Memproteksi perangkat Windows Anda terhadap serangan saluran sisi eksekusi spekulatif

Bekerja di mana saja dari perangkat dengan Microsoft 365

Mutakhirkan ke Microsoft 365 untuk bekerja di mana saja dengan fitur dan pembaruan terbaru.

Tingkatkan sekarang

Ringkasan

Artikel ini akan diperbarui karena tersedia informasi tambahan. Periksa kembali di sini secara berkala untuk pembaruan dan tanya jawab umum baru.

Artikel ini menyediakan informasi dan pembaruan untuk serangan kelas baru yang dikenal sebagai "serangan saluran sisi eksekusi spekulatif."  Ini juga menyediakan daftar lengkap klien Windows dan sumber daya server untuk membantu menjaga perangkat Anda tetap terlindung di rumah, di kantor, dan di perusahaan Anda.

Pada tanggal 3 Januari 2018, Microsoft merilis pembaruan keamanan dan penasihat yang terkait dengan kerentanan perangkat keras yang baru ditemukan (dikenal sebagai Spectre dan meltdown) yang melibatkan saluran sisi eksekusi spekulatif yang mempengaruhi AMD, ARM, dan prosesor Intel untuk derajat berbeda. Kelas kerentanan ini didasarkan pada arsitektur chip umum yang dirancang untuk mempercepat komputer. Anda dapat mempelajari selengkapnya tentang kerentanan ini diGoogle Project Zero.

Pada tanggal 21 mei 2018, Google Project Zero (gpz), Microsoft, dan Intel mengungkapkan dua kerentanan chip baru yang terkait dengan masalah hantu dan meltdown yang dikenal sebagai pembaruan spekulatif penyimpanan bypass (SSB) dan sistem jahat registri. Risiko pelanggan dari kedua pengungkapan adalah rendah.

Untuk informasi selengkapnya tentang kerentanan ini, lihat sumber daya yang dicantumkan di bawah Mei 2018 pembaruan sistem operasi Windows, dan rujuk ke penasihat keamanan berikut ini:

Pada tanggal 13 Juni 2018, kerentanan tambahan melibatkan eksekusi spekulatif saluran sisi, yang dikenal sebagai pemulihan status Lazy FP, diumumkan dan ditetapkan CVE-2018-3665.Untuk informasi selengkapnya tentang kerentanan ini dan tindakan yang disarankan, lihat penasihat keamanan berikut ini:

Pada 14 Agustus 2018, L1 terminal Fault (L1TF) , kerentanan saluran sisi eksekusi spekulatif baru diumumkan yang memiliki beberapa CVEs. L1TF mempengaruhi prosesor Intel® Core® dan prosesor Intel® Xeon®. Untuk informasi selengkapnya tentang L1TF dan tindakan yang disarankan, Lihat penasihat keamanan kami:

Catatan: kami menyarankan agar Anda menginstal semua pembaruan terbaru dari pembaruan Windows sebelum Anda menginstal pembaruan pengendali apa pun.

Pada tanggal 14 Mei 2019, Intel menerbitkan informasi tentang subclass baru kerentanan sisi-saluran eksekusi spekulatif yang dikenal sebagai Microarchitectural data sampling. Mereka telah ditetapkan sebagai berikut:

Penting: masalah ini akan memengaruhi sistem lain seperti Android, Chrome, IOS, dan MacOS. Kami menyarankan agar pelanggan mencari panduan dari vendor masing-masing.

Microsoft telah merilis pembaruan untuk membantu mengurangi kerentanan ini. Untuk mendapatkan semua perlindungan yang tersedia, firmware (pengendali) dan pembaruan perangkat lunak diperlukan. Ini mungkin termasuk pengendali dari perangkat OEM. Dalam beberapa kasus, menginstal pembaruan ini akan berdampak pada kinerja. Kami juga telah bertindak untuk mengamankan Layanan awan kami.

Catatan: kami menyarankan agar Anda menginstal semua pembaruan terbaru dari pembaruan Windows sebelum Anda menginstal pembaruan pengendali.

Untuk informasi selengkapnya tentang masalah ini dan tindakan yang dianjurkan, lihat penasihat keamanan berikut ini:

ADV 190013 | Panduan Microsoft untuk mengurangi kerentanan sampling data Mikroarsitektur

Pada 6 Agustus 2019 Intel merilis detail tentang kerentanan pengungkapan informasi Windows kernel. Kerentanan ini merupakan varian dari varian hantu varian 1 spekulatif eksekusi sisi saluran kerentanan dan telah ditetapkanCVE-2019-1125.

Microsoft merilis pembaruan keamanan untuk sistem operasi Windows pada 9 Juli 2019 untuk membantu mengurangi masalah ini. Pelanggan yang memiliki pembaruan Windows yang diaktifkan dan telah menerapkan pembaruan keamanan yang dirilis pada 9 Juli, 2019 otomatis diproteksi. Perhatikan bahwa kerentanan ini tidak memerlukan pembaruan pengendali dari produsen perangkat Anda (OEM).

Untuk informasi selengkapnya tentang kerentanan ini dan pembaruan yang berlaku, lihat CVE-2019-1125 | Kerentanan pengungkapan informasi kernel Windows di panduan pembaruan keamanan Microsoft.

Langkah-langkah untuk membantu melindungi perangkat Windows Anda

Anda mungkin harus memperbarui firmware (kode mikro) dan perangkat lunak Anda untuk mengatasi kerentanan ini. Silakan lihat penasihat keamanan Microsoft untuk tindakan yang direkomendasikan. Ini termasuk pembaruan firmware (pengendali) yang berlaku dari produsen perangkat dan, dalam beberapa kasus, pembaruan perangkat lunak antivirus Anda. Kami menyarankan agar perangkat Anda tetap terbarui dengan menginstal pembaruan keamanan bulanan. 

Untuk menerima semua perlindungan yang tersedia, ikuti langkah-langkah ini untuk mendapatkan pembaruan terbaru untuk perangkat lunak dan perangkat keras.

Catatan

Sebelum Anda memulai, pastikan perangkat lunak antivirus (AV) Anda sudah diperbarui dan kompatibel. Periksa situs web pabrikan perangkat lunak antivirus Anda untuk informasi kompatibilitas terbarunya.

  1. Selalu Perbarui perangkat Windows Anda dengan mengaktifkan pembaruan otomatis.

  2. Periksa apakah Anda telah menginstal pembaruan keamanan sistem operasi Windows terbaru dari Microsoft. Jika pembaruan otomatis diaktifkan, pembaruan akan dikirimkan secara otomatis kepada Anda. Namun, Anda masih harus memverifikasi bahwa instalasi telah terinstal. Untuk instruksi, lihat Windows Update: Tanya Jawab Umum

  3. Instal pembaruan firmware (pengendali) yang tersedia dari pabrikan perangkat Anda. Semua pelanggan harus memeriksa dengan pabrik perangkat mereka untuk mengunduh dan menginstal pembaruan perangkat keras tertentu perangkat mereka. Lihat bagian "sumber daya tambahan" untuk daftar situs web produsen perangkat.

    Catatan

    Pelanggan harus menginstal pembaruan keamanan sistem operasi Windows terbaru dari Microsoft untuk memanfaatkan perlindungan yang tersedia. Pembaruan perangkat lunak antivirus harus diinstal terlebih dahulu. Pembaruan sistem operasi dan firmware harus diikuti. Kami menyarankan agar perangkat Anda tetap terbarui dengan menginstal pembaruan keamanan bulanan. 

