Tarihi değiştir |
Açıklamayı değiştir |
---|---|
9 Ağustos 2023, Ağustos 2023 |
|
9 Nisan 2024 |
|
Özet
Bu makale, birçok modern işlemciyi ve işletim sistemini etkileyen yeni bir silikon tabanlı mikro mimari ve kurgusal yürütme yan kanal güvenlik açıkları sınıfı için bilgi ve güncelleştirmeler sağlar. Ayrıca cihazlarınızın evde, işte ve kuruluşunuz genelinde korunmasına yardımcı olmak için Windows istemci ve sunucu kaynaklarının kapsamlı bir listesini sağlar. Buna Intel, AMD ve ARM dahildir. Bu silikon tabanlı sorunlar için belirli güvenlik açığı ayrıntıları aşağıdaki güvenlik önerilerinde ve CVE'lerde bulunabilir:
-
ADV180002 - Kurgusal yürütme yan kanal güvenlik açıklarını azaltma yönergeleri
-
ADV180013 - Rogue System Register Read için Microsoft Kılavuzu
-
ADV180016 - Gecikmeli FP Durumu Geri Yükleme için Microsoft Kılavuzu
-
ADV180018 - L1TF değişkensini azaltmak için Microsoft Kılavuzu
-
ADV190013 - Mikro Mimari Veri Örnekleme güvenlik açıklarını azaltmaya yönelik Microsoft Kılavuzu
-
ADV220002 - Intel İşlemci MMIO Eski Veri Güvenlik Açıklarına yönelik Microsoft Kılavuzu
Microsoft, 3 Ocak 2018'de AMD, ARM ve Intel işlemcilerini farklı derecelerde etkileyen kurgusal yürütme tarafı kanallarını içeren yeni keşfedilen donanım güvenlik açıkları sınıfıyla (Spectre ve Meltdown olarak bilinir) ilgili bir danışmanlık ve güvenlik güncelleştirmeleri yayımladı. Bu güvenlik açıkları sınıfı, başlangıçta bilgisayarları hızlandırmak için tasarlanmış ortak bir yonga mimarisini temel alır. Bu güvenlik açıkları hakkında daha fazla bilgiyi Google Project Zero'da bulabilirsiniz.
21 Mayıs 2018'de Google Project Zero (GPZ), Microsoft ve Intel Spectre ve Meltdown sorunlarıyla ilgili ve Kurgusal Mağaza Atlama (SSB) ve Rogue System Registry Read olarak bilinen iki yeni yonga güvenlik açığını açıkladı. Her iki açıklamanın da müşteri riski düşüktür.
Bu güvenlik açıkları hakkında daha fazla bilgi için Mayıs 2018 Windows işletim sistemi güncelleştirmeleri altında listelenen kaynaklara bakın ve aşağıdaki Güvenlik Önerileri'ne bakın:
13 Haziran 2018'de, Tembel FP Durum Geri Yükleme olarak bilinen yan kanal kurgusal yürütmeyle ilgili ek bir güvenlik açığı duyuruldu ve CVE-2018-3665 olarak atandı. Bu güvenlik açığı ve önerilen eylemler hakkında daha fazla bilgi için aşağıdaki Güvenlik Önerisi'ne bakın:
14 Ağustos 2018'de L1 Terminal Hatası (L1TF)'de, birden çok CV'ye sahip yeni bir kurgusal yürütme tarafı kanal güvenlik açığı duyuruldu. L1TF, Intel® Core® işlemcileri ve Intel® Xeon® işlemcileri etkiler. L1TF ve önerilen eylemler hakkında daha fazla bilgi için güvenlik danışmanlığımıza bakın:
Not: Mikro kod güncelleştirmelerini yüklemeden önce Windows Update'dan en son güncelleştirmelerin tümünü yüklemenizi öneririz.
Intel, 14 Mayıs 2019'da Mikro mimari Veri Örnekleme olarak bilinen kurgusal yürütme yan kanal güvenlik açıklarının yeni bir alt sınıfı hakkında bilgi yayımladı. Bu kişilere aşağıdaki CVE'ler atanmış:
-
CVE-2018-11091 – "Mikro mimari veri örneklemesi seçilemez bellek (MDSUM)"
-
CVE-2018-12126 – "Mikro Mimari Deposu Arabellek Veri Örneklemesi (MSBDS)"
-
CVE-2018-12127 – "Mikro mimari dolgu arabellek veri örneklemesi (MFBDS)"
-
CVE-2018-12130 – "Mikro mimari yük bağlantı noktası veri örneklemesi (MLPDS)"
Önemli: Bu sorunlar Android, Chrome, iOS ve MacOS gibi diğer sistemleri etkiler. Müşterilerin ilgili satıcılarından rehberlik almalarını öneririz.
Microsoft, bu güvenlik açıklarının azaltılmasına yardımcı olmak için güncelleştirmeler yayımladı. Kullanılabilir tüm korumaları almak için üretici yazılımı (mikro kod) ve yazılım güncelleştirmeleri gereklidir. Bu, cihaz OEM'lerinden mikro kod içerebilir. Bazı durumlarda, bu güncelleştirmelerin yüklenmesi performansı etkiler. Bulut hizmetlerimizin güvenliğini sağlamak için de harekete geçtik.
Not: Mikro kod güncelleştirmelerini yüklemeden önce Windows Update en son güncelleştirmelerin tümünü yüklemenizi öneririz.
Bu sorunlar ve önerilen eylemler hakkında daha fazla bilgi için aşağıdaki Güvenlik Önerisi'ne bakın:
6 Ağustos 2019'da Intel, Windows çekirdek bilgilerinin açığa çıkması güvenlik açığıyla ilgili ayrıntıları yayımladı. Bu güvenlik açığı Spectre Variant 1 kurgusal yürütme tarafı kanal güvenlik açığının bir çeşididir ve CVE-2019-1125 olarak atanmıştır.
Microsoft, bu sorunun azaltılmasına yardımcı olmak için 9 Temmuz 2019'da Windows işletim sistemi için bir güvenlik güncelleştirmesi yayımladı. Windows Update etkinleştirilen ve 9 Temmuz 2019'da yayımlanan güvenlik güncelleştirmelerini uygulayan müşteriler otomatik olarak korunur. Bu güvenlik açığının cihaz üreticinizden (OEM) mikro kod güncelleştirmesi gerektirmediğini unutmayın.
Bu güvenlik açığı ve geçerli güncelleştirmeler hakkında daha fazla bilgi için bkz . CVE-2019-1125 | Microsoft Güvenlik Güncelleştirmesi Kılavuzu'nda Windows Çekirdeği Bilgilerinin Açığa Çıkması Güvenlik Açığı .
Intel, 14 Haziran 2022'de öneride listelenen kurgusal yürütme belleği eşlenmiş G/Ç (MMIO) yan kanal güvenlik açıklarının yeni bir alt sınıfı hakkında bilgi yayımladı:
Windows cihazlarınızı korumaya yardımcı olacak adımlar
Bu güvenlik açıklarını gidermek için hem üretici yazılımınızı (mikro kod) hem de yazılımınızı güncelleştirmeniz gerekebilir. Önerilen eylemler için lütfen Microsoft Güvenlik Önerileri'ne bakın. Bu, cihaz üreticilerinin geçerli üretici yazılımı (mikro kod) güncelleştirmelerini ve bazı durumlarda virüsten koruma yazılımınıza yönelik güncelleştirmeleri içerir. Aylık güvenlik güncelleştirmelerini yükleyerek cihazlarınızı güncel tutmanızı öneririz.
Tüm kullanılabilir korumaları almak için, hem yazılım hem de donanım için en son güncelleştirmeleri almak üzere bu adımları izleyin.
Not: Başlamadan önce virüsten koruma (AV) yazılımınızın güncel ve uyumlu olduğundan emin olun. En son uyumluluk bilgileri için virüsten koruma yazılımı üreticinizin web sitesine bakın.
-
Otomatik güncelleştirmeleri açarak Windows cihazınızı güncel tutun.
-
Microsoft'tan en son Windows işletim sistemi güvenlik güncelleştirmesini yüklediğinizden emin olun. Otomatik güncelleştirmeler açıksa, güncelleştirmeler size otomatik olarak teslim edilmelidir. Ancak, bunların yüklü olduğunu doğrulamanız gerekir. Yönergeler için bkz. Windows Update: SSS
-
Cihaz üreticinizin kullanılabilir üretici yazılımı (mikro kod) güncelleştirmelerini yükleyin. Tüm müşterilerin, cihazla ilgili donanım güncelleştirmelerini indirip yüklemek için cihaz üreticilerini kontrol etmeleri gerekir. Cihaz üreticisi web sitelerinin listesi için "Ek kaynaklar" bölümüne bakın.
