KB4073757: Proteger los dispositivos Windows frente a microarquitecturas basadas en silicon y vulnerabilidades de canal lateral de ejecución especulativa

Cambiar fecha	Cambiar descripción
9 de agosto de 2023	Se quitó el contenido sobre CVE-2022-23816 porque el número CVE no se usa Se ha quitado un tema duplicado titulado "Actualizaciones de microcódigo de Intel" en la sección "Pasos para ayudar a proteger los dispositivos Windows"
9 de abril de 2024	CVE-2022-0001 agregado | Inserción de historial de bifurcaciones de Intel

Para corregir estas vulnerabilidades, es posible que deba actualizar tanto el firmware (microcódigo) como el software. Consulte los Avisos de seguridad de Microsoft para ver las acciones recomendadas. Esto incluye las actualizaciones de firmware (microcódigo) aplicables de los fabricantes del dispositivo y, en algunos casos, actualizaciones del software antivirus. Te recomendamos mantener tus dispositivos actualizados instalando las actualizaciones de seguridad mensuales. 

Para obtener todas las protecciones disponibles, siga estos pasos y obtenga las actualizaciones más recientes de software y hardware:

1. Mantén actualizado el dispositivo activando las actualizaciones automáticas.

2. Compruebe que haya instalado la actualización de seguridad del sistema operativo de más reciente de Microsoft. Si las actualizaciones automáticas están activadas, las actualizaciones deberían enviarse automáticamente. Sin embargo, aún tendría que confirmar que están instaladas. Para obtener instrucciones, consulta Windows Update: Preguntas frecuentes

3. Instale las actualizaciones de firmware (microcódigo) del fabricante del dispositivo. Todos los clientes deberán consultar con el fabricante de su dispositivo para descargar e instalar la actualización de hardware específica de su dispositivo. Consulte la sección "Recursos adicionales" más abajo para obtener una lista de los sitios web de los fabricantes de dispositivos.

   Nota: Los clientes deben instalar las actualizaciones de seguridad más recientes del sistema operativo Windows de Microsoft para sacar provecho de las protecciones disponibles. Las actualizaciones del software antivirus se deben instalar en primer lugar. Después, las actualizaciones de sistema operativo y firmware. Te recomendamos mantener tus dispositivos actualizados instalando las actualizaciones de seguridad mensuales. 

Entre los chips afectados se incluye los fabricados por Intel, AMD y ARM. Ello significa que todos los dispositivos que ejecutan los sistemas operativos Windows son potencialmente vulnerables. Esto incluyes equipos de escritorio, portátiles, servidores de nube y smartphones. También se ven afectados los dispositivos que ejecutan a otros sistemas operativos, como Android, Chrome, iOS y macOS. Aconsejamos a los clientes que ejecutan estos sistemas operativos que pidan asistencia a dichos proveedores.

En el momento de la publicación de este artículo, todavía no habíamos recibido información que indique que estas vulnerabilidades se han usado para atacar a los clientes.

A partir de enero de 2018, Microsoft publicó actualizaciones para los sistemas operativos Windows, así como los exploradores Internet Explorer y Microsoft Edge, para ayudar a mitigar estas vulnerabilidades y a proteger a los clientes. También publicamos actualizaciones para proteger nuestros servicios en la nube.  Seguimos trabajando estrechamente con asociados del sector, como fabricantes de chips, fabricantes de equipos originales de hardware y proveedores de aplicaciones contra esta clase de vulnerabilidad. 

Le animamos a que siempre instale las actualizaciones mensuales para mantener sus dispositivos actualizados y protegidos. 

Actualizaremos este documento a medida que surjan nuevas mitigaciones y recomendamos que vuelva a consultar este sitio periódicamente. 

Actualizaciones del sistema operativo Windows de julio de 2019

El 6 de agosto de 2019, Intel dio a conocer detalles sobre la vulnerabilidad de seguridad CVE-2019-1125 | Vulnerabilidad de divulgación de información del kernel de Windows. Se publicaron actualizaciones de seguridad para esta vulnerabilidad como parte de la actualización de seguridad mensual de julio publicada el 9 de julio de 2019.

El 9 de julio de 2019 Microsoft publicó una actualización de seguridad para el sistema operativo Windows con el fin de ayudar a mitigar este problema. Aplazamos la documentación pública de esta mitigación hasta la divulgación coordinada en el sector del martes 6 de agosto de 2019.

Los clientes que tengan habilitado Windows Update y que hayan aplicado las actualizaciones de seguridad publicadas el 9 de julio de 2019 están protegidos automáticamente. Tenga en cuenta que esta vulnerabilidad no requiere una actualización del microcódigo del fabricante (OEM) del dispositivo.

Actualizaciones del sistema operativo Windows de mayo de 2019

El 14 de mayo de 2019, Intel publicó información acerca de una nueva subclase de vulnerabilidades del canal de ejecución especulativa, conocida como Muestreo de datos de microarquitectura y se asignaron los CVE siguientes:

• CVE-2018-11091: "Memoria no almacenable en caché de muestreo de datos de microarquitectura (MDSUM)"

• CVE-2018-12126: "Muestreo de datos de búfer de almacén de microarquitectura (MSBDS)"

• CVE-2018-12127: "Muestreo de datos de búfer de relleno de microarquitectura (MFBDS)"

• CVE-2018-12130: "Muestreo de datos de puerto de carga de microarquitectura (MLPDS)"

Para obtener más información sobre este problema, consulte el siguiente Aviso de seguridad y siga la guía basada en escenario que se describe en los artículos de la Guía de Microsoft para Client y Server para determinar cuáles son las acciones necesarias para mitigar la amenaza:

• ADV 190013: Guía de Microsoft para mitigar las vulnerabilidades de Muestreo de datos de microarquitectura

• KB 4073119: Guía para clientes profesionales de TI de Windows para que se protejan contra vulnerabilidades del canal lateral de ejecución especulativa

• KB 4457951 | Guía de Windows Server para la protección contra vulnerabilidades del canal lateral de ejecución especulativa

Microsoft ha publicado protecciones contra una nueva subclase de vulnerabilidades de canal lateral de ejecución especulativa que se conocen como Muestreo de datos de microarquitectura para versiones de Windows de 64 bits (x64) (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Usa la configuración del Registro tal y como se describe en los artículos Cliente de Windows (KB4073119) y Windows Server (KB4457951). Esta configuración del Registro está habilitada de forma predeterminada para las ediciones del sistema operativo cliente de Windows y las ediciones del sistema operativo Windows Server.

Antes de instalar cualquier actualización de microcódigo, recomendamos que instale primero las actualizaciones más recientes de Windows Update.

