KB4072698: Windows Server und Azure Stack HCI-Anleitung zum Schutz vor siliziumbasierten mikroarchitektonischen Schwachstellen und Seitenkanalschwachstellen durch spekulative Ausführung

In diesem Artikel werden die folgenden Sicherheitsanfälligkeiten bezüglich spekulativer Ausführung behandelt:

• CVE-2017-5715 | Branchzielinjektion

• CVE-2017-5753 | Bounds Check Bypass

• CVE-2017-5754 | Rogue Data Cache Load

• CVE-2018-3639 | Speculative Speicherumgehung

Windows Update stellt auch Maßnahmen für Internet Explorer und Edge bereit. Wir werden Risikominderungen für diese Klasse von Sicherheitsanfälligkeiten weiter verbessern.

Weitere Informationen zu dieser Klasse von Sicherheitsanfälligkeiten finden Sie unter

• ADV180002 | Anweisungen für die Risikominderung von Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen

• ADV180012 | Microsoft-Leitfaden für Speculative Speicherumgehung

Am 14. Mai 2019 hat Intel Informationen über eine neue Unterklasse von Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen veröffentlicht, die als Microarchitectural Data Sampling bezeichnet und in ADV190013 | Microarchitectural Data Sampling dokumentiert sind. Ihnen wurden die folgenden CVEs zugewiesen:

• CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

• CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS)

• CVE-2018-12127 | Microarchitectural Fill Buffer Data Sampling (MFBDS)

• CVE-2018-12130 | Microarchitectural Load Port Data Sampling (MLPDS)

Microsoft hat Updates veröffentlicht, um das Risiko durch diese Sicherheitsanfälligkeiten zu mindern. Für den umfassenden Schutz sind Firmware (Microcode)- und Softwareupdates erforderlich. Dies beinhaltet möglicherweise Microcode von Geräte-OEMs. Unter Umständen kann durch die Installation dieser Updates die Leistung beeinträchtigt werden. Darüber hinaus haben wir Maßnahmen zum Schutz unserer Cloud Services ergriffen. Es wird dringend empfohlen, diese Updates bereitzustellen.

Weitere Informationen zu diesem Problem finden Sie in der folgenden Sicherheitsempfehlung, und bestimmen Sie anhand der szenariobasierten Anweisungen die erforderlichen Aktionen zur Reduzierung des Risikos durch diese Sicherheitsbedrohung:

• ADV190013 |  Microsoft-Leitfaden zur Risikominderung von Microarchitectural Data Sampling-Sicherheitsanfälligkeiten

• Windows-Leitfaden zum Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen

Am 6. August 2019 hat Intel Details zu einer Sicherheitsanfälligkeit im Windows-Kernel bezüglich der Veröffentlichung von Informationen bekanntgegeben. Diese Verwundbarkeit ist eine Variante der spekulativen ausführungsseitigen Kanaösicherheitsanfälligkeit in Spectre Variante 1 und wird unter CVE-2019-1125 gelistet.

Am 9. Juli 2019 haben wir Sicherheitsupdates für das Windows-Betriebssystem veröffentlicht, um das Risiko aufgrund dieses Problems zu reduzieren. Beachten Sie, dass wir die Veröffentlichung dieser Risikominderung bis zur koordinierten Branchenveröffentlichung am Dienstag, den 6. August 2019, zurückgehalten haben.

Kunden, die Windows Update aktiviert haben und die am 9. Juli 2019 veröffentlichten Sicherheitsupdates angewendet haben, sind automatisch geschützt. Es ist keine weitere Konfiguration erforderlich.

