KB4073757: Proteggere i dispositivi Windows dalle vulnerabilità di esecuzione speculativa e microarchitettura basata sui processori

Modifica data	Modificare la descrizione
9 agosto 2023	Rimosso il contenuto relativo a CVE-2022-23816 perché il numero CVE non viene usato È stato rimosso un argomento duplicato intitolato "Aggiornamenti del microcodice Intel" nella sezione "Passaggi per proteggere i dispositivi Windows"
9 aprile 2024	Aggiunto CVE-2022-0001 | Intel Branch History Injection

Potrebbe essere necessario aggiornare sia il firmware (microcodice) che il software per risolvere queste vulnerabilità. Per le azioni consigliate, fai riferimento a Microsoft Security Advisories. Sono inclusi gli aggiornamenti del firmware (microcodice) applicabili dei produttori di dispositivi e, in alcuni casi, gli aggiornamenti del software antivirus. Microsoft consiglia di mantenere i dispositivi aggiornati installando gli aggiornamenti della sicurezza di Windows mensili. 

Per ricevere tutte le protezioni disponibili, segui questi passaggi per ottenere gli aggiornamenti più recenti per software e hardware.

1. Mantieni aggiornato il tuo dispositivo Windows attivando gli aggiornamenti automatici.

2. Verifica di avere installato l'ultimo aggiornamento della sicurezza Microsoft per il sistema operativo Windows. Se gli aggiornamenti automatici sono attivati, gli aggiornamenti devono essere distribuiti automaticamente all'utente. Tuttavia, è comunque consigliabile verificare che siano installati. Per istruzioni, vedere Windows Update: domande frequenti

3. Installa gli aggiornamenti del firmware (microcodice) disponibili rilasciati dal produttore del dispositivo. Tutti i clienti dovranno contattare il produttore del dispositivo per scaricare e installare l'aggiornamento hardware specifico del dispositivo. Vedi la sezione "Risorse aggiuntive" per un elenco dei siti Web dei produttori di dispositivi.

   Nota: È consigliabile installare gli ultimi aggiornamenti della sicurezza Microsoft per il sistema operativo Windows per usufruire della protezione disponibile. Gli aggiornamenti del software antivirus devono essere installati per primi. A seguire dovranno essere installati gli aggiornamenti del firmware e del sistema operativo. Microsoft consiglia di mantenere i dispositivi aggiornati installando gli aggiornamenti della sicurezza di Windows mensili. 

I chip interessati includono quelli prodotti da Intel, AMD e ARM. Ciò significa che tutti i dispositivi che eseguono sistemi operativi Windows sono potenzialmente vulnerabili. Ciò include desktop, portatili, server cloud e smartphone. Sono interessati anche i dispositivi che eseguono altri sistemi operativi, ad esempio Android, Chrome, iOS e macOS. Consigliamo ai clienti che eseguono questi sistemi operativi di cercare assistenza da tali fornitori.

Al momento della pubblicazione, non avevamo ricevuto alcuna informazione per indicare che queste vulnerabilità sono state utilizzate per attaccare i clienti.

A partire da gennaio 2018, Microsoft ha rilasciato aggiornamenti per i sistemi operativi Windows e i Web browser Internet Explorer ed Edge per ridurre queste vulnerabilità e proteggere i clienti. Sono stati rilasciati anche aggiornamenti per proteggere i servizi cloud.  Continuiamo a lavorare a stretto contatto con partner di settore, tra cui produttori di chip, OEM hardware e fornitori di app, per proteggere i clienti da questa classe di vulnerabilità. 

Ti consigliamo di installare sempre gli aggiornamenti mensili per mantenere i tuoi dispositivi aggiornati e sicuri. 

Questa documentazione verrà aggiornata non appena saranno disponibili nuove misure di prevenzione e ti consigliamo di ricontrollare regolarmente qui. 

Aggiornamenti del sistema operativo Windows di luglio 2019

Il 6 agosto 2019 Intel ha divulgato informazioni dettagliate sulla vulnerabilità di sicurezza CVE-2019-1125 | Vulnerabilità divulgazione di informazioni kernel di Windows. Gli aggiornamenti della sicurezza per questa vulnerabilità sono stati rilasciati nell'ambito del rilascio dell'aggiornamento mensile di luglio del 9 luglio 2019.

Microsoft ha rilasciato un aggiornamento della sicurezza per il sistema operativo Windows il 9 luglio 2019 per attenuare questo problema. Abbiamo tenuto documenti pubblici su questa prevenzione fino alla divulgazione coordinata del settore martedì 6 agosto 2019.

I clienti che hanno Windows Update abilitato e hanno applicato gli aggiornamenti della sicurezza rilasciati il 9 luglio 2019 sono protetti automaticamente. Tieni presente che questa vulnerabilità non richiede un aggiornamento del microcodice del produttore del dispositivo (OEM).

Aggiornamenti del sistema operativo Windows di maggio 2019

Il 14 maggio 2019, Intel ha pubblicato informazioni su una nuova sottoclasse di vulnerabilità di esecuzione speculativa del canale laterale nota come Microarchitectural Data Sampling e ha ricevuto i seguenti CVE:

• CVE-2018-11091 - "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"

• CVE-2018-12126 - "Microarchitectural Store Buffer Data Sampling (MSBDS)"

• CVE-2018-12127 - "MFBDS (Microarchitectural Fill Buffer Data Sampling)"

• CVE-2018-12130 - "MlPDS(Microarchitectural Load Port Data Sampling)"

Per altre informazioni su questo problema, vedere il seguente avviso di sicurezza e usare le linee guida basate su scenari descritte negli articoli windows per client e server per determinare le azioni necessarie per mitigare la minaccia:

• 190013 ADV | Linee guida microsoft per attenuare le vulnerabilità del campionamento dei dati microarchitettura

• 4073119 KB | Linee guida del client Windows IT Pro per la protezione dalle vulnerabilità di esecuzione speculativa del canale laterale

• 4457951 KB | Linee guida di Windows Server per la protezione dalle vulnerabilità di esecuzione speculativa del canale laterale

Microsoft ha rilasciato protezioni contro una nuova sottoclasse di vulnerabilità di esecuzione speculativa del canale laterale nota come Microarchitectural Data Sampling per le versioni a 64 bit (x64) di Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Utilizza le impostazioni del Registro di sistema come descritto negli articoli Windows Client (KB4073119) e Windows Server (KB4457951). Queste impostazioni del Registro di sistema sono abilitate per impostazione predefinita per le edizioni del sistema operativo Windows Client e windows server.