Para obtener más información sobre este problema y las acciones recomendadas, consulte el siguiente Aviso de seguridad: 

• ADV 190013: Guía de Microsoft para mitigar las vulnerabilidades de Muestreo de datos de microarquitectura

Intel ha publicado una actualización de microcódigo para plataformas de CPU recientes para ayudar a mitigar CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. La KB 4093836 de Windows del 14 de mayo de 2019 enumera artículos específicos de Knowledge Base por versión del sistema operativo Windows.  Este artículo también contiene vínculos a las actualizaciones de microcódigo de Intel disponibles según la CPU. Estas actualizaciones solo están disponibles a través del Catálogo de Microsoft.

Nota: Se recomienda instalar todas las actualizaciones más recientes de Windows Update antes de instalar las actualizaciones de microcódigo.

Nos complace anunciar que Retpoline está habilitado de forma predeterminada en dispositivos Windows 10, versión 1809 (para cliente y servidor) si la variante 2 de Spectre (CVE-2017-5715) está habilitada. Habilitar Retpoline en la versión más reciente de Windows 10 a través de la actualización del 14 de mayo de 2019 (KB 4494441) puede mejorar el rendimiento, sobre todo en procesadores antiguos.

Los clientes deben asegurarse de que las protecciones anteriores del sistema operativo frente a la vulnerabilidad de la variante 2 de Spectre estén habilitadas mediante la configuración del Registro descrita en los artículos Cliente de Windows y Windows Server. (Esta configuración del registro se habilita de forma predeterminada para ediciones de SO de Windows Client, pero se deshabilita de forma predeterminada en los SO edición Windows Server). Para obtener más información sobre "Retpoline", consulta: Mitigar la variante 2 de Spectre con Retpoline en Windows.

Actualizaciones del sistema operativo Windows de noviembre de 2018

Microsoft ha publicado protecciones del sistema operativo para Derivación de almacenamiento especulativo (CVE-2018-3639) para procesadores AMD (CPU).

Microsoft publicó protecciones del sistema operativo adicionales para los clientes que usan procesadores ARM de 64 bits. Consulta con el fabricante OEM del dispositivo la compatibilidad con el firmware, ya que las protecciones del sistema operativo de ARM64 que mitigan CVE-2018-3639, Derivación de almacenamiento especulativo, requieren la última actualización de firmware del OEM del dispositivo.

Actualizaciones del sistema operativo Windows de septiembre de 2018

El 11 de septiembre de 2018, Microsoft publicó el paquete acumulativo mensual 4458010 y seguridad únicamente 4457984 de Windows Server 2008 SP2 para Windows Server 2008 que proporciona protección contra una nueva vulnerabilidad de ejecución especulativa del canal lateral conocida como L1 Terminal Fault (L1TF) que afecta procesadores Intel® Core® e Intel® Xeon® (CVE-2018-3620 y CVE-2018-3646). 

Esta publicación completa las protecciones adicionales en todas las versiones de sistemas de Windows a través de Windows Update. Para obtener más información y una lista de los productos afectados, consulta ADV180018 | Guía de Microsoft para mitigar la variante L1TF.

Nota: Windows Server 2008 SP2 ahora sigue el modelo de paquete acumulativo de actualizaciones de servicios estándar de Windows. Para obtener más información sobre estos cambios, consulta nuestro blog Cambios de mantenimiento de Windows Server 2008 SP2. Los clientes que ejecutan Windows Server 2008 deben instalar 4458010 o 4457984, además de la actualización de seguridad 4341832, que se publicó el 14 de agosto de 2018. Los clientes también deben asegurarse de que las protecciones anteriores del sistema operativo frente a vulnerabilidades de la variante 2 de Spectre y Meltdown estén habilitadas mediante la configuración del Registro que se describe en los artículos KB Cliente de Windows y Windows Server Esta configuración del registro está habilitada por defecto en los SO edición cliente de Windows y deshabilitada por defecto en los SO edición Windows Server.

Microsoft publicó protecciones del sistema operativo adicionales para los clientes que usan procesadores ARM de 64 bits. Comprueba con el fabricante OEM del dispositivo si tienes soporte técnico del firmware, ya que las protecciones del sistema operativo de ARM64 que mitigan CVE-2017-5715: Inserción de destino de rama (variante 2 de Spectre) requieren la última actualización de firmware de los OEM del dispositivo para que surtan efecto.

Actualizaciones del sistema operativo Windows de agosto de 2018

El 14 de agosto de 2018 se anunció L1 Terminal Fault (L1TF) y se le asignaron varios CVE. Estas nuevas vulnerabilidades de canal lateral de ejecución especulativa pueden utilizarse para leer el contenido de la memoria a través de un límite de confianza y, si se explotan, pueden provocar que se divulgue información. Existen múltiples vectores por medio de los cuales un atacante podría activar las vulnerabilidades, según el entorno configurado. L1TF afecta a los procesadores de Intel® Core® e Intel® Xeon®.

Para obtener más información sobre L1TF y una vista detallada de los escenarios afectados, incluido el enfoque de Microsoft’ para mitigar la vulnerabilidad, consulte los siguientes recursos:

• ADV180018 | Instrucciones de Microsoft para mitigar la variante de L1TF

• Blog de investigación de seguridad de avisos de seguridad

• Guia de Server para errores de terminal L1

Actualizaciones del sistema operativo Windows de julio de 2018

Nos complace anunciar que Microsoft completó la publicación de protecciones adicionales en todas las versiones del SO Windows con soporte para las siguientes vulnerabilidades a través de Windows Update:

• Variante 2 de Spectre para procesadores AMD

• Speculative Store Bypass para procesadores Intel

El 13 de junio de 2018 se anunció una nueva vulnerabilidad relacionada con la ejecución especulativa del canal lateral, conocida como Restauración del estado de FP en diferido (Lazy FP State Restore), a la que se le asignó CVE-2018-3665. No se necesitan opciones de configuración (registro) para Lazy Restore FP Restore.

Para obtener más información sobre esta vulnerabilidad, los productos afectados y las acciones recomendadas, consulte el siguiente Aviso de seguridad:

• ADV180016 | Guía de Microsoft para Restauración del estado de FP en diferido

El 12 de junio, Microsoft anunció la compatibilidad de Windows para la deshabilitación de la derivación de almacenamiento especulativo (SSBD) en los procesadores de Intel. Para su funcionalidad, estas actualizaciones requieren las actualizaciones correspondientes del firmware (microcódigo) y del Registro. Para obtener información sobre las actualizaciones y los pasos que hay que seguir para activar SSBD, consulta la sección "Acciones recomendadas" en ADV180012 | Guía de Microsoft para Derivación de almacenamiento especulativo.

