Protection de vos appareils Windows contre les attaques par canal auxiliaire d’exécution spéculative

Résumé

Cet article sera mis à jour dès que des informations supplémentaires seront disponibles. Consultez-le régulièrement pour obtenir les dernières mises à jour et le forum aux questions actualisé.


Cet article contient des informations et des mises à jour en ce qui concerne une nouvelle classe d’attaques appelées « attaques par canal auxiliaire d’exécution spéculative ».  Il fournit également une liste exhaustive de ressources sur les clients et serveurs Windows permettant d’assurer la protection des appareils à domicile, au travail et dans l’ensemble de l’entreprise.

Le 3 janvier 2018, Microsoft a publié un avis et des mises à jour de sécurité en ce qui concerne une nouvelle classe de vulnérabilités matérielles (appelées « Spectre » et « Meltdown ») impliquant les canaux auxiliaires d’exécution spéculative et touchant les processeurs AMD, ARM et Intel à différents degrés. Cette classe de vulnérabilités repose sur une architecture de puces commune qui était conçue à l’origine pour accélérer les ordinateurs. Pour en savoir plus sur ces vulnérabilités, consultez le site Google Project Zero.

Le 21 mai 2018, Google Project Zero (GPZ), Microsoft et Intel ont divulgué deux nouvelles vulnérabilités de puce liées aux problèmes Spectre et Meltdown et appelées « Speculative Store Bypass » (SSB) et « Rogue System Registry Read ». Les risques inhérents à ces vulnérabilités sont faibles pour les clients.

Pour plus d’informations sur ces vulnérabilités, consultez les ressources mentionnées à la section Mises à jour du système d’exploitation Windows de mai 2018, ainsi que les avis de sécurité suivants :

Le 13 juin 2018, une vulnérabilité supplémentaire impliquant l’exécution spéculative par canal auxiliaire, appelée « Lazy FP State Restore », a été annoncée et attribuée à la CVE-2018-3665. Pour plus d’informations sur cette vulnérabilité et sur les actions recommandées, consultez l’avis de sécurité suivant :

Le 14 août 2018, la nouvelle vulnérabilité de canal auxiliaire d’exécution spéculative L1 Terminal Fault (L1TF) a été annoncée et attribuée à plusieurs CVE. La vulnérabilité L1TF touche les processeurs Intel® Core® et Intel® Xeon®. Pour plus d’informations sur L1TF et sur les actions recommandées, consultez l’avis de sécurité suivant :

Remarque : Microsoft vous recommande d’installer toutes les dernières mises à jour de Windows Update avant d’installer des mises à jour du microcode.

Le 14 mai 2019, Intel a publié des informations concernant une nouvelle sous-classe de vulnérabilités de canal auxiliaire d’exécution spéculative appelées « Microarchitectural Data Sampling ». Ces vulnérabilités ont été attribuées aux CVE suivantes :

Important : ces problèmes concernent d’autres systèmes tels qu’Android, Chrome, iOS et Mac OS. Microsoft conseille à ses clients de rechercher des instructions auprès de leur fournisseur correspondant.

Microsoft a publié des mises à jour pour contribuer à atténuer ces vulnérabilités. Pour bénéficier de toutes les protections disponibles, des mises à jour du microprogramme (microcode) et des mises à jour logicielles sont requises. Cela peut concerner notamment le microcode des fabricants d’appareils OEM. Dans certains cas, l’installation de ces mises à jour a un impact sur les performances. Microsoft a également pris des mesures pour sécuriser ses services cloud.

Remarque : Microsoft vous recommande d’installer toutes les dernières mises à jour de Windows Update avant d’installer des mises à jour du microcode.

Pour plus d’informations sur ces problèmes et sur les actions recommandées, consultez l’avis de sécurité suivant :

ADV190013 | Instructions de Microsoft pour atténuer les vulnérabilités « Microarchitectural Data Sampling »

Le 6 août 2019, Intel a publié des détails sur une vulnérabilité de divulgation d’informations dans le noyau Windows. Cette vulnérabilité est une variante de la vulnérabilité de canal auxiliaire d’exécution spéculative nommée « Variante 1 de Spectre » ; elle a été attribuée à la CVE-2019-1125.

Le 9 juillet 2019, Microsoft a publié une mise à jour de sécurité pour le système d’exploitation Windows afin d’atténuer ce problème. Les clients ayant activé Windows Update et appliqué les mises à jour de sécurité publiées le 9 juillet 2019 sont automatiquement protégés. Cette vulnérabilité ne nécessite pas de mise à jour du microcode du fabricant de l’appareil (OEM).

Pour plus d’informations sur cette vulnérabilité et sur les mises à jour applicables, consultez la page CVE-2019-1125 | Vulnérabilité de divulgation d’informations dans le noyau Windows dans le guide des mises à jour de sécurité Microsoft.

Mesures permettant de protéger vos appareils Windows

Vous devrez peut-être mettre à jour votre microprogramme (microcode) et vos logiciels pour corriger ces vulnérabilités. Consultez les avis de sécurité Microsoft pour connaître les actions recommandées. Pour cela, vous devez installer les mises à jour appropriées du microprogramme (microcode) disponibles auprès des fabricants d’appareils et, dans certains cas, les mises à jour de votre antivirus. Nous vous encourageons à installer les mises à jour de sécurité mensuelles afin de maintenir vos appareils à jour.

Pour bénéficier de toutes les protections disponibles, procédez comme suit pour obtenir les dernières mises à jour des logiciels et du matériel.

Remarque

Avant de commencer, assurez-vous que votre antivirus est à jour et compatible. Visitez le site web du fournisseur de votre antivirus pour obtenir les dernières informations de compatibilité.

  1. Maintenez votre appareil Windows à jour en activant les mises à jour automatiques.

  2. Vérifiez que vous avez installé la dernière mise à jour de sécurité du système d’exploitation Windows disponible auprès de Microsoft. Si les mises à jour automatiques sont activées, les mises à jour devraient vous parvenir automatiquement. Cependant, vérifiez tout de même si elles sont bien installées. Pour obtenir les instructions correspondantes, consultez la page Windows Update : Forum aux questions

  3. Installez les mises à jour du microprogramme (microcode) disponibles auprès du fabricant de l’appareil. Tous les clients doivent se renseigner auprès du fabricant de leur appareil pour télécharger et installer la mise à jour matérielle appropriée. Consultez la section « Ressources supplémentaires » pour obtenir la liste des sites web de fabricants d’appareils.

    Remarque

    Vous devez installer les dernières mises à jour de sécurité du système d’exploitation Windows disponibles auprès de Microsoft pour bénéficier de toutes les protections existantes. Commencez par installer les mises à jour de l’antivirus, puis les mises à jour du système d’exploitation et du microprogramme. Nous vous encourageons à installer les mises à jour de sécurité mensuelles afin de maintenir vos appareils à jour.

Les puces concernées sont celles fabriquées par Intel, AMD et ARM. Par conséquent, tous les appareils exécutant le système d’exploitation Windows sont potentiellement vulnérables. Il s’agit notamment des ordinateurs de bureau, des ordinateurs portables, des serveurs cloud et des smartphones. Les appareils exécutant d’autres systèmes d’exploitation tels qu’Android, Chrome, iOS et Mac OS sont également concernés. Nous conseillons aux clients qui utilisent ces systèmes d’exploitation de rechercher des instructions auprès du fournisseur correspondant.

