Protección de dispositivos Windows contra ataques de canal lateral de ejecución especulativa

Resumen

Este artículo se actualizará a medida que nueva información se haga disponible. Vuelva a consultar este sitio web para ver si hay actualizaciones y nuevas preguntas frecuentes.


Este artículo proporciona información y actualizaciones para una nueva clase de ataques conocidos como “ataques de canal lateral de ejecución especulativa.”  También  se proporciona una lista exhaustiva de recursos de servidor y cliente de Windows para ayudar a proteger sus dispositivos en el hogar, en el trabajo y en toda la empresa.

El 3 de enero de 2018, Microsoft publicó un aviso y actualizaciones de seguridad relacionados con una clase recientemente descubierta de vulnerabilidades de hardware (conocidas como Spectre y Meltdown) que implican canales laterales de ejecución especulativa que afectan a los procesadores de AMD, ARM e Intel en grados variantes. Esta clase de vulnerabilidades se basan en una arquitectura común de chips que, en su diseño original, se diseñó para acelerar los equipos. Puede obtener más información sobre estas vulnerabilidades en Google Project Zero.

El 21 de mayo de 2018, Google Project Zero (GPZ), Microsoft e Intel divulgaron dos nuevas vulnerabilidades de chip que se relacionan con los problemas de Spectre y Meltdown conocidos como Speculative Store Bypass (SSB) y Rogue System Register Read. El riesgo que implican ambas divulgaciones para los clientes es bajo.

Para más información sobre estas vulnerabilidades, consulte los recursos que figuran en las actualizaciones del sistema operativo Windows de mayo de 2018 y consulte los siguientes Avisos de seguridad:

El 13 de junio de 2018, se anunció una nueva vulnerabilidad que implica la ejecución de canal lateral conocida como Lazy FP State Restore y a la que se asignó CVE-2018-3665. Para obtener más información sobre esta vulnerabilidad y las acciones recomendadas, consulte el siguiente Aviso de seguridad:

El 14 de agosto de 2018, se anunció L1 Terminal Fault (L1TF), una vulnerabilidad de canal lateral de ejecución especulativa que tiene múltiples CVE. L1TF afecta a los procesadores de Intel® Core® e Intel® Xeon®. Para obtener más información sobre L1TF y las acciones recomendadas, consulte nuestro Aviso de seguridad:

Nota: Antes de instalar cualquier actualización de microcódigo, recomendamos que instale las actualizaciones más recientes de Windows Update.

El 14 de mayo de 2019, Intel publicó información acerca de una nueva subclase de vulnerabilidades del canal de ejecución especulativa, conocida como Muestreo de datos de microarquitectura. A estas vulnerabilidades, se les han asignado los CVE siguientes:

Importante: Estos problemas también afectan a otros sistemas, como Android, Chrome, iOS y MacOS. Recomendamos a los clientes que consulten con sus respectivos proveedores para obtener orientación.

Microsoft ha publicado actualizaciones para ayudar a mitigar estas vulnerabilidades. Para poder disfrutar de todas las protecciones disponibles, se requieren actualizaciones de firmware (microcódigo) y software. Esto puedo incluir microcódigo de los OEM del dispositivo. En algunos casos, la instalación de estas actualizaciones afectará al rendimiento. Así mismo, también hemos tomado medidas para proteger sus servicios en la nube.

Nota: Antes de instalar cualquier actualización de microcódigo, recomendamos que instale las actualizaciones más recientes de Windows Update.

Para obtener más información sobre estos problemas y las acciones recomendadas, consulte el siguiente Aviso de seguridad:

ADV 190013 | Guía de Microsoft para mitigar las vulnerabilidades del muestreo de datos de microarquitectura

El 6 de agosto de 2019, Intel publicó información detallada sobre una vulnerabilidad de divulgación de información del kernel de Windows. Esta vulnerabilidad es una variante de la vulnerabilidad de canal lateral de ejecución especulativa Spectre variante 1 y se le asignó el aviso CVE-2019-1125.

El 9 de julio de 2019 Microsoft publicó una actualización de seguridad para el sistema operativo Windows con el fin de ayudar a mitigar este problema. Los clientes que tengan habilitado Windows Update y que hayan aplicado las actualizaciones de seguridad publicadas el 9 de julio de 2019 están protegidos automáticamente. Tenga en cuenta que esta vulnerabilidad no requiere una actualización del microcódigo del fabricante (OEM) del dispositivo.

Para obtener más información sobre esta vulnerabilidad y las actualizaciones aplicables, consulte CVE-2019-1125 | Vulnerabilidad de divulgación de información de Windows Kernel en la Guía de actualizaciones de seguridad de Microsoft.

Pasos para ayudar a proteger sus dispositivos Windows

Para corregir estas vulnerabilidades, es posible que deba actualizar tanto el firmware (microcódigo) como el software. Consulte los Avisos de seguridad de Microsoft para ver las acciones recomendadas. Esto incluye las actualizaciones de firmware (microcódigo) aplicables de los fabricantes del dispositivo y, en algunos casos, actualizaciones al software antivirus. Le animamos a que mantenga sus dispositivos actualizados. Para ello, instale las actualizaciones de seguridad mensuales. 

Para obtener todas las protecciones disponibles, siga estos pasos y obtenga las actualizaciones más recientes de software y hardware:

Nota

Antes de empezar, asegúrese de que el software antivirus (AV) está actualizado y es compatible. Consulte el sitio web del proveedor del software antivirus para conocer la información más reciente sobre compatibilidad.

  1. Active las actualizaciones automáticas para mantener su dispositivo Windows actualizado.

  2. Compruebe que haya instalado la actualización de seguridad del sistema operativo de más reciente de Microsoft. Si las actualizaciones automáticas están activadas, las actualizaciones deberían enviarse automáticamente. Sin embargo, aún tendría que confirmar que están instaladas. Para obtener instrucciones, consulte Windows Update: P+F

  3. Instale las actualizaciones de firmware (microcódigo) del fabricante del dispositivo. Todos los clientes deberán consultar con el fabricante de su dispositivo para descargar e instalar la actualización de hardware específica de su dispositivo. Consulte la sección "Recursos adicionales" más abajo para obtener una lista de los sitios web de los fabricantes de dispositivos.

    Nota

    Los clientes deben instalar las actualizaciones de seguridad más recientes del sistema operativo Windows de Microsoft para sacar provecho de las protecciones disponibles. Las actualizaciones del software antivirus se deben instalar en primer lugar. Luego se deben instalar las actualizaciones del sistema operativo y del firmware. Le animamos a que mantenga sus dispositivos actualizados. Para ello, instale las actualizaciones de seguridad mensuales. 

Entre los chips afectados se incluye los fabricados por Intel, AMD y ARM. Ello significa que todos los dispositivos que ejecutan los sistemas operativos Windows son potencialmente vulnerables. Esto incluyes equipos de escritorio, portátiles, servidores de nube y smartphones. También se ven afectados los dispositivos que ejecutan a otros sistemas operativos, como Android, Chrome, iOS y macOS. Aconsejamos a los clientes que ejecutan estos sistemas operativos que pidan asistencia a dichos proveedores.