Chip yang terpengaruh meliputi yang diproduksi oleh Intel, AMD, dan ARM. Ini berarti bahwa semua perangkat yang menjalankan sistem operasi Windows berpotensi rentan. Ini termasuk desktop, laptop, server awan, dan ponsel cerdas. Perangkat yang menjalankan sistem operasi lain, seperti Android, Chrome, iOS, dan macOS, juga terpengaruh. Kami menyarankan pelanggan yang menjalankan sistem operasi ini untuk mendapatkan panduan dari vendor tersebut.

Pada saat publikasi, kami tidak menerima informasi apa pun untuk menunjukkan kerentanan tersebut telah digunakan untuk menyerang pelanggan.

Mulai Januari 2018, Microsoft merilis pembaruan untuk sistem operasi Windows dan Internet Explorer serta Edge browser web untuk membantu mengurangi kerentanan ini dan membantu melindungi pelanggan. Kami juga merilis pembaruan untuk mengamankan Layanan awan kami.  Kami terus bekerja sama dengan mitra industri, termasuk pembuat chip, perangkat keras, dan vendor aplikasi, untuk melindungi pelanggan dari kerentanan kelas ini. 

Kami menyarankan agar Anda selalu menginstal pembaruan bulanan agar perangkat tetap terbarui dan aman. 

Kami akan memperbarui dokumentasi ini saat mitigasi baru tersedia, dan kami menyarankan agar Anda memeriksanya kembali secara berkala. 

Pembaruan sistem operasi Windows Juli 2019

Pada 6 Agustus 2019, Intel mengungkapkan detail untuk kerentanan keamanan CVE-2019-1125 | Kerentanan pengungkapan informasi kernel Windows. Pembaruan keamanan untuk kerentanan ini dirilis sebagai bagian dari rilis pembaruan bulanan bulan Juli 9, 2019.

Microsoft merilis pembaruan keamanan untuk sistem operasi Windows pada 9 Juli 2019 untuk membantu mengurangi masalah ini. Kami mengadakan dokumentasi mitigasi ini secara publik hingga pengungkapan industri terkoordinasi pada Selasa, 6 Agustus 2019.

Pelanggan yang memiliki pembaruan Windows yang diaktifkan dan telah menerapkan pembaruan keamanan yang dirilis pada 9 Juli, 2019 otomatis diproteksi. Perhatikan bahwa kerentanan ini tidak memerlukan pembaruan pengendali dari produsen perangkat Anda (OEM).

 

Pembaruan sistem operasi Windows 2019 Mei

Pada tanggal 14 Mei 2019, Intel menerbitkan informasi tentang subclass baru dari kerentanan sisi spekulatif eksekusi yang dikenal sebagai Microarchitectural data sampling dan ditetapkan sebagai berikut:

Untuk informasi selengkapnya tentang masalah ini, lihat penasihat keamanan berikut ini dan gunakan panduan berbasis skenario yang diuraikan dalam panduan Windows untuk klien dan server untuk menentukan tindakan yang diperlukan untuk mengurangi ancaman:

Microsoft telah melepaskan perlindungan terhadap subclass baru kerentanan sisi-saluran spekulatif eksekusi yang dikenal sebagai microarchitectural data samplinguntuk versi 64-bit (x64) Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Gunakan pengaturan registri seperti yang diuraikan dalam artikel klien Windows (KB4073119) dan Windows Server (KB4457951)pengaturan registri ini diaktifkan secara default untuk edisi OS klien Windows dan edisi Windows Server OS.

Kami menyarankan agar Anda menginstal semua pembaruan terbaru dari pembaruan Windows terlebih dahulu, sebelum Anda menginstal pembaruan pengendali apa pun.

Untuk informasi selengkapnya tentang masalah ini dan tindakan yang disarankan, lihat penasihat keamanan berikut ini: 

Intel telah merilis pembaruan pengendali untuk platform CPU terbaru untuk membantu mengurangi CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130.Tanggal 14 mei 2019 Windows KB 4093836 mencantumkan artikel basis pengetahuan tertentu dengan versi Windows OS.  Artikel ini juga berisi link ke Intel pengendali pembaruan yang tersedia dengan CPU. Pembaruan ini tersedia melalui Katalog Microsoft.

Catatan: kami menyarankan agar Anda menginstal semua pembaruan terbaru dari pembaruan Windows sebelum Anda menginstal pembaruan pengendali apa pun.

Kami dengan senang hati mengumumkan bahwa retpoline diaktifkan secara default pada Windows 10, perangkat 1809 versi (untuk klien dan server) jika hantu varian 2 (CVE-2017-5715) diaktifkan. Dengan mengaktifkan Retpoline pada versi terbaru Windows 10, melalui pembaruan Mei 14, 2019 (KB 4494441), kami mengantisipasi kinerja yang disempurnakan, terutama pada prosesor yang lebih lama.

Pelanggan harus memastikan proteksi OS sebelumnya terhadap kerentanan Spectre varian 2 diaktifkan menggunakan pengaturan registri yang diuraikan dalam artikel klien Windowsdan Server Windows. (Pengaturan registri ini diaktifkan secara default untuk edisi klien Windows OS tetapi dinonaktifkan secara default untuk edisi Windows Server OS). Untuk informasi selengkapnya tentang "Retpoline", lihatMengurangi varian hantu 2 dengan Retpoline di Windows.

 

Pembaruan sistem operasi Windows November 2018

Microsoft telah merilis proteksi sistem operasi untuk bypass penyimpanan spekulatif (CVE-2018-3639) untuk prosesor AMD (CPU).

Microsoft telah merilis Perlindungan sistem operasi tambahan untuk pelanggan menggunakan prosesor ARM 64-bit. Periksa dengan produsen OEM perangkat untuk dukungan firmware karena perlindungan sistem operasi ARM64 yang mengurangi CVE-2018-3639, bypass penyimpanan spekulatif, memerlukan pembaruan firmware terbaru dari perangkat OEM Anda.

Pembaruan sistem operasi Windows September 2018

Pada 11 September 2018, Microsoft merilis Windows Server 2008 SP2 Rollup bulanan 4458010 dan keamanan hanya 4457984 untuk Windows Server 2008 yang menyediakan perlindungan terhadap kerentanan saluran sisi eksekusi spekulatif yang dikenal sebagai kesalahan terminal L1 (L1TF) mempengaruhi prosesor Intel® Core® dan Intel® Xeon® Processors (CVE-2018-3620 dan CVE-2018-3646). 

Rilis ini menyelesaikan perlindungan tambahan pada semua versi sistem Windows yang didukung melalui pembaruan Windows. Untuk informasi selengkapnya dan daftar produk yang terpengaruh, silakan lihat ADV180018 | Panduan Microsoft untuk mengurangi varian L1TF.

Catatan: Windows Server 2008 SP2 sekarang mengikuti model Rollup layanan Windows standar. Untuk informasi selengkapnya tentang perubahan ini, silakan lihat blog kami layanan Windows Server 2008 SP2. Pelanggan yang menjalankan Windows Server 2008 harus menginstal 4458010 atau 4457984 selain pembaruan keamanan 4341832, yang dirilis pada 14 Agustus 2018. Pelanggan juga harus memastikan proteksi OS sebelumnya terhadap kerentanan varian hantu 2 dan meltdown diaktifkan menggunakan pengaturan registri yang diuraikan dalam artikel KB klien Windows dan Windows Server panduan. Pengaturan registri ini diaktifkan secara default untuk edisi OS klien Windows tetapi dinonaktifkan secara default untuk edisi Windows Server OS.

