Ändra datum |
Ändra beskrivning |
---|---|
den 9 augusti 2023 |
|
9 april 2024 |
|
Sammanfattning
Den här artikeln innehåller information och uppdateringar för en ny klass av silicon-baserade säkerhetsproblem med mikroarkectural och spekulativ exekvering som påverkar många moderna processorer och operativsystem. Den innehåller också en omfattande lista över windows-klient- och serverresurser som hjälper dig att skydda dina enheter hemma, på jobbet och i hela företaget. Detta omfattar Intel, AMD och ARM. Specifik sårbarhetsinformation för dessa silicon-baserade problem finns i följande säkerhetsrekommendationer och cv:er:
-
ADV180013 – Microsoft Guidance for Rogue System Register Read
-
ADV190013 – Microsofts vägledning för att minska sårbarheter för mikroarchitectural datainsamling
-
ADV220002 – Microsoft Guidance on Intel Processor MMIO Stale Data Vulnerabilities
Den 3 januari 2018 släppte Microsoft en rådgivande och säkerhetsrelaterad uppdatering relaterad till en nyupptäckt klass av maskinvarurisker (kallas Spectre och Meltdown) som involverar spekulativa sidokanaler för körning som påverkar AMD-, ARM- och Intel-processorer i varierande grad. Den här säkerhetsklassen baseras på en vanlig kretsarkitektur som ursprungligen utformades för att snabba upp datorer. Du kan läsa mer om dessa sårbarheter i Google Project Zero.
Den 21 maj 2018 avslöjade Google Project Zero (GPZ), Microsoft och Intel två nya kretsrisker som är relaterade till Spectre- och Meltdown-problemen och kallas Speculative Store Bypass (SSB) och Rogue System Registry Read. Kundrisken från båda upplysningarna är låg.
Mer information om dessa sårbarheter finns i de resurser som listas under Uppdateringar av Windows-operativsystem i maj 2018 och se följande säkerhetsrekommendationer:
-
ADV180012 | Microsoft-vägledning för Speculative Store Bypass
-
ADV180013 | Microsoft Guidance for Rogue System Register Read
Den 13 juni 2018 tillkännagavs en ytterligare sårbarhet med spekulativ exekvering i sidokanaler, kallad Lazy FP State Restore, och tilldelades CVE-2018-3665. Mer information om den här säkerhetsrisken och rekommenderade åtgärder finns i följande säkerhetsmeddelande:
Den 14 augusti 2018, L1 Terminal Fault (L1TF), tillkännagavs en ny spekulativ exekvering sidokanal säkerhetsproblem som har flera CVE. L1TF påverkar Intel® Core-processorer® och Intel® Xeon-processorer®. Mer information om L1TF och rekommenderade åtgärder finns i vår säkerhetsmeddelande:
Obs! Vi rekommenderar att du installerar alla de senaste uppdateringarna från Windows Update innan du installerar mikrokoduppdateringar.
Den 14 maj 2019 publicerade Intel information om en ny underklass av säkerhetsrisker med spekulativ exekvering som kallas Microarchitectural Data Sampling. De har tilldelats följande cv:er:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Microarchitectural Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 – "Microarchitectural Load Port Data Sampling (MLPDS)"
Viktigt: De här problemen påverkar andra system som Android, Chrome, iOS och MacOS. Vi rekommenderar kunderna att söka vägledning från sina respektive leverantörer.
Microsoft har släppt uppdateringar för att minska dessa sårbarheter. För att få alla tillgängliga skydd krävs inbyggd programvara (mikrokod) och programuppdateringar. Detta kan inkludera mikrokod från OEM-tillverkare på enheten. I vissa fall påverkas prestandan om du installerar de här uppdateringarna. Vi har också agerat för att skydda våra molntjänster.
Obs! Vi rekommenderar att du installerar de senaste uppdateringarna från Windows Update innan du installerar mikrokoduppdateringar.
Mer information om dessa problem och rekommenderade åtgärder finns i följande säkerhetsmeddelande:
Den 6 augusti 2019 släppte Intel information om en säkerhetsrisk med information om Windows kernel. Den här säkerhetsrisken är en variant av spectre variant 1-säkerhetsrisken för spekulativ exekvering och har tilldelats CVE-2019-1125.
Microsoft släppte en säkerhetsuppdatering för Windows-operativsystemet den 9 juli 2019 för att minimera problemet. Kunder som har Windows Update aktiverat och har tillämpat säkerhetsuppdateringarna som släpptes 9 juli 2019 skyddas automatiskt. Observera att den här säkerhetsrisken inte kräver någon mikrokoduppdatering från enhetstillverkaren (OEM).
Mer information om den här säkerhetsrisken och tillämpliga uppdateringar finns i CVE-2019-1125 | Windows kernel informationsläcka säkerhetsrisker i Microsoft Security Update Guide.
Den 14 juni 2022 publicerade Intel information om en ny underklass av säkerhetsrisker med minnesmappad I/O (MMIO) för spekulativ körning som listas i rådgivningen:
Steg för att skydda dina Windows-enheter
Du kan behöva uppdatera både din inbyggda programvara (mikrokod) och din programvara för att åtgärda dessa sårbarheter. Se Microsofts säkerhetsrådgivare för rekommenderade åtgärder. Detta omfattar tillämpliga uppdateringar av inbyggd programvara (mikrokod) från enhetstillverkare och i vissa fall uppdateringar av ditt antivirusprogram. Vi rekommenderar att du håller dina enheter uppdaterade genom att installera de månatliga säkerhetsuppdateringarna.
Följ de här anvisningarna för att få de senaste uppdateringarna för både programvara och maskinvara för att få alla tillgängliga skydd.
Obs!: Innan du börjar kontrollerar du att antivirusprogrammet (AV) är uppdaterat och kompatibelt. Läs den senaste informationen om kompatibilitet på antivirusleverantörens webbplats.
-
Håll din Windows-enhet uppdaterad genom att aktivera automatiska uppdateringar.
-
Kontrollera att du har installerat Microsofts senaste säkerhetsuppdatering för ditt Windows-operativsystem. Om automatiska uppdateringar är aktiverade ska uppdateringarna levereras automatiskt till dig. Du bör dock fortfarande kontrollera att de är installerade. Anvisningar finns i Windows Update: Vanliga frågor och svar
-
Installera tillgängliga uppdateringar av inbyggd programvara (mikrokod) från enhetstillverkaren. Alla kunder måste kontakta enhetstillverkaren för att ladda ned och installera sin enhetsspecifika maskinvaruuppdatering. Se avsnittet "Ytterligare resurser" för en lista över enhetstillverkares webbplatser.