Weitere Informationen zu dieser Sicherheitsanfälligkeit und zu entsprechenden Updates finden Sie im Leitfaden für Sicherheitsupdates von Microsoft:

• CVE-2019-1125 | Windows-Kernelsicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen

Am 12. November 2019 hat Intel eine technische Empfehlung zur Sicherheitsanfälligkeit bezüglich asynchronen Transaktionsabbrüchen von Intel® Transactional Synchronization Extensions (Intel TSX) veröffentlicht, die CVE-2019-11135 zugewiesen ist. Microsoft hat Updates veröffentlicht, um diese Sicherheitsanfälligkeit zu verringern, und der Betriebssystemschutz ist für Windows Server 2019 standardmäßig aktiviert, aber für Windows Server 2016 und frühere Windows Server-Betriebssystemeditionen standardmäßig deaktiviert.

Am 14. Juni 2022 haben wir den ADV220002 | Microsoft-Leitfaden zu Intel Processor MMIO Stale Data-Sicherheitsanfälligkeiten veröffentlicht und diese CVEs zugewiesen: 

• CVE-2022-21123 | Shared Buffer Data Read (SBDR)  

• CVE-2022-21125 | Shared Buffer Data Sampling (SBDS) 

• CVE-2022-21127 | Special Register Buffer Data Sampling Update (SRBDS Update) 

• CVE-2022-21166 | Device Register Partial Write (DRPW) 

Empfohlene Maßnahmen

Sie sollten die folgenden Maßnahmen ergreifen, um sich vor den Sicherheitsanfälligkeiten zu schützen:

1. Wenden Sie alle verfügbaren Updates für Windows-Betriebssysteme an, einschließlich der monatlichen Windows-Sicherheitsupdates.

2. Wenden Sie das entsprechende vom Gerätehersteller bereitgestellte Firmware (Microcode)-Update an.

3. Bewerten Sie das Risiko für Ihre Umgebung basierend auf den Informationen, die in den Microsoft-Sicherheitsempfehlungen bereitgestellt werden: ADV180002, ADV180012, ADV190013, und ADV220002, zusätzlich zu den Informationen in diesem Wissensdatenbank-Artikel.

4. Ergreifen Sie die erforderlichen Maßnahmen, indem Sie die Empfehlungen und Informationen zum Registrierungsschlüssel anwenden, die in diesem Wissensdatenbank-Artikel bereitgestellt werden.

Am 12. Juli 2022 haben wir CVE-2022-23825 | AMD-CPU – Verwechslung der Verzweigungstypen veröffentlicht. Diese beschreibt, dass Alias-Einträge im Verzweigungsprädiktor dazu führen können, dass bestimmte AMD-Prozessoren den falschen Verzweigungstyp vorhersagen. Dieses Problem kann möglicherweise zur Offenlegung von Informationen führen.

Zum Schutz vor dieser Sicherheitsanfälligkeit empfiehlt es sich, Windows-Updates zu installieren, die am oder nach Juli 2022 datiert sind, und dann Maßnahmen gemäß CVE-2022-23825 und Registrierungsschlüsselinformationen zu ergreifen, die in diesem Wissensdatenbank-Artikel bereitgestellt werden.

Weitere Informationen finden Sie im Sicherheitsbulletin AMD-SB-1037.

Am 8. August 2023 haben wir CVE-2023-20569 | Return Address Predictor (auch als Inception bezeichnet), der einen neuen spekulativen Seitenkanalangriff beschreibt, der zu spekulativer Ausführung an einer vom Angreifer gesteuerten Adresse führen kann. Dieses Problem betrifft bestimmte AMD-Prozessoren und kann möglicherweise zur Offenlegung von Informationen führen.

Zum Schutz vor dieser Sicherheitsanfälligkeit empfiehlt es sich, Windows-Updates zu installieren, die am oder nach August 2023 datiert sind, und dann Maßnahmen zu ergreifen, die von CVE-2023-20569 und Registrierungsschlüssel-Informationen erforderlich sind, die in diesem Wissensdatenbank-Artikel bereitgestellt werden.

Weitere Informationen finden Sie im Sicherheitsbulletin AMD-SB-7005.

