|
שנה תאריך |
שינוי תיאור |
|---|---|
|
ה-9 באוגוסט 2023 |
|
|
9 באפריל 2024 |
|
סיכום
מאמר זה מספק מידע ועדכונים עבור מחלקה חדשה של פגיעויות ערוץ צדדי המבוססות על מעבדים מודרניים ומבוססות סיליקון וביצוע ספקולטיבי המשפיעות על מעבדים מודרניים ומערכות הפעלה רבות. בנוסף, היא מספקת רשימה מקיפה של משאבי לקוח ושרת של Windows כדי לסייע בשמירה על המכשירים שלך מוגנים בבית, בעבודה ובארגונות השונים. הדבר כולל את Intel, AMD ו- ARM. ניתן למצוא פרטי פגיעות ספציפיים עבור בעיות אלה המבוססות על סיליקון ב- CVEs ובעיות האבטחה הבאות:
-
ADV180002 - הדרכה להפחתת פגיעויות ערוץ צדדי של ביצוע ספקולטיבי
-
ADV190013 - הדרכה של Microsoft להפחתת פגיעויות בדגימה של נתונים מיקרו-ארכיון
-
ADV220002 - הדרכה של Microsoft לגבי פגיעויות נתונים מיושות של מעבד Intel MMIO
ב- 3 בינואר 2018, Microsoft פרסמה עדכוני אבטחה ועדכונים מינורית הקשורים למחלקת פגיעויות חומרה שהתגלו לאחרונה (המכונה Spectre ו- Meltdown) הכוללות ערוצי צד של ביצוע ספקולטיבי המשפיעים על מעבדי AMD, ARM ו- Intel במעלות משתנות. מחלקה זו של פגיעויות מבוססת על ארכיטקטורת שבבים משותפת שתוכננה במקור לזרז את מהירות המחשבים. תוכל לקבל מידע נוסף על פגיעויות אלה ב- Google Project Zero.
ב- 21 במאי 2018, Google Project Zero (GPZ), Microsoft ו- Intel חשפו שתי פגיעויות שבב חדשות הקשורות לבעיות Spectre ו- Meltdown והן ידועות כמעקף ספקולטיבי של Store (SSB) ו-Rogue System Registry Read. סיכון הלקוח בשתי החשיפה הוא נמוך.
לקבלת מידע נוסף אודות פגיעויות אלה, עיין במשאבים המפורטים תחת עדכוני מערכת ההפעלה Windows מאי 2018, ועיין ב- Security Advisories הבאות:
ב- 13 ביוני 2018, הוכרז על פגיעות נוספת הקשורה לביצוע ספקולטיבי של ערוץ צדדי, שנקרא "שחזור מצב FP עצל", והוכרז כי הוא הוקצה ל- CVE-2018-3665. לקבלת מידע נוסף אודות פגיעות זו ופעולות מומלצות, עיין ב- Security Advisory הבא:
ב- 14 באוגוסט 2018, הוכרז כי ב- L1 Terminal Fault (L1TF) הוכרזה פגיעות ערוץ צדדי חדשה של ביצוע ספקולטיבי הכוללת CVEs מרובים. L1TF משפיע על מעבדי Intel® Core® ועל מעבדי Intel® Xeon®. לקבלת מידע נוסף אודות L1TF ופעולות מומלצות, עיין ב- Security Advisory שלנו:
הערה: מומלץ להתקין את כל העדכונים האחרונים מ- Windows Update לפני התקנת עדכוני מיקרו-קוד.
ב- 14 במאי 2019, Intel פרסמה מידע על דרגת משנה חדשה של פגיעויות ערוץ צדדי של ביצוע ספקולטיבי הידועות כדגימה של נתונים של Microarchitectural. הוקצו להם ה- CVEs הבאים:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "דגימה של נתוני מאגר מאגר של מיקרו-ארכיון (MSBDS)"
-
CVE-2018-12127 – "דגימה של נתוני מאגר מילוי מיקרו-ארכיון (MFBDS)"
-
CVE-2018-12130 – "דגימה של נתוני יציאת טעינה של מיקרו-ארכיון (MLPDS)"
חשוב: בעיות אלה ישפיעו על מערכות אחרות כגון Android, Chrome, iOS ו- MacOS. אנו ממליצים ללקוחות לבקש הדרכה מהספקים המתאימים שלהם.
Microsoft פרסמה עדכונים כדי לסייע בהפחתת פגיעויות אלה. כדי לקבל את כל הגנות הזמינות, נדרשים עדכוני קושחה (מיקרו-קוד) ותוכנה. זה עשוי לכלול מיקרו-קוד של יצרני ציוד מקורי של מכשיר. במקרים מסוימים, התקנת עדכונים אלה תשפיע על הביצועים. פעלנו גם כדי לאבטח את שירותי הענן שלנו.
הערה: מומלץ להתקין את כל העדכונים האחרונים מ- Windows Update לפני התקנת עדכוני מיקרו-קוד.
לקבלת מידע נוסף אודות בעיות אלה ופעולות מומלצות אלה, עיין ב- Security Advisory הבא:
ב- 6 באוגוסט 2019, Intel פרסמה פרטים על פגיעות גילוי מידע של הליבה של Windows. פגיעות זו היא משתנה של פגיעות ערוץ צדדי של ביצוע ספקולטיבי Spectre Variant 1 שהוקצתה ל- CVE-2019-1125.
Microsoft פרסמה עדכון אבטחה עבור מערכת ההפעלה Windows ב- 9 ביולי 2019 כדי לעזור לצמצם את הבעיה. לקוחות שהופעלו Windows Update את עדכוני האבטחה שהופצו ב- 9 ביולי, 2019 מוגנים באופן אוטומטי. שים לב שפגיעות זו אינה דורשת עדכון מיקרו-קוד של יצרן המכשיר (OEM).
לקבלת מידע נוסף אודות פגיעות זו ועדכונים ישימים, ראה CVE-2019-1125 | פגיעות של גילוי מידע של הליבה של Windows במדריך עדכון האבטחה של Microsoft.
ב- 14 ביוני 2022, Intel פרסמה מידע על דרגת משנה חדשה של פגיעויות ערוץ צדדי של I/O ממופה על-ידי ביצוע ספקולטיבי (MMIO) המפורטות ב- Advisory:
שלבים שיעזרו להגן על מכשירי Windows שלך
ייתכן שתצטרך לעדכן הן את הקושחה (המיקרו-קוד) והן את התוכנה שלך כדי לטפל בפגיעות אלה. עיין ב- Microsoft Security Advisories לקבלת פעולות מומלצות. הדבר כולל עדכוני קושחה (מיקרו-קוד) ישימים של יצרני מכשירים, ובבמקרים מסוימים, עדכונים בתוכנת האנטי-וירוס שלך. אנו ממליצים לעדכן באופן שוטף את המכשירים שלך על-ידי התקנת עדכוני האבטחה החודשיים.
כדי לקבל את כל הגנות הזמינות, בצע שלבים אלה כדי לקבל את העדכונים האחרונים עבור התוכנה וה חומרה.
הערה: לפני שתתחיל, ודא שתוכנת האנטי-וירוס (AV) שלך מעודכנת ותואם. בדוק את אתר האינטרנט של יצרן תוכנת האנטי-וירוס כדי לקבל את פרטי התאימות המעודכנים ביותר.
-
שמור על מכשיר Windows מעודכן על-ידי הפעלת עדכונים אוטומטיים.
-
ודא שהתקנת את עדכון האבטחה האחרון של Microsoft למערכת ההפעלה Windows. אם עדכונים אוטומטיים מופעלים, העדכונים אמורים להישלח אליך באופן אוטומטי. עם זאת, עדיין עליך לוודא שהם מותקנים. לקבלת הוראות, ראה Windows Update: שאלות נפוצות
-
התקן עדכוני קושחה (מיקרו-קוד) זמינים של יצרן המכשיר שלך. כל הלקוחות תצטרך לגשת ליצרן המכשיר שלהם כדי להוריד ולהתקין את עדכון החומרה הספציפי למכשיר שלהם. עיין בסעיף "משאבים נוספים" לקבלת רשימה של אתרי אינטרנט של יצרן המכשיר.
