|
Skift dato |
Skift beskrivelse |
|---|---|
|
9. august 2023 |
|
|
9. april 2024 |
|
Sammendrag
Denne artikel indeholder oplysninger og opdateringer til en ny klasse af processorbaserede microarchitectural- og speculative execution side-channel-sikkerhedsrisici, der påvirker mange moderne processorer og operativsystemer. Den indeholder også en omfattende liste over Windows-klient- og serverressourcer, der kan hjælpe med at beskytte dine enheder derhjemme, på arbejdet og på tværs af virksomheden. Dette omfatter Intel, AMD og ARM. Du kan finde specifikke oplysninger om sårbarhed for disse processorbaserede problemer i følgende sikkerhedsvejledninger og CVEs:
-
ADV180002 – Vejledning til at afhjælpe speculative execution side-channel-sikkerhedsrisici
-
ADV180012 – Microsoft-vejledning til speculative Store Bypass
-
ADV180013 – Microsoft Guidance for Rogue System Register Read
-
ADV190013 – Microsoft Guidance to mitigate Microarchitectural Data Sampling vulnerabilities
-
ADV220002 – Microsoft-vejledning i Intel Processor MMIO Stale Data Vulnerabilities
Den 3. januar 2018 udsendte Microsoft en vejledning og sikkerhedsopdateringer, der er relateret til en nyopdaget klasse af hardwaresårbarheder (kendt som Spectre and Meltdown), der involverer speculative execution side channels, der påvirker AMD-, ARM- og Intel-processorer i forskellige grader. Denne klasse af sårbarheder er baseret på en almindelig chiparkitektur, der oprindeligt blev udviklet til at gøre computere hurtigere. Du kan få mere at vide om disse sårbarheder på Google Project Zero.
Den 21. maj 2018 afslørede Google Project Zero (GPZ), Microsoft og Intel to nye chipsårbarheder, der er relateret til Spectre- og Meltdown-problemerne og er kendt som Speculative Store Bypass (SSB) og Rogue System Registry Read. Kunderisikoen ved begge afsløringer er lav.
Du kan finde flere oplysninger om disse sårbarheder i de ressourcer, der er angivet under Opdateringer til Windows-operativsystemet i maj 2018, og se følgende sikkerhedsvejledninger:
-
ADV180012 | Microsoft-vejledning til Speculative Store Bypass
-
ADV180013 | Microsoft Vejledning til Rogue System Register Read
Den 13. juni 2018 blev en ekstra sårbarhed, der involverede side-channel speculative execution, kendt som Lazy FP State Restore, annonceret og tildelt CVE-2018-3665. Du kan få flere oplysninger om denne sikkerhedsrisiko og anbefalede handlinger i følgende Security Advisory:
Den 14. august 2018 blev L1 Terminal Fault (L1TF) annonceret en ny speculative execution side channel-sårbarhed, der har flere CVEs. L1TF påvirker Intel® Core-processorer® og Intel® Xeon-processorer®. Du kan få mere at vide om L1TF og anbefalede handlinger i vores Security Advisory:
Bemærk: Vi anbefaler, at du installerer alle de seneste opdateringer fra Windows Update, før du installerer mikrokodeopdateringer.
Den 14. maj 2019 offentliggjorde Intel oplysninger om en ny underklasse af speculative execution side-channel-sikkerhedsrisici, der er kendt som Microarchitectural Data Sampling. De har fået tildelt følgende cv'er:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Microarchitectural Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 – "Microarchitectural Load Port Data Sampling (MLPDS)"
Vigtigt! Disse problemer påvirker andre systemer som Android, Chrome, iOS og MacOS. Vi anbefaler, at kunder søger vejledning fra deres respektive leverandører.
Microsoft har udgivet opdateringer for at afhjælpe disse sårbarheder. For at få al tilgængelig beskyttelse kræves firmware (mikrokode) og softwareopdateringer. Dette kan omfatte mikrokode fra enheds-OEM'er. I nogle tilfælde vil det påvirke ydeevnen at installere disse opdateringer. Vi har også handlet for at sikre vores skytjenester.
Bemærk! Vi anbefaler, at du installerer alle de seneste opdateringer fra Windows Update, før du installerer mikrokodeopdateringer.
Du kan få mere at vide om disse problemer og anbefalede handlinger i følgende Security Advisory:
Den 6. august 2019 udgav Intel oplysninger om en sårbarhed i forbindelse med afsløring af Windows-kerneoplysninger. Denne sårbarhed er en variant af Spectre Variant 1 speculative execution side channel-sårbarhed og er blevet tildelt CVE-2019-1125.
Microsoft udgav en sikkerhedsopdatering til Windows-operativsystemet den 9. juli 2019 for at afhjælpe dette problem. Kunder, der har Windows Update aktiveret og har anvendt de sikkerhedsopdateringer, der blev udgivet d. 9. juli 2019, beskyttes automatisk. Bemærk, at denne sikkerhedsrisiko ikke kræver en mikrokodeopdatering fra producenten af enheden (OEM).
Du kan finde flere oplysninger om denne sårbarhed og relevante opdateringer under CVE-2019-1125 | Sårbarhed i forbindelse med offentliggørelse af Windows-kerneoplysninger i Microsoft Sikkerhedsopdateringsvejledning.
Den 14. juni 2022 offentliggjorde Intel oplysninger om en ny underklasse af "speculative execution memory-tilknyttede I/O-sidekanalsrisici" (MMIO), der er angivet i vejledningen:
Trin til at beskytte dine Windows-enheder
Du skal muligvis opdatere både din firmware (mikrokode) og din software for at løse disse sårbarheder. Du kan finde anbefalede handlinger i Microsoft Security Advisories. Dette omfatter relevante firmwareopdateringer (mikrokode) fra enhedsproducenter og i nogle tilfælde opdateringer til din antivirussoftware. Vi opfordrer dig til at holde dine enheder opdaterede ved at installere månedlige Windows-sikkerhedsopdateringer.
Hvis du vil modtage al tilgængelig beskyttelse, skal du følge disse trin for at få de seneste opdateringer til både software og hardware.
Bemærk!: Før du går i gang, skal du sørge for, at din antivirussoftware (AV) er opdateret og kompatibel. Se på producenten af antivirussoftwarens websted for at få deres seneste kompatibilitetsoplysninger.
-
Hold din Windows-enhed opdateret ved at slå automatiske opdateringer til.
-
Kontrollér, at du har installeret den nyeste sikkerhedsopdatering til Windows-operativsystemer fra Microsoft. Hvis automatiske opdateringer er slået til, skulle opdateringerne automatisk blive leveret til dig. Du skal dog stadig kontrollere, at de er installeret. Du kan finde en vejledning under Windows Update: ofte stillede spørgsmål
-
Installér tilgængelige firmwareopdateringer (mikrokode) fra enhedsproducenten. Alle kunder skal kontakte producenten af enheden for at downloade og installere deres enhedsspecifikke hardwareopdatering. Se afsnittet "Yderligere ressourcer" for at få en liste over enhedsproducentens websteder.