Not: Müşteriler kullanılabilir korumalardan yararlanmak için Microsoft'tan Windows işletim sisteminin en son güvenlik güncelleştirmelerini yüklemelidir. İlk olarak virüsten koruma yazılımı güncelleştirmeleri yüklenmelidir. İşletim sistemi ve üretici yazılımı güncelleştirmeleri bunu takip etmelidir. Aylık güvenlik güncelleştirmelerini yükleyerek cihazlarınızı güncel tutmanızı öneririz.
Etkilenen yongalar Intel, AMD ve ARM tarafından üretilen yongalardır. Bu, Windows işletim sistemlerini çalıştıran tüm cihazların potansiyel olarak savunmasız olduğu anlamına gelir. Buna masaüstü bilgisayarlar, dizüstü bilgisayarlar, bulut sunucuları ve akıllı telefonlar dahildir. Android, Chrome, iOS ve macOS gibi diğer işletim sistemlerini çalıştıran cihazlar da etkilenir. Bu işletim sistemlerini çalıştıran müşterilere bu satıcılardan rehberlik almalarını öneririz.
Yayın sırasında, bu güvenlik açıklarının müşterilere saldırmak için kullanıldığını belirten herhangi bir bilgi almadık.
Ocak 2018'den itibaren Microsoft, bu güvenlik açıklarının azaltılmasına ve müşterilerin korunmasına yardımcı olmak için Windows işletim sistemlerine ve Internet Explorer ve Edge web tarayıcılarına yönelik güncelleştirmeler yayımladı. Ayrıca bulut hizmetlerimizin güvenliğini sağlamak için güncelleştirmeler yayımladık. Müşterileri bu güvenlik açığı sınıfına karşı korumak için yonga üreticileri, donanım OEM'leri ve uygulama satıcıları dahil olmak üzere sektör iş ortaklarıyla yakın bir şekilde çalışmaya devam ediyoruz.
Cihazlarınızı güncel ve güvenli tutmak için her zaman aylık güncelleştirmeleri yüklemenizi öneririz.
Yeni risk azaltmalar kullanıma sunulduğunda bu belgeleri güncelleştireceğiz ve buraya düzenli olarak tekrar bakmanızı öneririz.
Temmuz 2019 Windows işletim sistemi güncelleştirmeleri
Intel, 6 Ağustos 2019'da cve-2019-1125 güvenlik açığıyla ilgili ayrıntıları açıklandı | Windows Çekirdek Bilgilerinin Açığa Çıkması Güvenlik Açığı. Bu güvenlik açığına yönelik güvenlik güncelleştirmeleri, 9 Temmuz 2019'da Temmuz aylık güncelleştirme sürümünün bir parçası olarak yayımlanmıştır.
Microsoft, bu sorunun azaltılmasına yardımcı olmak için 9 Temmuz 2019'da Windows işletim sistemi için bir güvenlik güncelleştirmesi yayımladı. 6 Ağustos 2019 Salı günü yapılan koordineli sektör açıklamasına kadar bu risk azaltmayı herkese açık olarak belgeledik.
Windows Update etkinleştirilen ve 9 Temmuz 2019'da yayımlanan güvenlik güncelleştirmelerini uygulayan müşteriler otomatik olarak korunur. Bu güvenlik açığının cihaz üreticinizden (OEM) mikro kod güncelleştirmesi gerektirmediğini unutmayın.
Mayıs 2019 Windows işletim sistemi güncelleştirmeleri
Intel, 14 Mayıs 2019'da Mikro mimari Veri Örnekleme olarak bilinen kurgusal yürütme yan kanal güvenlik açıklarının yeni bir alt sınıfı hakkında bilgi yayımladı ve aşağıdaki CVE'lere atanmıştır:
-
CVE-2018-11091 – "Mikro mimari veri örneklemesi seçilemez bellek (MDSUM)"
-
CVE-2018-12126 – "Mikro Mimari Deposu Arabellek Veri Örneklemesi (MSBDS)"
-
CVE-2018-12127 – "Mikro mimari dolgu arabellek veri örneklemesi (MFBDS)"
-
CVE-2018-12130 – "Mikro mimari yük bağlantı noktası veri örneklemesi (MLPDS)"
Bu sorun hakkında daha fazla bilgi için aşağıdaki Güvenlik Önerisi'ne bakın ve tehdidi azaltmak için gerekli eylemleri belirlemek üzere İstemciler ve Sunucu için Windows kılavuzu makalelerinde özetlenen senaryo tabanlı kılavuzu kullanın:
Microsoft, Windows'un 64 Bit (x64) sürümleri için Mikro Mimari Veri Örnekleme (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12127, CVE-2018-12130) olarak bilinen kurgusal yürütme yan kanal güvenlik açıklarının yeni bir alt sınıfına karşı korumalar yayımladı.
Windows İstemcisi (KB4073119) ve Windows Server (KB4457951) makalelerinde açıklandığı gibi kayıt defteri ayarlarını kullanın. Bu kayıt defteri ayarları, Windows İstemci İşletim Sistemi sürümleri ve Windows Server işletim sistemi sürümleri için varsayılan olarak etkindir.
Mikro kod güncelleştirmelerini yüklemeden önce ilk olarak Windows Update'dan en son güncelleştirmelerin tümünü yüklemenizi öneririz.
Bu sorun ve önerilen eylemler hakkında daha fazla bilgi için aşağıdaki Güvenlik Önerisi'ne bakın:
Intel, CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130'u azaltmaya yardımcı olmak için son CPU platformları için bir mikro kod güncelleştirmesi yayımladı. 14 Mayıs 2019 Windows KB 4093836 , Windows işletim sistemi sürümüne göre belirli Bilgi Bankası makalelerini listeler. Makale ayrıca CPU'ya göre kullanılabilir Intel mikro kod güncelleştirmelerinin bağlantılarını içerir. Bu güncelleştirmeler Microsoft Kataloğu aracılığıyla sağlanır.
Not: Mikro kod güncelleştirmelerini yüklemeden önce Windows Update'den en son güncelleştirmelerin tümünü yüklemenizi öneririz.
Spectre Variant 2 (CVE-2017-5715) etkinse retpoline'in Windows 10, sürüm 1809 cihazlarda (istemci ve sunucu için) varsayılan olarak etkinleştirildiğini duyurmaktan mutluluk duyuyoruz. Retpoline'i Windows 10'in en son sürümünde 14 Mayıs 2019 güncelleştirmesi (KB 4494441) aracılığıyla etkinleştirerek, özellikle eski işlemcilerde performansın artırılmasını öngörüyoruz.
Müşteriler Spectre Variant 2 güvenlik açığına karşı önceki işletim sistemi korumalarının Windows İstemcisi ve Windows Server makalelerinde açıklanan kayıt defteri ayarları kullanılarak etkinleştirildiğinden emin olmalıdır. (Bu kayıt defteri ayarları Windows İstemci İşletim Sistemi sürümleri için varsayılan olarak etkindir, ancak Windows Server işletim sistemi sürümleri için varsayılan olarak devre dışıdır). "Retpoline" hakkında daha fazla bilgi için bkz. Windows üzerinde Retpoline ile Spectre değişken 2'yi azaltma.
Kasım 2018 Windows işletim sistemi güncelleştirmeleri
Microsoft, AMD işlemciler (CPU' lar) için Kurgusal Mağaza Atlama (CVE-2018-3639) için işletim sistemi korumaları yayımladı.
Microsoft, 64 bit ARM işlemci kullanan müşteriler için ek işletim sistemi korumaları yayımladı. CVE-2018-3639, Tahmini Mağaza Atlama'yı azaltan ARM64 işletim sistemi korumaları, cihazınızın OEM'sinden en son üretici yazılımı güncelleştirmesini gerektirdiğinden üretici yazılımı desteği için lütfen cihazınızın OEM üreticisine başvurun.