Obs!: Kunderna bör installera de senaste säkerhetsuppdateringarna för Windows-operativsystem från Microsoft för att dra nytta av tillgängliga skydd. Uppdateringar av antivirusprogram ska installeras först. Sedan installerar du uppdateringar för operativsystem och inbyggd programvara. Vi rekommenderar att du håller dina enheter uppdaterade genom att installera de månatliga säkerhetsuppdateringarna.
Berörda kretsar inkluderar de som tillverkas av Intel, AMD och ARM. Det innebär att alla enheter som kör Windows-operativsystem är potentiellt sårbara. Detta omfattar stationära datorer, bärbara datorer, molnservrar och smartphones. Enheter som kör andra operativsystem, till exempel Android, Chrome, iOS och macOS, påverkas också. Vi rekommenderar kunder som kör dessa operativsystem att söka vägledning från dessa leverantörer.
Vid tidpunkten för publiceringen hade vi inte fått någon information som tyder på att dessa sårbarheter har använts för att attackera kunder.
Från och med januari 2018 släppte Microsoft uppdateringar för Windows-operativsystem och webbläsarna Internet Explorer och Edge för att minska dessa sårbarheter och skydda kunderna. Vi har också släppt uppdateringar för att skydda våra molntjänster. Vi fortsätter att samarbeta med branschpartners, inklusive chiptillverkare, OEM-tillverkare för maskinvara och appleverantörer, för att skydda kunderna mot denna säkerhetsklass.
Vi rekommenderar att du alltid installerar de månatliga uppdateringarna för att hålla dina enheter uppdaterade och säkra.
Vi uppdaterar den här dokumentationen när nya lösningar blir tillgängliga, och vi rekommenderar att du återkommer hit regelbundet.
Uppdateringar av Windows-operativsystemet juli 2019
Den 6 augusti 2019 avslöjade Intel information om säkerhetsrisker CVE-2019-1125 | Windows kernel informationsläcka sårbarhet. Säkerhetsuppdateringar för den här säkerhetsrisken släpptes som en del av månadsuppdateringen för juli 9 juli 2019.
Microsoft släppte en säkerhetsuppdatering för Windows-operativsystemet den 9 juli 2019 för att minimera problemet. Vi höll tillbaka med att dokumentera denna begränsning offentligt fram till den samordnade branschupplysningen tisdagen den 6 augusti 2019.
Kunder som har Windows Update aktiverat och har tillämpat säkerhetsuppdateringarna som släpptes 9 juli 2019 skyddas automatiskt. Observera att den här säkerhetsrisken inte kräver någon mikrokoduppdatering från enhetstillverkaren (OEM).
Uppdateringar av operativsystemet Windows maj 2019
Den 14 maj 2019 publicerade Intel information om en ny underklass av säkerhetsrisker med spekulativ exekvering som kallas Microarchitectural Data Sampling och tilldelades följande cv:er:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Microarchitectural Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 – "Microarchitectural Load Port Data Sampling (MLPDS)"
Mer information om det här problemet finns i följande säkerhetsmeddelande och använda scenariobaserad vägledning som beskrivs i Windows-vägledningen för klienter och serverartiklar för att fastställa åtgärder som krävs för att minimera hotet:
Microsoft har släppt skydd mot en ny underklass av säkerhetsrisker med spekulativ exekvering som kallas Microarchitectural Data Sampling för 64-bitars (x64) versioner av Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).
Använd registerinställningarna enligt beskrivningen i artiklarna om Windows-klient (KB4073119) och Windows Server (KB4457951). Dessa registerinställningar är aktiverade som standard för Windows-klientoperativsystem och Windows Server-operativsystem.
Vi rekommenderar att du installerar alla de senaste uppdateringarna från Windows Update först innan du installerar några mikrokoduppdateringar.
Mer information om det här problemet och rekommenderade åtgärder finns i följande säkerhetsmeddelande:
Intel har släppt en mikrokoduppdatering för de senaste CPU-plattformarna för att minimera CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. Windows KB-4093836 från 14 maj 2019 listar specifika Knowledge Base-artiklar efter Windows OS-version. Artikeln innehåller också länkar till de tillgängliga Intel-mikrokoduppdateringarna via CPU. De här uppdateringarna är tillgängliga via Microsoft Catalog.
Obs! Vi rekommenderar att du installerar alla de senaste uppdateringarna från Windows Update innan du installerar mikrokoduppdateringar.
Vi är glada att kunna meddela att Retpoline är aktiverat som standard på Windows 10 version 1809 enheter (för klient och server) om Spectre Variant 2 (CVE-2017-5715) är aktiverat. Genom att aktivera Retpoline i den senaste versionen av Windows 10 kan vi via uppdateringen från 14 maj 2019 (KB 4494441) förvänta oss bättre prestanda, särskilt på äldre processorer.
Kunderna bör se till att tidigare OS-skydd mot Spectre Variant 2-säkerhetsrisken aktiveras med hjälp av de registerinställningar som beskrivs i artiklarna för Windows-klient och Windows Server . (Dessa registerinställningar är aktiverade som standard för Windows-klientoperativsystem, men inaktiverade som standard för Windows Server-operativsystem. Mer information om "Retpoline" finns i Begränsa riskerna för Spectre variant 2 med Retpoline i Windows.
Uppdateringar av Windows-operativsystemet i november 2018
Microsoft har släppt operativsystemskydd för Speculative Store Bypass (CVE-2018-3639) för AMD-processorer (CPU).
Microsoft har släppt ytterligare operativsystemskydd för kunder som använder 64-bitars ARM-processorer. Kontakta tillverkaren av oem-tillverkaren för inbyggd programvara eftersom ARM64-operativsystemskydd som minimerar CVE-2018-3639, Speculative Store Bypass, kräver den senaste uppdateringen av den inbyggda programvaran från enhets-OEM-tillverkaren.
Uppdateringar av Windows-operativsystemet i september 2018
Den 11 september 2018 Microsoft släppte Windows Server 2008 SP2 Månatlig samlad uppdatering 4458010 och endast säkerhetsrelaterad 4457984 för Windows Server 2008 som ger skydd mot en ny spekulativ exekveringsrisk i sidokanal som kallas L1 Terminal Fault (L1TF) som påverkar Intel® Core-processorer® och Intel® Xeon-processorer® (CVE-2018-3620 och CVE-2018-3646).
Den här versionen kompletterar de ytterligare skydden för alla Windows-systemversioner som stöds via Windows Update. Mer information och en lista över berörda produkter finns i ADV180018 | Microsoft Guidance to mitigate L1TF variant.