Actualizaciones del sistema operativo Windows de mayo de 2018

En enero de 2018, Microsoft divulgó información sobre una clase de vulnerabilidades de hardware recientemente descubierta (conocida como Spectre y Meltdown) que involucra  canales de ejecución especulativa que afectan a las CPU de Intel, ARM y AMD en diversos grados. El 21 de mayo de 2018 Google Project Zero (GPZ), Microsoft e Intel divulgaron dos nuevas vulnerabilidades de chip relacionadas con problemas de Spectre y Meltdown conocidas como Derivación de almacenamiento especulativo (Speculative Store Bypass, SSB) y Lectura de registros de sistemas no autorizados (Rogue System Register Read).

El riesgo que implican ambas divulgaciones para los clientes es bajo.

Para obtener más información sobre estas vulnerabilidades, consulte los siguientes recursos:

• Advertencia de seguridad de Microsoft para Derivación de almacenamiento especulativo: MSRC ADV180012 y CVE-2018-3639

• Advertencia de seguridad de Microsoft para Lectura de registros de sistemas no autorizados: MSRC ADV180013y CVE-2018-3640

• Investigación y defensa de seguridad: Análisis y mitigación de Derivación de almacenamiento especulativo (CVE-2018-3639)

Se aplica a: Windows 10, versión 1607, Windows Server 2016, Windows Server 2016 (instalación de Server Core) y Windows Server, versión 1709 (instalación de Server Core)

Hemos proporcionado compatibilidad para controlar el uso de Indirect Branch Prediction Barrier (IBPB) dentro de algunos procesadores AMD (CPU) para mitigar CVE-2017-5715, la variante 2 de Spectre al cambiar de un contexto de usuario a un contexto de kernel. (Para obtener más información, consulta Guía de arquitectura de AMD para Indirect Branch Control y las actualizaciones de seguridad de AMD).

Los clientes que ejecutan Windows 10, versión 1607, Windows Server 2016, Windows Server 2016 (instalación de Server Core) y Windows Server, versión 1709 (instalación de Server Core) deben instalar la actualización de seguridad 4103723 para obtener mitigaciones adicionales para los procesadores AMD en relación con CVE-2017-5715, Branch Target Injection. Esta actualización también está disponible a través de Windows Update.

Sigue las instrucciones que se indican en KB 4073119 en la Guía del cliente Windows (para profesionales de TI) y KB 4072698 en la Guía de Windows Server para habilitar el uso de IBPB dentro de algunos procesadores (CPU) AMD para mitigar la variante 2 de Spectre al cambiar de un contexto de usuario a un contexto de kernel.

Microsoft ha empezado a poner a disposición de sus usuarios las actualizaciones de microcódigo validadas por Intel de la variante 2 de Spectre (CVE-2017-5715 "Branch Target Injection"). Para obtener las actualizaciones más recientes de microcódigo de Intel a través de  Windows Update, los clientes deben haber instalado un microcódigo de Intel en dispositivos que ejecutan un sistema operativo de Windows 10 antes actualizarlo a la versión de abril de 2018 de Windows 10 (versión 1803).

La actualización de microcódigo también está disponible directamente desde el Catálogo si no se instaló en el dispositivo antes de actualizar el SO. El microcódigo de Intel está disponible a través de  Windows Update, de WSUS o del sitio web del Catálogo de Microsoft Update. Para obtener más información e instrucciones de descarga, consulta KB 4100347.

Ofreceremos actualizaciones adicionales del microcódigo de Intel para el sistema operativo Windows a medida que estén disponibles para Microsoft.

Se aplica a: Windows 10, versión 1709

Hemos proporcionado soporte técnico para controlar el uso de Indirect Branch Prediction Barrier (IBPB) dentro de algunos procesadores (CPU) AMD para mitigar CVE-2017-5715 , la variante 2 de Spectre al cambiar de un contexto de usuario a un contexto de kernel. (Para obtener más información, consulta Guía de arquitectura de AMD en relación con Indirect Branch Control y Actualizaciones de seguridad de AMD).

Sigue las instrucciones que se indican en KB 4073119 en la Guía del cliente Windows (para profesionales de TI) para habilitar el uso de IBPB en algunos procesadores (CPU) AMD para mitigar la variante 2 de Spectre al cambiar de un contexto de usuario a un contexto de kernel.

Microsoft pondrá a disposición de sus usuarios las actualizaciones de microcódigo de la variante 2 de Spectre (CVE-2017-5715 "inserción de destino de bifurcación") que haya validado Intel. KB4093836 enumera artículos de knowledge base específicos por versión de Windows. Cada artículo de KB contiene las actualizaciones disponibles de microcódigo de Intel según la CPU.

Ofreceremos actualizaciones adicionales del microcódigo de Intel para el sistema operativo Windows a medida que estén disponibles para Microsoft. 

Actualizaciones del sistema operativo Windows de marzo de 2018 y versiones posteriores

23 de marzo, TechNet Security Research & Defense: KVA Shadow: Mitigar Meltdown en Windows

14 de marzo, Security Tech Center: Términos del programa de recompensas del canal lateral de ejecución especulativa

13 de marzo, blog: Actualización de Seguridad de Windows de marzo de 2018: Redoblamos nuestros esfuerzos para proteger a los clientes

1 de marzo, blog: Actualización de las actualizaciones de seguridad de Spectre y Meltdown para dispositivos Windows

Desde marzo de 2018, Microsoft ha estado publicando actualizaciones de seguridad para mitigar riesgos en dispositivos que ejecutan los siguientes sistemas operativos Windows basados en x86. Los clientes deben instalar las actualizaciones de seguridad más recientes del sistema operativo Windows para sacar provecho de las protecciones disponibles. Trabajamos para proporcionar protecciones para otras versiones de Windows admitidas, pero no disponemos de una programación de publicación en estos momentos. Vuelva a consultar este sitio web para ver si hay actualizaciones. Para obtener más información, consulta el artículo de Knowledge Base relacionado con detalles técnicos y la sección "P+F".