Lors de la publication, nous n’avions reçu aucune information faisant état d’une utilisation de ces vulnérabilités dans le but d’attaquer les clients.

Depuis le mois de janvier 2018, Microsoft a publié des mises à jour pour les systèmes d’exploitation Windows ainsi que pour les navigateurs web Internet Explorer et Edge afin de contribuer à atténuer ces vulnérabilités et à protéger les clients. Nous avons également publié des mises à jour pour sécuriser nos services cloud.  Nous continuons de collaborer étroitement avec des partenaires du secteur, notamment des fabricants de puces, des fabricants de matériel OEM et des fournisseurs d’application, afin de protéger nos clients contre cette classe de vulnérabilités. 

Nous vous encourageons à toujours installer les mises à jour mensuelles afin d’assurer la mise à jour et la sécurité de vos appareils. 

Nous vous recommandons de consulter ce document régulièrement, car nous le mettrons à jour dès que de nouvelles atténuations seront disponibles. 

Mises à jour du système d’exploitation Windows de juillet 2019

Le 6 août 2019, Intel a divulgué des détails pour la faille de sécurité CVE-2019-1125 | Vulnérabilité de divulgation d’informations dans le noyau Windows. Des mises à jour de sécurité ont été publiées pour cette vulnérabilité dans le cadre de la publication des mises à jour mensuelles du 9 juillet 2019.

Le 9 juillet 2019, Microsoft a publié une mise à jour de sécurité pour le système d’exploitation Windows afin d’atténuer ce problème. Microsoft n’a publié les informations sur cette atténuation que le mardi 6 août 2019, lors de la divulgation coordonnée à l’échelle du secteur.

Les clients ayant activé Windows Update et appliqué les mises à jour de sécurité publiées le 9 juillet 2019 sont automatiquement protégés. Cette vulnérabilité ne nécessite pas de mise à jour du microcode du fabricant de l’appareil (OEM).

 

Mises à jour du système d’exploitation Windows de mai 2019

Le 14 mai 2019, Intel a publié des informations concernant une nouvelle sous-classe de vulnérabilités de canal auxiliaire d’exécution spéculative appelées « Microarchitectural Data Sampling » et attribuées aux CVE suivantes :

Pour plus d’informations sur ce problème, consultez l’avis de sécurité suivant et utilisez les instructions propres à chaque scénario figurant dans les articles sur les instructions relatives aux clients Windows et à Windows Server pour déterminer les actions nécessaires pour atténuer la menace :

Microsoft a publié des protections contre une nouvelle sous-classe de vulnérabilités de canal auxiliaire d’exécution spéculative appelées « Microarchitectural Data Sampling » pour les versions 64 bits (x64) de Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Utilisez les paramètres de Registre décrits dans les articles sur les clients Windows (KB4073119) et Windows Server (KB4457951).Ces paramètres de Registre sont activés par défaut pour les systèmes d’exploitation clients Windows et Windows Server.

Microsoft vous recommande d’installer toutes les dernières mises à jour de Windows Update avant d’installer des mises à jour du microcode.

Pour plus d’informations sur ce problème et sur les actions recommandées, consultez l’avis de sécurité suivant : 

Intel a publié une mise à jour du microcode pour les plateformes de processeur récentes afin d’atténuer les vulnérabilités CVE-2018-11091,CVE-2018-12126, CVE-2018-12127 et CVE-2018-12130. Le 14 mai 2019, l’article KB 4093836 répertorie les articles spécifiques de la Base de connaissances par version du système d’exploitation Windows.  Cet article contient également des liens vers les mises à jour du microcode Intel disponibles par processeur. Ces mises à jour sont disponibles dans le Catalogue Microsoft.

Remarque : Microsoft vous recommande d’installer toutes les dernières mises à jour de Windows Update avant d’installer des mises à jour du microcode.

Microsoft a le plaisir d’annoncer que Retpoline est activé par défaut sur les appareils Windows 10 version 1809 (clients et serveurs) si la variante 2 de Spectre (CVE-2017-5715) est activée. Grâce à l’activation de Retpoline sur la dernière version de Windows 10 au moyen de la mise à jour du 14 mai 2019 (KB 4494441), Microsoft anticipe une amélioration des performances, en particulier sur les anciens processeurs.

Les clients doivent veiller à ce que les protections précédentes du système d’exploitation contre la vulnérabilité Variante 2 de Spectre soient activées à l’aide des paramètres de Registre décrits dans les articles sur le clients Windows et Windows Server. (Ces paramètres de Registre sont activés par défaut pour les systèmes d’exploitation clients Windows, mais désactivés par défaut pour les systèmes d’exploitation Windows Server.) Pour plus d’informations sur « Retpoline », consultez le billet de blog Mitigating Spectre variant 2 with Retpoline on Windows (en anglais uniquement).

 

Mises à jour du système d’exploitation Windows de novembre 2018

Microsoft a publié des protections du système d’exploitation pour la vulnérabilité « Speculative Store Bypass » (CVE-2018-3639) pour les processeurs AMD.

Microsoft a publié des protections supplémentaires du système d’exploitation pour les clients qui utilisent des processeurs ARM 64 bits. Contactez le fabricant OEM de votre appareil pour obtenir un support sur le microprogramme, car, pour pouvoir être appliquées, les protections du système d’exploitation ARM64 qui atténuent la vulnérabilité CVE-2018-3639, Speculative Store Bypass, nécessitent la dernière mise à jour du microprogramme disponible auprès du fabricant OEM de l’appareil.

Mises à jour du système d’exploitation Windows de septembre 2018

Le 11 septembre 2018, Microsoft a publié le correctif cumulatif mensuel 4458010 pour Windows Server 2008 SP2 et la mise à jour de sécurité uniquement 4457984 pour Windows Server 2008 afin de fournir des protections contre une nouvelle vulnérabilité de canal auxiliaire d’exécution spéculative appelée « L1 Terminal Fault » (L1TF) qui touche les processeurs Intel® Core® et Intel® Xeon® (CVE-2018-3620 et CVE-2018-3646). 

Cette publication complète les protections supplémentaires sur toutes les versions prises en charge du système Windows via Windows Update. Pour plus d’informations et pour obtenir la liste des produits concernés, consultez l’avis ADV180018 | Instructions de Microsoft pour atténuer la variante L1TF.

Remarque : Windows Server 2008 SP2 respecte désormais le modèle de correctif cumulatif de maintenance standard de Windows. Pour plus d’informations sur ces changements, consultez notre billet de blog Windows Server 2008 SP2 servicing changes (en anglais uniquement). Les clients qui utilisent Windows Server 2008 doivent installer la mise à jour 4458010 ou 4457984 en plus de la mise à jour de sécurité 4341832 publiée le 14 août 2018. Les clients doivent également veiller à ce que les protections précédentes du système d’exploitation contre les vulnérabilités Spectre variante 2 et Meltdown soient activées à l’aide des paramètres de Registre décrits dans les articles de la Base de connaissances sur les instructions relatives aux clients Windows et à Windows Server. Ces paramètres de Registre sont activés par défaut pour les systèmes d’exploitation clients Windows mais désactivés par défaut pour les systèmes d’exploitation serveurs Windows.

