KB4073065: Surface-Anleitung zum Schutz vor sicherheitsrelevanten, mikroarchitecturalen und spekulativen Ausführungsseitenkanälen auf Siliziumbasis

Einführung

Seit Januar 2018 veröffentlicht das Surface-Team Firmwareupdates für eine Klasse von siliziumbasierten Problemen, die mikroarchitecturale und spekulative Ausführung von Seitenkanalrisiken beinhalten. Das Surface-Team arbeitet weiterhin eng mit dem Windows-Team und Branchenpartnern zusammen, um Kunden zu schützen. Um den gesamten verfügbaren Schutz zu erhalten, sind sowohl Firmware- als auch Windows-Systemupdates erforderlich.

Zusammenfassung

Im Juni 2022 angekündigte Sicherheitsrisiken

Das Surface-Team ist sich der neuen siliziumbasierten mikroarchitecturalen und spekulativen Ausführung von Seitenkanalangriffsvarianten bewusst, die sich auch auf Surface-Produkte auswirken. Weitere Informationen zu den Sicherheitsrisiken und Risikominderungen finden Sie in der folgenden Sicherheitsempfehlung:

• Microsoft-Sicherheitsempfehlung ADV220002

Wir arbeiten mit unseren Partnern zusammen, um Updates für Surface-Produkte bereitzustellen, sobald wir sicherstellen können, dass die Updates unseren Qualitätsanforderungen entsprechen. 

Weitere Informationen zu Updates für Surface-Geräte finden Sie unter Surface-Updateverlauf.

Im Mai 2019 angekündigte Sicherheitsrisiken

Das Surface-Team ist sich der neuen Spekulativen Ausführung von Seitenkanalangriffsvarianten bewusst, die sich auch auf Surface-Produkte auswirken. Die Entschärfung dieser Sicherheitsrisiken erfordert ein Betriebssystemupdate und ein Surface UEFI-Update, das neuen Mikrocode enthält. Weitere Informationen zu den Sicherheitsrisiken und Risikominderungen finden Sie in der folgenden Sicherheitsempfehlung:

• Microsoft-Sicherheitsempfehlung ADV190013

  Diese Empfehlung umfasst die folgenden Sicherheitsrisiken:

  • CVE-2018-12126 | Microarchitectural Store Buffer Data Sampling (MSBDS) 
  • CVE-2018-12130 | Microarchitectural Fill Buffer Data Sampling (MFBDS)
  • CVE-2018-12127 | Microarchitectural Load Port Data Sampling (MLPDS)
  • CVE-2019-11091 | Microarchitectural Data Sampling Uncacheable Memory (MDSUM)

Zusätzlich zur Installation der Windows-Betriebssystem-Sicherheitsupdates hat Surface UEFI-Updates über Windows Update und das Download Center für die folgenden Geräte veröffentlicht:

• Surface 3 – Update vom 11. Juli 2019
• Update vom 3. Surface Pro bis 11. Juli 2019
• Surface Pro 4 – Update vom 27. Juni 2019
• Surface Book – Update vom 27. Juni 2019
• Surface Studio – Update vom 11. Juli 2019
• Surface Pro (5^. Generation) – Update vom 27. Juni 2019
• Surface Laptop – Update vom 27. Juni 2019
• Update vom 2. Surface Book bis 27. Juni 2019
• Update vom 6. Surface Pro bis 27. Juni 2019
• Surface Laptop 2 – Update vom 27. Juni 2019
• Update vom 2. Surface Studio bis 31. Juli 2019
• Surface GO WiFi – Update vom 23. Juli 2019
• Surface GO LTE – Update vom 23. Juli 2019

Zusätzlich zum neuen Microcode ist eine neue UEFI-Einstellung verfügbar, die als "Gleichzeitiges Multithreading (SMT)" bezeichnet wird, wenn das UEFI-Update installiert wird. Mit dieser Einstellung kann ein Benutzer Hyper-Threading deaktivieren.

Hinweise

• Wenn Sie hyper-Threading deaktivieren möchten, empfehlen wir Ihnen, die neue SMT-UEFI-Einstellung zu verwenden.

• Die Deaktivierung von SMT bietet zusätzlichen Schutz vor diesen neuen Sicherheitsrisiken und dem zuvor angekündigten L1-Terminalfehlerangriff . Diese Methode wirkt sich jedoch auch auf die Leistung des Geräts aus.

• Surface 3 und Surface Studio mit Intel Core i5 verfügen nicht über SMT. Daher verfügen diese Geräte nicht über diese neue Einstellung.

• Das UEFI-Konfiguratortool Microsoft Surface Enterprise Management Mode (SEMM), Version 2.43.139 oder höher, unterstützt die neue SMT-Einstellung. Die Tools können von dieser Webseite heruntergeladen werden. Laden Sie die folgenden erforderlichen Tools herunter:

  • SurfaceUEFI_Configurator_v2.43.139.0.msi
  • SurfaceUEFI_Manager_v2.43.139.0.msi

Im August 2018 angekündigte Sicherheitsanfälligkeit

Dem Surface-Team ist ein neuer spekulativer Nebenkanalangriff mit dem Namen L1 Terminal Fault (L1TF) bekannt, dem CVE-2018-3620 (Betriebssystem und SMM) und CVE-2018-3646 (VMM) zugewiesen sind. Betroffene Surface-Produkte sind identisch mit denen im Abschnitt "Im Mai 2018 angekündigte Sicherheitsrisiken" dieses Artikels. Die Microcodeupdates, die die Ergebnisse vom Mai 2018 entschärfen, mindern auch L1TF (CVE-2018-3646). Weitere Informationen zu Sicherheitsrisiken und Risikominderungen finden Sie in der folgenden Sicherheitsempfehlung:

• Microsoft-Sicherheitsempfehlung ADV180018

  Diese Empfehlung umfasst die folgenden Sicherheitsrisiken:

  • CVE-2018-3620
  • CVE-2018-3646

Der Sicherheitshinweis schlägt vor, dass Kunden, die Virtualisierungsbasierte Sicherheit (VBS) verwenden, die Sicherheitsfeatures wie Credential Guard und Device Guard enthält, erwägen sollten, Hyper-Threading zu deaktivieren, um das Risiko von L1TF vollständig zu beseitigen.

Im Mai 2018 angekündigte Sicherheitsrisiken

Das Surface-Team ist auf neue Varianten von Seitenkanalangriffen mit spekulativer Ausführung aufmerksam geworden, die sich auch auf Surface-Produkte auswirken. Die Entschärfung dieser Sicherheitsrisiken erfordert UEFI-Updates, die neuen Microcode verwenden. Weitere Informationen zu den Sicherheitsrisiken und Risikominderungen finden Sie in den folgenden Sicherheitsempfehlungen:

• Microsoft-Sicherheitsempfehlung ADV180012

  Diese Empfehlung umfasst die folgende Sicherheitsanfälligkeit:

  • CVE-2018-3639

• Microsoft-Sicherheitsempfehlung ADV180013

  Diese Empfehlung umfasst die folgende Sicherheitsanfälligkeit:

  • CVE-2018-3640

Zusätzlich zur Installation der Windows-Betriebssystem-Sicherheitsupdates hat Surface UEFI-Updates über Windows Update und das Download Center für die folgenden Geräte veröffentlicht:

• Update vom 2. Surface Book. bis 1. August 2018
• update vom 21. August 2018 Surface Book – Update vom 21. August 2018
• Surface Laptop : Update vom 25. Juli 2018
• update vom 1. Oktober 2018 Surface Studio – Update vom 1. Oktober 2018
• Update vom 25. Juli 2018 Surface Pro 4 – 25. Juli 2018
• Update vom 3. Surface Pro bis 7. August 2018
• Surface Pro Model 1796 und Surface Pro mit Advanced LTE Model 1807 – Update vom 26. Juli 2018

Im Januar 2018 angekündigte Sicherheitsrisiken

Das Surface-Team ist sich der öffentlich offengelegten Klasse von Sicherheitsrisiken bewusst, die einen spekulativen Ausführungs-Seitenkanal (als Spectre und Meltdown bezeichnet) umfassen, die viele moderne Prozessoren und Betriebssysteme betreffen, einschließlich Intel, AMD und ARM. Weitere Informationen zu den Sicherheitsrisiken und Risikominderungen finden Sie in der folgenden Sicherheitsempfehlung:

• Microsoft-Sicherheitsempfehlung ADV180002

  Diese Empfehlung umfasst die folgenden Sicherheitsrisiken:

  • CVE-2017-5753
  • CVE-2017-5715
  • CVE-2017-5754

Weitere Informationen zu Windows-Softwareupdates finden Sie in den folgenden Wissensdatenbank Artikeln:

• KB4073757 
• KB4073119 (Clientleitfaden)

Zusätzlich zur Installation des Windows-Betriebssystemsicherheits-Updates vom 3. Januar hat Surface UEFI-Updates über Windows Update und das Download Center für die folgenden Geräte veröffentlicht:

• Surface Book 2 – (Updateverlauf)
• Surface Book ( Updateverlauf)
• Surface Laptop – (Updateverlauf)
• Surface Studio – (Updateverlauf)
• Surface Pro 4 ( Updateverlauf)
• Surface Pro 3 – (Updateverlauf)
• Surface 3 – (Updateverlauf)
• Surface Pro Modell 1796 und Surface Pro mit Advanced LTE Model 1807- (Updateverlauf)

Diese Updates sind für Geräte verfügbar, auf denen Windows 10 Creators Update (Build 15063) und höhere Versionen ausgeführt werden.

Weitere Informationen

Das Surface Hub-Betriebssystem Windows 10 Team hat tief greifende Verteidigungsstrategien implementiert. Daher glauben wir, dass Exploits, die diese Sicherheitsrisiken nutzen, auf Surface Hub erheblich reduziert werden, wenn Windows 10 Team Betriebssystem ausgeführt wird.  Weitere Informationen finden Sie im folgenden Thema auf der Windows IT Pro Center-Website: Unterschiede zwischen Surface Hub und Windows 10 Enterprise.  

Das Surface-Team konzentriert sich darauf, sicherzustellen, dass unsere Benutzer eine sichere und zuverlässige Erfahrung haben. Wir werden weiterhin Geräte nach Bedarf überwachen und aktualisieren, um diese Sicherheitsrisiken zu beheben und die Geräte zuverlässig und sicher zu halten.

Informationsquellen

Informationen zum Haftungsausschluss von Drittanbietern

Die Kontaktinformationen zu den in diesem Artikel erwähnten Drittanbietern sollen Ihnen helfen, den benötigten technischen Support zu finden. Diese Kontaktinformationen können ohne vorherige Ankündigung geändert werden. Sie werden von Microsoft ohne jede Gewähr weitergegeben.