Leitfaden für IT-Experten zum Schutz vor spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten bei Windows-Clients

Empfohlene Maßnahmen

Kunden müssen folgende Maßnahmen zum Schutz gegen die Sicherheitsanfälligkeiten ergreifen:

  1. Wenden Sie alle verfügbaren Updates für Windows-Betriebssysteme an, einschließlich der monatlichen Windows-Sicherheitsupdates.

  2. Wenden Sie das entsprechende vom Gerätehersteller bereitgestellte Firmware (Microcode)-Update an.

  3. Analysieren Sie das Risiko für Ihre Umgebung anhand der Informationen in den Microsoft-Sicherheitsempfehlungen ADV180002, ADV180012, ADV190013 und in diesem Knowledge Base-Artikel.

  4. Führen Sie entsprechende Schritte anhand der Sicherheitsempfehlungen und Registrierungsschlüsselinformationen in diesem Knowledge Base-Artikel aus.

Hinweis Surface-Kunden erhalten ein Microcode-Update über Windows Update. Eine Liste der neuesten verfügbaren Firmware (Microcode)-Updates für Surface-Geräte finden Sie unter KB 4073065.

Risikominderungseinstellungen für Windows-Clients

In den Sicherheitsempfehlungen ADV180002ADV180012 und ADV190013 finden Sie Informationen zu den Risiken dieser Sicherheitsanfälligkeiten und zum Standardzustand der Risikominderungen für Windows-Clientsysteme. Die folgende Tabelle fasst den erforderlichen CPU-Microcode und den Standardzustand der Risikominderungen für Windows-Clients zusammen.

CVE

CPU-Microcode/Firmware erforderlich?

Standardzustand der Risikominderung

CVE-2017-5753

Nein

Standardmäßig aktiviert (keine Option zum Deaktivieren)

Weitere Informationen finden Sie unter ADV180002.

CVE-2017-5715

Ja

Standardmäßig aktiviert. Benutzer mit AMD-basierten Systemen finden in FAQ Nr. 15 und Benutzer mit ARM-Prozessoren in FAQ Nr. 20 unter ADV180002 weitere Hinweise zu zusätzlichen Maßnahmen und in diesem KB-Artikel Informationen zu den entsprechenden Registrierungsschlüsseleinstellungen.

Hinweis „Retpoline“ ist standardmäßig für Geräte aktiviert, auf denen Windows 10 1809 oder höher ausgeführt wird, wenn Spectre Variante 2 (CVE-2017-5715) aktiviert ist. Weitere Informationen zu „Retpoline“ finden Sie im BlogbeitragMitigating Spectre variant 2 with Retpoline on Windows.

CVE-2017-5754

Nein

Standardmäßig aktiviert

Weitere Informationen finden Sie unter ADV180002.

CVE-2018-3639

Intel: Ja
AMD: Nein
ARM: Ja

Intel und AMD: Standardmäßig deaktiviert. Siehe ADV180012 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.

ARM: Standardmäßig aktiviert (keine Option zum Deaktivieren).

CVE-2018-11091

Intel: Ja

Standardmäßig aktiviert.

Siehe ADV190013 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.

CVE-2018-12126

Intel: Ja

Standardmäßig aktiviert.

Siehe ADV190013 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.

CVE-2018-12127

Intel: Ja

Standardmäßig aktiviert.

Siehe ADV190013 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.

CVE-2018-12130

Intel: Ja

Standardmäßig aktiviert.

Siehe ADV190013 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.

CVE-2019-11135

Intel: Ja

Standardmäßig aktiviert.

Siehe CVE-2019-11135 für weitere Informationen und diesen KB-Artikel zu den entsprechenden Registrierungsschlüsseleinstellungen.


Hinweis Das Aktivieren von standardmäßig deaktivierten Risikominderungen kann die Leistung beeinträchtigen. Die tatsächliche Leistungsauswirkung hängt von mehreren Faktoren ab, wie beispielsweise vom jeweiligen Chipsatz im Gerät und den ausgeführten Workloads.