Bemærk!: Kunderne skal installere de nyeste sikkerhedsopdateringer til Windows-operativsystemer fra Microsoft for at udnytte den beskyttelse, der er tilgængelig. Opdateringer af antivirusprogrammer skal installeres først. Operativsystem og firmwareopdateringer skal komme bagefter. Vi opfordrer dig til at holde dine enheder opdaterede ved at installere månedlige Windows-sikkerhedsopdateringer.
Berørte chips omfatter dem, der er fremstillet af Intel, AMD og ARM. Det betyder, at alle enheder, der kører Windows-operativsystemer, er potentielt sårbare. Dette omfatter stationære computere, bærbare computere, skyservere og smartphones. Enheder, der kører andre operativsystemer, f.eks. Android, Chrome, iOS og macOS, påvirkes også. Vi råder kunder, der kører disse operativsystemer, til at søge vejledning fra disse leverandører.
På udgivelsestidspunktet havde vi ikke modtaget nogen oplysninger, der indikerer, at disse sårbarheder er blevet brugt til at angribe kunder.
Fra og med januar 2018 udsendte Microsoft opdateringer til Windows-operativsystemer og webbrowserne Internet Explorer og Edge for at afhjælpe disse sårbarheder og beskytte kunderne. Vi har også udgivet opdateringer for at sikre vores skytjenester. Vi fortsætter med at arbejde tæt sammen med branchepartnere, herunder chipproducenter, hardware-OEM'er og appleverandører, for at beskytte kunder mod denne klasse af sårbarheder.
Vi opfordrer dig til altid at installere de månedlige opdateringer for at holde dine enheder opdaterede og sikre.
Vi opdaterer denne dokumentation, når nye afhjælpninger bliver tilgængelige, og vi anbefaler, at du vender tilbage hertil regelmæssigt.
Opdateringer til Windows-operativsystemet juli 2019
Den 6. august 2019 afslørede Intel oplysninger om sikkerhedssårbarhed CVE-2019-1125 | Sårbarhed i forbindelse med afsløring af Windows-kerneoplysninger. Sikkerhedsopdateringer til denne sårbarhed blev udgivet som en del af den månedlige opdateringsversion for juli 9. juli 2019.
Microsoft udgav en sikkerhedsopdatering til Windows-operativsystemet den 9. juli 2019 for at afhjælpe dette problem. Vi holdt tilbage med at dokumentere denne afhjælpning offentligt indtil den koordinerede brancheoffentliggørelse tirsdag d. 6. august 2019.
Kunder, der har Windows Update aktiveret og har anvendt de sikkerhedsopdateringer, der blev udgivet d. 9. juli 2019, beskyttes automatisk. Bemærk, at denne sikkerhedsrisiko ikke kræver en mikrokodeopdatering fra producenten af enheden (OEM).
Opdateringer til Windows-operativsystemet for maj 2019
Den 14. maj 2019 offentliggjorde Intel oplysninger om en ny underklasse af speculative execution side-channel-sikkerhedsrisici kaldet Microarchitectural Data Sampling og fik tildelt følgende CVEs:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Microarchitectural Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 – "Microarchitectural Load Port Data Sampling (MLPDS)"
Du kan finde flere oplysninger om dette problem i følgende sikkerhedsmeddelelse og bruge scenariebaseret vejledning, der er beskrevet i artiklerne Windows-vejledning til klienter og server, for at finde ud af, hvilke handlinger der er nødvendige for at afhjælpe truslen:
Microsoft har udgivet beskyttelse mod en ny underklasse af speculative execution side-channel-sikkerhedsrisici kendt som Microarchitectural Data Sampling for 64-Bit (x64) versioner af Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).
Brug indstillingerne i registreringsdatabasen som beskrevet i artiklerne Windows Client (KB4073119) og Windows Server (KB4457951). Disse indstillinger i registreringsdatabasen er som standard aktiveret for klientudgaver af Windows og udgaver af Windows Server OS.
Vi anbefaler, at du installerer alle de seneste opdateringer fra Windows Update først, før du installerer mikrokodeopdateringer.
Du kan få mere at vide om dette problem og anbefalede handlinger i følgende Security Advisory:
Intel har udgivet en mikrokodeopdatering til de seneste CPU-platforme for at afhjælpe CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. Den 14. maj 2019 viser Windows KB 4093836 specifikke Knowledge Base-artikler efter Windows OS-version. Artiklen indeholder også links til de tilgængelige Intel-mikrokodeopdateringer fra CPU. Disse opdateringer er tilgængelige via Microsoft-kataloget.
Bemærk! Vi anbefaler, at du installerer alle de seneste opdateringer fra Windows Update, før du installerer mikrokodeopdateringer.
Vi er glade for at kunne meddele, at Retpoline som standard er aktiveret på Windows 10, version 1809 enheder (for klient og server), hvis Spectre Variant 2 (CVE-2017-5715) er aktiveret. Ved at aktivere Retpoline på den nyeste version af Windows 10, via opdateringen fra 14. maj 2019 (KB 4494441), forventer vi forbedret ydeevne, især på ældre processorer.
Kunderne skal sikre, at tidligere os-beskyttelse mod Spectre Variant 2-sårbarheden er aktiveret ved hjælp af indstillingerne i registreringsdatabasen, der er beskrevet i artiklerne Windows Client og Windows Server . (Disse indstillinger i registreringsdatabasen er som standard aktiveret for klientudgaver af Windows, men som standard deaktiveret for Windows Server OS-udgaver). Du kan få mere at vide om "Retpoline" under Afhjælpning af Spectre variant 2 med Retpoline på Windows.
Opdateringer til Windows-operativsystemet i november 2018
Microsoft har udgivet operativsystembeskyttelse til Speculative Store Bypass (CVE-2018-3639) til AMD-processorer (CPU'er).
Microsoft har udgivet yderligere beskyttelse af operativsystemet for kunder, der bruger 64-bit ARM-processorer. Kontakt producenten af enhedens OEM for at få firmwaresupport, da ARM64-operativsystembeskyttelse, der afhjælper CVE-2018-3639, Speculative Store Bypass, kræver den seneste firmwareopdatering fra enheds-OEM'en.
Opdateringer til Windows-operativsystemet september 2018
Den 11. september I 2018 udgav Microsoft en månedlig opdateringspakke til Windows Server 2008 SP2 4458010 og kun sikkerheds 4457984 til Windows Server 2008, der giver beskyttelse mod en ny speculative execution side-channel-sårbarhed, der kaldes L1 Terminal Fault (L1TF), der påvirker Intel® Core-processorer® og Intel® Xeon-processorer® (CVE-2018-3620 og CVE-2018-3646).