En el momento de la publicación de este artículo, todavía no habíamos recibido información que indique que estas vulnerabilidades se han usado para atacar a los clientes.

A partir de enero de 2018, Microsoft publicó actualizaciones para los sistemas operativos Windows, así como los exploradores Internet Explorer y Microsoft Edge, para ayudar a mitigar estas vulnerabilidades y a proteger a los clientes. También publicamos actualizaciones para proteger nuestros servicios en la nube.  Seguimos trabajando estrechamente con asociados del sector, como fabricantes de chips, fabricantes de equipos originales de hardware y proveedores de aplicaciones contra esta clase de vulnerabilidad. 

Le animamos a que siempre instale las actualizaciones mensuales para mantener sus dispositivos actualizados y protegidos. 

Actualizaremos este documento a medida que surjan nuevas mitigaciones y recomendamos que vuelva a consultar este sitio periódicamente. 

Actualizaciones del sistema operativo Windows de julio de 2019

El 6 de agosto de 2019, Intel divulgó detalles sobre la vulnerabilidad de seguridad CVE-2019-1125 | Vulnerabilidad de divulgación de información del kernel de Windows. Se publicaron actualizaciones de seguridad para esta vulnerabilidad como parte de la actualización de seguridad mensual de julio publicada el 9 de julio de 2019.

El 9 de julio de 2019 Microsoft publicó una actualización de seguridad para el sistema operativo Windows con el fin de ayudar a mitigar este problema. Aplazamos la documentación pública de esta mitigación hasta la divulgación coordinada en el sector del martes 6 de agosto de 2019.

Los clientes que tengan habilitado Windows Update y que hayan aplicado las actualizaciones de seguridad publicadas el 9 de julio de 2019 están protegidos automáticamente. Tenga en cuenta que esta vulnerabilidad no requiere una actualización del microcódigo del fabricante (OEM) del dispositivo.

 

Actualizaciones del sistema operativo Windows de mayo de 2019

El 14 de mayo de 2019, Intel publicó información acerca de una nueva subclase de vulnerabilidades del canal de ejecución especulativa, conocida como Muestreo de datos de microarquitectura y se asignaron los CVE siguientes:

Para obtener más información sobre este problema, consulte el siguiente Aviso de seguridad y siga la guía basada en escenario que se describe en los artículos de la Guía de Microsoft para Client y Server para determinar cuáles son las acciones necesarias para mitigar la amenaza:

Microsoft publicó protecciones contra una nueva subclase de vulnerabilidades del canal de ejecución especulativa, conocida como muestreo de datos de microarquitectura, para versiones de 64 bits (x64) de Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Use la configuración del registro conforme se describe en los artículos sobre Windows Client (KB4073119) y Windows Server (KB4457951). Esta configuración del registro se habilita de forma predeterminada para ediciones de SO de Windows Client y ediciones de SO de Windows Server.

Antes de instalar cualquier actualización de microcódigo, recomendamos que instale primero las actualizaciones más recientes de Windows Update.

Para obtener más información sobre este problema y las acciones recomendadas, consulte el siguiente Aviso de seguridad: 

Intel ha publicado una actualización de microcódigo para plataformas de CPU recientes para ayudar a mitigar CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. El KB 4093836 de Windows del 14 de mayo de 2019 enumera artículos específicos de Knowledge Base según cada versión de SO de Windows.  Este artículo también contiene vínculos a las actualizaciones de microcódigo de Intel disponibles según la CPU. Estas actualizaciones solo están disponibles a través del Catálogo de Microsoft.

Nota: Antes de instalar cualquier actualización de microcódigo, recomendamos que instale las actualizaciones más recientes de Windows Update.

Nos complace anunciar que Retpoline está habilitado de manera predeterminada en los dispositivos con Windows 10 versión 1809 (para cliente y servidor) si la variante 2 de Spectre (CVE-2017-5715) está habilitada. Habilitar Retpoline en la versión más reciente de Windows 10 a través de la actualización del 14 de mayo de 2019 (KB 4494441) puede mejorar el rendimiento, sobre todo en procesadores antiguos.

Los clientes deben asegurarse de que las protecciones anteriores del SO contra la variante 2 de Spectre estén habilitadas con la configuración del registro indicada en los artículos de Windows Clienty Windows Server. (Esta configuración del registro se habilita de forma predeterminada para ediciones de SO de Windows Client, pero se deshabilita de forma predeterminada en los SO edición Windows Server). Para obtener más información sobre Retpoline, consulte Mitigación de la variante 2 de Spectre con Retpoline en Windows.

 

Actualizaciones del sistema operativo Windows de noviembre de 2018

Microsoft ha publicado protecciones del sistema operativo para la vulnerabilidad de derivación de almacenamiento especulativo (CVE-2018-3639) en procesadores (CPU) AMD.

Microsoft publicó protecciones del sistema operativo adicionales para los clientes que usan procesadores ARM de 64 bits. Consulte con el fabricante OEM del dispositivo si tiene soporte técnico de firmware, ya que las protecciones del sistema operativo de ARM64 que mitigan la vulnerabilidad CVE-2018-3639, derivación de almacenamiento especulativo, requieren la última actualización de firmware de los OEM de su dispositivo para surtir efecto.

Actualizaciones del sistema operativo Windows de septiembre de 2018

El 11 de septiembre de 2018, Microsoft publicó el paquete acumulativo mensual 4458010 y seguridad únicamente 4457984 de Windows Server 2008 SP2 para Windows Server 2008 que proporciona protección contra una nueva vulnerabilidad de ejecución especulativa del canal lateral conocida como L1 Terminal Fault (L1TF) que afecta procesadores Intel® Core® e Intel® Xeon® (CVE-2018-3620 y CVE-2018-3646). 

Esta publicación completa las protecciones adicionales en todas las versiones de sistemas de Windows a través de Windows Update. Para obtener más información y una lista de los productos afectados, consulte ADV180018 | Guía de Microsoft para mitigar la variante de L1TF.

Nota: Windows Server 2008 SP2 ahora sigue el modelo de paquete acumulativo de actualizaciones de servicios estándar de Windows. Para obtener más información sobre estos cambios, consulte nuestro blog Cambios de servicios de Windows Server 2008 SP2. Los clientes que ejecutan Windows Server 2008 deben instalar 4458010 o 4457984, además de la actualización de seguridad 4341832, que se publicó el 14 de agosto de 2018. Los clientes también deben asegurarse de que las protecciones de SO anteriores contra vulnerabilidades de la variante 2 de Spectre y Meltdown estén habilitadas con la configuración del registro especificada en los artículos guía de KB para cliente de Windows y Windows Server. Esta configuración del registro está habilitada por defecto en los SO edición cliente de Windows y deshabilitada por defecto en los SO edición Windows Server.

Microsoft publicó protecciones del sistema operativo adicionales para los clientes que usan procesadores ARM de 64 bits. Compruebe con el fabricante OEM del dispositivo si tiene soporte técnico de firmware, ya que las protecciones del sistema operativo de ARM64 que mitigan la CVE-2017-5715- inserción de destino de bifurcación (variante 2 de Spectre) requieren la última actualización de firmware de los OEM de su dispositivo para surtir efecto.