Actualización de producto publicada	Estado	Fecha de lanzamiento	Canal de publicación	KB
Windows 8.1 y Windows Server 2012 R2: actualización solo de seguridad	Azure Virtual WAN	13 de marzo	WSUS, catálogo,	KB4088879
Windows 7 SP1 y Windows Server 2008 R2 SP1: actualización solo de seguridad	Azure Virtual WAN	13 de marzo	WSUS, catálogo	KB4088878
Windows Server 2012: Actualización solo de seguridad Windows 8 Embedded Standard Edition: Actualización solo de seguridad	Azure Virtual WAN	13 de marzo	WSUS, catálogo	KB4088877
Windows 8.1 y Windows Server 2012 R2: paquete acumulativo mensual	Azure Virtual WAN	13 de marzo	WU, WSUS, catálogo	KB4088876
Windows 7 SP1 y Windows Server 2008 R2 SP1: paquete acumulativo mensual	Azure Virtual WAN	13 de marzo	WU, WSUS, catálogo	KB4088875
Windows Server 2012: Paquete acumulativo mensual Windows 8 Embedded Standard Edition: Paquete acumulativo mensual	Azure Virtual WAN	13 de marzo	WU, WSUS, catálogo	KB4088877
Windows Server 2008 SP2	Azure Virtual WAN	13 de marzo	WU, WSUS, catálogo	KB4090450

Desde marzo de 2018, Microsoft ha estado publicando actualizaciones de seguridad para mitigar riesgos en dispositivos que ejecutan los siguientes sistemas operativos Windows basados en x64. Los clientes deben instalar las actualizaciones de seguridad más recientes del sistema operativo Windows para sacar provecho de las protecciones disponibles. Trabajamos para proporcionar protecciones para otras versiones de Windows admitidas, pero no disponemos de una programación de publicación en estos momentos. Vuelva a consultar este sitio web para ver si hay actualizaciones. Para obtener más información, consulta el artículo de Knowledge Base relacionado con detalles técnicos y la sección "P+F".

Actualización de producto publicada	Estado	Fecha de lanzamiento	Canal de publicación	KB
Windows Server 2012: Actualización solo de seguridad Windows 8 Embedded Standard Edition: Actualización solo de seguridad	Azure Virtual WAN	13 de marzo	WSUS, catálogo	KB4088877
Windows Server 2012: Paquete acumulativo mensual Windows 8 Embedded Standard Edition: Paquete acumulativo mensual	Azure Virtual WAN	13 de marzo	WU, WSUS, catálogo	KB4088877
Windows Server 2008 SP2	Azure Virtual WAN	13 de marzo	WU, WSUS, catálogo	KB4090450

Esta actualización resuelve una vulnerabilidad de elevación de privilegios en el kernel de Windows en la versión de 64 bits (x64) de Windows. Esta vulnerabilidad se documenta en CVE-2018-1038. Los usuarios deben aplicar esta actualización para obtener protección total contra esta vulnerabilidad si sus equipos se actualizaron en enero de 2018 o después de dicha fecha mediante la aplicación de cualquiera de las actualizaciones que se indican en el siguiente artículo de Knowledge Base:

Actualización del kernel de Windows para CVE-2018-1038

Esta actualización de seguridad resuelve varias vulnerabilidades de Internet Explorer de las que se ha informado. Para obtener más información sobre estas vulnerabilidades, consulta Vulnerabilidades y riesgos comunes de Microsoft. 

Actualización de producto publicada	Estado	Fecha de lanzamiento	Canal de publicación	KB
Internet Explorer 10: actualización acumulativa para Windows 8 Embedded Standard Edition	Azure Virtual WAN	13 de marzo	WU, WSUS, catálogo	KB4089187

Actualizaciones del sistema operativo Windows de febrero de 2018

Blog: Windows Analytics ahora ayuda a evaluar las protecciones de Spectre y Meltdown

Las siguientes actualizaciones de seguridad proporcionan protecciones adicionales para los dispositivos que ejecutan sistemas operativos Windows de 32 bits (x86). Microsoft recomienda que los clientes instale la actualización lo antes posible. Seguimos trabajando para proporcionar protecciones para otras versiones de Windows admitidas, pero no disponemos de una programación de publicación en estos momentos. Vuelva a consultar este sitio web para ver si hay actualizaciones. 

Nota Las actualizaciones de seguridad mensuales de Windows 10 se acumulan mes a mes y se descargarán e instalarán automáticamente desde Windows Update. Si instaló actualizaciones anteriores, solo se descargarán e instalarán en su dispositivo las nuevas partes. Para obtener más información, consulte el artículo de Knowledge Base relacionado y la sección "P+F".

Actualización de producto publicada	Estado	Fecha de lanzamiento	Canal de publicación	KB
Windows 10, versión 1709 / Windows Server 2016 (1709) / IoT Core: actualización de calidad	Azure Virtual WAN	31 de enero	WU, catálogo	KB4058258
Windows Server 2016 (1709): contenedor de servidor	Azure Virtual WAN	13 de febrero	Docker Hub	KB4074588
Windows 10, versión 1703 / IoT Core: actualización de calidad	Azure Virtual WAN	13 de febrero	WU, WSUS, catálogo	KB4074592
Windows 10, versión 1607 / Windows Server 2016 / IoT Core: actualización de calidad	Azure Virtual WAN	13 de febrero	WU, WSUS, catálogo	KB4074590
Windows 10 HoloLens: actualizaciones del SO y firmware	Azure Virtual WAN	13 de febrero	WU, catálogo	KB4074590
Windows Server 2016 (1607): imágenes de contenedor	Azure Virtual WAN	13 de febrero	Docker Hub	KB4074590
Windows 10, version 1511/IoT Core: actualización de calidad	Azure Virtual WAN	13 de febrero	WU, WSUS, catálogo	KB4074591
Windows 10, versión RTM: actualización de calidad	Azure Virtual WAN	13 de febrero	WU, WSUS, catálogo	KB4074596

Actualizaciones del sistema operativo Windows de enero de 2018

Blog: Descripción del impacto en el rendimiento de las mitigaciones de Spectre y Meltdown en sistemas Windows

A partir de enero de 2018, Microsoft publicó actualizaciones de seguridad que proporcionan mitigación para dispositivos que ejecutan los siguientes sistemas operativos Windows x64: Los clientes deben instalar las actualizaciones de seguridad más recientes del sistema operativo Windows para sacar provecho de las protecciones disponibles. Trabajamos para proporcionar protecciones para otras versiones de Windows admitidas, pero no disponemos de una programación de publicación en estos momentos. Vuelva a consultar este sitio web para ver si hay actualizaciones. Para obtener más información, consulte el artículo de Knowledge Base relacionado y la sección "P+F".