Denne version fuldfører den ekstra beskyttelse på alle understøttede Windows-systemversioner via Windows Update. Du kan få flere oplysninger og en liste over berørte produkter under ADV180018 | Microsoft Guidance for at afhjælpe L1TF-variant.
Bemærk: Windows Server 2008 SP2 følger nu windows-standardens opdateringspakke til servicering. Du kan få mere at vide om disse ændringer i vores blog om vedligeholdelsesændringer i Windows Server 2008 SP2. Kunder, der kører Windows Server 2008, skal installere enten 4458010 eller 4457984 ud over 4341832 Sikkerhedsopdatering, som blev udgivet d. 14. august 2018. Kunderne skal også sikre, at tidligere OS-beskyttelse mod Spectre Variant 2- og Meltdown-sikkerhedsrisiciene aktiveres ved hjælp af indstillingerne i registreringsdatabasen, der er beskrevet i artiklerne i Knowledge Base til vejledning i Windows Client og Windows Server . Disse indstillinger i registreringsdatabasen er som standard aktiveret for klientudgaver af Windows, men er som standard deaktiveret for Windows Server OS-udgaver.
Microsoft har udgivet yderligere beskyttelse af operativsystemet for kunder, der bruger 64-bit ARM-processorer. Kontakt producenten af enhedens OEM for at få firmwaresupport, da ARM64-operativsystembeskyttelse, der afhjælper CVE-2017-5715 – Branch-destinationsinjicering (Spectre, Variant 2), kræver, at den nyeste firmwareopdatering fra enheds-OEM'er træder i kraft.
Opdateringer til Windows-operativsystemet august 2018
Den 14. august 2018 blev L1 Terminal Fault (L1TF) annonceret og tildelt flere CVEs. Disse nye "speculative execution side-channel"-sikkerhedsrisici kan bruges til at læse indholdet af hukommelse på tværs af en pålidelig grænse, og hvis de udnyttes, kan det føre til afsløring af oplysninger. Der er flere vektorer, hvorved en hacker kan udløse sårbarhederne afhængigt af det konfigurerede miljø. L1TF påvirker Intel® Core-processorer® og Intel® Xeon-processorer®.
Du kan finde flere oplysninger om L1TF og en detaljeret visning af berørte scenarier, herunder Microsofts tilgang til afhjælpning af L1TF, i følgende ressourcer:
Opdateringer til Windows-operativsystemet juli 2018
Vi er glade for at kunne meddele, at Microsoft har frigivet yderligere beskyttelse på alle understøttede Windows-systemversioner via Windows Update for følgende sårbarheder:
-
Spectre Variant 2 til AMD-processorer
-
Speculative Store Bypass til Intel-processorer
Den 13. juni 2018 blev en ekstra sårbarhed, der involverede side-channel speculative execution, kendt som Lazy FP State Restore, annonceret og tildelt CVE-2018-3665. Der kræves ingen konfigurationsindstillinger (registreringsdatabasen) for Lazy Restore FP Restore.
Du kan få flere oplysninger om denne sikkerhedsrisiko, berørte produkter og anbefalede handlinger i følgende Sikkerhedsmeddelelse:
Den 12. juni meddelte Microsoft, at Windows understøtter Speculative Store Bypass Disable (SSBD) i Intel-processorer. Opdateringerne kræver tilsvarende firmware (mikrokode) og opdateringer til registreringsdatabasen for at få funktionalitet. Du kan finde oplysninger om opdateringerne og de trin, du skal følge for at slå SSBD til, i afsnittet "Anbefalede handlinger" i ADV180012 | Microsoft Guidance for Speculative Store Bypass.
Opdateringer til Windows-operativsystemet i maj 2018
I januar 2018 udgav Microsoft oplysninger om en nyligt opdaget klasse af hardwaresårbarheder (kendt som Spectre and Meltdown), der involverer speculative execution side channels, der påvirker AMD-, ARM- og Intel-CPU'er i varierende grader. Den 21. maj 2018 afslørede Google Project Zero (GPZ) Microsoft og Intel to nye chipsårbarheder, der er relateret til Spectre and Meltdown-problemerne, der er kendt som Speculative Store Bypass (SSB) og Rogue System Registry Read.
Kunderisikoen ved begge afsløringer er lav.
Du kan få flere oplysninger om disse sårbarheder i følgende ressourcer:
-
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 og CVE-2018-3639
-
Microsoft Security Advisory for Rogue System Register Læs: MSRC ADV180013og CVE-2018-3640
-
Security Research and Defense: Analyse og afhjælpning af speculative store bypass (CVE-2018-3639)
Gælder for: Windows 10, version 1607, Windows Server 2016, Windows Server 2016 (Server Core-installation) og Windows Server, version 1709 (Server Core-installation)
Vi har ydet support til at styre brugen af IBPB (Indirect Branch Prediction Barrier) i nogle AMD-processorer (CPU'er) til afhjælpning af CVE-2017-5715, Spectre Variant 2, når du skifter fra brugerkontekst til kernekontekst. (Du kan få mere at vide under Retningslinjer for AMD-arkitektur vedrørende Indirect Branch Control og AMD Security Opdateringer).
Kunder, der kører Windows 10, version 1607, Windows Server 2016, Windows Server 2016 (Server Core-installation) og Windows Server version 1709 (Server Core-installation) skal installere sikkerhedsopdatering 4103723 for yderligere afhjælpning af AMD-processorer til CVE-2017-5715, Branch Target Injection. Denne opdatering er også tilgængelig via Windows Update.
Følg vejledningen i KB 4073119 til Windows Client (IT Pro) og KB 4072698 til Windows Server-vejledning for at aktivere brugen af IBPB i visse AMD-processorer (CPU'er) til afhjælpning af Spectre Variant 2, når du skifter fra brugerkontekst til kernekontekst.
Microsoft gør Intel-validerede mikrokodeopdateringer tilgængelige omkring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Kunderne skal have installeret Intel-mikrokode på enheder, der kører et Windows 10 operativsystem, før de opgraderer til Windows 10 April 2018-opdateringen (version 1803) for at få de seneste Intel-mikrokodeopdateringer via Windows Update.
Mikrokodeopdateringen er også tilgængelig direkte fra kataloget, hvis den ikke var installeret på enheden, før du opgraderede operativsystemet. Intel-mikrokode er tilgængelig via Windows Update, WSUS eller Microsoft Update-kataloget. Du kan finde flere oplysninger og downloadinstruktioner i KB 4100347.
Vi tilbyder yderligere mikrokodeopdateringer fra Intel til Windows-operativsystemet, efterhånden som de bliver tilgængelige for Microsoft.
Gælder for: Windows 10 version 1709
Vi har ydet support til at styre brugen af IBPB (Indirect Branch Prediction Barrier) i nogle AMD-processorer (CPU'er) til afhjælpning af CVE-2017-5715, Spectre Variant 2, når du skifter fra brugerkontekst til kernekontekst. (Du kan få mere at vide under Retningslinjer for AMD-arkitektur vedrørende Indirect Branch Control og AMD Security Opdateringer).