Obs! Windows Server 2008 SP2 följer nu den samlade standardmodellen för Windows-underhåll. Mer information om dessa ändringar finns i vår blogg om underhållsändringar för Windows Server 2008 SP2. Kunder som kör Windows Server 2008 ska installera antingen 4458010 eller 4457984 utöver 4341832, som släpptes 14 augusti 2018. Kunderna bör också se till att tidigare operativsystemskydd mot Spectre Variant 2 och Meltdown är aktiverade med hjälp av registerinställningarna som beskrivs i kb-artiklarna för Windows-klient och Windows Server . Dessa registerinställningar är aktiverade som standard för Windows-klientoperativsystem, men är inaktiverade som standard för Windows Server-operativsystem.
Microsoft har släppt ytterligare operativsystemskydd för kunder som använder 64-bitars ARM-processorer. Kontakta tillverkaren av oem-tillverkaren för inbyggd programvara eftersom ARM64-operativsystemskydd som minimerar CVE-2017-5715 – Branch target injection (Spectre, Variant 2) kräver att den senaste uppdateringen av den inbyggda programvaran från enhetens OEM-tillverkare börjar gälla.
Uppdateringar av Windows-operativsystemet augusti 2018
Den 14 augusti 2018 tillkännagavs L1 Terminal Fault (L1TF) och tilldelades flera cv:er. Dessa nya säkerhetsrisker med spekulativ exekvering kan användas för att läsa innehållet i minnet över en betrodd gräns och, om det utnyttjas, kan leda till att information avslöjas. Det finns flera vektorer som kan utlösa sårbarheterna beroende på den konfigurerade miljön. L1TF påverkar Intel® Core-processorer® och Intel® Xeon-processorer®.
Mer information om L1TF och en detaljerad vy över berörda scenarier, inklusive Microsofts metod för att begränsa riskerna för L1TF, finns i följande resurser:
Uppdateringar av Windows-operativsystemet juli 2018
Vi är glada att kunna meddela att Microsoft har släppt ytterligare skydd för alla windows-systemversioner som stöds via Windows Update för följande sårbarheter:
-
Spectre Variant 2 för AMD-processorer
-
Speculative Store Bypass för Intel-processorer
Den 13 juni 2018 tillkännagavs en ytterligare sårbarhet med spekulativ exekvering i sidokanaler, kallad Lazy FP State Restore, och tilldelades CVE-2018-3665. Det behövs inga konfigurationsinställningar (registerinställningar) för Lazy Restore FP Restore.
Mer information om den här säkerhetsrisken, berörda produkter och rekommenderade åtgärder finns i följande säkerhetsmeddelande:
Den 12 juni meddelade Microsoft Windows-stöd för Speculative Store Bypass Disable (SSBD) i Intel-processorer. Uppdateringarna kräver motsvarande inbyggda programvara (mikrokod) och registeruppdateringar för funktionalitet. Mer information om uppdateringarna och anvisningarna för att aktivera SSBD finns i avsnittet Rekommenderade åtgärder i ADV180012 | Microsoft Guidance for Speculative Store Bypass.
Uppdateringar av Windows-operativsystemet i maj 2018
I januari 2018 släppte Microsoft information om en nyupptäckt klass av maskinvarurisker (kallas Spectre och Meltdown) som involverar spekulativa sidokanaler för körning som påverkar AMD-, ARM- och Intel-PROCESSORer i varierande grad. Den 21 maj 2018 avslöjade Google Project Zero (GPZ), Microsoft och Intel två nya kretsrisker som är relaterade till Spectre- och Meltdown-problemen som kallas Speculative Store Bypass (SSB) och Rogue System Registry Read.
Kundrisken från båda upplysningarna är låg.
Mer information om dessa sårbarheter finns i följande resurser:
-
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639
-
Microsoft Security Advisory for Rogue System Register Läs: MSRC ADV180013och CVE-2018-3640
-
Security Research and Defense: Analys och begränsning av spekulativ store bypass (CVE-2018-3639)
Gäller för: Windows 10 version 1607, Windows Server 2016, Windows Server 2016 (Server Core-installation) och Windows Server version 1709 (Server Core-installation)
Vi har gett stöd för att styra användningen av Indirect Branch Prediction Barrier (IBPB) inom vissa AMD-processorer (CPU) för att begränsa riskerna för CVE-2017-5715, Spectre Variant 2 när du byter från användarkontext till kernelkontext. (Mer information finns i AMD-arkitekturriktlinjerna för Indirect Branch Control och AMD Security Uppdateringar).
Kunder som kör Windows 10 version 1607, Windows Server 2016, Windows Server 2016 (Server Core-installation) och Windows Server version 1709 (Server Core-installation) måste installera säkerhetsuppdatering 4103723 för ytterligare åtgärder för AMD-processorer för CVE-2017-5715, Branch Target Injection. Den här uppdateringen är också tillgänglig via Windows Update.
Följ anvisningarna i KB 4073119 för Windows-klientvägledning (IT Pro) och KB-4072698 för Windows Server-vägledning för att aktivera användning av IBPB i vissa AMD-processorer (CPU: er) för att begränsa riskerna för Spectre Variant 2 när du växlar från användarkontext till kernelkontext.
Microsoft gör tillgängliga Intel-validerade mikrokoduppdateringar kring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). För att få de senaste Intel-mikrokoduppdateringarna via Windows Update måste kunderna ha installerat Intel-mikrokod på enheter som kör ett Windows 10 operativsystem innan de uppgraderar till april 2018-uppdateringen för Windows 10 (version 1803).
Mikrokoduppdateringen finns även tillgänglig direkt från Catalog om den inte hade installerats på enheten innan operativsystemet uppgraderades. Intels mikrokod är tillgängligt via Windows Update, WSUS eller Microsoft Update Catalog. Mer information och instruktioner för nedladdning finns i KB-4100347.
Vi kommer att erbjuda ytterligare mikrokoduppdateringar från Intel för Windows-operativsystemet när de blir tillgängliga för Microsoft.
Gäller för: Windows 10 version 1709
Vi har gett stöd för att styra användningen av Indirect Branch Prediction Barrier (IBPB) inom vissa AMD-processorer (CPU) för att begränsa riskerna för CVE-2017-5715, Spectre Variant 2 när du byter från användarkontext till kernelkontext. (Mer information finns i AMD-arkitekturriktlinjerna för Indirect Branch Control och AMD Security Uppdateringar). Följ anvisningarna i KB 4073119 för Windows-klientvägledning (IT-proffs) för att aktivera användning av IBPB i vissa AMD-processorer (CPU) för att begränsa riskerna för Spectre Variant 2 när du växlar från användarkontext till kernelkontext.