Registrierungseinstellungen

Mit den folgenden Registrierungsinformationen können Sie Risikominderungen aktivieren, die standardmäßig nicht aktiviert sind. Beachten Sie dazu die Sicherheitsempfehlungen ADV180002 und ADV180012. Außerdem finden Sie hier Registrierungsschlüsseleinstellungen, mit denen Sie die Risikominderungen im Zusammenhang mit CVE-2017-5715 und CVE-2017-5754 für Windows-Clients deaktivieren können.

Wichtig Dieser Abschnitt, diese Methode bzw. diese Aufgabe enthält eine Beschreibung der Schritte zum Bearbeiten der Registrierung. Durch die falsche Bearbeitung der Registrierung können schwerwiegende Probleme verursacht werden. Daher ist es wichtig, bei der Ausführung der folgenden Schritte sorgfältig vorzugehen. Als Schutzmaßnahme sollten Sie vor der Bearbeitung der Registrierung eine Sicherungskopie erstellen. So ist gewährleistet, dass Sie die Registrierung wiederherstellen können, falls ein Problem auftritt. Weitere Informationen zur Sicherung und Wiederherstellung der Registrierung finden Sie im folgenden Artikel der Microsoft Knowledge Base:

322756 Sichern und Wiederherstellen der Registrierung in Windows

Verwalten von Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

Wichtiger Hinweis„Retpoline“ ist auf Geräten unter Windows 10, Version 1809, standardmäßig aktiviert, wenn Spectre Variante 2 (CVE-2017-5715) aktiviert ist. Durch Aktivieren von „Retpoline“ unter der neuesten Version von Windows 10 kann die Leistung auf Geräten, auf denen Windows 10, Version 1809, ausgeführt wird, für Spectre Variante 2 insbesondere bei älteren Prozessoren verbessert werden.

So aktivieren Sie Standardrisikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So deaktivieren Sie Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Hinweis: Der Wert 3 für FeatureSettingsOverrideMask ist sowohl zum Aktivieren als auch Deaktivieren der Einstellungen korrekt. (Weitere Informationen zu Registrierungsschlüsseln finden Sie unter „Häufig gestellte Fragen“.)

Verwalten der Risikominderung für CVE-2017-5715 (Spectre Variante 2)

So deaktivieren Sie Risikominderungen für CVE-2017-5715 (Spectre Variante 2) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So aktivieren Sie Standardrisikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Nur AMD- und ARM-Prozessoren: Aktivieren der vollständigen Risikominderung für CVE-2017-5715 (Spectre Variante 2)

Der Schutz zwischen Benutzer und Kernel für CVE-2017-5715 ist für AMD- und ARM-CPUs standardmäßig deaktiviert. Kunden müssen die Risikominderung aktivieren, um zusätzlichen Schutz für CVE-2017-5715 zu erhalten. Weitere Informationen finden Sie unter FAQ Nr. 15 in ADV180002 für AMD-Prozessoren und FAQ Nr. 20 in ADV180002 für ARM-Prozessoren.

Aktivieren des Schutzes zwischen Benutzer und Kernel für AMD- und ARM-Prozessoren sowie anderer Schutzmaßnahmen für CVE-2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Verwalten von Risikominderungen für CVE-2018-3639 (Speculative Store Bypass), CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

So aktivieren Sie Risikominderungen für CVE-2018-3639 (Speculative Store Bypass), Standardrisikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Hinweis: AMD-Prozessoren sind nicht anfällig für CVE-2017-5754 (Meltdown). Dieser Registrierungsschlüssel wird in Systemen mit AMD-Prozessoren verwendet, um Standardrisikominderungen für CVE-2017-5715 für AMD-Prozessoren und die Risikominderung für CVE-2018-3639 zu aktivieren.

