Nota: Questo articolo verrà aggiornato non appena saranno disponibili altre informazioni. Controlla regolarmente la disponibilità di aggiornamenti e nuove domande frequenti.

Vulnerabilità

Il 14 maggio 2019 Intel ha pubblicato informazioni su una nuova sottoclasse di vulnerabilità di esecuzione speculativa del canale laterale nota come Microarchitectural Data Sampling. Queste vulnerabilità sono trattate nei seguenti CVE:

Importante: Questi problemi interessano altri sistemi operativi come Android, Chrome, iOS e MacOS. È consigliabile chiedere assistenza a questi fornitori.

Sono stati rilasciati aggiornamenti per ridurre queste vulnerabilità. Per ottenere tutte le protezioni disponibili, sono necessari aggiornamenti del firmware (microcodice) e software. Può includere il microcodice degli OEM del dispositivo. In alcuni casi, l'installazione di questi aggiornamenti avrà un impatto sul rendimento. Abbiamo anche agito per proteggere i nostri servizi cloud. È consigliabile distribuire questi aggiornamenti.

Per altre informazioni su questo problema, vedi il seguente avviso di sicurezza e usa le indicazioni basate su scenari per determinare le azioni necessarie per mitigare la minaccia:

Nota: È consigliabile installare tutti gli aggiornamenti più recenti di Windows Update prima di installare gli aggiornamenti del microcodice.

Il 6 agosto 2019 Intel ha rilasciato dettagli su una vulnerabilità di divulgazione di informazioni sul kernel di Windows. Questa vulnerabilità è una variante della vulnerabilità di esecuzione speculativa del canale laterale spectre variant 1 ed è stata assegnata CVE-2019-1125.

Il 9 luglio 2019 sono stati rilasciati aggiornamenti della sicurezza per il sistema operativo Windows per ridurre il problema. Tieni presente che abbiamo tenuto documenti pubblici su questa prevenzione fino alla divulgazione coordinata del settore di martedì 6 agosto 2019.

I clienti che hanno Windows Update abilitato e hanno applicato gli aggiornamenti della sicurezza rilasciati il 9 luglio 2019 sono protetti automaticamente. Non sono necessarie ulteriori configurazioni.

Nota: Questa vulnerabilità non richiede un aggiornamento del microcodice del produttore del dispositivo (OEM).

Per altre informazioni su questa vulnerabilità e sugli aggiornamenti applicabili, vedi la Guida sull'aggiornamento della sicurezza Microsoft:

Il 12 novembre 2019 Intel ha pubblicato un avviso tecnico sulla vulnerabilità di Interruzione asincrona delle transazioni Intel Transactional Synchronization Extensions (Intel TSX) a cui è assegnato CVE-2019-11135. Sono stati rilasciati aggiornamenti per ridurre questa vulnerabilità. Per impostazione predefinita, le protezioni del sistema operativo sono abilitate per le edizioni del sistema operativo Windows Client.

Il 14 giugno 2022 è stato pubblicato ADV220002 | Linee guida Microsoft sulle vulnerabilità dei dati del processore Intel MMIO Stale. Le vulnerabilità dis sono assegnate nei seguenti CVE:

Azioni consigliate

È consigliabile eseguire le azioni seguenti per proteggersi da queste vulnerabilità:

  1. Applica tutti gli aggiornamenti disponibili del sistema operativo Windows, inclusi gli aggiornamenti mensili della sicurezza di Windows.

  2. Applica l'aggiornamento del firmware (microcodice) applicabile fornito dal produttore del dispositivo.

  3. Valutare il rischio per l'ambiente in base alle informazioni fornite in Avvisi di sicurezza Microsoft ADV180002, ADV180012, ADV190013 e ADV220002,oltre alle informazioni fornite in questo articolo.

  4. Intervenire in base alle esigenze usando gli avvisi e le informazioni sulla chiave del Registro di sistema forniti in questo articolo.

Nota: I clienti di Surface riceveranno un aggiornamento del microcodice tramite Windows Update. Per un elenco degli ultimi aggiornamenti del firmware del dispositivo Surface (microcodice) disponibili, vedi KB4073065.

