KB4073757: Schützt Windows-Geräte vor Silicon-basierten mikroarchitektonischen und spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten

Datum ändern	Beschreibung ändern
9. August 2023	Inhalt zu CVE-2022-23816 entfernt, da die CVE-Nummer nicht verwendet wird Ein dupliziertes Thema mit dem Titel „Intel Microcode-Updates“ im Abschnitt „Schritte zum Schutz Ihrer Windows-Geräte“ wurde entfernt
9. April 2024	„CVE-2022-0001 | Intel Branch History Injection“ hinzugefügt

Möglicherweise müssen Sie sowohl Ihre Firmware (Microcode) als auch Ihre Software aktualisieren, um diese Sicherheitsanfälligkeiten zu beheben. Informationen zu empfohlenen Maßnahmen finden Sie in den Microsoft-Sicherheitshinweisen. Dazu gehören Updates von anwendbaren Firmwares (Microcode) von Geräteherstellern und in einigen Fällen Updates für Ihre Antivirensoftware. Wir empfehlen, Ihre Geräte auf dem neuesten Stand zu halten, indem Sie jeden Monat die Sicherheitsupdates installieren. 

Führen Sie die folgenden Schritte aus, um die neuesten Updates für Software und Hardware zu installieren.

1. Aktivieren Sie den automatischen Empfang von Updates, damit Ihre Windows-Geräte immer dem neuesten Stand sind.

2. Stellen Sie sicher, dass Sie das neueste Sicherheitsupdate von Microsoft für das Windows-Betriebssystem installiert haben. Auch wenn Sie automatische Updates aktiviert haben, sollten Sie überprüfen, ob die Updates wirklich installiert wurden. Anweisungen dazu finden Sie unter Windows Update: Häufig gestellte Fragen

3. Installieren Sie alle verfügbaren Firmware (Microcode)-Updates Ihres Geräteherstellers. Alle Kunden müssen sich bei ihrem Gerätehersteller erkundigen, ob sie gerätespezifische Hardwareupdates herunterladen und installieren sollten. Im Abschnitt „Zusätzliche Ressourcen“ finden Sie eine Liste mit Websites von Geräteherstellern.

   Hinweis: Kunden sollten die neuesten Sicherheitsupdates von Microsoft für das Windows-Betriebssystem installieren, um von verfügbaren Schutzmaßnahmen zu profitieren. Updates für Antivirensoftware sollten zuerst installiert werden. Dann sollten Updates für das Betriebssystem und die Firmware folgen. Wir empfehlen, Ihre Geräte auf dem neuesten Stand zu halten, indem Sie jeden Monat die Sicherheitsupdates installieren. 

Betroffen sind Chips von Intel, AMD und ARM. Dies bedeutet, dass alle Geräte, auf denen Windows-Betriebssysteme ausgeführt werden, potenziell gefährdet sind. Beispielsweise Desktops, Laptops, Cloudserver und Smartphones. Geräte mit anderen Betriebssystemen wie Android, Chrome, iOS und macOS sind ebenfalls betroffen. Wir empfehlen Kunden, die diese Betriebssysteme verwenden, die Richtlinien der entsprechenden Anbieter zu befolgen.

Microsoft lagen zum Zeitpunkt der Veröffentlichung dieses Artikels keine Informationen vor, dass diese Sicherheitsanfälligkeiten für Angriffe auf Kunden ausgenutzt wurden.

Seit Januar 2018 veröffentlicht Microsoft Updates für Windows-Betriebssysteme und die Browser Internet Explorer und Edge, um das Risiko dieser Sicherheitsanfälligkeiten zu reduzieren und Kunden zu schützen. Darüber hinaus haben wir Updates zum Schutz unserer Clouddienste bereitgestellt.  Wir arbeiten weiterhin eng mit Branchenpartnern wie Chipherstellern, Geräteherstellern und App-Anbietern zusammen, um Kunden vor dieser Art von Sicherheitsanfälligkeiten zu schützen. 

Sie sollten stets die monatlichen Updates installieren, damit Ihre Geräte immer auf dem aktuellen Stand und geschützt sind. 

Wir werden diese Dokumentation aktualisieren, sobald neue Risikominderungen verfügbar sind, und Sie sollten deshalb regelmäßig hier nachschauen. 

Windows-Betriebssystemupdates vom Juli 2019

Am 6. August 2019 hat Intel Details zur Sicherheitsanfälligkeit CVE-2019-1125 | Sicherheitsanfälligkeit im Windows-Kernel bezüglich Veröffentlichung von Informationen bekanntgegeben. Sicherheitsupdates für diese Sicherheitsanfälligkeit wurden am 9. Juli 2019 im Rahmen der monatlichen Sicherheitsupdateveröffentlichung veröffentlicht.

Am 9. Juli 2019 hat Microsoft ein Sicherheitsupdate für das Windows-Betriebssystem veröffentlicht, um das Risiko aufgrund dieses Problems zu reduzieren. Wir haben die Veröffentlichung dieser Risikominderung bis zur koordinierten Branchenveröffentlichung am Dienstag, den 6. August 2019, zurückgehalten.

Kunden, die Windows Update aktiviert haben und die am 9. Juli 2019 veröffentlichten Sicherheitsupdates angewendet haben, sind automatisch geschützt. Beachten Sie, dass für diese Sicherheitsanfälligkeit kein Microcodeupdate von Ihrem Gerätehersteller (OEM) erforderlich ist.

Windows-Betriebssystemupdates vom Mai 2019

Am 14. Mai 2019 hat Intel Informationen über eine neue Unterklasse von spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten veröffentlicht, die als Microarchitectural Data Sampling bezeichnet werden und denen die folgenden CVEs zugewiesen wurden.

• CVE-2018-11091 – „Microarchitectural Data Sampling Uncacheable Memory (MDSUM)“

• CVE-2018-12126 – „Microarchitectural Store Buffer Data Sampling (MSBDS)“

• CVE-2018-12127 – „Microarchitectural Fill Buffer Data Sampling (MFBDS)“

• CVE-2018-12130 – „Microarchitectural Load Port Data Sampling (MLPDS)“

Weitere Informationen zu diesem Problem finden Sie in der folgenden Sicherheitsempfehlung, und bestimmen Sie anhand der szenariobasierten Anweisungen in den Artikeln für Windows-Clients und Windows-Server die erforderlichen Aktionen zur Reduzierung des Risikos durch diese Sicherheitsbedrohung:

• ADV190013 | Anweisungen von Microsoft zur Risikominderung von Microarchitectural Data Sampling-Sicherheitsanfälligkeiten

• KB 4073119 | Leitfaden für IT-Experten zum Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen bei Windows-Clients

• KB 4457951 | Leitfaden zum Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen bei Windows-Servern

Microsoft hat Schutzmaßnahmen für eine neue Unterklasse von Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen, die als Microarchitectural Data Sampling bezeichnet werden, für 64-Bit-Versionen (x64) von Windows veröffentlicht (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Verwenden Sie die Registrierungseinstellungen, wie in den Artikeln Windows Client (KB4073119) und Windows Server (KB4457951) beschrieben. Diese Registrierungseinstellungen sind für Windows-Client-Betriebssystemeditionen und Windows-Server-Betriebssystemeditionen standardmäßig aktiviert.

Es wird empfohlen, zunächst alle aktuellen Updates über Windows Update zu installieren, bevor Sie Microcodeupdates installieren.