È consigliabile installare tutti gli aggiornamenti più recenti di Windows Update prima di installare gli aggiornamenti del microcodice.

Per altre informazioni su questo problema e sulle azioni consigliate, vedere il seguente avviso di sicurezza: 

• 190013 ADV | Linee guida microsoft per attenuare le vulnerabilità del campionamento dei dati microarchitettura

Intel ha rilasciato un aggiornamento del microcodice per le recenti piattaforme della CPU per contribuire a mitigare il CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. L'4093836 della Knowledge Base del 14 maggio 2019 per Windows elenca specifici articoli della Knowledge Base in base alla versione del sistema operativo Windows.  L'articolo contiene anche collegamenti agli aggiornamenti di microcodice Intel disponibili per CPU. Questi aggiornamenti sono disponibili tramite Microsoft Catalog.

Nota: è consigliabile installare tutti gli aggiornamenti più recenti di Windows Update prima di installare gli aggiornamenti del microcodice.

Siamo lieti di annunciare che Retpoline è abilitato per impostazione predefinita nei dispositivi Windows 10, versione 1809 (per client e server) se Spectre Variant 2 (CVE-2017-5715) è abilitato. Abilitando Retpoline sull'ultima versione di Windows 10, tramite l'aggiornamento del 14 maggio 2019 (KB 4494441), prevediamo prestazioni migliorate, in particolare sui processori meno recenti.

I clienti devono assicurarsi che le protezioni del sistema operativo precedenti contro la vulnerabilità Spectre Variant 2 siano abilitate utilizzando le impostazioni del Registro di sistema descritte negli articoli Windows Client e Windows Server . Queste impostazioni del Registro di sistema sono abilitate per impostazione predefinita per le edizioni del sistema operativo di Windows Client, ma sono disabilitate per impostazione predefinita per le edizioni del sistema operativo Windows Server. Per ulteriori informazioni su "Retpoline", vedi Prevenzione della variante 2 di Spectre con Retpoline in Windows.

Aggiornamenti del sistema operativo Windows di novembre 2018

Microsoft ha rilasciato protezioni del sistema operativo per Speculative Store Bypass (CVE-2018-3639) per processori AMD (CPU).

Microsoft ha rilasciato altre protezioni del sistema operativo per i clienti che usano processori ARM a 64 bit. Contatta il produttore OEM del dispositivo per il supporto del firmware perché le protezioni del sistema operativo ARM64 che attenuano le protezioni CVE-2018-3639, Speculative Store Bypass, richiedono l'aggiornamento più recente del firmware da parte dell'OEM del dispositivo.

Aggiornamenti del sistema operativo Windows di settembre 2018

L'11 settembre, 2018, Microsoft ha rilasciato l'aggiornamento cumulativo mensile di Windows Server 2008 SP2 4458010 e sicurezza 4457984 per Windows Server 2008 che forniscono protezioni contro una nuova vulnerabilità di esecuzione speculativa del canale laterale nota come L1 Terminal Fault (L1TF) che interessa i processori Intel® Core® e i processori Intel® Xeon® (CVE-2018-3620 e CVE-2018-3646). 

Questa versione completa le protezioni aggiuntive in tutte le versioni di sistema di Windows supportate tramite Windows Update. Per ulteriori informazioni e un elenco dei prodotti interessati, vedi ADV180018 | Linee guida Microsoft per attenuare la variante L1TF.

Nota: Windows Server 2008 SP2 segue ora il modello di aggiornamento cumulativo di manutenzione di Windows standard. Per ulteriori informazioni su queste modifiche, vedi il nostro blog relativo alle modifiche alla manutenzione di Windows Server 2008 SP2. I clienti che eseguono Windows Server 2008 devono installare 4458010 o 4457984 oltre all'aggiornamento della sicurezza 4341832, rilasciato il 14 agosto 2018. I clienti devono anche assicurarsi che le protezioni del sistema operativo precedenti contro le vulnerabilità Spectre Variant 2 e Meltdown siano abilitate usando le impostazioni del Registro di sistema descritte negli articoli della Knowledge Base di Windows Client e Windows Server . Queste impostazioni del Registro di sistema sono abilitate per impostazione predefinita per le edizioni del sistema operativo Windows Client, ma sono disabilitate per impostazione predefinita per le edizioni del sistema operativo Windows Server.

Microsoft ha rilasciato altre protezioni del sistema operativo per i clienti che usano processori ARM a 64 bit. Contatta il produttore OEM del dispositivo per il supporto del firmware perché le protezioni del sistema operativo ARM64 che attenuano il CVE-2017-5715 - Branch Target Injection (Spectre, variante 2) richiedono l'aggiornamento più recente del firmware da parte degli OEM del dispositivo per rendere effettivo.

Aggiornamenti del sistema operativo Windows di agosto 2018

Il 14 agosto 2018, è stato annunciato l'L1 Terminal Fault (L1TF) e sono stati assegnati più CVE. Queste nuove vulnerabilità di esecuzione speculativa del canale laterale possono essere usate per leggere il contenuto della memoria attraverso un limite attendibile e, se sfruttate, possono portare alla divulgazione delle informazioni. Esistono più vettori tramite i quali un utente malintenzionato potrebbe attivare le vulnerabilità a seconda dell'ambiente configurato. L1TF influisce sui processori Intel® Core® e sui processori Intel® Xeon®.

Per ulteriori informazioni su L1TF e una visualizzazione dettagliata degli scenari interessati, incluso l'approccio di Microsoft alla prevenzione di L1TF, vedi le risorse seguenti:

• ADV180018 | Linee guida Microsoft per attenuare la variante L1TF

• Blog di ricerca sulla sicurezza degli avvisi di sicurezza

• Linee guida del server per l'errore terminale L1

Aggiornamenti del sistema operativo Windows di luglio 2018

Siamo lieti di annunciare che Microsoft ha completato il rilascio di protezioni aggiuntive in tutte le versioni di sistema Windows supportate tramite Windows Update per le vulnerabilità seguenti:

• Spectre Variant 2 per processori AMD

• Speculative Store Bypass per processori Intel

Il 13 giugno 2018 è stata annunciata una vulnerabilità aggiuntiva che coinvolge l'esecuzione speculativa del canale laterale, nota come Lazy FP State Restore, a cui è stato assegnato CVE-2018-3665. Non sono necessarie impostazioni di configurazione (Registro di sistema) per Lazy Restore FP Restore.