Impostazioni di prevenzione per i client Windows

Gli avvisi di sicurezza ADV180002, ADV180012, ADV190013 e ADV220002 forniscono informazioni sul rischio rappresentato da queste vulnerabilità e su come consentono di identificare lo stato predefinito delle misure di prevenzione per i sistemi client Windows. La tabella seguente riepiloga il requisito del microcodice della CPU e lo stato predefinito delle misure di prevenzione nei client Windows.

CVE

È necessario un microcodice/firmware della CPU?

Stato predefinito di attenuazione

CVE-2017-5753

No

Abilitato per impostazione predefinita (nessuna opzione per disabilitare)

Per ulteriori informazioni, fai riferimento ad ADV180002 .

CVE-2017-5715

Abilitata per impostazione predefinita. Gli utenti di sistemi basati su processori AMD devono vedere le domande frequenti n. 15 e gli utenti di processori ARM devono vedere domande frequenti n. 20 su ADV180002 per altre azioni e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili.

Note Per impostazione predefinita, Retpoline è abilitato per i dispositivi che eseguono Windows 10, versione 1809 o successiva se Spectre Variant 2 (CVE-2017-5715) è abilitato. Per ulteriori informazioni, su Retpoline, segui le indicazioni nel post di blog Mitigating Spectre variante 2 con Retpoline su Windows .

CVE-2017-5754

No

Abilitato per impostazione predefinita

Per ulteriori informazioni, fai riferimento ad ADV180002 .

CVE-2018-3639

Intel: Sì
AMD: No
ARM: Sì

Intel e AMD: disabilitati per impostazione predefinita. Per altre informazioni, vedere ADV180012 e questo articolo della Knowledge Base per le impostazioni delle chiavi del Registro di sistema applicabili.

ARM: abilitato per impostazione predefinita senza l'opzione per disabilitare.

CVE-2019-11091

Intel: Sì

Abilitata per impostazione predefinita.

Per altre informazioni, vedere ADV190013 e questo articolo per le impostazioni delle chiavi del Registro di sistema applicabili.

CVE-2018-12126

Intel: Sì

Abilitata per impostazione predefinita.

Per altre informazioni, vedere ADV190013 e questo articolo per le impostazioni delle chiavi del Registro di sistema applicabili.

CVE-2018-12127

Intel: Sì

Abilitata per impostazione predefinita.

Per altre informazioni, vedere ADV190013 e questo articolo per le impostazioni delle chiavi del Registro di sistema applicabili.

CVE-2018-12130

Intel: Sì

Abilitata per impostazione predefinita.

Per altre informazioni, vedere ADV190013 e questo articolo per le impostazioni delle chiavi del Registro di sistema applicabili.

CVE-2019-11135

Intel: Sì

Abilitata per impostazione predefinita.

Per altre informazioni e per le impostazioni delle chiavi del Registro di sistema applicabili, vedere CVE-2019-11135.

CVE-2022-21123 (parte di MMIO ADV220002)

Intel: Sì

Windows Server 2019, Windows Server 2022: abilitato per impostazione predefinita. 
Windows Server 2016 e versioni precedenti: disabilitata per impostazione predefinita. 

Per altre informazioni e per le impostazioni delle chiavi del Registro di sistema applicabili, vedere CVE-2022-21123 .

CVE-2022-21125 (parte di MMIO ADV220002)

Intel: Sì

Windows Server 2019, Windows Server 2022: abilitato per impostazione predefinita. 
Windows Server 2016 e versioni precedenti: disabilitata per impostazione predefinita. 

Per altre informazioni, vedere CVE-2022-21125 .

CVE-2022-21127 (parte di MMIO ADV220002)

Intel: Sì

Server 2019, Windows Server 2022: abilitato per impostazione predefinita. 
Windows Server 2016 e versioni precedenti: disabilitata per impostazione predefinita. 

Per altre informazioni, vedere CVE-2022-21127 .

CVE-2022-21166 (parte di MMIO ADV220002)

Intel: Sì

Windows Server 2019, Windows Server 2022: abilitato per impostazione predefinita. 
Windows Server 2016 e versioni precedenti: disabilitata per impostazione predefinita. 

Per altre informazioni, vedere CVE-2022-21166 .

CVE-2022-23825 (confusione del tipo di ramo CPU AMD)

AMD: No

Per altre informazioni e per le impostazioni delle chiavi del Registro di sistema applicabili, vedere CVE-2022-23825.

CVE-2022-23816 (confusione del tipo di ramo CPU AMD)

AMD: No

Per altre informazioni e per le impostazioni delle chiavi del Registro di sistema applicabili, vedere CVE-2022-23816.