Am 9. April 2024 haben wir CVE-2022-0001 | Intel Branch History Injection veröffentlicht. Darin wird Branch History Injection (BHI), eine spezielle Form von Intra-Mode-BTI, beschrieben. Diese Sicherheitslücke tritt auf, wenn ein Angreifer den Verzweigungsverlauf manipulieren kann, bevor er vom Benutzer- in den Supervisor-Modus (oder vom VMX non-root/guest in den Root-Modus) wechselt. Diese Manipulation könnte dazu führen, dass ein Prädiktor für indirekte Verzweigungen einen bestimmten Prädiktoreintrag für eine indirekte Verzweigung auswählt und ein Offenlegungsgadget am vorhergesagten Ziel vorübergehend ausgeführt wird. Dies kann möglich sein, weil der relevante Verzweigungsverlauf Verzweigungen enthalten kann, die in früheren Sicherheitskontexten und insbesondere in anderen Prädiktormodi vorgenommen wurden.

Der Schutz zwischen Benutzer und Kernel für CVE-2017-5715 ist für AMD-CPUs standardmäßig deaktiviert. Kunden müssen die Risikominderung aktivieren, um zusätzlichen Schutz für CVE-2017-5715 zu erhalten.  Weitere Informationen finden Sie in FAQ Nr. 15 unter ADV180002.

Der Schutz zwischen Benutzer und Kernel für CVE-2017-5715 ist für AMD-Prozessoren standardmäßig deaktiviert. Kunden müssen die Risikominderung aktivieren, um zusätzlichen Schutz für CVE-2017-5715 zu erhalten.  Weitere Informationen finden Sie in den FAQ Nr. 15 in ADV180002.

So aktivieren Sie die Risikominderung für CVE-2022-23825- auf AMD-Prozessoren:

reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f hinzufügen 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Um vollständig geschützt zu sein, müssen Kunden möglicherweise auch Hyperthreading deaktivieren (auch als gleichzeitiges Multithreading (Simultaneous Multi Threading, SMT) bezeichnet). Anleitungen zum Schutz von Windows-Geräten finden Sie unter KB4073757.

So aktivieren Sie die Risikominderung für CVE-2023-20569- auf AMD-Prozessoren:

reg "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 67108928 /f hinzufügen

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

So aktivieren Sie die Risikominderung für CVE-2022-0001 auf Intel-Prozessoren:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f

Eine ausführliche Erläuterung der Ausgabe des PowerShell-Skripts finden Sie unter KB4074629. 

Um negative Auswirkungen auf die Geräte von Kunden zu vermeiden, wurden die im Januar und Februar 2018 veröffentlichten Windows-Sicherheitsupdates nicht allen Kunden angeboten. Weitere Informationen finden Sie unter KB407269.

Der Microcode wird über ein Firmwareupdate bereitgestellt. Informieren Sie sich beim OEM über die Firmwareversion mit dem richtigen Update für Ihren Computer.

Die Leistung dieser Maßnahmen wird durch mehrere Variablen beeinflusst, von der System-Version bis hin zu den ausgeführten Workloads. In einigen Systemen wird der Leistungseffekt minimal sein. In anderen er bedeutender sein.

Wir empfehlen Ihnen, den Leistungseffekt auf Ihren Systemen zu überprüfen, und gegebenenfalls Anpassungen vorzunehmen.

Lesen Sie den obigen Artikel zu virtuellen Computern, und kontaktieren Sie Ihren Dienstanbieter, um sicherzustellen, dass die Hosts, auf denen Ihre virtuellen Computer ausgeführt werden, angemessen geschützt sind.

Informationen zu virtuellen Windows Server-Computern, die in Azure ausgeführt werden, finden Sie unter Leitfaden zum Beheben von Spekulativen Ausführungssicherheitsanfälligkeiten in Azure . Anleitungen zur Verwendung der Azure Updateverwaltung zum Beheben dieses Problems auf Gast-VMs finden Sie unter KB4077467.