Actualizaciones del sistema operativo Windows de agosto de 2018

El 14 de agosto de 2018, se anunció la vulnerabilidad  L1 Terminal Fault (L1TF)y se le asignaron múltiples CVE. Estas nuevas vulnerabilidades de canal lateral de ejecución especulativa pueden utilizarse para leer el contenido de la memoria a través de un límite de confianza y, si se explotan, pueden provocar que se divulgue información. Existen múltiples vectores por medio de los cuales un atacante podría activar las vulnerabilidades, según el entorno configurado. L1TF afecta a los procesadores de Intel® Core® e Intel® Xeon®.

Para obtener más información sobre L1TF y una vista detallada de los escenarios afectados, incluido el enfoque de Microsoft’ para mitigar la vulnerabilidad, consulte los siguientes recursos:

Actualizaciones del sistema operativo Windows de julio de 2018

Nos complace anunciar que Microsoft completó la publicación de protecciones adicionales en todas las versiones del SO Windows con soporte para las siguientes vulnerabilidades a través de Windows Update:

  • Variante 2 de Spectre para procesadores AMD

  • Speculative Store Bypass para procesadores Intel

El 13 de junio de 2018, se anunció una nueva vulnerabilidad que implica la ejecución de canal lateral conocida como Lazy FP State Restore y a la que se asignó CVE-2018-3665. No se necesitan opciones de configuración (registro) para Lazy Restore FP Restore.

Para obtener más información sobre esta vulnerabilidad, los productos afectados y las acciones recomendadas, consulte el siguiente Aviso de seguridad:

Intel anunció recientemente que ha completado las validaciones y ha comenzado a distribuir el microcódigo para recientes plataformas de CPU en relación con la variante 2 de Spectre (CVE 2017-5715 "inserción de destino rama"). KB4093836 enumera una serie específica de artículos de Knowledge Base según cada versión de Windows. Este artículo contiene vínculos a las actualizaciones disponibles de microcódigo de Intel según la CPU.

Actualizaciones del sistema operativo Windows de junio de 2018

El 12 de junio, Microsoft anunció la compatibilidad de Windows para la deshabilitación de la derivación de almacenamiento especulativo (SSBD) en los procesadores de Intel. Para su funcionalidad, estas actualizaciones requieren las actualizaciones correspondientes del firmware (microcódigo) y del Registro. Para información sobre las actualizaciones y conocer los pasos que se deben aplicar para activar SSBD, consulte la sección "Acciones recomendadas" de ADV180012 | Asistencia de Microsoft para la derivación de almacenamiento especulativo.

Actualizaciones del sistema operativo Windows de mayo de 2018

En enero de 2018, Microsoft divulgó información sobre una clase de vulnerabilidades de hardware recientemente descubierta (conocida como Spectre y Meltdown) que involucra  canales de ejecución especulativa que afectan a las CPU de Intel, ARM y AMD en diversos grados. El 21 de mayo de 2018, Google Project Zero (GPZ), Microsoft e Intel divulgaron dos nuevas vulnerabilidades de chip que se relacionan con los problemas de Spectre y Meltdown conocidos como Speculative Store Bypass (SSB) y Rogue System Register Read.

El riesgo que implican ambas divulgaciones para los clientes es bajo.

Para obtener más información sobre estas vulnerabilidades, consulte los siguientes recursos:

Se aplica a: Windows 10, versión 1607, Windows Server 2016, Windows Server 2016 (instalación de Server Core) y Windows Server, versión 1709 (instalación de Server Core)

Hemos proporcionado soporte técnico para controlar el uso de Indirect Branch Prediction Barrier (IBPB) dentro de algunos procesadores AMD (CPU) para mitigar CVE-2017-5715, la variante 2 de Spectre al cambiar de un contexto  de usuario a un contexto de kernel. (Para obtener más información, consulte AMD Architecture Guidelines around Indirect Branch Control y las actualizaciones de seguridad de los procesadores AMD).

Los clientes que ejecutan Windows 10, versión 1607, Windows Server 2016, Windows Server 2016 (instalación de Server Core) y Windows Server, versión 1709 (instalación de Server Core) deben instalar la actualización de seguridad 4103723 para obtener mitigaciones adicionales para los procesadores AMD para CVE-2017-5715: "inyección de destino de bifurcación". Esta actualización también está disponible a través de Windows Update.

Siga las instrucciones que se indican en KB 4073119 para la Guía del cliente Windows para profesionales de TI y KB 4072698 para la guía de Windows Server para habilitar el uso de IBPB dentro de algunos procesadores (CPU) AMD para mitigarla variante 2 de Spectre al cambiar de un contexto de usuario a un contexto de kernel.

Microsoft pondrá a disposición de sus usuarios las actualizaciones de microcódigo de la variante 2 de Spectre (CVE -2017-5715 “Inserción de destino de bifurcación). Para obtener las actualizaciones más recientes de microcódigo de Intel a través de  Windows Update, los clientes deben haber instalado un microcódigo de Intel en dispositivos que ejecutan un sistema operativo de Windows 10 antes actualizarlo a la versión de abril de 2018 de Windows 10 (versión 1803).

La actualización de microcódigo también está disponible directamente desde el Catálogo si no se instaló en el dispositivo antes de actualizar el SO. El microcódigo de Intel está disponible a través de  Windows Update, de WSUS o del sitio web del Catálogo de Microsoft Update. Para obtener más información e instrucciones de descarga, consulte KB 4100347.

Ofreceremos actualizaciones adicionales del microcódigo de Intel para el sistema operativo Windows a medida que estén disponibles para Microsoft.

Microsoft pondrá a disposición de sus usuarios las actualizaciones de microcódigo de la variante 2 de Spectre (CVE-2017-5715 "inserción de destino de bifurcación") que haya validado Intel. KB 4093836 enumera una serie específica de artículos de Knowledge Base según cada versión de Windows. Cada artículo de KB contiene las actualizaciones disponibles de microcódigo de Intel según la CPU.

Ofreceremos actualizaciones adicionales del microcódigo de Intel para el sistema operativo Windows a medida que estén disponibles para Microsoft.

Actualizaciones del sistema operativo Windows de abril de 2018

Se aplica a: Windows 10, versión 1709

Hemos proporcionado soporte técnico para controlar el uso de Indirect Branch Prediction Barrier (IBPB) dentro de algunos procesadores (CPU) AMD para mitigar CVE-2017-5715 , la variante 2 de Spectre al cambiar de un contexto de usuario a un contexto de kernel. (Para obtener más información, consulte AMD Architecture Guidelines around Indirect Branch Control [Guía de arquitectura de AMD sobre Indirect Branch Control] y las actualizaciones de seguridad de los procesadores AMD).

Siga las instrucciones que se indican as en KB 4073119 para la Guía del cliente Windows para profesionales de TI para habilitar el uso de IBPB dentro de algunos procesadores (CPU) AMD para mitigar la variante 2 de Spectre al cambiar de un contexto de usuario a un contexto de kernel.