Microsoft a publié des protections supplémentaires du système d’exploitation pour les clients qui utilisent des processeurs ARM 64 bits. Contactez le fabricant OEM de votre appareil pour obtenir un support sur le microprogramme, car, pour pouvoir être appliquées, les protections du système d’exploitation ARM64 qui atténuent la vulnérabilité CVE-2017-5715 - Branch Target Injection (Spectre, variante 2) nécessitent la dernière mise à jour du microprogramme.

Mises à jour du système d’exploitation Windows d’août 2018

Le 14 août 2018, la vulnérabilité « L1 Terminal Fault » (L1TF) a été annoncée et attribuée à plusieurs CVE. Ces nouvelles vulnérabilités de canal auxiliaire d’exécution spéculative peuvent servir à lire le contenu de la mémoire sur une limite approuvée et, en cas d’exploitation, peuvent entraîner une divulgation d’informations. Il existe plusieurs vecteurs permettant à un attaquant de déclencher les vulnérabilités en fonction de l’environnement configuré. La vulnérabilité L1TF touche les processeurs Intel® Core® et Intel® Xeon®.

Pour plus d’informations sur L1TF et pour obtenir une présentation détaillée des scénarios concernés, entre autres l’approche de Microsoft en ce qui concerne l’atténuation de L1TF, consultez les ressources suivantes :

Mises à jour du système d’exploitation Windows de juillet 2018

Nous sommes heureux d’annoncer que Microsoft a publié des protections supplémentaires sur toutes les versions prises en charge du système d’exploitation Windows pour les vulnérabilités via Windows Update :

  • Variante 2 de Spectre pour processeurs AMD

  • Speculative Store Bypass pour processeurs Intel

Le 13 juin 2018, une vulnérabilité supplémentaire impliquant l’exécution spéculative par canal auxiliaire, appelée « Lazy FP State Restore », a été annoncée et attribuée à la CVE-2018-3665. Aucun paramètre de configuration (Registre) n’est nécessaire pour Lazy FP State Restore.

Pour plus d’informations sur cette vulnérabilité et sur les actions recommandées, consultez l’avis de sécurité suivant :

Intel a récemment annoncé avoir terminé les opérations de validation et commencé à publier un microcode pour les plateformes de processeur récentes en ce qui concerne la variante 2 de Spectre (CVE-2017-5715, « injection cible de branche »). L’article KB4093836 répertorie les articles spécifiques de la Base de connaissances par version de Windows. Chaque article contient des liens vers les mises à jour du microcode Intel disponibles par processeur.

Mises à jour du système d’exploitation Windows de juin 2018

Le 12 juin, Microsoft a annoncé la prise en charge Windows de la fonctionnalité SSBD (Speculative Store Bypass Disable) dans les processeurs Intel. Les mises à jour nécessitent des mises à jour correspondantes du microprogramme (microcode) et du Registre. Pour plus d’informations sur les mises à jour et sur la procédure à suivre pour activer la fonctionnalité SSBD, consultez la section « Actions recommandées » de l’article ADV180012 | Instructions de Microsoft concernant la vulnérabilité « Speculative Store Bypass ».

Mises à jour du système d’exploitation Windows de mai 2018

En janvier 2018, Microsoft a publié des informations sur une nouvelle classe de vulnérabilités matérielles (appelées « Spectre » et « Meltdown ») impliquant les canaux auxiliaires d’exécution spéculative et touchant les processeurs AMD, ARM et Intel à différents degrés. Le 21 mai 2018, Google Project Zero (GPZ), Microsoft et Intel ont divulgué deux nouvelles vulnérabilités de puce liées aux problèmes Spectre et Meltdown et appelées « Speculative Store Bypass » (SSB) et « Rogue System Registry Read ».

Les risques inhérents à ces vulnérabilités sont faibles pour les clients.

Pour plus d’informations sur ces vulnérabilités, consultez les ressources suivantes :

Applicabilité : Windows 10 version 1607, Windows Server 2016, Windows Server 2016 (installation Server Core) et Windows Server version 1709 (installation Server Core)

Nous avons fourni une prise en charge pour contrôler l’utilisation de Indirect Branch Prediction Barrier (IBPB) dans certains processeurs AMD afin d’atténuer la vulnérabilité CVE-2017-5715, variante 2 de Spectre, en cas de basculement du contexte utilisateur vers le contexte de noyau. (Pour plus d’informations, consultez les instructions relatives à l’architecture AMD concernant le contrôle Indirect Branch et les mises à jour de la sécurité des processeurs AMD.)

Si vous utilisez Windows 10 version 1607, Windows Server 2016, Windows Server 2016 (installation Server Core) ou Windows Server version 1709 (installation Server Core), vous devez installer la mise à jour de sécurité 4103723 pour bénéficier d’atténuations supplémentaires pour les processeurs AMD, pour la vulnérabilité CVE-2017-5715, « injection cible de branche ». Cette mise à jour est également disponible via Windows Update.

Suivez les instructions décrites dans les articles KB 4073119 pour les instructions des clients Windows (destinées aux professionnels de l’informatique) et KB 4072698 pour les instructions Windows Server afin d’activer l’utilisation de IBPB dans certains processeurs AMD afin d’atténuer la variante 2 de Spectre en cas de basculement du contexte utilisateur vers le contexte de noyau.

Microsoft publie les mises à jour du microcode validées par Intel disponibles en ce qui concerne la variante 2 de Spectre (CVE-2017-5715, « Branch Target Injection »). Pour obtenir les dernières mises à jour du microcode Intel au moyen de Windows Update, vous devez avoir installé le microcode Intel sur un appareil Windows 10 avant de procéder à la mise à niveau vers la mise à jour d’avril 2018 de Windows 10 (version 1803).

La mise à jour du microcode est également disponible directement à partir du Catalogue si elle n’était pas installée sur l’appareil avant la mise à niveau du système d’exploitation. Le microcode Intel est disponible par le biais de Windows Update, de WSUS ou du Catalogue Microsoft Update. Pour plus d’informations et pour obtenir les instructions de téléchargement, consultez l’article KB 4100347.

Nous proposerons des mises à jour supplémentaires du microcode fournies par Intel pour le système d’exploitation Windows dès qu’elles seront disponibles.

Microsoft publie les mises à jour du microcode validées par Intel disponibles en ce qui concerne la variante 2 de Spectre (CVE-2017-5715, « Branch Target Injection »). L’article KB 4093836 répertorie les articles spécifiques de la Base de connaissances par version de Windows. Chaque article contient les dernières mises à jour du microcode Intel disponibles par processeur.

Nous proposerons des mises à jour supplémentaires du microcode fournies par Intel pour le système d’exploitation Windows dès qu’elles seront disponibles.

Mises à jour du système d’exploitation Windows d’avril 2018

Applicabilité : Windows 10, version 1709

Nous avons fourni une prise en charge pour contrôler l’utilisation de Indirect Branch Prediction Barrier (IBPB) dans certains processeurs AMD afin d’atténuer la vulnérabilité CVE-2017-5715, variante 2 de Spectre, en cas de basculement du contexte utilisateur vers le contexte de noyau. (Pour plus d’informations, consultez les instructions relatives à l’architecture AMD concernant le contrôle Indirect Branch et les mises à jour de la sécurité des processeurs AMD.)

