|
Spremeni datum |
Opis spremembe |
|---|---|
|
9. avgust 2023 |
|
|
9. april 2024 |
|
Povzetek
V tem članku so informacije in posodobitve za nov razred silicijevih ranljivosti mikroarhiktičnih in špekulativnih izvajanje, ki vplivajo na številne sodobne procesorje in operacijske sisteme. Ponuja tudi obsežen seznam virov odjemalca in strežnika sistema Windows, s katerimi lahko zaščitite svoje naprave doma, v službi in v podjetju. To vključuje Intel, AMD in ARM. Podrobnosti o posebnih ranljivostih za te težave, ki temeljijo na silicijevih procesorjih, so na voljo na naslednjih varnostnih nasvetih in cvI:
-
ADV180002 – Navodila za preprečevanje ranljivosti stranskega kanala zaradi špekulativnega izvajanja
-
ADV180012 – Microsoftova navodila za obhod špekulativnega shranjevanja
-
ADV180013 - Microsoft Guidance for Rogue System Register Read
-
ADV180016 – Microsoftova navodila za obnovitev stanja lenih FP
-
ADV180018 – Microsoftova navodila za ublažitev različice L1TF
-
ADV220002 – Microsoftova navodila za ranljivosti zastarelih podatkov procesorja Intel MMIO
3. januarja 2018 je Microsoft izdal svetovalne in varnostne posodobitve, povezane z novo odkritim razredom ranljivosti strojne opreme (imenovanima Spectre in Meltdown), ki vključujejo stranske kanale špekulativnega izvajanja, ki v različnih stopnjah vplivajo na procesorje AMD, ARM in Intel. Ta razred ranljivosti temelji na skupni arhitekturi mikročipi, ki je bila prvotno zasnovana za pospešiti računalnike. Več o teh ranljivostih lahko izveste na spletnem mestu Google Project Zero.
21. maja 2018 so Google Project Zero (GPZ), Microsoft in Intel razkrili dve novi ranljivosti mikročipi, ki so povezane s težavami spectre in meltdown in so znane kot obhod špekulativnega shranjevanja (SSB) in branje registra sistema Rogue. Tveganje strank zaradi obeh razkritj je nizko.
Če želite več informacij o teh ranljivostih, glejte vire, ki so navedeni v posodobitvah operacijskega sistema Windows v maju 2018, in si oglejte te varnostne svetovalce:
-
ADV180012 | Microsoftova navodila za obhod špekulativnega shranjevanja
-
ADV180013 | Microsoft Guidance for Rogue System Register Read
13. junija 2018 je bila objavljena dodatna ranljivost stranskega kanala, ki vključuje špekulativno izvajanje, znano kot obnovitev stanja Lazy FP, in dodeljena CVE-2018-3665. Če želite več informacij o tej ranljivosti in priporočenih dejanjih, glejte to varnostno svetovanje:
14. avgusta 2018 je bila objavljena napaka terminala L1 (L1TF) zaradi nove ranljivosti stranskega kanala zaradi špekulativnega izvajanja, ki ima več cvEs. Funkcija L1TF vpliva na procesorje Intel® Core® in procesorje Intel® Xeon®. Če želite več informacij o skladih L1TF in priporočenih dejanjih, glejte naš varnostni svetovalec:
Opomba: Priporočamo, da namestite vse najnovejše posodobitve iz Windows Update preden namestite posodobitve mikro kode.
14. maja 2019 je Intel objavil informacije o novem podrazredu ranljivosti stranskega kanala zaradi špekulativnega izvajanja, ki se imenujejo mikroarhiktično vzorčenje podatkov. Dodeljeni so jim bili naslednji življenjepisi:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Microarchitectural Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 – "Microarchitectural Load Port Data Sampling (MLPDS)"
Pomembno: Te težave bodo vplivale na druge sisteme, kot so Android, Chrome, iOS in MacOS. Priporočamo, da stranke poiščejo navodila pri svojih prodajalcih.
Microsoft je izdal posodobitve, s katerimi je ublažil te ranljivosti. Če želite pridobiti vso razpoložljivo zaščito, potrebujete posodobitve vdelane programske opreme (mikrokod) in programske opreme. To lahko vključuje mikrokod iz strojne opreme naprave. V nekaterih primerih bo namestitev teh posodobitev vplivala na učinkovitost delovanja. Prav tako smo se odzvali na varnost svojih storitev v oblaku.
Opomba: Priporočamo, da namestite vse najnovejše posodobitve iz Windows Update preden namestite posodobitve mikro kode.
Če želite več informacij o teh težavah in priporočenih dejanjih, glejte to varnostno svetovanje:
6. avgusta 2019 je Intel izdal podrobnosti o ranljivosti zaradi razkritja informacij v jedru sistema Windows. Ta ranljivost je različica ranljivosti stranskega kanala Spectre Variant 1 zaradi špekulativnega izvajanja in je bila dodeljena CVE-2019-1125.
Microsoft je 9. julija 2019 izdal varnostno posodobitev za operacijski sistem Windows, da bi ublažil to težavo. Uporabniki, ki Windows Update omogočili in uporabili varnostne posodobitve, izdane 9. julija 2019, so samodejno zaščitene. Upoštevajte, da za to ranljivost ne potrebujete posodobitve mikro kode proizvajalca naprave.
Če želite več informacij o tej ranljivosti in veljavnih posodobitvah, glejte CVE-2019-1125 | Ranljivost razkritja informacij jedra sistema Windows v Vodniku po Microsoftovih varnostnih posodobitvah.
14. junija 2022 je Intel objavil informacije o novem podrazredu ranljivosti stranskega kanala V/I (MMIO), preslikanih v V/I (MMIO), ki so navedene v svetovalnem razdelku:
Koraki za zaščito naprav s sistemom Windows
Morda boste morali posodobiti tako vdelano programsko opremo (mikrokod) kot tudi programsko opremo, da boste lahko odpravljali te ranljivosti. Za priporočena dejanja glejte Microsoftove varnostne svetovalce. To vključuje posodobitve vdelane programske opreme (mikro kode) proizvajalcev naprav in v nekaterih primerih posodobitev protivirusne programske opreme. Priporočamo, da vsak mesec namestite varnostne posodobitve ter s tem poskrbite za posodobljenost svojih naprav.
Če želite prejemati vso razpoložljivo zaščito, sledite tem korakom in pridobite najnovejše posodobitve tako za programsko kot tudi za strojno opremo.
Opomba: Preden začnete, se prepričajte, da je protivirusna programska oprema posodobljena in združljiva. Na spletnem mestu proizvajalca protivirusne programske opreme poiščite njegove najnovejše informacije glede združljivosti.
-
Vklopite samodejne posodobitve in poskrbite, da bo vaša naprava s sistemom Windows posodobljena.
-
Preverite, ali je bila nameščena najnovejša Microsoftova varnostna posodobitev operacijskega sistema Windows. Če so samodejne posodobitve vklopljene, bi morale biti posodobitve samodejno dostavljene vam. Še vedno pa morate preveriti, ali so nameščene. Če želite navodila, glejte Windows Update: pogosta vprašanja
-
Namestite posodobitve vdelane programske opreme (mikrokod), ki jih je na voljo izdelovalec naprave. Vsi uporabniki se bodo morali za prenos in namestitev posodobitve strojne opreme za določeno napravo obrnite na proizvajalca naprave. Seznam spletnih mest proizvajalca naprave najdete v razdelku »Dodatni viri«.