הערה: הלקוחות צריכים להתקין את עדכוני האבטחה האחרונים של מערכת ההפעלה Windows מ- Microsoft כדי לנצל את היתרונות של ההגנות הזמינות. תחילה יש להתקין את עדכוני התוכנה של האנטי-וירוס. לאחר מכן יש להתקין עדכונים למערכת ההפעלה ולקושחה. אנו ממליצים לעדכן באופן שוטף את המכשירים שלך על-ידי התקנת עדכוני האבטחה החודשיים.
השבבים המושפעים כוללים את אלה המיוצרים על-ידי Intel, AMD ו- ARM. משמעות הדבר היא שכל המכשירים שבהם פועלות מערכות ההפעלה של Windows עשויים להיות פגיעים. הדבר כולל מחשבים שולחניים, מחשבים נישאים, שרתי ענן וטלפונים חכמים. מכשירים שבהם פועלות מערכות הפעלה אחרות, כגון Android, Chrome, iOS ו- macOS, מושפעים אף הם. אנו ממליצים ללקוחות המפעילים מערכות הפעלה אלה לחפש הדרכה מספקים אלה.
בעת הפרסום, לא קיבלנו מידע המציין כי פגיעויות אלה שימשו לתקיפות לקוחות.
החל מינואר 2018, Microsoft פרסמה עדכונים עבור מערכות ההפעלה של Windows ודפדפני האינטרנט Internet Explorer ו- Edge כדי לסייע בהפחתת פגיעויות אלה ולעזור בהגנה על לקוחות. פרסמנו גם עדכונים לאבטחת שירותי הענן שלנו. אנו ממשיכים לעבוד בשיתוף פעולה עם שותפים בתעשייה, כולל יצרני שבבים, יצרני ציוד מקורי של חומרה וספקי אפליקציות, כדי להגן על לקוחות מפני רמת פגיעות זו.
אנו ממליצים לך להתקין תמיד את העדכונים החודשיים כדי להבטיח שהמכשירים שלך יהיו עדכניים ומאובטחים.
אנו נעדכן תיעוד זה כאשר צמצום סיכונים חדש יהפוך לזמין, ואנו ממליצים שתבדוק כאן שוב באופן קבוע.
עדכונים למערכת ההפעלה Windows יולי 2019
ב- 6 באוגוסט 2019, Intel חשף פרטים לגבי פגיעות האבטחה CVE-2019-1125 | פגיעות גילוי מידע של הליבה של Windows. עדכוני אבטחה עבור פגיעות זו פורסמו כחלק מההפצה החודשית של העדכון החודשי של יולי ב- 9 ביולי, 2019.
Microsoft פרסמה עדכון אבטחה עבור מערכת ההפעלה Windows ב- 9 ביולי 2019 כדי לעזור לצמצם את הבעיה. עד לחשיפה המתואמת של הענף ביום שלישי, 6 באוגוסט, 2019.
לקוחות שהופעלו Windows Update את עדכוני האבטחה שהופצו ב- 9 ביולי, 2019 מוגנים באופן אוטומטי. שים לב שפגיעות זו אינה דורשת עדכון מיקרו-קוד של יצרן המכשיר (OEM).
עדכונים למערכת ההפעלה Windows מאי 2019
ב- 14 במאי 2019, Intel פרסמה מידע על דרגת משנה חדשה של פגיעויות ערוץ צדדי של ביצוע ספקולטיבי הידועות בשם Microarchitectural Data Sampling והקציו את ה- CVEs הבאים:
-
CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "דגימה של נתוני מאגר מאגר של מיקרו-ארכיון (MSBDS)"
-
CVE-2018-12127 – "דגימה של נתוני מאגר מילוי מיקרו-ארכיון (MFBDS)"
-
CVE-2018-12130 – "דגימה של נתוני יציאת טעינה של מיקרו-ארכיון (MLPDS)"
לקבלת מידע נוסף אודות בעיה זו, עיין בהדרכה הבאה בנושא אבטחה מינורית והשתמש בהדרכה מבוססת תרחישים המתוארת במאמרי ההנחיות של Windows ללקוחות ול- שרת כדי לקבוע את הפעולות הדרושות כדי לצמצם את האיום:
Microsoft פרסמה הגנות מפני דרגות משנה חדשות של פגיעויות ערוץ צדדי של ביצוע ספקולטיבי הידועות בשם Microarchitectural Data Sampling עבור גירסאות 64 סיביות (x64) של Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).
השתמש בהגדרות הרישום כמתואר במאמרים Windows Client (KB4073119) ו - Windows Server (KB4457951 ). הגדרות רישום אלה מופעלות כברירת מחדל עבור מהדורות מערכת ההפעלה Windows Client ומהדורות מערכת ההפעלה Windows Server.
מומלץ להתקין תחילה את כל העדכונים האחרונים Windows Update, לפני התקנת עדכוני מיקרו-קוד.
לקבלת מידע נוסף אודות בעיה זו ופעולות מומלצות, עיין ב- Security Advisory הבא:
Intel פרסמה עדכון מיקרו-קוד עבור פלטפורמות CPU אחרונות כדי לסייע בהפחתת CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. מאמר KB של Windows ב- 14 במאי 2019 4093836 מאמרי Knowledge Base ספציפיים לפי גירסת מערכת ההפעלה Windows. המאמר מכיל גם קישורים לעדכונים הזמינים למיקרו-קוד של Intel על-ידי ה- CPU. עדכונים אלה זמינים דרך Microsoft Catalog.
הערה: מומלץ להתקין את כל העדכונים האחרונים מ- Windows Update לפני התקנת עדכוני מיקרו-קוד.
אנו שמחים להכריז ש- Retpoline מופעל כברירת מחדל במכשירי Windows 10, גירסה 1809 (עבור לקוח בשרת) אם Spectre Variant 2 (CVE-2017-5715) זמין. על-ידי הפעלת Retpoline בגירסה העדכנית ביותר של Windows 10, באמצעות העדכון מ- 14 במאי 2019 (KB 4494441), אנו צופים ביצועים משופרים, במיוחד במעבדים ישנים יותר.
על הלקוחות לוודא הגנות קודמות על מערכת ההפעלה מפני פגיעות Spectre Variant 2 מופעלות באמצעות הגדרות הרישום המתוארות במאמרים Windows Client ו - Windows Server . (הגדרות רישום אלה מופעלות כברירת מחדל עבור מהדורות מערכת ההפעלה Windows Client, אך מושבתות כברירת מחדל עבור מהדורות מערכת ההפעלה Windows Server). לקבלת מידע נוסף על "Retpoline", ראה צמצום Spectre variant 2 באמצעות Retpoline ב- Windows.
עדכונים למערכת ההפעלה Windows 2018 בנובמבר 2018
Microsoft פרסמה הגנות מערכת הפעלה עבור מעקף ספקולטיבי של Store (CVE-2018-3639) עבור מעבדי AMD (יחידות CPU).
Microsoft פרסמה הגנות נוספות למערכת ההפעלה עבור לקוחות המשתמשים במעבדי ARM של 64 סיביות. פנה ליצרן הציוד המקורי של המכשיר לקבלת תמיכה בקושחה מכיוון שהגנת מערכת ההפעלה ARM64 אשר מצמצם את CVE-2018-3639, מעקף ספקולטיבי של החנות, מחייבות את עדכון הקושחה האחרון מה- OEM של המכשיר שלך.
