je izdal zaščito pred novim podrazredom ranljivosti stranskega kanala zaradi špekulativnega izvajanja, imenovanih Mikroarhiktalno vzorčenje podatkov, za 64-bitne (x64) različice sistema Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Uporabite nastavitve registra, kot je opisano v člankih z navodili v KB4073119Windows Client (Windows Client) in Windows Server (KB4457951). V izdajah operacijskega sistema za odjemalca sistema Windows in v izdajah operacijskega sistema za Windows Server so te nastavitve registra privzeto omogočene.

Priporočamo, da najprej namestite vse najnovejše posodobitve iz Windows Update, preden namestite posodobitve mikro kode.

Če želite več informacij o tej težavi in priporočenih dejanjih, glejte to varnostno svetovanje: 

Intel je izdal posodobitev mikro kode za nedavne platforme CPE, ki pomaga ublažiti CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. V posodobitvi KB za Windows 14. maj 2019 4093836 članke iz zbirke znanja različice operacijskega sistema Windows.  Članek vsebuje tudi povezave do razpoložljivih posodobitev Mikro kode Intel s CPE-jem. Te posodobitve so na voljo prek Microsoftovega kataloga.

Opomba: Priporočamo, da namestite vse najnovejše posodobitve iz Windows Update preden namestite posodobitve mikro kode.

Z veseljem sporočamo, da je Retpoline privzeto omogočen v napravah s sistemom Windows 10, različica 1809 (za odjemalca in strežnik), če je omogočen Spectre Variant 2 (CVE-2017-5715). Z omogočanjem aplikacije Retpoline v najnovejši različici sistema Windows 10 s posodobitvijo z dne 14. maja 2019 (KB 4494441) pričakujemo izboljšano delovanje, zlasti pri starejših procesorjih.

Stranke morajo zagotoviti, da so v nastavitvah registra, ki so opisane v člankih z navodili v zbirki znanja Odjemalec sistema Windows in Windows Server , omogočene prejšnje zaščite operacijskega sistema pred ranljivostjo Spectre Variant 2. (V izdajah operacijskega sistema za odjemalca sistema Windows so te nastavitve registra privzeto omogočene, v izdajah operacijskega sistema za Windows Server pa so privzeto onemogočene). Če želite več informacij o »Retpoline«, glejte Omiliti Spectre različica 2 z Retpoline v sistemu Windows.

Posodobitve operacijskega sistema Windows v novembru 2018

Microsoft je izdal zaščito operacijskega sistema za obhod špekulativnega shranjevanja (CVE-2018-3639) za procesorje AMD (CPE).

Microsoft je izdal dodatne zaščite operacijskega sistema za stranke, ki uporabljajo 64-bitne procesorje ARM. Pri proizvajalcu strojne opreme naprave preverite podporo za vdelano programsko opremo, saj zaščite operacijskega sistema ARM64, ki ublažijo CVE-2018-3639, obhod špekulativnega shranjevanja, zahtevajo najnovejšo posodobitev vdelane programske opreme proizvajalca vaše naprave.

Posodobitve operacijskega sistema Windows v septembru 2018

11. septembra 2018 je Komisija Microsoft je izdal windows Server 2008 SP2 – mesečni paket posodobitev 4458010 in samo varnostni 4457984 za Windows Server 2008, ki zagotavljajo zaščito pred novo ranljivostjo stranskega kanala zaradi špekulativnega izvajanja, znano kot napaka terminala L1 (L1TF), ki vpliva na procesorje Intel® Core® in Intel® Xeon® (CVE-2018-3620 in CVE-2018-3646). 

Ta izdaja bo dokončala dodatne zaščite za vse podprte različice sistema Windows prek Windows Update. Če želite več informacij in seznam izdelkov, na katere to vpliva, glejte ADV180018 | Microsoftova navodila za ublažitev različice L1TF.

Opomba: Servisni paket SP2 za Windows Server 2008 zdaj sledi modelu standardnega paketa posodobitev za servisiranje sistema Windows. Če želite več informacij o teh spremembah, glejte naš spletni dnevnik spremembe servisiranja za Windows Server 2008 s servisnim paketom SP2. Stranke, ki uporabljajo Windows Server 2008, naj namestijo 4458010 ali 4457984 poleg varnostnih posodobitev 4341832, ki je bila izdana 14. avgusta 2018. Stranke morajo tudi zagotoviti, da so v nastavitvah registra, ki so opisane v člankih z navodili v zbirki znanja Odjemalec sistema Windows in Windows Server , omogočene prejšnje zaščite operacijskega sistema pred ranljivostmi Spectre Variant 2 in Meltdown. V izdajah operacijskega sistema za odjemalca sistema Windows so te nastavitve registra privzeto omogočene, v izdajah operacijskega sistema za Windows Server pa so privzeto onemogočene.

Microsoft je izdal dodatne zaščite operacijskega sistema za stranke, ki uporabljajo 64-bitne procesorje ARM. Pri proizvajalcu strojne opreme naprave preverite, ali je na voljo podpora za vdelano programsko opremo, saj zaščite operacijskega sistema ARM64, ki ublažijo CVE-2017-5715 – ciljno injiciranje veje (Spectre, Variant 2) zahtevajo, da veljati najnovejša posodobitev vdelane programske opreme proizvajalca strojne opreme v vaši napravi.

Posodobitve operacijskega sistema Windows v avgustu 2018

14. avgusta 2018 je bila napovedana terminalska napaka L1 (L1TF) in dodeljena več cvEs. Te nove ranljivosti stranskega kanala zaradi špekulativnega izvajanja je mogoče uporabiti za branje vsebine pomnilnika prek zaupanja vredne meje in lahko, če so izkoriščane, privede do razkritja informacij. Obstaja več vektorjev, s katerimi lahko napadalec sproži ranljivosti, odvisno od konfiguriranega okolja. Funkcija L1TF vpliva na procesorje Intel® Core® in procesorje Intel® Xeon®.