Følg vejledningen i KB 4073119 til Windows Client (IT Pro) for at aktivere brugen af IBPB i visse AMD-processorer (CPU'er) til afhjælpning af Spectre Variant 2, når du skifter fra brugerkontekst til kernekontekst.
Microsoft gør Intel-validerede mikrokodeopdateringer tilgængelige omkring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 viser specifikke Knowledge Base-artikler efter Windows-version. Hver specifik KB indeholder de senest tilgængelige Intel-mikrokodeopdateringer efter CPU.
Vi tilbyder yderligere mikrokodeopdateringer fra Intel til Windows-operativsystemet, efterhånden som de bliver tilgængelige for Microsoft.
Marts 2018 og senere opdateringer til Windows-operativsystemet
23. marts, TechNet Security Research & Defense: KVA Shadow: Afhjælpning Meltdown på Windows
14. marts, Security Tech Center: Vilkår for speculative Execution Side Channel-dusørprogram
13. marts blog: Opdatering af Windows Sikkerhed for marts 2018 – udvidelse af vores bestræbelser på at beskytte kunder
1. marts blog: Opdatering til Spectre- og Meltdown-sikkerhedsopdateringer til Windows-enheder
Fra og med marts 2018 udsendte Microsoft sikkerhedsopdateringer for at afhjælpe enheder, der kører følgende x86-baserede Windows-operativsystemer. Kunder skal installere de nyeste sikkerhedsopdateringer til Windows-operativsystemet for at drage fordel af den tilgængelige beskyttelse. Vi arbejder på at give beskyttelse til andre understøttede Windows-versioner, men har ikke en udgivelsesplan på nuværende tidspunkt. Vend tilbage hertil for at se, om der er opdateringer. Du kan finde flere oplysninger i den relaterede Knowledge Base-artikel for at få tekniske oplysninger og afsnittet "Ofte stillede spørgsmål".
|
Produktopdatering udgivet |
Status |
Frigivelsesdato |
Udgivelseskanal |
KB |
|
Windows 8.1 & Windows Server 2012 R2 – sikkerhedsopdatering |
Frigivet |
13. marts |
WSUS, Katalog, |
|
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 – sikkerhedsopdatering |
Frigivet |
13. marts |
WSUS, katalog |
|
|
Windows Server 2012 – sikkerhedsopdatering |
Frigivet |
13. marts |
WSUS, katalog |
|
|
Windows 8.1 & Windows Server 2012 R2 – månedlig opdateringspakke |
Frigivet |
13. marts |
WU, WSUS, katalog |
|
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 – månedlig opdateringspakke |
Frigivet |
13. marts |
WU, WSUS, katalog |
|
|
Windows Server 2012 – månedlig opdateringspakke |
Frigivet |
13. marts |
WU, WSUS, katalog |
|
|
Windows Server 2008 SP2 |
Frigivet |
13. marts |
WU, WSUS, katalog |
Fra og med marts 2018 udsendte Microsoft sikkerhedsopdateringer for at afhjælpe enheder, der kører følgende x64-baserede Windows-operativsystemer. Kunder skal installere de nyeste sikkerhedsopdateringer til Windows-operativsystemet for at drage fordel af den tilgængelige beskyttelse. Vi arbejder på at give beskyttelse til andre understøttede Windows-versioner, men har ikke en udgivelsesplan på nuværende tidspunkt. Vend tilbage hertil for at se, om der er opdateringer. Du kan finde flere oplysninger i den relaterede videnbase artikel for at få tekniske oplysninger og afsnittet "Ofte stillede spørgsmål".
|
Produktopdatering udgivet |
Status |
Frigivelsesdato |
Udgivelseskanal |
KB |
|
Windows Server 2012 – sikkerhedsopdatering |
Frigivet |
13. marts |
WSUS, katalog |
|
|
Windows Server 2012 – månedlig opdateringspakke |
Frigivet |
13. marts |
WU, WSUS, katalog |
|
|
Windows Server 2008 SP2 |
Frigivet |
13. marts |
WU, WSUS, katalog |
Denne opdatering løser en sårbarhed i forbindelse med udvidelse af rettigheder i Windows-kernen i 64-bit -versionen (x64) af Windows. Denne sårbarhed er dokumenteret i CVE-2018-1038. Brugerne skal anvende denne opdatering for at være fuldt beskyttet mod denne sikkerhedsrisiko, hvis deres computere blev opdateret den eller efter januar 2018 ved at anvende en af de opdateringer, der er angivet i følgende Knowledge Base-artikel:
Denne sikkerhedsopdatering løser flere rapporterede sårbarheder i Internet Explorer. Du kan få mere at vide om disse sårbarheder under Microsofts almindelige sårbarheder og eksponeringer.
|
Produktopdatering udgivet |
Status |
Frigivelsesdato |
Udgivelseskanal |
KB |
|
Internet Explorer 10 – samlet opdatering til Windows 8 Embedded Standard Edition |
Frigivet |
13. marts |
WU, WSUS, katalog |
Opdateringer til Windows-operativsystemet for februar 2018
Blog: Windows Analytics hjælper nu med at vurdere Beskyttelse mod Spectre og Meltdown
Følgende sikkerhedsopdateringer giver yderligere beskyttelse til enheder, der kører 32-bit (x86) Windows-operativsystemer. Microsoft anbefaler, at kunder installerer opdateringen, så snart den er tilgængelig. Vi arbejder fortsat på at give beskyttelse til andre understøttede Windows-versioner, men har ikke en udgivelsesplan på nuværende tidspunkt. Vend tilbage hertil for at se, om der er opdateringer.
Bemærk! Windows 10 månedlige sikkerhedsopdateringer er kumulative måned for måned og downloades og installeres automatisk fra Windows Update. Hvis du har installeret tidligere opdateringer, er det kun de nye dele, der downloades og installeres på din enhed. Du kan finde flere oplysninger i den relaterede Knowledge Base-artikel for at få tekniske oplysninger og afsnittet "Ofte stillede spørgsmål".