Microsoft pondrá a disposición de sus usuarios las actualizaciones de microcódigo de la variante 2 de Spectre (CVE-2017-5715 "inserción de destino de bifurcación") que haya validado Intel. KB4093836 enumera una serie específica de artículos de Knowledge Base según cada versión de Windows. Cada artículo de KB contiene las actualizaciones disponibles de microcódigo de Intel según la CPU.

Ofreceremos actualizaciones adicionales del microcódigo de Intel para el sistema operativo Windows a medida que estén disponibles para Microsoft. 

Actualizaciones del sistema operativo Windows de marzo de 2018

23 de marzo; TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown on Windows (KVA Shadow: mitigación de Meltdown en Windows)

14 de marzo, Security Tech Center: Speculative Execution Side Channel Bounty Program Terms (Términos del programa de recompensa del canal de ejecución especulativa)

13 de marzo; artículo de blog: Actualización de marzo de 2018 de Seguridad de Windows – Redoblamos nuestros esfuerzos para proteger a nuestros clientes

1 de marzo, blog: Update on Spectre and Meltdown security updates for Windows devices (Actualización de las actualizaciones de seguridad de Spectre y Meltdown para dispositivos Windows)

Microsoft pondrá a disposición de sus usuarios las actualizaciones de microcódigo de la variante 2 de Spectre (CVE-2017-5715 "inserción de destino de bifurcación") que haya validado Intel. KB4093836 enumera una serie específica de artículos de Knowledge Base según cada versión de Windows. Cada artículo de KB contiene las actualizaciones disponibles de microcódigo de Intel según la CPU.

Ofreceremos actualizaciones adicionales del microcódigo de Intel para el sistema operativo Windows a medida que estén disponibles para Microsoft.

Desde marzo de 2018, Microsoft ha estado publicando actualizaciones de seguridad para mitigar riesgos en dispositivos que ejecutan los siguientes sistemas operativos Windows basados en x86. Los clientes deben instalar las actualizaciones de seguridad más recientes del sistema operativo Windows para sacar provecho de las protecciones disponibles. Trabajamos para proporcionar protecciones para otras versiones de Windows admitidas, pero no disponemos de una programación de publicación en estos momentos. Vuelva a consultar este sitio web para ver si hay actualizaciones. Para obtener más información, consulte el artículo de Knowledge Base relacionado y la sección "P+F".

Actualización de producto publicada

Estado

Fecha de publicación

Canal de publicación

KB

Windows 8.1 y Windows Server 2012 R2: actualización solo de seguridad

Publicada

13 de marzo

WSUS, catálogo,

KB4088879

Windows 7 SP1 y Windows Server 2008 R2 SP1: actualización solo de seguridad

Publicada

13 de marzo

WSUS, catálogo

KB4088878

Windows Server 2012: actualización solo de seguridad
Windows 8 Embedded Standard Edition: actualización solo de seguridad

Publicada

13 de marzo

WSUS, catálogo

KB4088877

Windows 8.1 y Windows Server 2012 R2: paquete acumulativo mensual

Publicado

13 de marzo

WU, WSUS, catálogo

KB4088876

Windows 7 SP1 y Windows Server 2008 R2 SP1: paquete acumulativo mensual

Publicado

13 de marzo

WU, WSUS, catálogo

KB4088875

Windows Server 2012: paquete acumulativo mensual
Windows 8 Embedded Standard Edition: paquete acumulativo mensual

Publicado

13 de marzo

WU, WSUS, catálogo

KB4088877

Windows Server 2008 SP2

Publicado

13 de marzo

WU, WSUS, catálogo

KB4090450

Desde marzo de 2018, Microsoft ha estado publicando actualizaciones de seguridad para mitigar riesgos en dispositivos que ejecutan los siguientes sistemas operativos Windows basados en x64. Los clientes deben instalar las actualizaciones de seguridad más recientes del sistema operativo Windows para sacar provecho de las protecciones disponibles. Trabajamos para proporcionar protecciones para otras versiones de Windows admitidas, pero no disponemos de una programación de publicación en estos momentos. Vuelva a consultar este sitio web para ver si hay actualizaciones. Para obtener más información, consulte el artículo de Knowledge Base relacionado y la sección " FAQ".

Actualización de producto publicada

Estado

Fecha de publicación

Canal de publicación

KB

Windows Server 2012: actualización solo de seguridad
Windows 8 Embedded Standard Edition: actualización solo de seguridad

Publicada

13 de marzo

WSUS, catálogo

KB4088877

Windows Server 2012: paquete acumulativo mensual
Windows 8 Embedded Standard Edition: paquete acumulativo mensual

Publicado

13 de marzo

WU, WSUS, catálogo

KB4088877

Windows Server 2008 SP2

Publicado

13 de marzo

WU, WSUS, catálogo

KB4090450

Esta actualización resuelve una vulnerabilidad de elevación de privilegios en el kernel de Windows en la versión de 64 bits (x64) de Windows. Esta vulnerabilidad se documenta en CVE-2018-1038. Los usuarios deben aplicar esta actualización para obtener protección total contra esta vulnerabilidad si sus equipos se actualizaron en enero de 2018 o después de dicha fecha mediante la aplicación de cualquiera de las actualizaciones que se indican en el siguiente artículo de Knowledge Base:

Actualización del kernel de Windows para CVE-2018-1038

Esta actualización de seguridad resuelve varias vulnerabilidades de Internet Explorer de las que se ha informado. Para obtener más información sobre estas vulnerabilidades, consulte Vulnerabilidades y exposiciones comunes de Microsoft

Actualización de producto publicada

Estado

Fecha de publicación

Canal de publicación

KB

Internet Explorer 10: actualización acumulativa para Windows 8 Embedded Standard Edition

Publicada

13 de marzo

WU, WSUS, catálogo

KB4089187

Actualizaciones del sistema operativo Windows de febrero de 2018

Blog: Windows Analytics now helps assess Spectre and Meltdown protections

Las siguientes actualizaciones de seguridad proporcionan protecciones adicionales para los dispositivos que ejecutan sistemas operativos Windows de 32 bits (x86). Microsoft recomienda que los clientes instale la actualización lo antes posible. Seguimos trabajando para proporcionar protecciones para otras versiones de Windows admitidas, pero no disponemos de una programación de publicación en estos momentos. Vuelva a consultar este sitio web para ver si hay actualizaciones. 

Nota Las actualizaciones de seguridad mensuales de Windows 10 son acumulativas de un mes a otro y se descargarán e instalarán automáticamente desde Windows Update. Si instaló actualizaciones anteriores, solo se descargarán e instalarán en su dispositivo las nuevas partes. Para obtener más información, consulte el artículo de Knowledge Base relacionado y la sección "P+F".