Microsoft gör tillgängliga Intel-validerade mikrokoduppdateringar kring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 listar specifika Knowledge Base-artiklar efter Windows-version. Varje specifik KB innehåller de senaste tillgängliga Intel-mikrokoduppdateringarna per CPU.
Vi kommer att erbjuda ytterligare mikrokoduppdateringar från Intel för Windows-operativsystemet när de blir tillgängliga för Microsoft.
Uppdateringar av Windows-operativsystemet i mars 2018 och senare
23 mars, TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown på Windows
14 mars, Security Tech Center: Villkor för spekulativ exekvering sidokanal Bounty Program
13 mars, blogg: Mars 2018 Windows-säkerhet Uppdatering – utöka vårt arbete för att skydda kunder
1 mars, blogg: Uppdatering om säkerhetsuppdateringar för Spectre och Meltdown för Windows-enheter
Från och med mars 2018 släppte Microsoft säkerhetsuppdateringar för att tillhandahålla lösningar för enheter som kör följande x86-baserade Windows-operativsystem. Kunderna bör installera de senaste säkerhetsuppdateringarna för Windows-operativsystemet för att dra nytta av de tillgängliga skydden. Vi arbetar med att skydda andra Versioner av Windows som stöds, men vi har för närvarande inget utgivningsschema. Kom tillbaka hit för att få uppdateringar. Mer information finns i den relaterade Knowledge Base-artikeln för teknisk information och avsnittet Vanliga frågor och svar.
Produktuppdatering släppt |
Status |
Utgivningsdatum |
Utgivningskanal |
KB |
Windows 8.1 & Windows Server 2012 R2 – endast säkerhetsrelaterad uppdatering |
Utgiven |
13-mar |
WSUS, Catalog, |
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 – endast säkerhetsrelaterad uppdatering |
Utgiven |
13-mar |
WSUS, Catalog |
|
Windows Server 2012 – endast säkerhetsrelaterad uppdatering Windows 8 Embedded Standard Edition – endast säkerhetsrelaterad uppdatering |
Utgiven |
13-mar |
WSUS, Catalog |
|
Windows 8.1 & Windows Server 2012 R2 – månatlig samlad uppdatering |
Utgiven |
13-mar |
WU, WSUS, Catalog |
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 – månatlig samlad uppdatering |
Utgiven |
13-mar |
WU, WSUS, Catalog |
|
Windows Server 2012 – månatlig samlad uppdatering Windows 8 Embedded Standard Edition – månatlig samlad uppdatering |
Utgiven |
13-mar |
WU, WSUS, Catalog |
|
Windows Server 2008 SP2 |
Utgiven |
13-mar |
WU, WSUS, Catalog |
Från och med mars 2018 släppte Microsoft säkerhetsuppdateringar för att tillhandahålla lösningar för enheter som kör följande x64-baserade Windows-operativsystem. Kunderna bör installera de senaste säkerhetsuppdateringarna för Windows-operativsystemet för att dra nytta av de tillgängliga skydden. Vi arbetar med att skydda andra Versioner av Windows som stöds, men vi har för närvarande inget utgivningsschema. Kom tillbaka hit för att få uppdateringar. Mer information finns i den relaterade kunskapsbas artikeln för teknisk information och avsnittet Vanliga frågor och svar.
Produktuppdatering släppt |
Status |
Utgivningsdatum |
Utgivningskanal |
KB |
Windows Server 2012 – endast säkerhetsrelaterad uppdatering Windows 8 Embedded Standard Edition – endast säkerhetsrelaterad uppdatering |
Utgiven |
13-mar |
WSUS, Catalog |
|
Windows Server 2012 – månatlig samlad uppdatering Windows 8 Embedded Standard Edition – månatlig samlad uppdatering |
Utgiven |
13-mar |
WU, WSUS, Catalog |
|
Windows Server 2008 SP2 |
Utgiven |
13-mar |
WU, WSUS, Catalog |
Den här uppdateringen åtgärdar en säkerhetsrisk med ökad behörighet i Windows kernel i 64-bitarsversionen (x64) av Windows. Den här säkerhetsrisken beskrivs i CVE-2018-1038. Användarna måste tillämpa den här uppdateringen för att vara helt skyddade mot den här säkerhetsrisken om deras datorer uppdaterades den 2018 januari 2018 eller senare genom att tillämpa någon av de uppdateringar som anges i följande Knowledge Base-artikel:
Den här säkerhetsuppdateringen åtgärdar flera rapporterade sårbarheter i Internet Explorer. Mer information om dessa sårbarheter finns i Microsoft Common Vulnerabilities and Exposures.
Produktuppdatering släppt |
Status |
Utgivningsdatum |
Utgivningskanal |
KB |
Internet Explorer 10 – kumulativ uppdatering för Windows 8 Embedded Standard Edition |
Utgiven |
13-mar |
WU, WSUS, Catalog |
Uppdateringar av Windows-operativsystemet i februari 2018
Blogg: Windows Analytics hjälper nu till att bedöma skydd mot Spectre och Meltdown
Följande säkerhetsuppdateringar ger ytterligare skydd för enheter som kör 32-bitars (x86) Windows-operativsystem. Microsoft rekommenderar kunderna att installera uppdateringen så snart den blir tillgänglig. Vi fortsätter att arbeta med att skydda andra Versioner av Windows som stöds, men vi har för närvarande inget utgivningsschema. Kom tillbaka hit för att få uppdateringar.
Obs! Windows 10 månatliga säkerhetsuppdateringarna är kumulativa månad för månad och laddas ned och installeras automatiskt från Windows Update. Om du har installerat tidigare uppdateringar laddas bara de nya delarna ned och installeras på enheten. Mer information finns i den relaterade Knowledge Base-artikeln för teknisk information och avsnittet Vanliga frågor och svar.