עדכונים למערכת ההפעלה Windows בספטמבר 2018
ב- 11 בספטמבר 2018, Microsoft הפיצה את אוסף העדכונים החודשי של Windows Server 2008 SP2 4458010 ואבטחה בלבד 4457984 עבור Windows Server 2008 המספק הגנות מפני פגיעות ערוץ צדדי של ביצוע ספקולטיבי שנקראת L1 Terminal Fault (L1TF) שמשפיעה על מעבדי Intel® Core® ומעבדי Intel® Xeon® (CVE-2018-3620 ו- CVE-2018-3646).
מהדורה זו משלים את הגנות הנו נוספות בכל גירסאות המערכת הנתמכות של Windows באמצעות Windows Update. לקבלת מידע נוסף ורשימה של מוצרים מושפעים, ראה ADV180018 | הדרכה של Microsoft לצמצום וריאציה של L1TF.
הערה: Windows Server 2008 SP2 פועל כעת בהתאם למודל הרגיל של אוסף השירות של Windows. לקבלת מידע נוסף אודות שינויים אלה, עיין בבלוג שלנו שינויי השירות של Windows Server 2008 SP2. לקוחות שמשתמשים ב- Windows Server 2008 צריכים להתקין 4458010 או 4457984, בנוסף לעדכון אבטחה 4341832, שפורסם ב- 14 באוגוסט 2018. בנוסף, לקוחות צריכים לוודא הגנות קודמות על מערכת ההפעלה מפני פגיעויות Spectre Variant 2 ו- Meltdown מופעלות באמצעות הגדרות הרישום המתוארות במאמרי ההנחיות KB של לקוח Windows ו- Windows Server . הגדרות רישום אלה מופעלות כברירת מחדל עבור מהדורות מערכת ההפעלה Windows Client, אך אינן זמינות כברירת מחדל עבור מהדורות מערכת ההפעלה Windows Server.
Microsoft פרסמה הגנות נוספות למערכת ההפעלה עבור לקוחות המשתמשים במעבדי ARM של 64 סיביות. פנה ליצרן הציוד המקורי (OEM) של המכשיר לקבלת תמיכה בקושחה מכיוון שהגנת מערכת ההפעלה ARM64 אשר מצמצם את CVE-2017-5715 - הזרקת יעד הסתעפות (Spectre, Variant 2) מחייבת שעדכון הקושחה האחרון של יצרני ציוד מקורי של המכשיר שלך יהיה בתוקף.
עדכונים למערכת ההפעלה Windows אוגוסט 2018
ב- 14 באוגוסט 2018, הוכרז על תקלת מסוף L1 (L1TF) והקציה אליה מספר CVEs. פגיעויות ערוץ צדדי חדשות אלה של ביצוע ספקולטיבי יכולות לשמש כדי לקרוא את תוכן הזיכרון בגבול מהימן, ואם ייעשה בהם שימוש לרעה, עלולות להוביל לגילוי מידע. קיימים וקטורים מרובים שבהם תוקף עשוי להפעיל את הפגיעויות בהתאם לסביבה שתצורתה נקבעה. L1TF משפיע על מעבדי Intel® Core® ועל מעבדי Intel® Xeon®.
לקבלת מידע נוסף על L1TF ותצוגה מפורטת של תרחישים מושפעים, כולל הגישה של Microsoft לצמצום L1TF, עיין במשאבים הבאים:
עדכונים למערכת ההפעלה Windows יולי 2018
אנו שמחים להודיע ש- Microsoft השלימה לשחרר הגנות נוספות בכל גירסאות המערכת הנתמכות של Windows באמצעות Windows Update עבור הפגיעויות הבאות:
-
Spectre Variant 2 עבור מעבדי AMD
-
מעקף ספקולטיבי של החנות עבור מעבדי Intel
ב- 13 ביוני 2018, הוכרז על פגיעות נוספת הקשורה לביצוע ספקולטיבי של ערוץ צדדי, שנקרא "שחזור מצב FP עצל", והוכרז כי הוא הוקצה ל- CVE-2018-3665. אין הגדרות תצורה (רישום) הדרושות לשחזור FP של שחזור עצלן.
לקבלת מידע נוסף אודות פגיעות זו, מוצרים מושפעים ופעולות מומלצות, עיין ב- Security Advisory הבא:
ב- 12 ביוני, הכריזה Microsoft על תמיכת Windows עבור מעקף ספקולטיבי של Store Disable (SSBD) במעבדי Intel. העדכונים דורשים עדכוני קושחה (מיקרו-קוד) תואמים ורישום עבור פונקציונליות. לקבלת מידע על העדכונים ועל השלבים להחלה כדי להפעיל SSBD, עיין בסעיף "פעולות מומלצות" ב- ADV180012 | הדרכה של Microsoft לגבי מעקף ספקולטיבי של החנות.
עדכונים למערכת ההפעלה Windows מאי 2018
בינואר 2018, Microsoft פרסמה מידע על מחלקה חדשה שהתגלתה של פגיעויות חומרה (שנקראות Spectre ו- Meltdown) הכוללות ערוצים צדדיים של ביצוע ספקולטיבי המשפיעים על מעבדי AMD, ARM ו- Intel למעלות משתנות. ב- 21 במאי 2018, Google Project Zero (GPZ), Microsoft ו- Intel חשפו שתי פגיעויות שבב חדשות הקשורות לבעיות Spectre ו- Meltdown הידועות כמעקף ספקולטיבי של Store (SSB) ו-Rogue System Registry Read.
סיכון הלקוח בשתי החשיפה הוא נמוך.
לקבלת מידע נוסף אודות פגיעויות אלה, עיין במשאבים הבאים:
-
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 ו- CVE-2018-3639
-
Microsoft Security Advisory for Rogue System Register Read: MSRC ADV180013ו - CVE-2018-3640
-
מחקר והגנה בנושא אבטחה: ניתוח והפחתת סיכונים של מעקף ספקולטיבי של החנות (CVE-2018-3639)
חל על: Windows 10, גירסה 1607, Windows Server 2016, Windows Server 2016 (התקנת ליבת שרת) ו- Windows Server, גירסה 1709 (התקנת ליבת שרת)
סיפקנו תמיכה כדי לשלוט בשימוש במחסום חיזוי ענף עקיף (IBPB) במעבדי AMD מסוימים (מעבדים) לצמצום CVE-2017-5715, Spectre Variant 2 בעת מעבר מהקשר משתמש להקשר ליבה. (לקבלת מידע נוסף, ראה הנחיות ארכיטקטורת AMD סביב בקרת ענף עקיף ו- AMD אבטחה עדכונים).
לקוחות המפעילים את Windows 10, גירסה 1607, Windows Server 2016, Windows Server 2016 (התקנת שרת ליבה) ו- Windows Server, גירסה 1709 (התקנת שרת ליבה) חייבים להתקין עדכון אבטחה 4103723 לקבלת צמצום סיכונים נוסף עבור מעבדי AMD עבור CVE-2017-5715, הזרקת יעד הסתעפות. עדכון זה זמין גם דרך Windows Update.
בצע את ההוראות המתוארות ב- KB 4073119 עבור Windows Client (IT Pro) והדרכה בנושא KB 4072698 עבור Windows Server כדי לאפשר שימוש ב- IBPB במעבדי AMD מסוימים (מעבדים) לצמצום Spectre Variant 2 בעת מעבר מהקשר משתמש להקשר ליבה.
Microsoft מבצעת עדכונים למיקרו-קוד שאומתו על-ידי Intel סביב Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). כדי לקבל את העדכונים האחרונים למיקרו-קוד של Intel באמצעות Windows Update, על הלקוחות להתקין מיקרו-קוד של Intel במכשירים שבהם פועלת מערכת הפעלה של Windows 10 לפני השדרוג לעדכון מאפריל 2018 של Windows 10 (גירסה 1803).