Actualización de producto publicada

Estado

Fecha de publicación

Canal de publicación

KB

Windows 10, versión 1709 / Windows Server 2016 (1709) / IoT Core: actualización de calidad

Publicada

31 de enero

WU, catálogo

KB4058258

Windows Server 2016 (1709): contenedor de servidor

Publicada

13 de febrero

Docker Hub

KB4074588

Windows 10, versión 1703 / IoT Core: actualización de calidad

Publicada

13 de febrero

WU, WSUS, catálogo

KB4074592

Windows 10, versión 1607 / Windows Server 2016 / IoT Core: actualización de calidad

Publicada

13 de febrero

WU, WSUS, catálogo

KB4074590

Windows 10 HoloLens: actualizaciones del SO y firmware

Publicada

13 de febrero

WU, catálogo

KB4074590

Windows Server 2016 (1607): imágenes de contenedor

Publicada

13 de febrero

Docker Hub

KB4074590

Windows 10, versión 1511 / IoT Core: actualización de calidad

Publicada

13 de febrero

WU, WSUS, catálogo

KB4074591

Windows 10, versión RTM: actualización de calidad

Publicada

13 de febrero

WU, WSUS, catálogo

KB4074596

Actualizaciones del sistema operativo Windows de enero de 2018

Blog: Understanding the Performance Impact of Spectre and Meltdown Mitigations on Windows Systems

A partir de enero de 2018, Microsoft publicó actualizaciones de seguridad que proporcionan mitigación para dispositivos que ejecutan los siguientes sistemas operativos Windows x64: Los clientes deben instalar las actualizaciones de seguridad más recientes del sistema operativo Windows para sacar provecho de las protecciones disponibles. Trabajamos para proporcionar protecciones para otras versiones de Windows admitidas, pero no disponemos de una programación de publicación en estos momentos. Vuelva a consultar este sitio web para ver si hay actualizaciones. Para obtener más información, consulte el artículo de Knowledge Base relacionado y la sección "P+F".

Actualización de producto publicada

Estado

Fecha de publicación

Canal de publicación

KB

Windows 10, versión 1709 / Windows Server 2016 (1709) / IoT Core: actualización de calidad

Publicada

3 de enero

WU, WSUS, catálogo, galería de imágenes de Azure

KB4056892

Windows Server 2016 (1709): contenedor de servidor

Publicada

5 de enero

Docker Hub

KB4056892

Windows 10, versión 1703 / IoT Core: actualización de calidad

Publicada

3 de enero

WU, WSUS, catálogo

KB4056891

Windows 10, versión 1607 / Windows Server 2016 / IoT Core: actualización de calidad

Publicada

3 de enero

WU, WSUS, catálogo

KB4056890

Windows Server 2016 (1607): imágenes de contenedor

Publicada

4 de enero

Docker Hub

KB4056890

Windows 10, versión 1511 / IoT Core: actualización de calidad

Publicada

3 de enero

WU, WSUS, catálogo

KB4056888

Windows 10, versión RTM: actualización de calidad

Publicada

3 de enero

WU, WSUS, catálogo

KB4056893

Windows 10 Mobile (compilación del SO 15254.192): ARM

Publicada

5 de enero

WU, catálogo

KB4073117

Windows 10 Mobile (compilación del SO 15063.850)

Publicada

5 de enero

WU, catálogo

KB4056891

Windows 10 Mobile (compilación del SO 14393.2007)

Publicada

5 de enero

WU, catálogo

KB4056890

Windows 10 HoloLens

Publicada

5 de enero

WU, catálogo

KB4056890

Windows 8.1 / Windows Server 2012 R2: actualización de solo seguridad

Publicada

3 de enero

WSUS, catálogo

KB4056898

Windows Embedded 8.1 Industry Enterprise

Publicada

3 de enero

WSUS, catálogo

KB4056898

Windows Embedded 8.1 Industry Pro

Publicada

3 de enero

WSUS, catálogo

KB4056898

Windows Embedded 8.1 Pro

Publicada

3 de enero

WSUS, Catálogo

KB4056898

Windows 8.1 / Windows Server 2012 R2: paquete acumulativo mensual

Publicada

8 de enero

WU, WSUS, catálogo

KB4056895

Windows Embedded 8.1 Industry Enterprise

Publicada

8 de enero

WU, WSUS, catálogo

KB4056895

Windows Embedded 8.1 Industry Pro

Publicada

8 de enero

WU, WSUS, catálogo

KB4056895

Windows Embedded 8.1 Pro

Publicada

8 de enero

WU, WSUS, catálogo

KB4056895

Windows Server 2012: solo seguridad

Publicada

WSUS, catálogo

Windows Server 2008 SP2

Publicado

WU, WSUS, catálogo

Windows Server 2012: paquete acumulativo mensual

Publicada

WU, WSUS, catálogo

Windows Embedded 8 Standard

Publicada

WU, WSUS, catálogo

Windows 7 SP1 / Windows Server 2008 R2 SP1: actualización de solo seguridad

Publicada

3 de enero

WSUS, catálogo

KB4056897

Windows Embedded Standard 7

Publicada

3 de enero

WSUS, catálogo

KB4056897

Windows Embedded POSReady 7

Publicada

3 de enero

WSUS, catálogo

KB4056897

Windows Thin PC

Publicada

3 de enero

WSUS, catálogo

KB4056897

Windows 7 SP1 / Windows Server 2008 R2 SP1: paquete acumulativo mensual

Publicada

4 de enero

WU, WSUS, catálogo

KB4056894

Windows Embedded Standard 7

Publicada

4 de enero

WU, WSUS, catálogo

KB4056894

Windows Embedded POSReady 7

Publicada

4 de enero

WU, WSUS, catálogo

KB4056894

Windows Thin PC

Publicada

4 de enero

WU, WSUS, catálogo

KB4056894

Internet Explorer 11: actualización acumulativa para Windows 7 SP1 y Windows 8.1

Publicada

3 de enero

WU, WSUS, catálogo

KB4056568

Recursos y asistencia técnica

Según su rol, los siguientes artículos de soporte técnico le ayudarán a identificar y mitigar los entornos cliente y servidor que se ven afectados por las vulnerabilidades Spectre y Meltdown.

Aviso de seguridad de Microsoft para L1 Terminal Fault (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 y CVE-2018-3646

Defensa e investigación de seguridad: Análisis y mitigación de Speculative Store Bypass (CVE-2018-3639)

Aviso de seguridad de Microsoft para Speculative Store Bypass: MSRC ADV180012 y CVE-2018-3639

Aviso de seguridad de Microsoft para Rogue System Register Read | Guía de actualización de seguridad para Surface: MSRC ADV180013 y CVE-2018-3640

Defensa e investigación de seguridad: Análisis y mitigación de Speculative Store Bypass (CVE-2018-3639)

TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown on Windows (KVA Shadow: mitigación de Meltdown en Windows)

Security Tech Center: Speculative Execution Side Channel Bounty Program Terms (Términos del programa de recompensa del canal de ejecución especulativa)

Blog de Microsoft Experience: Update on Spectre and Meltdown security updates for Windows devices (Actualización de las actualizaciones de seguridad de Spectre y Meltdown para dispositivos Windows)

Blog de Windows for Business: Windows Analytics now helps assess Spectre and Meltdown protections