Eylül 2018 Windows işletim sistemi güncelleştirmeleri
11 Eylül'de, 2018, Microsoft, Intel Core® işlemcileri ve Intel®® Xeon® işlemcileri (CVE-2018-3620 ve CVE-2018-3646) etkileyen L1 Terminal Hatası (L1TF) olarak bilinen yeni kurgusal yürütme yan kanal güvenlik açığına karşı koruma sağlayan Windows Server 2008 sp2 Aylık Toplama 4458010 ve Yalnızca Güvenlik 4457984 yayımladı.
Bu sürüm, Windows Update aracılığıyla desteklenen tüm Windows sistem sürümlerinde ek korumaları tamamlar. Daha fazla bilgi ve etkilenen ürünlerin listesi için bkz. ADV180018 | L1TF değişkenlerini azaltmak için Microsoft Kılavuzu.
Not: Windows Server 2008 SP2 artık standart Windows hizmet paketi modelini izler. Bu değişiklikler hakkında daha fazla bilgi için lütfen Windows Server 2008 SP2 bakım değişiklikleri blogumuza bakın. Windows Server 2008 çalıştıran müşterilerin, 14 Ağustos 2018'de yayımlanan Güvenlik Güncelleştirmesi 4341832 ek olarak 4458010 veya 4457984 yüklemesi gerekir. Müşteriler ayrıca Spectre Variant 2 ve Meltdown güvenlik açıklarına karşı önceki işletim sistemi korumalarının Windows İstemcisi ve Windows Server kılavuzu KB makalelerinde özetlenen kayıt defteri ayarları kullanılarak etkinleştirildiğinden emin olmalıdır. Bu kayıt defteri ayarları Windows İstemcisi işletim sistemi sürümleri için varsayılan olarak etkindir, ancak Windows Server işletim sistemi sürümleri için varsayılan olarak devre dışıdır.
Microsoft, 64 bit ARM işlemci kullanan müşteriler için ek işletim sistemi korumaları yayımladı. CVE-2017-5715 - Dal hedef eklemeyi (Spectre, Variant 2) azaltan ARM64 işletim sistemi korumalarının etkili olması için cihaz OEM'lerinizden en son üretici yazılımı güncelleştirmesini gerektirdiğinden lütfen üretici yazılımı desteği için cihazınızın OEM üreticisine başvurun.
Ağustos 2018 Windows işletim sistemi güncelleştirmeleri
14 Ağustos 2018'de L1 Terminal Hatası (L1TF) duyuruldu ve birden çok CV'ye atandı. Bu yeni kurgusal yürütme yan kanal güvenlik açıkları, güvenilir bir sınırdaki belleğin içeriğini okumak için kullanılabilir ve yararlanılırsa bilgilerin açığa çıkmasına neden olabilir. Bir saldırganın yapılandırılan ortama bağlı olarak güvenlik açıklarını tetikleyebileceği birden çok vektör vardır. L1TF, Intel® Core® işlemcileri ve Intel® Xeon® işlemcileri etkiler.
L1TF hakkında daha fazla bilgi ve Microsoft'un L1TF'yi azaltma yaklaşımı da dahil olmak üzere etkilenen senaryoların ayrıntılı bir görünümü için lütfen aşağıdaki kaynaklara bakın:
Temmuz 2018 Windows işletim sistemi güncelleştirmeleri
Microsoft'un aşağıdaki güvenlik açıkları için Windows Update aracılığıyla desteklenen tüm Windows sistem sürümlerinde ek korumalar yayımlamayı tamamladığını duyurmaktan mutluluk duyuyoruz:
-
AMD işlemciler için Spectre Variant 2
-
Intel işlemciler için kurgusal Mağaza Atlama
13 Haziran 2018'de, Tembel FP Durum Geri Yükleme olarak bilinen yan kanal kurgusal yürütmeyle ilgili ek bir güvenlik açığı duyuruldu ve CVE-2018-3665 olarak atandı. Gecikmeli Geri Yükleme FP Geri Yükleme için yapılandırma (kayıt defteri) ayarı gerekmez.
Bu güvenlik açığı, etkilenen ürünler ve önerilen eylemler hakkında daha fazla bilgi için aşağıdaki Güvenlik Önerisi'ne bakın:
12 Haziran'da Microsoft, Intel işlemcilerde Kurgusal Mağaza Atlama Devre Dışı Bırakma (SSBD) için Windows desteğini duyurdu. Güncelleştirmeler için ilgili üretici yazılımı (mikro kod) ve işlevsellik için kayıt defteri güncelleştirmeleri gerekir. Güncelleştirmeler ve SSBD'yi açmak için uygulanacak adımlar hakkında bilgi için ADV180012 | 'deki "Önerilen eylemler" bölümüne bakın Kurgusal Mağaza Atlama için Microsoft Kılavuzu.
Mayıs 2018 Windows işletim sistemi güncelleştirmeleri
Ocak 2018'de Microsoft, AMD, ARM ve Intel CPU'larını farklı derecelerde etkileyen kurgusal yürütme tarafı kanalları içeren yeni keşfedilen donanım güvenlik açıkları (Spectre ve Meltdown olarak bilinir) sınıfı hakkında bilgi yayınladı. 21 Mayıs 2018'de Google Project Zero (GPZ), Microsoft ve Intel Spectre ve Meltdown sorunlarıyla ilgili olan ve Kurgusal Mağaza Atlama (SSB) ve Rogue System Registry Read olarak bilinen iki yeni yonga güvenlik açığını açıkladı.
Her iki açıklamanın da müşteri riski düşüktür.
Bu güvenlik açıkları hakkında daha fazla bilgi için aşağıdaki kaynaklara bakın:
-
Kurgusal Mağaza Atlama için Microsoft Güvenlik Danışmanlığı:MSRC ADV180012 ve CVE-2018-3639
-
Rogue System Register için Microsoft Güvenlik Danışmanlığı Okuma: MSRC ADV180013ve CVE-2018-3640
-
Güvenlik Araştırması ve Savunması: Kurgusal mağaza atlama analizi ve risk azaltma (CVE-2018-3639)
Şunlar için geçerlidir: Windows 10, sürüm 1607, Windows Server 2016, Windows Server 2016 (Sunucu Çekirdeği yüklemesi) ve Windows Server, sürüm 1709 (Sunucu Çekirdeği yüklemesi)
Kullanıcı bağlamından çekirdek bağlamı arasında geçiş yaptığınızda CVE-2017-5715, Spectre Variant 2'yi azaltmak için bazı AMD işlemcilerinde (CPU) Dolaylı Dal Tahmin Bariyeri (IBPB) kullanımını denetleme desteği sağladık. (Daha fazla bilgi için bkz. Dolaylı Dal Denetimi ve AMD Güvenlik Güncelleştirmeler ile ilgili AMD Mimarisi Yönergeleri).
Windows 10, sürüm 1607, Windows Server 2016, Windows Server 2016 (Sunucu Çekirdeği yüklemesi) ve Windows Server, sürüm 1709 (Sunucu Çekirdeği yüklemesi) çalıştıran müşterilerin CVE-2017-5715, Dal Hedef Ekleme için AMD işlemcileri için ek risk azaltmalar için güvenlik güncelleştirmesi 4103723 yüklemesi gerekir. Bu güncelleştirme Windows Update aracılığıyla da kullanılabilir.
Kullanıcı bağlamından çekirdek bağlamı'na geçiş yaptığınızda Spectre Variant 2'yi azaltmak için bazı AMD işlemcilerinde (CPU) IBPB kullanımını etkinleştirmek için Windows İstemcisi (BT Pro) için KB 4073119 kılavuzunda ve Windows Server için KB 4072698 kılavuzunda açıklanan yönergeleri izleyin.
Microsoft, Spectre Variant 2 (CVE-2017-5715 "Dal Hedefi Ekleme" ile ilgili intel tarafından doğrulanmış mikro kod güncelleştirmeleri yapıyor. Windows Update aracılığıyla en son Intel mikro kod güncelleştirmelerini almak için müşterilerin Windows 10 Nisan 2018 Güncelleştirmesi'ne (sürüm 1803) yükseltmeden önce Windows 10 işletim sistemi çalıştıran cihazlara Intel mikro kodu yüklemiş olması gerekir.
Mikro kod güncelleştirmesi, işletim sistemini yükseltmeden önce cihaza yüklenmediyse doğrudan Katalog'dan kullanılabilir. Intel mikro kodu Windows Update, WSUS veya Microsoft Update Kataloğu aracılığıyla kullanılabilir. Daha fazla bilgi ve indirme yönergeleri için bkz. KB 4100347.