Opomba: Strankam priporočamo, da namestijo najnovejše Microsoftove varnostne posodobitve operacijskega sistema Windows in tako izkoristijo razpoložljivo zaščito. Najprej je treba namestiti posodobitve protivirusne programske opreme. Nato sledijo posodobitve operacijskega sistema in vdelane programske opreme. Priporočamo, da vsak mesec namestite varnostne posodobitve ter s tem poskrbite za posodobljenost svojih naprav.
To vpliva na mikročipo, ki jih izdelujejo Intel, AMD in ARM. To pomeni, da so potencialno ranljive vse naprave z operacijskimi sistemi Windows. To vključuje namizne računalnike, prenosnike, strežnike v oblaku in pametne telefone. To vpliva tudi na naprave z drugimi operacijskimi sistemi, kot so Android, Chrome, iOS in macOS. Strankam, ki uporabljajo te operacijske sisteme, svetujemo, da pri teh prodajalcih poiščejo pomoč.
V času objave nismo prejeli nobenih informacij, ki bi nakazujejo, da so bile te ranljivosti uporabljene za napad na stranke.
Od januarja 2018 je Microsoft izdal posodobitve za operacijske sisteme Windows ter spletne brskalnike Internet Explorer in Edge, s katerimi je ublažil te ranljivosti in pomagal zaščititi stranke. Izdali smo tudi posodobitve za varnost naših storitev v oblaku. Še naprej tesno sodelujemo s industrijskimi partnerji, vključno z izdelovalci mikročipov, proizvajalci strojne opreme in prodajalci aplikacij, da bi uporabnike zaščitili pred to ranljivostjo.
Priporočamo, da vedno namestite mesečne posodobitve, da bodo vaše naprave posodobljene in varne.
Ko bodo na voljo nove ublažitve posledic, bomo posodobili to dokumentacijo, zato priporočamo, da redno preverjate to dokumentacijo.
Posodobitve operacijskega sistema Windows v juliju 2019
6. avgusta 2019 je Intel razkril podrobnosti o varnostni ranljivosti CVE-2019-1125 | Ranljivost razkritja informacij v sistemu Windows. Varnostne posodobitve za to ranljivost so bile izdane v okviru mesečne posodobitve z julija 9. julija 2019.
Microsoft je 9. julija 2019 izdal varnostno posodobitev za operacijski sistem Windows, da bi ublažil to težavo. V torek, 6. avgusta 2019, smo dokumentiranje tega ublažitve javno objavljali v usklajenem sektorju.
Uporabniki, ki Windows Update omogočili in uporabili varnostne posodobitve, izdane 9. julija 2019, so samodejno zaščitene. Upoštevajte, da za to ranljivost ne potrebujete posodobitve mikro kode proizvajalca naprave.
Posodobitve operacijskega sistema Windows v maju 2019
14. maja 2019 je Intel objavil informacije o novem podrazredu ranljivosti stranskega kanala zaradi špekulativnega izvajanja, ki so znane kot mikroarhiktično vzorčenje podatkov, in jim dodelil naslednje cvEs:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Microarchitectural Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 – "Microarchitectural Load Port Data Sampling (MLPDS)"
Če želite več informacij o tej težavi, glejte spodnja navodila na podlagi svetovanja o varnosti in uporabe, ki temeljijo na scenarijih, ki so opisana v člankih sistema Windows za odjemalce in strežnike za določanje ukrepov, potrebnih za preprečevanje grožnje:
Microsoft je izdal zaščito pred novim podrazredom ranljivosti stranskega kanala zaradi špekulativnega izvajanja, imenovanih Mikroarhiktalno vzorčenje podatkov, za 64-bitne (x64) različice sistema Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).
Uporabite nastavitve registra, kot je opisano v člankih z navodili v KB4073119Windows Client (Windows Client) in Windows Server (KB4457951). V izdajah operacijskega sistema za odjemalca sistema Windows in v izdajah operacijskega sistema za Windows Server so te nastavitve registra privzeto omogočene.
Priporočamo, da najprej namestite vse najnovejše posodobitve iz Windows Update, preden namestite posodobitve mikro kode.
Če želite več informacij o tej težavi in priporočenih dejanjih, glejte to varnostno svetovanje:
Intel je izdal posodobitev mikro kode za nedavne platforme CPE, ki pomaga ublažiti CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. V posodobitvi KB za Windows 14. maj 2019 4093836 članke iz zbirke znanja različice operacijskega sistema Windows. Članek vsebuje tudi povezave do razpoložljivih posodobitev Mikro kode Intel s CPE-jem. Te posodobitve so na voljo prek Microsoftovega kataloga.
Opomba: Priporočamo, da namestite vse najnovejše posodobitve iz Windows Update preden namestite posodobitve mikro kode.
Z veseljem sporočamo, da je Retpoline privzeto omogočen v napravah s sistemom Windows 10, različica 1809 (za odjemalca in strežnik), če je omogočen Spectre Variant 2 (CVE-2017-5715). Z omogočanjem aplikacije Retpoline v najnovejši različici sistema Windows 10 s posodobitvijo z dne 14. maja 2019 (KB 4494441) pričakujemo izboljšano delovanje, zlasti pri starejših procesorjih.
Stranke morajo zagotoviti, da so v nastavitvah registra, ki so opisane v člankih z navodili v zbirki znanja Odjemalec sistema Windows in Windows Server , omogočene prejšnje zaščite operacijskega sistema pred ranljivostjo Spectre Variant 2. (V izdajah operacijskega sistema za odjemalca sistema Windows so te nastavitve registra privzeto omogočene, v izdajah operacijskega sistema za Windows Server pa so privzeto onemogočene). Če želite več informacij o »Retpoline«, glejte Omiliti Spectre različica 2 z Retpoline v sistemu Windows.
Posodobitve operacijskega sistema Windows v novembru 2018
Microsoft je izdal zaščito operacijskega sistema za obhod špekulativnega shranjevanja (CVE-2018-3639) za procesorje AMD (CPE).
Microsoft je izdal dodatne zaščite operacijskega sistema za stranke, ki uporabljajo 64-bitne procesorje ARM. Pri proizvajalcu strojne opreme naprave preverite podporo za vdelano programsko opremo, saj zaščite operacijskega sistema ARM64, ki ublažijo CVE-2018-3639, obhod špekulativnega shranjevanja, zahtevajo najnovejšo posodobitev vdelane programske opreme proizvajalca vaše naprave.
Posodobitve operacijskega sistema Windows v septembru 2018
11. septembra 2018 je Komisija Microsoft je izdal windows Server 2008 SP2 – mesečni paket posodobitev 4458010 in samo varnostni 4457984 za Windows Server 2008, ki zagotavljajo zaščito pred novo ranljivostjo stranskega kanala zaradi špekulativnega izvajanja, znano kot napaka terminala L1 (L1TF), ki vpliva na procesorje Intel® Core® in Intel® Xeon® (CVE-2018-3620 in CVE-2018-3646).