Per ulteriori informazioni su questa vulnerabilità, sui prodotti interessati e sulle azioni consigliate, vedi il seguente avviso di sicurezza:

• ADV180016 | Linee guida Microsoft per il ripristino dello stato di Lazy FP

Il 12 giugno Microsoft ha annunciato il supporto di Windows per Speculative Store Bypass Disable (SSBD) nei processori Intel. Gli aggiornamenti richiedono firmware (microcodice) corrispondente e aggiornamenti del Registro di sistema per le funzionalità. Per informazioni sugli aggiornamenti e sui passaggi da applicare per attivare SSBD, vedere la sezione "Azioni consigliate" in ADV180012 | Linee guida Di Microsoft per Speculative Store Bypass.

Aggiornamenti del sistema operativo Windows di maggio 2018

Nel mese di gennaio 2018, Microsoft ha rilasciato informazioni su una classe di vulnerabilità hardware appena individuata (nota come Spectre e Meltdown) che coinvolgono canali laterali di esecuzione speculativa che interessano AMD, ARM e CPU Intel in diversi livelli. Il 21 maggio 2018 Google Project Zero (GPZ), Microsoft e Intel hanno divulgato due nuove vulnerabilità dei chip che sono correlate ai problemi di Spectre e Meltdown noti come Speculative Store Bypass (SSB) e Rogue System Registry Read.

Il rischio del cliente per entrambe le divulgazioni è basso.

Per altre informazioni su queste vulnerabilità, vedere le risorse seguenti:

• Avviso di sicurezza Microsoft per Speculative Store Bypass: MSRC ADV180012 e CVE-2018-3639

• Avviso di sicurezza Microsoft per Rogue System Register Lettura: MSRC ADV180013e CVE-2018-3640

• Ricerca e difesa sulla sicurezza: analisi e prevenzione del bypass speculativo dello store (CVE-2018-3639)

Si applica a: Windows 10, versione 1607, Windows Server 2016, Windows Server 2016 (installazione Server Core) e Windows Server, versione 1709 (installazione Server Core)

Abbiamo fornito il supporto per controllare l'uso di Indirect Branch Prediction Barrier (IBPB) all'interno di alcuni processori AMD (CPU) per attenuare i problemi relativi a CVE-2017-5715, Spectre Variant 2 quando si passa dal contesto utente al contesto kernel. Per altre informazioni, vedere Le linee guida sull'architettura AMD relative al controllo Indirect Branch e ai Aggiornamenti per la sicurezza AMD.

I clienti che eseguono Windows 10, versione 1607, Windows Server 2016, Windows Server 2016 (installazione Server Core) e Windows Server, versione 1709 (installazione Server Core) devono installare l'aggiornamento della sicurezza 4103723 per altre misure di prevenzione per i processori AMD per CVE-2017-5715, Branch Target Injection. Questo aggiornamento è disponibile anche tramite Windows Update.

Segui le istruzioni indicate in Kb 4073119 for Windows Client (IT Pro) guidance e KB 4072698 for Windows Server guidance per abilitare l'uso di IBPB all'interno di alcuni processori AMD (CPU) per attenuare i problemi di Spectre Variant 2 quando passi dal contesto utente al contesto kernel.

Microsoft sta rendendo disponibili gli aggiornamenti del microcodice convalidato da Intel per la variante 2 di Spectre (CVE-2017-5715 "Branch Target Injection"). Per ottenere gli aggiornamenti più recenti del microcodice Intel tramite Windows Update, i clienti devono aver installato il microcodice Intel nei dispositivi che eseguono un sistema operativo Windows 10 prima di eseguire l'aggiornamento Windows 10 aprile 2018 (versione 1803).

L'aggiornamento del microcodice è anche disponibile direttamente dal catalogo se non è stato installato nel dispositivo prima di aggiornare il sistema operativo. Il microcodice Intel è disponibile tramite Windows Update, WSUS o Microsoft Update Catalog. Per altre informazioni e istruzioni per il download, vedi kb 4100347.

Microsoft offrirà ulteriori aggiornamenti del microcodice di Intel per il sistema operativo Windows non appena saranno disponibili per Microsoft.

Si applica a: Windows 10, versione 1709

Abbiamo fornito il supporto per controllare l'uso di Indirect Branch Prediction Barrier (IBPB) all'interno di alcuni processori AMD (CPU) per attenuare i problemi relativi a CVE-2017-5715, Spectre Variant 2 quando si passa dal contesto utente al contesto kernel. Per altre informazioni, vedere Le linee guida sull'architettura AMD relative al controllo Indirect Branch e ai Aggiornamenti per la sicurezza AMD.

Segui le istruzioni descritte in KB 4073119 for Windows Client (IT Pro) per abilitare l'uso di IBPB all'interno di alcuni processori AMD (CPU) per la prevenzione di Spectre Variant 2 quando passi dal contesto utente al contesto kernel.

Microsoft sta rendendo disponibili gli aggiornamenti del microcodice convalidato da Intel per la variante 2 di Spectre (CVE-2017-5715 "Branch Target Injection"). KB4093836 elenca specifici articoli della Knowledge Base in base alla versione di Windows. Ogni kb specifica contiene gli ultimi aggiornamenti di microcodice Intel disponibili per CPU.

Microsoft offrirà ulteriori aggiornamenti del microcodice di Intel per il sistema operativo Windows non appena saranno disponibili per Microsoft. 

Aggiornamenti del sistema operativo Windows di marzo 2018 e versioni successive

23 marzo, TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown on Windows

14 marzo, Security Tech Center: Condizioni del programma Speculative Execution Side Channel Bounty

Blog del 13 marzo 2018: aggiornamento Sicurezza di Windows di marzo 2018 - Espansione dei nostri sforzi per proteggere i clienti

Blog del 1° marzo: Aggiornamento degli aggiornamenti della sicurezza Spectre e Meltdown per i dispositivi Windows

A partire da marzo 2018, Microsoft ha rilasciato aggiornamenti della sicurezza per fornire misure di prevenzione per i dispositivi che eseguono i sistemi operativi Windows basati su x86 seguenti. I clienti devono installare gli ultimi aggiornamenti della sicurezza del sistema operativo Windows per sfruttare le protezioni disponibili. Stiamo lavorando per fornire protezioni per altre versioni di Windows supportate, ma al momento non è disponibile una pianificazione dei rilasci. Ricontrollare qui per gli aggiornamenti. Per ulteriori informazioni, vedere l'articolo della Knowledge Base correlato per dettagli tecnici e la sezione "Domande frequenti".