Weitere Informationen zu diesem Problem und zu empfohlenen Maßnahmen finden Sie in der folgenden Sicherheitsempfehlung: 

• ADV190013 | Anweisungen von Microsoft zur Risikominderung von Microarchitectural Data Sampling-Sicherheitsanfälligkeiten

Intel hat ein Microcodeupdate für neuere CPU-Plattformen herausgegeben, um das Risiko von CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 zu mindern. Das Windows-Update KB 4093836 vom 14. Mai 2019 enthält eine Liste mit Windowsdatenbank-Artikeln für die einzelnen Windows-Betriebssystemversionen.  Jeder Artikel enthält auch Links zu den verfügbaren Microcodeupdates von Intel basierend auf der CPU. Diese Updates sind über den Microsoft Update-Katalog verfügbar.

Hinweis: Es wird empfohlen, alle aktuellen Updates über Windows Update zu installieren, bevor Sie Microcodeupdates installieren.

Wir freuen uns ankündigen zu können, dass „Retpoline“ auf Geräten mit Windows 10, Version 1809 (Client und Server), standardmäßig aktiviert ist, wenn Spectre Variante 2 (CVE-2017-5715) aktiviert ist. Durch das Aktivieren von „Retpoline“ unter der neuesten Version von Windows 10 mithilfe des Updates vom 14. Mai 2019 (KB 4494441) erwarten wir insbesondere bei älteren Prozessoren eine Leistungsverbesserung.

Die Kunden sollten sicherstellen, dass bisherige Schutzmaßnahmen des Betriebssystems vor der Sicherheitsanfälligkeit durch Spectre Variante 2 mithilfe der in den Artikeln für Windows-Clients und Windows-Server beschriebenen Registrierungseinstellungen aktiviert sind. (Diese Registrierungseinstellungen sind für Windows-Client-Betriebssystemeditionen standardmäßig aktiviert, für Windows-Server-Betriebssystemeditionen standardmäßig deaktiviert.) Weitere Informationen zu "Retpoline" finden Sie unter Risikominderungen für Spectre Variante 2 mit Retpoline unter Windows.

Windows-Betriebssystemupdates vom November 2018

Microsoft hat Schutzmaßnahmen für Betriebssysteme bezüglich Speculative Store Bypass (CVE-2018-3639) für AMD-Prozessoren (CPUs) veröffentlicht.

Microsoft hat zusätzliche Schutzmaßnahmen für Betriebssysteme für Kunden veröffentlicht, die 64-Bit-ARM-Prozessoren verwenden. Wenden Sie sich an den OEM-Gerätehersteller wegen Firmwaresupport, da für Schutzmaßnahmen für ARM64-Betriebssysteme, die das Risiko von CVE-2018-3639https://na01.safelinks.protection.outlook.com/?url=https%3A%2F%2Fcve.mitre.org%2Fcgi-bin%2Fcvename.cgi%3Fname%3DCVE-2018-3639&data=02%7C01%7Cv-dgit%40microsoft.com%7C7e8b7b202184435fb36e08d64a55192d%7C72f988bf86f141af91ab2d7cd011db47%7C1%7C0%7C636778126689693375&sdata=BU9joalWH1JTNe0j8WXku92%2FuV2%2FG7MU%2BBiF7zF1eVU%3D&reserved=0 – Speculative Store Bypass mindern, das neueste Firmwareupdate Ihres Geräte-OEM erforderlich ist.

Windows-Betriebssystemupdates vom September 2018

Am 11. September 2018 hat Microsoft den monatlichen Rollup 4458010 für Windows Server 2008 SP2 und das reine Sicherheitsupdate 4457984 für Windows Server 2008 veröffentlicht, die Schutz vor einer neuen Sicherheitsanfälligkeit bezüglich spekulativer ausführungsseitiger Channelangriffe, die als „L1 Terminal Fault (L1TF)“ bezeichnet werden, bieten und Intel® Core®-Prozessoren und Intel® Xeon®-Prozessoren betreffen (CVE-2018-3620 und CVE-2018-3646). 

Diese Veröffentlichung vervollständigt die zusätzlichen Schutzmaßnahmen unter allen unterstützten Windows-Systemversionen über Windows Update. Weitere Informationen und eine Liste der betroffenen Produkte finden Sie unter ADV180018 | Leitfaden zur Risikominderung der L1TF-Variante.

Hinweis: Für Windows Server 2008 SP2 gilt nun das Windows-Standardmodell für die Bereitstellung von Rollups. Weitere Informationen zu diesen Änderungen finden Sie in unserem Blog Windows Server 2008 SP2 Wartungsänderungen. Kunden, die Windows Server 2008 ausführen, sollten 4458010 oder 4457984 zusätzlich zum Sicherheitsupdate 4341832 installieren, das am 14. August 2018 veröffentlicht wurde. Die Kunden sollten außerdem sicherstellen, dass bisherige Schutzmaßnahmen des Betriebssystems vor den Sicherheitsanfälligkeiten Spectre Variante 2 und Meltdown mithilfe der in den KB-Artikeln für Windows-Clients und Windows Server beschriebenen Registrierungseinstellungen aktiviert sind. Diese Registrierungseinstellungen sind für Windows-Client-Betriebssystemeditionen standardmäßig aktiviert, aber für Windows-Server-Betriebssystemeditionen standardmäßig deaktiviert.)

Microsoft hat zusätzliche Schutzmaßnahmen für Betriebssysteme für Kunden veröffentlicht, die 64-Bit-ARM-Prozessoren verwenden. Wenden Sie sich an den OEM-Gerätehersteller wegen Firmwaresupport, da für Schutzmaßnahmen für ARM64-Betriebssysteme, die das Risiko von CVE-2017-5715 – Branch Target Injection (Spectre, Variante 2) mindern, das neueste Firmwareupdate Ihrer Geräte-OEMs erforderlich ist, damit sie wirksam sind.

Windows-Betriebssystemupdates vom August 2018

Am 14. August 2018 wurde L1-Terminalfehler (L1TF) angekündigt und mehreren CVEs zugewiesen. Mithilfe von spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten kann der Inhalt des Arbeitsspeichers über eine Vertrauensstellung hinaus ausgelesen werden, was zur Veröffentlichung von Informationen führen kann. Es gibt mehrere Angriffsvektoren, mit deren Hilfe ein Angreifer die Sicherheitsanfälligkeiten in Abhängigkeit von der konfigurierten Umgebung auslösen kann. L1TF betrifft Intel® Core®-Prozessoren und Intel® Xeon®-Prozessoren.

Weitere Informationen zu L1TF und eine detaillierte Ansicht der betroffenen Szenarien, einschließlich Microsoft’ s Ansatz zur Minderung von L1TF finden Sie in den folgenden Quellen:

• ADV180018 | Microsoft-Leitfaden zur Risikominderung von L1TF-Varianten

• Security Advisory Security Research-Blog

• Serverleitfaden für L1-Terminalfehler

Windows-Betriebssystemupdates vom Juli 2018

Wir freuen uns ankündigen zu dürfen, dass Microsoft soeben zusätzliche Schutzmaßnahmen für alle unterstützten Windows-Betriebssystemversionen für die folgenden Sicherheitsanfälligkeiten über Windows Update veröffentlicht hat:

• Spectre Variante 2 für AMD-Prozessoren

• Speculative Store Bypass für Intel-Prozessoren

Am 13. Juni 2018 wurde eine zusätzliche Sicherheitsanfälligkeit im Zusammenhang mit der spekulativen Ausführung von Seitenkanälen gemeldet, die als Lazy FP State Restore bezeichnet und unter CVE-2018-3665 gelistet wird. Für „Lazy FP State Restore“ sind keine Konfigurationseinstellungen (Registrierung) erforderlich.