Če želite več informacij o skladih L1TF in podrobnem prikazu scenarijev, na katere to vpliva, vključno z Microsoftovim pristopom k omenjuje L1TF, glejte te vire:

Posodobitve operacijskega sistema Windows v juliju 2018

Z veseljem objavljamo, da je Microsoft dokončal izdajanje dodatne zaščite za vse podprte različice sistema Windows prek Windows Update za spodnje ranljivosti:

  • Spectre Variant 2 za procesorje AMD

  • Obhod špekulativnega shranjevanja za procesorje Intel

13. junija 2018 je bila objavljena dodatna ranljivost stranskega kanala, ki vključuje špekulativno izvajanje, znano kot obnovitev stanja Lazy FP, in dodeljena CVE-2018-3665. Za obnovitev FP lenih podatkov ni potrebna konfiguracija (register).

Če želite več informacij o tej ranljivosti, izdelkih, na katere to vpliva, in priporočenih dejanjih, glejte ta članek s svetovanjem o varnosti:

12. junija je Microsoft napovedal podporo za obhod špekulativnega shranjevanja (SSBD) v procesorjih Intel. Posodobitve za delovanje zahtevajo ustrezno vdelano programsko opremo (mikrokod) in posodobitve registra. Če želite informacije o posodobitvah in korakih, ki jih morate uporabiti za vklop SSBD, glejte razdelek »Priporočena dejanja« v ADV180012 | Microsoftova navodila za obhod špekulativnega shranjevanja.

Posodobitve operacijskega sistema Windows v maju 2018

Januarja 2018 je Microsoft izdal informacije o novo odkritem razredu ranljivosti strojne opreme (imenovanima Spectre in Meltdown), ki vključujejo stranske kanale špekulativnega izvajanja, ki v različnih stopnjah vplivajo na AMD, ARM in Intelove cpe. 21. maja 2018 so Google Project Zero (GPZ), Microsoft in Intel razkrili dve novi ranljivosti mikročipi, ki so povezane s težavami spectre in meltdown, znanimi kot obhod špekulativnega shranjevanja (SSB) in branje registra sistema Rogue.

Tveganje strank zaradi obeh razkritj je nizko.

Če želite več informacij o teh ranljivostih, glejte te vire:

Velja za: Windows 10, različica 1607, Windows Server 2016, Windows Server 2016 (osnovna namestitev strežnika) in Windows Server, različica 1709 (namestitev Server Core)

Zagotavljali smo podporo za nadzor uporabe napovedne ovire za posredno podvejo (IBPB) v nekaterih procesorjih AMD (CPE-jih) za omiliti CVE-2017-5715, Spectre Variant 2, ko preklopite iz uporabniškega konteksta v kontekst jedra. (Če želite več informacij, glejte Navodila za arhitekturo AMD glede nadzora posredne podveje in pravilnika o varnosti AMD Posodobitve).

Stranke, ki uporabljajo Windows 10, različico 1607, Windows Server 2016, Windows Server 2016 (namestitev Server Core) in Windows Server, različica 1709 (namestitev Jedra strežnika), morajo namestiti varnostno posodobitev 4103723 za dodatne ublažitve posledic procesorjev AMD za CVE-2017-5715, Branch Target Injection. Ta posodobitev je na voljo tudi prek Windows Update.

Sledite navodilom v posodobitvi KB 4073119 za odjemalca sistema Windows (IT Pro) in posodobitvi KB 4072698 za Windows Server, da omogočite uporabo IBPB v nekaterih procesorjih AMD (CPE-jih) za omiliti Spectre Variant 2, ko preklopite iz uporabniškega konteksta v kontekst jedra.

Microsoft bo na voljo posodobitvah mikro kode, preverjene s strani Intela, glede na Spectre Variant 2 (CVE-2017-5715 »Branch Target Injection«). Če želijo stranke najnovejše posodobitve mikro kode Intel prenesti prek sistema Windows Update, morajo imeti pred nadgradnjo na posodobitev sistema Windows 10 v aprilu 2018 (različica 1803) nameščeno Intelov mikrokod v naprave s sistemom Windows 10.

Posodobitev mikro kode je na voljo tudi neposredno iz Kataloga, če ni bila nameščena v napravi pred nadgradnjo operacijskega sistema. Mikrokod Intel je na voljo Windows Update, WSUS ali Katalog Microsoft Update. Če želite več informacij in navodila za prenos, glejte posodobitev KB 4100347.

Ko bodo na voljo Microsoftu, bomo ponudili dodatne posodobitve mikrokod družbe Intel za operacijski sistem Windows.

Velja za: Windows 10, različica 1709

Zagotavljali smo podporo za nadzor uporabe napovedne ovire za posredno podvejo (IBPB) v nekaterih procesorjih AMD (CPE-jih) za omiliti CVE-2017-5715, Spectre Variant 2, ko preklopite iz uporabniškega konteksta v kontekst jedra. (Če želite več informacij, glejte Navodila za arhitekturo AMD glede nadzora posredne podveje in pravilnika o varnosti AMD Posodobitve).Sledite navodilom v posodobitvi KB 4073119 za odjemalca sistema Windows (IT Pro), da omogočite uporabo IBPB v nekaterih procesorjih AMD (CPE-jih) za omiliti Spectre Variant 2, ko preklopite iz uporabniškega konteksta v kontekst jedra.

Microsoft bo na voljo posodobitve mikro kode, preverjene s strani Intela, glede na Spectre Variant 2 (CVE-2017-5715 »Branch Target Injection«). KB4093836 članke iz zbirke znanja glede na različico sistema Windows. Vsak kb vsebuje najnovejše posodobitve intel mikro kode, ki so na voljo s CPE.

Ko bodo na voljo Microsoftu, bomo ponudili dodatne posodobitve mikrokod družbe Intel za operacijski sistem Windows. 