Actualización de producto publicada	Estado	Fecha de lanzamiento	Canal de publicación	KB
Windows 10, versión 1709 / Windows Server 2016 (1709) / IoT Core: actualización de calidad	Azure Virtual WAN	3 de enero	WU, WSUS, catálogo, galería de imágenes de Azure	KB4056892
Windows Server 2016 (1709): contenedor de servidor	Azure Virtual WAN	5 de enero	Docker Hub	KB4056892
Windows 10, versión 1703 / IoT Core: actualización de calidad	Azure Virtual WAN	3 de enero	WU, WSUS, catálogo	KB4056891
Windows 10, versión 1607 / Windows Server 2016 / IoT Core: actualización de calidad	Azure Virtual WAN	3 de enero	WU, WSUS, catálogo	KB4056890
Windows Server 2016 (1607): imágenes de contenedor	Azure Virtual WAN	4 de enero	Docker Hub	KB4056890
Windows 10, version 1511/IoT Core: actualización de calidad	Azure Virtual WAN	3 de enero	WU, WSUS, catálogo	KB4056888
Windows 10, versión RTM: actualización de calidad	Azure Virtual WAN	3 de enero	WU, WSUS, catálogo	KB4056893
Windows 10 Mobile (compilación del SO 15254.192): ARM	Azure Virtual WAN	5 de enero	WU, catálogo	KB4073117
Windows 10 Mobile (compilación del SO 15063.850)	Azure Virtual WAN	5 de enero	WU, catálogo	KB4056891
Windows 10 Mobile (compilación del SO 14393.2007)	Azure Virtual WAN	5 de enero	WU, catálogo	KB4056890
Windows 10 HoloLens	Azure Virtual WAN	5 de enero	WU, catálogo	KB4056890
Windows 8.1 / Windows Server 2012 R2: actualización de solo seguridad	Azure Virtual WAN	3 de enero	WSUS, catálogo	KB4056898
Windows Embedded 8.1 Industry Enterprise	Azure Virtual WAN	3 de enero	WSUS, catálogo	KB4056898
Windows Embedded 8.1 Industry Pro	Azure Virtual WAN	3 de enero	WSUS, catálogo	KB4056898
Windows Embedded 8.1 Pro	Azure Virtual WAN	3 de enero	WSUS, catálogo	KB4056898
Windows 8.1 / Windows Server 2012 R2: paquete acumulativo mensual	Azure Virtual WAN	8 de enero	WU, WSUS, catálogo	KB4056895
Windows Embedded 8.1 Industry Enterprise	Azure Virtual WAN	8 de enero	WU, WSUS, catálogo	KB4056895
Windows Embedded 8.1 Industry Pro	Azure Virtual WAN	8 de enero	WU, WSUS, catálogo	KB4056895
Windows Embedded 8.1 Pro	Azure Virtual WAN	8 de enero	WU, WSUS, catálogo	KB4056895
Windows Server 2012: solo seguridad	Azure Virtual WAN		WSUS, catálogo
Windows Server 2008 SP2	Azure Virtual WAN		WU, WSUS, catálogo
Windows Server 2012: paquete acumulativo mensual	Publicada		WU, WSUS, catálogo
Windows Embedded 8 Standard	Azure Virtual WAN		WU, WSUS, catálogo
Windows 7 SP1 / Windows Server 2008 R2 SP1: actualización de solo seguridad	Azure Virtual WAN	3 de enero	WSUS, catálogo	KB4056897
Windows Embedded Standard 7	Azure Virtual WAN	3 de enero	WSUS, catálogo	KB4056897
Windows Embedded POSReady 7	Azure Virtual WAN	3 de enero	WSUS, catálogo	KB4056897
Windows Thin PC	Azure Virtual WAN	3 de enero	WSUS, catálogo	KB4056897
Windows 7 SP1 / Windows Server 2008 R2 SP1: paquete acumulativo mensual	Azure Virtual WAN	4 de enero	WU, WSUS, catálogo	KB4056894
Windows Embedded Standard 7	Azure Virtual WAN	4 de enero	WU, WSUS, catálogo	KB4056894
Windows Embedded POSReady 7	Azure Virtual WAN	4 de enero	WU, WSUS, catálogo	KB4056894
Windows Thin PC	Azure Virtual WAN	4 de enero	WU, WSUS, catálogo	KB4056894
Internet Explorer 11: actualización acumulativa para Windows 7 SP1 y Windows 8.1	Azure Virtual WAN	3 de enero	WU, WSUS, catálogo	KB4056568

El 9 de abril de 2024 publicamos CVE-2022-0001 | Inserción de historial de ramas de Intel que describe la inserción de historial de ramas (BHI), que es una forma específica de BTI dentro del modo. Esta vulnerabilidad se produce cuando un atacante puede manipular el historial de ramas antes de pasar del usuario al modo supervisor (o del modo VMX que no es de raíz/invitado al modo raíz). Esta manipulación podría provocar que un predictor de rama indirecta seleccione una entrada de predictor específica para una rama indirecta, y se ejecutará de forma transitoria un gadget de divulgación en el destino previsto. Esto puede ser posible porque el historial de ramas relevante puede contener ramas tomadas en contextos de seguridad anteriores y, en particular, otros modos de predicción.

Siga las instrucciones que se describen en KB4073119 para la guía de cliente de Windows (profesionales de TI) y KB4072698 para la guía de Windows Server para mitigar las vulnerabilidades descritas en CVE-2022-0001 | Inserción de historial de bifurcación de Intel.

Advertencia de seguridad de Microsoft para L1 Terminal Fault (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646

Investigación y defensa de seguridad: Análisis y mitigación de Derivación de almacenamiento especulativo (CVE-2018-3639)

Advertencia de seguridad de Microsoft para Derivación de almacenamiento especulativo: MSRC ADV180012 y CVE-2018-3639

Advertencia de seguridad de Microsoft para Lectura de registros de sistemas no autorizados | Guía de actualización de seguridad para Surface: MSRC ADV180013y CVE-2018-3640

Investigación y defensa de seguridad: Análisis y mitigación de Derivación de almacenamiento especulativo (CVE-2018-3639)

TechNet Security Research & Defense: KVA Shadow: Mitigar Meltdown en Windows

Security Tech Center: Términos del programa de recompensas del canal lateral de ejecución especulativa

Blog de experiencia de Microsoft: Actualización acerca de las actualizaciones de seguridad de Spectre y Meltdown para dispositivos Windows

Blog de Windows para empresas: Windows Analytics ahora ayuda a evaluar las protecciones Spectre y Meltdown

Blog de seguridad de Microsoft: Descripción del impacto en el rendimiento de las mitigaciones de Spectre y Meltdown en sistemas Windows

Blog para desarrolladores de Edge: Mitigar ataques de canal lateral de ejecución especulativa en Microsoft Edge e Internet Explorer

Blog de Azure: Proteger a los clientes de Azure de la vulnerabilidad de CPU

Guía para SCCM: Instrucciones adicionales para mitigar vulnerabilidades de canal lateral de ejecución especulativa

Avisos de Microsoft:

• ADV180002 | Guía para mitigar vulnerabilidades de canal lateral de ejecución especulativa

• ADV180012 | Guía de Microsoft para Derivación de almacenamiento especulativo

• ADV180013 | Guía de Microsoft para Lectura de registros de sistemas no autorizados

• ADV180016 | Guía de Microsoft para Restauración del estado de FP en diferido

• ADV180018 | Guía de Microsoft para mitigar la variante de L1TF

Intel: Advertencia de seguridad

ARM: Advertencia de seguridad

AMD: Advertencia de seguridad

NVIDIA: Advertencia de seguridad

Guía para clientes: Proteger el dispositivo frente a vulnerabilidades de seguridad relacionadas con chips

Guía para antivirus: Actualizaciones de seguridad de Windows publicadas el 3 de enero de 2018 y software antivirus

Guía para el bloque de actualizaciones de seguridad de sistemas operativos Windows con AMD: KB4073707: Bloque de actualizaciones de seguridad de sistemas operativos Windows para algunos dispositivos basados en AMD

Actualización para deshabilitar la mitigación frente a la variante 2 de Spectre : KB4078130: Intel ha identificado problemas de reinicio con microcódigo en algunos procesadores más antiguos 

Guía de Surface: Guía de Surface para la protección frente a vulnerabilidades de canal lateral de ejecución especulativa

Comprobar el estado de las mitigaciones de canal lateral de ejecución especulativa: Información sobre la salida del script Get-SpeculationControlSettings de PowerShell

Guía para profesionales de TI: Guía para profesionales de TI para la protección frente a vulnerabilidades de canal lateral de ejecución especulativa

Guía para Server: Guía de Windows Server para la protección frente a vulnerabilidades de canal lateral de ejecución especulativa

Guía para L1 Terminal Fault: Guía de Windows Server para la protección frente a errores de terminal L1

Guía para desarrolladores: Guía para desarrolladores para Derivación de almacenamiento especulativo

Guía para servidores Hyper-V

• Controles de recursos de máquina virtual

• Administración de recursos de la CPU del host de Hyper-V

Azure KB: KB4073235: Protecciones de Microsoft Cloud frente a vulnerabilidades de canal lateral de ejecución especulativa

Guía para Azure Stack: KB4073418: Guía para Azure Stack para la protección frente a vulnerabilidades de canal lateral de ejecución especulativa

Confiabilidad de Azure: Portal de confiabilidad de Azure

Guía para SQL Server: KB4073225: Guía para SQL Server para la protección frente a vulnerabilidades de canal lateral de ejecución especulativa

Vínculos a OEM y fabricantes de dispositivos de servidor sobre las actualizaciones para proteger contra las vulnerabilidades Spectre y Meltdown

Para ayudar a mitigar estas vulnerabilidades, debe  actualizar tanto el hardware como el software. Use los vínculos siguientes para consultar con el fabricante del dispositivo y obtener las actualizaciones de firmware (microcódigo) aplicables.

Use los vínculos siguientes para consultar con el fabricante del dispositivo y obtener las actualizaciones de firmware (microcódigo). Tendrá que instalar actualizaciones tanto del sistema operativo como de firmware (microcódigo) para obtener todas las protecciones disponibles.

Fabricantes de dispositivo OEM	Vínculo a la disponibilidad de microcódigo
Acer	Vulnerabilidades de seguridad de Meltdown y Spectre
Asus	Actualización de ASUS sobre la ejecución especulativa y el método de análisis de canal lateral de predicción de Indirect Branch
Dell	Vulnerabilidades de Meltdown y Spectre
Epson	Vulnerabilidades de CPU (ataques de canal lateral)
Fujitsu	Hardware de CPU vulnerable a ataques de canal lateral (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HP	COMUNICACIÓN DE APOYO: BOLETÍN DE SEGURIDAD
Lenovo	Lectura de memoria con privilegios mediante un canal lateral
LG	Obtener ayuda y soporte técnico del producto
NEC	Sobre la respuesta a la vulnerabilidad del procesador (Meltdown y Spectre) en nuestros productos
Panasonic	Información de seguridad de la vulnerabilidad por ejecución especulativa y el método de análisis de canal lateral de predicción de Indirect Branch
Samsung	Anuncio de actualización de software de las CPU de Intel
Superficie	Guía de Surface para la protección contra las vulnerabilidades del canal lateral de ejecución especulativa
Toshiba	Vulnerabilidades de seguridad de ejecución especulativa y del método de análisis de canal lateral de predicción de Indirect Branch, Intel, AMD y Microsoft (2017)
Vaio	Sobre el apoyo para la vulnerabilidad del análisis de canal lateral

Fabricantes OEM de servidores	Vínculo a la disponibilidad de microcódigo
Dell	Vulnerabilidades de Meltdown y Spectre
Fujitsu	Hardware de CPU vulnerable a ataques de canal lateral (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HPE	Alertas de vulnerabilidad de seguridad de productos de Hewlett Packard Enterprise
Huawei	Aviso de seguridad: Declaración sobre la divulgación de medios de las vulnerabilidades de seguridad en el diseño de la arquitectura de CPU de Intel
Lenovo	Lectura de memoria con privilegios mediante un canal lateral

Tendrá que consultar con el fabricante del dispositivo para obtener las actualizaciones de firmware (microcódigo). Si el fabricante de su dispositivo no figura en la tabla, póngase en contacto con el OEM directamente.

Las actualizaciones de los dispositivos Microsoft Surface están disponibles para los clientes a través de Windows Update. Para obtener una lista de las actualizaciones de firmware (microcódigo) de dispositivos Surface, consulta KB 4073065.

Si el dispositivo no es de Microsoft, aplique las actualizaciones de firmware del fabricante del dispositivo. Ponte en contacto con el fabricante del dispositivo para obtener más información.

La solución de una vulnerabilidad de hardware mediante una actualización de software presenta importantes desafíos y mitigaciones para sistemas operativos anteriores y puede requerir amplios cambios de arquitectura. Seguimos trabajando con los fabricantes de los chips afectados para investigar la mejor manera de proporcionar mitigaciones. Esto podría proporcionarse en una actualización futura. El reemplazo de dispositivos más antiguos que ejecutan sistemas operativos más antiguos, así como la actualización del software antivirus debería solucionar el riesgo restante.

Aunque los sistemas basados en Windows XP son productos que se ven afectados, Microsoft no proporcionará una actualización porque los extensivos cambios de arquitectura necesarios pondrían en riesgo la estabilidad del sistema y provocarían problemas de compatibilidad con las aplicaciones. Recomendamos que los clientes preocupados por la seguridad actualicen a un sistema operativo con soporte para mantenerse actualizado con el panorama de amenazas en evolución y para sacar provecho de las protecciones más sólidas que ofrecen los sistemas operativos más nuevos.