Weitere Informationen zu dieser Sicherheitsanfälligkeit, zu betroffenen Produkten und zu empfohlenen Maßnahmen finden Sie in der folgenden Sicherheitsempfehlung:

• ADV180016 – Microsoft-Leitfaden für Lazy FP State Restore

Am 12. Juni hat Microsoft die Unterstützung von Windows für Speculative Store Bypass Disable (SSBD) in Intel-Prozessoren angekündigt. Die Updates erfordern entsprechende Firmware (Microcode)- und Registrierungsupdates. Informationen zu den Updates und zu den erforderlichen Schritten zum Aktivieren von SSBD finden Sie im Abschnitt „Empfohlene Maßnahmen“ und in ADV180012 | Leitfaden von Microsoft für Speculative Store Bypass.

Windows-Betriebssystemupdates vom Mai 2018

Im Januar 2018 hat Microsoft Informationen über eine neu entdeckte Klasse von Hardwaresicherheitsanfälligeiten veröffentlicht (die als Spectre und Meltdown bezeichnet werden). Hierbei handelt es sich um spekulative ausführungsseitige Channelangriffe, die AMD-, ARM- und Intel-CPUs in unterschiedlichem Ausmaß betreffen. Am 21. Mai 2018 haben Google Project Zero (GPZ), Microsoft und Intel zwei neue Chipsicherheitsanfälligkeiten im Zusammenhang mit Spectre und Meltdown veröffentlicht, die als Speculative Store Bypass (SSB) und Rogue System Register Read bezeichnet werden.

Für Kunden besteht bei beiden Sicherheitsanfälligkeiten ein geringes Risiko.

Weitere Informationen zu diesen Sicherheitsanfälligkeiten finden Sie in den folgenden Ressourcen:

• Microsoft-Sicherheitsempfehlung für Speculative Store Bypass: MSRC ADV180012 und CVE-2018-3639

• Microsoft-Sicherheitsempfehlung für Rogue System Register Read: MSRC ADV180013und CVE-2018-3640

• Sicherheitsforschung und -verteidigung: Analyse und Entschärfung von Speculative Store Bypass (CVE-2018-3639)

Gilt für: Windows 10, Version 1607, Windows Server 2016, Windows Server 2016 (Server Core-Installation) und Windows Server, Version 1709 (Server Core-Installation)

Wir haben Unterstützung bereitgestellt, um die Verwendung von Indirect Branch Prediction Barrier (IBPB) in einigen AMD-Prozessoren (CPUs) zu steuern, um CVE-2017-5715Spectre Variante 2 zu verringern, wenn Sie vom Benutzerkontext zum Kernelkontext wechseln. (Weitere Informationen finden Sie unter AMD Architecture Guidelines around Indirect Branch Control (AMD-Richtlinien zur Architektur bezüglich Indirect Branch Control) und in den AMD-Sicherheitsupdates).

Kunden, die Windows 10, Version 1607, Windows Server 2016, Windows Server 2016 (Server Core-Installation) oder Windows Server, Version 1709 (Server Core-Installation) ausführen, müssen das Sicherheitsupdate 4103723 installieren, um das Risiko von CVE-2017-5715, Branch Target Injection, für AMD-Prozessoren zu reduzieren. Dieses Update ist auch über Windows Update verfügbar.

Befolgen Sie die Anweisungen in KB 4073119 für den Windows-Client (IT Pro) und KB 4072698 für Windows Server, um die Verwendung von IBPB für bestimmte AMD-Prozessoren (CPUs) zu aktivieren und das Risiko von Spectre Variante 2 beim Umschalten vom Benutzerkontext auf den Kernelkontext zu reduzieren.

Microsoft stellt von Intel validierte Microcodeupdates im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) zur Verfügung. Um die neuesten Microcodeupdates von Intel über Windows Update zu beziehen, müssen Kunden Microcode von Intel auf Geräten unter einem Windows 10-Betriebssystem installieren, bevor sie ein Upgrade auf Windows 10 April 2018 Update (Version 1803) durchführen können.

Das Microcodeupdate ist auch direkt über den Microsoft Update-Katalog verfügbar, falls es vor dem Upgrade des Betriebssystems nicht auf dem Gerät installiert wurde. Microcode von Intel ist über Windows Update, WSUS oder den Microsoft Update-Katalog verfügbar. Weitere Informationen und Anweisungen zum Herunterladen finden Sie unter KB 4100347.

Wir werden zusätzliche Microcodeupdates von Intel für das Windows-Betriebssystem anbieten, sobald diese Microsoft zur Verfügung stehen.

Gilt für: Windows 10, Version 1709

Wir bieten Support, um die Verwendung von Indirect Branch Prediction Barrier (IBPB) für bestimmte AMD-Prozessoren (CPUs) zu kontrollieren und das Risiko von CVE-2017-5715, Spectre Variante 2, beim Umschalten vom Benutzerkontext auf den Kernelkontext zu reduzieren. (Weitere Informationen finden Sie unter AMD Architecture Guidelines around Indirect Branch Control (AMD-Richtlinien zur Architektur bezüglich Indirect Branch Control) und in den AMD-Sicherheitsupdates).

Befolgen Sie die Anweisungen in KB 4073119 für den Windows-Client (IT Pro), um die Verwendung von IBPB für bestimmte AMD-Prozessoren (CPUs) zu aktivieren und das Risiko von Spectre Variante 2 beim Umschalten vom Benutzerkontext auf den Kernelkontext zu reduzieren.

Microsoft stellt von Intel validierte Microcodeupdates im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) zur Verfügung. KB4093836 listet bestimmte Wissensdatenbank-Artikel nach Windows-Version auf. Jeder KB-Artikel enthält die neuesten verfügbaren Microcodeupdates von Intel nach CPU.

Wir werden zusätzliche Microcodeupdates von Intel für das Windows-Betriebssystem anbieten, sobald diese Microsoft zur Verfügung stehen. 

Windows-Betriebssystemupdates vom März 2018 und später

23. März, TechNet Security Research & Defense: KVA Shadow: Minderung von Meltdowns unter Windows

14. März, Security Tech Center: Bedingungen für das Bounty-Programm des Seitenkanals für spekulative Ausführung

13. März, Blog: März 2018 Windows-Sicherheits-Update – Erweiterung unserer Bemühungen zum Schutz von Kunden

1. März, Blog: Update für Spectre- und Meltdown-Sicherheitsupdates für Windows-Geräte

Ab März 2018 veröffentlicht Microsoft Sicherheitsupdates, um Risikominderungen für Geräte bereitzustellen, auf denen die folgenden x86-basierten Windows-Betriebssysteme ausgeführt werden. Kunden sollten die neuesten Sicherheitsupdates für das Windows-Betriebssystem installieren, um von verfügbaren Schutzmaßnahmen zu profitieren. Wir arbeiten daran, Schutzmaßnahmen für andere unterstützte Windows-Versionen bereitzustellen, aber derzeit gibt es keinen Zeitplan für die Veröffentlichung von Updates. Schauen Sie bitte regelmäßig hier nach, ob Updates verfügbar sind. Weitere Informationen finden Sie im entsprechenden Wissensdatenbank-Artikel und im Abschnitt „Häufig gestellte Fragen“.