עדכון מיקרו-קוד יהיה זמין ישירות מתוך קטלוג אם לא הותקן במכשיר לפני השדרוג של מערכת ההפעלה. מיקרו-קוד של Intel זמין דרך Windows Update, WSUS או Microsoft Update Catalog. לקבלת מידע נוסף והוראות הורדה, ראה KB 4100347.
אנו נציע עדכוני מיקרו-קוד נוספים מ- Intel עבור מערכת ההפעלה Windows כאשר הם יהיו זמינים ל- Microsoft.
חל על: גרסה 1709 של Windows 10
סיפקנו תמיכה כדי לשלוט בשימוש במחסום חיזוי ענף עקיף (IBPB) במעבדי AMD מסוימים (מעבדים) לצמצום CVE-2017-5715, Spectre Variant 2 בעת מעבר מהקשר משתמש להקשר ליבה. (לקבלת מידע נוסף, ראה הנחיות ארכיטקטורת AMD סביב בקרת ענף עקיף ו- AMD אבטחה עדכונים).
בצע את ההוראות המפורטות ב- KB 4073119 עבור Windows Client (IT Pro) כדי לאפשר שימוש ב- IBPB במעבדי AMD מסוימים (מעבדים) לצמצום Spectre Variant 2 בעת מעבר מהקשר משתמש להקשר ליבה.
Microsoft מבצעת עדכונים למיקרו-קוד שאומתו על-ידי Intel סביב Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 מאמרי Knowledge Base ספציפיים לפי גירסת Windows. כל KB ספציפי מכיל את העדכונים האחרונים של מיקרו-קוד Intel הזמינים על-ידי CPU.
אנו נציע עדכוני מיקרו-קוד נוספים מ- Intel עבור מערכת ההפעלה Windows כאשר הם יהיו זמינים ל- Microsoft.
עדכונים של מערכת ההפעלה Windows מרץ 2018 ואילך
23 במרץ, מחקר אבטחה של TechNet &: צל KVA: צמצום Meltdown על Windows
14 במרץ, Security Tech Center: תנאים ספקולטיביים של תוכנית הערוץ הצדדי לביצוע
13 במרץ, בלוג: עדכון אבטחת Windows מרץ 2018 – הרחבת המאמצים שלנו להגן על לקוחות
1 במרץ, בלוג: עדכון על עדכוני האבטחה של Spectre ו- Meltdown עבור מכשירי Windows
החל במרץ 2018, Microsoft פרסמה עדכוני אבטחה כדי לספק צמצום סיכונים למכשירים שבהם פועלות מערכות ההפעלה הבאות של Windows המבוססות על x86. על הלקוחות להתקין את עדכוני האבטחה האחרונים של מערכת ההפעלה Windows כדי לנצל את היתרונות של הגנות זמינות. אנו פועלים כדי לספק הגנות עבור גירסאות נתמכות אחרות של Windows, אך אין לנו לוח זמנים להפצה בשלב זה. בדוק כאן שוב אם קיימים עדכונים. לקבלת מידע נוסף, עיין במאמר Knowledge Base הקשור לקבלת פרטים טכניים וסעיף "שאלות נפוצות".
|
עדכון מוצר הופץ |
מצב |
תאריך הפצה |
ערוץ הפצה |
KB |
|
Windows 8.1 & Windows Server 2012 R2 - עדכון אבטחה בלבד |
הופץ |
13-מרץ |
WSUS, קטלוג, |
|
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 - עדכון אבטחה בלבד |
הופץ |
13-מרץ |
WSUS, קטלוג |
|
|
Windows Server 2012 - עדכון אבטחה בלבד |
הופץ |
13-מרץ |
WSUS, קטלוג |
|
|
Windows 8.1 & Windows Server 2012 R2 - אוסף עדכונים חודשי |
הופץ |
13-מרץ |
WU, WSUS, קטלוג |
|
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 - אוסף עדכונים חודשי |
הופץ |
13-מרץ |
WU, WSUS, קטלוג |
|
|
Windows Server 2012 - אוסף עדכונים |
הופץ |
13-מרץ |
WU, WSUS, קטלוג |
|
|
Windows Server 2008 SP2 |
הופץ |
13-מרץ |
WU, WSUS, קטלוג |
החל במרץ 2018, Microsoft פרסמה עדכוני אבטחה כדי לספק צמצום סיכונים עבור מכשירים שבהם פועלות מערכות ההפעלה הבאות של Windows המבוססות על x64. על הלקוחות להתקין את עדכוני האבטחה האחרונים של מערכת ההפעלה Windows כדי לנצל את היתרונות של הגנות זמינות. אנו פועלים כדי לספק הגנות עבור גירסאות נתמכות אחרות של Windows, אך אין לנו לוח זמנים להפצה בשלב זה. בדוק כאן שוב אם קיימים עדכונים. לקבלת מידע נוסף, עיין במאמר Knowledge Base לקבלת פרטים טכניים וסעיף "שאלות נפוצות".
|
עדכון מוצר הופץ |
מצב |
תאריך הפצה |
ערוץ הפצה |
KB |
|
Windows Server 2012 - עדכון אבטחה בלבד |
הופץ |
13-מרץ |
WSUS, קטלוג |
|
|
Windows Server 2012 - אוסף עדכונים |
הופץ |
13-מרץ |
WU, WSUS, קטלוג |
|
|
Windows Server 2008 SP2 |
הופץ |
13-מרץ |
WU, WSUS, קטלוג |
עדכון זה מטפל בהורדת רמת הפגיעות של הרשאות בליבת Windows בגירסת 64 הסיביות (x64) של Windows. פגיעות זו מופיעה ב- CVE-2018-1038. על המשתמשים להחיל עדכון זה כדי להיות מוגנים באופן מלא מפני פגיעות זו אם המחשבים שלהם עודכנו ב- ינואר 2018 או לאחר מכן על-ידי החלת אחד מהעדכונים המפורטים במאמר Knowledge Base הבא:
עדכון אבטחה זה פותר כמה פגיעויות שדווחו ב- Internet Explorer. לקבלת מידע נוסף על פגיעויות אלה, ראה פגיעויות נפוצות וה חשיפות של Microsoft.
|
עדכון מוצר הופץ |
מצב |
תאריך הפצה |
ערוץ הפצה |
KB |
|
Internet Explorer 10 - עדכון מצטבר עבור Windows 8 Embedded Standard Edition |
הופץ |
13-מרץ |
WU, WSUS, קטלוג |
עדכונים למערכת ההפעלה Windows שפורסם בפברואר 2018
בלוג: Windows Analytics עוזר כעת להעריך הגנות Spectre ו- Meltdown
עדכוני האבטחה הבאים מספקים הגנות נוספות עבור מכשירים שבהם פועלות מערכות הפעלה של Windows של 32 סיביות (x86). Microsoft ממליצה ללקוחות להתקין את העדכון ברגע שהוא זמין. אנו ממשיכים לפעול כדי לספק הגנות עבור גירסאות נתמכות אחרות של Windows, אך אין לנו לוח זמנים להפצה בשלב זה. בדוק כאן שוב אם קיימים עדכונים.