Ta izdaja bo dokončala dodatne zaščite za vse podprte različice sistema Windows prek Windows Update. Če želite več informacij in seznam izdelkov, na katere to vpliva, glejte ADV180018 | Microsoftova navodila za ublažitev različice L1TF.
Opomba: Servisni paket SP2 za Windows Server 2008 zdaj sledi modelu standardnega paketa posodobitev za servisiranje sistema Windows. Če želite več informacij o teh spremembah, glejte naš spletni dnevnik spremembe servisiranja za Windows Server 2008 s servisnim paketom SP2. Stranke, ki uporabljajo Windows Server 2008, naj namestijo 4458010 ali 4457984 poleg varnostnih posodobitev 4341832, ki je bila izdana 14. avgusta 2018. Stranke morajo tudi zagotoviti, da so v nastavitvah registra, ki so opisane v člankih z navodili v zbirki znanja Odjemalec sistema Windows in Windows Server , omogočene prejšnje zaščite operacijskega sistema pred ranljivostmi Spectre Variant 2 in Meltdown. V izdajah operacijskega sistema za odjemalca sistema Windows so te nastavitve registra privzeto omogočene, v izdajah operacijskega sistema za Windows Server pa so privzeto onemogočene.
Microsoft je izdal dodatne zaščite operacijskega sistema za stranke, ki uporabljajo 64-bitne procesorje ARM. Pri proizvajalcu strojne opreme naprave preverite, ali je na voljo podpora za vdelano programsko opremo, saj zaščite operacijskega sistema ARM64, ki ublažijo CVE-2017-5715 – ciljno injiciranje veje (Spectre, Variant 2) zahtevajo, da veljati najnovejša posodobitev vdelane programske opreme proizvajalca strojne opreme v vaši napravi.
Posodobitve operacijskega sistema Windows v avgustu 2018
14. avgusta 2018 je bila napovedana terminalska napaka L1 (L1TF) in dodeljena več cvEs. Te nove ranljivosti stranskega kanala zaradi špekulativnega izvajanja je mogoče uporabiti za branje vsebine pomnilnika prek zaupanja vredne meje in lahko, če so izkoriščane, privede do razkritja informacij. Obstaja več vektorjev, s katerimi lahko napadalec sproži ranljivosti, odvisno od konfiguriranega okolja. Funkcija L1TF vpliva na procesorje Intel® Core® in procesorje Intel® Xeon®.
Če želite več informacij o skladih L1TF in podrobnem prikazu scenarijev, na katere to vpliva, vključno z Microsoftovim pristopom k omenjuje L1TF, glejte te vire:
Posodobitve operacijskega sistema Windows v juliju 2018
Z veseljem objavljamo, da je Microsoft dokončal izdajanje dodatne zaščite za vse podprte različice sistema Windows prek Windows Update za spodnje ranljivosti:
-
Spectre Variant 2 za procesorje AMD
-
Obhod špekulativnega shranjevanja za procesorje Intel
13. junija 2018 je bila objavljena dodatna ranljivost stranskega kanala, ki vključuje špekulativno izvajanje, znano kot obnovitev stanja Lazy FP, in dodeljena CVE-2018-3665. Za obnovitev FP lenih podatkov ni potrebna konfiguracija (register).
Če želite več informacij o tej ranljivosti, izdelkih, na katere to vpliva, in priporočenih dejanjih, glejte ta članek s svetovanjem o varnosti:
12. junija je Microsoft napovedal podporo za obhod špekulativnega shranjevanja (SSBD) v procesorjih Intel. Posodobitve za delovanje zahtevajo ustrezno vdelano programsko opremo (mikrokod) in posodobitve registra. Če želite informacije o posodobitvah in korakih, ki jih morate uporabiti za vklop SSBD, glejte razdelek »Priporočena dejanja« v ADV180012 | Microsoftova navodila za obhod špekulativnega shranjevanja.
Posodobitve operacijskega sistema Windows v maju 2018
Januarja 2018 je Microsoft izdal informacije o novo odkritem razredu ranljivosti strojne opreme (imenovanima Spectre in Meltdown), ki vključujejo stranske kanale špekulativnega izvajanja, ki v različnih stopnjah vplivajo na AMD, ARM in Intelove cpe. 21. maja 2018 so Google Project Zero (GPZ), Microsoft in Intel razkrili dve novi ranljivosti mikročipi, ki so povezane s težavami spectre in meltdown, znanimi kot obhod špekulativnega shranjevanja (SSB) in branje registra sistema Rogue.
Tveganje strank zaradi obeh razkritj je nizko.
Če želite več informacij o teh ranljivostih, glejte te vire:
-
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639
-
Microsoft Security Advisory for Rogue System Register Read: MSRC ADV180013and CVE-2018-3640
-
Varnostne raziskave in obramba: analiza in ublažitev obhoda špekulativnega shranjevanja (CVE-2018-3639)
Velja za: Windows 10, različica 1607, Windows Server 2016, Windows Server 2016 (osnovna namestitev strežnika) in Windows Server, različica 1709 (namestitev Server Core)
Zagotavljali smo podporo za nadzor uporabe napovedne ovire za posredno podvejo (IBPB) v nekaterih procesorjih AMD (CPE-jih) za omiliti CVE-2017-5715, Spectre Variant 2, ko preklopite iz uporabniškega konteksta v kontekst jedra. (Če želite več informacij, glejte Navodila za arhitekturo AMD glede nadzora posredne podveje in pravilnika o varnosti AMD Posodobitve).
Stranke, ki uporabljajo Windows 10, različico 1607, Windows Server 2016, Windows Server 2016 (namestitev Server Core) in Windows Server, različica 1709 (namestitev Jedra strežnika), morajo namestiti varnostno posodobitev 4103723 za dodatne ublažitve posledic procesorjev AMD za CVE-2017-5715, Branch Target Injection. Ta posodobitev je na voljo tudi prek Windows Update.
Sledite navodilom v posodobitvi KB 4073119 za odjemalca sistema Windows (IT Pro) in posodobitvi KB 4072698 za Windows Server, da omogočite uporabo IBPB v nekaterih procesorjih AMD (CPE-jih) za omiliti Spectre Variant 2, ko preklopite iz uporabniškega konteksta v kontekst jedra.
Microsoft bo na voljo posodobitvah mikro kode, preverjene s strani Intela, glede na Spectre Variant 2 (CVE-2017-5715 »Branch Target Injection«). Če želijo stranke najnovejše posodobitve mikro kode Intel prenesti prek sistema Windows Update, morajo imeti pred nadgradnjo na posodobitev sistema Windows 10 v aprilu 2018 (različica 1803) nameščeno Intelov mikrokod v naprave s sistemom Windows 10.
Posodobitev mikro kode je na voljo tudi neposredno iz Kataloga, če ni bila nameščena v napravi pred nadgradnjo operacijskega sistema. Mikrokod Intel je na voljo Windows Update, WSUS ali Katalog Microsoft Update. Če želite več informacij in navodila za prenos, glejte posodobitev KB 4100347.
Ko bodo na voljo Microsoftu, bomo ponudili dodatne posodobitve mikrokod družbe Intel za operacijski sistem Windows.