Suivez les instructions décrites dans l’article KB 4073119 pour les instructions des clients Windows (destinées aux professionnels de l’informatique) afin d’activer l’utilisation d’IBPB dans certains processeurs AMD afin d’atténuer la variante 2 de Spectre en cas de basculement du contexte utilisateur vers le contexte de noyau.

Microsoft publie les mises à jour du microcode validées par Intel disponibles en ce qui concerne la variante 2 de Spectre (CVE-2017-5715, « Branch Target Injection »). L’article KB4093836 répertorie les articles spécifiques de la Base de connaissances par version de Windows. Chaque article contient les dernières mises à jour du microcode Intel disponibles par processeur.

Nous proposerons des mises à jour supplémentaires du microcode fournies par Intel pour le système d’exploitation Windows dès qu’elles seront disponibles. 

Mises à jour du système d’exploitation Windows de mars 2018

23 mars, TechNet Security Research & Defense : KVA Shadow: Mitigating Meltdown on Windows (en anglais uniquement)

14 mars, Security TechCenter : Speculative Execution Side Channel Bounty Program Terms (en anglais uniquement)

13 mars, blog: March 2018 Windows security update – Expanding our efforts to protect customers (en anglais uniquement)

1er mars, blog : Update on Spectre and Meltdown security updates for Windows devices (en anglais uniquement)

Microsoft publie les mises à jour du microcode validées par Intel disponibles en ce qui concerne la variante 2 de Spectre (CVE-2017-5715, « Branch Target Injection »). L’article KB4093836 répertorie les articles spécifiques de la Base de connaissances par version de Windows. Chaque article contient les mises à jour du microcode Intel disponibles par processeur.

Nous proposerons des mises à jour supplémentaires du microcode fournies par Intel pour le système d’exploitation Windows dès qu’elles seront disponibles.

Depuis le mois de mars 2018, Microsoft a publié des mises à jour de sécurité pour fournir des atténuations pour les appareils qui exécutent l’un des systèmes d’exploitation Windows x86 ci-dessous. Vous devez installer les dernières mises à jour de sécurité du système d’exploitation Windows pour bénéficier de toutes les protections existantes. Nous travaillons pour fournir des protections pour les autres versions prises en charge de Windows, mais n’avons pas encore établi de calendrier de publication. Consultez régulièrement cette section pour obtenir les dernières mises à jour. Pour plus d’informations, consultez les détails techniques dans l’article correspondant de la Base de connaissances et la section forum aux questions ci-dessous.

Mise à jour de produit publiée

Statut

Date de publication

Canal de publication

Article

Windows 8.1 et Windows Server 2012 R2 - Mise à jour de sécurité uniquement

Publiée

13 mars

WSUS, Catalogue

KB4088879

Windows 7 SP1 et Windows Server 2008 R2 SP1 - Mise à jour de sécurité uniquement

Publiée

13 mars

WSUS, Catalogue

KB4088878

Windows Server 2012 - Mise à jour de sécurité uniquement
Windows 8 Embedded Standard Edition - Mise à jour de sécurité uniquement

Publiée

13 mars

WSUS, Catalogue

KB4088877

Windows 8.1 et Windows Server 2012 R2 - Correctif cumulatif mensuel

Publiée

13 mars

WU, WSUS, Catalogue

KB4088876

Windows 7 SP1 et Windows Server 2008 R2 SP1 - Correctif cumulatif mensuel

Publiée

13 mars

WU, WSUS, Catalogue

KB4088875

Windows Server 2012 - Correctif cumulatif mensuel
Windows 8 Embedded Standard Edition - Correctif cumulatif mensuel

Publiée

13 mars

WU, WSUS, Catalogue

KB4088877

Windows Server 2008 SP2

Publiée

13 mars

WU, WSUS, Catalogue

KB4090450

Depuis le mois de mars 2018, Microsoft a publié des mises à jour de sécurité pour fournir des atténuations pour les appareils qui exécutent l’un des systèmes d’exploitation Windows x64 ci-dessous. Vous devez installer les dernières mises à jour de sécurité du système d’exploitation Windows pour bénéficier de toutes les protections existantes. Nous travaillons pour fournir des protections pour les autres versions prises en charge de Windows, mais n’avons pas encore établi de calendrier de publication. Consultez régulièrement cette section pour obtenir les dernières mises à jour. Pour plus d’informations, consultez les détails techniques dans l’article correspondant de la Base de connaissances etla section forum aux questions.

Mise à jour de produit publiée

Statut

Date de publication

Canal de publication

Article

Windows Server 2012 - Mise à jour de sécurité uniquement
Windows 8 Embedded Standard Edition - Mise à jour de sécurité uniquement

Publiée

13 mars

WSUS, Catalogue

KB4088877

Windows Server 2012 - Correctif cumulatif mensuel
Windows 8 Embedded Standard Edition - Correctif cumulatif mensuel

Publiée

13 mars

WU, WSUS, Catalogue

KB4088877

Windows Server 2008 SP2

Publiée

13 mars

WU, WSUS, Catalogue

KB4090450

Cette mise à jour corrige une vulnérabilité d’élévation de privilèges dans le noyau Windows pour la version 64 bits (x64) de Windows. Cette vulnérabilité est décrite dans l’article CVE-2018-1038. Pour bénéficier d’une protection complète contre cette vulnérabilité, les utilisateurs doivent installer cette mise à jour si leur ordinateur a été mis à jour en ou après janvier 2018 en appliquant une des mises à jour listées dans l’article suivant de la Base de connaissances :

Mise à jour du noyau Windows pour CVE-2018-1038

Cette mise à jour de sécurité corrige plusieurs vulnérabilités signalées dans Internet Explorer. Pour en savoir plus sur ces vulnérabilités, consultez la page Microsoft Common Vulnerabilities and Exposures

Mise à jour de produit publiée

Statut

Date de publication

Canal de publication

Article

Internet Explorer 10 - Mise à jour cumulative pour Windows 8 Embedded Standard Edition

Publiée

13 mars

WU, WSUS, Catalogue

KB4089187

Mises à jour du système d’exploitation Windows de février 2018

Blog : Windows Analytics now helps assess Meltdown and Spectre protections (en anglais uniquement)

Les mises à jour de sécurité suivantes fournissent des protections supplémentaires pour les appareils qui exécutent un système d’exploitation Windows 32 bits (x86). Microsoft recommande aux clients d’installer la mise à jour dès que possible. Nous continuons de travailler pour fournir des protections pour les autres versions prises en charge de Windows, mais n’avons pas encore établi de calendrier de publication. Consultez régulièrement cette section pour obtenir les dernières mises à jour. 

Remarque Les mises à jour de sécurité mensuelles de Windows 10 sont cumulatives d’un mois à l’autre et sont téléchargées et installées automatiquement à partir de Windows Update. Si vous avez installé les mises à jour précédentes, seules les nouvelles parties sont téléchargées et installées sur votre appareil. Pour plus d’informations, consultez les détails techniques dans l’article correspondant de la Base de connaissances et la section forum aux questions ci-dessous.