Windows işletim sistemi için Intel'den Microsoft'un kullanımına sunulan ek mikro kod güncelleştirmeleri sunacağız.
Şunlar için geçerlidir: Windows 10, sürüm 1709
Kullanıcı bağlamından çekirdek bağlamı arasında geçiş yaptığınızda CVE-2017-5715, Spectre Variant 2'yi azaltmak için bazı AMD işlemcilerinde (CPU) Dolaylı Dal Tahmin Bariyeri (IBPB) kullanımını denetleme desteği sağladık. (Daha fazla bilgi için bkz. Dolaylı Dal Denetimi ve AMD Güvenlik Güncelleştirmeler ile ilgili AMD Mimarisi Yönergeleri). Kullanıcı bağlamından çekirdek bağlamı arasında geçiş yaptığınızda Spectre Variant 2'yi azaltmak üzere bazı AMD işlemcilerinde (CPU) IBPB kullanımını etkinleştirmek için Windows İstemcisi (BT Pro) için KB 4073119 kılavuzunda açıklanan yönergeleri izleyin.
Microsoft, Spectre Variant 2 (CVE-2017-5715 "Dal Hedefi Ekleme") ile ilgili intel tarafından doğrulanmış mikro kod güncelleştirmeleri sunmaktadır. KB4093836 , Windows sürümüne göre belirli Bilgi Bankası makalelerini listeler. Belirli her KB, CPU'ya göre en son kullanılabilir Intel mikro kod güncelleştirmelerini içerir.
Windows işletim sistemi için Intel'den Microsoft'un kullanımına sunulan ek mikro kod güncelleştirmeleri sunacağız.
Mart 2018 ve üzeri Windows işletim sistemi güncelleştirmeleri
23 Mart TechNet Security Research & Defense: KVA Shadow: Windows'ta Meltdown'ı azaltma
14 Mart Güvenlik Teknoloji Merkezi: Kurgusal Yürütme Tarafı Kanal Ödül Programı Koşulları
13 Mart blogu: Mart 2018 Windows Güvenliği Güncelleştirmesi – Müşterilerimizi Koruma Çabalarımızı Genişletme
1 Mart blogu: Windows cihazları için Spectre ve Meltdown güvenlik güncelleştirmeleri güncelleştirmesi
Mart 2018'den itibaren Microsoft, aşağıdaki x86 tabanlı Windows işletim sistemlerini çalıştıran cihazlar için risk azaltma sağlamak üzere güvenlik güncelleştirmeleri yayımladı. Müşteriler, kullanılabilir korumalardan yararlanmak için en son Windows işletim sistemi güvenlik güncelleştirmelerini yüklemelidir. Desteklenen diğer Windows sürümleri için koruma sağlamak için çalışıyoruz ancak şu anda bir sürüm zamanlamasına sahip değiliz. Güncelleştirmeler için lütfen buraya tekrar bakın. Daha fazla bilgi için teknik ayrıntılar için ilgili Bilgi Bankası makalesine ve "SSS" bölümüne bakın.
Ürün güncelleştirmesi yayınlandı |
Durum |
Sürüm tarihi |
Yayın kanalı |
KB |
Windows 8.1 & Windows Server 2012 R2 - Yalnızca Güvenlik Güncelleştirmesi |
Yayımlanma Tarihi |
13 Mar |
WSUS, Katalog, |
|
Windows Server 2008 R2 SP1 & Windows 7 SP1 - Yalnızca Güvenlik Güncelleştirmesi |
Yayımlanma Tarihi |
13 Mar |
WSUS, Katalog |
|
Windows Server 2012 - Yalnızca Güvenlik Güncelleştirmesi Windows 8 Embedded Standard Edition - Yalnızca Güvenlik Güncelleştirmesi |
Yayımlanma Tarihi |
13 Mar |
WSUS, Katalog |
|
Windows 8.1 & Windows Server 2012 R2 - Aylık Toplama |
Yayımlanma Tarihi |
13 Mar |
WU, WSUS, Katalog |
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 - Aylık Toplama |
Yayımlanma Tarihi |
13 Mar |
WU, WSUS, Katalog |
|
Windows Server 2012 - Aylık Toplama Windows 8 Embedded Standard Edition - Aylık Toplama |
Yayımlanma Tarihi |
13 Mar |
WU, WSUS, Katalog |
|
Windows Server 2008 SP2 |
Yayımlanma Tarihi |
13 Mar |
WU, WSUS, Katalog |
Mart 2018'den itibaren Microsoft, aşağıdaki x64 tabanlı Windows işletim sistemlerini çalıştıran cihazlar için risk azaltma sağlamak üzere güvenlik güncelleştirmeleri yayımladı. Müşteriler, kullanılabilir korumalardan yararlanmak için en son Windows işletim sistemi güvenlik güncelleştirmelerini yüklemelidir. Desteklenen diğer Windows sürümleri için koruma sağlamak için çalışıyoruz ancak şu anda bir sürüm zamanlamasına sahip değiliz. Güncelleştirmeler için lütfen buraya tekrar bakın. Daha fazla bilgi için teknik ayrıntılar için ilgili bilgi bankası makalesine ve "SSS" bölümüne bakın.
Ürün güncelleştirmesi yayınlandı |
Durum |
Sürüm tarihi |
Yayın kanalı |
KB |
Windows Server 2012 - Yalnızca Güvenlik Güncelleştirmesi Windows 8 Embedded Standard Edition - Yalnızca Güvenlik Güncelleştirmesi |
Yayımlanma Tarihi |
13 Mar |
WSUS, Katalog |
|
Windows Server 2012 - Aylık Toplama Windows 8 Embedded Standard Edition - Aylık Toplama |
Yayımlanma Tarihi |
13 Mar |
WU, WSUS, Katalog |
|
Windows Server 2008 SP2 |
Yayımlanma Tarihi |
13 Mar |
WU, WSUS, Katalog |
Bu güncelleştirme, Windows'un 64 Bit (x64) sürümündeki Windows çekirdeğinde ayrıcalık yükselmesi güvenlik açığını giderir. Bu güvenlik açığı CVE-2018-1038'de belgelenmiştir. Bilgisayarları Ocak 2018'de veya sonrasında aşağıdaki Bilgi Bankası makalesinde listelenen güncelleştirmelerden herhangi birini uygulayarak güncelleştirildiyse, kullanıcıların bu güvenlik açığına karşı tam olarak korunması için bu güncelleştirmeyi uygulaması gerekir:
Bu güvenlik güncelleştirmesi, Internet Explorer'da bildirilen birkaç güvenlik açığını giderir. Bu güvenlik açıkları hakkında daha fazla bilgi edinmek için bkz. Microsoft Ortak Güvenlik Açıkları ve Açığa Çıkarmalar.
Ürün güncelleştirmesi yayınlandı |
Durum |
Sürüm tarihi |
Yayın kanalı |
KB |
Internet Explorer 10 - Windows 8 Embedded Standard Edition toplu güncelleştirmesi |
Yayımlanma Tarihi |
13 Mar |
WU, WSUS, Katalog |
Şubat 2018 Windows işletim sistemi güncelleştirmeleri
Blog: Windows Analytics artık Spectre ve Meltdown korumalarını değerlendirmeye yardımcı oluyor
Aşağıdaki güvenlik güncelleştirmeleri, 32 bit (x86) Windows işletim sistemlerini çalıştıran cihazlar için ek korumalar sağlar. Microsoft, müşterilerin güncelleştirmeyi en kısa sürede yüklemelerini önerir. Desteklenen diğer Windows sürümleri için koruma sağlamak için çalışmaya devam ediyoruz ancak şu anda bir sürüm zamanlamasına sahip değiliz. Güncelleştirmeler için lütfen buraya tekrar bakın.
Not Windows 10 aylık güvenlik güncelleştirmeleri aylık toplu güncelleştirmelerdir ve Windows Update otomatik olarak indirilip yüklenir. Önceki güncelleştirmeleri yüklediyseniz, cihazınıza yalnızca yeni bölümler indirilir ve yüklenir. Daha fazla bilgi için teknik ayrıntılar için ilgili Bilgi Bankası makalesine ve "SSS" bölümüne bakın.