Aggiornamento del prodotto rilasciato	Stato	Data di rilascio	Canale di rilascio	KB
Windows 8.1 & Windows Server 2012 R2 - Aggiornamento solo della sicurezza	Rilasciato	13-mar	WSUS, Catalogo,	KB4088879
Windows 7 SP1 & Windows Server 2008 R2 SP1 - Aggiornamento della sicurezza	Rilasciato	13-mar	WSUS, Catalogo	KB4088878
Windows Server 2012 - Aggiornamento della sicurezza Windows 8 Embedded Standard Edition - Aggiornamento della sicurezza	Rilasciato	13-mar	WSUS, Catalogo	KB4088877
Windows 8.1 & Windows Server 2012 R2 - Aggiornamento cumulativo mensile	Rilasciato	13-mar	Windows Update, WSUS, Catalogo	KB4088876
Windows 7 SP1 & Windows Server 2008 R2 SP1 - Aggiornamento cumulativo mensile	Rilasciato	13-mar	Windows Update, WSUS, Catalogo	KB4088875
Windows Server 2012 - Aggiornamento cumulativo mensile Windows 8 Embedded Standard Edition - Aggiornamento cumulativo mensile	Rilasciato	13-mar	Windows Update, WSUS, Catalogo	KB4088877
Windows Server 2008 SP2	Rilasciato	13-mar	Windows Update, WSUS, Catalogo	KB4090450

A partire da marzo 2018, Microsoft ha rilasciato aggiornamenti della sicurezza per fornire misure di prevenzione per i dispositivi che eseguono i sistemi operativi Windows basati su x64 seguenti. I clienti devono installare gli ultimi aggiornamenti della sicurezza del sistema operativo Windows per sfruttare le protezioni disponibili. Stiamo lavorando per fornire protezioni per altre versioni di Windows supportate, ma al momento non è disponibile una pianificazione dei rilasci. Ricontrollare qui per gli aggiornamenti. Per altre informazioni, vedere l'articolo knowledge base correlato per dettagli tecnici e la sezione "Domande frequenti".

Aggiornamento del prodotto rilasciato	Stato	Data di rilascio	Canale di rilascio	KB
Windows Server 2012 - Aggiornamento della sicurezza Windows 8 Embedded Standard Edition - Aggiornamento della sicurezza	Rilasciato	13-mar	WSUS, Catalogo	KB4088877
Windows Server 2012 - Aggiornamento cumulativo mensile Windows 8 Embedded Standard Edition - Aggiornamento cumulativo mensile	Rilasciato	13-mar	Windows Update, WSUS, Catalogo	KB4088877
Windows Server 2008 SP2	Rilasciato	13-mar	Windows Update, WSUS, Catalogo	KB4090450

Questo aggiornamento risolve una vulnerabilità dell'elevazione dei privilegi nel kernel di Windows nella versione a 64 bit (x64) di Windows. Questa vulnerabilità è documentata in CVE-2018-1038. Gli utenti devono applicare questo aggiornamento per essere completamente protetti da questa vulnerabilità se i loro computer sono stati aggiornati in data o dopo gennaio 2018 applicando uno degli aggiornamenti elencati nel seguente articolo della Knowledge Base:

Aggiornamento del kernel di Windows per CVE-2018-1038

Questo aggiornamento della sicurezza risolve diverse vulnerabilità segnalate in Internet Explorer. Per altre informazioni su queste vulnerabilità, vedi Vulnerabilità e esposizioni comuni di Microsoft. 

Aggiornamento del prodotto rilasciato	Stato	Data di rilascio	Canale di rilascio	KB
Internet Explorer 10 - Aggiornamento cumulativo per Windows 8 Embedded Standard Edition	Rilasciato	13-mar	Windows Update, WSUS, Catalogo	KB4089187

Aggiornamenti del sistema operativo Windows di febbraio 2018

Blog: Windows Analytics ora aiuta a valutare le protezioni Spectre e Meltdown

I seguenti aggiornamenti della sicurezza forniscono protezioni aggiuntive per i dispositivi che eseguono sistemi operativi Windows a 32 bit (x86). Microsoft consiglia di installare l'aggiornamento non appena disponibile. Microsoft continua a lavorare per fornire protezioni per altre versioni di Windows supportate, ma al momento non ha una pianificazione dei rilasci. Ricontrollare qui per gli aggiornamenti. 

Nota Windows 10 aggiornamenti mensili della sicurezza sono cumulativi mese dopo mese e verranno scaricati e installati automaticamente da Windows Update. Se hai installato aggiornamenti precedenti, nel tuo dispositivo verranno scaricate e installate solo le nuove parti. Per ulteriori informazioni, vedere l'articolo della Knowledge Base correlato per dettagli tecnici e la sezione "Domande frequenti".

Aggiornamento del prodotto rilasciato	Stato	Data di rilascio	Canale di rilascio	KB
Windows 10 - Versione 1709/Windows Server 2016 (1709)/IoT Core - Aggiornamento qualitativo	Rilasciato	31-gen	Windows Update, Catalogo	KB4058258
Windows Server 2016 (1709) - Contenitore server	Rilasciato	13-feb	Hub Docker	KB4074588
Windows 10 - Versione 1703/IoT Core - Aggiornamento qualitativo	Rilasciato	13-feb	Windows Update, WSUS, Catalogo	KB4074592
Windows 10 - Versione 1607/Windows Server 2016/IoT Core - Aggiornamento qualitativo	Rilasciato	13-feb	Windows Update, WSUS, Catalogo	KB4074590
Windows 10 HoloLens - Sistema operativo e Aggiornamenti firmware	Rilasciato	13-feb	Windows Update, Catalogo	KB4074590
Windows Server 2016 (1607) - Immagini contenitore	Rilasciato	13-feb	Hub Docker	KB4074590
Windows 10 - Versione 1511/IoT Core - Aggiornamento qualitativo	Rilasciato	13-feb	Windows Update, WSUS, Catalogo	KB4074591
Windows 10 - Versione RTM - Aggiornamento qualitativo	Rilasciato	13-feb	Windows Update, WSUS, Catalogo	KB4074596

Aggiornamenti del sistema operativo Windows di gennaio 2018

Blog: Informazioni sull'impatto sulle prestazioni delle misure di prevenzione spectre e meltdown nei sistemi Windows

A partire da gennaio 2018, Microsoft ha rilasciato aggiornamenti della sicurezza per fornire le misure di prevenzione per i dispositivi che eseguono i seguenti sistemi operativi Windows basati su x64. I clienti devono installare gli ultimi aggiornamenti della sicurezza del sistema operativo Windows per sfruttare le protezioni disponibili. Stiamo lavorando per fornire protezioni per altre versioni di Windows supportate, ma al momento non è disponibile una pianificazione dei rilasci. Ricontrollare qui per gli aggiornamenti. Per ulteriori informazioni, vedere l'articolo della Knowledge Base correlato per dettagli tecnici e la sezione "Domande frequenti".