Nota: Per impostazione predefinita, l'abilitazione di misure di prevenzione disattivate può influire sulle prestazioni del dispositivo. L'effetto sulle prestazioni effettive dipende da più fattori, ad esempio il chipset specifico nel dispositivo e i carichi di lavoro in esecuzione.

Impostazioni del Registro di sistema

Microsoft fornisce le informazioni del Registro di sistema seguenti per abilitare le misure di prevenzione non abilitate per impostazione predefinita, come descritto in Avvisi di sicurezza ADV180002 e ADV180012. Vengono inoltre fornite le impostazioni della chiave del Registro di sistema per gli utenti che vogliono disabilitare le misure di prevenzione correlate a CVE-2017-5715 e CVE-2017-5754 per i client Windows.

Importante: In questo metodo, sezione o attività viene spiegato come modificare il Registro di sistema. L'errata modifica del Registro di sistema può causare seri problemi. Per questo motivo, occorre attenersi scrupolosamente alla procedura indicata. Per una maggiore sicurezza, eseguire una copia di backup del Registro di sistema prima di modificarlo. in modo da poterlo poi ripristinare in caso di problemi. Per altre informazioni su come eseguire il backup e il ripristino del Registro di sistema, vedere l'articolo seguente nella Microsoft Knowledge Base:

322756 Come eseguire il backup e il ripristino del Registro di sistema in Windows

Importante: Per impostazione predefinita, Retpoline è abilitato nei dispositivi Windows 10, versione 1809 se Spectre, Variante 2 (CVE-2017-5715) è abilitato. L'abilitazione di Retpoline nell'ultima versione di Windows 10 può migliorare le prestazioni sui dispositivi che eseguono Windows 10, versione 1809 per Spectre, variante 2, in particolare sui processori meno recenti.

Per abilitare le misure di prevenzione predefinite per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavvia il dispositivo per rendere effettive le modifiche.

Per disabilitare le misure di prevenzione per CVE-2017-5715 (variante 2 di Spectre) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavvia il dispositivo per rendere effettive le modifiche.

Nota: Il valore 3 è accurato per FeatureSettingsOverrideMask sia per le impostazioni "enable" che "disable". Per ulteriori informazioni sulle chiavi del Registro di sistema, vedere la sezione "Domande frequenti".

Per disabilitare le misure di prevenzione per CVE-2017-5715 (variante 2 di Spectre):To disable mitigations for CVE-2017-5715 (Spectre Variant 2) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavvia il dispositivo per rendere effettive le modifiche.

Per abilitare le misure di prevenzione predefinite per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavvia il dispositivo per rendere effettive le modifiche.

Per impostazione predefinita, la protezione da utente a kernel per CVE-2017-5715 è disabilitata per le CPU AMD e ARM. È necessario abilitare la prevenzione per ricevere protezioni aggiuntive per CVE-2017-5715. Per ulteriori informazioni, vedi domande frequenti #15 in ADV180002 per i processori AMD e domande frequenti #20 in ADV180002 per i processori ARM.

Abilita la protezione da utente a kernel su processori AMD e ARM insieme ad altre protezioni per CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavvia il dispositivo per rendere effettive le modifiche.

Per abilitare le misure di prevenzione per CVE-2018-3639 (Speculative Store Bypass), le misure di prevenzione predefinite per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavvia il dispositivo per rendere effettive le modifiche.

Nota: I processori AMD non sono vulnerabili a CVE-2017-5754 (Meltdown). Questa chiave del Registro di sistema viene utilizzata nei sistemi con processori AMD per abilitare le misure di prevenzione predefinite per CVE-2017-5715 sui processori AMD e la prevenzione per CVE-2018-3639.

Per disabilitare le misure di prevenzione per CVE-2018-3639 (Speculative Store Bypass) *e* le misure di prevenzione per CVE-2017-5715 (Spectre Variant 2) e CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavvia il dispositivo per rendere effettive le modifiche.

Per impostazione predefinita, la protezione da utente a kernel per CVE-2017-5715 è disabilitata per i processori AMD. I clienti devono abilitare la prevenzione per ricevere protezioni aggiuntive per CVE-2017-5715.  Per altre informazioni, vedi domande frequenti n. 15 in ADV180002.