Ürün güncelleştirmesi yayınlandı |
Durum |
Sürüm tarihi |
Yayın kanalı |
KB |
Windows 10 - Sürüm 1709 / Windows Server 2016 (1709) / IoT Core - Kalite Güncelleştirmesi |
Yayımlanma Tarihi |
31-Oca |
WU, Katalog |
|
Windows Server 2016 (1709) - Server kapsayıcısı |
Yayımlanma Tarihi |
13 Şubat |
Docker Hub |
|
Windows 10 - Sürüm 1703 / IoT Core - Kalite Güncelleştirmesi |
Yayımlanma Tarihi |
13 Şubat |
WU, WSUS, Katalog |
|
Windows 10 - Sürüm 1607 / Windows Server 2016 / IoT Core - Kalite Güncelleştirmesi |
Yayımlanma Tarihi |
13 Şubat |
WU, WSUS, Katalog |
|
Windows 10 HoloLens - İşletim Sistemi ve Üretici Yazılımı Güncelleştirmeler |
Yayımlanma Tarihi |
13 Şubat |
WU, Katalog |
|
Windows Server 2016 (1607) - Kapsayıcı Görüntüleri |
Yayımlanma Tarihi |
13 Şubat |
Docker Hub |
|
Windows 10 - Sürüm 1511 / IoT Core - Kalite Güncelleştirmesi |
Yayımlanma Tarihi |
13 Şubat |
WU, WSUS, Katalog |
|
Windows 10 - RTM Sürümü - Kalite Güncelleştirmesi |
Yayımlanma Tarihi |
13 Şubat |
WU, WSUS, Katalog |
Ocak 2018 Windows işletim sistemi güncelleştirmeleri
Ocak 2018'den itibaren Microsoft, aşağıdaki x64 tabanlı Windows işletim sistemlerini çalıştıran cihazlar için risk azaltma sağlamak üzere güvenlik güncelleştirmeleri yayımladı. Müşteriler, kullanılabilir korumalardan yararlanmak için en son Windows işletim sistemi güvenlik güncelleştirmelerini yüklemelidir. Desteklenen diğer Windows sürümleri için koruma sağlamak için çalışıyoruz ancak şu anda bir sürüm zamanlamasına sahip değiliz. Güncelleştirmeler için lütfen buraya tekrar bakın. Daha fazla bilgi için teknik ayrıntılar için ilgili Bilgi Bankası makalesine ve "SSS" bölümüne bakın.
Ürün güncelleştirmesi yayınlandı |
Durum |
Sürüm tarihi |
Yayın kanalı |
KB |
Windows 10 - Sürüm 1709 / Windows Server 2016 (1709) / IoT Core - Kalite Güncelleştirmesi |
Yayımlanma Tarihi |
3 Ocak |
WU, WSUS, Katalog, Azure Image Gallery |
|
Windows Server 2016 (1709) - Server kapsayıcısı |
Yayımlanma Tarihi |
5-Oca |
Docker Hub |
|
Windows 10 - Sürüm 1703 / IoT Core - Kalite Güncelleştirmesi |
Yayımlanma Tarihi |
3 Ocak |
WU, WSUS, Katalog |
|
Windows 10 - Sürüm 1607 / Windows Server 2016 / IoT Core- Kalite Güncelleştirmesi |
Yayımlanma Tarihi |
3 Ocak |
WU, WSUS, Katalog |
|
Windows Server 2016 (1607) - Kapsayıcı Görüntüleri |
Yayımlanma Tarihi |
4-Oca |
Docker Hub |
|
Windows 10 - Sürüm 1511 / IoT Core - Kalite Güncelleştirmesi |
Yayımlanma Tarihi |
3 Ocak |
WU, WSUS, Katalog |
|
Windows 10 - RTM Sürümü - Kalite Güncelleştirmesi |
Yayımlanma Tarihi |
3 Ocak |
WU, WSUS, Katalog |
|
Windows 10 Mobile (İS Derlemesi 15254.192) - ARM |
Yayımlanma Tarihi |
5-Oca |
WU, Katalog |
|
Windows 10 Mobile (İS Derlemesi 15063.850) |
Yayımlanma Tarihi |
5-Oca |
WU, Katalog |
|
Windows 10 Mobile (İS Derlemesi 14393.2007) |
Yayımlanma Tarihi |
5-Oca |
WU, Katalog |
|
Windows 10 HoloLens |
Yayımlanma Tarihi |
5-Oca |
WU, Katalog |
|
Windows 8.1 / Windows Server 2012 R2 - Yalnızca Güvenlik Güncelleştirmesi |
Yayımlanma Tarihi |
3 Ocak |
WSUS, Katalog |
|
Windows Embedded 8.1 Industry Enterprise |
Yayımlanma Tarihi |
3 Ocak |
WSUS, Katalog |
|
Windows Embedded 8.1 Industry Pro |
Yayımlanma Tarihi |
3 Ocak |
WSUS, Katalog |
|
Windows Embedded 8.1 Pro |
Yayımlanma Tarihi |
3 Ocak |
WSUS, Katalog |
|
Windows 8.1 / Windows Server 2012 R2 Aylık Toplaması |
Yayımlanma Tarihi |
8-Oca |
WU, WSUS, Katalog |
|
Windows Embedded 8.1 Industry Enterprise |
Yayımlanma Tarihi |
8-Oca |
WU, WSUS, Katalog |
|
Windows Embedded 8.1 Industry Pro |
Yayımlanma Tarihi |
8-Oca |
WU, WSUS, Katalog |
|
Windows Embedded 8.1 Pro |
Yayımlanma Tarihi |
8-Oca |
WU, WSUS, Katalog |
|
Windows Server 2012 Yalnızca Güvenlik |
Yayımlanma Tarihi |
WSUS, Katalog |
||
Windows Server 2008 SP2 |
Yayımlanma Tarihi |
WU, WSUS, Katalog |
||
Windows Server 2012 Aylık Toplaması |
Yayımlanma Tarihi |
WU, WSUS, Katalog |
||
Windows Embedded 8 Standard |
Yayımlanma Tarihi |
WU, WSUS, Katalog |
||
Windows 7 SP1/Windows Server 2008 R2 SP1 - Yalnızca Güvenlik Güncelleştirmesi |
Yayımlanma Tarihi |
3 Ocak |
WSUS, Katalog |
|
Windows Embedded Standard 7 |
Yayımlanma Tarihi |
3 Ocak |
WSUS, Katalog |
|
Windows Embedded POSReady 7 |
Yayımlanma Tarihi |
3 Ocak |
WSUS, Katalog |
|
Windows Thin PC |
Yayımlanma Tarihi |
3 Ocak |
WSUS, Katalog |
|
Windows 7 SP1/Windows Server 2008 R2 SP1 Aylık Toplaması |
Yayımlanma Tarihi |
4-Oca |
WU, WSUS, Katalog |
|
Windows Embedded Standard 7 |
Yayımlanma Tarihi |
4-Oca |
WU, WSUS, Katalog |
|
Windows Embedded POSReady 7 |
Yayımlanma Tarihi |
4-Oca |
WU, WSUS, Katalog |
|
Windows Thin PC |
Yayımlanma Tarihi |
4-Oca |
WU, WSUS, Katalog |
|
Windows 7 SP1 ve Windows 8.1 için Internet Explorer 11-Toplu Güncelleştirmesi |
Yayımlanma Tarihi |
3 Ocak |
WU, WSUS, Katalog |
9 Nisan 2024'te CVE-2022-0001 yayımladık | Mod içi BTI'nın belirli bir biçimi olan Dal Geçmişi Ekleme (BHI) açıklayan Intel Dal Geçmişi Ekleme. Bu güvenlik açığı, bir saldırgan kullanıcıdan gözetmen moduna (veya VMX kök olmayan/konuk olmayan moddan kök moda) geçmeden önce dal geçmişini işleyebilecek olduğunda oluşur. Bu düzenleme, dolaylı dal tahmin aracının dolaylı dal için belirli bir tahmin aracı seçmesine neden olabilir ve tahmin edilen hedefteki bir açıklama aracı geçici olarak yürütülür. İlgili dal geçmişi önceki güvenlik bağlamlarında ve özellikle de diğer tahmin aracı modlarında alınan dalları içerebileceğinden bu mümkün olabilir.
CVE-2022-0001'de açıklanan güvenlik açıklarını azaltmak için Windows İstemcisi (BT Pro) için KB4073119 kılavuzunda ve Windows Server için KB4072698 kılavuzunda açıklanan yönergeleri izleyin | Intel Dal Geçmişi Ekleme.