Posodobitve za operacijski sistem Windows v marcu 2018 in novejše

23. marec, TechNet Security Research & Defense: KVA Shadow: Omiliti Meltdown v sistemu Windows

14. marec, Varnostni tehnični center: Pogoji programa bounty stranskega kanala špekulativnega izvajanja

13. marec, blog: marec 2018 Varnost sistema Windows posodobitev - razširitev naših prizadevanj za zaščito strank

1. marec: spletni dnevnik: Posodobitev varnostnih posodobitev za Spectre in Meltdown za naprave s sistemom Windows

Od marca 2018 je Microsoft izdal varnostne posodobitve za ublažitev posledic za naprave, v katerih se izvajajo naslednji operacijski sistemi Windows x86. Stranke morajo namestiti najnovejše varnostne posodobitve operacijskega sistema Windows, da izkoristijo razpoložljive zaščite. Trudimo se zagotoviti zaščito za druge podprte različice sistema Windows, vendar trenutno nimajo razporeda izdaj. Tukaj preverite, ali so na voljo posodobitve. Če želite več informacij, glejte povezan članek v zbirki znanja za tehnične podrobnosti in razdelek »Pogosta vprašanja«.

Izdana je posodobitev izdelka

Stanje

Datum izdaje

Kanal izdaje

KB

Windows 8.1 & Windows Server 2012 R2 – samo varnostna posodobitev

Izdano

13. mar.

WSUS, Katalog,

KB4088879

Windows 7 SP1 & Windows Server 2008 R2 s servisnim paketom SP1 – samo varnostna posodobitev

Izdano

13. mar.

WSUS, Katalog

KB4088878

Windows Server 2012 – samo varnostna posodobitev Windows 8 vdelana standardna izdaja – samo varnostna posodobitev

Izdano

13. mar.

WSUS, Katalog

KB4088877

Windows 8.1 & Windows Server 2012 R2 – mesečni paket posodobitev

Izdano

13. mar.

WU, WSUS, Katalog

KB4088876

Windows 7 SP1 & Windows Server 2008 R2 s servisnim paketom SP1 – mesečni paket posodobitev

Izdano

13. mar.

WU, WSUS, Katalog

KB4088875

Windows Server 2012 – mesečni paket posodobitev Windows 8 embedded Standard Edition – mesečni paket posodobitev

Izdano

13. mar.

WU, WSUS, Katalog

KB4088877

Windows Server 2008 s servisnim paketom SP2

Izdano

13. mar.

WU, WSUS, Katalog

KB4090450

Od marca 2018 je Microsoft izdal varnostne posodobitve za ublažitev posledic za naprave, v katerih se izvajajo naslednji operacijski sistemi Windows x64. Stranke morajo namestiti najnovejše varnostne posodobitve operacijskega sistema Windows, da izkoristijo razpoložljive zaščite. Trudimo se zagotoviti zaščito za druge podprte različice sistema Windows, vendar trenutno nimajo razporeda izdaj. Tukaj preverite, ali so na voljo posodobitve. Če želite več informacij, si oglejte zbirka znanja informacije o tehničnih podrobnostih in razdelek »Pogosta vprašanja«.

Izdana je posodobitev izdelka

Stanje

Datum izdaje

Kanal izdaje

KB

Windows Server 2012 – samo varnostna posodobitev Windows 8 vdelana standardna izdaja – samo varnostna posodobitev

Izdano

13. mar.

WSUS, Katalog

KB4088877

Windows Server 2012 – mesečni paket posodobitev Windows 8 embedded Standard Edition – mesečni paket posodobitev

Izdano

13. mar.

WU, WSUS, Katalog

KB4088877

Windows Server 2008 s servisnim paketom SP2

Izdano

13. mar.

WU, WSUS, Katalog

KB4090450

Ta posodobitev odpravlja ranljivost pri prisvojitvijo pravic v jedru sistema Windows v 64-bitni (x64) različici sistema Windows. Ta ranljivost je dokumentirana v CVE-2018-1038. Uporabniki morajo to posodobitev uporabiti za polno zaščito pred to ranljivostjo, če so bili njihovi računalniki posodobljeni januarja 2018 ali po tem z uporabo katere koli posodobitve, navedene v tem članku iz zbirke znanja:

Posodobitev jedra sistema Windows za CVE-2018-1038

Ta varnostna posodobitev odpravlja več prijavljenih ranljivosti v brskalniku Internet Explorer. Če želite izvedeti več o teh ranljivostih, glejte Microsoftove pogoste ranljivosti in izpostavljenosti

Izdana je posodobitev izdelka

Stanje

Datum izdaje

Kanal izdaje

KB

Internet Explorer 10 – zbirna posodobitev za Windows 8 Embedded Standard Edition

Izdano

13. mar.

WU, WSUS, Katalog

KB4089187

Posodobitve operacijskega sistema Windows iz februarja 2018

Spletni dnevnik: Storitev Windows Analytics zdaj pomaga oceniti zaščite pred grožnjama Spectre in Meltdown

Naslednje varnostne posodobitve zagotavljajo dodatno zaščito za naprave z nameščenimi 32-bitni (x86) operacijskimi sistemi Windows. Microsoft strankam priporoča, da posodobitev namestijo takoj, ko je na voljo. Še naprej si prizadevamo zagotoviti zaščito za druge podprte različice sistema Windows, vendar trenutno še nimate razporeda izdaj. Tukaj preverite, ali so na voljo posodobitve. 

Opomba Windows 10 mesečne varnostne posodobitve so zbirne mesečno in bodo samodejno prenesene in nameščene iz Windows Update. Če ste namestili starejše posodobitve, bodo v vašo napravo preneseni in nameščeni le novi deli. Če želite več informacij, glejte povezan članek v zbirki znanja za tehnične podrobnosti in razdelek »Pogosta vprašanja«.

Izdana je posodobitev izdelka

Stanje

Datum izdaje

Kanal izdaje

KB

Windows 10 – različica 1709/Windows Server 2016 (1709)/IoT Core – posodobitev kakovosti

Izdano

31. jan.