Aggiornamento del prodotto rilasciato	Stato	Data di rilascio	Canale di rilascio	KB
Windows 10 - Versione 1709/Windows Server 2016 (1709)/IoT Core - Aggiornamento qualitativo	Rilasciato	3-gen	Windows Update, WSUS, Catalogo, Raccolta immagini di Azure	KB4056892
Windows Server 2016 (1709) - Contenitore server	Rilasciato	5-gen	Hub Docker	KB4056892
Windows 10 - Versione 1703/IoT Core - Aggiornamento qualitativo	Rilasciato	3-gen	Windows Update, WSUS, Catalogo	KB4056891
Windows 10 - Versione 1607/Windows Server 2016/IoT Core - Aggiornamento qualitativo	Rilasciato	3-gen	Windows Update, WSUS, Catalogo	KB4056890
Windows Server 2016 (1607) - Immagini contenitore	Rilasciato	4-gen	Hub Docker	KB4056890
Windows 10 - Versione 1511/IoT Core - Aggiornamento qualitativo	Rilasciato	3-gen	Windows Update, WSUS, Catalogo	KB4056888
Windows 10 - Versione RTM - Aggiornamento qualitativo	Rilasciato	3-gen	Windows Update, WSUS, Catalogo	KB4056893
Windows 10 Mobile (build del sistema operativo 15254.192) - ARM	Rilasciato	5-gen	Windows Update, Catalogo	KB4073117
Windows 10 Mobile (build del sistema operativo 15063.850)	Rilasciato	5-gen	Windows Update, Catalogo	KB4056891
Windows 10 Mobile (build del sistema operativo 14393.2007)	Rilasciato	5-gen	Windows Update, Catalogo	KB4056890
Windows 10 HoloLens	Rilasciato	5-gen	Windows Update, Catalogo	KB4056890
Windows 8.1/Windows Server 2012 R2 - Aggiornamento della sicurezza	Rilasciato	3-gen	WSUS, Catalogo	KB4056898
Windows Embedded 8.1 Industry Enterprise	Rilasciato	3-gen	WSUS, Catalogo	KB4056898
Windows Embedded 8.1 Industry Pro	Rilasciato	3-gen	WSUS, Catalogo	KB4056898
Windows Embedded 8.1 Pro	Rilasciato	3-gen	WSUS, Catalogo	KB4056898
Windows 8.1/Aggiornamento cumulativo mensile di Windows Server 2012 R2	Rilasciato	8-gen	Windows Update, WSUS, Catalogo	KB4056895
Windows Embedded 8.1 Industry Enterprise	Rilasciato	8-gen	Windows Update, WSUS, Catalogo	KB4056895
Windows Embedded 8.1 Industry Pro	Rilasciato	8-gen	Windows Update, WSUS, Catalogo	KB4056895
Windows Embedded 8.1 Pro	Rilasciato	8-gen	Windows Update, WSUS, Catalogo	KB4056895
Solo sicurezza di Windows Server 2012	Rilasciato		WSUS, Catalogo
Windows Server 2008 SP2	Rilasciato		Windows Update, WSUS, Catalogo
Aggiornamento cumulativo mensile di Windows Server 2012	Rilasciato		Windows Update, WSUS, Catalogo
Windows Embedded 8 Standard	Rilasciato		Windows Update, WSUS, Catalogo
Windows 7 SP1/Windows Server 2008 R2 SP1 - Aggiornamento della sicurezza	Rilasciato	3-gen	WSUS, Catalogo	KB4056897
Windows Embedded Standard 7	Rilasciato	3-gen	WSUS, Catalogo	KB4056897
Windows Embedded POSReady 7	Rilasciato	3-gen	WSUS, Catalogo	KB4056897
Windows Thin PC	Rilasciato	3-gen	WSUS, Catalogo	KB4056897
Windows 7 SP1/Aggiornamento cumulativo mensile di Windows Server 2008 R2 SP1	Rilasciato	4-gen	Windows Update, WSUS, Catalogo	KB4056894
Windows Embedded Standard 7	Rilasciato	4-gen	Windows Update, WSUS, Catalogo	KB4056894
Windows Embedded POSReady 7	Rilasciato	4-gen	Windows Update, WSUS, Catalogo	KB4056894
Windows Thin PC	Rilasciato	4-gen	Windows Update, WSUS, Catalogo	KB4056894
Internet Explorer 11 - Aggiornamento cumulativo per Windows 7 SP1 e Windows 8.1	Rilasciato	3-gen	Windows Update, WSUS, Catalogo	KB4056568

Il 9 aprile 2024 è stato pubblicato CVE-2022-0001 | Intel Branch History Injection che descrive Branch History Injection (BHI), che è una forma specifica di BTI intra-mode. Questa vulnerabilità si verifica quando un utente malintenzionato può manipolare la cronologia dei rami prima della transizione dalla modalità utente a supervisore (o dalla modalità non radice/guest VMX alla modalità radice). Questa modifica potrebbe causare la selezione di una voce del preditore specifico per un ramo indiretto e l'esecuzione transitoria di un gadget di divulgazione presso la destinazione prevista. Ciò può essere possibile perché la cronologia dei rami rilevante può contenere rami acquisiti in contesti di sicurezza precedenti e, in particolare, in altre modalità di previsione.

Seguire le istruzioni indicate in KB4073119 per i client Windows (professionisti IT) e KB4072698 per Windows Server per attenuare le vulnerabilità descritte in CVE-2022-0001 | Intel Branch History Injection.

Avviso di sicurezza Microsoft per L1 Terminal Fault (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 e CVE-2018-3646

Ricerca e difesa sulla sicurezza: analisi e prevenzione del bypass speculativo dello store (CVE-2018-3639)

Avviso di sicurezza Microsoft per Speculative Store Bypass: MSRC ADV180012 e CVE-2018-3639

Avviso di sicurezza Microsoft per la lettura di Rogue System Register | Guida all'aggiornamento della sicurezza per Surface: MSRC ADV180013e CVE-2018-3640

Ricerca e difesa sulla sicurezza: analisi e prevenzione del bypass speculativo dello store (CVE-2018-3639)

TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown su Windows

Security Tech Center: Condizioni del programma Speculative Execution Side Channel Bounty

Blog sull'esperienza Microsoft: Aggiornamento degli aggiornamenti della sicurezza Spectre e Meltdown per i dispositivi Windows

Blog di Windows for Business: Windows Analytics ora aiuta a valutare le protezioni Spectre e Meltdown