Kaynaklar ve teknik rehberlik
Rolünüze bağlı olarak, aşağıdaki destek makaleleri Spectre ve Meltdown güvenlik açıklarından etkilenen istemci ve sunucu ortamlarını belirlemenize ve azaltmanıza yardımcı olabilir.
L1 Terminal Hatası (L1TF) için Microsoft Güvenlik Önerisi: MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 ve CVE-2018-3646
Güvenlik Araştırması ve Savunması: Kurgusal mağaza atlama analizi ve risk azaltma (CVE-2018-3639)
Kurgusal Mağaza Atlama için Microsoft Güvenlik Danışmanlığı:MSRC ADV180012 ve CVE-2018-3639
Rogue System Register için Microsoft Güvenlik Danışmanlığı Okuma | Surface için Güvenlik Güncelleştirmesi Kılavuzu: MSRC ADV180013ve CVE-2018-3640
Güvenlik Araştırması ve Savunması: Kurgusal mağaza atlama analizi ve risk azaltma (CVE-2018-3639)
TechNet Security Research & Defense: KVA Shadow: Windows'ta Meltdown'ı Azaltma
Güvenlik Teknoloji Merkezi: Kurgusal Yürütme Tarafı Kanal Ödül Programı Koşulları
Microsoft Deneyimi blogu: Windows cihazları için Spectre ve Meltdown güvenlik güncelleştirmeleri güncelleştirmesi
İş İçin Windows blogu: Windows Analytics artık Spectre ve Meltdown korumalarının değerlendirilmesine yardımcı oluyor
Microsoft Secure blogu: Spectre ve Meltdown Risk Azaltmalarının Windows Sistemleri üzerindeki Performans Etkisini Anlama
Edge Geliştirici Blogu: Microsoft Edge ve Internet Explorer'da kurgusal yürütme yan kanal saldırılarını azaltma
Azure Blogu: Azure müşterilerinin CPU güvenlik açığına karşı güvenliğini sağlama
SCCM kılavuzu: Kurgusal yürütme yan kanal güvenlik açıklarını azaltmaya yönelik ek yönergeler
Microsoft Danışmanları:
-
ADV180002 | Kurgusal yürütme yan kanal güvenlik açıklarını azaltma yönergeleri
-
ADV180013 | Rogue System Register Okuma için Microsoft Kılavuzu
-
ADV180016 | Gecikmeli FP Durumu Geri Yükleme için Microsoft Kılavuzu
-
ADV180018 | L1TF değişkenlerini azaltmaya yönelik Microsoft Kılavuzu
Intel: Güvenlik Danışmanlığı
NVIDIA: Güvenlik Danışmanlığı
Tüketici Kılavuzu: Cihazınızı yongayla ilgili güvenlik açıklarına karşı koruma
Virüsten Koruma Kılavuzu: 3 Ocak 2018'de yayımlanan Windows güvenlik güncelleştirmeleri ve virüsten koruma yazılımı
AMD Windows işletim sistemi güvenlik güncelleştirmesi bloğu kılavuzu: KB4073707: Bazı AMD tabanlı cihazlar için Windows işletim sistemi güvenlik güncelleştirmesi bloğu
Spectre, Variant 2: KB4078130: Intel'e karşı Risk Azaltmayı Devre Dışı Bırakmak için Güncelleştirme : Intel, bazı eski işlemcilerde mikro kodla ilgili yeniden başlatma sorunları belirledi
Surface Kılavuzu: Kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için Surface Kılavuzu
Kurgusal yürütme tarafı kanal azaltmalarının durumunu doğrulama: PowerShell betiği çıkışı Get-SpeculationControlSettings anlama
BT Uzmanı Kılavuzu: Kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için BT Uzmanları için Windows İstemci Kılavuzu
Sunucu Kılavuzu: Kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için Windows Server kılavuzu
L1 Terminal Hatası için Sunucu Kılavuzu: L1 terminal hatasına karşı koruma için Windows Server kılavuzu
Geliştirici kılavuzu: Kurgusal Mağaza Atlama için Geliştirici Kılavuzu
Sunucu Hyper-V Kılavuzu
Azure KB: KB4073235: Kurgusal Yürütme Side-Channel Güvenlik Açıklarına Karşı Microsoft Bulut Korumaları
Azure Stack kılavuzu: KB4073418: Kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için Azure stack kılavuzu
Azure güvenilirliği: Azure Güvenilirlik Portalı
SQL Server kılavuzu: KB4073225: kurgusal yürütme yan kanal güvenlik açıklarına karşı koruma sağlamak için SQL Server Kılavuzu
Spectre ve Meltdown güvenlik açıklarına karşı koruma amaçlı güncelleştirmeler için OEM ve Sunucu cihaz üreticilerine bağlantılar
Bu güvenlik açıklarını gidermeye yardımcı olmak için hem donanımınızı hem de yazılımınızı güncelleştirmeniz gerekir. Cihaz üreticinizle ilgili üretici yazılımı (mikro kod) güncelleştirmelerini denetlemek için aşağıdaki bağlantıları kullanın.
Cihaz üreticinize üretici yazılımı (mikro kod) güncelleştirmelerini denetlemek için aşağıdaki bağlantıları kullanın. Tüm kullanılabilir korumalar için hem işletim sistemi hem de üretici yazılımı (mikro kod) güncelleştirmelerini yüklemeniz gerekir.
OEM Cihaz Üreticileri |
Mikro kod kullanılabilirliği bağlantısı |
Acer |
|
Asus |
ASUS Update on Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method |
Dell |
|
Epson |
|
Fujitsu |
Yan kanal saldırılarına açık CPU donanımı (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
HP |
|
Lenovo |
|
LG |
|
NEC |
ürünlerimizde işlemcinin güvenlik açığına (meltdown, spectrum) yanıt olarak |
Panasonic |
|
Samsung |
|
Surface |
Kurgusal yürütme tarafı kanal güvenlik açıklarına karşı koruma için Surface Kılavuzu |
Toshiba |
|
Vaio |
OEM Sunucu Üreticileri |
Mikro kod kullanılabilirliği bağlantısı |
Dell |
|
Fujitsu |
Yan kanal saldırılarına açık CPU donanımı (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
HPE |
Hewlett Packard Enterprise Ürün Güvenliği Güvenlik Açığı Uyarıları |
Huawei |
|
Lenovo |
Sık sorulan sorular
Üretici yazılımı (mikro kod) güncelleştirmeleri için cihaz üreticinize başvurun. Cihaz üreticiniz tabloda listelenmiyorsa doğrudan OEM'inize başvurun.
Microsoft Surface cihazları için Güncelleştirmeler, Windows Update aracılığıyla müşterilerin kullanımına sunulmuştur. Kullanılabilir Surface cihaz üretici yazılımı (mikro kod) güncelleştirmelerinin listesi için bkz. KB 4073065.
Cihazınız Microsoft'tan değilse, cihaz üreticisinin üretici yazılımı güncelleştirmelerini uygulayın. Daha fazla bilgi için cihaz üreticinizebaşvurun.
Yazılım güncelleştirmesini kullanarak bir donanım güvenlik açığını gidermek, eski işletim sistemleri için önemli zorluklar ve risk azaltmalar sunar ve kapsamlı mimari değişiklikler gerektirebilir. Risk azaltma sağlamanın en iyi yolunu araştırmak için etkilenen yonga üreticileriyle birlikte çalışmaya devam ediyoruz. Bu, gelecekteki bir güncelleştirmede sağlanabilir. Bu eski işletim sistemlerini çalıştıran eski cihazları değiştirmek ve virüsten koruma yazılımını güncelleştirmek kalan riski ele almalıdır.
Notlar:
-
Şu anda hem temel hem de genişletilmiş desteğin dışında olan ürünler bu sistem güncelleştirmelerini almaz. Müşterilerin desteklenen bir sistem sürümüne güncelleştirmelerini öneririz.
-
Kurgusal yürütme yan kanal saldırıları CPU davranışı ve işlevselliğinden yararlanıyor. CPU üreticileri önce hangi işlemcilerin risk altında olabileceğini belirlemeli ve ardından Microsoft'a bildirmelidir. Çoğu durumda, müşterilere daha kapsamlı koruma sağlamak için ilgili işletim sistemi güncelleştirmeleri de gerekir. Güvenlik bilincine sahip Windows CE satıcılarının güvenlik açıklarını ve ilgili risk azaltmaları anlamak için yonga üreticisiyle birlikte çalışmasını öneririz.