Veröffentlichtes Produktupdate	Status	Datum der Veröffentlichung	Veröffentlichungskanal	KB
Windows 8.1 und Windows Server 2012 R2 – Reines Sicherheitsupdate	Released	13. März	WSUS, Katalog	KB4088879
Windows 7 SP1 und Windows Server 2008 R2 SP1 – Reines Sicherheitsupdate	Released	13. März	WSUS, Katalog	KB4088878
Windows Server 2012 – Sicherheitsupdate Windows 8 Embedded Standard Edition – Sicherheitsupdate	Released	13. März	WSUS, Katalog	KB4088877
Windows 8.1 und Windows Server 2012 R2 – Monatlicher Rollup	Released	13. März	WU, WSUS, Katalog	KB4088876
Windows 7 SP1 und Windows Server 2008 R2 SP1 – Monatlicher Rollup	Released	13. März	WU, WSUS, Katalog	KB4088875
Windows Server 2012 – Monatliches Rollup Windows 8 Eingebettete Standardedition – Monatliches Rollup	Released	13. März	WU, WSUS, Katalog	KB4088877
Windows Server 2008 SP2	Released	13. März	WU, WSUS, Katalog	KB4090450

Ab März 2018 veröffentlicht Microsoft Sicherheitsupdates, um Risikominderungen für Geräte bereitzustellen, auf denen die folgenden x64-basierten Windows-Betriebssysteme ausgeführt werden. Kunden sollten die neuesten Sicherheitsupdates für das Windows-Betriebssystem installieren, um von verfügbaren Schutzmaßnahmen zu profitieren. Wir arbeiten daran, Schutzmaßnahmen für andere unterstützte Windows-Versionen bereitzustellen, aber derzeit gibt es keinen Zeitplan für die Veröffentlichung von Updates. Schauen Sie bitte regelmäßig hier nach, ob Updates verfügbar sind. Weitere Informationen finden Sie im entsprechenden Wissensdatenbank-Artikel und im Abschnitt „Häufig gestellte Fragen“.

Veröffentlichtes Produktupdate	Status	Datum der Veröffentlichung	Veröffentlichungskanal	KB
Windows Server 2012 – Sicherheitsupdate Windows 8 Embedded Standard Edition – Sicherheitsupdate	Released	13. März	WSUS, Katalog	KB4088877
Windows Server 2012 – Monatliches Rollup Windows 8 Eingebettete Standardedition – Monatliches Rollup	Released	13. März	WU, WSUS, Katalog	KB4088877
Windows Server 2008 SP2	Released	13. März	WU, WSUS, Katalog	KB4090450

Dieses Update behebt eine Sicherheitsanfälligkeit bezüglich Rechteerweiterungen im Windows-Kernel der 64-Bit-Version (x64) von Windows. Diese Sicherheitsanfälligkeit ist in CVE-2018-1038 dokumentiert. Benutzer müssen dieses Update anwenden, um vor dieser Sicherheitsanfälligkeit vollständig geschützt zu sein, falls ihre Computer im Januar 2018 oder danach durch die Installation eines der im folgenden Knowledge Base-Artikel aufgelisteten Updates aktualisiert wurden:

Windows-Kernel-Update für CVE-2018-1038

Dieses Sicherheitsupdate behebt mehrere gemeldete Sicherheitsanfälligkeiten in Internet Explorer. Weitere Informationen zu diesen Sicherheitsanfälligkeiten finden Sie in den Microsoft-CVEs (Common Vulnerabilities and Exposures). 

Veröffentlichtes Produktupdate	Status	Datum der Veröffentlichung	Veröffentlichungskanal	KB
Internet Explorer 10 – Kumulatives Update für Windows 8 Embedded Standard Edition	Released	13. März	WU, WSUS, Katalog	KB4089187

Windows-Betriebssystemupdates vom Februar 2018

Blog: Windows Analytics hilft jetzt bei der Bewertung von Spectre- und Meltdown-Schutzmaßnahmen

Die folgenden Sicherheitsupdates bieten zusätzlichen Schutz für Geräte mit 32-Bit-Versionen (x86) des Windows-Betriebssystems Microsoft empfiehlt Kunden, das Update zu installieren, sobald es verfügbar ist. Wir arbeiten auch weiterhin daran, Schutzmaßnahmen für andere unterstützte Windows-Versionen bereitzustellen, aber derzeit gibt es keinen Zeitplan für die Veröffentlichung von Updates. Schauen Sie bitte regelmäßig hier nach, ob Updates verfügbar sind. 

Hinweis Die monatlichen Windows 10-Sicherheitsupdates sind von Monat zu Monat kumulativ und werden automatisch über Windows Update heruntergeladen und installiert. Wenn Sie frühere Updates installiert haben, werden nur die neuen Komponenten heruntergeladen und auf Ihrem Gerät installiert. Weitere Informationen finden Sie im entsprechenden Knowledge Base-Artikel und im Abschnitt Häufig gestellte Fragen.

Veröffentlichtes Produktupdate	Status	Datum der Veröffentlichung	Veröffentlichungskanal	KB
Windows 10 – Version 1709 / Windows Server 2016 (1709) / IoT Core – Qualitätsupdate	Released	31. Januar	WU, Katalog	KB4058258
Windows Server 2016 (1709) – Servercontainer	Released	13. Februar	Docker-Hub	KB4074588
Windows 10 – Version 1703 / IoT Core – Qualitätsupdate	Released	13. Februar	WU, WSUS, Katalog	KB4074592
Windows 10 – Version 1607 / Windows Server 2016 / IoT Core – Qualitätsupdate	Released	13. Februar	WU, WSUS, Katalog	KB4074590
Windows 10 HoloLens – Betriebssystem- und Firmwareupdates	Released	13. Februar	WU, Katalog	KB4074590
Windows Server 2016 (1607) – Containerimages	Released	13. Februar	Docker-Hub	KB4074590
Windows 10 – Version 1511 / IoT Core – Qualitätsupdate	Released	13. Februar	WU, WSUS, Katalog	KB4074591
Windows 10 – Version RTM – Qualitätsupdate	Released	13. Februar	WU, WSUS, Katalog	KB4074596

Windows-Betriebssystemupdates vom Januar 2018

Blog: Auswirkungen der Schutzmaßnahmen gegen Spectre und Meltdown auf die Leistung von Windows-Systemen

Seit Januar 2018 veröffentlicht Microsoft Sicherheitsupdates, um Risikominderungen für Geräte bereitzustellen, auf denen die folgenden x64-basierten Windows-Betriebssysteme ausgeführt werden. Kunden sollten die neuesten Sicherheitsupdates für das Windows-Betriebssystem installieren, um von verfügbaren Schutzmaßnahmen zu profitieren. Wir arbeiten daran, Schutzmaßnahmen für andere unterstützte Windows-Versionen bereitzustellen, aber derzeit gibt es keinen Zeitplan für die Veröffentlichung von Updates. Schauen Sie bitte regelmäßig hier nach, ob Updates verfügbar sind. Weitere Informationen finden Sie im entsprechenden Knowledge Base-Artikel und im Abschnitt Häufig gestellte Fragen.