Abilita la protezione da utente a kernel sui processori AMD insieme ad altre protezioni per CVE 2017-5715 e le protezioni per CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavvia il dispositivo per rendere effettive le modifiche.

Per abilitare le misure di prevenzione per la vulnerabilità CVE-2019-11135 di Transactional Synchronization Extensions (Intel TSX) e il campionamento dei dati microarchitecturali (CVE-2019-11) 091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) insieme a Spectre (CVE-2017-5753 & CVE-2017-5715) e meltdown (CVE-2017-5754) varianti, tra cui Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646) senza disabilitare l'Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se la funzionalità Hyper-V è installata, aggiungere l'impostazione del Registro di sistema seguente:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware: Arresta completamente tutti i Macchine virtuali. In questo modo la prevenzione correlata al firmware deve essere applicata all'host prima dell'avvio delle macchine virtuali. Di conseguenza, le macchine virtuali vengono aggiornate anche al riavvio.

Riavvia il dispositivo per rendere effettive le modifiche.

Per abilitare le misure di prevenzione per la vulnerabilità CVE-2019-11135 di Transactional Synchronization Extensions (Intel TSX) e il campionamento dei dati microarchitecturali (CVE-2019-11) 091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) insieme a Spectre (CVE-2017-5753 & CVE-2017-5715) e meltdown (CVE-2017-5754) Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646) con Hyper-Threading disabilitato:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Se la funzionalità Hyper-V è installata, aggiungere l'impostazione del Registro di sistema seguente:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Se si tratta di un host Hyper-V e sono stati applicati gli aggiornamenti del firmware: Arresta completamente tutti i Macchine virtuali. In questo modo la prevenzione correlata al firmware deve essere applicata all'host prima dell'avvio delle macchine virtuali. Di conseguenza, le macchine virtuali vengono aggiornate anche al riavvio.

Riavvia il dispositivo per rendere effettive le modifiche.

Per disabilitare le misure di prevenzione per® la vulnerabilità CVE-2019-11135 ( Transactional Synchronization Extensions) di Intel TSX (Transaction® Asynchronous Abort) e il campionamento dei dati microarchitecturali (CVE-2019-11) 091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) insieme a Spectre (CVE-2017-5753 & CVE-2017-5715) e le varianti Meltdown (CVE-2017-5754), tra cui Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) e L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Riavvia il dispositivo per rendere effettive le modifiche.

Abilita la protezione da utente a kernel sui processori AMD:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

Per essere completamente protetti, i clienti potrebbero anche dover disabilitare Hyper-Threading (noto anche come Simultaneous Multi Threading (SMT)). Vedi KB4073757per indicazioni sulla protezione dei dispositivi Windows. 

Verificare che le protezioni siano abilitate

Per verificare che le protezioni siano abilitate, abbiamo pubblicato uno script di PowerShell che è possibile eseguire nei dispositivi. Installare ed eseguire lo script usando uno dei metodi seguenti.

Installare il modulo di PowerShell:

PS> Install-Module SpeculationControl

Eseguire il modulo di PowerShell per verificare che le protezioni siano abilitate:

PS> # Salvare il criterio di esecuzione corrente in modo che possa essere reimpostato

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reimpostare il criterio di esecuzione allo stato originale

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Installare il modulo di PowerShell da Technet ScriptCenter:

Vai a https://aka.ms/SpeculationControlPS

Scaricare SpeculationControl.zip in una cartella locale.

Estrarre il contenuto in una cartella locale, ad esempio C:\ADV180002

Eseguire il modulo di PowerShell per verificare che le protezioni siano abilitate:

Avviare PowerShell, quindi copiare ed eseguire i comandi seguenti usando l'esempio precedente:

PS> # Salvare il criterio di esecuzione corrente in modo che possa essere reimpostato

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Reimpostare il criterio di esecuzione allo stato originale

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Per una spiegazione dettagliata dell'output dello script di PowerShell, vedi KB4074629.

Domande frequenti

Il microcodice viene fornito tramite un aggiornamento del firmware. Contattare la CPU (chipset) e i produttori di dispositivi per verificare la disponibilità degli aggiornamenti di sicurezza del firmware applicabili per il dispositivo specifico, incluse le linee guida per le revisioni del microcodice Intels.