Produktuppdatering släppt |
Status |
Utgivningsdatum |
Utgivningskanal |
KB |
Windows 10 – version 1709 / Windows Server 2016 (1709) / IoT Core – kvalitetsuppdatering |
Utgiven |
31-jan |
WU, Catalog |
|
Windows Server 2016 (1709) – serverbehållare |
Utgiven |
13-feb |
Docker Hub |
|
Windows 10 – version 1703 / IoT Core – kvalitetsuppdatering |
Utgiven |
13-feb |
WU, WSUS, Catalog |
|
Windows 10 - Version 1607 / Windows Server 2016 / IoT Core - Kvalitetsuppdatering |
Utgiven |
13-feb |
WU, WSUS, Catalog |
|
Windows 10 HoloLens – operativsystem och inbyggd programvara Uppdateringar |
Utgiven |
13-feb |
WU, Catalog |
|
Windows Server 2016 (1607) – behållaravbildningar |
Utgiven |
13-feb |
Docker Hub |
|
Windows 10 – version 1511 / IoT Core – kvalitetsuppdatering |
Utgiven |
13-feb |
WU, WSUS, Catalog |
|
Windows 10 – version RTM – kvalitetsuppdatering |
Utgiven |
13-feb |
WU, WSUS, Catalog |
Uppdateringar av Windows-operativsystemet i januari 2018
Blogg: Förstå prestandaeffekterna av Spectre och Meltdown Mitigations på Windows-system
Från och med januari 2018 släppte Microsoft säkerhetsuppdateringar för att tillhandahålla lösningar för enheter som kör följande x64-baserade Windows-operativsystem. Kunderna bör installera de senaste säkerhetsuppdateringarna för Windows-operativsystemet för att dra nytta av de tillgängliga skydden. Vi arbetar med att skydda andra Versioner av Windows som stöds, men vi har för närvarande inget utgivningsschema. Kom tillbaka hit för att få uppdateringar. Mer information finns i den relaterade Knowledge Base-artikeln för teknisk information och avsnittet Vanliga frågor och svar.
Produktuppdatering släppt |
Status |
Utgivningsdatum |
Utgivningskanal |
KB |
Windows 10 – version 1709 / Windows Server 2016 (1709) / IoT Core – kvalitetsuppdatering |
Utgiven |
3-jan |
WU, WSUS, Catalog, Azure Image Gallery |
|
Windows Server 2016 (1709) – serverbehållare |
Utgiven |
5-jan |
Docker Hub |
|
Windows 10 – version 1703 / IoT Core – kvalitetsuppdatering |
Utgiven |
3-jan |
WU, WSUS, Catalog |
|
Windows 10 – version 1607 / Windows Server 2016 / IoT Core – kvalitetsuppdatering |
Utgiven |
3-jan |
WU, WSUS, Catalog |
|
Windows Server 2016 (1607) – behållaravbildningar |
Utgiven |
4-jan |
Docker Hub |
|
Windows 10 – version 1511 / IoT Core – kvalitetsuppdatering |
Utgiven |
3-jan |
WU, WSUS, Catalog |
|
Windows 10 – version RTM – kvalitetsuppdatering |
Utgiven |
3-jan |
WU, WSUS, Catalog |
|
Windows 10 Mobile (OS-version 15254.192) – ARM |
Utgiven |
5-jan |
WU, Catalog |
|
Windows 10 Mobile (OS-version 15063.850) |
Utgiven |
5-jan |
WU, Catalog |
|
Windows 10 Mobile (OS-version 14393.2007) |
Utgiven |
5-jan |
WU, Catalog |
|
Windows 10 HoloLens |
Utgiven |
5-jan |
WU, Catalog |
|
Windows 8.1 / Windows Server 2012 R2 – endast säkerhetsrelaterad uppdatering |
Utgiven |
3-jan |
WSUS, Catalog |
|
Windows Embedded 8.1 Industry Enterprise |
Utgiven |
3-jan |
WSUS, Catalog |
|
Windows Embedded 8.1 Industry Pro |
Utgiven |
3-jan |
WSUS, Catalog |
|
Windows Embedded 8.1 Pro |
Utgiven |
3-jan |
WSUS, Catalog |
|
Windows 8.1 / Windows Server 2012 R2 månatlig samlad uppdatering |
Utgiven |
8-jan |
WU, WSUS, Catalog |
|
Windows Embedded 8.1 Industry Enterprise |
Utgiven |
8-jan |
WU, WSUS, Catalog |
|
Windows Embedded 8.1 Industry Pro |
Utgiven |
8-jan |
WU, WSUS, Catalog |
|
Windows Embedded 8.1 Pro |
Utgiven |
8-jan |
WU, WSUS, Catalog |
|
Windows Server 2012 endast säkerhet |
Utgiven |
WSUS, Catalog |
||
Windows Server 2008 SP2 |
Utgiven |
WU, WSUS, Catalog |
||
Windows Server 2012 månatlig samlad uppdatering |
Utgiven |
WU, WSUS, Catalog |
||
Windows Embedded 8 Standard |
Utgiven |
WU, WSUS, Catalog |
||
Windows 7 SP1 / Windows Server 2008 R2 SP1 – endast säkerhetsrelaterad uppdatering |
Utgiven |
3-jan |
WSUS, Catalog |
|
Windows Embedded Standard 7 |
Utgiven |
3-jan |
WSUS, Catalog |
|
Windows Embedded POSReady 7 |
Utgiven |
3-jan |
WSUS, Catalog |
|
Windows Thin PC |
Utgiven |
3-jan |
WSUS, Catalog |
|
Windows 7 SP1 / Windows Server 2008 R2 SP1 månatlig samlad uppdatering |
Utgiven |
4-jan |
WU, WSUS, Catalog |
|
Windows Embedded Standard 7 |
Utgiven |
4-jan |
WU, WSUS, Catalog |
|
Windows Embedded POSReady 7 |
Utgiven |
4-jan |
WU, WSUS, Catalog |
|
Windows Thin PC |
Utgiven |
4-jan |
WU, WSUS, Catalog |
|
Internet Explorer 11 – kumulativ uppdatering för Windows 7 SP1 och Windows 8.1 |
Utgiven |
3-jan |
WU, WSUS, Catalog |
Den 9 april 2024 publicerade vi CVE-2022-0001 | Intel Branch History Injection som beskriver Branch History Injection (BHI) som är en specifik form av BTI i intraläge. Den här säkerhetsrisken inträffar när en angripare kan manipulera grenhistoriken innan den övergår från användare till övervakarläge (eller från VMX-icke-rot/gäst till rotläge). Den här manipulationen kan leda till att en indirekt branchförutsägare väljer en specifik prediktorpost för en indirekt gren, och en informationsgadget vid det förväntade målet körs tillfälligt. Detta kan vara möjligt eftersom den relevanta grenhistoriken kan innehålla filialer som tagits i tidigare säkerhetskontexter, och i synnerhet andra prediktorlägen.
Följ anvisningarna i KB4073119 för Windows-klientvägledning (IT-proffs) och KB4072698 för Windows Server-vägledning för att minska de sårbarheter som beskrivs i CVE-2022-0001 | Intel Branch History Injection.