WU, Katalog

KB4058258

Windows Server 2016 (1709) – vsebnik strežnika

Izdano

13. februar

Docker Hub

KB4074588

Windows 10 – različica 1703/IoT Core – posodobitev kakovosti

Izdano

13. februar

WU, WSUS, Katalog

KB4074592

Windows 10 – različica 1607/Windows Server 2016 /IoT Core – posodobitev kakovosti

Izdano

13. februar

WU, WSUS, Katalog

KB4074590

Windows 10 HoloLens – Operacijski sistem in vdelana programska Posodobitve

Izdano

13. februar

WU, Katalog

KB4074590

Windows Server 2016 (1607) – slike vsebnika

Izdano

13. februar

Docker Hub

KB4074590

Windows 10 – različica 1511/IoT Core – posodobitev kakovosti

Izdano

13. februar

WU, WSUS, Katalog

KB4074591

Windows 10 – različica RTM – posodobitev kakovosti

Izdano

13. februar

WU, WSUS, Katalog

KB4074596

Posodobitve operacijskega sistema Windows v januarju 2018

Spletni dnevnik: Razumevanje vpliva na učinkovitost delovanja ublažitev posledic za Spectre in Meltdown v sistemih Windows

Od januarja 2018 je Microsoft izdal varnostne posodobitve za ublažitev posledic za naprave, v katerih se izvajajo naslednji operacijski sistemi Windows x64. Stranke morajo namestiti najnovejše varnostne posodobitve operacijskega sistema Windows, da izkoristijo razpoložljive zaščite. Trudimo se zagotoviti zaščito za druge podprte različice sistema Windows, vendar trenutno nimajo razporeda izdaj. Tukaj preverite, ali so na voljo posodobitve. Če želite več informacij, glejte povezan članek v zbirki znanja za tehnične podrobnosti in razdelek »Pogosta vprašanja«.

Izdana je posodobitev izdelka

Stanje

Datum izdaje

Kanal izdaje

KB

Windows 10 – različica 1709/Windows Server 2016 (1709)/IoT Core – posodobitev kakovosti

Izdano

3. jan.

WU, WSUS, Katalog, Azure Image Gallery

KB4056892

Windows Server 2016 (1709) – vsebnik strežnika

Izdano

5. jan.

Docker Hub

KB4056892

Windows 10 – različica 1703/IoT Core – posodobitev kakovosti

Izdano

3. jan.

WU, WSUS, Katalog

KB4056891

Windows 10 – različica 1607/Windows Server 2016/IoT Core – posodobitev kakovosti

Izdano

3. jan.

WU, WSUS, Katalog

KB4056890

Windows Server 2016 (1607) – slike vsebnika

Izdano

4. jan.

Docker Hub

KB4056890

Windows 10 – različica 1511/IoT Core – posodobitev kakovosti

Izdano

3. jan.

WU, WSUS, Katalog

KB4056888

Windows 10 – različica RTM – posodobitev kakovosti

Izdano

3. jan.

WU, WSUS, Katalog

KB4056893

Windows 10 Mobile (graditev sistema 15254.192) – ARM

Izdano

5. jan.

WU, Katalog

KB4073117

Windows 10 Mobile (graditev sistema 15063.850)

Izdano

5. jan.

WU, Katalog

KB4056891

Windows 10 Mobile (graditev sistema 14393.2007)

Izdano

5. jan.

WU, Katalog

KB4056890

Windows 10 HoloLens

Izdano

5. jan.

WU, Katalog

KB4056890

Windows 8.1/Windows Server 2012 R2 – samo varnostna posodobitev

Izdano

3. jan.

WSUS, Katalog

KB4056898

Windows Embedded 8.1 Industry Enterprise

Izdano

3. jan.

WSUS, Katalog

KB4056898

Windows Embedded 8.1 Industry Pro

Izdano

3. jan.

WSUS, Katalog

KB4056898

Windows Embedded 8.1 Pro

Izdano

3. jan.

WSUS, Katalog

KB4056898

Windows 8.1/Windows Server 2012 R2 – mesečni paket posodobitev

Izdano

8. jan.

WU, WSUS, Katalog

KB4056895

Windows Embedded 8.1 Industry Enterprise

Izdano

8. jan.

WU, WSUS, Katalog

KB4056895

Windows Embedded 8.1 Industry Pro

Izdano

8. jan.

WU, WSUS, Katalog

KB4056895

Windows Embedded 8.1 Pro

Izdano

8. jan.

WU, WSUS, Katalog

KB4056895

Windows Server 2012 – samo varnostna posodobitev

Izdano

WSUS, Katalog

Windows Server 2008 s servisnim paketom SP2

Izdano

WU, WSUS, Katalog

Windows Server 2012 – mesečni paket posodobitev

Izdano

WU, WSUS, Katalog

Windows Embedded 8 Standard

Izdano

WU, WSUS, Katalog

Windows 7 SP1/Windows Server 2008 R2 SP1 – samo varnostna posodobitev

Izdano

3. jan.

WSUS, Katalog

KB4056897

Windows Embedded Standard 7

Izdano

3. jan.

WSUS, Katalog

KB4056897

Windows Embedded POSReady 7

Izdano

3. jan.

WSUS, Katalog

KB4056897

Windows Thin PC

Izdano

3. jan.

WSUS, Katalog

KB4056897

Windows 7 SP1/Windows Server 2008 R2 SP1 – mesečni paket posodobitev

Izdano

4. jan.

WU, WSUS, Katalog

KB4056894

Windows Embedded Standard 7

Izdano

4. jan.

WU, WSUS, Katalog

KB4056894

Windows Embedded POSReady 7

Izdano

4. jan.

WU, WSUS, Katalog

KB4056894

Windows Thin PC

Izdano

4. jan.

WU, WSUS, Katalog

KB4056894

Internet Explorer 11 – zbirna posodobitev za Windows 7 SP1 in Windows 8.1

Izdano

3. jan.