Blog di Microsoft Secure: Informazioni sull'impatto sulle prestazioni delle misure di prevenzione di Spectre e Meltdown nei sistemi Windows

Blog degli sviluppatori di Edge: Prevenzione degli attacchi di esecuzione speculativa del canale laterale in Microsoft Edge e Internet Explorer

Blog di Azure: Protezione dei clienti Azure dalla vulnerabilità della CPU

linee guida SCCM: Linee guida aggiuntive per mitigare le vulnerabilità di esecuzione speculativa del canale laterale

Consulenti Microsoft:

• ADV180002 | Linee guida per attenuare le vulnerabilità di esecuzione speculativa del canale laterale

• ADV180012 | Linee guida Di Microsoft per Speculative Store Bypass

• ADV180013 | Linee guida Microsoft per la lettura del registro di sistema rogue

• ADV180016 | Linee guida Microsoft per il ripristino dello stato di Lazy FP

• ADV180018 | Linee guida Microsoft per attenuare la variante L1TF

Intel: avviso di sicurezza

ARM: avviso di sicurezza

AMD: avviso di sicurezza

NVIDIA: avviso di sicurezza

Linee guida per i consumatori: protezione del dispositivo dalle vulnerabilità di protezione correlate ai chip

Linee guida antivirus: aggiornamenti della sicurezza di Windows rilasciati il 3 gennaio 2018 e software antivirus

Linee guida per il blocco degli aggiornamenti della sicurezza del sistema operativo Windows amD: KB4073707: Blocco degli aggiornamenti della sicurezza del sistema operativo Windows per alcuni dispositivi basati su AMD

Aggiornamento per disabilitare la prevenzione contro Spectre, variante 2: KB4078130: Intel ha identificato problemi di riavvio con il microcodice su alcuni processori meno recenti 

Linee guida di Surface: Linee guida di Surface per la protezione dalle vulnerabilità di esecuzione speculativa del canale laterale

Verifica lo stato delle misure di prevenzione del canale laterale di esecuzione speculativa: informazioni Get-SpeculationControlSettings output di script di PowerShell

Linee guida per professionisti IT: Linee guida del client Windows per i professionisti IT per la protezione dalle vulnerabilità di esecuzione speculativa del canale laterale

Linee guida del server: linee guida di Windows Server per la protezione dalle vulnerabilità di esecuzione speculativa del canale laterale

Linee guida del server per l'errore terminale L1: linee guida di Windows Server per la protezione dagli errori dei terminali L1

Linee guida per sviluppatori: Linee guida per sviluppatori per Speculative Store Bypass

Linee guida di Server Hyper-V

• Controlli per le risorse delle macchine virtuali

• Gestione delle risorse CPU host Hyper-V

KB di Azure: KB4073235: Microsoft Cloud Protections against Speculative Execution Side-Channel Vulnerabilità

Linee guida dello stack di Azure: KB4073418: Linee guida dello stack di Azure per la protezione dalle vulnerabilità di esecuzione speculativa del canale laterale

Affidabilità di Azure: Portale di affidabilità di Azure

linee guida SQL Server: KB4073225: linee guida SQL Server per la protezione dalle vulnerabilità di esecuzione speculativa del canale laterale

Collegamenti ai produttori di dispositivi OEM e server per gli aggiornamenti da proteggere dalle vulnerabilità Spectre e Meltdown

Per risolvere queste vulnerabilità, è necessario aggiornare sia l'hardware che il software. Utilizza i collegamenti seguenti per contattare il produttore del dispositivo per verificare la disponibilità di aggiornamenti del firmware (microcodice) applicabili.

Utilizza i collegamenti seguenti per contattare il produttore del dispositivo per verificare la disponibilità di aggiornamenti del firmware (microcodice). Dovrai installare gli aggiornamenti del sistema operativo e del firmware (microcodice) per tutte le protezioni disponibili.

Produttori di dispositivi OEM	Collegamento alla disponibilità del microcodice
Acer	Vulnerabilità di sicurezza di Meltdown e Spectre
Asus	Aggiornamento ASUS sull'esecuzione speculativa e sul metodo di analisi del canale laterale di completamento dei rami indiretti
Dell	Vulnerabilità di Meltdown e Spectre
Epson	Vulnerabilità della CPU (attacchi ai canali laterali)
Fujitsu	Hardware CPU vulnerabile agli attacchi del canale laterale (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HP	COMUNICAZIONI DI SUPPORTO - BOLLETTINO SULLA SICUREZZA
Lenovo	Lettura della memoria privilegiata con un canale laterale
LG	Ottenere assistenza & supporto tecnico
NEC	Sulla risposta alla vulnerabilità del processore (meltdown, spectrum) nei nostri prodotti
Panasonic	Informazioni di sicurezza relative alla vulnerabilità del metodo di analisi del canale laterale di esecuzione speculativa e di indirect branch prediction
Samsung	Annuncio sull'aggiornamento software delle CPU Intel
Surface	Linee guida di Surface per la protezione dalle vulnerabilità di esecuzione speculativa del canale laterale
Toshiba	Intel, AMD & microsoft Speculative Execution e Indirect Branch Prediction Side Channel Analysis Method Vulnerabilities (2017)
Vaio	Sul supporto delle vulnerabilità per l'analisi dei canali laterali

Produttori OEM di server	Collegamento alla disponibilità del microcodice
Dell	Vulnerabilità di Meltdown e Spectre
Fujitsu	Hardware CPU vulnerabile agli attacchi del canale laterale (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HPE	Avvisi di vulnerabilità relative alla sicurezza dei prodotti Hewlett Packard Enterprise
Huawei	Informativa sulla sicurezza - Informativa sulla divulgazione multimediale delle vulnerabilità di protezione nella progettazione dell'architettura DELLA CPU Intel
Lenovo	Lettura della memoria privilegiata con un canale laterale

Dovrai contattare il produttore del dispositivo per verificare la disponibilità di aggiornamenti del firmware (microcodice). Se il produttore del dispositivo non è elencato nella tabella, contatta direttamente l'OEM.

Aggiornamenti per i dispositivi Microsoft Surface sono disponibili per i clienti tramite Windows Update. Per un elenco degli aggiornamenti del firmware del dispositivo Surface (microcodice) disponibili, vedi kb 4073065.

Se il dispositivo non proviene da Microsoft, applica gli aggiornamenti del firmware rilasciati dal produttore del dispositivo. Per altre informazioni, contatta il produttore del dispositivo.

