Einführung
Seit Januar 2018 hat das Surface-Team Firmware-Updates für eine neue Klasse von Hardwaresicherheitsanfälligkeiten veröffentlicht, die spekulative ausführungsseitige Channelangriffe beinhalten. Das Surface-Team hat keine Informationen erhalten, die darauf hinweisen, dass diese Sicherheitsanfälligkeiten bisher verwendet wurden, um Kunden anzugreifen, und das Team arbeitet eng mit dem Windows-Team und Branchenpartnern zusammen, um Kunden zu schützen. Für einen bestmöglichen Schutz sind sowohl Firmware- als auch Windows-Systemupdates erforderlich.
Zusammenfassung
Dem Surface-Team sind neue Varianten spekulativer ausführungsseitiger Channelangriffe bekannt, die auch Surface-Produkte betreffen. Die Risikominderung für diese Sicherheitsanfälligkeiten erfordert ein Betriebssystemupdate und ein Surface-UEFI-Update, das neuen Microcode enthält. Weitere Informationen zu den Sicherheitsanfälligkeiten und zu den Risikominderungen finden Sie in der folgenden Sicherheitsempfehlung:
Wir arbeiten mit unseren Partnern zusammen, um Updates für die folgenden Surface-Produkte zu liefern, sobald wir sicher sind, dass die Updates unsere Qualitätsanforderungen erfüllen:
-
Surface 3 – Update vom 11. Juli 2019
-
Surface Pro 3 – Update vom 11. Juli 2019
-
Surface Pro 4 – Update vom 27. Juni 2019
-
Surface Book – Update vom 27. Juni 2019
-
Surface Studio – Update vom 11. Juli 2019
-
Surface Pro (5. Generation) – Update vom 27. Juni 2019
-
Surface Laptop – Update vom 27. Juni 2019
-
Surface Book 2 – Update vom 27. Juni 2019)
-
Surface Pro 6 – Update vom 27. Juni 2019
-
Surface Laptop 2 – Update vom 27. Juni 2019)
-
Surface Studio 2 – Update vom 31. Juli 2019
-
Surface GO WiFi
-
Surface GO LTE
Zusätzlich zu dem neuen Microcode wird eine neue als „simultanes Multithreading (SMT)“ bezeichnete UEFI-Einstellung verfügbar sein, wenn das UEFI-Update installiert wird. Mithilfe dieser Einstellung kann der Benutzer Hyperthreading deaktivieren.
Hinweise
-
Wenn Sie sich dafür entscheiden, Hyperthreading zu deaktivieren, sollten Sie die neue SMT-UEFI-Einstellung verwenden.
-
Die Deaktivierung von SMT bietet zusätzlichen Schutz vor diesen neuen Sicherheitsanfälligkeiten und den zuvor veröffentlichten L1 Terminal Fault-Angriffen. Diese Methode wirkt sich jedoch auch auf die Leistung des Geräts aus.
-
Bei Surface 3 und Surface Studio mit Intel Core i5 wird SMT nicht unterstützt. Deshalb gibt es bei diesen Geräten diese neue Einstellung nicht.
-
Das UEFI-Konfigurationstool Microsoft Surface Enterprise Management Mode (SEMM), Version 2.43.139 oder höher, unterstützt die neue SMT-Einstellung. Die Tools können von dieser Webseite heruntergeladen werden. Laden Sie die folgenden erforderlichen Tools herunter:
-
SurfaceUEFI_Configurator_v2.43.139.0.msi
-
SurfaceUEFI_Manager_v2.43.139.0.msi
-
Informationsquellen
Dem Surface-Team ist ein neuer spekulativer ausführungsseitiger Channelangriff mit dem Namen L1 Terminal Fault (L1TF) bekannt, dem CVE-2018-3620 (OS und SMM) und CVE-2018-3646 (VMM) entsprechen. Betroffene Surface-Produkte sind die gleichen wie im Abschnitt „Im Mai 2018 veröffentlichte Sicherheitsanfälligkeiten“ dieses Artikels. Die Microcodeupdates, die das Risiko der im Mai 2018 gemeldeten Sicherheitsanfälligkeiten reduzieren, mindern auch das Risiko durch L1TF (CVE-2018-3646). Weitere Informationen zu der Sicherheitsanfälligkeit und zu den Risikominderungen finden Sie in der folgenden Sicherheitsempfehlung:
Die Sicherheitsempfehlung schlägt vor, dass Kunden, die virtualisierungsbasierte Sicherheit (VBS) verwenden, die Sicherheitsfunktionen wie Credential Guard und Device Guard umfasst, Hyperthreading deaktivieren sollten, um das Risiko von L1TF vollständig zu eliminieren. Kunden können Hyperthreading derzeit nicht auf ihren Surface-Geräten deaktivieren. VBS-Funktionen sind standardmäßig auf Surface-Geräten deaktiviert. Das Surface-Team untersucht Optionen zum Deaktivieren von Hyperthreading.