הערה Windows 10 האבטחה החודשיים הם חודשים מצטברים מחודש, וההורדה וההתקנה שלהם יתבצעו באופן אוטומטי Windows Update. אם התקנת עדכונים קודמים, רק החלקים החדשים יורדו ויתקינו במכשיר שלך. לקבלת מידע נוסף, עיין במאמר Knowledge Base הקשור לקבלת פרטים טכניים וסעיף "שאלות נפוצות".
|
עדכון מוצר הופץ |
מצב |
תאריך הפצה |
ערוץ הפצה |
KB |
|
Windows 10 - גירסה 1709 \ IoT Core - עדכון איכות \ (Windows Server 2016 (1709 |
הופץ |
31-ינו |
WU, קטלוג |
|
|
Windows Server 2016 (1709) - שרת של גורם מכיל |
הופץ |
13-פבר |
מרכז Docker |
|
|
Windows 10 - גירסה 1703 / IoT Core - עדכון איכות |
הופץ |
13-פבר |
WU, WSUS, קטלוג |
|
|
Windows 10 - גירסה 1607 / Windows Server 2016 / IoT Core - עדכון איכות |
הופץ |
13-פבר |
WU, WSUS, קטלוג |
|
|
Windows 10 HoloLens - מערכת הפעלה ומערכת עדכונים |
הופץ |
13-פבר |
WU, קטלוג |
|
|
Windows Server 2016 (1607) - תמונות של גורמים מכילים |
הופץ |
13-פבר |
מרכז Docker |
|
|
Windows 10 - גירסה 1511 / IoT Core - עדכון איכות |
הופץ |
13-פבר |
WU, WSUS, קטלוג |
|
|
Windows 10 - גירסה RTM - עדכון איכות |
הופץ |
13-פבר |
WU, WSUS, קטלוג |
עדכונים למערכת ההפעלה Windows שפורסם בינואר 2018
בלוג: הבנת ההשפעה על הביצועים של צמצום Spectre ו- Meltdown במערכות Windows
החל מינואר 2018, Microsoft פרסמה עדכוני אבטחה כדי לספק צמצום סיכונים למכשירים שבהם פועלות מערכות ההפעלה הבאות של Windows המבוססות על x64. על הלקוחות להתקין את עדכוני האבטחה האחרונים של מערכת ההפעלה Windows כדי לנצל את היתרונות של הגנות זמינות. אנו פועלים כדי לספק הגנות עבור גירסאות נתמכות אחרות של Windows, אך אין לנו לוח זמנים להפצה בשלב זה. בדוק כאן שוב אם קיימים עדכונים. לקבלת מידע נוסף, עיין במאמר Knowledge Base הקשור לקבלת פרטים טכניים וסעיף "שאלות נפוצות".
|
עדכון מוצר הופץ |
מצב |
תאריך הפצה |
ערוץ הפצה |
KB |
|
Windows 10 - גירסה 1709 \ IoT Core - עדכון איכות \ (Windows Server 2016 (1709 |
הופץ |
3-ינו |
WU, WSUS, קטלוג, גלריית תמונות של Azure |
|
|
Windows Server 2016 (1709) - שרת של גורם מכיל |
הופץ |
5-ינו |
מרכז Docker |
|
|
Windows 10 - גירסה 1703 / IoT Core - עדכון איכות |
הופץ |
3-ינו |
WU, WSUS, קטלוג |
|
|
Windows 10 - גירסה 1607 \ IoT Core - עדכון איכות \ Windows Server 2016 |
הופץ |
3-ינו |
WU, WSUS, קטלוג |
|
|
Windows Server 2016 (1607) - תמונות של גורמים מכילים |
הופץ |
4-ינו |
מרכז Docker |
|
|
Windows 10 - גירסה 1511 / IoT Core - עדכון איכות |
הופץ |
3-ינו |
WU, WSUS, קטלוג |
|
|
Windows 10 - גירסה RTM - עדכון איכות |
הופץ |
3-ינו |
WU, WSUS, קטלוג |
|
|
Windows 10 Mobile (גירסת Build של מערכת ההפעלה 15254.12) - ARM |
הופץ |
5-ינו |
WU, קטלוג |
|
|
Windows 10 Mobile (גירסת Build של מערכת ההפעלה 15063.850) |
הופץ |
5-ינו |
WU, קטלוג |
|
|
Windows 10 Mobile (גירסת Build של מערכת ההפעלה 14393.2007) |
הופץ |
5-ינו |
WU, קטלוג |
|
|
Windows 10 HoloLens |
הופץ |
5-ינו |
WU, קטלוג |
|
|
Windows 8.1 / Windows Server 2012 R2 - עדכון אבטחה בלבד |
הופץ |
3-ינו |
WSUS, קטלוג |
|
|
Windows Embedded 8.1 Industry Enterprise |
הופץ |
3-ינו |
WSUS, קטלוג |
|
|
Windows Embedded 8.1 Industry Pro |
הופץ |
3-ינו |
WSUS, קטלוג |
|
|
Windows Embedded 8.1 Pro |
הופץ |
3-ינו |
WSUS, קטלוג |
|
|
Windows 8.1 / Windows Server 2012 R2 אוסף עדכונים חודשי |
הופץ |
8-ינו |
WU, WSUS, קטלוג |
|
|
Windows Embedded 8.1 Industry Enterprise |
הופץ |
8-ינו |
WU, WSUS, קטלוג |
|
|
Windows Embedded 8.1 Industry Pro |
הופץ |
8-ינו |
WU, WSUS, קטלוג |
|
|
Windows Embedded 8.1 Pro |
הופץ |
8-ינו |
WU, WSUS, קטלוג |
|
|
Windows Server 2012 עדכוני אבטחה בלבד |
הופץ |
WSUS, קטלוג |
||
|
Windows Server 2008 SP2 |
הופץ |
WU, WSUS, קטלוג |
||
|
Windows Server 2012 אוסף עדכונים חודשי |
הופץ |
WU, WSUS, קטלוג |
||
|
Windows Embedded 8 Standard |
הופץ |
WU, WSUS, קטלוג |
||
|
Windows 7 SP1 / Windows Server 2008 R2 SP1 - עדכון אבטחה בלבד |
הופץ |
3-ינו |
WSUS, קטלוג |
|
|
Windows Embedded Standard 7 |
הופץ |
3-ינו |
WSUS, קטלוג |
|
|
Windows Embedded POSReady 7 |
הופץ |
3-ינו |
WSUS, קטלוג |
|
|
מחשב דק של Windows |
הופץ |
3-ינו |
WSUS, קטלוג |
|
|
Windows 7 SP1 / Windows Server 2008 R2 SP1 אוסף עדכונים חודשי |
הופץ |
4-ינו |
WU, WSUS, קטלוג |
|
|
Windows Embedded Standard 7 |
הופץ |
4-ינו |
WU, WSUS, קטלוג |
|
|
Windows Embedded POSReady 7 |
הופץ |
4-ינו |
WU, WSUS, קטלוג |
|
|
מחשב דק של Windows |
הופץ |
4-ינו |
WU, WSUS, קטלוג |
|
|
Internet Explorer 11 - עדכון מצטבר עבור Windows 7 SP1 ו- Windows 8.1 |
הופץ |
3-ינו |
WU, WSUS, קטלוג |
ב- 9 באפריל 2024 פרסמנו את CVE-2022-0001 | הזרקת היסטוריית ענף של Intel המתארת הזרקת היסטוריית ענף (BHI) שהיא צורה ספציפית של BTI במצב אינטרא-מצב. פגיעות זו מתרחשת כאשר תוקף עשוי לטפל בהיסטוריית הסתעפות לפני מעבר ממשתמש למצב מפקח (או מ- VMX שאינו בסיס/אורח למצב בסיס). טיפול זה עלול לגרום לחיזוי ענף עקיף לבחור ערך חיזוי ספציפי עבור ענף עקיף, וגאדג'ט גילוי ביעד החזוי יופעל זמנית. ייתכן שזה אפשרי מכיוון שהיסטוריית הענף הרלוונטית עשויה להכיל ענפים שבוצעו בהקשרי אבטחה קודמים, ובפרט מצבי חיזוי אחרים.
בצע את ההוראות המתוארות ב- KB4073119 עבור Windows Client (IT Pro) הדרכה ו- KB4072698 לקבלת הדרכה עבור Windows Server כדי לצמצם את הפגיעויות המתוארות ב- CVE-2022-0001 | הזרקת היסטוריה של ענף Intel.
משאבים והדרכה טכנית
בהתאם לתפקיד שלך, מאמרי התמיכה הבאים יכולים לעזור לך לזהות ולצמצם סביבות לקוח ושרת המושפעות מהפגיעות Spectre ו- Meltdown.