So deaktivieren Sie Risikominderungen für CVE-2018-3639 (Speculative Store Bypass) *und* Risikominderungen für CVE-2017-5715 (Spectre Variante 2) und CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Nur AMD-Prozessoren: Aktivieren der vollständigen Risikominderung für CVE-2017-5715 (Spectre Variante 2) und CVE-2018-3639 (Speculative Store Bypass)

Der Schutz zwischen Benutzer und Kernel für CVE-2017-5715 ist für AMD-Prozessoren standardmäßig deaktiviert. Kunden müssen die Risikominderung aktivieren, um zusätzlichen Schutz für CVE-2017-5715 zu erhalten.  Weitere Informationen finden Sie in FAQ Nr. 15 unter ADV180002.

Aktivieren des Schutzes zwischen Benutzer und Kernel für AMD-Prozessoren sowie anderer Schutzmaßnahmen für CVE-2017-5715 und Schutzmaßnahmen für CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Verwalten der Sicherheitsanfälligkeit bezüglich des Abbruchs asynchroner Transaktionen im Zusammenhang mit Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) und von Microarchitectural Data Sampling (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) zusammen mit den Varianten von Spectre (CVE-2017-5753 & CVE-2017-5715) und Meltdown (CVE-2017-5754), einschließlich Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) sowie L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646)

So aktivieren Sie Risikominderungen für die Sicherheitsanfälligkeit bezüglich des Abbruchs asynchroner Transaktionen im Zusammenhang mit Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) und für Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) zusammen mit den Varianten von Spectre (CVE-2017-5753 & CVE-2017-5715) und Meltdown (CVE-2017-5754), einschließlich Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) sowie L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646), ohne Hyperthreading zu deaktivieren:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So aktivieren Sie Risikominderungen für die Sicherheitsanfälligkeit bezüglich des Abbruchs asynchroner Transaktionen im Zusammenhang mit Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) und für Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) zusammen mit den Varianten von Spectre (CVE-2017-5753 & CVE-2017-5715) und Meltdown (CVE-2017-5754), einschließlich Store Bypass Disable (SSBD) (CVE-2018-3639) sowie L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646) mit deaktiviertem Hyperthreading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Fügen Sie die folgende Registrierungseinstellung hinzu, wenn das Hyper-V-Feature installiert ist:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

 

Wenn es sich um einen Hyper-V-Host handelt und die Firmwareupdates angewendet wurden: Fahren Sie alle virtuellen Computer vollständig herunter. Dabei wird die Firmware im Zusammenhang mit der Risikominderung auf dem Host angewendet, bevor die virtuellen Computer gestartet werden. Auf diese Weise werden die virtuellen Computer beim Neustart ebenfalls aktualisiert.

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

So deaktivieren Sie Risikominderungen für die Sicherheitsanfälligkeit bezüglich des Abbruchs asynchroner Transaktionen im Zusammenhang mit Intel® Transactional Synchronization Extensions (Intel® TSX) (CVE-2019-11135) und für Microarchitectural Data Sampling ( CVE-2018-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) zusammen mit den Varianten von Spectre (CVE-2017-5753 & CVE-2017-5715) und Meltdown (CVE-2017-5754), einschließlich Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) sowie L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 und CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Starten Sie den Computer neu, damit die Änderungen wirksam werden.

Sicherstellen, dass Schutzmaßnahmen aktiviert sind

Microsoft hat ein PowerShell-Skript veröffentlicht, das Kunden auf ihren Systemen ausführen können, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden. Führen Sie die folgenden Befehle aus, um das Skript zu installieren und auszuführen.