Velja za: Windows 10, različica 1709
Zagotavljali smo podporo za nadzor uporabe napovedne ovire za posredno podvejo (IBPB) v nekaterih procesorjih AMD (CPE-jih) za omiliti CVE-2017-5715, Spectre Variant 2, ko preklopite iz uporabniškega konteksta v kontekst jedra. (Če želite več informacij, glejte Navodila za arhitekturo AMD glede nadzora posredne podveje in pravilnika o varnosti AMD Posodobitve).Sledite navodilom v posodobitvi KB 4073119 za odjemalca sistema Windows (IT Pro), da omogočite uporabo IBPB v nekaterih procesorjih AMD (CPE-jih) za omiliti Spectre Variant 2, ko preklopite iz uporabniškega konteksta v kontekst jedra.
Microsoft bo na voljo posodobitve mikro kode, preverjene s strani Intela, glede na Spectre Variant 2 (CVE-2017-5715 »Branch Target Injection«). KB4093836 članke iz zbirke znanja glede na različico sistema Windows. Vsak kb vsebuje najnovejše posodobitve intel mikro kode, ki so na voljo s CPE.
Ko bodo na voljo Microsoftu, bomo ponudili dodatne posodobitve mikrokod družbe Intel za operacijski sistem Windows.
Posodobitve za operacijski sistem Windows v marcu 2018 in novejše
23. marec, TechNet Security Research & Defense: KVA Shadow: Omiliti Meltdown v sistemu Windows
14. marec, Varnostni tehnični center: Pogoji programa bounty stranskega kanala špekulativnega izvajanja
13. marec, blog: marec 2018 Varnost sistema Windows posodobitev - razširitev naših prizadevanj za zaščito strank
1. marec: spletni dnevnik: Posodobitev varnostnih posodobitev za Spectre in Meltdown za naprave s sistemom Windows
Od marca 2018 je Microsoft izdal varnostne posodobitve za ublažitev posledic za naprave, v katerih se izvajajo naslednji operacijski sistemi Windows x86. Stranke morajo namestiti najnovejše varnostne posodobitve operacijskega sistema Windows, da izkoristijo razpoložljive zaščite. Trudimo se zagotoviti zaščito za druge podprte različice sistema Windows, vendar trenutno nimajo razporeda izdaj. Tukaj preverite, ali so na voljo posodobitve. Če želite več informacij, glejte povezan članek v zbirki znanja za tehnične podrobnosti in razdelek »Pogosta vprašanja«.
|
Izdana je posodobitev izdelka |
Stanje |
Datum izdaje |
Kanal izdaje |
KB |
|
Windows 8.1 & Windows Server 2012 R2 – samo varnostna posodobitev |
Izdano |
13. mar. |
WSUS, Katalog, |
|
|
Windows 7 SP1 & Windows Server 2008 R2 s servisnim paketom SP1 – samo varnostna posodobitev |
Izdano |
13. mar. |
WSUS, Katalog |
|
|
Windows Server 2012 – samo varnostna posodobitev Windows 8 vdelana standardna izdaja – samo varnostna posodobitev |
Izdano |
13. mar. |
WSUS, Katalog |
|
|
Windows 8.1 & Windows Server 2012 R2 – mesečni paket posodobitev |
Izdano |
13. mar. |
WU, WSUS, Katalog |
|
|
Windows 7 SP1 & Windows Server 2008 R2 s servisnim paketom SP1 – mesečni paket posodobitev |
Izdano |
13. mar. |
WU, WSUS, Katalog |
|
|
Windows Server 2012 – mesečni paket posodobitev Windows 8 embedded Standard Edition – mesečni paket posodobitev |
Izdano |
13. mar. |
WU, WSUS, Katalog |
|
|
Windows Server 2008 s servisnim paketom SP2 |
Izdano |
13. mar. |
WU, WSUS, Katalog |
Od marca 2018 je Microsoft izdal varnostne posodobitve za ublažitev posledic za naprave, v katerih se izvajajo naslednji operacijski sistemi Windows x64. Stranke morajo namestiti najnovejše varnostne posodobitve operacijskega sistema Windows, da izkoristijo razpoložljive zaščite. Trudimo se zagotoviti zaščito za druge podprte različice sistema Windows, vendar trenutno nimajo razporeda izdaj. Tukaj preverite, ali so na voljo posodobitve. Če želite več informacij, si oglejte zbirka znanja informacije o tehničnih podrobnostih in razdelek »Pogosta vprašanja«.
|
Izdana je posodobitev izdelka |
Stanje |
Datum izdaje |
Kanal izdaje |
KB |
|
Windows Server 2012 – samo varnostna posodobitev Windows 8 vdelana standardna izdaja – samo varnostna posodobitev |
Izdano |
13. mar. |
WSUS, Katalog |
|
|
Windows Server 2012 – mesečni paket posodobitev Windows 8 embedded Standard Edition – mesečni paket posodobitev |
Izdano |
13. mar. |
WU, WSUS, Katalog |
|
|
Windows Server 2008 s servisnim paketom SP2 |
Izdano |
13. mar. |
WU, WSUS, Katalog |
Ta posodobitev odpravlja ranljivost pri prisvojitvijo pravic v jedru sistema Windows v 64-bitni (x64) različici sistema Windows. Ta ranljivost je dokumentirana v CVE-2018-1038. Uporabniki morajo to posodobitev uporabiti za polno zaščito pred to ranljivostjo, če so bili njihovi računalniki posodobljeni januarja 2018 ali po tem z uporabo katere koli posodobitve, navedene v tem članku iz zbirke znanja:
Ta varnostna posodobitev odpravlja več prijavljenih ranljivosti v brskalniku Internet Explorer. Če želite izvedeti več o teh ranljivostih, glejte Microsoftove pogoste ranljivosti in izpostavljenosti.
|
Izdana je posodobitev izdelka |
Stanje |
Datum izdaje |
Kanal izdaje |
KB |
|
Internet Explorer 10 – zbirna posodobitev za Windows 8 Embedded Standard Edition |
Izdano |
13. mar. |
WU, WSUS, Katalog |
Posodobitve operacijskega sistema Windows iz februarja 2018
Naslednje varnostne posodobitve zagotavljajo dodatno zaščito za naprave z nameščenimi 32-bitni (x86) operacijskimi sistemi Windows. Microsoft strankam priporoča, da posodobitev namestijo takoj, ko je na voljo. Še naprej si prizadevamo zagotoviti zaščito za druge podprte različice sistema Windows, vendar trenutno še nimate razporeda izdaj. Tukaj preverite, ali so na voljo posodobitve.