Informationsquellen
Dem Surface-Team sind neue Varianten spekulativer ausführungsseitiger Channelangriffe bekannt geworden, die auch Surface-Produkte betreffen. Die Risikominderung für diese Sicherheitsanfälligkeiten erfordert UEFI-Updates, die Microcode verwenden. Weitere Informationen zu den Sicherheitsanfälligkeiten und zu den Risikominderungen finden Sie in den folgenden Sicherheitsempfehlungen:
Wir arbeiten mit unseren Partnern zusammen, um Updates für die folgenden Surface-Produkte zu liefern, sobald wir sicher sind, dass die Updates unsere Qualitätsanforderungen erfüllen:
-
Surface Book 2 – (Update vom 1. August 2018)
-
Surface Book – (Update vom 21. August 2018)
-
Surface Laptop – (Update vom 25. Juli 2018)
-
Surface Studio - Update vom 1. Oktober 2018
-
Surface Pro 4 - Update vom 25. Juli 2018
-
Surface Pro 3 - Update vom 7. August 2018
-
Surface Pro Modell 1796 und Surface Pro mit Advanced LTE Modell 1807 – (Update vom 26. Juli 2018)
Informationsquellen
Dem Surface-Team ist eine neue öffentlich gemeldete Klasse von Sicherheitsanfälligkeiten bekannt, die „spekulative ausführungsseitige Channelangriffe“ (Speculative Execution Side-Channel Attacks) umfassen und viele moderne Prozessoren und Betriebssysteme umfassen, u.a. Intel, AMD und ARM betreffen. Weitere Informationen zu den Sicherheitsanfälligkeiten und zu den Risikominderungen finden Sie in der folgenden Sicherheitsempfehlung:
Microsoft-Sicherheitsempfehlung ADV180002
Weitere Informationen zu Windows-Softwareupdates finden Sie in den folgenden Artikeln der Microsoft Knowledge Base:
-
4073757 Schützen Ihrer Windows-Geräte vor Spectre und Meltdown
-
4073119 Leitfaden für IT-Experten zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows-Clients
Zusätzlich zur Installation der Sicherheitsupdates vom 3. Januar für Windows-Betriebssysteme hat Surface über Windows Update und das Download Center UEFI-Updates für die folgenden Geräte veröffentlicht:
-
Surface Book 2 – (Updateverlauf)
-
Surface Book – (Updateverlauf)
-
Surface Laptop – (Updateverlauf)
-
Surface Studio – (Updateverlauf)
-
Surface Pro 4 – (Updateverlauf)
-
Surface Pro 3 – (Updateverlauf)
-
Surface 3 – (Updateverlauf)
-
Surface Pro Modell 1796 und Surface Pro mit Advanced LTE Modell 1807- (Updateverlauf)
Diese Updates sind für Geräte mit Windows 10 Creators Update (Build 15063) und neueren Versionen verfügbar.
Informationsquellen
Weitere Informationen
Surface Hub weist integrierte umfassende Sicherheitsstrategien auf. Weitere Informationen finden Sie im folgenden Thema auf der Windows IT Pro Center-Website:
Unterschiede zwischen Surface Hub und Windows 10 Enterprise
Aus diesem Grund sind wir der Meinung, dass Angriffe, die diese Sicherheitsanfälligkeiten ausnutzen, bei Surface Hub drastisch reduziert werden.
Das Surface-Team möchte sicherstellen, dass unsere Benutzer sicher und zuverlässig arbeiten können. Wir werden Geräte auch weiterhin überwachen und ggf. aktualisieren, um diese Sicherheitsanfälligkeiten zu beheben und für die Stabilität und Sicherheit der Geräte zu sorgen.