Resurser och teknisk vägledning
Beroende på din roll kan följande supportartiklar hjälpa dig att identifiera och minimera klient- och servermiljöer som påverkas av spectre- och meltdown-säkerhetsriskerna.
Microsoft Security Advisory for L1 Terminal Fault (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 och CVE-2018-3646
Security Research and Defense: Analys och begränsning av spekulativ store bypass (CVE-2018-3639)
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639
Microsoft Security Advisory för Rogue System Register Läs | Säkerhetsuppdateringsguide för Surface: MSRC ADV180013och CVE-2018-3640
Security Research and Defense: Analys och begränsning av spekulativ store bypass (CVE-2018-3639)
TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown på Windows
Security Tech Center: Spekulativ exekvering Side Channel Bounty Program villkor
Microsoft Experience-bloggen: Uppdatering om säkerhetsuppdateringar för Spectre och Meltdown för Windows-enheter
Windows för företag-bloggen: Windows Analytics hjälper nu till att bedöma skydd mot Spectre och Meltdown
Microsoft Secure-bloggen: Förstå prestandaeffekterna av skydd mot Spectre och Meltdown på Windows-system
Edge Developer-blogg: Begränsa spekulativa exekveringsattacker i Microsoft Edge och Internet Explorer
Azure-blogg: Skydda Azure-kunder från CPU-sårbarhet
SCCM vägledning: Ytterligare vägledning för att minimera spekulativ exekvering
Microsoft-rådgivare:
-
ADV180002 | Vägledning för att minska spekulativ exekvering av sidokanalsrisker
-
ADV180012 | Microsoft-vägledning för Speculative Store Bypass
-
ADV180013 | Microsoft Guidance for Rogue System Register Read
Intel: Security Advisory
ARM: Säkerhetsmeddelande
AMD: Säkerhetsmeddelande
NVIDIA: Security Advisory
Konsumentvägledning: Skydda enheten mot kretsrelaterade säkerhetsrisker
Antivirusvägledning: Windows-säkerhetsuppdateringar från 3 januari 2018 och antivirusprogram
Vägledning för BLOCKERING AV WINDOWS OS-säkerhetsuppdatering för AMD: KB4073707: Säkerhetsuppdateringsblockering för Windows-operativsystem för vissa AMD-baserade enheter
Uppdatering för att inaktivera åtgärder mot Spectre, variant 2: KB4078130: Intel har identifierat omstartsproblem med mikrokod på vissa äldre processorer
Surface-vägledning: Surface-vägledning för skydd mot spekulativ exekvering
Kontrollera statusen för spekulativ exekvering av sidokanaler: Förstå Get-SpeculationControlSettings PowerShell-skriptutdata
Vägledning för IT-proffs: Windows-klientvägledning för IT-proffs som skyddar mot spekulativ exekvering
Servervägledning: Windows Server-vägledning för skydd mot spekulativ exekvering
Servervägledning för L1-terminalfel: Windows Server-vägledning för skydd mot L1-terminalfel
Utvecklarvägledning: Utvecklarvägledning för Speculative Store Bypass
Server Hyper-V-vägledning
Azure KB: KB4073235: Microsoft Cloud Protections mot spekulativ körning Side-Channel sårbarheter
Azure Stack-vägledning: KB4073418: Azure Stack-vägledning för skydd mot spekulativ exekvering
Azure-tillförlitlighet: Azure-tillförlitlighetsportalen
SQL Server vägledning: KB4073225: SQL Server Vägledning för skydd mot spekulativ exekvering
Länkar till OEM- och Server-enhetstillverkare för uppdateringar för att skydda mot Spectre och Meltdown-sårbarheter
För att åtgärda dessa sårbarheter måste du uppdatera både maskinvaran och programvaran. Använd följande länkar för att fråga enhetstillverkaren om tillämpliga uppdateringar av inbyggd programvara (mikrokod).
Använd följande länkar för att fråga enhetstillverkaren om uppdateringar av inbyggd programvara (mikrokod). Du måste installera både uppdateringar av operativsystem och inbyggd programvara (mikrokod) för alla tillgängliga skydd.
OEM-enhetstillverkare |
Länk till tillgänglig mikrokod |
Acer |
|
Asus |
ASUS Update on Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method |
Dell |
|
Epson |
|
Fujitsu |
CPU-maskinvara som är sårbar för sidokanalattacker (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
HP |
|
Lenovo |
|
LG |
|
NEC |
Om svaret på processorns sårbarhet (härdsmälta, spektrum) i våra produkter |
Panasonic |
|
Samsung |
|
Surface |
|
Toshiba |
|
Vaio |
Server OEM-tillverkare |
Länk till tillgänglig mikrokod |
Dell |
|
Fujitsu |
CPU-maskinvara som är sårbar för sidokanalattacker (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
HPE |
|
Huawei |
Säkerhetsmeddelande – policy om avslöjande av säkerhetsrisker i Intel CPU-arkitekturdesignen |
Lenovo |
Vanliga frågor och svar
Du måste kontakta enhetstillverkaren för uppdateringar av inbyggd programvara (mikrokod). Kontakta OEM-tillverkaren direkt om enhetstillverkaren inte visas i tabellen.
Uppdateringar för Microsoft Surface-enheter är tillgängliga för kunder via Windows Update. En lista över tillgängliga uppdateringar av inbyggd programvara för Surface-enhet (mikrokod) finns i KB-4073065.
Om enheten inte kommer från Microsoft kan du installera uppdateringar av inbyggd programvara från enhetstillverkaren. Kontakta enhetstillverkarenom du vill ha mer information.
Att åtgärda en sårbarhet i maskinvaran genom att använda en programuppdatering innebär stora utmaningar och lösningar för äldre operativsystem och kan kräva omfattande ändringar i arkitekturen. Vi fortsätter att arbeta med berörda chiptillverkare för att undersöka det bästa sättet att tillhandahålla lösningar. Detta kan tillhandahållas i en kommande uppdatering. Om du byter ut äldre enheter som kör dessa äldre operativsystem och även uppdaterar antivirusprogram bör den återstående risken åtgärdas.
Meddelanden:
-
Produkter som för närvarande saknar både mainstream- och extended-support får inte dessa systemuppdateringar. Vi rekommenderar kunderna att uppdatera till en systemversion som stöds.