Microsoft telah merilis Perlindungan sistem operasi tambahan untuk pelanggan menggunakan prosesor ARM 64-bit. Silakan periksa dengan produsen perangkat OEM untuk dukungan firmware karena perlindungan sistem operasi ARM64 yang mengatasi injeksi CVE-2017-5715 -Branch target (hantu, varian 2) memerlukan pembaruan firmware terbaru dari OEM perangkat Anda untuk diterapkan.

Pembaruan sistem operasi Windows Agustus 2018

Pada tanggal 14 Agustus 2018, L1 terminal Fault (L1TF)diumumkan dan ditetapkan beberapa CVEs. Kerentanan sisi-saluran spekulatif yang baru ini dapat digunakan untuk membaca konten memori di seluruh batas tepercaya dan, jika dieksploitasi, dapat mengarah ke pengungkapan informasi. Ada beberapa vektor yang digunakan seorang penyerang untuk memicu kerentanan, tergantung pada lingkungan yang dikonfigurasi. L1TF mempengaruhi prosesor Intel® Core® dan prosesor Intel® Xeon®.

Untuk informasi selengkapnya tentang L1TF dan tampilan mendetail dari skenario yang terpengaruh, termasuk pendekatan Microsoft untuk mengurangi L1TF silakan lihat sumber daya berikut ini:

Pembaruan sistem operasi Windows Juli 2018

Kami sangat senang mengumumkan bahwa Microsoft telah menyelesaikan pelepasan perlindungan tambahan pada semua versi sistem Windows yang didukung melalui pembaruan Windows untuk kerentanan berikut:

  • Varian hantu 2 untuk prosesor AMD

  • Bypass spekulatif penyimpanan untuk prosesor Intel

Pada tanggal 13 Juni 2018, kerentanan tambahan melibatkan eksekusi spekulatif saluran sisi, yang dikenal sebagai pemulihan status Lazy FP, diumumkan dan ditetapkan CVE-2018-3665. Sanatidak ada pengaturan konfigurasi (registri) yang diperlukan untuk pemulihan otomatis pemulihan FP.

Untuk informasi selengkapnya tentang kerentanan ini, produk yang terpengaruh, dan tindakan yang disarankan, lihat penasihat keamanan berikut ini:

Intel baru-baru ini mengumumkan bahwa mereka telah menyelesaikan validasi dan mulai merilis kode mikro untuk platform CPU terbaru yang terkait dengan hantu varian 2 (CVE 2017-5715 "cabang target Injection"). KB4093836 mencantumkan artikel basis pengetahuan tertentu dengan versi Windows. Artikel ini berisi tautan ke pembaruan pengendali Intel yang tersedia dengan CPU.

Pembaruan sistem operasi Windows 2018 Juni

Pada tanggal 12 Juni, Microsoft mengumumkan dukungan Windows untuk menonaktifkan bypass penyimpanan spekulatif (ssbd) di prosesor Intel. Pembaruan memerlukan firmware (pengendali) dan pembaruan registri terkait untuk fungsionalitas. Untuk informasi tentang pembaruan dan langkah-langkah untuk menerapkan untuk mengaktifkan SSBD, lihat bagian "tindakan yang disarankan" diADV180012 | Panduan Microsoft untuk bypass penyimpanan spekulatif.

Pembaruan sistem operasi Windows 2018 Mei

Pada Januari 2018, Microsoft merilis informasi tentang kelas kerentanan perangkat keras yang baru ditemukan (dikenal sebagai Spectre dan meltdown) yang melibatkan saluran sisi eksekusi spekulatif yang mempengaruhi AMD, ARM, dan CPU Intel pada berbagai tingkatan. Pada tanggal 21 Mei, 2018 Google Project Zero (GPZ), Microsoft, dan Intel mengungkapkan dua kerentanan chip baru yang terkait dengan masalah hantu dan meltdown yang disebut sebagai penyimpanan spekulatif bypass (SSB) dan sistem jahat registri.

Risiko pelanggan dari kedua pengungkapan kurang.

Untuk informasi selengkapnya tentang kerentanan ini, lihat sumber daya berikut ini:

Berlaku untuk:Windows 10, versi 1607, Windows Server 2016, Windows Server 2016 (instalasi server Core), dan Windows Server, versi 1709 (instalasi Core server)

Kami telah menyediakan dukungan untuk mengontrol penggunaan hambatan prediksi cabang langsung (IBPB) dalam beberapa prosesor AMD (CPU) untuk mengurangi CVE-2017-5715, varian hantu 2 ketika Anda beralih dari konteks pengguna ke konteks kernel. (Untuk informasi selengkapnya, lihatPanduan arsitektur AMD di sekitar kontrol cabang langsung dan pembaruan keamanan AMD).

Pelanggan yang menjalankan Windows 10, versi 1607, Windows Server 2016, Windows Server 2016 (instalasi server Core), dan Windows Server, versi 1709 (instalasi Core server) harus menginstal pembaruan keamanan 4103723 untuk Mitigations tambahan untuk prosesor AMD untuk CVE-2017-5715, cabang target injeksi. Pembaruan ini juga tersedia melalui pembaruan Windows.

Ikuti instruksi yang diuraikan dalam KB 4073119 untuk klien Windows (TI Pro) panduan dan KB 4072698 untuk Windows Server panduan untuk mengaktifkan penggunaan ibpb dalam beberapa prosesor AMD (CPU) untuk mengurangi varian hantu 2 ketika Anda beralih dari konteks pengguna ke konteks kernel.

Microsoft membuat pembaruan pengendali pengendali Intel yang tersedia di sekitar varian hantu 2 (CVE-2017-5715 "cabang target Injection").Untuk mendapatkan pembaruan pengendali Intel terbaru melalui pembaruan Windows, pelanggan harus telah menginstal Intel microcode pada perangkat yang menjalankan sistem operasi Windows 10 sebelum memutakhirkan ke pembaruan Windows 10 April 2018 (versi 1803).

Pembaruan pengendali juga tersedia langsung dari Katalog jika tidak terinstal di perangkat sebelum memutakhirkan OS. Pengendali Intel tersedia melalui pembaruan Windows, WSUS, atau Katalog Pembaruan Microsoft. Untuk informasi selengkapnya dan instruksi pengunduhan, lihatKB 4100347.

Kami akan menawarkan pembaruan pengendali tambahan dari Intel untuk sistem operasi Windows saat tersedia untuk Microsoft.

Microsoft membuat pembaruan pengendali pengendali Intel yang tersedia di sekitar varian hantu 2 (CVE-2017-5715 "cabang target Injection"). KB 4093836 mencantumkan artikel basis pengetahuan tertentu dengan versi Windows. Setiap KB tertentu berisi pembaruan pengendali Intel terbaru yang tersedia dengan CPU.

Kami akan menawarkan pembaruan pengendali tambahan dari Intel untuk sistem operasi Windows saat tersedia untuk Microsoft.