PowerShell-Überprüfung mithilfe des PowerShell-Katalogs (Windows Server 2016 oder WMF 5.0/5.1)

Installieren des PowerShell-Moduls:

PS> Install-Module SpeculationControl

Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden:

PS> # Aktuelle Ausführungsrichtlinie speichern, um sie zurücksetzen zu können

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Ausführungsrichtlinie in den Originalzustand zurückversetzen

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

 

PowerShell-Überprüfung mithilfe eines Technet-Downloads (ältere Betriebssystemversionen und ältere WMF-Versionen)

Installieren des PowerShell-Moduls über das Technet ScriptCenter:

Navigieren Sie zu https://aka.ms/SpeculationControlPS

Laden Sie die Datei „SpeculationControl.zip“ in einen lokalen Ordner herunter.

Extrahieren Sie den Inhalt der Datei in einen lokalen Ordner, wie z. B. „C:\ADV180002“.

Ausführen des PowerShell-Moduls, um sicherzustellen, dass Schutzmaßnahmen aktiviert wurden:

Starten Sie PowerShell. Anschließend müssen Sie (unter Verwendung des vorherigen Beispiels) die folgenden Befehle kopieren und ausführen:

PS> # Aktuelle Ausführungsrichtlinie speichern, um sie zurücksetzen zu können

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Ausführungsrichtlinie in den Originalzustand zurückversetzen

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser


Eine ausführliche Beschreibung der Ausgabe des PowerShell-Skripts finden Sie im Knowledge Base-Artikel 4074629.

Häufig gestellte Fragen

Der Microcode wird über ein Firmwareupdate bereitgestellt. Erkundigen Sie sich beim Hersteller der CPU (Chipsatz) bzw. des Geräts nach der Verfügbarkeit von Firmwaresicherheitsupdates für das jeweilige Gerät. Weitere Informationen finden Sie unter Intel – Microcode Revision Guidance.

Die Behebung einer Sicherheitsanfälligkeit bei Hardware mithilfe eines Softwareupdates stellt eine erhebliche Herausforderung dar. Risikominderungen für ältere Betriebssysteme können außerdem umfangreiche Änderungen bei der Architektur erforderlich machen. Wir arbeiten mit den betroffenen Prozessorchipherstellern zusammen, um die beste Methode zum Bereitstellen von Risikominderungen zu ermitteln, die in künftigen Updates enthalten sind.

Updates für Microsoft Surface-Geräte werden Kunden über Windows Update zusammen mit den Updates für Windows-Betriebssysteme bereitgestellt. Eine Liste der verfügbaren Firmware (Microcode)-Updates für Surface-Geräte finden Sie unter KB 4073065.

Wenn Ihr Gerät nicht von Microsoft ist, wenden Sie Firmware des Geräteherstellers an. Wenden Sie sich an den OEM-Gerätehersteller, um weitere Informationen zu erhalten.

Microsoft hat im Februar und März 2018 zusätzliche Schutzmaßnahmen für einige x86-basierte Systeme veröffentlicht. Weitere Informationen finden Sie unter KB 4073757 und in der Microsoft-Sicherheitsempfehlung ADV180002.

Updates für Windows 10 für HoloLens stehen HoloLens-Kunden über Windows Update zur Verfügung.

Nach der Installation des Windows-Sicherheitsupdates vom Februar 2018 müssen HoloLens-Kunden keine zusätzlichen Schritte ausführen, um die Firmware ihrer Geräte zu aktualisieren. Diese Risikominderungen werden auch in allen zukünftigen Versionen von Windows 10 für HoloLens enthalten sein.

Nein. Reine Sicherheitsupdates sind nicht kumulativ. In Abhängigkeit von der ausgeführten Betriebssystemversion müssen Sie alle monatlichen reinen Sicherheitsupdates installieren, um vor diesen Sicherheitsanfälligkeiten geschützt zu sein. Wenn Sie beispielsweise Windows 7 für 32-Bit-Systeme auf einer betroffenen Intel-CPU ausführen, müssen Sie alle reinen Sicherheitsupdates installieren. Wir empfehlen, diese reinen Sicherheitsupdates in der Reihenfolge ihrer Veröffentlichung zu installieren.