Die für Windows Server-Containerimages für Windows Server 2016 und Windows 10, Version 1709, veröffentlichten Updates enthalten die Risikominderungen für diese Sicherheitsanfälligkeiten. Keine weiteren Konfigurationen sind notwendig.

Hinweis Sie müssen dennoch sicherstellen, dass der Host, auf dem diese Container ausgeführt werden, so konfiguriert ist, dass die entsprechenden Risikominderungen aktiviert sind.

Nein, die Reihenfolge der Installation spielt keine Rolle.

Ja, Sie müssen nach der Aktualisierung der Firmware (Microcode) und dann nach dem Systemupdate neu starten.

Für die Registrierungsschlüssel gilt Folgendes:

FeatureSettingsOverride stellt eine Bitmap dar, die die Standardeinstellung außer Kraft setzt und bestimmt, welche Risikominderungen deaktiviert werden. Bit 0 steuert die Risikominderung für CVE-2017-5715. Bit 1 steuert die Risikominderung, die CVE-2017-5754 entspricht. Diese Bits werden auf 0 festgelegt, um die Risikominderung zu aktivieren, und auf 1, um die Risikominderung zu deaktivieren.

FeatureSettingsOverrideMask stellt eine Bitmapmaske dar, die in Verbindung mit FeatureSettingsOverride verwendet wird.  In diesem Fall verwenden wir den Wert 3 (dargestellt als 11 im binären Zahlen- oder Basis-2-Zahlensystem), um die ersten beiden Bits anzugeben, die den verfügbaren Risikominderungen entsprechen. Dieser Registrierungsschlüssel wird auf 3 festgelegt, um die Risikominderungen zu aktivieren oder zu deaktivieren.

MinVmVersionForCpuBasedMitigations ist für Hyper-V-Hosts. Dieser Registrierungsschlüssel definiert die VM-Mindestversion, die für die Verwendung der aktualisierten Firmwarefunktionen nötig ist (CVE-2017-5715). Legen Sie diesen Wert auf 1.0 fest, um alle VM-Versionen abzudecken. Beachten Sie, dass dieser Registrierungswert für Nicht-Hyper-V-Hosts ignoriert wird (ohne Auswirkungen). Weitere Informationen finden Sie unter Virtuelle Gastcomputer vor CVE-2017-5715 schützen (Branchzielinjektion).

Ja, es gibt keine Nebenwirkungen, wenn diese Registrierungseinstellungen vor der Installation der entsprechenden Fixes vom Januar 2018 angewendet werden.

 Eine ausführliche Beschreibung der Skriptausgabe finden Sie unter KB4074629: Grundlegendes zur SpeculationControl PowerShell-Skriptausgabe .

Ja, für Windows Server 2016-Hyper-V-Hosts, für die das Firmwareupdate noch nicht verfügbar ist, haben wir alternative Anweisungen veröffentlicht, mit denen das Risiko von Angriffen zwischen VMs sowie zwischen VMs und Hosts reduziert werden kann. Weitere Informationen finden Sie unter Alternativer Schutz für Windows Server 2016 Hyper-V-Hosts vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen.

Reine Sicherheitsupdates sind nicht kumulativ. Je nach Ihrer Betriebssystemversion müssen Sie unter Umständen mehrere Sicherheitsupdates installieren, um vollständig geschützt zu sein. Im Allgemeinen müssen Kunden die Updates vom Januar, Februar, März und April 2018 installieren. Systeme mit AMD-Prozessoren benötigen wie in der folgenden Tabelle beschrieben ein zusätzliches Update:

Wir empfehlen, diese reinen Sicherheitsupdates in der Reihenfolge ihrer Veröffentlichung zu installieren.