Pembaruan sistem operasi Windows 2018 April

Berlaku untuk: Windows 10, versi 1709

Kami telah menyediakan dukungan untuk mengontrol penggunaan hambatan prediksi cabang langsung (IBPB) dalam beberapa prosesor AMD (CPU) untuk mengurangi CVE-2017-5715, varian hantu 2 ketika Anda beralih dari konteks pengguna ke konteks kernel. (Untuk informasi selengkapnya, lihat panduan arsitektur AMD di sekitar kontrol cabang langsung dan pembaruan keamanan AMD). Ikuti instruksi yang diuraikan dalam KB 4073119 untuk klien Windows (TI Pro) untuk mengaktifkan penggunaan ibpb dalam beberapa prosesor AMD (CPU) untuk mengurangi varian hantu 2 ketika Anda beralih dari konteks pengguna ke konteks kernel.

Microsoft membuat pembaruan pengendali pengendali Intel yang tersedia di sekitar varian hantu 2 (CVE-2017-5715 "cabang target Injection"). KB4093836 mencantumkan artikel basis pengetahuan tertentu dengan versi Windows. Setiap KB tertentu berisi pembaruan pengendali Intel terbaru yang tersedia dengan CPU.

Kami akan menawarkan pembaruan pengendali tambahan dari Intel untuk sistem operasi Windows saat tersedia untuk Microsoft. 

Pembaruan sistem operasi Windows 2018 Maret

23 Maret, riset keamanan TechNet & Defense:KVA Shadow: mitigiti meltdown pada Windows

14 Maret, Pusat Teknologi Keamanan: ketentuan program saluran sisi eksekusi spekulatif

13 Maret blog: pembaruan keamanan Windows 2018 Maret – memperluas upaya kami untuk melindungi pelanggan

1 Maret blog: pembaruan pada hantu dan meltdown pembaruan keamanan untuk perangkat Windows

Microsoft membuat pengendali Intel divalidasi pembaruan tersedia di sekitar varian hantu 2 (CVE-2017-5715 "cabang target Injection"). KB4093836 mencantumkan artikel basis pengetahuan tertentu dengan versi Windows. Setiap KB tertentu berisi pembaruan pengendali Intel yang tersedia dengan CPU.

Kami akan menawarkan pembaruan pengendali tambahan dari Intel untuk sistem operasi Windows saat tersedia untuk Microsoft.

Mulai Maret 2018, Microsoft merilis pembaruan keamanan untuk menyediakan Mitigations untuk perangkat yang menjalankan sistem operasi Windows berbasis x86 berikut ini. Pelanggan harus menginstal pembaruan keamanan sistem operasi Windows terbaru untuk memanfaatkan perlindungan yang tersedia. Kami sedang berusaha menyediakan perlindungan untuk versi Windows yang didukung lainnya tetapi tidak memiliki jadwal rilis saat ini. Periksa kembali di sini untuk pembaruan. Untuk informasi selengkapnya, lihat artikel basis pengetahuan terkait untuk detail teknis dan "Tanya jawab umum" .

Pembaruan produk dirilis

Status

Tanggal rilis

Saluran rilis

KB

Windows 8,1 & Windows Server 2012 R2-hanya pembaruan keamanan

Diterbitkan

13-Mar

WSUS, Katalog,

KB4088879

Windows 7 SP1 & Windows Server 2008 R2 SP1-hanya pembaruan keamanan

Diterbitkan

13-Mar

WSUS, Katalog

KB4088878

Windows Server 2012-pembaruan keamanan saja Edisi standar Windows 8 Embedded-hanya pembaruan keamanan

Diterbitkan

13-Mar

WSUS, Katalog

KB4088877

Windows 8,1 & Windows Server 2012 R2-Rollup bulanan

Diterbitkan

13-Mar

WU, WSUS, Katalog

KB4088876

Windows 7 SP1 & Windows Server 2008 R2 SP1-Rollup bulanan

Diterbitkan

13-Mar

WU, WSUS, Katalog

KB4088875

Windows Server 2012-Rollup bulanan Edisi standar Windows 8 Embedded-Rollup bulanan

Diterbitkan

13-Mar

WU, WSUS, Katalog

KB4088877

Windows Server 2008 SP2

Diterbitkan

13-Mar

WU, WSUS, Katalog

KB4090450

Mulai Maret 2018, Microsoft merilis pembaruan keamanan untuk menyediakan Mitigations untuk perangkat yang menjalankan sistem operasi Windows berbasis x64 berikut ini. Pelanggan harus menginstal pembaruan keamanan sistem operasi Windows terbaru untuk memanfaatkan perlindungan yang tersedia. Kami sedang berusaha menyediakan perlindungan untuk versi Windows yang didukung lainnya tetapi tidak memiliki jadwal rilis saat ini. Periksa kembali di sini untuk pembaruan. Untuk informasi selengkapnya, lihat artikel basis pengetahuan terkait untuk detail teknis dan Bagian"FAQ".

Pembaruan produk dirilis

Status

Tanggal rilis

Saluran rilis

KB

Windows Server 2012-pembaruan keamanan saja Edisi standar Windows 8 Embedded-hanya pembaruan keamanan

Diterbitkan

13-Mar

WSUS, Katalog

KB4088877

Windows Server 2012-Rollup bulanan Edisi standar Windows 8 Embedded-Rollup bulanan

Diterbitkan

13-Mar

WU, WSUS, Katalog

KB4088877

Windows Server 2008 SP2

Diterbitkan

13-Mar

WU, WSUS, Katalog

KB4090450

Pembaruan ini membahas elevasi hak kerentanan dalam kernel Windows dalam Windows versi 64-bit (x64). Kerentanan ini didokumentasikan dalam CVE-2018-1038. Pengguna harus menerapkan pembaruan ini agar sepenuhnya terlindung dari kerentanan ini jika komputer mereka diperbarui pada atau setelah 2018 Januari dengan menerapkan salah satu pembaruan yang dicantumkan dalam artikel Basis Pengetahuan berikut:

Pembaruan kernel Windows untuk CVE-2018-1038

Pembaruan keamanan ini mengatasi beberapa kerentanan yang dilaporkan di Internet Explorer. Untuk mempelajari selengkapnya tentang kerentanan ini, lihat Kerentanan dan eksposur Umum Microsoft

Pembaruan produk dirilis

Status

Tanggal rilis

Saluran rilis

KB

Internet Explorer 10-pembaruan kumulatif untuk Windows 8 Embedded Standard Edition

Diterbitkan

13-Mar

WU, WSUS, Katalog

KB4089187

Pembaruan sistem operasi Windows Februari 2018

Blog: Windows Analytics kini membantu menilai hantu dan meltdown proteksi

Pembaruan keamanan berikut ini menyediakan perlindungan tambahan untuk perangkat yang menjalankan sistem operasi Windows 32-bit (x86). Microsoft menganjurkan pelanggan menginstal pembaruan segera setelah tersedia. Kami terus bekerja untuk menyediakan perlindungan untuk versi Windows yang didukung lainnya tetapi tidak memiliki jadwal rilis saat ini. Periksa kembali di sini untuk pembaruan. 

Catatan Pembaruan keamanan bulanan Windows 10 bersifat kumulatif dibandingkan bulan dan akan diunduh dan diinstal secara otomatis dari pembaruan Windows. Jika Anda telah menginstal pembaruan sebelumnya, hanya bagian baru yang akan diunduh dan terinstal di perangkat Anda. Untuk informasi selengkapnya, lihat artikel basis pengetahuan terkait untuk detail teknis dan bagian "FAQ".