Hinweis: In einer früheren Version dieser FAQ wurde fälschlicherweise darauf hingewiesen, dass das reine Sicherheitsupdate vom Februar die im Januar veröffentlichten Sicherheitsfixes beinhaltet. Dies ist nicht der Fall.

Nein. Das Sicherheitsupdate 4078130 war ein spezieller Fix, um unvorhersehbares Systemverhalten, Leistungsprobleme und/oder unerwartete Neustarts nach der Installation von Microcode zu verhindern. Durch Anwenden der Sicherheitsupdates vom Februar unter Windows-Clientbetriebssystemen werden alle drei Risikominderungen aktiviert.

Intel hat kürzlich angekündigt, dass die Überprüfung abgeschlossen ist und mit der Veröffentlichung von Microcode für neuere CPU-Plattformen begonnen wurde. Microsoft stellt von Intel validierte Microcodeupdates im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) zur Verfügung. Unter KB 4093836 finden Sie eine Liste mit Knowledge Base-Artikeln für die einzelnen Windows-Versionen. Jeder KB-Artikel enthält die verfügbaren Microcodeupdates von Intel nach CPU.

Dieses Problem wurde in KB 4093118 behoben.

AMD hat kürzlich bekanntgegeben, dass das Unternehmen mit der Veröffentlichung von Microcode für neuere CPU-Plattformen im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) begonnen hat. Weitere Informationen finden Sie in den AMD-Sicherheitsupdates und im AMD-Whitepaper: Architecture Guidelines around Indirect Branch Control (Richtlinien zur Architektur bezüglich Indirect Branch Control). Verfügbar sind diese über den OEM-Firmwarechannel.

Wir stellen von Intel validierte Microcode-Updates im Zusammenhang mit Spectre Variante 2 (CVE-2017-5715 „Branch Target Injection“) zur Verfügung. Um die neuesten Microcodeupdates von Intel über Windows Update zu beziehen, müssen Kunden Microcode von Intel auf Geräten unter einem Windows 10-Betriebssystem installieren, bevor sie ein Upgrade auf Windows 10 April 2018 Update (Version 1803) durchführen können.

Das Microcodeupdate ist auch direkt über den Microsoft Update-Katalog verfügbar, falls es vor dem Upgrade des Betriebssystems nicht auf dem Gerät installiert wurde. Microcode von Intel ist über Windows Update, WSUS oder den Microsoft Update-Katalog verfügbar. Weitere Informationen und Anweisungen zum Herunterladen finden Sie unter KB 4100347.

Weitere Informationen finden Sie in den Abschnitten „Empfohlene Maßnahmen“ und „Häufig gestellte Fragen (FAQ)“ in ADV180012 | Leitfaden von Microsoft für Speculative Store Bypass.

Zur Überprüfung des Status von SSBD wurde das PowerShell-Skript „Get-SpeculationControlSettings“ aktualisiert, um betroffene Prozessoren, den Status der SSBD-Betriebssystemupdates und den Status des Prozessormicrocodes soweit zutreffend zu erkennen. Weitere Informationen und das PowerShell-Skript zum Herunterladen finden Sie unter KB 4074629.

Am 13. Juni 2018 wurde eine zusätzliche Sicherheitsanfälligkeit im Zusammenhang mit spekulativen ausführungsseitigen Channelangriffen gemeldet, die als Lazy FP State Restore bezeichnet und unter CVE-2018-3665 gelistet wird. Für „Lazy FP State Restore“ sind keine Konfigurationseinstellungen (Registrierung) erforderlich.

Weitere Informationen zu dieser Sicherheitsanfälligkeit und zu empfohlenen Maßnahmen finden Sie in der Sicherheitsempfehlung ADV180016 | Leitfaden von Microsoft für „Lazy FP State Restore“.

Hinweis: Für „Lazy FP State Restore“ sind keine Konfigurationseinstellungen (Registrierung) erforderlich.