|
Produktopdatering udgivet |
Status |
Frigivelsesdato |
Udgivelseskanal |
KB |
|
Windows 10 – Version 1709/Windows Server 2016 (1709)/IoT-kerne – kvalitetsopdatering |
Frigivet |
31. januar |
WU, katalog |
|
|
Windows Server 2016 (1709) – serverbeholder |
Frigivet |
13. februar |
Docker Hub |
|
|
Windows 10 – Version 1703/IoT-kerne – kvalitetsopdatering |
Frigivet |
13. februar |
WU, WSUS, katalog |
|
|
Windows 10 – Version 1607/Windows Server 2016/IoT Core – kvalitetsopdatering |
Frigivet |
13. februar |
WU, WSUS, katalog |
|
|
Windows 10 HoloLens – Opdateringer operativsystem og firmware |
Frigivet |
13. februar |
WU, katalog |
|
|
Windows Server 2016 (1607) – beholderbilleder |
Frigivet |
13. februar |
Docker Hub |
|
|
Windows 10 – Version 1511/IoT-kerne – kvalitetsopdatering |
Frigivet |
13. februar |
WU, WSUS, katalog |
|
|
Windows 10 – Version RTM – kvalitetsopdatering |
Frigivet |
13. februar |
WU, WSUS, katalog |
Opdateringer til Windows-operativsystemet i januar 2018
Blog: Forstå Effekten af Spectre and Meltdown-ydeevnen på Windows-systemer
Fra og med januar 2018 udsendte Microsoft sikkerhedsopdateringer for at afhjælpe enheder, der kører følgende x64-baserede Windows-operativsystemer. Kunder skal installere de nyeste sikkerhedsopdateringer til Windows-operativsystemet for at drage fordel af den tilgængelige beskyttelse. Vi arbejder på at give beskyttelse til andre understøttede Windows-versioner, men har ikke en udgivelsesplan på nuværende tidspunkt. Vend tilbage hertil for at se, om der er opdateringer. Du kan finde flere oplysninger i den relaterede Knowledge Base-artikel for at få tekniske oplysninger og afsnittet "Ofte stillede spørgsmål".
|
Produktopdatering udgivet |
Status |
Frigivelsesdato |
Udgivelseskanal |
KB |
|
Windows 10 – Version 1709/Windows Server 2016 (1709)/IoT-kerne – kvalitetsopdatering |
Frigivet |
3. januar |
WU, WSUS, Catalog, Azure-billedgalleri |
|
|
Windows Server 2016 (1709) – serverbeholder |
Frigivet |
5. januar |
Docker Hub |
|
|
Windows 10 – Version 1703/IoT-kerne – kvalitetsopdatering |
Frigivet |
3. januar |
WU, WSUS, katalog |
|
|
Windows 10 – Version 1607/Windows Server 2016/IoT-kerne – kvalitetsopdatering |
Frigivet |
3. januar |
WU, WSUS, katalog |
|
|
Windows Server 2016 (1607) – beholderbilleder |
Frigivet |
4. januar |
Docker Hub |
|
|
Windows 10 – Version 1511/IoT-kerne – kvalitetsopdatering |
Frigivet |
3. januar |
WU, WSUS, katalog |
|
|
Windows 10 – Version RTM – kvalitetsopdatering |
Frigivet |
3. januar |
WU, WSUS, katalog |
|
|
Windows 10 Mobile (OS-build 15254.192) – ARM |
Frigivet |
5. januar |
WU, katalog |
|
|
Windows 10 Mobile (OS-build 15063.850) |
Frigivet |
5. januar |
WU, katalog |
|
|
Windows 10 Mobile (OS-build 14393.2007) |
Frigivet |
5. januar |
WU, katalog |
|
|
Windows 10 HoloLens |
Frigivet |
5. januar |
WU, katalog |
|
|
Windows 8.1/Windows Server 2012 R2 – sikkerhedsopdatering |
Frigivet |
3. januar |
WSUS, katalog |
|
|
Windows Embedded 8.1 Industry Enterprise |
Frigivet |
3. januar |
WSUS, katalog |
|
|
Windows Embedded 8.1 Industry Pro |
Frigivet |
3. januar |
WSUS, katalog |
|
|
Windows Embedded 8.1 Pro |
Frigivet |
3. januar |
WSUS, katalog |
|
|
Windows 8.1/Windows Server 2012 R2 – månedlig opdateringspakke |
Frigivet |
8. januar |
WU, WSUS, katalog |
|
|
Windows Embedded 8.1 Industry Enterprise |
Frigivet |
8. januar |
WU, WSUS, katalog |
|
|
Windows Embedded 8.1 Industry Pro |
Frigivet |
8. januar |
WU, WSUS, katalog |
|
|
Windows Embedded 8.1 Pro |
Frigivet |
8. januar |
WU, WSUS, katalog |
|
|
Windows Server 2012 – sikkerhed |
Frigivet |
WSUS, katalog |
||
|
Windows Server 2008 SP2 |
Frigivet |
WU, WSUS, katalog |
||
|
Windows Server 2012 – månedlig opdateringspakke |
Frigivet |
WU, WSUS, katalog |
||
|
Windows Embedded 8 Standard |
Frigivet |
WU, WSUS, katalog |
||
|
Windows 7 SP1/Windows Server 2008 R2 SP1 – sikkerhedsopdatering |
Frigivet |
3. januar |
WSUS, katalog |
|
|
Windows Embedded Standard 7 |
Frigivet |
3. januar |
WSUS, katalog |
|
|
Windows Embedded POSReady 7 |
Frigivet |
3. januar |
WSUS, katalog |
|
|
Windows Thin PC |
Frigivet |
3. januar |
WSUS, katalog |
|
|
Windows 7 SP1/Windows Server 2008 R2 SP1 – månedlig opdateringspakke |
Frigivet |
4. januar |
WU, WSUS, katalog |
|
|
Windows Embedded Standard 7 |
Frigivet |
4. januar |
WU, WSUS, katalog |
|
|
Windows Embedded POSReady 7 |
Frigivet |
4. januar |
WU, WSUS, katalog |
|
|
Windows Thin PC |
Frigivet |
4. januar |
WU, WSUS, katalog |
|
|
Internet Explorer 11 – kumulativ opdatering til Windows 7 SP1 og Windows 8.1 |
Frigivet |
3. januar |
WU, WSUS, katalog |
Den 9. april 2024 offentliggjorde vi CVE-2022-0001 | Intel Branch History Injection , som beskriver BHI (Branch History Injection), som er en bestemt form for BTI i intratilstand. Denne sikkerhedsrisiko opstår, når en hacker kan manipulere forgreningshistorikken, før der skiftes fra bruger- til supervisortilstand (eller fra VMX-ikke-root/gæst til rodtilstand). Denne manipulation kan medføre, at en indirekte forgreningsforudsigelse vælger en bestemt forudsigelig post for en indirekte gren, og en afsløringsgadget på det forudsagte mål udføres forbigående. Dette kan være muligt, fordi den relevante grenshistorik kan indeholde grene, der er taget i tidligere sikkerhedskontekster, og især andre forudsigelige tilstande.
Følg vejledningen i KB4073119 til Windows Client (IT Pro) og KB4072698 til Vejledning til Windows Server for at afhjælpe de sårbarheder, der er beskrevet i CVE-2022-0001 | Intel Branch History Injection.
Ressourcer og teknisk vejledning
Afhængigt af din rolle kan følgende supportartikler hjælpe dig med at identificere og afhjælpe klient- og servermiljøer, der påvirkes af Spectre- og Meltdown-sikkerhedsrisiciene.