Pembaruan produk dirilis

Status

Tanggal rilis

Saluran rilis

KB

Pembaruan Windows 10-versi 1709/Windows Server 2016 (1709)/IoT Core-kualitas

Diterbitkan

31-Jan

WU, Katalog

KB4058258

Windows Server 2016 (1709)-kontainer server

Diterbitkan

13-Feb

Hub Docker

KB4074588

Pembaruan kualitas inti Windows 10-versi 1703/IoT

Diterbitkan

13-Feb

WU, WSUS, Katalog

KB4074592

Pembaruan Windows 10-versi 1607/Windows Server 2016/IoT kualitas inti

Diterbitkan

13-Feb

WU, WSUS, Katalog

KB4074590

Windows 10 HoloLens-pembaruan OS dan firmware

Diterbitkan

13-Feb

WU, Katalog

KB4074590

Windows Server 2016 (1607)-gambar kontainer

Diterbitkan

13-Feb

Hub Docker

KB4074590

Pembaruan kualitas inti Windows 10-versi 1511/IoT

Diterbitkan

13-Feb

WU, WSUS, Katalog

KB4074591

Windows 10-versi RTM-pembaruan kualitas

Diterbitkan

13-Feb

WU, WSUS, Katalog

KB4074596

Pembaruan sistem operasi Windows Januari 2018

Blog: memahami dampak kinerja hantu dan meltdown Mitigations pada sistem Windows

Mulai Januari 2018, Microsoft merilis pembaruan keamanan untuk menyediakan Mitigations untuk perangkat yang menjalankan sistem operasi Windows berbasis x64 berikut ini. Pelanggan harus menginstal pembaruan keamanan sistem operasi Windows terbaru untuk memanfaatkan perlindungan yang tersedia. Kami sedang berusaha menyediakan perlindungan untuk versi Windows yang didukung lainnya tetapi tidak memiliki jadwal rilis saat ini. Periksa kembali di sini untuk pembaruan. Untuk informasi selengkapnya, lihat artikel basis pengetahuan terkait untuk detail teknis dan bagian "FAQ".

Pembaruan produk dirilis

Status

Tanggal rilis

Saluran rilis

KB

Pembaruan Windows 10-versi 1709/Windows Server 2016 (1709)/IoT Core-kualitas

Diterbitkan

3-Jan

WU, WSUS, Katalog, galeri gambar Azure

KB4056892

Windows Server 2016 (1709)-kontainer server

Diterbitkan

5-Jan

Hub Docker

KB4056892

Pembaruan kualitas inti Windows 10-versi 1703/IoT

Diterbitkan

3-Jan

WU, WSUS, Katalog

KB4056891

Pembaruan Windows 10-versi 1607/Windows Server 2016/IoT kualitas inti

Diterbitkan

3-Jan

WU, WSUS, Katalog

KB4056890

Windows Server 2016 (1607)-gambar kontainer

Diterbitkan

4-Jan

Hub Docker

KB4056890

Pembaruan kualitas inti Windows 10-versi 1511/IoT

Diterbitkan

3-Jan

WU, WSUS, Katalog

KB4056888

Windows 10-versi RTM-pembaruan kualitas

Diterbitkan

3-Jan

WU, WSUS, Katalog

KB4056893

Windows 10 Mobile (OS Build 15254,192)-ARM

Diterbitkan

5-Jan

WU, Katalog

KB4073117

Windows 10 Mobile (OS Build 15063,850)

Diterbitkan

5-Jan

WU, Katalog

KB4056891

Windows 10 Mobile (OS Build 14393,2007)

Diterbitkan

5-Jan

WU, Katalog

KB4056890

HoloLens Windows 10

Diterbitkan

5-Jan

WU, Katalog

KB4056890

Windows 8,1/Windows Server 2012 R2-hanya pembaruan keamanan

Diterbitkan

3-Jan

WSUS, Katalog

KB4056898

Perusahaan Windows Embedded 8,1 Industry

Diterbitkan

3-Jan

WSUS, Katalog

KB4056898

Windows Embedded 8,1 industri Pro

Diterbitkan

3-Jan

WSUS, Katalog

KB4056898

Windows Embedded 8,1 Pro

Diterbitkan

3-Jan

WSUS, Katalog

KB4056898

Rollup bulanan Windows 8,1/Windows Server 2012 R2

Diterbitkan

8-Jan

WU, WSUS, Katalog

KB4056895

Perusahaan Windows Embedded 8,1 Industry

Diterbitkan

8-Jan

WU, WSUS, Katalog

KB4056895

Windows Embedded 8,1 industri Pro

Diterbitkan

8-Jan

WU, WSUS, Katalog

KB4056895

Windows Embedded 8,1 Pro

Diterbitkan

8-Jan

WU, WSUS, Katalog

KB4056895

Hanya keamanan Windows Server 2012

Diterbitkan

WSUS, Katalog

Windows Server 2008 SP2

Diterbitkan

WU, WSUS, Katalog

Rollup bulanan Windows Server 2012

Diterbitkan

WU, WSUS, Katalog

Windows Embedded 8 Standard

Diterbitkan

WU, WSUS, Katalog

Windows 7 SP1/Windows Server 2008 R2 SP1-hanya pembaruan keamanan

Diterbitkan

3-Jan

WSUS, Katalog

KB4056897

Windows Embedded Standard 7

Diterbitkan

3-Jan

WSUS, Katalog

KB4056897

Windows Embedded POSReady 7

Diterbitkan

3-Jan

WSUS, Katalog

KB4056897

PC Windows Thin

Diterbitkan

3-Jan

WSUS, Katalog

KB4056897

Rollup bulanan Windows 7 SP1/Windows Server 2008 R2 SP1

Diterbitkan

4-Jan

WU, WSUS, Katalog

KB4056894

Windows Embedded Standard 7

Diterbitkan

4-Jan

WU, WSUS, Katalog

KB4056894

Windows Embedded POSReady 7

Diterbitkan

4-Jan

WU, WSUS, Katalog

KB4056894

PC Windows Thin

Diterbitkan

4-Jan

WU, WSUS, Katalog

KB4056894

Internet Explorer 11-pembaruan kumulatif untuk Windows 7 SP1 dan Windows 8,1

Diterbitkan

3-Jan

WU, WSUS, Katalog

KB4056568

Sumber daya dan panduan teknis

Bergantung pada peran Anda, artikel dukungan berikut ini bisa membantu Anda mengidentifikasi dan mengurangi lingkungan klien dan server yang terpengaruh oleh kerentanan hantu dan meltdown.