-
Spekulativ exekvering utnyttjar CPU-beteende och -funktioner. CPU-tillverkare måste först fastställa vilka processorer som kan vara i riskzonen och sedan meddela Microsoft. I många fall kommer motsvarande operativsystemuppdateringar också att krävas för att ge kunderna ett mer omfattande skydd. Vi rekommenderar att säkerhetsmedvetna Windows CE-leverantörer samarbetar med sin kretstillverkare för att förstå sårbarheter och tillämpliga lösningar.
-
Vi kommer inte att utfärda uppdateringar för följande plattformar:
-
Windows-operativsystem vars support har upphört, eller som upphör under 2018
-
Windows XP-baserade system inklusive WES 2009 och POSReady 2009
-
Även om Windows XP-baserade system är produkter som påverkas utfärdar Microsoft inte någon uppdatering för dem eftersom de omfattande arkitektoniska ändringar som skulle krävas skulle äventyra systemets stabilitet och orsaka problem med programkompatibilitet. Vi rekommenderar kunderna att uppgradera till ett nyare operativsystem som omfattas av support eftersom de med ett nyare operativsystem får bättre förutsättningar för att klara nya säkerhetshot och ett mer gediget skydd.
Uppdateringar till Windows 10 för HoloLens är tillgängliga för HoloLens-kunder via Windows Update.
Efter att ha installeratWindows-säkerhet-uppdateringen för februari 2018 behöver HoloLens-kunder inte vidta några ytterligare åtgärder för att uppdatera enhetens inbyggda programvara. Dessa lösningar kommer också att ingå i alla framtida versioner av Windows 10 för HoloLens.
Kontakta OEM-tillverkaren om du vill ha mer information.
För att enheten ska vara helt skyddad bör du installera de senaste säkerhetsuppdateringarna för Windows-operativsystemet för enheten och tillämpliga uppdateringar av inbyggd programvara (mikrokod) från enhetstillverkaren. Dessa uppdateringar bör du hitta på enhetstillverkarens webbplats. Uppdateringar av antivirusprogram ska installeras först. Uppdateringar för operativsystem och inbyggd programvara kan installeras i valfri ordning.
Du måste uppdatera både maskinvaran och programvaran för att åtgärda den här säkerhetsrisken. Du måste också installera tillämpliga uppdateringar av inbyggd programvara (mikrokod) från enhetstillverkaren för att få ett mer omfattande skydd. Vi rekommenderar att du håller dina enheter uppdaterade genom att installera de månatliga säkerhetsuppdateringarna.
I varje Windows 10 funktionsuppdatering bygger vi in den senaste säkerhetstekniken djupt inne i operativsystemet och tillhandahåller avancerade funktioner som förhindrar att hela klasser av skadlig kod påverkar din enhet. Funktionsuppdateringar görs två gånger per år. I varje månatlig kvalitetsuppdatering lägger vi till ytterligare ett säkerhetslager som spårar framväxande och föränderliga trender inom skadlig programvara för att göra uppdaterade system säkrare inför föränderliga och föränderliga hot.
Microsoft har hävt AV-kompatibilitetskontrollen för Windows-säkerhetsuppdateringar för de versioner av Windows 10-, Windows 8.1- och Windows 7 SP1-enheter som stöds via Windows Update.
Rekommendationer:-
Kontrollera att dina enheter är uppdaterade genom att ha de senaste säkerhetsuppdateringarna från Microsoft och maskinvarutillverkaren. Mer information om hur du håller enheten uppdaterad finns i Windows Update: Vanliga frågor och svar.
-
Fortsätt att iaktta försiktighet när du besöker webbplatser med okänt ursprung, och stanna inte kvar på webbplatser som du inte litar på. Microsoft rekommenderar att alla kunder skyddar sina enheter genom att köra ett antivirusprogram som stöds. Kunder kan också utnyttja det inbyggda antivirusskyddet: Windows Defender för Windows 10-enheter eller Microsoft Security Essentials för Windows 7-enheter. De här lösningarna är kompatibla om kunderna inte kan installera eller köra antivirusprogram.
För att undvika att kundernas enheter påverkas negativt har Windows-säkerhetsuppdateringarna som släpptes i januari eller februari inte erbjudits till alla kunder. Mer information finns i Microsoft Knowledge Base-artikeln 4072699.
Intel har rapporterat problem som påverkar nyligen släppt mikrokod som är avsett att åtgärda Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection"). Intel noterade specifikt att detta mikrokod kan orsaka "högre omstarter än väntat och annat oförutsägbart systembeteende" och även att situationer som detta kan orsaka "dataförlust eller skada". Vår egen erfarenhet är att systemets instabilitet under vissa omständigheter kan orsaka dataförlust eller korruption. Den 22 januari rekommenderade Intel kunderna att sluta distribuera den aktuella mikrokodversionen på berörda processorer medan de utför ytterligare tester på den uppdaterade lösningen. Vi förstår att Intel fortsätter att undersöka den potentiella effekten av den aktuella mikrokodversionen, och vi uppmuntrar kunderna att kontinuerligt granska sin vägledning för att informera om sina beslut.
Medan Intel testar, uppdaterar och distribuerar ny mikrokod gör vi en OOB-uppdatering (out-of-band), KB 4078130, som specifikt inaktiverar endast begränsningen mot CVE-2017-5715 – "Branch Target Injection". I vår testning har den här uppdateringen hittats för att förhindra det beteende som beskrivs. En fullständig lista över enheter finns i Intels vägledning för mikrokodsrevision. Den här uppdateringen gäller Windows 7 (SP1), Windows 8.1 och alla versioner av Windows 10, för klienter och servrar. Om du kör en enhet som påverkas kan den här uppdateringen tillämpas genom att ladda ned den från webbplatsen Microsoft Update Catalog. Tillämpningen av den här nyttolasten inaktiverar specifikt begränsningen mot CVE-2017-5715 – "Branch Target Injection".
Från och med den 25 januari finns det inga kända rapporter som tyder på att Spectre Variant 2 (CVE-2017-5715) har använts för att attackera kunder. Vi rekommenderar att Windows-kunder återaktivera begränsningen mot CVE-2017-5715 när Intel rapporterar att det här oförutsägbara systembeteendet har lösts för din enhet.
Nej. Endast säkerhetsuppdateringar är inte kumulativa. Beroende på vilken version av operativsystemet du använder måste du installera alla släppta endast säkerhetsrelaterade uppdateringar för att skyddas mot dessa sårbarheter. Om du till exempel kör Windows 7 för 32-bitarssystem på en berörd Intel-processor måste du installera alla säkerhetsrelaterade uppdateringar från och med januari 2018. Vi rekommenderar att du installerar dessa endast säkerhetsrelaterade uppdateringar i utgivningsordningen.