Opomba Windows 10 mesečne varnostne posodobitve so zbirne mesečno in bodo samodejno prenesene in nameščene iz Windows Update. Če ste namestili starejše posodobitve, bodo v vašo napravo preneseni in nameščeni le novi deli. Če želite več informacij, glejte povezan članek v zbirki znanja za tehnične podrobnosti in razdelek »Pogosta vprašanja«.
|
Izdana je posodobitev izdelka |
Stanje |
Datum izdaje |
Kanal izdaje |
KB |
|
Windows 10 – različica 1709/Windows Server 2016 (1709)/IoT Core – posodobitev kakovosti |
Izdano |
31. jan. |
WU, Katalog |
|
|
Windows Server 2016 (1709) – vsebnik strežnika |
Izdano |
13. februar |
Docker Hub |
|
|
Windows 10 – različica 1703/IoT Core – posodobitev kakovosti |
Izdano |
13. februar |
WU, WSUS, Katalog |
|
|
Windows 10 – različica 1607/Windows Server 2016 /IoT Core – posodobitev kakovosti |
Izdano |
13. februar |
WU, WSUS, Katalog |
|
|
Windows 10 HoloLens – Operacijski sistem in vdelana programska Posodobitve |
Izdano |
13. februar |
WU, Katalog |
|
|
Windows Server 2016 (1607) – slike vsebnika |
Izdano |
13. februar |
Docker Hub |
|
|
Windows 10 – različica 1511/IoT Core – posodobitev kakovosti |
Izdano |
13. februar |
WU, WSUS, Katalog |
|
|
Windows 10 – različica RTM – posodobitev kakovosti |
Izdano |
13. februar |
WU, WSUS, Katalog |
Posodobitve operacijskega sistema Windows v januarju 2018
Od januarja 2018 je Microsoft izdal varnostne posodobitve za ublažitev posledic za naprave, v katerih se izvajajo naslednji operacijski sistemi Windows x64. Stranke morajo namestiti najnovejše varnostne posodobitve operacijskega sistema Windows, da izkoristijo razpoložljive zaščite. Trudimo se zagotoviti zaščito za druge podprte različice sistema Windows, vendar trenutno nimajo razporeda izdaj. Tukaj preverite, ali so na voljo posodobitve. Če želite več informacij, glejte povezan članek v zbirki znanja za tehnične podrobnosti in razdelek »Pogosta vprašanja«.
|
Izdana je posodobitev izdelka |
Stanje |
Datum izdaje |
Kanal izdaje |
KB |
|
Windows 10 – različica 1709/Windows Server 2016 (1709)/IoT Core – posodobitev kakovosti |
Izdano |
3. jan. |
WU, WSUS, Katalog, Azure Image Gallery |
|
|
Windows Server 2016 (1709) – vsebnik strežnika |
Izdano |
5. jan. |
Docker Hub |
|
|
Windows 10 – različica 1703/IoT Core – posodobitev kakovosti |
Izdano |
3. jan. |
WU, WSUS, Katalog |
|
|
Windows 10 – različica 1607/Windows Server 2016/IoT Core – posodobitev kakovosti |
Izdano |
3. jan. |
WU, WSUS, Katalog |
|
|
Windows Server 2016 (1607) – slike vsebnika |
Izdano |
4. jan. |
Docker Hub |
|
|
Windows 10 – različica 1511/IoT Core – posodobitev kakovosti |
Izdano |
3. jan. |
WU, WSUS, Katalog |
|
|
Windows 10 – različica RTM – posodobitev kakovosti |
Izdano |
3. jan. |
WU, WSUS, Katalog |
|
|
Windows 10 Mobile (graditev sistema 15254.192) – ARM |
Izdano |
5. jan. |
WU, Katalog |
|
|
Windows 10 Mobile (graditev sistema 15063.850) |
Izdano |
5. jan. |
WU, Katalog |
|
|
Windows 10 Mobile (graditev sistema 14393.2007) |
Izdano |
5. jan. |
WU, Katalog |
|
|
Windows 10 HoloLens |
Izdano |
5. jan. |
WU, Katalog |
|
|
Windows 8.1/Windows Server 2012 R2 – samo varnostna posodobitev |
Izdano |
3. jan. |
WSUS, Katalog |
|
|
Windows Embedded 8.1 Industry Enterprise |
Izdano |
3. jan. |
WSUS, Katalog |
|
|
Windows Embedded 8.1 Industry Pro |
Izdano |
3. jan. |
WSUS, Katalog |
|
|
Windows Embedded 8.1 Pro |
Izdano |
3. jan. |
WSUS, Katalog |
|
|
Windows 8.1/Windows Server 2012 R2 – mesečni paket posodobitev |
Izdano |
8. jan. |
WU, WSUS, Katalog |
|
|
Windows Embedded 8.1 Industry Enterprise |
Izdano |
8. jan. |
WU, WSUS, Katalog |
|
|
Windows Embedded 8.1 Industry Pro |
Izdano |
8. jan. |
WU, WSUS, Katalog |
|
|
Windows Embedded 8.1 Pro |
Izdano |
8. jan. |
WU, WSUS, Katalog |
|
|
Windows Server 2012 – samo varnostna posodobitev |
Izdano |
WSUS, Katalog |
||
|
Windows Server 2008 s servisnim paketom SP2 |
Izdano |
WU, WSUS, Katalog |
||
|
Windows Server 2012 – mesečni paket posodobitev |
Izdano |
WU, WSUS, Katalog |
||
|
Windows Embedded 8 Standard |
Izdano |
WU, WSUS, Katalog |
||
|
Windows 7 SP1/Windows Server 2008 R2 SP1 – samo varnostna posodobitev |
Izdano |
3. jan. |
WSUS, Katalog |
|
|
Windows Embedded Standard 7 |
Izdano |
3. jan. |
WSUS, Katalog |
|
|
Windows Embedded POSReady 7 |
Izdano |
3. jan. |
WSUS, Katalog |
|
|
Windows Thin PC |
Izdano |
3. jan. |
WSUS, Katalog |
|
|
Windows 7 SP1/Windows Server 2008 R2 SP1 – mesečni paket posodobitev |
Izdano |
4. jan. |
WU, WSUS, Katalog |
|
|
Windows Embedded Standard 7 |
Izdano |
4. jan. |
WU, WSUS, Katalog |
|
|
Windows Embedded POSReady 7 |
Izdano |
4. jan. |
WU, WSUS, Katalog |
|
|
Windows Thin PC |
Izdano |
4. jan. |
WU, WSUS, Katalog |
|
|
Internet Explorer 11 – zbirna posodobitev za Windows 7 SP1 in Windows 8.1 |
Izdano |
3. jan. |
WU, WSUS, Katalog |
9. aprila 2024 smo objavili CVE-2022-0001 | Vbrizgavanje zgodovine veje Intel , ki opisuje injekcijo zgodovine veje (BHI), ki je posebna oblika BTI v načinu. Do te ranljivosti pride, ko lahko napadalec upravlja zgodovino vej pred prehodom iz načina nadzornika uporabnika v način nadzornika (ali iz načina brez korena VMX/gost v korenski način). Ta zloraba lahko povzroči, da napovednik posredne veje izbere določen vnos napovednika za posredno vejo, pripomoček za razkritje pri napovedanem cilju pa se prehodno izvede. To je morda mogoče, ker lahko ustrezna zgodovina vej vsebuje veje, ki so bile posnete v prejšnjih varnostnih kontekstih, in zlasti druge načine predvidevanja.
Sledite navodilom v članku KB4073119 za odjemalca sistema Windows (IT Pro) in navodilih za KB4072698 za Windows Server, da zmanjšate ranljivosti, opisane v CVE-2022-0001 | Vbrizgavanje zgodovine veje Intel.
Viri in tehnična navodila
Glede na vašo vlogo si lahko v spodnjih člankih podpore pomagate prepoznati in ublažiti odjemalca in strežniška okolja, na katere vplivata ranljivosti Spectre in Meltdown.