Microsoft Security Advisory for L1 Terminal Fault (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646
Security Research and Defense: Analyse og afhjælpning af speculative store bypass (CVE-2018-3639)
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 og CVE-2018-3639
Microsoft Security Advisory for Rogue System Register Read | Sikkerhedsopdateringsvejledning til Surface: MSRC ADV180013og CVE-2018-3640
Security Research and Defense: Analyse og afhjælpning af speculative store bypass (CVE-2018-3639)
TechNet Security Research & Defense: KVA Shadow: Afhjælpning Meltdown på Windows
Security Tech Center: Vilkår for speculative Execution Side Channel-dusørprogram
Microsoft Experience-blog: Opdatering af sikkerhedsopdateringer til Spectre og Meltdown til Windows-enheder
Windows for Business-blog: Windows Analytics hjælper nu med at vurdere Beskyttelse mod Spectre og Meltdown
Microsoft Secure-blog: Forstå Spectre and Meltdown-afhjælpningers ydeevne på Windows-systemer
Edge Developer Blog: Afhjælpning af speculative execution side-channel-angreb i Microsoft Edge og Internet Explorer
Azure Blog: Beskyttelse af Azure-kunder mod CPU-sårbarhed
SCCM vejledning: Yderligere vejledning for at afhjælpe "speculative execution side-channel-sikkerhedsrisici"
Microsoft Advisories:
-
ADV180002 | Vejledning til at afhjælpe "speculative execution side-channel-sikkerhedsrisici"
-
ADV180012 | Microsoft-vejledning til Speculative Store Bypass
-
ADV180013 | Microsoft Vejledning til Rogue System Register Read
Intel: Security Advisory
ARM: Security Advisory
AMD: Security Advisory
NVIDIA: Security Advisory
Forbrugervejledning: Beskyttelse af din enhed mod chiprelaterede sikkerhedsrisici
Vejledning til antivirus: Sikkerhedsopdateringer til Windows, der er udgivet d. 3. januar 2018, og antivirussoftware
Vejledning til AMD Windows OS-sikkerhedsopdateringsblok: KB4073707: Sikkerhedsopdateringsblok til Windows-operativsystemet for visse AMD-baserede enheder
Opdatering til deaktivering af afhjælpning mod Spectre, Variant 2: KB4078130: Intel har identificeret genstartsproblemer med mikrokode på nogle ældre processorer
Surface-vejledning: Surface-vejledning for at beskytte mod "speculative execution side-channel-sikkerhedsrisici"
Bekræft status for speculative execution side channel mitigations: Om Get-SpeculationControlSettings PowerShell-scriptoutput
Vejledning til it-fagfolk: Vejledning til Windows-klienter for it-fagfolk for at beskytte mod "speculative execution side-channel-sikkerhedsrisici"
Servervejledning: Vejledning i Windows Server for at beskytte mod speculative execution side-channel-sikkerhedsrisici
Servervejledning til L1-terminalfejl: Vejledning til Windows Server for at beskytte mod L1-terminalfejl
Udviklervejledning: Udviklervejledning til Speculative Store Bypass
Vejledning i Server Hyper-V
Azure KB: KB4073235: Microsoft Cloud Protections against Speculative Execution Side-Channel Vulnerabilities
Vejledning i Azure Stack: KB4073418: Vejledning i Azure-stak for at beskytte mod "speculative execution side-channel-sikkerhedsrisici"
Azure-pålidelighed: Azure Reliability Portal
SQL Server vejledning: KB4073225: SQL Server Vejledning til at beskytte mod "speculative execution side-channel-sikkerhedsrisici"
Links til OEM- og serverenhedsproducenter for opdateringer til beskyttelse mod Spectre- og Meltdown-sikkerhedsrisici
For at løse disse sårbarheder skal du opdatere både din hardware og software. Brug følgende links til at kontakte enhedsproducenten for at få relevante firmwareopdateringer (mikrokode).
Brug følgende links til at kontakte enhedsproducenten for firmwareopdateringer (mikrokode). Du skal installere opdateringer til både operativsystem og firmware (mikrokode) for at få al tilgængelig beskyttelse.
|
Producenter af OEM-enheder |
Link til tilgængelighed af mikrokode |
|
Acer |
|
|
Asus |
ASUS Update on Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method |
|
Dell |
|
|
Epson |
|
|
Fujitsu |
CPU-hardware sårbar over for sidekanalangreb (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
|
HP |
|
|
Lenovo |
|
|
LG |
|
|
NEC |
På reaktionen på processorens sårbarhed (meltdown, spectrum) i vores produkter |
|
Panasonic |
|
|
Samsung |
|
|
Surface |
Surface-vejledning for at beskytte mod "speculative execution side-channel-sikkerhedsrisici" |
|
Toshiba |
|
|
Vaio |
|
OEM-producenter af servere |
Link til tilgængelighed af mikrokode |
|
Dell |
|
|
Fujitsu |
CPU-hardware sårbar over for sidekanalangreb (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
|
HPE |
Hewlett Packard Enterprise Product Security Vulnerability Alerts |
|
Huawei |
|
|
Lenovo |
Ofte stillede spørgsmål
Du skal kontakte enhedsproducenten for at få firmwareopdateringer (mikrokode). Hvis producenten af enheden ikke er angivet i tabellen, kan du kontakte din OEM-leverandør direkte.
Opdateringer til Microsoft Surface-enheder er tilgængelige for kunder via Windows Update. Du kan få en liste over tilgængelige surface-enhedsfirmwareopdateringer (mikrokode) i KB 4073065.
Hvis enheden ikke er fra Microsoft, skal du anvende firmwareopdateringer fra enhedsproducenten. Kontakt enhedsproducentenfor at få flere oplysninger.
Løsning af en hardwaresårbarhed ved hjælp af en softwareopdatering giver betydelige udfordringer og afhjælpninger for ældre operativsystemer og kan kræve omfattende arkitektoniske ændringer. Vi fortsætter med at arbejde sammen med producenter af berørte chip for at undersøge, hvordan vi bedst kan afhjælpe problemet. Dette kan findes i en fremtidig opdatering. Hvis du erstatter ældre enheder, der kører disse ældre operativsystemer og også opdaterer antivirussoftware, bør den resterende risiko blive håndteret.
Bemærkninger!:
-
Produkter, der i øjeblikket ikke har både generel og forlænget support, modtager ikke disse systemopdateringer. Vi anbefaler, at kunder opdaterer til en understøttet systemversion.
-
Speculative execution side-channel-angreb udnytter CPU-adfærd og -funktionalitet. CPU-producenter skal først afgøre, hvilke processorer der kan være i fare, og derefter give Microsoft besked. I mange tilfælde vil tilsvarende opdateringer til operativsystemet også være nødvendige for at give kunderne mere omfattende beskyttelse. Vi anbefaler, at sikkerhedsbevidste Windows CE leverandører samarbejder med deres chipproducent for at forstå sårbarhederne og de relevante afhjælpninger.