Penasihat keamanan Microsoft untuk L1 terminal Fault (L1TF): msrc ADV180018, CVE-2018-3615, cve-2018-3620, dan CVE-2018-3646

Riset dan pertahanan keamanan: analisis dan mitigasi bypass penyimpanan spekulatif (CVE-2018-3639)

Penasihat keamanan Microsoft untuk bypass penyimpanan spekulatif: msrc ADV180012 dan CVE-2018-3639

Penasihat keamanan Microsoft untuk sistem nakal register dibaca | Panduan pembaruan keamanan untuk Surface: msrc ADV180013dan CVE-2018-3640

Riset dan pertahanan keamanan: analisis dan mitigasi bypass penyimpanan spekulatif (CVE-2018-3639)

Riset keamanan TechNet & Defense: KVA Shadow: mitigiti meltdown pada Windows

Pusat Teknologi Keamanan: ketentuan program saluran sisi eksekusi spekulatif

Blog Microsoft Experience: pembaruan pada pembaruan keamanan hantu dan meltdown untuk perangkat Windows

Blog Windows untuk bisnis: Windows Analytics kini membantu menilai spectre dan meltdown proteksi

Blog Microsoft Secure: memahami kinerja dampak hantu dan meltdown Mitigations pada sistem Windows

Blog pengembang Edge: mitigasi spekulatif eksekusi sisi-saluran serangan di Microsoft Edge dan Internet Explorer

Blog Azure: mengamankan pelanggan AZURE dari kerentanan CPU

Panduan SCCM: panduan tambahan untuk mengurangi kerentanan sisi-saluran spekulatif eksekusi

Penasihat Microsoft:

Intel: penasihat keamanan

ARM: penasihat keamanan

AMD: penasihat keamanan

NVIDIA: penasihat keamanan

Panduan pelanggan: melindungi perangkat Anda dari kerentanan keamanan chip yang terkait

Panduan antivirus: pembaruan keamanan Windows yang dirilis 3 Januari 2018, dan perangkat lunak antivirus

Panduan untuk blok pembaruan keamanan Windows AMD: KB4073707: blok pembaruan keamanan sistem operasi Windows untuk beberapa perangkat berbasis AMD

Pembaruan untuk menonaktifkan mitigasi terhadap hantu, varian 2: KB4078130: Intel telah mengidentifikasi masalah reboot dengan pengendali pada beberapa prosesor yang lebih lama 

Panduan permukaan: panduan permukaan untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif

Memverifikasi status spekulatif eksekusi sisi saluran Mitigations: memahami Get-SpeculationControlSettings PowerShell script output

Panduan profesional TI: panduan klien Windows untuk profesional TI untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif

Panduan server: panduan Server Windows untuk melindungi dari kerentanan sisi eksekusi spekulatif

Panduan server untuk kesalahan terminal L1: panduan Server Windows untuk melindungi dari kesalahan terminal L1

Panduan pengembang: panduan pengembang untuk bypass penyimpanan spekulatif

Panduan Hyper-V server

AZURE KB: KB4073235: perlindungan Cloud Microsoft terhadap kerentanan sisi eksekusi spekulatif

Panduan stack Azure: KB4073418: panduan stack Azure untuk melindungi dari kerentanan sisi eksekusi spekulatif

Keandalan Azure: portal keandalan Azure

Panduan SQL Server: KB4073225: panduan SQL Server untuk melindungi spekulatif eksekusi sisi-saluran kerentanan

Link ke OEM dan produsen perangkat server untuk pembaruan untuk melindungi dari kerentanan hantu dan meltdown

Untuk membantu mengatasi kerentanan ini, Anda harus memperbarui perangkat keras dan perangkat lunak. Gunakan tautan berikut ini untuk memeriksa dengan produsen perangkat Anda untuk pembaruan firmware (pengendali) yang berlaku.

Gunakan tautan berikut untuk memeriksa dengan produsen perangkat Anda untuk pembaruan firmware (pengendali). Anda harus menginstal pembaruan sistem operasi dan firmware (pengendali) untuk semua perlindungan yang tersedia.

Produsen perangkat OEM

Menautkan ke ketersediaan mikrokode

Ingannya

Kerentanan keamanan meltdown dan Spectre

Master

Pembaruan ASUS pada metode analisis spekulatif eksekusi dan langsung cabang prediksi saluran sisi

Dell

Kerentanan meltdown dan Spectre

Epson

Kerentanan CPU (serangan saluran sisi)

Fujitsu

Perangkat keras CPU rentan terhadap serangan saluran samping (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HP

DUKUNGAN KOMUNIKASI-BULETIN KEAMANAN

Ome

Membaca memori istimewa dengan saluran sisi

LG

Dapatkan bantuan produk & dukungan

Pada respons ke kerentanan prosesor (Meltdown, Spectrum) di produk kami

Ting

Informasi keamanan kerentanan oleh eksekusi spekulatif dan metode analisis saluran sisi prediksi spekulatif

Upgrad

Pengumuman pembaruan perangkat lunak CPU Intel

Surface

Panduan permukaan untuk melindungi dari kerentanan saluran sisi eksekusi spekulatif

Oo

Intel, AMD & Microsoft spekulatif eksekusi dan tidak langsung prediksi saluran sisi metode analisis kerentanan keamanan (2017)

Vaio

Pada dukungan kerentanan untuk analisis saluran sisi

 

Produsen OEM server

Menautkan ke ketersediaan mikrokode

Dell

Kerentanan meltdown dan Spectre

Fujitsu

Perangkat keras CPU rentan terhadap serangan saluran samping (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)

HPE

Pemberitahuan kerentanan keamanan produk Hewlett Packard Enterprise

Ikan

Pemberitahuan keamanan-pernyataan pada pengungkapan media kerentanan keamanan dalam desain arsitektur CPU Intel

Ome

Membaca memori istimewa dengan saluran sisi

Pertanyaan umum

Sanggahan kontak pihak ketiga

Microsoft menyediakan informasi kontak pihak ketiga untuk membantu Anda menemukan informasi tambahan tentang topik ini. Informasi kontak yang tertera dapat berubah sewaktu-waktu. Microsoft tidak menjamin keakuratan informasi kontak pihak ketiga.

Anda harus memeriksa dengan produsen perangkat Anda untuk pembaruan firmware (pengendali). Jika produsen perangkat Anda tidak tercantum dalam tabel, hubungi OEM Anda secara langsung.

Pembaruan untuk perangkat Microsoft Surface tersedia untuk pelanggan melalui pembaruan Windows. Untuk daftar pembaruan firmware (pengendali) perangkat Surface yang tersedia, lihat KB 4073065.

Jika perangkat Anda tidak berasal dari Microsoft, Terapkan pembaruan firmware dari produsen perangkat. Hubungi produsen perangkatAnda untuk informasi selengkapnya.

Mengatasi kerentanan perangkat keras dengan menggunakan pembaruan perangkat lunak menyajikan tantangan dan mitigasi yang signifikan untuk sistem operasi yang lebih lama dan dapat memerlukan perubahan arsitektur yang ekstensif. Kami terus bekerja dengan produsen chip yang terpengaruh untuk menyelidiki cara terbaik untuk menyediakan Mitigations. Ini mungkin disediakan dalam pembaruan mendatang. Mengganti perangkat lama yang menjalankan sistem operasi yang lebih lama ini dan juga memperbarui perangkat lunak antivirus harus mengatasi risiko yang tersisa.

Catatan

  • Produk yang saat ini tidak ada dalam dukungan mainstream dan perpanjangan tidak akan menerima pembaruan sistem ini. Kami menyarankan agar pelanggan memperbarui ke versi sistem yang didukung. 

  • Eksekusi spekulatif sisi-saluran serangan mengeksploitasi perilaku dan fungsionalitas CPU. Produsen CPU harus terlebih dahulu menentukan prosesor mana yang berisiko, lalu beri tahu Microsoft. Dalam banyak kasus, pembaruan sistem operasi terkait juga akan diperlukan untuk memberi pelanggan perlindungan yang lebih komprehensif. Kami merekomendasikan bahwa vendor Windows CE yang sadar keamanan bekerja dengan produsen chip mereka untuk memahami kerentanan dan Mitigations yang berlaku.