Microsoft Security Advisory עבור תקלת מסוף L1 (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 ו - CVE-2018-3646
מחקר והגנה בנושא אבטחה: ניתוח והפחתת סיכונים של מעקף ספקולטיבי של החנות (CVE-2018-3639)
Microsoft Security Advisory for Speculative Store Bypass: MSRC ADV180012 ו- CVE-2018-3639
Microsoft Security Advisory for Rogue System Register Read | מדריך עדכון אבטחה עבור Surface: MSRC ADV180013ו- CVE-2018-3640
מחקר והגנה בנושא אבטחה: ניתוח והפחתת סיכונים של מעקף ספקולטיבי של החנות (CVE-2018-3639)
TechNet Security Research & Defense: KVA Shadow: צמצום Meltdown ב- Windows
המרכז הטכני לאבטחה: תנאי התוכנית הפרסים של הערוץ הצדדי לביצוע ספקולטיבי
בלוג החוויה של Microsoft: עדכון על עדכוני האבטחה של Spectre ו- Meltdown עבור מכשירי Windows
הבלוג של Windows לעסקים: Windows Analytics עוזר כעת להעריך הגנות Spectre ו- Meltdown
בלוג Microsoft Secure: הבנת השפעת הביצועים על צמצום צמצום הביצועים של Spectre ו- Meltdown במערכות Windows
בלוג למפתחי Edge: צמצום תקיפות ערוץ צדדי של ביצוע ספקולטיבי ב- Microsoft Edge וב- Internet Explorer
בלוג Azure: אבטחת לקוחות Azure מפני פגיעויות CPU
SCCM נוספת: הדרכה נוספת לצמצום פגיעויות ערוץ צדדי של ביצוע ספקולטיבי
Microsoft Advisories:
-
ADV180002 | הדרכה להפחתת פגיעויות ערוץ צדדי של ביצוע ספקולטיבי
-
ADV180013 | הדרכה של Microsoft עבור רישום מערכת נוכלים קריאה
Intel: Security Advisory
ARM: Security Advisory
AMD: Security Advisory
NVIDIA: Security Advisory
הדרכה לצרכנים: הגנה על המכשיר שלך מפני פגיעויות אבטחה הקשורות לשבבים
הדרכה עבור אנטי-וירוס: עדכוני האבטחה של Windows שהופצו ב- 3 בינואר, 2018 ותוכנות אנטי-וירוס
הדרכה עבור חסימת עדכוני אבטחה של מערכת ההפעלה Windows AMD: KB4073707: חסימת עדכוני אבטחה של מערכת ההפעלה Windows עבור מכשירים מסוימים המבוססים על AMD
עדכון כדי לבטל צמצום סיכונים נגד Spectre, Variant 2: KB4078130: Intel זיהתה בעיות אתחול מחדש עם מיקרו-קוד במעבדים ישנים מסוימים
הדרכה של Surface: הדרכה של Surface להגנה מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי
אימות המצב של צמצום סיכונים בערוץ צדדי של ביצוע ספקולטיבי: הבנת Get-SpeculationControlSettings Script של PowerShell
הדרכה למומחי IT: הדרכה עבור מומחי IT של Windows להגנה מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי
הדרכה עבור השרת: הדרכה עבור Windows Server להגנה מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי
הדרכה עבור תקלת מסוף של L1: הדרכה של Windows Server להגנה מפני תקלה במסוף L1
הדרכה למפתחים: הדרכה למפתחים עבור מעקף ספקולטיבי של החנות
הדרכה על שרתים מסוג Hyper-V
Azure KB: KB4073235: הגנות בענן של Microsoft מפני ביצוע ספקולטיבי Side-Channel פגיעויות
הדרכה עבור Azure Stack: KB4073418: הדרכה של Azure Stack להגנה מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי
אמינות Azure: פורטל המהימנות של Azure
SQL Server: KB4073225: SQL Server הדרכה להגנה מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי
קישורים ליצרני התקנים של OEM ו- Server לקבלת עדכונים להגנה מפני פגיעויות Spectre ו- Meltdown
כדי לסייע בפתרון פגיעויות אלה, עליך לעדכן הן את החומרה והן את התוכנה. השתמש בקישורים הבאים כדי לגשת ליצרן המכשיר לקבלת עדכוני קושחה (מיקרו-קוד) ישימים.
השתמש בקישורים הבאים כדי לבדוק עם יצרן המכשיר שלך אם קיימים עדכוני קושחה (מיקרו-קוד). יהיה עליך להתקין גם את עדכוני מערכת ההפעלה וגם את עדכוני הקושחה (מיקרו-קוד) עבור כל הגנות הזמינות.
|
יצרני מכשירי OEM |
קישור לזמינות מיקרו-קוד |
|
Acer |
|
|
Asus |
ASUS Update on Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method |
|
Dell |
|
|
Epson |
|
|
Fujitsu |
חומרת CPU חשופה להתקפות ערוץ צדדי (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
|
HP |
|
|
Lenovo |
|
|
LG |
|
|
NEC |
|
|
Panasonic |
מידע אבטחה של פגיעות על-ידי ביצוע ספקולטיבי ושיטה עקיפה לניתוח ערוץ צדדי של חיזוי ענף |
|
Samsung |
|
|
Surface |
הדרכה עבור Surface להגנה מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי |
|
Toshiba |
|
|
Vaio |
|
יצרנים של שרתי OEM |
קישור לזמינות מיקרו-קוד |
|
Dell |
|
|
Fujitsu |
חומרת CPU חשופה להתקפות ערוץ צדדי (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754) |
|
HPE |
|
|
Huawei |
הודעת אבטחה - הצהרה על גילוי המדיה של פגיעויות האבטחה בעיצוב ארכיטקטורת ה- CPU של Intel |
|
Lenovo |
שאלות נפוצות
תצטרך לבדוק עם יצרן המכשיר אם קיימים עדכוני קושחה (מיקרו-קוד). אם יצרן המכשיר שלך לא מופיע ברשימה, צור קשר עם ה- OEM שלך ישירות.
עדכונים עבור מכשירי Microsoft Surface זמינים ללקוחות באמצעות Windows Update. לקבלת רשימה של עדכוני קושחה (מיקרו-קוד) זמינים עבור מכשירי Surface, ראה KB 4073065.
אם המכשיר שלך אינו מ- Microsoft, החל עדכוני קושחה של יצרן המכשיר. פנה ליצרן המכשירלקבלת מידע נוסף.
טופלה פגיעות חומרה על-ידי שימוש בעדכון תוכנה, מהווה אתגרים משמעותיים והפחתת סיכונים עבור מערכות הפעלה ישנות יותר ויכולה לדרוש שינויים נרחבים בארכיטקטורה. אנו ממשיכים לעבוד עם יצרני השבבים המושפעים כדי לחקור את הדרך הטובה ביותר לספק צמצום סיכונים. ייתכן שעדכון זה יפורסם בעתיד. החלפת מכשירים ישנים יותר שבהם פועלות מערכות הפעלה ישנות יותר אלה וכן עדכון תוכנת אנטי-וירוס אמור לטפל בסיכון שנותר.
הערות:
-
מוצרים שהתמיכה הרגילה והמורחבת שלהם אינה זמינה בשלב זה לא יקבלו עדכוני מערכת אלה. אנו ממליצים ללקוחות לעדכן לגירסת מערכת נתמכת.
-
תקיפות ערוץ צדדי של ביצוע ספקולטיבי מנצלות את אופן הפעולה והפונקציונליות של המעבד. על יצרני המעבדים לקבוע תחילה אילו מעבדים עשויים להיות בסיכון, ולאחר מכן להודיע ל- Microsoft. במקרים רבים, עדכונים תואמים של מערכת ההפעלה יידרשו גם הם כדי לספק ללקוחות הגנה מקיפה יותר. אנו ממליצים לספקים בעלי מודעות Windows CE לעבוד עם יצרן השבבים שלהם כדי להבין את הפגיעויות ואת צמצום הסיכונים הרלוונטיים.