Mise à jour de produit publiée

Statut

Date de publication

Canal de publication

Article

Windows 10 version 1709 / Windows Server 2016 (1709) / IoT Core - Mise à jour de qualité

Publiée

31 janvier

WU, Catalogue

KB4058258

Windows Server 2016 (1709) - Conteneur Server

Publiée

13 février

Hub Docker

KB4074588

Windows 10 version 1703 / IoT Core - Mise à jour de qualité

Publiée

13 février

WU, WSUS, Catalogue

KB4074592

Windows 10 version 1607 / Windows Server 2016 / IoT Core - Mise à jour de qualité

Publiée

13 février

WU, WSUS, Catalogue

KB4074590

Windows 10 HoloLens - Mises à jour du système d’exploitation et du microprogramme

Publiée

13 février

WU, Catalogue

KB4074590

Windows Server 2016 (1607) - Images de conteneur

Publiée

13 février

Hub Docker

KB4074590

Windows 10 version 1511 / IoT Core - Mise à jour de qualité

Publiée

13 février

WU, WSUS, Catalogue

KB4074591

Windows 10 - Version RTM - Mise à jour de qualité

Publiée

13 février

WU, WSUS, Catalogue

KB4074596

Mises à jour du système d’exploitation Windows de janvier 2018

Blog : Understanding the Performance Impact of Spectre and Meltdown Mitigations on Windows Systems (en anglais uniquement)

Depuis le mois de janvier 2018, Microsoft a publié des mises à jour de sécurité pour fournir des atténuations pour les appareils qui exécutent l’un des systèmes d’exploitation Windows x64 ci-dessous. Vous devez installer les dernières mises à jour de sécurité du système d’exploitation Windows pour bénéficier de toutes les protections existantes. Nous travaillons pour fournir des protections pour les autres versions prises en charge de Windows, mais n’avons pas encore établi de calendrier de publication. Consultez régulièrement cette section pour obtenir les dernières mises à jour. Pour plus d’informations, consultez les détails techniques dans l’article correspondant de la Base de connaissances et la section forum aux questions ci-dessous.

Mise à jour de produit publiée

Statut

Date de publication

Canal de publication

Article

Windows 10 version 1709 / Windows Server 2016 (1709) / IoT Core - Mise à jour de qualité

Publiée

3 janvier

WU, WSUS, Catalogue, Galerie d’images Azure

KB4056892

Windows Server 2016 (1709) - Conteneur Server

Publiée

5 janvier

Hub Docker

KB4056892

Windows 10 version 1703 / IoT Core - Mise à jour de qualité

Publiée

3 janvier

WU, WSUS, Catalogue

KB4056891

Windows 10 version 1607 / Windows Server 2016 / IoT Core - Mise à jour de qualité

Publiée

3 janvier

WU, WSUS, Catalogue

KB4056890

Windows Server 2016 (1607) - Images de conteneur

Publiée

4 janvier

Hub Docker

KB4056890

Windows 10 version 1511 / IoT Core - Mise à jour de qualité

Publiée

3 janvier

WU, WSUS, Catalogue

KB4056888

Windows 10 - Version RTM - Mise à jour de qualité

Publiée

3 janvier

WU, WSUS, Catalogue

KB4056893

Windows 10 Mobile (build du système d’exploitation 15254.192) - ARM

Publiée

5 janvier

WU, Catalogue

KB4073117

Windows 10 Mobile (build du système d’exploitation 15063.850)

Publiée

5 janvier

WU, Catalogue

KB4056891

Windows 10 Mobile (build du système d’exploitation 14393.2007)

Publiée

5 janvier

WU, Catalogue

KB4056890

Windows 10 HoloLens

Publiée

5 janvier

WU, Catalogue

KB4056890

Windows 8.1 / Windows Server 2012 R2 - Mise à jour de sécurité uniquement

Publiée

3 janvier

WSUS, Catalogue

KB4056898

Windows Embedded 8.1 Industry Enterprise

Publiée

3 janvier

WSUS, Catalogue

KB4056898

Windows Embedded 8.1 Industry Pro

Publiée

3 janvier

WSUS, Catalogue

KB4056898

Windows Embedded 8.1 Pro

Publiée

3 janvier

WSUS, Catalogue

KB4056898

Windows 8.1 / Windows Server 2012 R2 - Correctif cumulatif mensuel

Publiée

8 janvier

WU, WSUS, Catalogue

KB4056895

Windows Embedded 8.1 Industry Enterprise

Publiée

8 janvier

WU, WSUS, Catalogue

KB4056895

Windows Embedded 8.1 Industry Pro

Publiée

8 janvier

WU, WSUS, Catalogue

KB4056895

Windows Embedded 8.1 Pro

Publiée

8 janvier

WU, WSUS, Catalogue

KB4056895

Windows Server 2012 - Sécurité uniquement

Publiée

WSUS, Catalogue

Windows Server 2008 SP2

Publiée

WU, WSUS, Catalogue

Windows Server 2012 - Correctif cumulatif mensuel

Publiée

WU, WSUS, Catalogue

Windows Embedded 8 Standard

Publiée

WU, WSUS, Catalogue

Windows 7 SP1 / Windows Server 2008 R2 SP1 - Mise à jour de sécurité uniquement

Publiée

3 janvier

WSUS, Catalogue

KB4056897

Windows Embedded Standard 7

Publiée

3 janvier

WSUS, Catalogue

KB4056897

Windows Embedded POSReady 7

Publiée

3 janvier

WSUS, Catalogue

KB4056897

Windows Thin PC

Publiée

3 janvier

WSUS, Catalogue

KB4056897

Windows 7 SP1 / Windows Server 2008 R2 SP1 - Correctif cumulatif mensuel

Publiée

4 janvier

WU, WSUS, Catalogue

KB4056894

Windows Embedded Standard 7

Publiée

4 janvier

WU, WSUS, Catalogue

KB4056894

Windows Embedded POSReady 7

Publiée

4 janvier

WU, WSUS, Catalogue

KB4056894

Windows Thin PC

Publiée

4 janvier

WU, WSUS, Catalogue

KB4056894

Internet Explorer 11 - Mise à jour cumulative pour Windows 7 SP1 et Windows 8.1

Publiée

3 janvier

WU, WSUS, Catalogue

KB4056568

Ressources et conseils techniques

Selon le cas, les articles de support suivants peuvent vous aider à identifier et à atténuer les environnements client et serveur concernés par les vulnérabilités Spectre et Meltdown.