WU, WSUS, Katalog

KB4056568

9. aprila 2024 smo objavili CVE-2022-0001 | Vbrizgavanje zgodovine veje Intel , ki opisuje injekcijo zgodovine veje (BHI), ki je posebna oblika BTI v načinu. Do te ranljivosti pride, ko lahko napadalec upravlja zgodovino vej pred prehodom iz načina nadzornika uporabnika v način nadzornika (ali iz načina brez korena VMX/gost v korenski način). Ta zloraba lahko povzroči, da napovednik posredne veje izbere določen vnos napovednika za posredno vejo, pripomoček za razkritje pri napovedanem cilju pa se prehodno izvede. To je morda mogoče, ker lahko ustrezna zgodovina vej vsebuje veje, ki so bile posnete v prejšnjih varnostnih kontekstih, in zlasti druge načine predvidevanja.

Sledite navodilom v članku KB4073119 za odjemalca sistema Windows (IT Pro) in navodilih za KB4072698 za Windows Server, da zmanjšate ranljivosti, opisane v CVE-2022-0001 | Vbrizgavanje zgodovine veje Intel.

Viri in tehnična navodila

Glede na vašo vlogo si lahko v spodnjih člankih podpore pomagate prepoznati in ublažiti odjemalca in strežniška okolja, na katere vplivata ranljivosti Spectre in Meltdown.

Napaka terminala Microsoft Security Advisory za L1 (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 in CVE-2018-3646

Varnostne raziskave in obramba: analiza in ublažitev obhoda špekulativnega shranjevanja (CVE-2018-3639)

Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639

Microsoft Security Advisory za Rogue System Register Read | Vodnik po varnostnih posodobitvah za Surface: MSRC ADV180013in CVE-2018-3640

Varnostne raziskave in obramba: analiza in ublažitev obhoda špekulativnega shranjevanja (CVE-2018-3639)

TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown v sistemu Windows

Security Tech Center: Speculative Execution Side Channel Bounty Program Terms

Spletni dnevnik o Microsoftovi izkušnji: posodobitev varnostnih posodobitev za Spectre in Meltdown za naprave s sistemom Windows

Spletni dnevnik za Windows za podjetja: Storitev Windows Analytics zdaj pomaga oceniti zaščite pred grožnjama Spectre in Meltdown

Spletni dnevnik Microsoft Secure: Razumevanje vpliva ublažitev posledic za Spectre in Meltdown na učinkovitost delovanja v sistemih Windows

Spletni dnevnik za razvijalce brskalnika Edge: omiliti napade stranskega kanala zaradi špekulativnega izvajanja v brskalnikih Microsoft Edge in Internet Explorer

Spletni dnevnik Azure: Zaščita uporabnikov storitve Azure pred ranljivostjo CPE-ja

SCCM navodila: Dodatna navodila za preprečevanje ranljivosti stranskega kanala zaradi špekulativnega izvajanja

Microsoftova svetovanje:

Intel: Security Advisory

ARM: Security Advisory

AMD: Security Advisory

NVIDIA: Security Advisory

Navodila za uporabnike: Zaščitite svojo napravo pred varnostnimi ranljivostmi, povezanimi z mikročipi

Navodila za protivirusno zaščito: varnostne posodobitve sistema Windows, izdane 3. januarja 2018, in protivirusna programska oprema

Navodila za blokado varnostnih posodobitev operacijskega sistema Windows za AMD: KB4073707: blokada varnostnih posodobitev operacijskega sistema Windows za nekatere naprave s procesorjem AMD

Posodobitev za onemogočanje ublažitve posledic Spectre različica 2: KB4078130: Intel je zaznal težave s ponovnim zagonom z mikrokod v nekaterih starejših procesorjih 

Navodila za Surface: Navodila za Surface za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja

Preverjanje stanja ublažitev stranskega kanala zaradi špekulativnega izvajanja: razumevanje Get-SpeculationControlSettings izhoda skripta PowerShell

Navodila za strokovnjake za IT: Navodila za odjemalca sistema Windows za strokovnjake za IT za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja

Navodila za strežnike: Navodila za windows Server za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja

Navodila za strežnik za napako terminala L1: Navodila za Windows Server za zaščito pred napako terminala L1

Navodila za razvijalce:Navodila za razvijalce za obhod špekulativnega shranjevanja 

Navodila za strežniški Hyper-V

Azure KB: KB4073235: Microsoftove zaščite v oblaku pred ranljivostmi zaradi špekulativnega Side-Channel izvajanje

Navodila za Azure Stack: KB4073418: Navodila za Azure Stack za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja

Zanesljivost Azure: Portal za zanesljivost storitve Azure

SQL Server navodila: KB4073225: SQL Server Navodila za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja

Povezave do proizvajalcev strojne opreme in strežniških naprav za posodobitve za zaščito pred ranljivostmi Spectre in Meltdown

Za odpravljanje teh ranljivosti morate posodobiti strojno in programsko opremo. Uporabite spodnje povezave in pri proizvajalcu naprave preverite, ali so na voljo ustrezne posodobitve vdelane programske opreme (mikrokod).

Na spodnjih povezavah lahko pri proizvajalcu naprave preverite, ali so na voljo posodobitve vdelane programske opreme (mikrokod). Za vso razpoložljivo zaščito boste morali namestiti posodobitve operacijskega sistema in vdelane programske opreme (mikrokod).