Veröffentlichtes Produktupdate	Status	Datum der Veröffentlichung	Veröffentlichungskanal	KB
Windows 10 – Version 1709 / Windows Server 2016 (1709) / IoT Core – Qualitätsupdate	Released	3. Januar	WU, WSUS, Katalog, Azure Image Gallery	KB4056892
Windows Server 2016 (1709) – Servercontainer	Released	5. Januar	Docker-Hub	KB4056892
Windows 10 – Version 1703 / IoT Core – Qualitätsupdate	Released	3. Januar	WU, WSUS, Katalog	KB4056891
Windows 10 – Version 1607 / Windows Server 2016 / IoT Core – Qualitätsupdate	Released	3. Januar	WU, WSUS, Katalog	KB4056890
Windows Server 2016 (1607) – Containerimages	Released	4. Januar	Docker-Hub	KB4056890
Windows 10 – Version 1511 / IoT Core – Qualitätsupdate	Released	3. Januar	WU, WSUS, Katalog	KB4056888
Windows 10 – Version RTM – Qualitätsupdate	Released	3. Januar	WU, WSUS, Katalog	KB4056893
Windows 10 Mobile (Betriebssystembuild 15254.192) – ARM	Released	5. Januar	WU, Katalog	KB4073117
Windows 10 Mobile (Betriebssystembuild 15063.850)	Released	5. Januar	WU, Katalog	KB4056891
Windows 10 Mobile (BS-Build 14393.2007)	Released	5. Januar	WU, Katalog	KB4056890
Windows 10 HoloLens	Released	5. Januar	WU, Katalog	KB4056890
Windows 8.1 / Windows Server 2012 R2 – Reines Sicherheitsupdate	Released	3. Januar	WSUS, Katalog	KB4056898
Windows Embedded 8.1 Industry Enterprise	Released	3. Januar	WSUS, Katalog	KB4056898
Windows Embedded 8.1 Industry Pro	Released	3. Januar	WSUS, Katalog	KB4056898
Windows Embedded 8.1 Pro	Released	3. Januar	WSUS, Katalog	KB4056898
Windows 8.1/Windows Server 2012 R2 – Monatlicher Rollup	Released	8. Januar	WU, WSUS, Katalog	KB4056895
Windows Embedded 8.1 Industry Enterprise	Released	8. Januar	WU, WSUS, Katalog	KB4056895
Windows Embedded 8.1 Industry Pro	Released	8. Januar	WU, WSUS, Katalog	KB4056895
Windows Embedded 8.1 Pro	Released	8. Januar	WU, WSUS, Katalog	KB4056895
Windows Server 2012 – Reines Sicherheitsupdate	Released		WSUS, Katalog
Windows Server 2008 SP2	Released		WU, WSUS, Katalog
Windows Server 2012 – Monatlicher Rollup	Released		WU, WSUS, Katalog
Windows Embedded 8 Standard	Released		WU, WSUS, Katalog
Windows 7 SP1 / Windows Server 2008 R2 SP1 – Reines Sicherheitsupdate	Released	3. Januar	WSUS, Katalog	KB4056897
Windows Embedded Standard 7	Released	3. Januar	WSUS, Katalog	KB4056897
Windows Embedded POSReady 7	Released	3. Januar	WSUS, Katalog	KB4056897
Windows Thin PC	Released	3. Januar	WSUS, Katalog	KB4056897
Windows 7 SP1 / Windows Server 2008 R2 SP1 – Monatlicher Rollup	Released	4. Januar	WU, WSUS, Katalog	KB4056894
Windows Embedded Standard 7	Released	4. Januar	WU, WSUS, Katalog	KB4056894
Windows Embedded POSReady 7	Released	4. Januar	WU, WSUS, Katalog	KB4056894
Windows Thin PC	Released	4. Januar	WU, WSUS, Katalog	KB4056894
Internet Explorer 11 – Kumulatives Update für Windows 7 SP1 und Windows 8.1	Released	3. Januar	WU, WSUS, Katalog	KB4056568

Am 9. April 2024 haben wir CVE-2022-0001 | Intel Branch History Injection veröffentlicht. Darin wird Branch History Injection (BHI), eine spezielle Form von Intra-Mode-BTI, beschrieben. Dieses Sicherheitsrisiko tritt auf, wenn ein Angreifer vor dem Wechsel vom Benutzer- in den Supervisor-Modus, d. h. vom VMX-Non-Root-Modus (Gast) in den Root-Modus, den Verzweigungsverlauf manipulieren kann. Diese Manipulation könnte dazu führen, dass ein Prädiktor für indirekte Verzweigungen einen bestimmten Prädiktoreintrag für eine indirekte Verzweigung auswählt und ein Offenlegungsgadget am vorhergesagten Ziel vorübergehend ausgeführt wird. Dies kann möglich sein, weil der relevante Verzweigungsverlauf Verzweigungen enthalten kann, die in früheren Sicherheitskontexten und insbesondere in anderen Prädiktormodi vorgenommen wurden.

Befolgen Sie die Anweisungen im KB4073119-Leitfaden für Windows-Clients (für IT-Experten) bzw. im KB4072698-Leitfaden für Windows Server, um die in CVE-2022-0001 | Intel Branch History Injection beschriebenen Sicherheitsrisiken zu beheben.

Microsoft-Sicherheitsempfehlung für L1-Terminalfehler (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646

Sicherheitsforschung und -verteidigung: Analyse und Entschärfung spekulativer Speicherumgehungen (CVE-2018-3639)

Microsoft-Sicherheitsempfehlung für Speculative Store Bypass: MSRC ADV180012 und CVE-2018-3639

Microsoft-Sicherheitsempfehlung für Rogue System Register Read | Leitfaden für Sicherheitsupdates für Surface: MSRC ADV180013 und CVE-2018-3640

Sicherheitsforschung und -verteidigung: Analyse und Entschärfung von Speculative Store Bypass (CVE-2018-3639)

TechNet Security Research & Defense: KVA Shadow: Minderung von Meltdowns unter Windows

Security Tech Center: Bedingungen für das Bounty-Programm des Seitenkanals für spekulative Ausführung

Microsoft Experience-Blog: Update für Spectre- und Meltdown-Sicherheitsupdates für Windows-Geräte

Windows for Business-Blog: Windows Analytics hilft jetzt bei der Bewertung von Spectre- und Meltdown-Schutzmaßnahmen

Microsoft-Sicherheitsblog: Auswirkungen der Schutzmaßnahmen gegen Spectre und Meltdown auf die Leistung von Windows-Systemen

Edge-Entwicklerblog: Minderung von Angriffen auf spekulativ ausgeführte Seitenkanäle in Microsoft Edge und Internet Explorer

Azure-Blog: Schutz von Azure-Kunden vor CPU-Verletzlichkeit

SCCM-Leitfaden: Zusätzliche Anweisungen für die Risikominderung von Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen

Microsoft-Sicherheitsempfehlungen:

• ADV180002 | Anweisungen für die Risikominderung von Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen

• ADV180012 | Microsoft-Leitfaden für Speculative Store Bypass

• ADV180013 – Microsoft-Leitfaden für Rogue System Register Read

• ADV180016 – Microsoft-Leitfaden für Lazy FP State Restore

• ADV180018 | Microsoft-Leitfaden zur Risikominderung von L1TF-Varianten

Intel: Sicherheitsempfehlung

ARM: Sicherheitsempfehlung

ADM: Sicherheitsempfehlung

NVIDIA: Sicherheitsempfehlung

Kundenunterstützung: Schützen Sie Ihr Gerät vor Risiken durch Sicherheitslücken in Prozessoren

Antivirusunterstützung: Windows-Sicherheitsupdates vom 3. Januar 2018 und Antivirussoftware

Unterstützung bei Blockierung von Sicherheitsupdates auf AMD-Geräten: KB4073707: Blockierung bei Sicherheitsupdates für das Windows-Betriebssystem für manche AMD-basierte Geräte

Update zum Deaktivieren der Schutzmaßnahmen gegen Spectre, Variante 2: KB4078130: Intel hat Probleme beim Neustart mit Microcode auf einigen älteren Prozessoren identifiziert 

Surface-Unterstützung: Surface-Leitfaden für den Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen

Überprüfen Sie den Status der Risikominderungen spekulativ ausgeführter Seitenkanäle: Grundlegendes zur Get-SpeculationControlSettings PowerShell-Skriptausgabe

Leitfaden für IT-Experten: Leitfaden für IT-Experten zum Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen bei Windows-Clients

Server-Leitfaden: Windows Server-Leitfaden zum Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen

Serverleitfaden für L1-Terminalfehler: Windows Server-Leitfaden zum Schutz vor L1-Terminalfehlern

Entwicklerleitfaden: Entwicklerleitfaden für spekulative Speicherumgehung

Unterstützung für Server Hyper-V

• Ressourcenkontrollen für virtuelle Computer

• CPU-Ressourcenverwaltung für Hyper-V Host

Azure-KB: KB4073235: Microsoft Cloud-Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen

Unterstützung für Azure Stack: KB4073418: Azure Stack-Leitfaden für den Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen

Azure-Zuverlässigkeit: Azure-Zuverlässigkeitsportal

SQL Server-Leitfaden: KB4073225: SQL Server-Leitfaden für den Schutz vor Sicherheitsanfälligkeiten von spekulativ ausgeführten Seitenkanälen

Links zu OEM- und Server-Geräteherstellern bezüglich Updates zum Schutz vor den Sicherheitsanfälligkeiten Spectre und Meltdown

Zur Behebung dieser Sicherheitsanfälligkeiten müssen Sie sowohl Ihre Hardware als auch Ihre Software aktualisieren. Erkundigen Sie sich mithilfe der folgenden Links bei Ihrem Gerätehersteller nach entsprechenden Firmware (Microcode)-Updates.

Erkundigen Sie sich mithilfe der folgenden Links bei Ihrem Gerätehersteller nach Firmware (Microcode)-Updates. Sie müssen sowohl Betriebssystem- als auch Firmware (Microcode)-Updates für alle verfügbaren Schutzmechanismen installieren.

OEM-Gerätehersteller	Link für Microcodeverfügbarkeit
Acer	Meltdown- und Spectre-Sicherheitsanfälligkeiten
Asus	ASUS-Update für spekulative Ausführung und Indirect Branch Prediction Side Channel Analysis Method
Dell	Meltdown- und Spectre-Sicherheitsanfälligkeiten
Epson	CPU-Sicherheitsanfälligkeiten (Angriffe auf Seitenkanäle)
Fujitsu	CPU-Hardware anfällig für Seitenkanalangriffe (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HP	SUPPORTKOMMUNIKATION – SICHERHEITSBULLETIN
Lenovo	Lesen von privilegiertem Speicher mit einem Seitenkanal
LG	Produkthilfe und -support abrufen
NEC	Zur Reaktion auf die Sicherheitsanfälligkeit des Prozessors (Meltdown, Spektrum) in unseren Produkten
Panasonic	Sicherheitsinformationen zu Sicherheitsanfälligkeiten durch spekulative Ausführung und Indirect Branch Prediction Side Channel Analysis Method
Samsung	Intel CPUs Software-Updateankündigung
Oberfläche	Leitfaden zu Surface für den Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten
Toshiba	Intel, AMD & Microsoft spekulative Ausführung und Indirect Branch Prediction Side Channel Analysis Method-Sicherheitsanfälligkeiten (2017)
Vaio	Zur Sicherheitsanfälligkeit-Support für die Seitenkanalanalyse

OEM-Serverhersteller	Link für Microcodeverfügbarkeit
Dell	Meltdown- und Spectre-Sicherheitsanfälligkeiten
Fujitsu	CPU-Hardware anfällig für Seitenkanalangriffe (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HPE	Hewlett Packard Enterprise Product Security Vulnerability Alerts
Huawei	Sicherheitshinweis – Erklärung zur Veröffentlichung der Sicherheitsanfälligkeiten in den Medien im Intel CPU Architecture Design
Lenovo	Lesen von privilegiertem Speicher mit einem Seitenkanal

Sie müssen sich beim Gerätehersteller nach Firmware (Microcode)-Updates erkundigen. Wenn Ihr Gerätehersteller nicht in der Tabelle aufgeführt ist, wenden Sie sich direkt an Ihren OEM.

Kunden erhalten Updates für Microsoft Surface-Geräte über Windows Update. Eine Liste der verfügbaren Firmware (Microcode)-Updates für Surface-Geräte finden Sie in KB 4073065.

Wenn Ihr Gerät nicht von Microsoft stammt, wenden Sie die Firmwareupdates des Geräteherstellers an. Weitere Informationen erhalten Sie von Ihrem Gerätehersteller.

Die Behebung einer Sicherheitsanfälligkeit bei Hardware mithilfe eines Softwareupdates stellt eine erhebliche Herausforderung dar, und Risikominderungen für ältere Betriebssysteme können umfangreiche Änderungen bei der Architektur erforderlich machen. Wir arbeiten eng mit den betroffenen Prozessorchipherstellern zusammen, um die bestmögliche Methode für Risikominderungen zu analysieren, die in einem zukünftigen Update bereitgestellt werden können. Durch das Ersetzen älterer Geräte mit diesen älteren Betriebssystemen sowie durch das Aktualisieren der Antivirensoftware sollten die verbleibenden Risiken beseitigt werden.

Obwohl Systeme unter Windows XP betroffene Produkte sind, veröffentlicht Microsoft für dieses Problem kein Update, da die erforderlichen umfassenden Architekturänderungen die Systemstabilität gefährden und Kompatibilitätsprobleme bei Anwendungen verursachen würden. Wir empfehlen sicherheitsbewussten Kunden, ein Upgrade auf ein neueres Betriebssystem vorzunehmen, um mit den sich ändernden Sicherheitsbedrohungen Schritt zu halten und von den robusteren Schutzmechanismen zu profitieren, die neuere Betriebssysteme bieten.

Updates für Windows 10 für HoloLens stehen HoloLens-Kunden über Windows Update zur Verfügung.

Nach der Installation des Windows-Sicherheitsupdates vom Februar 2018 müssen HoloLens-Kunden keine zusätzlichen Schritte ausführen, um die Firmware ihrer Geräte zu aktualisieren. Diese Risikominderungen werden auch in allen zukünftigen Versionen von Windows 10 für HoloLens enthalten sein.