Blog de Microsoft Secure: Understanding the Performance Impact of Spectre and Meltdown Mitigations on Windows Systems

Blog de desarrolladores de Edge: Mitigating speculative execution side-channel attacks in Microsoft Edge and Internet Explorer (Mitigación de ataques del canal de ejecución especulativa en Microsoft Edge e Internet Explorer)

Blog de Azure: Securing Azure customers from CPU vulnerability (Proteger a los clientes de Azure de la vulnerabilidad de la CPU)

Guía para SCCM: Additional guidance to mitigate speculative execution side-channel vulnerabilities (Guía adicional para mitigar las vulnerabilidades del canal de ejecución especulativa)

Avisos de Microsoft:

Intel: Aviso de seguridad

ARM: Aviso de seguridad

AMD: Aviso de seguridad

NVIDIA: Aviso de seguridad

Guía para consumidores: Proteger el dispositivo frente a vulnerabilidades de seguridad relacionadas con chips

Guía para software antivirus: las actualizaciones de seguridad de Windows lanzadas el 3 de enero de 2018 y del software antivirus

Guía para el bloque de actualización de seguridad del SO Windows para AMD: KB4073707: Bloqueo de las actualizaciones de seguridad del sistema operativo Windows para algunos dispositivos basados en AMD

Actualización para deshabilitar la mitigación contra la variante 2 de Spectre: KB4078130: Intel identificó problemas de reinicio con el microcódigo en algunos de los procesadores más antiguos. 

Ayuda para Surface: Guía de Surface para la protección contra las vulnerabilidades del canal lateral de ejecución especulativa

Verifique el estado de las mitigaciones de ejecución especulativa del canal lateral: Salida de script de PowerShell Get-SpeculationControlSettings

Guía para profesionales de TI: Guía del cliente Windows para profesionales de TI para protegerse contra vulnerabilidades del canal lateral de ejecución especulativa

Guía para servidores: Guía de Windows Server para protegerse contra vulnerabilidades del canal lateral de ejecución especulativa

Guía de servidor para L1 Terminal Fault: Guía de Windows Server para protegerse contra el error del terminal L1

Guía para desarrolladores: Guía para desarrolladores sobre Speculative Store Bypass

Guía para servidores Hyper-V

KB de Azure: KB4073235: Protecciones de Microsoft Cloud contra vulnerabilidades en el lado del canal de ejecución especulativa

Guía de Azure Stack: KB4073418: Ayuda sobre Azure Stack para proteger contra las vulnerabilidades de canal de ejecución especulativa

Fiabilidad de AzurePortal de fiabilidad de Azure

Guía para SQL Server: KB4073225: Guía de SQL Server para la protección contra las vulnerabilidades en el lado del canal de ejecución especulativa

Vínculos a OEM y fabricantes de dispositivos de servidor sobre las actualizaciones para proteger contra las vulnerabilidades Spectre y Meltdown

Para ayudar a mitigar estas vulnerabilidades, debe  actualizar tanto el hardware como el software. Use los vínculos siguientes para consultar con el fabricante del dispositivo y obtener las actualizaciones de firmware (microcódigo) aplicables.

Use los vínculos siguientes para consultar con el fabricante del dispositivo y obtener las actualizaciones de firmware (microcódigo). Tendrá que instalar actualizaciones tanto del sistema operativo como de firmware (microcódigo) para obtener todas las protecciones disponibles.

Fabricantes de dispositivo OEM

Vínculo a la disponibilidad de microcódigo

Acer

Vulnerabilidades de seguridad de Meltdown y Spectre

Asus

Actualización de ASUS sobre la ejecución especulativa y el método de análisis de canal lateral de predicción de sucursal indirecta

Dell

Vulnerabilidades de Meltdown y Spectre

Epson

Vulnerabilidades de CPU (ataques de canal lateral)

Fujitsu

Hardware de CPU vulnerable a ataques de canal lateral (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HP

COMUNICACIÓN DE APOYO: BOLETÍN DE SEGURIDAD

Lenovo

Lectura de memoria privilegiada con un canal lateral

LG

Obtener ayuda y soporte técnico del producto

NEC

Sobre la respuesta a la vulnerabilidad del procesador (Meltdown y Spectre) en nuestros productos

Panasonic

Información de seguridad de vulnerabilidad por ejecución especulativa y método de análisis de canal lateral de predicción de sucursal indirecta

Samsung

Anuncio de actualización de software de las CPU Intel

Surface

Guía de Surface para la protección contra las vulnerabilidades del canal lateral de ejecución especulativa

Toshiba

Vulnerabilidades de seguridad de la ejecución especulativa y método de análisis de canal lateral de predicción de sucursal indirecta de Intel, AMD y Microsoft (2017)

Vaio

Sobre el soporte de vulnerabilidad para el análisis de canal lateral

 

Fabricantes OEM de servidores

Vínculo a la disponibilidad de microcódigo

Dell

Vulnerabilidades de Meltdown y Spectre

Fujitsu

Hardware de CPU vulnerable a ataques de canal lateral (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HPE

Alertas de vulnerabilidad de seguridad de producto de Hewlett Packard Enterprise

Huawei

Aviso de seguridad: Declaración sobre la divulgación de medios de las vulnerabilidades de seguridad en el diseño de la arquitectura de CPU Intel

Lenovo

Lectura de memoria privilegiada con un canal lateral

Preguntas más frecuentes

Declinación de responsabilidad sobre la información de contacto de terceros

Microsoft proporciona información de contacto de otros proveedores para ayudarle a encontrar información adicional sobre este tema. Dicha información de contacto puede cambiar sin notificación previa. Microsoft no garantiza la precisión de esta información de contacto de terceros.

Tendrá que consultar con el fabricante del dispositivo para obtener las actualizaciones de firmware (microcódigo). Si el fabricante de su dispositivo no figura en la tabla, póngase en contacto con el OEM directamente.

Las actualizaciones de los dispositivos Microsoft Surface están disponibles para los clientes a través de Windows Update. Para obtener una lista de las actualizaciones de firmware (microcódigo) de dispositivos Surface, consulte KB 4073065.

Si el dispositivo no es de Microsoft, aplique las actualizaciones de firmware del fabricante del dispositivo. Póngase en contacto con el fabricante del dispositivo para obtener más información al respecto.

La solución de una vulnerabilidad de hardware mediante una actualización de software presenta importantes desafíos y mitigaciones para sistemas operativos anteriores y puede requerir amplios cambios de arquitectura. Seguimos trabajando con los fabricantes de los chips afectados para investigar la mejor manera de proporcionar mitigaciones. Esto podría proporcionarse en una actualización futura. El reemplazo de dispositivos más antiguos que ejecutan sistemas operativos más antiguos, así como la actualización del software antivirus debería solucionar el riesgo restante.

Notas

  • Los productos que actualmente no incluyen soporte o soporte extendido no recibirán estas actualizaciones del sistema. Recomendamos a los clientes que actualicen a una versión del sistema con soporte. 