Proizvajalci strojne opreme

Povezava do razpoložljive mikrokode

Acer

Meltdown in Varnostne ranljivosti Spectre

Asus

Posodobitev ASUS o špekulativnem izvajanju in posredni veji Metode analize stranskega kanala za napovedovanje

Dell

Meltdown in Spectre Vulnerabilities

Epson

Ranljivosti CPE-ja (napadi stranske kanale)

Fujitsu

Strojna oprema CPE, ranljiva za napade stranske kanale (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HP

KOMUNIKACIJA S PODPORO – VARNOSTNI BILTEN

Lenovo

Branje prednostnega pomnilnika s stranskim kanalom

LG

Pridobite pomoč za & podporo

NEC

O odzivu na ranljivost procesorja (zlom, spektro) v naših izdelkih

Panasonic

Varnostne informacije o ranljivosti zaradi špekulativnega izvajanja in metode analize stranskega kanala predvidevanja posredne podveje

Samsung

Obvestilo o posodobitvi programske opreme Intel CPUs

Surface

Navodila za Surface za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja

Toshiba

Intel, AMD & Ranljivosti zaradi Microsoftovega predvidevanja špekulativnega izvajanja in posredne podveje (2017)

Vaio

Podpora za ranljivost pri analizi stranske kanale

Proizvajalci strežniške strojne opreme

Povezava do razpoložljive mikrokode

Dell

Meltdown in Spectre Vulnerabilities

Fujitsu

Strojna oprema CPE, ranljiva za napade stranske kanale (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HPE

Hewlett Packard Enterprise Product Security Vulnerability Alerts

Huawei

Security Notice - Statement on the Media Disclosure of the Security Vulnerabilities in the Intel CPU Architecture Design

Lenovo

Branje prednostnega pomnilnika s stranskim kanalom

Pogosta vprašanja

Pri proizvajalcu naprave boste morali preveriti, ali so na voljo posodobitve vdelane programske opreme (mikrokod). Če proizvajalec naprave ni naveden v tabeli, se obrnite neposredno na proizvajalca strojne opreme.

Posodobitve za naprave Microsoft Surface so strankam na voljo prek Windows Update. Če si želite ogledati seznam posodobitev vdelane programske opreme (mikrokod) naprave Surface, ki so na voljo, glejte posodobitev KB 4073065.

Če vaša naprava ni Microsoftova, uporabite posodobitve vdelane programske opreme proizvajalca naprave. Za več informacij se obrnitena proizvajalca naprave.

Odpravljanje ranljivosti strojne opreme s posodobitvijo programske opreme predstavlja pomembne izzive in ublažitve posledic za starejše operacijske sisteme in lahko zahteva obsežne arhitekturne spremembe. Še naprej se trudimo s proizvajalci mikročir, na katere to vpliva, da raziščemo najboljši način za zagotavljanje ublažitev posledic. Ta posodobitev bo morda na voljo v prihodnji posodobitvi. Zamenjava starejših naprav, v katerih so nameščeni ti starejši operacijski sistemi, in posodabljanje protivirusne programske opreme bi morala upoštevati preostalo tveganje.

Opombe: 

  • Izdelki, ki so trenutno zunaj osnovne in razširjene podpore, teh sistemskih posodobitev ne bodo prejeli. Priporočamo, da stranke posodobijo na podprto sistemsko različico. 

  • Napadi stranskega kanala zaradi špekulativnega izvajanja izkoriščajo delovanje CPE-ja in njihovo delovanje. Proizvajalci CPE morajo najprej določiti, kateri procesorji so lahko ogroženi, nato pa o tem obvestiti Microsoft. V mnogih primerih bodo za zagotavljanje celovitejše zaščite strankam potrebne tudi ustrezne posodobitve operacijskega sistema. Priporočamo, da prodajalci ce sistema Windows, ki se zavedajo varnosti, delajo s proizvajalcem mikročipi ter tako razumejo ranljivosti in ustrezne ublažitve posledic.

  • Za te platforme ne bomo izdajali posodobitev:

    • operacijski sistemi Windows, za katere podpora trenutno ni na voljo oz. ki bodo ukinjeni leta 2018

    • Sistemi, ki temeljijo na sistemu Windows XP, vključno s sistemoma WES 2009 in POSReady 2009

Čeprav to vpliva na sisteme, ki temeljijo na sistemu Windows XP, Microsoft zanje ne bo izdal posodobitve, saj bi obsežne spremembe arhitekture, ki bi jih bilo treba izvesti, ogrozile stabilnost sistema in povzročile težave z združljivostjo aplikacij. Priporočamo, da uporabniki, ki jih skrbi varnost, izvedejo nadgradnjo na novejši podprt sistem in ostanejo v koraku s spreminjajočim se stanjem na področju varnostnih groženj, hkrati pa izkoristijo odpornejše načine zaščite, ki jih zagotavljajo novejši operacijski sistemi.

Posodobitve za Windows 10 holoLens so strankam naprave HoloLens na voljo prek Windows Update.

Po uporabi posodobitvesistema Windows iz februarja 2018 Varnost sistema Windows holoLens strankam ni treba izvesti nobenega dodatnega dejanja za posodobitev vdelane programske opreme naprave. Te ublažitve posledic bodo vključene tudi v vse prihodnje izdaje Windows 10 za HoloLens.

Za več informacij se obrnite na proizvajalca strojne opreme.

Če želite, da bo vaša naprava v celoti zaščitena, namestite najnovejše varnostne posodobitve operacijskega sistema Windows za svojo napravo in ustrezne posodobitve vdelane programske opreme (mikrokod) proizvajalca naprave. Te posodobitve bi morale biti na voljo na spletnem mestu proizvajalca vaše naprave. Najprej je treba namestiti posodobitve protivirusne programske opreme. Posodobitve operacijskega sistema in vdelane programske opreme je mogoče namestiti v poljubnem vrstnem redu.

Za odpravljanje te ranljivosti boste morali posodobiti tako strojno opremo kot tudi programsko opremo. Za celovitejšo zaščito boste morali namestiti tudi ustrezne posodobitve vdelane programske opreme (mikrokod) proizvajalca vaše naprave. Priporočamo, da vsak mesec namestite varnostne posodobitve ter s tem poskrbite za posodobljenost svojih naprav.

V vsaki Windows 10 posodobitev funkcij najnovejšo varnostno tehnologijo gradimo globoko v operacijski sistem in zagotavljamo funkcije za obrambo v globini, ki celotnim razredom zlonamerne programske opreme preprečujejo, da bi vplivali na vašo napravo. Izdaje posodobitev funkcij so predvidene dvakrat letno. Z vsako mesečno posodobitvijo kakovosti dodamo še eno raven varnosti, ki spremlja nastajajoče in spreminjajoče se trende na področju zlonamerne programske opreme, tako da so posodobljeni sistemi v obraz spreminjajočih in razvijajočih se groženj varnejši.