Observera I en tidigare version av dessa vanliga frågor och svar angavs felaktigt att februari månads säkerhetsrelaterade uppdatering innehöll säkerhetskorrigeringarna som släpptes i januari. Det gör det faktiskt inte.Nej. Säkerhetsuppdatering 4078130 var en specifik korrigering för att förhindra oförutsägbara systembeteenden, prestandaproblem och oväntade omstarter efter installationen av mikrokod. Genom att tillämpa säkerhetsuppdateringarna för februari på Windows-klientoperativsystem kan du åtgärda alla tre lösningarna. På Windows Server-operativsystem måste du fortfarande aktivera lösningarna efter att lämpliga tester har utförts. Mer information finns i Microsoft Knowledge Base-artikeln 4072698 .
AMD meddelade nyligen att de har börjat släppa mikrokod för nyare CPU-plattformar runt Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Mer information finns i AMD Security Uppdateringar och AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Dessa är tillgängliga från OEM-kanalen för inbyggd programvara.
Intel meddelade nyligen att de har slutfört sina valideringar och börjat släppa mikrokod för nyare CPU-plattformar. Microsoft gör tillgängliga Intel-validerade mikrokoduppdateringar kring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB 4093836 listar specifika Knowledge Base-artiklar efter Windows-version. Varje specifik KB innehåller de tillgängliga Intel-mikrokoduppdateringarna efter CPU.
Microsoft gör tillgängliga Intel-validerade mikrokoduppdateringar kring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). För att få de senaste Intel-mikrokoduppdateringarna via Windows Update måste kunderna ha installerat Intel-mikrokod på enheter som kör ett Windows 10 operativsystem innan de uppgraderar till april 2018-uppdateringen för Windows 10 (version 1803).
Mikrokoduppdateringen är också tillgänglig direkt från uppdateringskatalogen om den inte installerades på enheten innan systemet uppgraderades. Intels mikrokod är tillgängligt via Windows Update, WSUS eller Microsoft Update Catalog. Mer information och instruktioner för nedladdning finns i KB-4100347.
Mer information finns i följande avsnitt:
Mer information finns i avsnitten Rekommenderade åtgärder och Vanliga frågor och svar i ADV180012 | Microsoft Guidance for Speculative Store Bypass.
För att verifiera status för SSBD har Get-SpeculationControlSettings PowerShell-skriptet uppdaterats för att identifiera berörda processorer, status för uppdateringar av SSBD-operativsystemet och status för processormikrokoden, om tillämpligt. Mer information och hur du hämtar PowerShell-skriptet finns i KB4074629.
Den 13 juni 2018 tillkännagavs en ytterligare sårbarhet med spekulativ exekvering i sidokanaler, kallad Lazy FP State Restore, och tilldelades CVE-2018-3665. Det behövs inga konfigurationsinställningar (registerinställningar) för Lazy Restore FP Restore.
Mer information om den här säkerhetsrisken och rekommenderade åtgärder finns i Säkerhetsmeddelande: ADV180016 | Microsoft Guidance for Lazy FP State Restore
ObserveraDet behövs inga konfigurationsinställningar (registerinställningar) för Lazy Restore FP Restore.
Bounds Check Bypass Store (BCBS) avslöjades den 10 juli 2018 och tilldelades CVE-2018-3693. Vi anser att BCBS tillhör samma klass av sårbarheter som Bounds Check Bypass (Variant 1). Vi är för närvarande inte medvetna om några fall av BCBS i vår programvara, men vi fortsätter att undersöka denna sårbarhetsklass och kommer att arbeta med branschpartner för att släppa lösningar efter behov. Vi fortsätter att uppmuntra forskare att skicka in relevanta resultat till Microsofts Speculative Execution Side Channel bounty-program, inklusive alla exploaterbara fall av BCBS. Programvaruutvecklare bör läsa utvecklarvägledningen som har uppdaterats för BCBS vid https://aka.ms/sescdevguide.
Den 14 augusti 2018 tillkännagavs L1 Terminal Fault (L1TF) och tilldelades flera cv:er. Dessa nya säkerhetsrisker med spekulativ exekvering kan användas för att läsa innehållet i minnet över en betrodd gräns och, om det utnyttjas, kan leda till att information avslöjas. Det finns flera vektorer som kan utlösa sårbarheterna beroende på den konfigurerade miljön. L1TF påverkar Intel® Core-processorer® och Intel® Xeon-processorer®.
Mer information om den här säkerhetsrisken och en detaljerad vy över berörda scenarier, inklusive Microsofts metod för att begränsa riskerna för L1TF, finns i följande resurser:
Microsoft Surface-kunder: Kunder som använder Microsoft Surface och Surface Book produkter måste följa anvisningarna för Windows-klienten som beskrivs i säkerhetsmeddelandet: ADV180018 | Microsoft Guidance to mitigate L1TF variant. Se även Microsoft Knowledge Base-artikeln 4073065 för mer information om berörda Surface-produkter och tillgängligheten för mikrokoduppdateringarna.
Microsoft Hololens-kunder: Microsoft HoloLens påverkas inte av L1TF eftersom den inte använder en berörd Intel-processor.
De steg som krävs för att inaktivera Hyper-Threading skiljer sig från OEM till OEM, men ingår vanligtvis i KONFIGURATIONs- och konfigurationsverktygen för BIOS eller inbyggd programvara.
Kunder som använder 64-bitars ARM-processorer bör kontrollera med enhets-OEM-tillverkaren om stöd för inbyggd programvara eftersom ARM64-operativsystemskydd som minskar CVE-2017-5715 - Branch target injection (Spectre, Variant 2) kräver att den senaste uppdateringen av inbyggd programvara från oem-enheter börjar gälla.
Mer information om den här säkerhetsrisken finns i Microsoft Security Guide: CVE-2019-1125 | Windows kernel informationsläcka sårbarhet.
Vi känner inte till några fall av den här säkerhetsrisken för informationsläcka som påverkar vår molntjänstinfrastruktur.
Så snart vi blev medvetna om det här problemet arbetade vi snabbt med att åtgärda det och släppa en uppdatering. Vi tror starkt på nära samarbeten med både forskare och branschpartners för att göra kunderna säkrare och publicerade inte detaljer förrän tisdagen den 6 augusti, i enlighet med samordnade metoder för avslöjande av sårbarheter.
Referenser
Microsoft tillhandahåller kontaktinformation från tredje part som hjälper dig att hitta ytterligare information om det här avsnittet. Denna kontaktinformation kan ändras utan föregående meddelande. Microsoft garanterar inte att kontaktinformation från tredje part är korrekt.