La risoluzione di una vulnerabilità hardware tramite un aggiornamento software presenta sfide significative e misure di prevenzione per i sistemi operativi meno recenti e può richiedere modifiche architetturali estese. Stiamo continuando a lavorare con i produttori di chip interessati per analizzare il modo migliore per fornire le misure di prevenzione. Questo potrebbe essere fornito in un aggiornamento futuro. La sostituzione dei dispositivi meno recenti che eseguono questi sistemi operativi meno recenti e l'aggiornamento del software antivirus dovrebbe risolvere il rischio rimanente.

Anche se i sistemi basati su Windows XP sono prodotti interessati, Microsoft non rilascia alcun aggiornamento per loro perché le modifiche dell'architettura complete che sarebbero necessarie potrebbero compromettere la stabilità del sistema e causare problemi di compatibilità delle applicazioni. È consigliabile che i clienti che temono problemi relativi alla sicurezza eseguano l'aggiornamento a un sistema operativo supportato più recente per rimanere al passo con il paesaggio in continuo mutamento delle minacce della sicurezza e per trarre vantaggio dalle protezioni più affidabili offerte dai sistemi operativi più recenti.

Aggiornamenti per Windows 10 per HoloLens sono disponibili per i clienti holoLens tramite Windows Update.

Dopo aver applicatol'aggiornamento di Sicurezza di Windows di febbraio 2018, i clienti di HoloLens non devono eseguire altre azioni per aggiornare il firmware del dispositivo. Queste misure di prevenzione saranno incluse anche in tutte le versioni future di Windows 10 per HoloLens.

Per altre informazioni, contatta l'OEM.

Per proteggere completamente il dispositivo, devi installare gli ultimi aggiornamenti della sicurezza del sistema operativo Windows per il dispositivo e gli aggiornamenti del firmware (microcodice) applicabili rilasciati dal produttore del dispositivo. Questi aggiornamenti sono di solito disponibili sul sito Web del produttore del dispositivo. Gli aggiornamenti del software antivirus devono essere installati per primi. Gli aggiornamenti del sistema operativo e del firmware possono essere installati in qualsiasi ordine.

Dovrai aggiornare sia l'hardware che il software per risolvere questa vulnerabilità. Dovrai anche installare gli aggiornamenti del firmware (microcodice) applicabili rilasciati dal produttore del dispositivo per una protezione più completa. Microsoft consiglia di mantenere i dispositivi aggiornati installando gli aggiornamenti della sicurezza di Windows mensili.

In ogni aggiornamento delle funzionalità di Windows 10, creiamo la tecnologia di sicurezza più recente nel sistema operativo, fornendo funzionalità di difesa in profondità che impediscono a intere classi di malware di influire sul dispositivo. I rilasci degli aggiornamenti delle funzionalità sono previsti due volte l'anno. In ogni aggiornamento qualitativo mensile, aggiungiamo un altro livello di sicurezza che tiene traccia delle tendenze emergenti e in evoluzione del malware per rendere i sistemi aggiornati più sicuri di fronte al cambiamento e all'evoluzione delle minacce.

Microsoft ha sospeso il controllo di compatibilità av per gli aggiornamenti della sicurezza di Windows per le versioni supportate dei dispositivi Windows 10, Windows 8.1 e Windows 7 SP1 tramite Windows Update. 

Consigli:

• Assicurati che i dispositivi siano aggiornati grazie agli aggiornamenti della sicurezza più recenti rilasciati da Microsoft e dal produttore dell'hardware. Per altre info su come mantenere aggiornato il tuo dispositivo, vedi Windows Update: domande frequenti.

• Continuare a prestare particolare attenzione quando si visitano siti Web di origine sconosciuta e non rimangono in siti non attendibili. Microsoft consiglia a tutti i clienti di proteggere i propri dispositivi eseguendo un programma antivirus supportato. I clienti possono anche usufruire della protezione antivirus incorporata: Windows Defender per i dispositivi Windows 10 o Microsoft Security Essentials per i dispositivi Windows 7. Queste soluzioni sono compatibili nei casi in cui i clienti non possono installare o eseguire software antivirus.

Per evitare di influire negativamente sui dispositivi dei clienti, gli aggiornamenti della sicurezza di Windows rilasciati a gennaio o febbraio non sono stati offerti a tutti i clienti. Per informazioni dettagliate, vedere l'articolo della Microsoft Knowledge Base 4072699. 

Intel ha segnalato problemi che interessano il microcodice rilasciato di recente che ha lo scopo di risolvere Spectre Variant 2 (CVE-2017-5715 - "Branch Target Injection"). In particolare, Intel ha osservato che questo microcodice può causare "riavvii superiori al previsto e altri comportamenti imprevisti del sistema" e anche che situazioni come questa possono causare "perdita o danneggiamento dei dati".  La nostra esperienza personale è che l'instabilità del sistema può, in alcune circostanze, causare la perdita o il danneggiamento dei dati. Il 22 gennaio Intel ha consigliato ai clienti di interrompere la distribuzione della versione corrente del microcodice sui processori interessati mentre eseguono ulteriori test sulla soluzione aggiornata. Sappiamo che Intel sta continuando ad analizzare il potenziale impatto della versione corrente del microcodice e incoraggiamo i clienti a rivedere le loro indicazioni su base continuativa per informare le loro decisioni.

Mentre Intel testa, aggiorna e distribuisce nuovo microcodice, stiamo rendendo disponibile un aggiornamento fuori banda, KB 4078130, che disabilita in modo specifico solo la prevenzione contro CVE-2017-5715, "Branch Target Injection". Nei nostri test, questo aggiornamento è stato trovato per impedire il comportamento descritto. Per l'elenco completo dei dispositivi, vedi le linee guida per la revisione del microcodice di Intel. Questo aggiornamento riguarda Windows 7 (SP1), Windows 8.1 e tutte le versioni di Windows 10, per client e server. Se stai eseguendo un dispositivo interessato, questo aggiornamento può essere applicato scaricandolo dal sito Web Microsoft Update Catalog. L'applicazione di questo payload disabilita in modo specifico solo la prevenzione contro la CVE-2017-5715 - "Branch Target Injection". 

A partire dal 25 gennaio, non ci sono rapporti noti per indicare che questo Spectre Variant 2 (CVE-2017-5715) è stato utilizzato per attaccare i clienti. Quando appropriato, consigliamo ai clienti Windows di abilitare nuovamente la prevenzione contro la CVE-2017-5715 quando Intel segnala che questo comportamento imprevisto del sistema è stato risolto per il tuo dispositivo.