Microsoft je prek sistema Windows 10, Windows 8.1 in Windows 7 s servisnim paketom SP1 dvignil preverjanje združljivosti AV za varnostne posodobitve sistema Windows Windows Update. Priporočila:

  • Poskrbite, da bodo vaše naprave posodobljene, tako da boste namestili najnovejše varnostne posodobitve od Microsofta in proizvajalca strojne opreme. Če želite več informacij o tem, kako ohranjati posodobljeno napravo, glejte temo Windows Update: pogosta vprašanja.

  • Še naprej bodite razumno previdni, ko obiščete spletna mesta neznanega izvora in ne ostanete na spletnih mestih, ki jim ne zaupate. Microsoft priporoča, da vsi uporabniki zaščitijo svoje naprave s podprtim protivirusnim programom. Uporabniki lahko izkoristijo tudi vgrajeno protivirusno zaščito: Windows Defender za naprave s sistemom Windows 10 ali Microsoft Security Essentials za naprave s sistemom Windows 7. Te rešitve so združljive v primerih, ko uporabniki ne morejo namestiti ali zagnati protivirusne programske opreme.

Da ne bi negativno vplivali na naprave strank, varnostne posodobitve sistema Windows, izdane januarja ali februarja, niso bile ponujene vsem uporabnikom. Če želite več informacij, glejte članek v Microsoftovi zbirki 4072699

Intel je prijavil težave, ki vplivajo na nedavno izdano mikrokod, ki je namenjena za odpravljanje težave Spectre Variant 2 (CVE-2017-5715 – »Branch Target Injection«). Intel je opazil, da ta mikrokod lahko povzroči »višje ponovne zagone od pričakovanega« in druga nepredvidljiva sistemska delovanja«, prav tako pa lahko takšne situacije povzročijo »izgubo ali poškodbo podatkov«.  Naša izkušnja je, da lahko nestabilnosti sistema v nekaterih okoliščinah povzroči izgubo ali poškodbo podatkov. 22. januarja je Intel strankam priporočil, naj prenehajo uvajati trenutno različico mikrokod v prizadetih procesorjih, medtem ko izvajajo dodatno preskušanje posodobljene rešitve. Zavedamo se, da Intel še naprej preiskuje potencialni vpliv trenutne različice mikrokod, zato spodbujamo stranke, da redno pregledujejo svoja navodila in tako obveščajo svoje odločitve.

Medtem ko Intel testira, posodablja in uvaja novo mikrokod, smo omogočili posodobitev OOB (out-of-band), KB 4078130, ki posebej onemogoča samo ublažitev posledic CVE-2017-5715 – "Branch Target Injection." Med preskušanjem smo našli to posodobitev, ki preprečuje opis delovanja. Za celoten seznam naprav glejte Intelov pregled mikrokod. Ta posodobitev pokriva Windows 7 (SP1), Windows 8.1 in vse različice sistema Windows 10, tako odjemalske kot tudi strežniške. Če uporabljate prizadeto napravo, lahko to posodobitev namestite tako, da jo prenesete s spletnega mesta Katalog Microsoft Update. Uporaba te koristne vsebine posebej onemogoča samo ublažitev CVE-2017-5715 – "Branch Target Injection." 

Od 25. januarja ni znanih poročil, ki bi nakazujejo, da je bil ta Spectre Variant 2 (CVE-2017-5715) uporabljen za napad na stranke. Priporočamo, da uporabniki sistema Windows po potrebi znova omogočijo ublažitev posledic CVE-2017-5715, ko Intel poroča, da je bilo to nepredvidljivo delovanje sistema za vašo napravo odpravljeno.

Ne. Samo varnostne posodobitve niso zbirne. Odvisno od različice operacijskega sistema, ki jo uporabljate, morate namestiti vse izdane samo varnostne posodobitve, ki bodo zaščitene pred temi ranljivostmi. Če na primer uporabljate Windows 7 za 32-bitne sisteme v prizadetem procesorju Intel, morate namestiti vsako samo varnostno posodobitev z januarjem 2018. Priporočamo, da te samo varnostne posodobitve namestite v vrstnem redu izdaje.  Opomba V prejšnji različici teh pogostih vprašanj je bilo nepravilno navedeno, da je februarska samo varnostna posodobitev vključevala varnostne popravke, izdane januarja. Pravzaprav ne.

Ne. Varnostna posodobitev 4078130 je bil poseben popravek za preprečevanje nepredvidljivega delovanja sistema, težav z učinkovitostjo delovanja in nepričakovanih vnovičnih zagonov po namestitvi mikro kode. Uporaba februarski varnostnih posodobitev v odjemalskih operacijskih sistemih Windows omogoča vse tri ublažitve posledic. V strežniških operacijskih sistemih Windows morate ublažitev posledic še vedno omogočiti po tem, ko se izvede ustrezno preskušanje. Če želite več informacij, glejte članek 4072698 Microsoftovi zbirki znanja.

AMD pred kratkim napovedal, da so začeli izdajati mikrokod za novejše platforme CPU okoli Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Če želite več informacij, glejte Pravilniki o varnosti AMD PosodobitveAMD Whitepaper: Smernice za arhitekturo za nadzor posredne podveje. Te so na voljo v kanalu vdelane programske opreme proizvajalca strojne opreme. 

Intel je pred kratkim napovedal, da so dokončali preverjanje veljavnosti in začeli izdajati mikrokod za novejše platforme CPE. Microsoft bo na voljo posodobitve mikro kode, preverjene s strani Intela, glede na Spectre Variant 2 (CVE-2017-5715 »Branch Target Injection«). V 4093836 zbirki znanja so navedeni določeni članki iz zbirke znanja glede na različico sistema Windows. Vsak KB posebej vsebuje Intelove posodobitve mikro kode procesorja, ki so na voljo.