  • Kami tidak akan menerbitkan pembaruan untuk platform berikut:

    • Sistem operasi Windows yang sedang tidak didukung atau yang memasuki akhir Layanan (EOS) di 2018

    • Sistem berbasis Windows XP termasuk WES 2009 dan POSReady 2009

Meskipun sistem berbasis Windows XP terpengaruh produk, Microsoft tidak menerbitkan pembaruan untuk mereka karena perubahan arsitektur komprehensif yang akan diperlukan akan membahayakan stabilitas sistem dan menyebabkan masalah kompatibilitas aplikasi. Kami menyarankan agar pelanggan yang sadar keamanan memutakhirkan ke sistem operasi yang lebih baru yang didukung untuk mengimbangi perubahan lanskap ancaman keamanan dan mendapatkan manfaat dari proteksi yang lebih kuat yang disediakan oleh sistem operasi yang lebih baru.

Pembaruan ke Windows 10 untuk HoloLens tersedia untuk HoloLens pelanggan melalui Windows Update.

Setelah menerapkanpembaruan keamanan Windows 2018 Februari, hololens pelanggan tidak harus mengambil tindakan tambahan untuk memperbarui firmware perangkat mereka. Mitigations ini juga akan disertakan dalam semua rilis Windows 10 untuk HoloLens mendatang.

Hubungi OEM Anda untuk informasi selengkapnya.

Agar perangkat Anda terlindung sepenuhnya, Anda harus menginstal pembaruan keamanan sistem operasi Windows terbaru untuk perangkat Anda dan pembaruan firmware (pengendali) yang berlaku dari pabrik perangkat Anda. Pembaruan ini harus tersedia di situs web pabrikan perangkat Anda. Pembaruan perangkat lunak antivirus harus diinstal terlebih dahulu. Pembaruan sistem operasi dan firmware dapat diinstal dalam urutan apa pun.

Anda harus memperbarui perangkat keras dan perangkat lunak Anda untuk mengatasi kerentanan ini. Anda juga harus menginstal pembaruan firmware (pengendali) yang berlaku dari pabrikan perangkat Anda untuk proteksi yang lebih komprehensif. Kami menyarankan agar perangkat Anda tetap terbarui dengan menginstal pembaruan keamanan bulanan.

Di setiap pembaruan fitur Windows 10, kami mengembangkan teknologi keamanan terbaru ke dalam sistem operasi, menyediakan fitur pertahanan di kedalaman yang mencegah seluruh kelas malware berdampak pada perangkat Anda. Pembaruan fitur rilis ditargetkan dua kali setahun. Di setiap pembaruan kualitas bulanan, kami menambahkan lapisan keamanan lain yang melacak munculnya dan mengubah tren dalam malware untuk membuat sistem terkini lebih aman dalam menghadapi ancaman yang berubah dan berkembang.

Microsoft telah mencabut pembaruan kompatibilitas AV untuk pembaruan keamanan Windows untuk versi perangkat Windows 10, Windows 8,1 dan Windows 7 SP1 yang didukung melalui Windows Update.  Usulan

  • Pastikan perangkat Anda diperbarui dengan memiliki pembaruan keamanan terbaru dari Microsoft dan pabrik perangkat keras Anda. Untuk informasi selengkapnya tentang cara memutakhirkan perangkat Anda, lihat Windows Update: FAQ.

  • Lanjutkan untuk berlatih dengan bijaksana saat Anda mengunjungi situs web asal tidak diketahui, dan tidak tetap berada di situs yang tidak tepercaya. Microsoft menganjurkan agar semua pelanggan melindungi perangkat mereka dengan menjalankan program antivirus yang didukung. Pelanggan juga dapat memanfaatkan proteksi antivirus bawaan: perangkat Windows Defender untuk Windows 10, atau perangkat Microsoft Security Essentials untuk Windows 7. Solusi ini kompatibel dalam kasus di mana pelanggan tidak dapat menginstal atau menjalankan perangkat lunak antivirus.

Untuk membantu menghindari mempengaruhi perangkat pelanggan, pembaruan keamanan Windows yang dirilis pada bulan Januari atau Februari tidak ditawarkan kepada semua pelanggan. Untuk detailnya, lihat artikel Basis Pengetahuan Microsoft 4072699

Intel telah melaporkan masalah yang mempengaruhi pengendali yang baru dirilis yang dimaksudkan untuk mengatasi varian hantu 2 (CVE-2017-5715 – "cabang target injeksi"). Khususnya, Intel mencermati bahwa pengendali ini dapat menyebabkan "reboot yang lebih tinggi dari yang diharapkan dan perilaku sistemyang tidak terduga" dan juga situasi seperti ini mungkin menyebabkan "kehilangan atau kerusakan data."  Pengalaman kita sendiri adalah bahwa ketidakstabilan sistem bisa, dalam beberapa situasi, menyebabkan hilangnya data atau kerusakan. Pada tanggal 22 Januari, Intel menyarankan agar pelanggan menghentikan penyebaran versi pengendali saat ini pada prosesor yang terpengaruh saat mereka menjalankan pengujian tambahan pada solusi yang diperbarui. Kami memahami bahwa Intel terus menyelidiki potensi dampak versi pengendali saat ini, dan kami menganjurkan pelanggan untuk meninjau panduan mereka secara berkelanjutan untuk menginformasikan keputusan mereka.

Sementara Intel menguji, memperbarui, dan menyebarkan pengendali baru, kami menyediakan pembaruan Out-of-band (OOB), KB 4078130, yang secara khusus menonaktifkan mitigasi hanya terhadap CVE-2017-5715 – "injeksi target cabang." Dalam pengujian kami, pembaruan ini telah ditemukan untuk mencegah perilaku yang diuraikan. Untuk daftar lengkap perangkat, lihat panduan revisi pengendali Intel. Pembaruan ini mencakup Windows 7 (SP1), Windows 8,1, dan semua versi Windows 10, untuk klien dan server. Jika Anda menjalankan perangkat yang terpengaruh, pembaruan ini dapat diterapkan dengan mengunduhnya dari situs webKatalog Pembaruan Microsoft. Penerapan muatan ini secara khusus menonaktifkan hanya mitigasi terhadap CVE-2017-5715 – "injeksi target cabang." 

Pada Januari 25, tidak ada laporan yang diketahui untuk menunjukkan bahwa varian hantu ini 2 (CVE-2017-5715) telah digunakan untuk menyerang pelanggan. Kami merekomendasikan bahwa, ketika diperlukan, pelanggan Windows mengaktifkan kembali mitigasi terhadap CVE-2017-5715 ketika Intel melaporkan bahwa perilaku tak terduga ini telah diatasi untuk perangkat Anda.

Tidak. Pembaruan keamanan hanya tidak bersifat kumulatif. Bergantung pada versi sistem operasi yang Anda jalankan, Anda harus menginstal semua pembaruan keamanan yang dirilis hanya untuk terlindung dari kerentanan ini. Misalnya, jika Anda menjalankan Windows 7 untuk sistem 32-bit di CPU Intel yang terpengaruh, Anda harus menginstal setiap pembaruan keamanan yang dimulai dari 2018 Januari. Kami merekomendasikan menginstal pembaruan keamanan ini saja dalam urutan rilis.   Catatan Versi yang lebih lama dari FAQ ini salah menyatakan bahwa pembaruan keamanan Februari hanya menyertakan perbaikan keamanan yang dirilis pada bulan Januari. Bahkan, tidak.