Napaka terminala Microsoft Security Advisory za L1 (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 in CVE-2018-3646
Varnostne raziskave in obramba: analiza in ublažitev obhoda špekulativnega shranjevanja (CVE-2018-3639)
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639
Microsoft Security Advisory za Rogue System Register Read | Vodnik po varnostnih posodobitvah za Surface: MSRC ADV180013in CVE-2018-3640
Varnostne raziskave in obramba: analiza in ublažitev obhoda špekulativnega shranjevanja (CVE-2018-3639)
TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown v sistemu Windows
Security Tech Center: Speculative Execution Side Channel Bounty Program Terms
Spletni dnevnik o Microsoftovi izkušnji: posodobitev varnostnih posodobitev za Spectre in Meltdown za naprave s sistemom Windows
Spletni dnevnik za Windows za podjetja: Storitev Windows Analytics zdaj pomaga oceniti zaščite pred grožnjama Spectre in Meltdown
Spletni dnevnik Microsoft Secure: Razumevanje vpliva ublažitev posledic za Spectre in Meltdown na učinkovitost delovanja v sistemih Windows
Spletni dnevnik za razvijalce brskalnika Edge: omiliti napade stranskega kanala zaradi špekulativnega izvajanja v brskalnikih Microsoft Edge in Internet Explorer
Spletni dnevnik Azure: Zaščita uporabnikov storitve Azure pred ranljivostjo CPE-ja
SCCM navodila: Dodatna navodila za preprečevanje ranljivosti stranskega kanala zaradi špekulativnega izvajanja
Microsoftova svetovanje:
-
ADV180002 | Navodila za preprečevanje ranljivosti stranskega kanala zaradi špekulativnega izvajanja
-
ADV180012 | Microsoftova navodila za obhod špekulativnega shranjevanja
-
ADV180013 | Microsoft Guidance for Rogue System Register Read
-
ADV180016 | Microsoftova navodila za obnovitev stanja lenih FP
-
ADV180018 | Microsoftova navodila za ublažitev različice L1TF
Intel: Security Advisory
ARM: Security Advisory
AMD: Security Advisory
NVIDIA: Security Advisory
Navodila za uporabnike: Zaščitite svojo napravo pred varnostnimi ranljivostmi, povezanimi z mikročipi
Navodila za protivirusno zaščito: varnostne posodobitve sistema Windows, izdane 3. januarja 2018, in protivirusna programska oprema
Navodila za blokado varnostnih posodobitev operacijskega sistema Windows za AMD: KB4073707: blokada varnostnih posodobitev operacijskega sistema Windows za nekatere naprave s procesorjem AMD
Posodobitev za onemogočanje ublažitve posledic Spectre različica 2: KB4078130: Intel je zaznal težave s ponovnim zagonom z mikrokod v nekaterih starejših procesorjih
Navodila za Surface: Navodila za Surface za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja
Preverjanje stanja ublažitev stranskega kanala zaradi špekulativnega izvajanja: razumevanje Get-SpeculationControlSettings izhoda skripta PowerShell
Navodila za strokovnjake za IT: Navodila za odjemalca sistema Windows za strokovnjake za IT za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja
Navodila za strežnike: Navodila za windows Server za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja
Navodila za strežnik za napako terminala L1: Navodila za Windows Server za zaščito pred napako terminala L1
Navodila za razvijalce:Navodila za razvijalce za obhod špekulativnega shranjevanja
Navodila za strežniški Hyper-V
Navodila za Azure Stack: KB4073418: Navodila za Azure Stack za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja
Zanesljivost Azure: Portal za zanesljivost storitve Azure
SQL Server navodila: KB4073225: SQL Server Navodila za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja
Povezave do proizvajalcev strojne opreme in strežniških naprav za posodobitve za zaščito pred ranljivostmi Spectre in Meltdown
Za odpravljanje teh ranljivosti morate posodobiti strojno in programsko opremo. Uporabite spodnje povezave in pri proizvajalcu naprave preverite, ali so na voljo ustrezne posodobitve vdelane programske opreme (mikrokod).
Na spodnjih povezavah lahko pri proizvajalcu naprave preverite, ali so na voljo posodobitve vdelane programske opreme (mikrokod). Za vso razpoložljivo zaščito boste morali namestiti posodobitve operacijskega sistema in vdelane programske opreme (mikrokod).
|
Proizvajalci strojne opreme |
Povezava do razpoložljive mikrokode |
|
Acer |
|
|
Asus |
|
|
Dell |
|
|
Epson |
|
|
Fujitsu |
Strojna oprema CPE, ranljiva za napade stranske kanale (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
|
HP |
|
|
Lenovo |
|
|
LG |
|
|
NEC |
O odzivu na ranljivost procesorja (zlom, spektro) v naših izdelkih |
|
Panasonic |
|
|
Samsung |
|
|
Surface |
Navodila za Surface za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja |
|
Toshiba |
|
|
Vaio |
|
Proizvajalci strežniške strojne opreme |
Povezava do razpoložljive mikrokode |
|
Dell |
|
|
Fujitsu |
Strojna oprema CPE, ranljiva za napade stranske kanale (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
|
HPE |
Hewlett Packard Enterprise Product Security Vulnerability Alerts |
|
Huawei |
|
|
Lenovo |
Pogosta vprašanja
Pri proizvajalcu naprave boste morali preveriti, ali so na voljo posodobitve vdelane programske opreme (mikrokod). Če proizvajalec naprave ni naveden v tabeli, se obrnite neposredno na proizvajalca strojne opreme.
Posodobitve za naprave Microsoft Surface so strankam na voljo prek Windows Update. Če si želite ogledati seznam posodobitev vdelane programske opreme (mikrokod) naprave Surface, ki so na voljo, glejte posodobitev KB 4073065.
Če vaša naprava ni Microsoftova, uporabite posodobitve vdelane programske opreme proizvajalca naprave. Za več informacij se obrnitena proizvajalca naprave.
Odpravljanje ranljivosti strojne opreme s posodobitvijo programske opreme predstavlja pomembne izzive in ublažitve posledic za starejše operacijske sisteme in lahko zahteva obsežne arhitekturne spremembe. Še naprej se trudimo s proizvajalci mikročir, na katere to vpliva, da raziščemo najboljši način za zagotavljanje ublažitev posledic. Ta posodobitev bo morda na voljo v prihodnji posodobitvi. Zamenjava starejših naprav, v katerih so nameščeni ti starejši operacijski sistemi, in posodabljanje protivirusne programske opreme bi morala upoštevati preostalo tveganje.
Opombe:
-
Izdelki, ki so trenutno zunaj osnovne in razširjene podpore, teh sistemskih posodobitev ne bodo prejeli. Priporočamo, da stranke posodobijo na podprto sistemsko različico.
-
Napadi stranskega kanala zaradi špekulativnega izvajanja izkoriščajo delovanje CPE-ja in njihovo delovanje. Proizvajalci CPE morajo najprej določiti, kateri procesorji so lahko ogroženi, nato pa o tem obvestiti Microsoft. V mnogih primerih bodo za zagotavljanje celovitejše zaščite strankam potrebne tudi ustrezne posodobitve operacijskega sistema. Priporočamo, da prodajalci ce sistema Windows, ki se zavedajo varnosti, delajo s proizvajalcem mikročipi ter tako razumejo ranljivosti in ustrezne ublažitve posledic.