Nein. Das Sicherheitsupdate KB4078130 war ein spezifischer Fix, um unvorhersehbares Systemverhalten, Leistungsprobleme und unerwartete Neustarts nach der Installation von Microcode zu verhindern. Durch Anwenden der Sicherheitsupdates unter Windows-Clientbetriebssystemen werden alle drei Risikominderungen aktiviert. Unter Windows-Serverbetriebssystemen müssen Sie noch die Risikominderungen aktivieren, nachdem Sie entsprechende Tests durchgeführt haben. Weitere Informationen finden Sie unter KB4072698.

Dieses Problem wurde in KB4093118 behoben.

Im Februar 2018 hat Intel angekündigt, dass die Überprüfungen abgeschlossen und mit der Veröffentlichung von Microcode für neuere CPU-Plattformen begonnen wurde . Microsoft stellt von Intel überprüfte Microcodeupdates zur Verfügung, die Spectre Variante 2 betreffen (CVE-2017-5715 | Branch Target Injection). KB4093836 listet bestimmte Wissensdatenbank-Artikel nach Windows-Version auf. Jeder KB-Artikel enthält die verfügbaren Microcodeupdates von Intel nach CPU.

 Intel meldete Probleme am 11. Januar 2018 im kürzlich veröffentlichten Microcode, der die Spectre Variante 2 (CVE-2017-5715 | Branch Target Injection) beheben sollte. Intel hat insbesondere festgestellt, dass dieser Microcode zu "häufigeren als erwarteten Neustarts und anderen unvorhersehbarem Systemverhalten" führen kann und dass diese Szenarien "Datenverlust oder -beschädigung" verursachen können.” Aus eigener Erfahrung wissen wir, dass Systeminstabilität in bestimmten Fällen Datenverlust oder Datenbeschädigung nach sich ziehen kann. Am 22. Januar hat Intel empfohlen, dass Kunden auf betroffenen Prozessoren die Bereitstellung der aktuellen Microcodeversion beenden, während Intel zusätzliche Tests für die aktualisierte Lösung durchführt. Wir wissen, dass Intel den möglichen Effekt der aktuellen Mikrocodeversion weiter untersucht. Wir empfehlen unseren Kunden, ihre Leitfaden laufend zu überprüfen, um ihre Entscheidungen zu treffen.

Während Intel neuen Microcode testet, aktualisiert und bereitstellt, stellen wir ein Out-of-Band-Update (OOB), KB4078130, zur Verfügung, das speziell nur die Risikominderung gegen CVE-2017-5715 deaktiviert. Unsere Tests haben ergeben, dass dieses Update das beschriebene Verhalten verhindert. Die vollständige Liste der Geräte finden Sie in der Anleitung zur Microcoderevision von Intel. Dieses Update betrifft Windows 7 Service Pack 1 (SP1), Windows 8.1 und alle Versionen von Windows 10 (Client und Server). Wenn Sie ein betroffenes Gerät ausführen, kann dieses Update angewendet werden, indem Sie es von der Microsoft Update-Katalogwebsite herunterladen. Durch Anwenden dieses Updates wird nur die Risikominderung für CVE-2017-5715 deaktiviert.

Derzeit sind keine Berichte bekannt, die darauf hinweisen, dass diese Spectre Variante 2 (CVE-2017-5715 | Branch Target Injection) verwendet wurde, um Kunden anzugreifen. Wir empfehlen, dass Windows-Benutzer ggf. die Risikominderung für CVE-2017-5715 erneut aktivieren, sobald Intel meldet, dass dieses unberechenbare Systemverhalten für Ihr Gerät behoben wurde.

Im Februar 2018 hat Intelangekündigt, dass die Überprüfungen abgeschlossen wurden und mit der Veröffentlichung von Microcode für neuere CPU-Plattformen begonnen wurde. Microsoft stellt von Intel validierte Microcodeupdates im Zusammenhang mit der Spectre Variante 2 zur Verfügung (CVE-2017-5715 | Branch Target Injection). KB4093836 listet bestimmte Wissensdatenbank-Artikel nach Windows-Version auf. Jeder KB-Artikel listet die verfügbaren Microcodeupdates von Intel nach CPU auf.