-
אנו לא ננפיק עדכונים עבור הפלטפורמות הבאות:
-
מערכות הפעלה של Windows שתמה תקופת התמיכה שלהם או מערכות הפעלה שסיום השירות (EOS) שלהן מתקרב בשנת 2018
-
מערכות מבוססות Windows XP, כולל WES 2009 ו- POSReady 2009
-
למרות שמערכות המבוססות על Windows XP מושפעות, Microsoft אינה הנפקת עדכון עבורן מכיוון שהשינויים המקיפים בארכיטקטורה הנדרשים יהוו סיכון ליציבות המערכת ותגרם לבעיות תאימות לאפליקציות. אנו ממליצים ללקוחות בעלי מודעות לאבטחה לשדרג למערכת הפעלה חדשה יותר ונתמכת, כדי שיוכלו לעמוד בקצב של נוף איומי האבטחה המשתנה ולהנות מהיתרונות של ההגנות החזקות שמסופקות במערכות ההפעלה החדשות יותר.
פנה ליצרן הציוד המקורי לקבלת מידע נוסף.
כדי שהמכשיר שלך יהיה מוגן באופן מלא, עליך להתקין את עדכוני האבטחה האחרונים של מערכת ההפעלה Windows עבור המכשיר שלך ואת עדכוני הקושחה (מיקרו-קוד) הרלוונטיים של יצרן המכשיר שלך. עדכוני קושחה אלו אמורים להיות זמינים באתר האינטרנט של יצרן המכשיר שלך. תחילה יש להתקין את עדכוני התוכנה של האנטי-וירוס. עדכונים של מערכת ההפעלה והקושחה יכולים להיות מותקנים בכל סדר.
יהיה עליך לעדכן גם את החומרה וגם את התוכנה שלך כדי לטפל בפגיעות זו. תצטרך גם להתקין עדכוני קושחה (מיקרו-קוד) ישימים של יצרן המכשיר שלך לקבלת הגנה מקיפה יותר. אנו ממליצים לעדכן באופן שוטף את המכשירים שלך על-ידי התקנת עדכוני האבטחה החודשיים.
בכל Windows 10 תכונה, אנו בונים את טכנולוגיית האבטחה העדכנית ביותר עמוק במערכת ההפעלה, ומספקים תכונות הגנה לעומק שמונעות ממחלקות שלמות של תוכנות זדוניות להשפיע על המכשיר שלך. עדכוני התכונות מופצים פעמיים השנה. בכל עדכון איכות חודשי, אנו מוסיפים שכבה נוספת של אבטחה העוקבת אחר מגמות מתפתחות ומשתנים בתוכנות זדוניות כדי להפוך מערכות עדכניות לבטוחות יותר מפני איומים משתנים ומתפתחים.
Microsoft הרמה את בדיקת התאימות של האנטי-וירוס עבור עדכוני אבטחה של Windows עבור גירסאות נתמכות של מכשירי Windows 10, Windows 8.1 ו- Windows 7 SP1 באמצעות Windows Update.
המלצות:
-
ודא שהמכשירים שלך מעודכנים על-ידי עדכון האבטחה האחרון של Microsoft ויצרן החומרה שלך. לקבלת מידע נוסף על האופן שבו תוכל לשמור על המכשיר שלך מעודכן, ראה Windows Update: שאלות נפוצות.
-
המשך לנהוג בזהירות כאשר אתה מבקר באתרי אינטרנט ממקור לא ידוע, ואל תישאר באתרים שאינך נותן בהם אמון. Microsoft ממליצה לכל הלקוחות להגן על המכשירים שלהם על-ידי הפעלת תוכנית אנטי-וירוס נתמכת. בנוסף, לקוחות יכולים לנצל את הגנת האנטי-וירוס המובנית: Windows Defender למכשירי Windows 10 או Microsoft Security Essentials למכשירי Windows 7. פתרונות אלה תואמים במקרים שבהם לקוחות אינם יכולים להתקין או להפעיל תוכנת אנטי-וירוס.
כדי לסייע במניעת השפעה לרעה על מכשירי הלקוחות, עדכוני האבטחה של Windows שהופצו בינואר או בפברואר לא הוצעו לכל הלקוחות. לקבלת פרטים, עיין במאמר Microsoft Knowledge Base 4072699.
Intel דיווחה על בעיות שמשפיעות על מיקרו-קוד שפורסם לאחרונה, המיועד לטפל ב- Spectre Variant 2 (CVE-2017-5715 – "הזרקת יעד הסתעפות"). באופן ספציפי, Intel ציפתה שמיקרו-קוד זה עלול לגרום ל"אתחולים מחדש גבוהים מהצפוי ו אופן פעולה בלתי צפוי אחר של המערכת" וכן מצבים כאלה עלולים לגרום ל"אובדן נתונים או נזק". הניסיון שלנו הוא כי אי-יציבות המערכת יכולה, בנסיבות מסוימות, לגרום לאובדן נתונים או להשחתה. ב- 22 בינואר, Intel ממליצה ללקוחות להפסיק לפרוס את גירסת המיקרו-קוד הנוכחית במעבדים המושפעים בזמן שהם מבצעים בדיקות נוספות לגבי הפתרון המעודכן. אנו מבינים ש- Intel ממשיכה לחקור את ההשפעה הפוטנציאלית של גירסת המיקרו-קוד הנוכחית, ואנו מעודדים את הלקוחות לסקור את ההנחיות שלהם באופן שוטף כדי לקבל את ההחלטות שלהם.
בזמן ש- Intel בודקת, מעדכנת ופריסת מיקרו-קוד חדש, אנו זמינים לעדכון מוכן לשימוש (OOB), KB 4078130, אשר משבית באופן ספציפי רק את צמצום הסיכונים כנגד CVE-2017-5715 – "הזרקת יעד הסתעפות". בבדיקות שלנו, עדכון זה נמצא כדי למנוע את אופן הפעולה המתואר. לקבלת הרשימה המלאה של המכשירים, ראה הדרכה לתיקון מיקרו-קוד של Intel. עדכון זה חל על Windows 7 (SP1), Windows 8.1 וכל הגירסאות של Windows 10 עבור לקוח ועבור שרת. אם אתה מפעיל מכשיר מושפע, ניתן להחיל עדכון זה על-ידי הורדתו מאתר האינטרנט Microsoft Update Catalog. היישום של תוכן מנה זה משבית באופן ספציפי רק את צמצום הסיכונים כנגד CVE-2017-5715 – "הזרקת יעד הסתעפות".
החל מ- 25 בינואר, אין דוחות ידועים המציינים שנעשה שימוש ב- Spectre Variant 2 (CVE-2017-5715) זה כדי לתקוף לקוחות. אנו ממליצים, בהתאם לצורך, לקוחות Windows מאפשרים מחדש את צמצום הסיכונים כנגד CVE-2017-5715 כאשר Intel מדווחת כי אופן פעולה בלתי צפוי זה של המערכת נפתר עבור המכשיר שלך.
לא. עדכוני אבטחה בלבד אינם מצטברים. בהתאם לגירסת מערכת ההפעלה שבה אתה משתמש, עליך להתקין את כל עדכוני האבטחה בלבד שהופצו כדי להיות מוגן מפני פגיעויות אלה. לדוגמה, אם אתה משתמש ב- Windows 7 עבור מערכות של 32 סיביות ב- Intel CPU מושפע, עליך להתקין כל עדכון אבטחה בלבד החל מינואר 2018. אנו ממליצים להתקין עדכוני אבטחה בלבד אלה לפי סדר ההפצה.
הערה גירסה קודמת של שאלות נפוצות אלה ציינה באופן שגוי שעדכון האבטחה בלבד של פברואר כלל את תיקוני האבטחה שהופצו בינואר. למעשה, זה לא.