-
Za te platforme ne bomo izdajali posodobitev:
-
operacijski sistemi Windows, za katere podpora trenutno ni na voljo oz. ki bodo ukinjeni leta 2018
-
Sistemi, ki temeljijo na sistemu Windows XP, vključno s sistemoma WES 2009 in POSReady 2009
-
Čeprav to vpliva na sisteme, ki temeljijo na sistemu Windows XP, Microsoft zanje ne bo izdal posodobitve, saj bi obsežne spremembe arhitekture, ki bi jih bilo treba izvesti, ogrozile stabilnost sistema in povzročile težave z združljivostjo aplikacij. Priporočamo, da uporabniki, ki jih skrbi varnost, izvedejo nadgradnjo na novejši podprt sistem in ostanejo v koraku s spreminjajočim se stanjem na področju varnostnih groženj, hkrati pa izkoristijo odpornejše načine zaščite, ki jih zagotavljajo novejši operacijski sistemi.
Posodobitve za Windows 10 holoLens so strankam naprave HoloLens na voljo prek Windows Update.
Po uporabi posodobitvesistema Windows iz februarja 2018 Varnost sistema Windows holoLens strankam ni treba izvesti nobenega dodatnega dejanja za posodobitev vdelane programske opreme naprave. Te ublažitve posledic bodo vključene tudi v vse prihodnje izdaje Windows 10 za HoloLens.
Za več informacij se obrnite na proizvajalca strojne opreme.
Če želite, da bo vaša naprava v celoti zaščitena, namestite najnovejše varnostne posodobitve operacijskega sistema Windows za svojo napravo in ustrezne posodobitve vdelane programske opreme (mikrokod) proizvajalca naprave. Te posodobitve bi morale biti na voljo na spletnem mestu proizvajalca vaše naprave. Najprej je treba namestiti posodobitve protivirusne programske opreme. Posodobitve operacijskega sistema in vdelane programske opreme je mogoče namestiti v poljubnem vrstnem redu.
Za odpravljanje te ranljivosti boste morali posodobiti tako strojno opremo kot tudi programsko opremo. Za celovitejšo zaščito boste morali namestiti tudi ustrezne posodobitve vdelane programske opreme (mikrokod) proizvajalca vaše naprave. Priporočamo, da vsak mesec namestite varnostne posodobitve ter s tem poskrbite za posodobljenost svojih naprav.
V vsaki Windows 10 posodobitev funkcij najnovejšo varnostno tehnologijo gradimo globoko v operacijski sistem in zagotavljamo funkcije za obrambo v globini, ki celotnim razredom zlonamerne programske opreme preprečujejo, da bi vplivali na vašo napravo. Izdaje posodobitev funkcij so predvidene dvakrat letno. Z vsako mesečno posodobitvijo kakovosti dodamo še eno raven varnosti, ki spremlja nastajajoče in spreminjajoče se trende na področju zlonamerne programske opreme, tako da so posodobljeni sistemi v obraz spreminjajočih in razvijajočih se groženj varnejši.
Microsoft je prek sistema Windows 10, Windows 8.1 in Windows 7 s servisnim paketom SP1 dvignil preverjanje združljivosti AV za varnostne posodobitve sistema Windows Windows Update. Priporočila:
-
Poskrbite, da bodo vaše naprave posodobljene, tako da boste namestili najnovejše varnostne posodobitve od Microsofta in proizvajalca strojne opreme. Če želite več informacij o tem, kako ohranjati posodobljeno napravo, glejte temo Windows Update: pogosta vprašanja.
-
Še naprej bodite razumno previdni, ko obiščete spletna mesta neznanega izvora in ne ostanete na spletnih mestih, ki jim ne zaupate. Microsoft priporoča, da vsi uporabniki zaščitijo svoje naprave s podprtim protivirusnim programom. Uporabniki lahko izkoristijo tudi vgrajeno protivirusno zaščito: Windows Defender za naprave s sistemom Windows 10 ali Microsoft Security Essentials za naprave s sistemom Windows 7. Te rešitve so združljive v primerih, ko uporabniki ne morejo namestiti ali zagnati protivirusne programske opreme.
Da ne bi negativno vplivali na naprave strank, varnostne posodobitve sistema Windows, izdane januarja ali februarja, niso bile ponujene vsem uporabnikom. Če želite več informacij, glejte članek v Microsoftovi zbirki 4072699.
Intel je prijavil težave, ki vplivajo na nedavno izdano mikrokod, ki je namenjena za odpravljanje težave Spectre Variant 2 (CVE-2017-5715 – »Branch Target Injection«). Intel je opazil, da ta mikrokod lahko povzroči »višje ponovne zagone od pričakovanega« in druga nepredvidljiva sistemska delovanja«, prav tako pa lahko takšne situacije povzročijo »izgubo ali poškodbo podatkov«. Naša izkušnja je, da lahko nestabilnosti sistema v nekaterih okoliščinah povzroči izgubo ali poškodbo podatkov. 22. januarja je Intel strankam priporočil, naj prenehajo uvajati trenutno različico mikrokod v prizadetih procesorjih, medtem ko izvajajo dodatno preskušanje posodobljene rešitve. Zavedamo se, da Intel še naprej preiskuje potencialni vpliv trenutne različice mikrokod, zato spodbujamo stranke, da redno pregledujejo svoja navodila in tako obveščajo svoje odločitve.
Medtem ko Intel testira, posodablja in uvaja novo mikrokod, smo omogočili posodobitev OOB (out-of-band), KB 4078130, ki posebej onemogoča samo ublažitev posledic CVE-2017-5715 – "Branch Target Injection." Med preskušanjem smo našli to posodobitev, ki preprečuje opis delovanja. Za celoten seznam naprav glejte Intelov pregled mikrokod. Ta posodobitev pokriva Windows 7 (SP1), Windows 8.1 in vse različice sistema Windows 10, tako odjemalske kot tudi strežniške. Če uporabljate prizadeto napravo, lahko to posodobitev namestite tako, da jo prenesete s spletnega mesta Katalog Microsoft Update. Uporaba te koristne vsebine posebej onemogoča samo ublažitev CVE-2017-5715 – "Branch Target Injection."
Od 25. januarja ni znanih poročil, ki bi nakazujejo, da je bil ta Spectre Variant 2 (CVE-2017-5715) uporabljen za napad na stranke. Priporočamo, da uporabniki sistema Windows po potrebi znova omogočijo ublažitev posledic CVE-2017-5715, ko Intel poroča, da je bilo to nepredvidljivo delovanje sistema za vašo napravo odpravljeno.
Ne. Samo varnostne posodobitve niso zbirne. Odvisno od različice operacijskega sistema, ki jo uporabljate, morate namestiti vse izdane samo varnostne posodobitve, ki bodo zaščitene pred temi ranljivostmi. Če na primer uporabljate Windows 7 za 32-bitne sisteme v prizadetem procesorju Intel, morate namestiti vsako samo varnostno posodobitev z januarjem 2018. Priporočamo, da te samo varnostne posodobitve namestite v vrstnem redu izdaje. Opomba V prejšnji različici teh pogostih vprašanj je bilo nepravilno navedeno, da je februarska samo varnostna posodobitev vključevala varnostne popravke, izdane januarja. Pravzaprav ne.