  • Los ataques de ejecución especulativa de canal lateral aprovechan el comportamiento y la funcionalidad de las CPU. Los fabricantes de CPU primero deben determinar qué procesadores corren riesgo y luego deben notificar a Microsoft. En muchos casos, también se necesitarán las actualizaciones del sistema operativo correspondientes para proporcionar a los clientes una protección más completa. Recomendamos a los proveedores de Windows CE preocupados por la seguridad que trabajen con los fabricantes de sus chips para comprender las vulnerabilidades y las mitigaciones aplicables.

  • No publicaremos actualizaciones para las siguientes plataformas:

    • Sistemas operativos Windows cuyo soporte haya finalizado o cuyo ciclo de vida (EOS) finalizará en 2018

    • Sistemas basados en Windows XP, como WES 2009 y POSReady 2009


Aunque los sistemas basados Windows son productos afectados, Microsoft no proporcionará una actualización para ellos porque los extensivos cambios de arquitectura  necesarios pondrían en riesgo la estabilidad del sistema y provocarían problemas de compatibilidad de las aplicaciones. Recomendamos que los clientes preocupados por la seguridad actualicen a un sistema operativo con soporte para mantenerse actualizado con el panorama de amenazas en evolución y para sacar provecho de las protecciones más sólidas que ofrecen los sistemas operativos más nuevos.

Las actualizaciones de Windows 10 para HoloLens están disponibles para los clientes de HoloLens a través de Windows Update.

Después de aplicar la actualización de seguridad de febrero de 2018 de Windows, los clientes de HoloLens no deben realizar ninguna acción adicional para actualizar el firmware de sus dispositivos. Estas mitigaciones también se incluirán en las próximas versiones de Windows 10 para HoloLens.

Póngase en contacto con el OEM para obtener más información.

Para que su dispositivo esté completamente protegido, debe instalar las actualizaciones de seguridad del sistema operativo Windows más recientes para su dispositivo, así como las actualizaciones de firmware (microcódigo) aplicables del fabricante del dispositivo. Estas actualizaciones deberían estar disponibles en el sitio web del fabricante del dispositivo. Las actualizaciones del software antivirus se deben instalar en primer lugar. Las actualizaciones del sistema operativo y firmware se pueden instalar en cualquier orden.

Para corregir esta vulnerabilidad, deberá actualizar tanto el hardware como el software. Para una protección más completa, también debería instalar las actualizaciones de firmware (microcódigo) disponibles del fabricante del dispositivo. Le animamos a que mantenga sus dispositivos actualizados. Para ello, instale las actualizaciones de seguridad mensuales.

En cada actualización de características de Windows 10, incorporamos la tecnología de seguridad más reciente de manera profunda en el sistema operativo, proporcionando características de defensa de profundidad que impiden que clases completas de malware afecten a su dispositivo. Las publicaciones de actualización de características se proporcionan dos veces al año. En cada actualización de calidad, agregamos otra capa de seguridad en la que se hace un seguimiento de las tendencias emergentes y cambiantes en el malware para que los sistemas actualizados estén más seguros ante las amenazas cambiantes y en evolución.

Microsoft ha mejorado la comprobación de compatibilidad de los AV de las actualizaciones de seguridad de Windows de las versiones compatibles para los dispositivos Windows 10, Windows 8.1 y Windows 7 SP1 compatibles a través de  Windows Update. 

Recomendaciones:

  • Asegúrese de que los dispositivos tengan las actualizaciones de seguridad más recientes de Microsoft y del fabricante de hardware. Para obtener más información sobre  cómo mantener  su dispositivo actualizado, consulte Windows Update: P+F.

  • Siga teniendo cuidado cuando visite  sitios web de origen desconocido y no se quede en sitios en los que no tiene confianza. Microsoft recomienda que todos los clientes protejan sus dispositivos mediante la ejecución de un programa antivirus admitido. Los clientes también pueden sacar partido de la protección antivirus integrada: Windows Defender para dispositivos Windows 10 o Microsoft Security Essentials para dispositivos Windows 7. Estas soluciones son compatibles en los casos en los que los clientes no pueden instalar o ejecutar software antivirus.

Para ayudar a evitar que los dispositivos de los clientes se vean afectados negativamente, las actualizaciones de seguridad de Windows que se publicaron en enero y febrero no se ofrecieron a todos los clientes. Para obtener información detallada, consulte el artículo 4072699 de Microsoft Knowledge Base

Intel ha notificado problemas con el código publicado recientemente dirigido a mitigar la variante 2 de Spectre (CVE-2017-5715, "inserción de destino de bifurcación"). Específicamente, Intel notó que este microcódigo puede provocar "reinicios inesperados con mayor frecuencia y otro comportamiento inesperado del sistema" y observó que esto puede provocar la "pérdida o el daño de datos".  Nuestra experiencia es que la inestabilidad del sistema a veces puede provocar la pérdida o el daño de datos. El 22 de enero, Intel recomendó que los clientes dejen de implementar la versión actual del microcódigo en los procesadores afectados mientras realiza pruebas adicionales en la solución actualizada. Comprendemos que Intel sigue investigando el posible impacto de la versión actual del microcódigo y animamos a los clientes a que revisen sus instrucciones de manera continua para que puedan tomar decisiones informadas.

Mientras Intel prueba, actualiza e implementa nuevo código, ponemos a disposición de nuestros clientes una actualización fuera de la banda, KB 4078130, que deshabilita específicamente la mitigación contra CVE-2017-5715: "vulnerabilidad de inyección de destino de bifurcación". Durante las pruebas, se ha observado que esta actualización evita el comportamiento descrito. Para ver una lista completa de los dispositivos, consulte la guía de revisión de microcódigo de Intel. Esta actualización cubre Windows 7 (SP1), Windows 8.1 y todas las versiones de Windows 10, para clientes y servidores. Si ejecuta un dispositivo afectado, esta actualización se puede aplicar descargándola del sitio web del Catálogo de Microsoft Update. La aplicación de esta carga solo deshabilita la mitigación contra CVE-2017-5715 "vulnerabilidad de la inserción de destino de bifurcación". 

Hasta el 25 de enero, no se han recibido notificaciones que indican que esta variante 2 de Spectre (CVE-2017-5715) se ha usado para atacar a los clientes. Recomendamos a los clientes de Windows que, cuando sea conveniente, vuelvan a habilitar la mitigación contra CVE-2017-5715 cuando Intel les notifique que este comportamiento imprevisible del sistema ya está resuelto en sus dispositivos.

No. Las actualizaciones de solo seguridad no son acumulativas. En función de la versión de sistema operativo que ejecuta, debe  instalar todas las actualizaciones de solo seguridad que se han publicado para protegerse contra estas vulnerabilidades. Por ejemplo, si ejecuta Windows 7 para sistemas de 32 bits en una CPU Intel afectada, debe instalar todas las actualizaciones  de solo seguridad publicadas a partir de enero de 2018. Se recomienda instalar estas actualizaciones de solo seguridad según el orden de lanzamiento.
 
Nota  Una versión anterior de estas preguntas más frecuentes indicaba de forma incorrecta que la actualización de solo seguridad de febrero incluía las correcciones de seguridad publicadas en enero. De hecho, no lo hace.