-
Vi udsteder ikke opdateringer til følgende platforme:
-
Windows-operativsystemer, der i øjeblikket ikke understøttes, eller dem, der har ophør af tjeneste (EOS) i 2018
-
Windows XP-baserede systemer, herunder WES 2009 og POSReady 2009
-
Selvom Windows XP-baserede systemer er berørte produkter, udsteder Microsoft ikke en opdatering til dem, fordi de omfattende arkitektoniske ændringer, der ville være nødvendige, ville bringe systemets stabilitet i fare og medføre problemer med programkompatibilitet. Vi anbefaler, at sikkerhedsbevidste kunder opgraderer til et nyere understøttet operativsystem for at holde trit med ændringerne i sikkerhedstruslerne og og drage fordel af den mere robuste beskyttelse, som de nyere operativsystemer giver.
Opdateringer til Windows 10 til HoloLens er tilgængelige for HoloLens-kunder via Windows Update.
Når HoloLens-kunder har anvendtopdateringen for februar 2018 Windows Sikkerhed, behøver de ikke at foretage sig yderligere for at opdatere deres enhedsfirmware. Disse afhjælpninger medtages også i alle fremtidige versioner af Windows 10 til HoloLens.
Kontakt oem'en for at få flere oplysninger.
Hvis enheden skal være fuldt beskyttet, skal du installere de nyeste sikkerhedsopdateringer til Windows-operativsystemet til din enhed og relevante firmwareopdateringer (mikrokode) fra enhedsproducenten. Disse opdateringer burde være tilgængelige på enhedsproducentens websted. Opdateringer af antivirusprogrammer skal installeres først. Opdateringer af operativsystem og firmware kan installeres i vilkår rækkefølge.
Du skal opdatere både din hardware og din software for at løse denne sikkerhedsrisiko. Du skal også installere relevante firmwareopdateringer (mikrokode) fra enhedsproducenten for at få en mere omfattende beskyttelse. Vi opfordrer dig til at holde dine enheder opdaterede ved at installere månedlige Windows-sikkerhedsopdateringer.
I hver Windows 10 funktionsopdatering bygger vi den nyeste sikkerhedsteknologi dybt ind i operativsystemet, hvilket giver forsvarsfunktioner i dybden, der forhindrer, at hele klasser af malware påvirker din enhed. Frigivelser af funktionsopdateringer er målet to gange om året. I hver månedlig kvalitetsopdatering tilføjer vi endnu et lag af sikkerhed, der sporer nye og skiftende tendenser inden for malware for at gøre opdaterede systemer mere sikre i forhold til trusler, der ændrer sig og udvikler sig.
Microsoft har fjernet AV-kompatibilitetskontrollen for Windows-sikkerhedsopdateringer til understøttede versioner af Windows 10, Windows 8.1- og Windows 7 SP1-enheder via Windows Update.
Anbefalinger:
-
Sørg for, at dine enheder er opdaterede ved at have de nyeste sikkerhedsopdateringer fra Microsoft og hardwareproducenten. Du kan finde flere oplysninger om, hvordan du holder din enhed opdateret, under Windows Update: ofte stillede spørgsmål.
-
Fortsæt med at udvise fornuftig forsigtighed, når du besøger websteder af ukendt oprindelse, og forbliv ikke på websteder, du ikke har tillid til. Microsoft anbefaler, at alle kunder beskytter deres enheder ved at køre et understøttet antivirusprogram. Kunder kan også udnytte den indbyggede antivirusbeskyttelse: Windows Defender til Windows 10-enheder eller Microsoft Security Essentials for Windows 7-enheder. Disse løsninger er kompatible i tilfælde, hvor kunder ikke kan installere eller køre antivirussoftware.
For at undgå at påvirke kundeenheder negativt, er de Windows-sikkerhedsopdateringer, der blev udgivet i januar eller februar, ikke blevet tilbudt til alle kunder. Du kan finde flere oplysninger i Microsoft Knowledge Base-artiklen 4072699.
Intel har rapporteret problemer , der påvirker nyligt frigivet mikrokode, der er beregnet til at løse Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection"). Intel bemærkede specifikt, at denne mikrokode kan forårsage "genstarter, der er højere end forventet, og anden uforudsigelig systemfunktionsmåde", og også at situationer som denne kan forårsage "datatab eller beskadigelse". Vores egen erfaring er, at ustabilitet i systemet under visse omstændigheder kan medføre datatab eller beskadigelse. Den 22. januar anbefalede Intel, at kunderne stopper med at installere den aktuelle mikrokodeversion på berørte processorer, mens de udfører yderligere test på den opdaterede løsning. Vi forstår, at Intel fortsætter med at undersøge den potentielle virkning af den aktuelle mikrokodeversion, og vi opfordrer kunderne til løbende at gennemgå deres vejledning for at informere deres beslutninger.
Mens Intel tester, opdaterer og installerer ny mikrokode, gør vi en OOB-opdatering (out-of-band) tilgængelig, KB 4078130, der specifikt kun deaktiverer afhjælpningen mod CVE-2017-5715 – "Branch Target Injection". I vores test er denne opdatering blevet fundet for at forhindre den beskrevne funktionsmåde. Du kan finde en komplet liste over enheder i Intels vejledning til revision af mikrokode. Denne opdatering dækker Windows 7 (SP1), Windows 8.1 og alle versioner af Windows 10 til klient og server. Hvis du kører en påvirket enhed, kan denne opdatering anvendes ved at downloade den fra webstedet Microsoft Update-katalog. Anvendelse af denne nyttelast deaktiverer specifikt kun afhjælpningen mod CVE-2017-5715 – "Branch Target Injection".
Fra og med den 25. januar er der ingen kendte rapporter, der indikerer, at denne Spectre Variant 2 (CVE-2017-5715) er blevet brugt til at angribe kunder. Vi anbefaler, at Windows-kunder, når det er relevant, genaktiverer afhjælpningen mod CVE-2017-5715, når Intel rapporterer, at denne uforudsigelige systemfunktionsmåde er blevet løst for din enhed.
Nej. Sikkerhedsopdateringer er ikke kumulative. Afhængigt af den version af operativsystemet, du kører, skal du installere alle de sikkerhedsopdateringer, der er udgivet, for at være beskyttet mod disse sårbarheder. Hvis du f.eks. kører Windows 7 til 32-bit systemer på en berørt Intel CPU, skal du installere hver sikkerhedsopdatering fra januar 2018. Vi anbefaler, at du installerer disse sikkerhedsopdateringer i rækkefølge efter udgivelse.