Avis de sécurité Microsoft concernant la vulnérabilité « L1 Terminal Fault » (L1TF) : Avis ADV180018 du MSRC, CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646

Security Research and Defense : Analyse et atténuation de la vulnérabilité « Speculative Store Bypass » (CVE-2018-3639)

Avis de sécurité Microsoft concernant la vulnérabilité « Speculative Store Bypass » : Avis ADV180012 du MSRC et CVE-2018-3639

Avis de sécurité Microsoft concernant la vulnérabilité « Rogue System Register Read » | Guide des mises à jour de sécurité pour Surface : Avis ADV180013 du MSRC et CVE-2018-3640

Security Research and Defense : Analyse et atténuation de la vulnérabilité « Speculative Store Bypass » (CVE-2018-3639)

TechNet Security Research & Defense : KVA Shadow: Mitigating Meltdown on Windows (en anglais uniquement)

Security Tech Center : Speculative Execution Side Channel Bounty Program Terms (en anglais uniquement)

Blog Microsoft Experience : Update on Spectre and Meltdown security updates for Windows devices (en anglais uniquement)

Blog Windows For Your Business : Windows Analytics now helps assess Meltdown and Spectre protections (en anglais uniquement)

Blog Microsoft Secure : Understanding the Performance Impact of Spectre and Meltdown Mitigations on Windows Systems (en anglais uniquement)

Blog Edge Developer : Mitigating speculative execution side-channel attacks in Microsoft Edge and Internet Explorer (en anglais uniquement)

Blog Azure : Securing Azure customers from CPU vulnerability (en anglais uniquement)

Instructions SCCM : Instructions supplémentaires pour atténuer les vulnérabilités de canal auxiliaire d’exécution spéculative

Avis Microsoft :

Intel : Avis de sécurité

ARM : Avis de sécurité

AMD : Avis de sécurité

NVIDIA : Avis de sécurité

Instructions destinées aux clients : Protéger votre appareil contre les vulnérabilités de sécurité liées à la puce

Instructions concernant les antivirus : Mises à jour de sécurité Windows publiées en janvier et février 2018 et antivirus

Instructions concernant le blocage des mises à jour de sécurité du système d’exploitation Windows pour AMD : KB4073707 : Blocage des mises à jour de sécurité du système d’exploitation Windows pour certains appareils AMD

Mise à jour pour désactiver l’atténuation contre la variante 2 de Spectre : KB4078130 : Intel a identifié des problèmes de redémarrage liés au microcode sur d’anciens processeurs 

Instructions Surface : Instructions Surface concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative

Vérification de l’état des atténuations du canal auxiliaire d’exécution spéculative : Présentation des résultats du script PowerShell Get-SpeculationControlSettings

Instructions destinées aux professionnels de l’informatique : Instructions des clients Windows destinées aux professionnels de l’informatique concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative

Instructions Server : Instructions Windows Server concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative

Instructions Server concernant la vulnérabilité « L1 Terminal Fault » : Instructions Windows Server concernant la protection contre la vulnérabilité « L1 Terminal Fault »

Instructions pour les développeurs : Instructions pour les développeurs concernant la vulnérabilité « Speculative Store Bypass »

Instructions Server Hyper-V

Base de connaissances Azure : KB4073235 : Protections Microsoft Cloud contre les vulnérabilités de canal auxiliaire d’exécution spéculative

Instructions pour Azure Stack : KB4073418 : Instructions concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative pour Azure Stack

Azure Reliability : Portail Azure Reliability

Instructions SQL Server : KB4073225 : Instructions SQL Server concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative

Liens vers les fabricants d’appareils OEM et serveurs proposant des mises à jour assurant une protection contre les vulnérabilités Spectre et Meltdown

Pour corriger ces vulnérabilités, vous devez mettre à jour votre matériel et vos logiciels. Utilisez les liens ci-dessous pour obtenir les mises à jour appropriées du microprogramme (microcode) auprès du fabricant de votre appareil.

Utilisez les liens ci-dessous pour obtenir les mises à jour du microprogramme (microcode) auprès du fabricant de votre appareil. Vous devez installer les mises à jour du système d’exploitation et du microprogramme (microcode) pour bénéficier de toutes les protections disponibles.

Fabricants d’appareils OEM

Lien vers la disponibilité du microcode

Acer

Failles de sécurité Meltdown et Spectre

Asus

Mise à jour ASUS sur l’exécution spéculative et la méthode d’analyse d’attaque par canal auxiliaire Indirect Branch Prediction

Dell

Vulnérabilités Meltdown et Spectre

Epson

Vulnérabilités du processeur (attaques par canal auxiliaire)

Fujitsu

Matériel CPU vulnérable aux attaques par canal auxiliaire (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HP

COMMUNICATION SUPPORT - BULLETIN DE SÉCURITÉ

Lenovo

Lecture de la mémoire privilégiée avec un canal auxiliaire

LG

Obtenir de l’aide et un support sur un produit

NEC

À propos de la réponse à la vulnérabilité du processeur (meltdown, spectrum) dans nos produits

Panasonic

Informations de sécurité sur la vulnérabilité par exécution spéculative et la méthode d’analyse d’attaque par canal auxiliaire Indirect Branch Prediction

Samsung

Annonce de la mise à jour logicielle des processeurs Intel

Surface

Instructions Surface concernant la protection contre les vulnérabilités de canal auxiliaire d’exécution spéculative

Toshiba

Failles de sécurité Intel, AMD et Microsoft liées à l’exécution spéculative et à la méthode d’analyse d’attaque par canal auxiliaire Indirect Branch Prediction (2017)

Vaio

À propos du support sur la vulnérabilité de l’analyse par canal auxiliaire

 

Fabricants de serveurs OEM

Lien vers la disponibilité du microcode

Dell

Vulnérabilités Meltdown et Spectre

Fujitsu

Matériel CPU vulnérable aux attaques par canal auxiliaire (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HPE

Alertes sur des failles de sécurité dans les produits Hewlett Packard Enterprise

Huawei

Avis de sécurité - Déclaration sur la divulgation par les médias des failles de sécurité dans l’architecture des processeurs Intel

Lenovo

Lecture de la mémoire privilégiée avec un canal auxiliaire

Forum aux questions

Exclusion de responsabilité sur les coordonnées externes

Microsoft fournit des informations de contacts externes afin de vous aider à obtenir un support technique sur ce sujet. Ces informations de contact peuvent être modifiées sans préavis. Microsoft ne garantit pas l’exactitude des informations concernant les sociétés externes.

Vous devez contacter le fabricant de votre appareil pour obtenir les mises à jour du microprogramme (microcode). Si le fabricant OEM de votre appareil ne figure pas dans le tableau, contactez-le directement.

Les mises à jour pour les appareils Surface sont disponibles pour les clients par le biais de Windows Update. Pour obtenir la liste des mises à jour du microprogramme (microcode) disponibles pour les appareils Surface, consultez l’article KB 4073065.

Dans le cas d’un appareil non-Microsoft, appliquez les mises à jour du microprogramme disponibles auprès du fabricant de l’appareil. Pour plus d’informations, contactez le fabricant de votre appareil.

La résolution d’une vulnérabilité matérielle à l’aide d’une mise à jour logicielle constitue un défi considérable, implique des atténuations pour les systèmes d’exploitation antérieurs et peut nécessiter des modifications importantes de l’architecture. Nous continuons de collaborer avec les fabricants de puces concernés pour déterminer le meilleur moyen de proposer les atténuations qui pourront être fournies dans des mises à jour ultérieures. Le remplacement des anciens appareils qui utilisent ces anciens systèmes d’exploitation et la mise à jour de l’antivirus devraient répondre au risque résiduel.

Remarques

  • Les produits qui ne bénéficient plus du support standard et étendu ne reçoivent pas ces mises à jour système. Nous recommandons à nos clients d’effectuer une mise à jour vers une version prise en charge du système. 

  • Les attaques par canal auxiliaire d’exécution spéculative exploitent le comportement et les fonctionnalités du processeur. Les fabricants de processeurs doivent tout d’abord déterminer les processeurs exposés et les signaler à Microsoft. Dans de nombreux cas, des mises à jour correspondantes du système d’exploitation sont également nécessaires pour que les clients puissent bénéficier d’une protection renforcée. Nous conseillons aux fournisseurs Windows CE soucieux de la sécurité de contacter leur fabricant de processeurs pour comprendre les failles de sécurité et les atténuations possibles.