Tidak. Pembaruan keamanan 4078130 adalah perbaikan khusus untuk mencegah perilaku yang tidak terduga, masalah kinerja, dan memulai ulang yang tidak terduga setelah penginstalan pengendali. Menerapkan pembaruan keamanan bulan Februari pada sistem operasi klien Windows memungkinkan ketiga Mitigations. Pada sistem operasi Windows Server, Anda masih harus mengaktifkan Mitigations setelah pengujian yang tepat dilakukan. Lihat artikel Basis Pengetahuan Microsoft 4072698 untuk informasi selengkapnya.

AMD baru-baru ini mengumumkan mereka telah mulai merilis kode mikro untuk platform CPU yang lebih baru di sekitar varian hantu 2 (CVE-2017-5715 "cabang target Injection"). Untuk informasi selengkapnya rujuk ke pembaruan keamanan AMD dan whitepaper: panduan arsitektur tentang kontrol cabang langsung. Ini tersedia dari saluran firmware OEM. 

Intel baru-baru ini mengumumkan mereka telah menyelesaikan validasi dan mulai merilis kode mikro untuk platform CPU yang lebih baru. Microsoft membuat pembaruan pengendali pengendali Intel yang tersedia di sekitar varian hantu 2 (CVE-2017-5715 "cabang target Injection"). KB 4093836 mencantumkan artikel basis pengetahuan tertentu dengan versi Windows. Setiap KB tertentu berisi pembaruan pengendali Intel yang tersedia dengan CPU.

Microsoft membuat pembaruan pengendali pengendali Intel yang tersedia di sekitar varian hantu 2 (CVE-2017-5715 "cabang target Injection").Untuk mendapatkan pembaruan pengendali Intel terbaru melalui pembaruan Windows, pelanggan harus telah menginstal Intel microcode pada perangkat yang menjalankan sistem operasi Windows 10 sebelum memutakhirkan ke pembaruan Windows 10 April 2018 (versi 1803).

Pembaruan pengendali juga tersedia langsung dari Katalog pembaruan jika tidak terinstal di perangkat sebelum memutakhirkan sistem. Pengendali Intel tersedia melalui pembaruan Windows, WSUS, atau Katalog Pembaruan Microsoft. Untuk informasi selengkapnya dan instruksi pengunduhan, lihat KB 4100347.

Untuk detailnya, lihat bagian "tindakan yang direkomendasikan" dan "FAQ" di ADV180012 | Panduan Microsoft untuk bypass penyimpanan spekulatif.

Untuk memverifikasi status ssbd, skrip PowerShell Get-SpeculationControlSettings telah diperbarui untuk mendeteksi prosesor yang terpengaruh, status sistem operasi ssbd, dan status pengendali prosesor jika ada. Untuk informasi selengkapnya dan untuk mendapatkan skrip PowerShell, lihat KB4074629.

Pada tanggal 13 Juni 2018, kerentanan tambahan melibatkan eksekusi spekulatif saluran sisi, yang dikenal sebagai pemulihan status Lazy FP, diumumkan dan ditetapkan CVE-2018-3665. Sanatidak ada pengaturan konfigurasi (registri) yang diperlukan untuk pemulihan otomatis pemulihan FP.

Untuk informasi selengkapnya tentang kerentanan ini dan tindakan yang disarankan, silakan lihat penasihat keamanan: ADV180016 | Panduan Microsoft untuk pemulihan status Lazy FP

Catatan tidak ada pengaturan konfigurasi (registri) yang diperlukan untuk pemulihan malas pemulihan FP.

Batas Periksa bypass Store (BCBS) diperlihatkan pada 10 Juli 2018 dan ditetapkan CVE-2018-3693. Kami menganggap BCBS adalah milik kelas kerentanan yang sama seperti batas Periksa bypass (varian 1). Saat ini kami tidak mengetahui setiap contoh BCBS dalam perangkat lunak kami, tapi kami terus melakukan riset terhadap kelas kerentanan ini dan akan bekerja dengan mitra industri untuk melepaskan Mitigations sebagaimana diperlukan. Kami terus mendorong para peneliti untuk mengirimkan temuan yang relevan ke MicrosoftProgram saluran sisi eksekusi spekulatif, termasuk setiap eksploitasi instance dari bcbs. Pengembang perangkat lunak harus meninjau panduan pengembang yang telah diperbarui untuk BCBS dihttps://aka.ms/sescdevguide.

Pada tanggal 14 Agustus 2018, L1 terminal Fault (L1TF) diumumkan dan ditetapkan beberapa CVEs. Kerentanan sisi-saluran spekulatif yang baru ini dapat digunakan untuk membaca konten memori di seluruh batas tepercaya dan, jika dieksploitasi, dapat mengarah ke pengungkapan informasi. Ada beberapa vektor yang digunakan seorang penyerang untuk memicu kerentanan, tergantung pada lingkungan yang dikonfigurasi. L1TF mempengaruhi prosesor Intel® Core® dan prosesor Intel® Xeon®.

Untuk informasi selengkapnya tentang kerentanan ini dan tampilan mendetail dari skenario yang terpengaruh, termasuk pendekatan Microsoft untuk mitigasi L1TF silakan lihat sumber daya berikut ini:

Pelanggan Microsoft Surface:Pelanggan yang menggunakan Microsoft Surface dan Surface Book Products harus mengikuti panduan untuk klien Windows yang diuraikan dalam penasihat keamanan: ADV180018 | Panduan Microsoft untuk mengurangi varian L1TF. Lihat juga artikel Basis Pengetahuan Microsoft 4073065 untuk informasi selengkapnya tentang produk permukaan yang terpengaruh dan ketersediaan pembaruan pengendali.

Pelanggan Microsoft hololens: Microsoft hololens tidak terpengaruh oleh L1TF karena tidak menggunakan prosesor Intel yang terpengaruh.

Langkah-langkah yang diperlukan untuk menonaktifkan Hyper-threading akan berbeda dengan OEM untuk OEM tetapi umumnya merupakan bagian dari penyetelan BIOS atau firmware dan alat konfigurasi.

Pelanggan yang menggunakan prosesor ARM bit 64 harus memeriksa dengan perangkat OEM untuk dukungan firmware karena perlindungan sistem operasi ARM64 yang mengurangi CVE-2017-5715 -cabang target injeksi (hantu, varian 2) memerlukan pembaruan firmware terbaru dari perangkat OEM untuk diterapkan.

Untuk detail tentang kerentanan ini, lihat panduan keamanan Microsoft: CVE-2019-1125 | Kerentanan pengungkapan informasi kernel Windows.

Kami tidak mengetahui adanya contoh kerentanan pengungkapan informasi ini yang memengaruhi infrastruktur layanan cloud kami.

Segera setelah kami menyadari masalah ini, kami bekerja dengan cepat untuk mengatasinya dan merilis pembaruan. Kami sangat percaya pada kemitraan erat dengan para peneliti dan mitra industri untuk membuat pelanggan lebih aman, dan tidak menerbitkan detail hingga Selasa, 6 Agustus, yang sejalan dengan praktik pengungkapan kerentanan terkoordinasi.

Perlu bantuan lainnya?

Kembangkan keterampilan Anda
Jelajahi pelatihan
Dapatkan fitur baru terlebih dahulu
Gabung Microsoft Insider

Apakah informasi ini bermanfaat?

Terima kasih atas umpan balik Anda!

Terima kasih atas umpan balik Anda! Sepertinya menghubungkan Anda ke salah satu agen dukungan Office kami akan sangat membantu.

×