-
Aşağıdaki platformlar için güncelleştirme yayınlamayacağız:
-
Şu anda desteklenmeyen veya 2018'de hizmet sonuna (EOS) girecek olan Windows işletim sistemleri
-
WES 2009 ve POSReady 2009 dahil Windows XP tabanlı sistemler
-
Windows XP tabanlı sistemler etkilenen ürünler olsa da, Gerekli olacak kapsamlı mimari değişiklikler sistem kararlılığını tehlikeye atacağından ve uygulama uyumluluk sorunlarına neden olacağından, Microsoft bunlar için bir güncelleştirme vermiyor. Güvenlik bilincine sahip müşterilerin, değişen güvenlik tehdidi ortamına ayak uydurmak ve daha yeni işletim sistemlerinin sağladığı daha sağlam korumalardan yararlanabilmek için daha yeni, desteklenen bir işletim sistemine yükseltmelerini öneriyoruz.
HoloLens için Güncelleştirmeler Windows 10 Windows Update aracılığıyla HoloLens müşterileri tarafından kullanılabilir.
Şubat 2018 Windows Güvenliği Güncelleştirmesini uyguladıktan sonra HoloLens müşterilerinin cihaz üretici yazılımını güncelleştirmek için ek bir işlem yapması gerekmez. Bu risk azaltmalar, HoloLens için Windows 10'nin gelecekteki tüm sürümlerine de dahil edilecek.
Daha fazla bilgi için OEM'inize başvurun.
Cihazınızın tam olarak korunması için cihazınız için en son Windows işletim sistemi güvenlik güncelleştirmelerini ve cihaz üreticinizin geçerli üretici yazılımı (mikro kod) güncelleştirmelerini yüklemeniz gerekir. Bu güncelleştirmelere cihaz üreticinizin web sitesinden ulaşabilmeniz gerekir. İlk olarak virüsten koruma yazılımı güncelleştirmeleri yüklenmelidir. İşletim sistemi ve üretici yazılımı güncelleştirmeleri herhangi bir sırayla yüklenebilir.
Bu güvenlik açığını gidermek için hem donanımınızı hem de yazılımınızı güncelleştirmeniz gerekir. Daha kapsamlı koruma için cihaz üreticinizden geçerli üretici yazılımı (mikro kod) güncelleştirmelerini de yüklemeniz gerekir. Aylık güvenlik güncelleştirmelerini yükleyerek cihazlarınızı güncel tutmanızı öneririz.
Her Windows 10 özellik güncelleştirmesinde, tüm kötü amaçlı yazılım sınıflarının cihazınızı etkilemesini engelleyen derinlemesine savunma özellikleri sağlayarak işletim sisteminin derinliklerine en son güvenlik teknolojisini oluşturuyoruz. Özellik güncelleştirmesi sürümleri yılda iki kez hedeflenir. Her aylık kalite güncelleştirmesinde, değişen ve gelişen tehditler karşısında güncel sistemleri daha güvenli hale getirmek için kötü amaçlı yazılımlarda ortaya çıkan ve değişen eğilimleri izleyen bir güvenlik katmanı daha ekliyoruz.
Microsoft, Windows Update aracılığıyla desteklenen Windows 10, Windows 8.1 ve Windows 7 SP1 cihazları için Windows güvenlik güncelleştirmeleri için AV uyumluluk denetimini kaldırdı.
Öneri:-
Microsoft'un ve donanım üreticinizin en son güvenlik güncelleştirmelerine sahip olarak cihazlarınızın güncel olduğundan emin olun. Cihazınızı güncel tutma hakkında daha fazla bilgi için bkz. Windows Update: SSS.
-
Bilinmeyen kaynaklı web sitelerini ziyaret ettiğinizde ve güvenmediğiniz sitelerde kalmadığınızda mantıklı bir uyarı uygulamaya devam edin. Microsoft, desteklenen bir virüsten koruma programı çalıştırarak tüm müşterilerin cihazlarını korumasını önerir. Ayrıca müşteriler yerleşik virüsten koruma yazılımlarından da yararlanabilir: Windows 10 cihazlar için Windows Defender veya Windows 7 cihazlar için Microsoft Security Essentials. Bu çözümler, müşterilerin virüsten koruma yazılımı yükleyememe veya çalıştıramama durumları için uyumludur.
Müşteri cihazlarını olumsuz yönde etkilememeye yardımcı olmak için Ocak veya Şubat aylarında yayımlanan Windows güvenlik güncelleştirmeleri tüm müşterilere sunulmamıştır. Ayrıntılar için 4072699 Microsoft Bilgi Bankası makalesine bakın.
Intel, spectre Variant 2 (CVE-2017-5715 – "Dal Hedef Ekleme") ile ilgili olarak kısa süre önce yayımlanan mikro kodu etkileyen sorunlar bildirdi . Özellikle Intel, bu mikro kodun "beklenenden daha yüksek yeniden başlatmalara ve diğer öngörülemeyen sistem davranışlarına" neden olabileceğini ve bunun gibi durumların "veri kaybına veya bozulmasına" neden olabileceğini belirtti. Kendi deneyimimiz, sistem istikrarsızlıklarının bazı durumlarda veri kaybına veya bozulmaya neden olabileceğidir. Intel, 22 Ocak'ta müşterilerin güncelleştirilmiş çözüm üzerinde ek test yaparken etkilenen işlemcilere geçerli mikro kod sürümünü dağıtmayı durdurmasını önerdi. Intel'in geçerli mikro kod sürümünün olası etkisini araştırmaya devam ettiğini anlıyoruz ve müşterilerin kararlarını bilgilendirmek için kılavuzlarını sürekli olarak gözden geçirmelerini öneririz.
Intel yeni mikro kodu test ederken, güncelleştirir ve dağıtırken, özellikle CVE-2017-5715 – "Dal Hedefi Ekleme" için yalnızca azaltmayı devre dışı bırakabilen bant dışı (OOB) bir KB 4078130 güncelleştirmesi kullanıma sunuluyor. Yaptığımız testte, açıklanan davranışı önlemek için bu güncelleştirme bulundu. Cihazların tam listesi için Intel'in mikro kod düzeltme kılavuzuna bakın. Bu güncelleştirme, Windows 7 (SP1), Windows 8.1 ve Windows 10'un istemci ve sunucu için tüm sürümlerini kapsar. Etkilenen bir cihaz çalıştırıyorsanız, bu güncelleştirme Microsoft Update Kataloğu web sitesinden indirilerek uygulanabilir. Bu yükün uygulanması özellikle CVE-2017-5715 – "Dal Hedefi Ekleme" ile ilgili risk azaltmayı devre dışı bırakır.
25 Ocak itibariyle bu Spectre Variant 2'nin (CVE-2017-5715) müşterilere saldırmak için kullanıldığını gösteren bilinen bir rapor yoktur. Uygun olduğunda, Intel cihazınız için bu öngörülemeyen sistem davranışının çözümlendiğini bildirdiğinde Windows müşterilerinin CVE-2017-5715'e karşı risk azaltmayı yeniden etkinleştirmelerini öneririz.
Hayır. Yalnızca Güvenlik güncelleştirmeleri toplu değildir. Çalıştırdığınız işletim sistemi sürümüne bağlı olarak, bu güvenlik açıklarına karşı korunmak için yayımlanan tüm Yalnızca Güvenlik güncelleştirmelerini yüklemeniz gerekir. Örneğin, etkilenen bir Intel CPU üzerinde 32 bit Sistemler için Windows 7 çalıştırıyorsanız Ocak 2018'den itibaren her Yalnızca Güvenlik güncelleştirmesini yüklemeniz gerekir. Bu Yalnızca Güvenlik güncelleştirmelerini yayın sırasına göre yüklemenizi öneririz.
Not Bu SSS'nin önceki bir sürümü, Yalnızca Şubat Güvenlik güncelleştirmesinin Ocak ayında yayımlanan güvenlik düzeltmelerini içerdiğini yanlış belirtmektedir. Aslında, öyle değil.Hayır. Güvenlik güncelleştirmesi 4078130, mikro kod yüklendikten sonra öngörülemeyen sistem davranışlarını, performans sorunlarını ve beklenmeyen yeniden başlatmaları önlemeye yönelik belirli bir düzeltmeydi. Windows istemci işletim sistemlerine Şubat güvenlik güncelleştirmelerinin uygulanması üç azaltmayı da etkinleştirir. Windows server işletim sistemlerinde, uygun test gerçekleştirildikten sonra da risk azaltmaları etkinleştirmeniz gerekir. Daha fazla bilgi için 4072698 Microsoft Bilgi Bankası makalesine bakın.