Microsoft bo na voljo posodobitvah mikro kode, preverjene s strani Intela, glede na Spectre Variant 2 (CVE-2017-5715 »Branch Target Injection«). Če želijo stranke najnovejše posodobitve mikro kode Intel prenesti prek sistema Windows Update, morajo imeti pred nadgradnjo na posodobitev sistema Windows 10 v aprilu 2018 (različica 1803) nameščeno Intelov mikrokod v naprave s sistemom Windows 10.

Posodobitev mikro kode je na voljo tudi neposredno iz kataloga posodobitev, če pred nadgradnjo sistema ni bila nameščena v napravi. Mikrokod Intel je na voljo Windows Update, WSUS ali Katalog Microsoft Update. Če želite več informacij in navodila za prenos, glejte posodobitev KB 4100347.

Če želite več informacij, glejte razdelka »Priporočena dejanja« in »Pogosta vprašanja« v ADV180012 | Microsoftova navodila za obhod špekulativnega shranjevanja.

Če želite preveriti stanje SSBD, je bil skript ogrodja Get-SpeculationControlSettings PowerShell posodobljen tako, da zazna prizadete procesorje, stanje posodobitev operacijskega sistema SSBD in stanje mikro kode procesorja, če je na voljo. Če želite več informacij in če želite pridobiti skript ogrodja PowerShell, glejte KB4074629.

13. junija 2018 je bila objavljena dodatna ranljivost stranskega kanala, ki vključuje špekulativno izvajanje, znano kot obnovitev stanja Lazy FP, in dodeljena CVE-2018-3665. Za obnovitev FP lenih podatkov ni potrebna konfiguracija (register).

Če želite več informacij o tej ranljivosti in priporočenih dejanjih, glejte varnostni svetovalec: ADV180016 | Microsoftova navodila za obnovitev stanja lenih FP

OpombaZa obnovitev FP lenih podatkov ni potrebna konfiguracija (register).

Trgovina BCBS (Bounds Check Bypass Store) je bila razkrita 10. julija 2018 in dodeljena cve-2018-3693. Priporočamo, da BCBS pripadajo istemu razredu ranljivosti kot obhod preverjanja mej (Različica 1). Trenutno ne vemo za noben primerek BCBS v naši programski opremi, vendar še naprej raziskujemo ta razred ranljivosti in bomo s partnerji panoge izdajali ublažitve posledic, kot je potrebno. Raziskovalce še naprej spodbujamo, da vse ustrezne ugotovitve predložijo v Microsoftov program nagrado stranskega kanala špekulativnega izvajanja, vključno z vsemi izkoriščevalimi primeri BCBS. Razvijalci programske opreme naj pregledajo navodila za razvijalce, ki so bila posodobljena za BCBS na https://aka.ms/sescdevguide.

14. avgusta 2018 je bila napovedana terminalska napaka L1 (L1TF) in je bila dodeljena več cvEs. Te nove ranljivosti stranskega kanala zaradi špekulativnega izvajanja je mogoče uporabiti za branje vsebine pomnilnika prek zaupanja vredne meje in lahko, če so izkoriščane, privede do razkritja informacij. Obstaja več vektorjev, s katerimi lahko napadalec sproži ranljivosti, odvisno od konfiguriranega okolja. Funkcija L1TF vpliva na procesorje Intel® Core® in procesorje Intel® Xeon®.

Če želite več informacij o tej ranljivosti in podrobnem pogledu scenarijev, na katere to vpliva, vključno z Microsoftovim pristopom k omenjuje L1TF, glejte te vire:

Stranke naprave Microsoft Surface: Stranke, ki uporabljajo Microsoft Surface in Surface Book, morajo upoštevati navodila za odjemalca sistema Windows, ki so opisana v varnostnem nasvetu: ADV180018 | Microsoftova navodila za ublažitev različice L1TF. Če želite več informacij o izdelkih Surface, na katere 4073065 to vpliva , in razpoložljivosti posodobitev mikro kode, glejte tudi članek v Microsoftovi zbirki znanja.

Stranke naprave Microsoft Hololens: Microsoft HoloLens na sistem L1TF ne vpliva, ker ne uporablja procesorja Intel, na katero to vpliva.

Koraki, ki so potrebni za Hyper-Threading, se bodo razlikovali od OEM-ja do proizvajalca strojne opreme, vendar so običajno del BIOS-a ali nastavitve vdelane programske opreme in orodij za konfiguracijo.

Stranke, ki uporabljajo 64-bitne procesorje ARM, morajo pri proizvajalcu strojne opreme preveriti, ali podpira vdelano programsko opremo, saj morajo zaščite operacijskega sistema ARM64, ki ublažijo CVE-2017-5715 – ciljno injiciranje veje (Spectre, Variant 2), za uporabo izvesti najnovejšo posodobitev vdelane programske opreme proizvajalca strojne opreme naprave.

Podrobnosti o tej ranljivosti najdete v Microsoftovem varnostnem priročniku: CVE-2019-1125 | Ranljivost razkritja informacij v sistemu Windows.

Ne zavedamo se nobene ranljivosti zaradi razkritja informacij, ki vpliva na infrastrukturo naših storitev v oblaku.

Takoj ko smo se zavedali te težave, smo se hitro odpravili in izdali posodobitev. Trdno verjamemo v tesna partnerstva z raziskovalci in industrijskimi partnerji, da bi izboljšali varnost strank, in do torka 6. avgusta niso objavili podrobnosti, ki so v skladu s usklajenimi praksami razkritja ranljivosti.

Sklici

Microsoft ponuja podatke za stik tretjih oseb, s katerimi lahko poiščete dodatne informacije o tej temi. Ti podatki za stik se lahko spremenijo brez obvestila. Microsoft ne zagotavlja točnosti podatkov za stik tretjih oseb.

Ali potrebujete dodatno pomoč?

Ali želite več možnosti?

Raziščite ugodnosti naročnine, prebrskajte izobraževalne tečaje, preberite, kako zaščitite svojo napravo in še več.

Skupnosti vam pomagajo postaviti vprašanja in odgovoriti nanje, posredovati povratne informacije in prisluhniti strokovnjakom z bogatim znanjem.