Las actualizaciones de Windows 10 para HoloLens están disponibles para los clientes de HoloLens a través de Windows Update.

Después de aplicar la actualización de seguridad de Windows de febrero de 2018, no hace falta que los clientes de HoloLens realicen más acciones para actualizar el firmware de sus dispositivos. Estas mitigaciones también se incluirán en las próximas versiones de Windows 10 para HoloLens.

Póngase en contacto con el OEM para obtener más información.

Para que su dispositivo esté completamente protegido, debe instalar las actualizaciones de seguridad del sistema operativo Windows más recientes para su dispositivo, así como las actualizaciones de firmware (microcódigo) aplicables del fabricante del dispositivo. Estas actualizaciones deberían estar disponibles en el sitio web del fabricante del dispositivo. Las actualizaciones del software antivirus se deben instalar en primer lugar. Las actualizaciones del sistema operativo y firmware se pueden instalar en cualquier orden.

Para corregir esta vulnerabilidad, deberá actualizar tanto el hardware como el software. También tendrás que instalar las actualizaciones de firmware (microcódigo) aplicables del fabricante del dispositivo para obtener una protección más completa. Te recomendamos mantener tus dispositivos actualizados instalando las actualizaciones de seguridad mensuales.

En cada actualización de características de Windows 10, incorporamos la tecnología de seguridad más reciente de manera profunda en el sistema operativo, proporcionando características de defensa en profundidad que impiden que conjuntos enteros de malware afecten al dispositivo. Las publicaciones de actualización de características se proporcionan dos veces al año. En cada actualización de calidad, agregamos otra capa de seguridad en la que se hace un seguimiento de las tendencias emergentes y cambiantes en el malware para que los sistemas actualizados estén más seguros ante las amenazas cambiantes y en evolución.

Microsoft ha mejorado la comprobación de compatibilidad de los AV de las actualizaciones de seguridad de Windows de las versiones compatibles para los dispositivos Windows 10, Windows 8.1 y Windows 7 SP1 compatibles a través de  Windows Update. 

Recomendaciones:

• Asegúrese de que los dispositivos tengan las actualizaciones de seguridad más recientes de Microsoft y del fabricante de hardware. Para obtener más información sobre cómo mantener tu dispositivo actualizado, consulta Windows Update: Preguntas frecuentes.

• Siga teniendo cuidado cuando visite  sitios web de origen desconocido y no se quede en sitios en los que no tiene confianza. Microsoft recomienda que todos los clientes protejan sus dispositivos mediante la ejecución de un programa antivirus admitido. Los clientes también pueden sacar partido de la protección antivirus integrada: Windows Defender para dispositivos Windows 10, o Microsoft Security Essentials para dispositivos Windows 7. Estas soluciones son compatibles en los casos en los que los clientes no pueden instalar o ejecutar software antivirus.

Para ayudar a evitar que los dispositivos de los clientes se vean afectados negativamente, las actualizaciones de seguridad de Windows que se publicaron en enero y febrero no se ofrecieron a todos los clientes. Para obtener información detallada, consulta el artículo 4072699 de Microsoft Knowledge Base. 

Intel ha notificado problemas que afectan al microcódigo publicado recientemente cuya misión es mitigar la variante 2 de Spectre (CVE-2017-5715: "Branch Target Injection"). En concreto, Intel notificó que el microcódigo puede provocar "reinicios inesperados con mayor frecuencia y otros comportamientos inesperados del sistema", y esto puede provocar la "pérdida o daño de datos".  Nuestra experiencia es que la inestabilidad del sistema a veces puede provocar la pérdida o el daño de datos. El 22 de enero, Intel recomendó que los clientes dejaran de implementar la versión actual del microcódigo en los procesadores afectados mientras realizan pruebas adicionales en la solución actualizada. Comprendemos que Intel sigue investigando el posible impacto de la versión actual del microcódigo y animamos a los clientes a que revisen sus instrucciones de manera continua para que puedan tomar decisiones informadas.

Mientras Intel realiza pruebas, actualiza e implementa nuevo microcódigo, ponemos a disposición una actualización fuera de banda, KB 4078130, que deshabilita específicamente solo la mitigación contra CVE-2017-5715: "Branch Target Injection". Durante las pruebas, se ha observado que esta actualización evita el comportamiento descrito. Para ver una lista completa de dispositivos, consulta la Guía de revisión de microcódigo de Intel. Esta actualización cubre Windows 7 (SP1), Windows 8.1 y todas las versiones de Windows 10, para clientes y servidores. Si usas un dispositivo afectado, esta actualización se puede aplicar descargándola desde el sitio web del Catálogo de Microsoft Update. La aplicación de esta carga solo deshabilita la mitigación contra CVE-2017-5715 "vulnerabilidad de la inserción de destino de bifurcación". 

Hasta el 25 de enero, no se han recibido notificaciones que indican que esta variante 2 de Spectre (CVE-2017-5715) se ha usado para atacar a los clientes. Recomendamos a los clientes de Windows que, cuando sea conveniente, vuelvan a habilitar la mitigación contra CVE-2017-5715 cuando Intel les notifique que este comportamiento imprevisible del sistema ya está resuelto en sus dispositivos.

No. Las actualizaciones de solo seguridad no son acumulativas. En función de la versión de sistema operativo que ejecuta, debe  instalar todas las actualizaciones de solo seguridad que se han publicado para protegerse contra estas vulnerabilidades. Por ejemplo, si ejecuta Windows 7 para sistemas de 32 bits en una CPU Intel afectada, debe instalar todas las actualizaciones  de solo seguridad publicadas a partir de enero de 2018. Se recomienda instalar estas actualizaciones de solo seguridad según el orden de lanzamiento.
 
Nota Una versión anterior de las preguntas más frecuentes indicaba de forma incorrecta que la actualización de solo seguridad de febrero incluía las correcciones de seguridad publicadas en enero. De hecho, no lo hace.

No. La actualización de seguridad 4078130 era una corrección específica para evitar comportamientos inesperados del sistema, problemas de rendimiento y reinicios imprevistos después de instalar el microcódigo. La aplicación de las actualizaciones de seguridad de febrero en los sistemas operativos cliente de Windows habilita las tres mitigaciones. En los sistemas operativos del servidor de Windows, aún debe habilitar las mitigaciones después de realizar las pruebas adecuadas. Para obtener más información, consulta el artículo 4072698 de Microsoft Knowledge Base.