לא. עדכון 4078130 היה תיקון ספציפי כדי למנוע אופני פעולה בלתי צפויים של המערכת, בעיות ביצועים והפעלות מחדש בלתי צפויות לאחר התקנת מיקרו-קוד. החלת עדכוני האבטחה של פברואר במערכות הפעלה של לקוח Windows מאפשרת את כל שלושת צמצום הסיכונים. במערכות ההפעלה של Windows Server, עדיין עליך להפוך את צמצום הסיכונים לזמין לאחר ביצוע הבדיקה המתאימה. עיין במאמר Microsoft Knowledge Base 4072698 לקבלת מידע נוסף.
AMD הכריזה לאחרונה שהם התחילו לשחרר מיקרו-קוד עבור פלטפורמות CPU חדשות יותר סביב Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). לקבלת מידע נוסף, עיין ב- AMD Security עדכוניםו- AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. אלה זמינים בערוץ הקושחה של יצרן הציוד המקורי.
Intel הכריזה לאחרונה שהם השלמו את האימות שלהם והתחלו לשחרר מיקרו-קוד עבור פלטפורמות CPU חדשות יותר. Microsoft מבצעת עדכונים למיקרו-קוד שאומתו על-ידי Intel סביב Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). מאמרי KB 4093836 מאמרי Knowledge Base ספציפיים לפי גירסת Windows. כל מאמר KB ספציפי מכיל את עדכוני המיקרו-קוד הזמינים של Intel לפי CPU.
Microsoft מבצעת עדכונים למיקרו-קוד שאומתו על-ידי Intel סביב Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). כדי לקבל את העדכונים האחרונים למיקרו-קוד של Intel באמצעות Windows Update, על הלקוחות להתקין מיקרו-קוד של Intel במכשירים שבהם פועלת מערכת הפעלה של Windows 10 לפני השדרוג לעדכון מאפריל 2018 של Windows 10 (גירסה 1803).
עדכון המיקרו-קוד זמין גם ישירות מקטלוג העדכונים אם הוא לא הותקן במכשיר לפני שדרוג המערכת. מיקרו-קוד של Intel זמין דרך Windows Update, WSUS או Microsoft Update Catalog. לקבלת מידע נוסף והוראות הורדה, ראה KB 4100347.
לקבלת מידע נוסף, עיין במשאבים הבאים:
לקבלת פרטים, עיין בסעיפים "פעולות מומלצות" ו"שאלות נפוצות" ADV180012 | הדרכה של Microsoft לגבי מעקף ספקולטיבי של החנות.
כדי לאמת את המצב של SSBD, קובץ ה- Script של Get-SpeculationControlSettings PowerShell עודכן כדי לזהות מעבדים מושפעים, מצב העדכונים של מערכת ההפעלה SSBD והמצב של מיקרו-קוד המעבד במידת הצורך. לקבלת מידע נוסף ולהשגת קובץ ה- Script של PowerShell, ראה KB4074629.
ב- 13 ביוני 2018, הוכרז על פגיעות נוספת הקשורה לביצוע ספקולטיבי של ערוץ צדדי, שנקרא "שחזור מצב FP עצל", והוכרז כי הוא הוקצה ל- CVE-2018-3665. אין הגדרות תצורה (רישום) הדרושות לשחזור FP של שחזור עצלן.
לקבלת מידע נוסף אודות פגיעות זו ופעולות מומלצות, עיין בנושא בנושא אבטחה מינורית: ADV180016 | הדרכה של Microsoft לשחזור מצב FP עצלן
הערהאין הגדרות תצורה (רישום) הדרושות לשחזור FP של שחזור עצלן.
מאגר מעקפים של בדיקת גבולות (BCBS) נחשף ב- 10 ביולי 2018 והקצה לו CVE-2018-3693. אנו מחשיבים את BCBS להשתייך לאותה רמת פגיעויות של עקיפת בדיקת גבול (משתנה 1). איננו מודעים כעת למופעים של BCBS בתוכנה שלנו, אך אנו ממשיכים לחקור את רמת הפגיעות הזו ופועלים עם שותפים בתעשייה כדי לשחרר צמצום סיכונים כ הנדרש. אנו ממשיכים לעודד את החוקרים להגיש את הממצאים הרלוונטיים לתוכנית הפרסים של Microsoft בנושא ביצוע ערוץ צדדי ספקולטיבי , כולל כל המופעים הניתנים לניצול של BCBS. מפתחי תוכנה צריכים לעיין בהדרכה למפתחים עודכנה עבור BCBS https://aka.ms/sescdevguide.
ב- 14 באוגוסט 2018, הוכרז על תקלת מסוף L1 (L1TF) שהוקצתה להם מספר CVEs. פגיעויות ערוץ צדדי חדשות אלה של ביצוע ספקולטיבי יכולות לשמש כדי לקרוא את תוכן הזיכרון בגבול מהימן, ואם ייעשה בהם שימוש לרעה, עלולות להוביל לגילוי מידע. קיימים וקטורים מרובים שבהם תוקף עשוי להפעיל את הפגיעויות בהתאם לסביבה שתצורתה נקבעה. L1TF משפיע על מעבדי Intel® Core® ועל מעבדי Intel® Xeon®.
לקבלת מידע נוסף על פגיעות זו ותצוגה מפורטת של תרחישים מושפעים, כולל הגישה של Microsoft לצמצום L1TF, עיין במשאבים הבאים:
לקוחות Microsoft Surface: לקוחות המשתמשים ב- Microsoft Surface Surface Book אחרים צריכים לפעול בהתאם להנחיות עבור לקוח Windows המתוארות ב- Security Advisory: ADV180018 | הדרכה של Microsoft לצמצום וריאציה של L1TF. עיין גם במאמר Microsoft Knowledge Base 4073065 לקבלת מידע נוסף על מוצרי Surface המושפעים והזמינות של עדכוני מיקרו-קוד.
לקוחות Microsoft Hololens: Microsoft HoloLens אינה מושפעת מ- L1TF מכיוון שהיא אינה משתמשת במעבד Intel המושפע.
השלבים הנחוצים כדי להפוך את Hyper-Threading ליצרן ציוד מקורי ל- OEM, אך הם בדרך כלל חלק מה- BIOS או מכלי הגדרת הקושחה והתצורה.
לקוחות המשתמשים במעבדי ARM של 64 סיביות צריכים לבדוק עם יצרן הציוד המקורי (OEM) של המכשיר לקבלת תמיכה בקושחה מכיוון שהגנת מערכת ההפעלה ARM64 שמצמצםת את CVE-2017-5715 - הזרקת יעד הסתעפות (Spectre, Variant 2) מחייבת שעדכון הקושחה האחרון של יצרני ציוד מקורי של מכשירים יוכל להיכנס לתוקף.
לקבלת פרטים על פגיעות זו, עיין במדריך האבטחה של Microsoft: CVE-2019-1125 | פגיעות גילוי מידע של הליבה של Windows.
איננו מודעים לפגיעות זו של גילוי מידע המשפיעה על תשתית שירות הענן שלנו.
ברגע שנוהרנו לבעיה זו, עבדנו במהירות כדי לטפל בה ולשחרר עדכון. אנו מאמינים מאוד ששותפויות הדוקות עם חוקרים ושותפים בתעשייה כדי להפוך את הלקוחות לאבטחים יותר, ולא פרסמנו פרטים עד יום שלישי, 6 באוגוסט, בהתאם לנוהלי גילוי פגיעויות מתואמים.
ספרי עזר
Microsoft מספקת פרטי קשר של ספקים חיצוניים כדי לעזור לך למצוא מידע נוסף אודות נושא זה. פרטי קשר אלה עשויים להשתנות ללא הודעה. Microsoft אינה ערבה לדיוק של פרטי קשר של ספקים חיצוניים.