Ne. Varnostna posodobitev 4078130 je bil poseben popravek za preprečevanje nepredvidljivega delovanja sistema, težav z učinkovitostjo delovanja in nepričakovanih vnovičnih zagonov po namestitvi mikro kode. Uporaba februarski varnostnih posodobitev v odjemalskih operacijskih sistemih Windows omogoča vse tri ublažitve posledic. V strežniških operacijskih sistemih Windows morate ublažitev posledic še vedno omogočiti po tem, ko se izvede ustrezno preskušanje. Če želite več informacij, glejte članek 4072698 Microsoftovi zbirki znanja.
AMD pred kratkim napovedal, da so začeli izdajati mikrokod za novejše platforme CPU okoli Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Če želite več informacij, glejte Pravilniki o varnosti AMD PosodobitveAMD Whitepaper: Smernice za arhitekturo za nadzor posredne podveje. Te so na voljo v kanalu vdelane programske opreme proizvajalca strojne opreme.
Intel je pred kratkim napovedal, da so dokončali preverjanje veljavnosti in začeli izdajati mikrokod za novejše platforme CPE. Microsoft bo na voljo posodobitve mikro kode, preverjene s strani Intela, glede na Spectre Variant 2 (CVE-2017-5715 »Branch Target Injection«). V 4093836 zbirki znanja so navedeni določeni članki iz zbirke znanja glede na različico sistema Windows. Vsak KB posebej vsebuje Intelove posodobitve mikro kode procesorja, ki so na voljo.
Microsoft bo na voljo posodobitvah mikro kode, preverjene s strani Intela, glede na Spectre Variant 2 (CVE-2017-5715 »Branch Target Injection«). Če želijo stranke najnovejše posodobitve mikro kode Intel prenesti prek sistema Windows Update, morajo imeti pred nadgradnjo na posodobitev sistema Windows 10 v aprilu 2018 (različica 1803) nameščeno Intelov mikrokod v naprave s sistemom Windows 10.
Posodobitev mikro kode je na voljo tudi neposredno iz kataloga posodobitev, če pred nadgradnjo sistema ni bila nameščena v napravi. Mikrokod Intel je na voljo Windows Update, WSUS ali Katalog Microsoft Update. Če želite več informacij in navodila za prenos, glejte posodobitev KB 4100347.
Če želite več informacij, glejte te vire:
Če želite več informacij, glejte razdelka »Priporočena dejanja« in »Pogosta vprašanja« v ADV180012 | Microsoftova navodila za obhod špekulativnega shranjevanja.
Če želite preveriti stanje SSBD, je bil skript ogrodja Get-SpeculationControlSettings PowerShell posodobljen tako, da zazna prizadete procesorje, stanje posodobitev operacijskega sistema SSBD in stanje mikro kode procesorja, če je na voljo. Če želite več informacij in če želite pridobiti skript ogrodja PowerShell, glejte KB4074629.
13. junija 2018 je bila objavljena dodatna ranljivost stranskega kanala, ki vključuje špekulativno izvajanje, znano kot obnovitev stanja Lazy FP, in dodeljena CVE-2018-3665. Za obnovitev FP lenih podatkov ni potrebna konfiguracija (register).
Če želite več informacij o tej ranljivosti in priporočenih dejanjih, glejte varnostni svetovalec: ADV180016 | Microsoftova navodila za obnovitev stanja lenih FP
OpombaZa obnovitev FP lenih podatkov ni potrebna konfiguracija (register).
Trgovina BCBS (Bounds Check Bypass Store) je bila razkrita 10. julija 2018 in dodeljena cve-2018-3693. Priporočamo, da BCBS pripadajo istemu razredu ranljivosti kot obhod preverjanja mej (Različica 1). Trenutno ne vemo za noben primerek BCBS v naši programski opremi, vendar še naprej raziskujemo ta razred ranljivosti in bomo s partnerji panoge izdajali ublažitve posledic, kot je potrebno. Raziskovalce še naprej spodbujamo, da vse ustrezne ugotovitve predložijo v Microsoftov program nagrado stranskega kanala špekulativnega izvajanja, vključno z vsemi izkoriščevalimi primeri BCBS. Razvijalci programske opreme naj pregledajo navodila za razvijalce, ki so bila posodobljena za BCBS na https://aka.ms/sescdevguide.
14. avgusta 2018 je bila napovedana terminalska napaka L1 (L1TF) in je bila dodeljena več cvEs. Te nove ranljivosti stranskega kanala zaradi špekulativnega izvajanja je mogoče uporabiti za branje vsebine pomnilnika prek zaupanja vredne meje in lahko, če so izkoriščane, privede do razkritja informacij. Obstaja več vektorjev, s katerimi lahko napadalec sproži ranljivosti, odvisno od konfiguriranega okolja. Funkcija L1TF vpliva na procesorje Intel® Core® in procesorje Intel® Xeon®.
Če želite več informacij o tej ranljivosti in podrobnem pogledu scenarijev, na katere to vpliva, vključno z Microsoftovim pristopom k omenjuje L1TF, glejte te vire:
Stranke naprave Microsoft Surface: Stranke, ki uporabljajo Microsoft Surface in Surface Book, morajo upoštevati navodila za odjemalca sistema Windows, ki so opisana v varnostnem nasvetu: ADV180018 | Microsoftova navodila za ublažitev različice L1TF. Če želite več informacij o izdelkih Surface, na katere 4073065 to vpliva , in razpoložljivosti posodobitev mikro kode, glejte tudi članek v Microsoftovi zbirki znanja.
Stranke naprave Microsoft Hololens: Microsoft HoloLens na sistem L1TF ne vpliva, ker ne uporablja procesorja Intel, na katero to vpliva.
Koraki, ki so potrebni za Hyper-Threading, se bodo razlikovali od OEM-ja do proizvajalca strojne opreme, vendar so običajno del BIOS-a ali nastavitve vdelane programske opreme in orodij za konfiguracijo.
Stranke, ki uporabljajo 64-bitne procesorje ARM, morajo pri proizvajalcu strojne opreme preveriti, ali podpira vdelano programsko opremo, saj morajo zaščite operacijskega sistema ARM64, ki ublažijo CVE-2017-5715 – ciljno injiciranje veje (Spectre, Variant 2), za uporabo izvesti najnovejšo posodobitev vdelane programske opreme proizvajalca strojne opreme naprave.
Podrobnosti o tej ranljivosti najdete v Microsoftovem varnostnem priročniku: CVE-2019-1125 | Ranljivost razkritja informacij v sistemu Windows.
Ne zavedamo se nobene ranljivosti zaradi razkritja informacij, ki vpliva na infrastrukturo naših storitev v oblaku.
Takoj ko smo se zavedali te težave, smo se hitro odpravili in izdali posodobitev. Trdno verjamemo v tesna partnerstva z raziskovalci in industrijskimi partnerji, da bi izboljšali varnost strank, in do torka 6. avgusta niso objavili podrobnosti, ki so v skladu s usklajenimi praksami razkritja ranljivosti.
Sklici
Microsoft ponuja podatke za stik tretjih oseb, s katerimi lahko poiščete dodatne informacije o tej temi. Ti podatki za stik se lahko spremenijo brez obvestila. Microsoft ne zagotavlja točnosti podatkov za stik tretjih oseb.