  • Nous ne publions pas de mises à jour pour les plateformes suivantes :

    • Systèmes d’exploitation Windows ne bénéficiant plus du support ou dont la fin du service (EOS) est prévue pour 2018

    • Systèmes Windows XP, y compris WES 2009, et POSReady 2009


Bien que les systèmes Windows XP fassent partie des produits concernés, Microsoft ne publie pas de mise à jour pour ces produits, car les modifications d’architecture complètes nécessaires menaceraient la stabilité du système et pourraient provoquer des problèmes de compatibilité entre les applications. Nous recommandons aux clients soucieux de la sécurité de procéder à la mise à niveau vers un système d’exploitation pris en charge plus récent afin de suivre la cadence des menaces de sécurité variables et de tirer parti des protections plus efficaces offertes par les systèmes d’exploitation plus récents.

Les mises à jour pour Windows 10 pour HoloLens sont disponibles pour les clients HoloLens par le biais de Windows Update.

Après l’application de la mise à jour de sécurité Windows de février 2018, les clients HoloLens ne doivent entreprendre aucune action supplémentaire pour mettre à jour le microprogramme de leur appareil. Ces atténuations seront également incluses dans toutes les versions futures de Windows 10 pour HoloLens.

Contactez votre fabricant OEM pour plus d’informations.

Pour que vous puissiez bénéficier d’une protection complète de votre appareil, vous devez installer les dernières mises à jour de sécurité du système d’exploitation Windows pour votre appareil et les mises à jour appropriées du microprogramme (microcode) disponibles auprès du fabricant de l’appareil. Ces mises à jour devraient être disponibles sur le site web du fabricant. Commencez par installer les mises à jour de l’antivirus. Vous pouvez installer les mises à jour du système d’exploitation et du microprogramme dans l’ordre de votre choix.

Vous devez mettre à jour votre matériel et vos logiciels pour corriger ces vulnérabilités. Vous devez aussi installer les mises à jour appropriées du microprogramme (microcode) disponibles auprès du fabricant de votre appareil pour bénéficier d’une protection renforcée. Nous vous encourageons à installer les mises à jour de sécurité mensuelles afin de maintenir vos appareils à jour.

Dans chaque publication de fonctionnalités Windows 10, nous intégrons les dernières technologies de sécurité dans le système d’exploitation afin de fournir des fonctionnalités de défense en profondeur empêchant tout impact de classes entières de programmes malveillants sur votre appareil. Les publications des mises à jour des fonctionnalités ont lieu deux fois par an. Dans chaque mise à jour de qualité mensuelle, nous ajoutons une autre couche de sécurité afin de suivre les tendances d’apparition et d’évolution des programmes malveillants afin de renforcer la sécurité des systèmes face à l’évolution des menaces.

Microsoft a levé le contrôle de compatibilité d’antivirus pour les mises à jour de sécurité Windows pour les versions prises en charge des appareils Windows 10, Windows 8.1 et Windows 7 SP1 par le biais de Windows Update. 

Recommandations :

  • Assurez-vous que vos appareils sont à jour en fonction des dernières mises à jour de sécurité disponibles auprès de Microsoft et du fabricant de matériel. Pour plus d’informations sur le maintien à jour de votre appareil, consultez la page Windows Update : Forum aux questions.

  • Faites preuve en permanence de prudence lorsque vous visitez des sites web d’origine inconnue et ne restez pas sur les sites auxquels vous ne faites pas confiance. Microsoft recommande à tous ses clients de protéger leurs appareils à l’aide d’un antivirus pris en charge. Les clients peuvent également utiliser la protection antivirus intégrée : Windows Defender pour les appareils Windows 10 ou Microsoft Security Essentials pour les appareils Windows 7. Ces solutions sont compatibles au cas oÙ les clients ne peuvent pas installer ou exécuter un antivirus.

Afin d’éviter tout impact négatif sur les appareils, les mises à jour de sécurité Windows publiées en janvier ou en février n’ont pas été proposées à tous les clients. Pour plus d’informations, consultez l’article 4072699 de la Base de connaissances Microsoft

Intel a signalé des problèmes qui affectent le microcode récemment publié afin de corriger la variante 2 de Spectre (CVE-2017-5715, injection cible de branche). En particulier, Intel a constaté que ce microcode peut provoquer « un nombre de redémarrages plus important que prévu et d’autres comportements imprévisibles du système » et que ces situations peuvent entraîner « la perte ou l’altération des données ».  D’après notre expérience, l’instabilité du système peut, dans certains cas, provoquer la perte ou l’altération des données. Le 22 janvier, Intel a recommandé à ses clients d’arrêter le déploiement de la version actuelle du microcode sur les processeurs concernés pendant qu’il réalisait des tests supplémentaires sur la solution mise à jour. Nous comprenons qu’Intel poursuit ses recherches sur l’impact potentiel de la version actuelle du microcode et nous invitons nos clients à consulter régulièrement ses instructions pour les aider à prendre des décisions.

En attendant qu’Intel teste, mette à jour et déploie un nouveau microcode, nous publions aujourd’hui une mise à jour hors cycle (OOB), KB 4078130, qui désactive uniquement l’atténuation contre la vulnérabilité CVE-2017-5715, « injection cible de branche ». Nos tests confirment que cette mise à jour empêche le comportement décrit. Pour obtenir la liste complète des appareils concernés, consultez les instructions de révision du microcode d’Intel). Cette mise à jour concerne Windows 7 (SP1), Windows 8.1 et toutes les versions de Windows 10 (client et serveur). Si vous utilisez un appareil concerné, vous pouvez appliquer cette mise à jour en la téléchargeant sur le site web Catalogue Microsoft Update. L’application de cette charge utile désactive en particulier uniquement l’atténuation contre la vulnérabilité CVE-2017-5715, « injection cible de branche ». 

En date du 25 janvier, il n’existe aucun rapport connu faisant état d’une utilisation de la variante 2 de Spectre (CVE-2017-5715) dans le but d’attaquer des clients. Nous recommandons aux utilisateurs Windows de réactiver le cas échéant l’atténuation contre CVE-2017-5715 dès qu’Intel aura signalé que ce comportement imprévisible du système est résolu pour l’appareil concerné.

Non. Les mises à jour de sécurité uniquement ne sont pas cumulatives. Selon la version du système d’exploitation que vous utilisez, vous devez installer toutes les mises à jour de sécurité uniquement publiées pour bénéficier d’une protection contre ces vulnérabilités. Par exemple, si vous utilisez Windows 7 pour systèmes 32 bits sur un processeur Intel concerné, vous devez installer chaque mise à jour de sécurité uniquement à partir de janvier 2018. Nous recommandons d’installer ces mises à jour de sécurité uniquement dans leur ordre de publication.
 
Remarque Une version antérieure de ce forum aux questions indiquait de manière erronée que la mise à jour de sécurité uniquement de février contenait les correctifs de sécurité publiés en janvier. En réalité, ce n’est pas le cas.