No. La actualización de seguridad 4078130 era una corrección específica para evitar comportamientos inesperados del sistema, problemas de rendimiento y  reinicios imprevistos  después de la instalación del microcódigo. La aplicación de las actualizaciones de seguridad de febrero en los sistemas operativos cliente de Windows habilita las tres mitigaciones. En los sistemas operativos del servidor de Windows, aún debe habilitar las mitigaciones después de realizar las pruebas adecuadas. Para obtener más información, consulte el artículo 4072698 de Microsoft Knowledge Base.

AMD anunció recientemente que ha comenzado a distribuir el microcódigo para nuevas plataformas de CPU de la variante 2 de Spectre (CVE-2017-5715 "inserción de destino de bifurcación"). Para obtener más información, consulte Actualizaciones de seguridad de los procesadores AMD y Notas del producto de AMD: Guía de arquitectura de Indirect Branch Control. Está disponible en el canal de firmware de OEM. 

Intel anunció recientemente que ha completado las validaciones y ha comenzado a distribuir el microcódigo para nuevas plataformas de CPU. Microsoft pondrá a disposición de sus usuarios las actualizaciones de microcódigo de la variante 2 de Spectre (CVE-2017-5715 "inserción de destino de bifurcación") que haya validado Intel. KB 4093836 enumera una serie específica de artículos de Knowledge Base según cada versión de Windows. Cada artículo de KB contiene las actualizaciones disponibles de microcódigo de Intel según la CPU.

Microsoft pondrá a disposición de sus usuarios las actualizaciones de microcódigo de la variante 2 de Spectre (CVE -2017-5715 “Inserción de destino de bifurcación). Para obtener las actualizaciones más recientes de microcódigo de Intel a través de Windows Update, los clientes deben haber instalado un microcódigo de Intel en dispositivos que ejecutan un sistema operativo de Windows 10 antes actualizarlo a la versión de abril de 2018 de Windows 10 (versión 1803).

La actualización de microcódigo también está disponible directamente desde el Catálogo de Microsoft Update si no se instaló en el dispositivo antes de actualizar el sistema. El microcódigo de Intel está disponible a través de Windows Update, de WSUS o del sitio web del Catálogo de Microsoft Update. Para obtener más información e instrucciones de descarga, consulte KB 4100347.

Para obtener detalles, consulte las secciones "Acciones recomendadas" y "P+F" de ADV180012 | Asistencia de Microsoft para la derivación de almacenamiento especulativo.

Para comprobar el estado de SSBD, el script de PowerShell Get-SpeculationControlSettings se actualizó para detectar los procesadores afectados, el estado de las actualizaciones del sistema operativo para SSBD y el estado del microcódigo del procesador, si procede. Para obtener más información y el script de PowerShell, consulte KB4074629.

El 13 de junio de 2018, se anunció una nueva vulnerabilidad que implica la ejecución de canal lateral conocida como Lazy FP State Restore y a la que se asignó CVE-2018-3665. No se necesitan opciones de configuración (registro) para Lazy Restore FP Restore.

Para obtener más información sobre esta vulnerabilidad y las acciones recomendadas, consulte el Aviso de seguridad: ADV180016 | Guía de Microsoft para Lazy FP State Restore

Nota No se necesitan opciones de configuración (Registro) para Lazy Restore FP Restore.

Bounds Check Bypass Store (BCBS) se divulgó el 10 de julio de 2018 y se le asignó CVE-2018-3693. Consideramos que BCBS pertenece a la misma clase de vulnerabilidades que Bounds Check Bypass (variante 1). Actualmente, no conocemos de instancias de BCBS en nuestro software, pero seguimos investigando esta clase de vulnerabilidades y trabajaremos con los partners del sector para publicar mitigaciones según sea necesario. Seguimos animando a los investigadores a que envíen los hallazgos pertinentes al programa de recompensa de canal lateral de ejecución especulativa de Microsoft, incluyendo todas las instancias aprovechables de BCBS. Los desarrolladores de software deben consultar la guía para desarrolladores que se ha actualizado para BCBS en https://aka.ms/sescdevguide.

El 14 de agosto de 2018, se anunció la vulnerabilidad  L1 Terminal Fault (L1TF) y se le asignaron múltiples CVE. Estas nuevas vulnerabilidades de canal lateral de ejecución especulativa pueden utilizarse para leer el contenido de la memoria a través de un límite de confianza y, si se explotan, pueden provocar que se divulgue información. Existen múltiples vectores por medio de los cuales un atacante podría activar las vulnerabilidades, según el entorno configurado. L1TF afecta a los procesadores de Intel® Core® e Intel® Xeon®.

Para obtener más información sobre esta vulnerabilidad y una vista detallada de los escenarios afectados, incluido el enfoque de Microsoft’ para mitigar la vulnerabilidad, consulte los siguientes recursos:

Clientes de Microsoft Surface: Los clientes que utilizan productos de Microsoft Surface y Surface Book deben seguir la guía para Clientes de Windows detallada en el Aviso de seguridad: ADV180018 | Guía de Microsoft para mitigar la variante L1TF. Consulte también el artículo 4073065 de Microsoft Knowledge Base para obtener más información sobre los productos Surface afectados y la disponibilidad de las actualizaciones de microcódigos.

Clientes de Microsoft HoloLens: Microsoft HoloLens no se ve afectado por L1TF debido a que no utiliza un procesador Intel afectado.

Los pasos necesarios para deshabilitar Hyper-Threading serán diferentes para los distintos OEM, pero en general, son parte de la configuración del BIOS o el firmware y de las herramientas de configuración.

Los clientes que usan procesadores ARM de 64 bits deben comprobar con el OEM del dispositivo si tienen soporte técnico de firmware, ya que las protecciones del sistema operativo de ARM64 que mitigan la CVE-2017-5715 - inserción de destino de bifurcación (variante 2 de Spectre) requieren la última actualización de firmware de los OEM del dispositivo para surtir efecto.

Para obtener más detalles sobre esta vulnerabilidad, consulte la Guía de actualizaciones de seguridad de Microsoft: CVE-2019-1125 | Vulnerabilidad de divulgación de información de Windows Kernel.

No tenemos conocimientos de instancias en las que esta vulnerabilidad de divulgación de información haya afectado a nuestra infraestructura de servicios en la nube.

Tan pronto conocimos el problema, trabajamos rápidamente para solucionarlo y publicar una actualización. Creemos firmemente en establecer asociaciones estrechas con investigadores y partners del sector para la protección de nuestros clientes y no publicamos detalles hasta el martes, 6 de agosto, de acuerdo con las prácticas de divulgación de vulnerabilidades coordinadas.

¿Necesita más ayuda?

Ampliar sus conocimientos
Explorar los cursos
Obtener nuevas características primero
Unirse a Microsoft Insider

¿Le ha sido útil esta información?

¿Cómo de satisfecho está con la calidad de la traducción?

¿Qué ha afectado a tu experiencia?

¿Algún comentario adicional? (Opcional)

¡Gracias por sus comentarios!

×