Bemærk En tidligere version af disse ofte stillede spørgsmål angav forkert, at sikkerhedsopdateringen for februar indeholdt de sikkerhedsrettelser, der blev udgivet i januar. Det gør det faktisk ikke.
Nej. Sikkerhedsopdatering 4078130 var en bestemt rettelse for at forhindre uforudsigelige systemadfærd, problemer med ydeevnen og uventede genstarter efter installation af mikrokode. Ved at anvende sikkerhedsopdateringerne fra februar på Windows-klientoperativsystemer kan alle tre afhjælpninger afhjælpes. På Windows-serveroperativsystemer skal du stadig aktivere afhjælpningen, når der er udført den relevante test. Se Microsoft Knowledge Base-artiklen 4072698 for at få flere oplysninger.
AMD meddelte for nylig, at de er begyndt at frigive mikrokode til nyere CPU-platforme omkring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Du kan finde flere oplysninger i AMD Security Opdateringer og AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Disse er tilgængelige fra OEM-firmwarekanalen.
Intel meddelte for nylig, at de har fuldført deres valideringer og begyndte at frigive mikrokode til nyere CPU-platforme. Microsoft gør Intel-validerede mikrokodeopdateringer tilgængelige omkring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB 4093836 viser specifikke Knowledge Base-artikler efter Windows-version. Hver enkelt specifik KB indeholder Intels tilgængelige mikrokodeopdateringer efter CPU.
Microsoft gør Intel-validerede mikrokodeopdateringer tilgængelige omkring Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Kunderne skal have installeret Intel-mikrokode på enheder, der kører et Windows 10 operativsystem, før de opgraderer til Windows 10 April 2018-opdateringen (version 1803) for at få de seneste Intel-mikrokodeopdateringer via Windows Update.
Mikrokodeopdateringen er også tilgængelig direkte fra opdateringskataloget, hvis den ikke var installeret på enheden, før du opgraderede systemet. Intel-mikrokode er tilgængelig via Windows Update, WSUS eller Microsoft Update-kataloget. Du kan finde flere oplysninger og downloadinstruktioner i KB 4100347.
Du kan få mere at vide i følgende ressourcer:
Du kan finde flere oplysninger i afsnittene "Anbefalede handlinger" og "Ofte stillede spørgsmål" i ADV180012 | Microsoft Guidance for Speculative Store Bypass.
For at bekræfte status for SSBD er det Get-SpeculationControlSettings PowerShell-script blevet opdateret for at registrere berørte processorer, status for opdateringer til SSBD-operativsystemet og processorens mikrokode, hvis det er relevant. Du kan finde flere oplysninger og hente PowerShell-scriptet under KB4074629.
Den 13. juni 2018 blev en ekstra sårbarhed, der involverede side-channel speculative execution, kendt som Lazy FP State Restore, annonceret og tildelt CVE-2018-3665. Der kræves ingen konfigurationsindstillinger (registreringsdatabasen) for Lazy Restore FP Restore.
Du kan finde flere oplysninger om denne sårbarhed og anbefalede handlinger i Security Advisory: ADV180016 | Microsoft Guidance for Lazy FP State Restore
BemærkDer kræves ingen konfigurationsindstillinger (registreringsdatabasen) for Lazy Restore FP Restore.
Bounds Check Bypass Store (BCBS) blev offentliggjort d. 10. juli 2018 og tildelt CVE-2018-3693. Vi anser BCBS for at tilhøre den samme klasse af sårbarheder som Bounds Check Bypass (Variant 1). Vi er i øjeblikket ikke opmærksomme på nogen forekomster af BCBS i vores software, men vi fortsætter med at undersøge denne sårbarhedsklasse og vil samarbejde med branchepartnere om at frigive afhjælpninger efter behov. Vi opfordrer fortsat forskere til at indsende relevante resultater til Microsofts Speculative Execution Side Channel-dusørprogram, herunder eventuelle udnyttelige forekomster af BCBS. Softwareudviklere bør gennemgå den udviklervejledning, der er blevet opdateret for BCBS på https://aka.ms/sescdevguide.
Den 14. august 2018 blev L1 Terminal Fault (L1TF) annonceret og tildelt flere CVEs. Disse nye "speculative execution side-channel"-sikkerhedsrisici kan bruges til at læse indholdet af hukommelse på tværs af en pålidelig grænse, og hvis de udnyttes, kan det føre til afsløring af oplysninger. Der er flere vektorer, hvorved en hacker kan udløse sårbarhederne afhængigt af det konfigurerede miljø. L1TF påvirker Intel® Core-processorer® og Intel® Xeon-processorer®.
Du kan finde flere oplysninger om denne sårbarhed og en detaljeret oversigt over berørte scenarier, herunder Microsofts tilgang til afhjælpning af L1TF, i følgende ressourcer:
Microsoft Surface-kunder: Kunder, der bruger Microsoft Surface og Surface Book-produkter, skal følge vejledningen til Windows-klienten, der er beskrevet i Security Advisory: ADV180018 | Microsoft Guidance for at afhjælpe L1TF-variant. Se også Microsoft Knowledge Base-artikel 4073065 for at få flere oplysninger om berørte Surface-produkter og tilgængeligheden af mikrokodeopdateringerne.
Microsoft Hololens-kunder: Microsoft HoloLens påvirkes ikke af L1TF, fordi den ikke bruger en berørt Intel-processor.
De trin, der er nødvendige for at deaktivere Hyper-Threading, er forskellige fra OEM til OEM, men er generelt en del af BIOS- eller firmwareinstallations- og -konfigurationsværktøjerne.
Kunder, der bruger 64-bit ARM-processorer, bør kontakte enheds-OEM'en for at få firmwareunderstøttelse, fordi ARM64-operativsystembeskyttelse, der afhjælper CVE-2017-5715 – Indskydning af grensmål (Spectre, Variant 2) kræver, at den seneste firmwareopdatering fra enheds-OEM'er træder i kraft.
Du kan finde flere oplysninger om denne sårbarhed i Microsofts sikkerhedsvejledning: CVE-2019-1125 | Sårbarhed i forbindelse med afsløring af Windows-kerneoplysninger.
Vi er ikke opmærksomme på nogen forekomst af denne sårbarhed i forbindelse med afsløring af oplysninger, der påvirker vores skytjenesteinfrastruktur.
Så snart vi blev opmærksomme på dette problem, arbejdede vi hurtigt på at løse det og udgive en opdatering. Vi tror på tætte partnerskaber med både forskere og branchepartnere for at gøre kunderne mere sikre og offentliggjorde ikke detaljer før tirsdag d. 6. august i overensstemmelse med koordineret offentliggørelse af sårbarheder.
Referencer
Microsoft leverer kontaktoplysninger fra tredjepart for at hjælpe dig med at finde flere oplysninger om dette emne. Disse kontaktoplysninger kan ændres uden varsel. Microsoft garanterer ikke for nøjagtigheden af tredjeparts kontaktoplysninger.