AMD anunció recientemente que ha comenzado a distribuir el microcódigo para plataformas de CPU más recientes en torno a la variante 2 de Spectre  (CVE-2017-5715 "Branch Target Injection"). Para obtener más información, consulte amd Security Updates y AMD Whitepaper: Architecture Guidelines around Indirect Branch Control . Está disponible en el canal de firmware de OEM. 

Intel anunció recientemente que ha completado las validaciones y ha comenzado a distribuir el microcódigo para nuevas plataformas de CPU. Microsoft pondrá a disposición de sus usuarios las actualizaciones de microcódigo de la variante 2 de Spectre (CVE-2017-5715 "inserción de destino de bifurcación") que haya validado Intel. KB 4093836 enumera una serie específica de artículos de Knowledge Base según cada versión de Windows. Cada artículo de KB contiene las actualizaciones disponibles de microcódigo de Intel según la CPU.

Microsoft ha empezado a poner a disposición de sus usuarios las actualizaciones de microcódigo validadas por Intel de la variante 2 de Spectre (CVE-2017-5715 "Branch Target Injection"). Para obtener las actualizaciones más recientes de microcódigo de Intel a través de Windows Update, los clientes deben haber instalado un microcódigo de Intel en dispositivos que ejecutan un sistema operativo de Windows 10 antes actualizarlo a la versión de abril de 2018 de Windows 10 (versión 1803).

La actualización de microcódigo también está disponible directamente desde el Catálogo de Microsoft Update si no se instaló en el dispositivo antes de actualizar el sistema. El microcódigo de Intel está disponible a través de Windows Update, de WSUS o del sitio web del Catálogo de Microsoft Update. Para obtener más información e instrucciones de descarga, consulta KB 4100347.

Para obtener más información, consulte los recursos siguientes:

• ADV180012 | Guía de Microsoft para la de derivación de almacenamiento especulativo para CVE-2018-3639

• ADV180013 | Guía de Microsoft para la lectura de registros de sistemas no autorizados para CVE-2018-3640 y KB 4073065 | Guía para clientes de Surface

• Blog de investigación y defensa de seguridad de Microsoft

• Guía para desarrolladores para la omisión del almacén especulativo

Consulta las secciones "Acciones recomendadas" y "Preguntas más frecuentes" en ADV180012 | Guía de Microsoft para Derivación de almacenamiento especulativo.

Para comprobar el estado de SSBD, se actualizó el script de PowerShell Get-SpeculationControlSettings para detectar los procesadores afectados, el estado de las actualizaciones del sistema operativo para SSBD y el estado del microcódigo del procesador, si corresponde. Para obtener más información y obtener el script de PowerShell, consulte KB4074629.

El 13 de junio de 2018 se anunció una nueva vulnerabilidad relacionada con la ejecución especulativa del canal lateral, conocida como Restauración del estado de FP en diferido (Lazy FP State Restore), a la que se le asignó CVE-2018-3665. No se necesitan opciones de configuración (registro) para Lazy Restore FP Restore.

Para más información sobre esta vulnerabilidad y las acciones recomendadas, consulte la advertencia de seguridad ADV180016: Guía de Microsoft para Restauración del estado de FP en diferido.

Nota No se necesitan opciones de configuración (registro) para Lazy Restore FP Restore.

Bounds Check Bypass Store (BCBS) se divulgó el 10 de julio de 2018 y se le asignó CVE-2018-3693. Consideramos que BCBS pertenece a la misma clase de vulnerabilidades que Bounds Check Bypass (variante 1). Actualmente, no conocemos de instancias de BCBS en nuestro software, pero seguimos investigando esta clase de vulnerabilidades y trabajaremos con los partners del sector para publicar mitigaciones según sea necesario. Seguimos animando a los investigadores a que envíen las conclusiones pertinentes al programa de recompensa de canal lateral de ejecución especulativa de Microsoft, incluso toda instancia aprovechable de BCBS. Los desarrolladores de software deben consultar la guía para desarrolladores que se ha actualizado para BCBS en https://aka.ms/sescdevguide.

El 14 de agosto de 2018 se anunció L1 Terminal Fault (L1TF) y se le asignaron varios CVE. Estas nuevas vulnerabilidades de canal lateral de ejecución especulativa pueden utilizarse para leer el contenido de la memoria a través de un límite de confianza y, si se explotan, pueden provocar que se divulgue información. Existen múltiples vectores por medio de los cuales un atacante podría activar las vulnerabilidades, según el entorno configurado. L1TF afecta a los procesadores de Intel® Core® e Intel® Xeon®.

Para obtener más información sobre esta vulnerabilidad y una vista detallada de los escenarios afectados, incluido el enfoque de Microsoft’ para mitigar la vulnerabilidad, consulte los siguientes recursos:

• ADV180018 | Instrucciones de Microsoft para mitigar la variante de L1TF

• Blog de investigación de seguridad de avisos de seguridad

• Guia de Server para errores de terminal L1

Clientes de Microsoft Surface: Los clientes que usan productos de Microsoft Surface y Surface Book deben seguir las instrucciones para el cliente de Windows descritas en la advertencia de seguridad: ADV180018 | Guía de Microsoft para mitigar la variante L1TF. Consulte también el artículo 4073065 del Knowledge Base Microsoft para obtener más información sobre los productos de Surface afectados y la disponibilidad de las actualizaciones de microcódigos.

Clientes de Microsoft HoloLens: Microsoft HoloLens no se ve afectado por L1TF debido a que no utiliza un procesador Intel afectado.

Los pasos necesarios para deshabilitar Hyper-Threading serán diferentes para los distintos OEM, pero en general, son parte de la configuración del BIOS o el firmware y de las herramientas de configuración.

Los clientes que usan procesadores ARM de 64 bits deben comprobar con el OEM del dispositivo si tienen soporte técnico de firmware, ya que las protecciones del sistema operativo de ARM64 que mitigan CVE-2017-5715: Branch target injection (variante 2 de Spectre) requieren la última actualización de firmware de los OEM del dispositivo para que surtan efecto.

Para obtener más información sobre esta vulnerabilidad, consulte la Guía de seguridad de Microsoft: CVE-2019-1125 | Vulnerabilidad de divulgación de información del kernel de Windows.

No tenemos conocimientos de instancias en las que esta vulnerabilidad de divulgación de información haya afectado a nuestra infraestructura de servicios en la nube.

Tan pronto conocimos el problema, trabajamos rápidamente para solucionarlo y publicar una actualización. Creemos firmemente en establecer asociaciones estrechas con investigadores y partners del sector para la protección de nuestros clientes y no publicamos detalles hasta el martes, 6 de agosto, de acuerdo con las prácticas de divulgación de vulnerabilidades coordinadas.