La risoluzione di una vulnerabilità hardware tramite un aggiornamento software presenta sfide significative. Inoltre, le misure di prevenzione per i sistemi operativi meno recenti richiedono modifiche architetturali estese. Stiamo lavorando con i produttori dei chip interessati per determinare il modo migliore per fornire le misure di prevenzione, che potrebbero essere fornite negli aggiornamenti futuri.

Aggiornamenti per i dispositivi Microsoft Surface verranno fornite ai clienti tramite Windows Update insieme agli aggiornamenti per il sistema operativo Windows. Per un elenco degli aggiornamenti del firmware del dispositivo Surface (microcodice) disponibili, vedi KB4073065.

Se il dispositivo non è di Microsoft, applica il firmware del produttore del dispositivo. Per ulteriori informazioni, contatta il produttore del dispositivo OEM.

A febbraio e marzo 2018 Microsoft ha rilasciato una maggiore protezione per alcuni sistemi basati su x86. Per altre informazioni, vedi KB4073757 e l'avviso di sicurezza Microsoft ADV180002.

Aggiornamenti per Windows 10 per HoloLens sono disponibili per i clienti holoLens tramite Windows Update.

Dopo aver applicato l'aggiornamento di Sicurezza di Windows di febbraio 2018, i clienti di HoloLens non devono eseguire altre azioni per aggiornare il firmware del dispositivo. Queste misure di prevenzione saranno incluse anche in tutte le versioni future di Windows 10 per HoloLens.

No. Gli aggiornamenti solo della sicurezza non sono cumulativi. A seconda della versione del sistema operativo in esecuzione, dovrai installare ogni aggiornamento mensile solo della sicurezza per essere protetto da queste vulnerabilità. Ad esempio, se esegui Windows 7 per sistemi a 32 bit su una CPU Intel interessata, devi installare tutti gli aggiornamenti solo della sicurezza. È consigliabile installare questi aggiornamenti solo della sicurezza nell'ordine di rilascio.

Note Una versione precedente di queste domande frequenti ha erroneamente indicato che l'aggiornamento solo della sicurezza di febbraio includeva le correzioni per la sicurezza rilasciate a gennaio. In realtà, non lo fa.

No. L'aggiornamento della sicurezza 4078130 era una correzione specifica per evitare comportamenti imprevisti del sistema, problemi di prestazioni e/o riavvii imprevisti dopo l'installazione del microcodice. L'applicazione degli aggiornamenti della sicurezza di febbraio nei sistemi operativi client Windows abilita tutte e tre le misure di prevenzione.

Intel ha recentemente annunciato di aver completato le convalide e ha iniziato a rilasciare microcodice per le piattaforme CPU più recenti. Microsoft sta rendendo disponibili gli aggiornamenti del microcodice convalidato da Intel per la variante 2 di Spectre (CVE-2017-5715 "Branch Target Injection"). KB4093836 elenca specifici articoli della Knowledge Base in base alla versione di Windows. Ogni specifico KB contiene gli aggiornamenti di microcodice Intel disponibili per CPU.

Questo problema è stato risolto in KB4093118.

AMD ha recentemente annunciato di aver iniziato a rilasciare microcodice per le piattaforme CPU più recenti intorno a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Per altre informazioni, vedere il white paper su AMD Security Aggiornamenti e AMD: Linee guida sull'architettura per il controllo indirect branch. Sono disponibili dal canale del firmware OEM.

Stiamo rendendo disponibili gli aggiornamenti del microcodice convalidato da Intel per la variante 2 di Spectre (CVE-2017-5715 "Branch Target Injection "). Per ottenere gli aggiornamenti più recenti del microcodice Intel tramite Windows Update, i clienti devono aver installato il microcodice Intel nei dispositivi che eseguono un sistema operativo Windows 10 prima di eseguire l'aggiornamento Windows 10 aprile 2018 (versione 1803).

L'aggiornamento del microcodice è disponibile anche direttamente dal catalogo se non è stato installato nel dispositivo prima dell'aggiornamento del sistema operativo. Il microcodice Intel è disponibile tramite Windows Update, WSUS o Microsoft Update Catalog. Per altre informazioni e istruzioni per il download, vedi KB4100347.

Per informazioni dettagliate, vedi le sezioni "Azioni consigliate" e "Domande frequenti" in ADV180012 | Linee guida Microsoft per Speculative Store Bypass.