Non. La mise à jour de sécurité 4078130 était un correctif spécifique destiné à empêcher les comportements imprévisibles du système, les problèmes de performances et les redémarrages inattendus suite à l’installation du microcode. L’application des mises à jour de sécurité de février sur les systèmes d’exploitation clients Windows active toutes les trois atténuations. Sur les systèmes d’exploitation serveurs Windows, vous devez encore activer les atténuations une fois les tests appropriés effectués. Pour plus d’informations, consultez l’article 4072698 de la Base de connaissances Microsoft.

AMD a récemment annoncé avoir commencé à publier un microcode pour les plateformes de processeur les plus récentes en ce qui concerne la variante 2 de Spectre (CVE-2017-5715, « Branch Target Injection »). Pour plus d’informations, consultez les mises à jour de la sécurité des processeurs AMD et le Livre blanc AMD : instructions relatives à l’architecture concernant le contrôle Indirect Branch. Ces documents sont disponibles à partir du canal de microprogramme OEM. 

Intel a récemment annoncé avoir terminé les opérations de validation et commencé à publier un microcode pour les plateformes de processeur les plus récentes. Microsoft publie les mises à jour du microcode validées par Intel disponibles en ce qui concerne la variante 2 de Spectre (CVE-2017-5715, « Branch Target Injection »). L’article KB 4093836 répertorie les articles spécifiques de la Base de connaissances par version de Windows. Chaque article contient les mises à jour du microcode Intel disponibles par processeur.

Microsoft publie les mises à jour du microcode validées par Intel disponibles en ce qui concerne la variante 2 de Spectre (CVE-2017-5715, « Branch Target Injection »). Pour obtenir les dernières mises à jour du microcode Intel au moyen de Windows Update, vous devez avoir installé le microcode Intel sur un appareil Windows 10 avant de procéder à la mise à niveau vers la mise à jour d’avril 2018 de Windows 10 (version 1803).

La mise à jour du microcode est également disponible directement à partir du Catalogue Microsoft Update si elle n’était pas installée sur l’appareil avant la mise à niveau du système. Le microcode Intel est disponible par le biais de Windows Update, de WSUS ou du Catalogue Microsoft Update. Pour plus d’informations et pour obtenir les instructions de téléchargement, consultez l’article KB 4100347.

Pour plus d’informations, consultez les sections « Actions recommandées » et « Forum aux questions » de l’article ADV180012 | Instructions de Microsoft concernant la vulnérabilité « Speculative Store Bypass ».

Pour vérifier l’état de la fonctionnalité SSBD, le script PowerShell Get-SpeculationControlSettings a été mis à jour pour détecter les processeurs concernés, l’état des mises à jour du système d’exploitation SSBD et l’état du microcode du processeur, le cas échéant. Pour plus d’informations et pour obtenir le script PowerShell, consultez l’article KB4074629.

Le 13 juin 2018, une vulnérabilité supplémentaire impliquant l’exécution spéculative par canal auxiliaire, appelée « Lazy FP State Restore », a été annoncée et attribuée à la CVE-2018-3665. Aucun paramètre de configuration (Registre) n’est nécessaire pour Lazy FP State Restore.

Pour plus d’informations sur cette vulnérabilité et sur les actions recommandées, consultez l’avis de sécurité suivant : ADV180016 | Instructions de Microsoft concernant la vulnérabilité « Lazy FP State Restore »

Remarque Aucun paramètre de configuration (Registre) n’est nécessaire pour Lazy FP State Restore.

La vulnérabilité « Bounds Check Bypass Store » (BCBS) a été divulguée le 10 juillet 2018 et attribuée à la CVE-2018-3693. Nous estimons que BCBS appartient à la même classe de vulnérabilités que « Bounds Check Bypass » (variante 1). À ce jour, nous n’avons connaissance d’aucune instance de BCBS dans nos logiciels. Nous poursuivons toutefois nos recherches sur cette classe de vulnérabilités et nous collaborerons avec des partenaires du secteur pour publier des atténuations, le cas échéant. Microsoft continue à encourager les chercheurs à transmettre leurs résultats et constatations dans le cadre du programme Bounty Speculative Execution Side Channel de Microsoft, entre autres toute instance exploitable de BCBS. Les développeurs de logiciels doivent consulter les instructions pour les développeurs mises à jour pour BCBS à l’adresse https://aka.ms/sescdevguide.

Le 14 août 2018, la vulnérabilité « L1 Terminal Fault » (L1TF) a été annoncée et attribuée à plusieurs CVE. Ces nouvelles vulnérabilités de canal auxiliaire d’exécution spéculative peuvent servir à lire le contenu de la mémoire sur une limite approuvée et, en cas d’exploitation, peuvent entraîner une divulgation d’informations. Il existe plusieurs vecteurs permettant à un attaquant de déclencher les vulnérabilités en fonction de l’environnement configuré. La vulnérabilité L1TF touche les processeurs Intel® Core® et Intel® Xeon®.

Pour plus d’informations sur cette vulnérabilité et pour obtenir une présentation détaillée des scénarios concernés, entre autres l’approche de Microsoft en ce qui concerne l’atténuation de L1TF, consultez les ressources suivantes :

Clients Microsoft Surface : Si vous utilisez des produits Microsoft Surface et Surface Book, vous devez suivre les instructions destinées aux clients Windows décrites dans l’avis de sécurité suivant : ADV180018 | Instructions de Microsoft pour atténuer la variante L1TF. Consultez également l’article 4073065 de la Base de connaissances Microsoft pour plus d’informations sur les produits Surface concernés et sur la disponibilité des mises à jour du microcode.

Clients Microsoft HoloLens : Microsoft HoloLens n’est pas concerné par la vulnérabilité L1TF, car il n’utilise pas de processeur Intel concerné.

La procédure à suivre pour désactiver l’hyperthreading varie d’un fabricant à l’autre, mais elle est généralement effectuée à l’aide des outils de configuration du BIOS ou du microprogramme.

Si vous utilisez des processeurs ARM 64 bits, vous devez contacter le fabricant OEM de l’appareil pour obtenir un support sur le microprogramme, car, pour pouvoir être appliquées, les protections du système d’exploitation ARM64 qui atténuent la vulnérabilité CVE-2017-5715 - Branch Target Injection (Spectre, variante 2) nécessitent la dernière mise à jour du microprogramme.

Pour plus d’informations sur cette vulnérabilité, consultez le guide des mises à jour de sécurité Microsoft : CVE-2019-1125 | Vulnérabilité de divulgation d’informations dans le noyau Windows.

Microsoft n’a connaissance d’aucun cas oÙ cette vulnérabilité de divulgation d’informations touche son infrastructure de services cloud.

Dès qu’elle a eu connaissance de ce problème, Microsoft a cherché rapidement une solution à ce problème et a publié une mise à jour. Microsoft est convaincue qu’une étroite collaboration avec les chercheurs et les partenaires du secteur permet de renforcer la sécurité des clients. Elle n’a dès lors publié les détails que le mardi 6 août, conformément à des pratiques de divulgation de vulnérabilité coordonnée.

Besoin d’aide ?

Développez vos compétences
Découvrez des formations
Accédez aux nouvelles fonctionnalités en avant-première
Rejoindre Microsoft Insider

Ces informations vous ont-elles été utiles ?

Nous vous remercions pour vos commentaires.

Merci pour vos commentaires. Il serait vraisemblablement utile pour vous de contacter l’un de nos agents du support Office.

×