Wenden Sie sich an Ihren OEM, um weitere Informationen zu erhalten.

Für den umfassenden Schutz Ihres Geräts sollten Sie die neuesten Sicherheitsupdates für das Windows-Betriebssystem für Ihr Gerät sowie entsprechende Firmware (Microcode)-Updates Ihres Geräteherstellers installieren. Diese Updates sollten auf der Website des Geräteherstellers verfügbar sein. Updates für Antivirensoftware sollten zuerst installiert werden. Betriebssystem- und Firmwareupdates können in beliebiger Reihenfolge installiert werden.

Zur Behebung dieser Sicherheitsanfälligkeit müssen Sie sowohl Ihre Hardware als auch Ihre Software aktualisieren. Für einen umfassenderen Schutz müssen Sie zudem entsprechende Firmwareupdates (Microcode) von Ihrem Gerätehersteller installieren. Wir empfehlen, Ihre Geräte auf dem neuesten Stand zu halten, indem Sie jeden Monat die Sicherheitsupdates installieren.

In jedem Windows 10-Funktionsupdate integrieren wir die neuesten Sicherheitstechnologien in das Betriebssystem und stellen so Features mit umfassendem Schutz bereit, die auf Ihrem Gerät Schäden durch etliche Arten von Schadsoftware verhindern. Funktionsupdates werden möglichst zweimal pro Jahr veröffentlicht. In jedem einzelnen monatlichen Qualitätsupdate fügen wir eine weitere Sicherheitsebene hinzu, die an die neuesten Arten von Schadsoftware angepasst ist und so aktuelle Systeme auf dem neuesten Stand hält und vor Bedrohungen schützt.

Microsoft hat die Antiviren-Kompatibilitätsüberprüfung für die Windows-Sicherheitsupdates für unterstützte Versionen von Geräten unter Windows 10, Windows 8.1 und Windows 7 SP1 über Windows Update aufgehoben. 

Empfehlungen:

• Stellen Sie sicher, dass Ihre Geräte auf dem neuesten Stand sind, indem die neuesten Sicherheitsupdates von Microsoft und von Ihrem Hardwarehersteller installiert sind. Weitere Informationen darüber, wie Sie Ihr Gerät auf dem neuesten Stand halten, finden Sie unter Windows Update: Häufig gestellte Fragen.

• Seien Sie auch weiterhin vorsichtig, wenn Sie Websites unbekannter Herkunft besuchen, und verweilen Sie nicht auf Websites, denen Sie nicht vertrauen. Microsoft empfiehlt allen Kunden, ihre Geräte mit einem unterstützten Antivirenprogramm zu schützen. Kunden können ebenfalls den integrierten Virenschutz nutzen: Windows Defender für Windows 10-Geräte oder Microsoft Security Essentials für Windows 7. Diese Lösungen sind in Fällen kompatibel, in denen Kunden keine Antivirensoftware installieren oder ausführen können.

Um negative Auswirkungen auf die Geräte von Kunden zu vermeiden, wurden die im Januar oder Februar veröffentlichten Windows-Sicherheitsupdates nicht allen Kunden angeboten. Details finden Sie im Microsoft Wissensdatenbank-Artikel 4072699. 

Intel meldet Probleme mit dem kürzlich veröffentlichten Microcode, durch den das Problem mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) behoben werden soll. Intel hat festgestellt, dass dieser Microcode zu einer „höheren Anzahl von Neustarts als erwartet sowie zu sonstigem unberechenbarem Systemverhalten“ führen kann, und weist außerdem darauf hin, dass derartige Situationen „Datenverlust oder ‑beschädigung“ zur Folge haben können.  Aus eigener Erfahrung wissen wir, dass Systeminstabilität in bestimmten Fällen Datenverlust oder Datenbeschädigung nach sich ziehen kann. Am 22. Januar hat Intel Kunden empfohlen, die Bereitstellung der aktuellen Microcodeversion für betroffene Prozessoren so lange auszusetzen, bis Intel zusätzliche Tests für die aktualisierte Lösung ausgeführt hat. Uns ist bewusst, dass Intel die potenziellen Auswirkungen der aktuellen Microcodeversion weiter untersucht, und möchten die Kunden bitten, sich die jeweils aktuellsten Informationen zu diesem Thema zu besorgen, damit sie informierte Entscheidungen treffen können.

Während von Intel neuer Microcode getestet, aktualisiert und bereitgestellt wird, stellen wir das Out-of-Band (OOB)-Update KB 4078130 zur Verfügung, mit dem nur die Risikominderung für CVE-2017-5715 – „Branch Target Injection“ deaktiviert wird. Unsere Tests haben ergeben, dass dieses Update das beschriebene Verhalten verhindert. Eine komplette Liste der Geräte finden Sie unter Intel – Microcode Revision Guidance. Dieses Update betrifft Windows 7 (SP1), Windows 8.1 und alle Versionen von Windows 10 (Client und Server). Wenn Sie ein betroffenes Gerät haben, kann dieses Update von der Website für den Microsoft Update-Katalog heruntergeladen werden. Durch Anwenden dieses Updates wird nur die Risikominderung für CVE-2017-5715 – „Branch Target Injection“ deaktiviert. 

Mit Stand 25. Januar gibt es keine Hinweise darauf, dass Spectre Variante 2 (CVE-2017-5715) zu Angriffen auf Kunden genutzt wurde. Wir empfehlen Benutzern von Windows, gegebenenfalls die Risikominderung für CVE-2017-5715 erneut zu aktivieren, sobald Intel meldet, dass dieses unvorhersehbare Systemverhalten für ihr Gerät behoben wurde.

Nein. Reine Sicherheitsupdates sind nicht kumulativ. In Abhängigkeit von der ausgeführten Betriebssystemversion müssen Sie alle veröffentlichten reinen Sicherheitsupdates installieren, um vor diesen Sicherheitsanfälligkeiten geschützt zu sein. Wenn Sie beispielsweise Windows 7 für 32-Bit-Systeme auf einer betroffenen Intel-CPU ausführen, müssen Sie alle reinen Sicherheitsupdates ab Januar 2018 installieren. Wir empfehlen, diese reinen Sicherheitsupdates in der Reihenfolge ihrer Veröffentlichung zu installieren.
 
Hinweis In einer früheren Version dieser FAQ wurde fälschlicherweise darauf hingewiesen, dass das reine Sicherheitsupdate vom Februar die im Januar veröffentlichten Sicherheitsfixes beinhaltet. Dies ist nicht der Fall.

Nein. Das Sicherheitsupdate 4078130 war ein spezieller Fix, um unvorhersehbares Systemverhalten, Leistungsprobleme und unerwartete Neustarts nach der Installation von Microcode zu verhindern. Durch Anwenden der Sicherheitsupdates vom Februar unter Windows-Clientbetriebssystemen werden alle drei Risikominderungen aktiviert. Unter Windows-Serverbetriebssystemen müssen Sie noch die Risikominderungen aktivieren, nachdem entsprechende Tests durchgeführt wurden. Weitere Informationen finden Sie im Microsoft-Wissensdatenbank-Artikel 4072698.

AMD hat kürzlich bekanntgegeben, dass das Unternehmen mit der Veröffentlichung von Microcode für neuere CPU-Plattformen im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) begonnen hat. Weitere Informationen finden Sie unter AMD-Sicherheitsupdates und AMD Whitepaper: Architektur-Anleitungen zu Indirect Branch Control. Verfügbar sind diese über den OEM-Firmwarechannel. 