Weitere Informationen finden Sie unter AMD-Sicherheitsupdates und AMD Whitepaper: Architektur-Anleitungen zu Indirect Branch Control . Verfügbar sind diese über den OEM-Firmwarechannel.

Wir stellen Intel-validierte Microcodeupdates zur Verfügung, die Spectre Variant 2 betreffen (CVE-2017-5715 | Branch Target Injection). Um die neuesten Microcodeupdates von Intel über Windows Update zu beziehen, müssen Kunden Microcode von Intel auf Geräten unter einem Windows 10-Betriebssystem installieren, bevor sie ein Upgrade auf Windows 10 April 2018 Update (Version 1803) durchführen können.

Das Microcodeupdate ist auch direkt über den Microsoft Update-Katalog verfügbar, wenn es vor dem Upgrade des Systems nicht auf dem Gerät installiert wurde. Intel-Microcode ist über Windows Update, Windows Server Update Services (WSUS) oder den Microsoft Update-Katalog verfügbar. Weitere Informationen und Downloadanweisungen finden Sie unter KB4100347.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• ADV180012 |Microsoft-Leitfaden für Spekulative Speicherumgehung für CVE-2018-3639

• ADV180013 | Microsoft-Leitfaden für Rogue System Register Read für CVE-2018-3640 and KB 4073065 | Leitfaden für Surface-Kunden

• Microsoft Security Research and Defense-Blog

• Entwicklerleitfaden für Speculative Speicherumgehung

Weitere Informationen finden Sie in den Abschnitten "Empfohlene Aktionen" und "Häufig gestellte Fragen"  ADV180012 | Microsoft-Leitfaden für Speculative Speicherumgehung.

Zur Überprüfung des Status von SSBD wurde das PowerShell-Skript Get-SpeculationControlSettings aktualisiert, um betroffene Prozessoren, den Status der SSBD-Betriebssystemupdates und den Status des Prozessormicrocodes soweit zutreffend zu erkennen. Weitere Informationen und Informationen zum Abrufen des PowerShell-Skripts finden Sie unter KB4074629.

Am 13. Juni 2018 wurde eine zusätzliche Sicherheitsanfälligkeit angekündigt und CVE-2018-3665 zugewiesen, die eine spekulative Ausführung des Seitenkanals, bekannt als Lazy FP State Restore umfasst. Informationen zu dieser Sicherheitsanfälligkeit und empfohlenen Aktionen finden Sie in der Sicherheitsempfehlung ADV180016 | Microsoft-Leitfaden für Lazy FP State Restore .

Hinweis Für die verzögerte Wiederherstellung der FP-Wiederherstellung sind keine Konfigurationseinstellungen (Registrierung) erforderlich.

Bounds Check Bypass Store (BCBS) wurde am 10. Juli 2018 offengelegt und CVE-2018-3693 zugewiesen. Wir betrachten BCBS als zur selben Klasse von Sicherheitsanfälligkeiten gehörig wie Bounds Check Bypass (Variante 1). Derzeit sind uns keine Fälle von BCBS in unserer Software bekannt. Wir werden jedoch weiterhin diese Anfälligkeitsklasse erforschen und mit Industriepartnern zusammenarbeiten, um die erforderlichen Maßnahmen zu ergreifen. Wir empfehlen Experten, alle relevanten Ergebnisse an das Spekulative Ausführung des Seitenkanals-Bounty-Programm von Microsoft zu übermitteln, einschließlich aller ausnutzbaren Instanzen von BCBS. Softwareentwickler sollten den Entwicklerleitfaden, der für BCBS aktualisiert wurde, unter C++-Entwicklerleitfaden für Spekulativ Ausgeführte Seitenkanäle 