Per verificare lo stato di SSBD, lo script Get-SpeculationControlSettings PowerShell è stato aggiornato per rilevare i processori interessati, lo stato degli aggiornamenti del sistema operativo SSBD e lo stato del microcodice del processore, se applicabile. Per altre informazioni e per ottenere lo script di PowerShell, vedere KB4074629.

Il 13 giugno 2018 è stata annunciata una vulnerabilità aggiuntiva che coinvolge l'esecuzione speculativa del canale laterale, nota come Lazy FP State Restore, a cui è stato assegnato CVE-2018-3665. Non sono necessarie impostazioni di configurazione (Registro di sistema) per Lazy Restore FP Restore.

Per ulteriori informazioni su questa vulnerabilità e per le azioni consigliate, vedi l'avviso di sicurezza ADV180016 | Microsoft Guidance for Lazy FP State Restore.

Nota: Non sono necessarie impostazioni di configurazione (Registro di sistema) per Lazy Restore FP Restore.

Bounds Check Bypass Store (BCBS) è stato divulgato il 10 luglio 2018 e ha assegnato CVE-2018-3693. Riteniamo che BCBS appartenga alla stessa classe di vulnerabilità di Bounds Check Bypass (variante 1). Attualmente non siamo a conoscenza di alcuna istanza di BCBS nel nostro software, ma stiamo continuando a cercare questa classe di vulnerabilità e collaboreremo con i partner di settore per rilasciare le misure di prevenzione in base alle esigenze. Continuiamo a incoraggiare i ricercatori a presentare qualsiasi risultato pertinente al programma di taglie Speculative Execution Side Channel di Microsoft, incluse eventuali istanze sfruttabili di BCBS. Gli sviluppatori di software devono esaminare le linee guida per gli sviluppatori aggiornate per BCBS in https://aka.ms/sescdevguide.

Il 14 agosto 2018 è stato annunciato l'L1 Terminal Fault (L1TF) e sono stati assegnati più CVE. Queste nuove vulnerabilità di esecuzione speculativa del canale laterale possono essere usate per leggere il contenuto della memoria attraverso un limite attendibile e, se sfruttate, possono portare alla divulgazione delle informazioni. Un utente malintenzionato potrebbe attivare le vulnerabilità attraverso più vettori, a seconda dell'ambiente configurato. L1TF influisce sui processori Intel® Core® e sui processori Intel® Xeon®.

Per ulteriori informazioni su questa vulnerabilità e una visualizzazione dettagliata degli scenari interessati, incluso l'approccio di Microsoft alla prevenzione di L1TF, vedi le risorse seguenti:

I clienti che usano processori ARM a 64 bit devono rivolgersi all'OEM del dispositivo per ottenere supporto del firmware perché le protezioni del sistema operativo ARM64 che attenuano il CVE-2017-5715 | Per rendere effettiva l'iniezione di diramazione (Spectre, variante 2) è necessario l'aggiornamento del firmware più recente degli OEM del dispositivo.

Per altre informazioni sull'abilitazione di Retpoline, vedi il nostro post di blog: Prevenzione della variante 2 di Spectre con Retpoline in Windows

Per informazioni dettagliate su questa vulnerabilità, vedi la Guida alla sicurezza Microsoft: CVE-2019-1125 | Vulnerabilità divulgazione di informazioni kernel di Windows.

Non siamo a conoscenza di alcuna istanza di questa vulnerabilità della divulgazione delle informazioni che interessa l'infrastruttura dei servizi cloud.

Non appena siamo a conoscenza di questo problema, abbiamo lavorato rapidamente per risolverlo e rilasciare un aggiornamento. Crediamo fortemente in strette partnership con ricercatori e partner del settore per rendere i clienti più sicuri e non abbiamo pubblicato dettagli fino a martedì 6 agosto, in linea con le procedure coordinate di divulgazione delle vulnerabilità.

Riferimenti

Microsoft fornisce informazioni di contatto di terze parti per aiutare l'utente a trovare supporto tecnico. Queste informazioni sono soggette a modifiche senza preavviso. Microsoft non garantisce l'accuratezza di queste informazioni di contatto di terze parti.

Serve aiuto?

Amplia le tue competenze

Esplora i corsi di formazione >

Ottieni in anticipo le nuove caratteristiche

Partecipa a Microsoft Insider >

Queste informazioni sono risultate utili?

Come valuti la qualità della lingua?
Cosa ha influito sulla tua esperienza?

Grazie per il feedback!

×