Intel hat kürzlich angekündigt, dass die Überprüfung abgeschlossen ist und mit der Veröffentlichung von Microcode für neuere CPU-Plattformen begonnen wurde. Microsoft stellt von Intel validierte Microcodeupdates im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) zur Verfügung. KB 4093836 enthält eine Liste mit Wissensdatenbank-Artikeln für die einzelnen Windows-Versionen. Jeder KB-Artikel enthält die verfügbaren Microcodeupdates von Intel nach CPU.

Microsoft stellt von Intel validierte Microcodeupdates im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) zur Verfügung. Um die neuesten Microcodeupdates von Intel über Windows Update zu beziehen, müssen Kunden Microcode von Intel auf Geräten unter einem Windows 10-Betriebssystem installieren, bevor sie ein Upgrade auf Windows 10 April 2018 Update (Version 1803) durchführen können.

Das Microcodeupdate ist auch direkt über den Microsoft Update-Katalog verfügbar, falls es vor dem Upgrade des Betriebssystems nicht auf dem Gerät installiert wurde. Microcode von Intel ist über Windows Update, WSUS oder den Microsoft Update-Katalog verfügbar. Weitere Informationen und Anweisungen zum Herunterladen finden Sie unter KB 4100347.

Weitere Informationen finden Sie in den folgenden Ressourcen:

• ADV180012 |Microsoft-Leitfaden für Speculative Speicherumgehung for CVE-2018-3639

• ADV180013 | Microsoft-Leitfaden für Rogue System Register Read für CVE-2018-3640 and KB 4073065 | Leitfaden für Surface-Kunden

• Microsoft Security Research and Defense-Blog

• Entwicklerleitfaden für Speculative Speicherumgehung

Weitere Informationen finden Sie in den Abschnitten „Empfohlene Maßnahmen“ und „Häufig gestellte Fragen (FAQ)“ in ADV180012 | Leitfaden von Microsoft für Speculative Store Bypass.

Zur Überprüfung des Status von SSBD wurde das PowerShell-Skript Get-SpeculationControlSettings aktualisiert, um betroffene Prozessoren, den Status der SSBD-Betriebssystemupdates und den Status des Prozessormicrocodes soweit zutreffend zu erkennen. Weitere Informationen und Informationen zum Abrufen des PowerShell-Skripts finden Sie unter KB4074629.

Am 13. Juni 2018 wurde eine zusätzliche Sicherheitsanfälligkeit im Zusammenhang mit der spekulativen Ausführung von Seitenkanälen gemeldet, die als Lazy FP State Restore bezeichnet und unter CVE-2018-3665 gelistet wird. Für „Lazy FP State Restore“ sind keine Konfigurationseinstellungen (Registrierung) erforderlich.

Weitere Informationen zu dieser Sicherheitsanfälligkeit und zu empfohlenen Maßnahmen finden Sie in der Sicherheitsempfehlung: ADV180016 | Leitfaden von Microsoft für „Lazy FP State Restore“

Hinweis Für „Lazy FP State Restore“ sind keine Konfigurationseinstellungen (Registrierung) erforderlich.

Bounds Check Bypass Store (BCBS) wurde am 10. Juli 2018 veröffentlicht und unter CVE-2018-3693 gelistet. Wir betrachten BCBS als zur selben Klasse von Sicherheitsanfälligkeiten gehörig wie Bounds Check Bypass (Variante 1). Uns sind derzeit keine BCBS-Instanzen in unserer Software bekannt. Wir untersuchen diese Klasse von Sicherheitsanfälligkeit jedoch weiter und werden gemeinsam mit Branchenpartnern bei Bedarf Risikominderungen veröffentlichen. Wir bitten Forscher auch weiterhin darum, relevante Ergebnisse an das Bounty-Programm für spekulative ausführungsseitige Channelangriffe von Microsoft zu senden, einschließlich etwaiger ausnutzbarer BCBS-Instanzen. Softwareentwicklern wird der für BCBS aktualisierte Entwicklerleitfaden unter folgender Adresse empfohlen: https://aka.ms/sescdevguideaktualisiert.

Am 14. August 2018 wurde L1-Terminalfehler (L1TF) angekündigt und mehreren CVEs zugewiesen. Mithilfe von spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten kann der Inhalt des Arbeitsspeichers über eine Vertrauensstellung hinaus ausgelesen werden, was zur Veröffentlichung von Informationen führen kann. Es gibt mehrere Angriffsvektoren, mit deren Hilfe ein Angreifer die Sicherheitsanfälligkeiten in Abhängigkeit von der konfigurierten Umgebung auslösen kann. L1TF betrifft Intel® Core®-Prozessoren und Intel® Xeon®-Prozessoren.

Weitere Informationen zu dieser Sicherheitsanfälligkeit und eine detaillierte Ansicht der betroffenen Szenarien, einschließlich des Ansatzes von Microsoft zur Risikominderung von L1TF finden Sie in den folgenden Ressourcen:

• ADV180018 | Microsoft-Leitfaden zur Risikominderung von L1TF-Varianten

• Security Advisory Security Research-Blog

• Serverleitfaden für L1-Terminalfehler

Kunden von Microsoft Surface: Kunden, die Microsoft Surface- und Surface Book-Produkte verwenden, müssen die Anweisungen für den Windows-Client befolgen, die in der Sicherheitsempfehlung beschrieben sind: ADV180018 | Leitfaden zur Risikominderung der L1TF-Variante. Weitere Informationen zu betroffenen Surface-Produkten und zur Verfügbarkeit der Microcode-Updates finden Sie im Microsoft Wissensdatenbank-Artikel 4073065.

Kunden von Microsoft Hololens: Microsoft HoloLens ist von L1TF nicht betroffen, da kein betroffener Intel-Prozessor verwendet wird.

Die erforderlichen Schritte zum Deaktivieren von Hypherthreading hängen vom jeweiligen OEM ab. Sie sind jedoch in der Regel Bestandteil des BIOS- oder Firmwaresetups und der Konfigurationstools.

Kunden, die 64-Bit-ARM-Prozessoren verwenden, sollten sich an den Geräte-OEM wegen Firmwaresupport wenden, da für Schutzmaßnahmen für ARM64-Betriebssysteme, die das Risiko von CVE-2017-5715 – Branch Target Injection (Spectre Variante 2) mindern, das neueste Firmwareupdate von Geräte-OEMs erforderlich ist, damit sie wirksam sind.

Ausführliche Informationen zu dieser Sicherheitsanfälligkeit finden Sie im Microsoft-Sicherheitshandbuch: CVE-2019-1125 | Windows-Kernelsicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen.

Uns ist kein Fall bekannt, dass diese Sicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen unsere Cloud Service-Infrastruktur beeinträchtigt.

Sobald wir dieses Problem festgestellt hatten, arbeiteten wir schnell an dessen Behebung und an der Veröffentlichung eines Updates. Wir sind fest von starken Partnerschaften mit Forschern und Branchenpartnern überzeugt, um die Sicherheit der Kunden zu optimieren. Deshalb haben wir erst am Dienstag, den 6. August, im Rahmen der koordinierten Veröffentlichungspraktiken für Sicherheitsanfälligkeiten Details veröffentlicht.