Am 14. August 2018 wurde L1-Terminalfehler (L1TF) angekündigt und mehreren CVEs zugewiesen. Mithilfe von spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten kann der Inhalt des Arbeitsspeichers über eine Vertrauensstellung hinaus ausgelesen werden, was zur Veröffentlichung von Informationen führen kann. Es gibt mehrere Angriffsvektoren, mit deren Hilfe ein Angreifer die Sicherheitsanfälligkeiten in Abhängigkeit von der konfigurierten Umgebung auslösen kann. L1TF betrifft Intel® Core®-Prozessoren und Intel® Xeon®-Prozessoren.

Weitere Informationen zu dieser Sicherheitsanfälligkeit und eine detaillierte Ansicht der betroffenen Szenarien, einschließlich des Ansatzes von Microsoft zur Risikominderung von L1TF finden Sie in den folgenden Ressourcen:

• ADV180018 | Microsoft-Leitfaden zur Risikominderung von L1TF-Varianten

• Security Advisory Security Research-Blog

• Serverleitfaden für L1-Terminalfehler

Die erforderlichen Schritte zum Deaktivieren von HT hängen vom jeweiligen OEM ab. Sie sind jedoch in der Regel Bestandteil des BIOS- oder Firmwaresetups und der Konfigurationstools.

Kunden, die 64-Bit-ARM-Prozessoren verwenden, sollten sich an den Geräte-Originalgerätehersteller wenden, um Firmwareunterstützung zu erhalten, da der Schutz des ARM64-Betriebssystems CVE-2017-5715 | Branchzielinjektion (Spectre, Variante 2) das neueste Firmwareupdate von Geräte-Originalgeräteherstellern erfordert, um wirksam zu werden.

Weitere Informationen finden Sie in den folgenden Sicherheitsempfehlungen:

• Intel-Sicherheitsempfehlung

• ADV190013 |  Microsoft-Leitfaden zur Risikominderung von Microarchitectural Data Sampling-Sicherheitsanfälligkeiten

Weitere Anleitungen finden Sie im Windows-Leitfaden zum Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen

Weitere Anleitungen finden Sie im Windows-Leitfaden zum Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen

Eine Anleitung zu Azure finden Sie in diesem Artikel: Leitfaden zur Minderung von Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen in Azure.

Weitere Informationen zur Retpoline-Aktivierung finden Sie in unserem Blogbeitrag: Risikominderungen für Spectre Variante 2 mit Retpoline unter Windows .

Ausführliche Informationen zu dieser Sicherheitsanfälligkeit finden Sie im Microsoft-Sicherheitshandbuch: CVE-2019-1125 | Windows-Kernelsicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen.

Uns ist kein Fall bekannt, dass diese Sicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen unsere Cloud Service-Infrastruktur beeinträchtigt.

Sobald wir dieses Problem festgestellt hatten, arbeiteten wir schnell an dessen Behebung und an der Veröffentlichung eines Updates. Wir sind fest von starken Partnerschaften mit Forschern und Branchenpartnern überzeugt, um die Sicherheit der Kunden zu optimieren. Deshalb haben wir erst am Dienstag, den 6. August, im Rahmen der koordinierten Veröffentlichungspraktiken für Sicherheitsanfälligkeiten Details veröffentlicht.

Weitere Informationen finden Sie unter Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows.

Weitere Informationen finden Sie unter Leitfaden zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows.

Weitere Anleitungen finden Sie in Anleitung zum Deaktivieren von Intel Transactional Synchronization Extensions (Intel TSX)-Funktionen.

Die in diesem Artikel genannten Drittanbieterprodukte stammen von Herstellern, die von Microsoft unabhängig sind. Microsoft gewährt keine implizite oder sonstige Garantie in Bezug auf die Leistung oder Zuverlässigkeit dieser Produkte.

Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.