AMD kısa süre önce Spectre Variant 2 (CVE-2017-5715 "Dal Hedefi Ekleme") çevresindeki daha yeni CPU platformları için mikro kod yayınlamaya başladıklarını duyurdu. Daha fazla bilgi için BKZ. AMD Güvenlik Güncelleştirmeler ve AMD Teknik İncelemesi: Dolaylı Dal Denetimi Ile İlgili Mimari Yönergeleri. Bunlar OEM üretici yazılımı kanalından kullanılabilir.
Intel kısa süre önce doğrulamalarını tamamladıklarını ve daha yeni CPU platformları için mikro kod yayınlamaya başladıklarını duyurdu. Microsoft, Spectre Variant 2 (CVE-2017-5715 "Dal Hedefi Ekleme") ile ilgili intel tarafından doğrulanmış mikro kod güncelleştirmeleri sunmaktadır. KB 4093836 , Windows sürümüne göre belirli Bilgi Bankası makalelerini listeler. Her belirli KB, CPU tarafından kullanılabilir Intel mikro kodu güncelleştirmelerini içermektedir.
Microsoft, Spectre Variant 2 (CVE-2017-5715 "Dal Hedefi Ekleme" ile ilgili intel tarafından doğrulanmış mikro kod güncelleştirmeleri yapıyor. Windows Update aracılığıyla en son Intel mikro kod güncelleştirmelerini almak için müşterilerin Windows 10 Nisan 2018 Güncelleştirmesi'ne (sürüm 1803) yükseltmeden önce Windows 10 işletim sistemi çalıştıran cihazlara Intel mikro kodu yüklemiş olması gerekir.
Mikro kod güncelleştirmesi, sistemi yükseltmeden önce cihaza yüklenmediyse doğrudan Güncelleştirme Kataloğu'ndan da kullanılabilir. Intel mikro kodu Windows Update, WSUS veya Microsoft Update Kataloğu aracılığıyla kullanılabilir. Daha fazla bilgi ve indirme yönergeleri için bkz. KB 4100347.
Daha fazla bilgi için aşağıdaki kaynaklara bakın:
-
ADV180012 | CVE-2018-3639 için Kurgusal Mağaza Atlama için Microsoft Kılavuzu
-
ADV180013 | CVE-2018-3640 ve KB 4073065 için Rogue System Register Okuma için Microsoft Kılavuzu | Surface Müşterileri için Rehberlik
Ayrıntılar için ADV180012 | içindeki "Önerilen eylemler" ve "SSS" bölümlerine bakın Kurgusal Mağaza Atlama için Microsoft Kılavuzu.
SSBD'nin durumunu doğrulamak için, Get-SpeculationControlSettings PowerShell betiği etkilenen işlemcileri, SSBD işletim sistemi güncelleştirmelerinin durumunu ve varsa işlemci mikro kodunun durumunu algılayacak şekilde güncelleştirilmiştir. Daha fazla bilgi edinmek ve PowerShell betiğini edinmek için bkz. KB4074629.
13 Haziran 2018'de, Tembel FP Durum Geri Yükleme olarak bilinen yan kanal kurgusal yürütmeyle ilgili ek bir güvenlik açığı duyuruldu ve CVE-2018-3665 olarak atandı. Gecikmeli Geri Yükleme FP Geri Yükleme için yapılandırma (kayıt defteri) ayarı gerekmez.
Bu güvenlik açığı ve önerilen eylemler hakkında daha fazla bilgi için lütfen Güvenlik Önerisi: ADV180016 | Gecikmeli FP Durumu Geri Yükleme için Microsoft Kılavuzu
NotGecikmeli Geri Yükleme FP Geri Yükleme için yapılandırma (kayıt defteri) ayarı gerekmez.
Sınır Denetimi Atlama Deposu (BCBS) 10 Temmuz 2018'de açıklandı ve CVE-2018-3693 olarak atandı. BCBS'nin Sınır Denetimi Atlama (Değişken 1) ile aynı güvenlik açığı sınıfına ait olduğunu düşünüyoruz. Şu anda yazılımımızdaki BCBS örneklerinin farkında değiliz, ancak bu güvenlik açığı sınıfını araştırmaya devam ediyoruz ve gerekli azaltmaları yayınlamak için sektör iş ortaklarıyla birlikte çalışacağız. Araştırmacıları, BCBS'nin sömürülebilir örnekleri de dahil olmak üzere Microsoft'un Kurgusal Yürütme Tarafı Kanalı ödül programına ilgili bulguları göndermeye teşvik etmeye devam ediyoruz. Yazılım geliştiricileri, https://aka.ms/sescdevguide'de BCBS için güncelleştirilmiş olan geliştirici kılavuzunu gözden geçirmelidir.
14 Ağustos 2018'de L1 Terminal Hatası (L1TF) duyuruldu ve birden çok CV'ye atandı. Bu yeni kurgusal yürütme yan kanal güvenlik açıkları, güvenilir bir sınırdaki belleğin içeriğini okumak için kullanılabilir ve yararlanılırsa bilgilerin açığa çıkmasına neden olabilir. Bir saldırganın yapılandırılan ortama bağlı olarak güvenlik açıklarını tetikleyebileceği birden çok vektör vardır. L1TF, Intel® Core® işlemcileri ve Intel® Xeon® işlemcileri etkiler.
Microsoft'un L1TF'yi azaltma yaklaşımı da dahil olmak üzere bu güvenlik açığı hakkında daha fazla bilgi ve etkilenen senaryoların ayrıntılı bir görünümü için lütfen aşağıdaki kaynaklara bakın:
Microsoft Surface müşterileri: Microsoft Surface ve Surface Book ürünleri kullanan müşterilerin Güvenlik Önerisi: ADV180018 | bölümünde açıklanan Windows İstemcisi yönergelerini izlemesi gerekir L1TF değişkenlerini azaltmak için Microsoft Kılavuzu. Ayrıca etkilenen Surface ürünleri ve mikro kod güncelleştirmelerinin kullanılabilirliği hakkında daha fazla bilgi için microsoft bilgi bankası makalesine 4073065 bakın.
Microsoft Hololens müşterileri: Microsoft HoloLens, etkilenen bir Intel işlemci kullanmadığından L1TF'yi etkilemez.
Hyper-Threading devre dışı bırakmak için gereken adımlar OEM'den OEM'e farklılık gösterir, ancak genellikle BIOS veya üretici yazılımı kurulum ve yapılandırma araçlarının bir parçasıdır.
CVE-2017-5715 - Dal hedef eklemeyi (Spectre, Variant 2) azaltan ARM64 işletim sistemi korumalarının etkili olması için cihaz OEM'lerinden en son üretici yazılımı güncelleştirmesini gerektirdiğinden, 64 bit ARM işlemci kullanan müşteriler üretici yazılımı desteği için cihaz OEM'sine bakmalıdır.
Bu güvenlik açığı hakkında ayrıntılar için bkz. Microsoft Güvenlik Kılavuzu: CVE-2019-1125 | Windows Çekirdek Bilgilerinin Açığa Çıkması Güvenlik Açığı.
Bulut hizmeti altyapımızı etkileyen bu bilgilerin açığa çıkması güvenlik açığının herhangi bir örneğinden haberdar değiliz.
Bu sorunun farkına vardığımız anda bu sorunu çözmek ve bir güncelleştirme yayınlamak için hızlı bir şekilde çalıştık. Müşterileri daha güvenli hale getirmek için hem araştırmacılar hem de sektör iş ortakları ile yakın iş ortaklıklarına kesinlikle inanıyoruz ve 6 Ağustos Salı gününe kadar eşgüdümlü güvenlik açığı açıklama uygulamalarıyla tutarlı olarak ayrıntıları yayımlamadık.
Başvurular
Microsoft, bu konu hakkında ek bilgi bulmanıza yardımcı olmak için üçüncü taraf iletişim bilgileri sağlar. Bu kişi bilgileri bildirilmeksizin değiştirilebilir. Microsoft, üçüncü taraf iletişim bilgilerinin doğruluğunu garanti etmez.