Bounds Check Bypass Store (BCBS) wurde am 10. Juli 2018 veröffentlicht und unter CVE-2018-3693 gelistet. Wir betrachten BCBS als zur selben Klasse von Sicherheitsanfälligkeiten gehörig wie Bounds Check Bypass (Variante 1). Uns sind derzeit keine BCBS-Instanzen in unserer Software bekannt. Wir untersuchen diese Klasse von Sicherheitsanfälligkeit jedoch weiter und werden gemeinsam mit Branchenpartnern bei Bedarf Risikominderungen veröffentlichen. Wir bitten Forscher auch weiterhin darum, relevante Ergebnisse an das Bounty-Programm für spekulative ausführungsseitige Channelangriffe von Microsoft zu senden, einschließlich etwaiger ausnutzbarer BCBS-Instanzen. Softwareentwicklern wird der für BCBS aktualisierte Entwicklerleitfaden unter folgender Adresse empfohlen: https://aka.ms/sescdevguide.

Am 14. August 2018 wurde L1 Terminal Fault (L1TF) angekündigt und zu mehreren CVEs zugewiesen. Mithilfe von spekulativen ausführungsseitigen Channelsicherheitsanfälligkeiten kann der Inhalt des Arbeitsspeichers über eine Vertrauensstellung hinaus ausgelesen werden, was zur Veröffentlichung von Informationen führen kann. Es gibt mehrere Angriffsvektoren, mit deren Hilfe ein Angreifer die Sicherheitsanfälligkeiten in Abhängigkeit von der konfigurierten Umgebung auslösen kann. L1TF betrifft Intel® Core®-Prozessoren und Intel® Xeon®-Prozessoren.

Weitere Informationen zu dieser Sicherheitsanfälligkeit und eine detaillierte Ansicht der betroffenen Szenarien, einschließlich des Ansatzes von Microsoft zur Risikominderung von L1TF finden Sie in den folgenden Ressourcen:

Kunden, die 64-Bit-ARM-Prozessoren verwenden, sollten sich an den Geräte-OEM wegen Firmwaresupport wenden, da für Schutzmaßnahmen für ARM64-Betriebssysteme, die das Risiko von CVE-2017-5715 – Branch Target Injection (Spectre Variante 2) mindern, das neueste Firmwareupdate von Geräte-OEMs erforderlich ist, damit sie wirksam sind.

Weitere Informationen zur Aktivierung von „Retpoline“ finden Sie in unserem Blogbeitrag Mitigating Spectre variant 2 with Retpoline on Windows.

Details zu dieser Sicherheitsanfälligkeit finden Sie im Leitfaden für Sicherheitsupdates von Microsoft: CVE-2019-1125 | Sicherheitsanfälligkeit im Windows-Kernel bezüglich Veröffentlichung von Informationen.

Uns ist kein Fall bekannt, dass diese Sicherheitsanfälligkeit bezüglich der Veröffentlichung von Informationen unsere Cloud Service-Infrastruktur beeinträchtigt.

Sobald wir dieses Problem festgestellt hatten, arbeiteten wir schnell an dessen Behebung und an der Veröffentlichung eines Updates. Wir sind fest von starken Partnerschaften mit Forschern und Branchenpartnern überzeugt, um die Sicherheit der Kunden zu optimieren. Deshalb haben wir erst am Dienstag, den 6. August, im Rahmen der koordinierten Veröffentlichungspraktiken für Sicherheitsanfälligkeiten Details veröffentlicht.

 

Benötigen Sie weitere Hilfe?

Ihre Office-Fähigkeiten erweitern
Schulungen erkunden
Neue Funktionen als Erster erhalten
Microsoft Insider beitreten

War diese Information hilfreich?

Vielen Dank für Ihr Feedback!

Vielen Dank für Ihr Feedback. Es klingt, als ob es hilfreich sein könnte, Sie mit einem unserer Office-Supportmitarbeiter zu verbinden.

×