No. Gli aggiornamenti solo della sicurezza non sono cumulativi. A seconda della versione del sistema operativo in esecuzione, è necessario installare tutti gli aggiornamenti rilasciati solo della sicurezza per essere protetti da queste vulnerabilità. Ad esempio, se esegui Windows 7 per sistemi a 32 bit su una CPU Intel interessata, devi installare ogni aggiornamento solo della sicurezza a partire da gennaio 2018. È consigliabile installare questi aggiornamenti solo della sicurezza nell'ordine di rilascio.
 
Nota Una versione precedente di queste domande frequenti indicava erroneamente che l'aggiornamento solo della sicurezza di febbraio includeva le correzioni per la sicurezza rilasciate a gennaio. In realtà, non lo fa.

No. L'aggiornamento della sicurezza 4078130 è stato una correzione specifica per evitare comportamenti imprevisti del sistema, problemi di prestazioni e riavvii imprevisti dopo l'installazione del microcodice. L'applicazione degli aggiornamenti della sicurezza di febbraio nei sistemi operativi client Windows abilita tutte e tre le misure di prevenzione. Nei sistemi operativi server Windows, è comunque necessario abilitare le misure di prevenzione dopo l'esecuzione dei test appropriati. Per altre informazioni , vedere l'articolo 4072698 della Microsoft Knowledge Base .

AMD ha recentemente annunciato di aver iniziato a rilasciare microcodice per le piattaforme CPU più recenti intorno a Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Per altre informazioni, vedere il white paper su AMD Security Aggiornamenti e AMD: Linee guida sull'architettura per il controllo indirect branch. Sono disponibili dal canale del firmware OEM. 

Intel ha recentemente annunciato di aver completato le convalide e ha iniziato a rilasciare microcodice per le piattaforme CPU più recenti. Microsoft sta rendendo disponibili gli aggiornamenti del microcodice convalidato da Intel per la variante 2 di Spectre (CVE-2017-5715 "Branch Target Injection"). 4093836 KB elenca specifici articoli della Knowledge Base in base alla versione di Windows. Ogni specifico articolo KB contiene gli aggiornamenti di microcodice Intel disponibili per CPU.

Microsoft sta rendendo disponibili gli aggiornamenti del microcodice convalidato da Intel per la variante 2 di Spectre (CVE-2017-5715 "Branch Target Injection"). Per ottenere gli aggiornamenti più recenti del microcodice Intel tramite Windows Update, i clienti devono aver installato il microcodice Intel nei dispositivi che eseguono un sistema operativo Windows 10 prima di eseguire l'aggiornamento Windows 10 aprile 2018 (versione 1803).

L'aggiornamento del microcodice è disponibile anche direttamente dal catalogo di aggiornamento se non è stato installato nel dispositivo prima dell'aggiornamento del sistema. Il microcodice Intel è disponibile tramite Windows Update, WSUS o Microsoft Update Catalog. Per altre informazioni e istruzioni per il download, vedi kb 4100347.

Per altre informazioni, vedere le risorse seguenti:

• ADV180012 | Linee guida Microsoft per Speculative Store Bypass per CVE-2018-3639

• ADV180013 | Linee guida Microsoft per Rogue System Register Lettura per CVE-2018-3640 e KB 4073065 | Linee guida per i clienti di Surface

• Blog microsoft sulla ricerca e la difesa sulla sicurezza

• Linee guida per sviluppatori per Speculative Store Bypass

Per informazioni dettagliate, vedere le sezioni "Azioni consigliate" e "Domande frequenti" in ADV180012 | Linee guida Di Microsoft per Speculative Store Bypass.

Per verificare lo stato di SSBD, lo script Get-SpeculationControlSettings PowerShell è stato aggiornato per rilevare i processori interessati, lo stato degli aggiornamenti del sistema operativo SSBD e lo stato del microcodice del processore, se applicabile. Per altre informazioni e per ottenere lo script di PowerShell, vedere KB4074629.

Il 13 giugno 2018 è stata annunciata una vulnerabilità aggiuntiva che coinvolge l'esecuzione speculativa del canale laterale, nota come Lazy FP State Restore, a cui è stato assegnato CVE-2018-3665. Non sono necessarie impostazioni di configurazione (Registro di sistema) per Lazy Restore FP Restore.

Per ulteriori informazioni su questa vulnerabilità e sulle azioni consigliate, consulta l'avviso di sicurezza: ADV180016 | Linee guida Microsoft per il ripristino dello stato di Lazy FP

NotaNon sono necessarie impostazioni di configurazione (Registro di sistema) per Lazy Restore FP Restore.

Bounds Check Bypass Store (BCBS) è stato divulgato il 10 luglio 2018 e ha assegnato CVE-2018-3693. Riteniamo che BCBS appartenga alla stessa classe di vulnerabilità di Bounds Check Bypass (variante 1). Attualmente non siamo a conoscenza di alcuna istanza di BCBS nel nostro software, ma stiamo continuando a cercare questa classe di vulnerabilità e collaboreremo con i partner del settore per rilasciare le misure di prevenzione in base alle esigenze. Continuiamo a incoraggiare i ricercatori a presentare qualsiasi risultato pertinente al programma di taglie Speculative Execution Side Channel di Microsoft, incluse eventuali istanze sfruttabili di BCBS. Gli sviluppatori di software devono esaminare le linee guida per gli sviluppatori aggiornate per BCBS all'https://aka.ms/sescdevguide.

Il 14 agosto 2018, è stato annunciato l'L1 Terminal Fault (L1TF) e sono stati assegnati più CVE. Queste nuove vulnerabilità di esecuzione speculativa del canale laterale possono essere usate per leggere il contenuto della memoria attraverso un limite attendibile e, se sfruttate, possono portare alla divulgazione delle informazioni. Esistono più vettori tramite i quali un utente malintenzionato potrebbe attivare le vulnerabilità a seconda dell'ambiente configurato. L1TF influisce sui processori Intel® Core® e sui processori Intel® Xeon®.

Per ulteriori informazioni su questa vulnerabilità e una visualizzazione dettagliata degli scenari interessati, incluso l'approccio di Microsoft alla prevenzione di L1TF, vedere le risorse seguenti:

• ADV180018 | Linee guida Microsoft per attenuare la variante L1TF

• Blog di ricerca sulla sicurezza degli avvisi di sicurezza

• Linee guida del server per l'errore terminale L1

Clienti di Microsoft Surface: I clienti che usano Microsoft Surface e i prodotti Surface Book devono seguire le indicazioni per il client Windows indicate nell'avviso di sicurezza: ADV180018 | Linee guida Microsoft per attenuare la variante L1TF. Vedi anche l'articolo della Microsoft Knowledge Base 4073065 per ulteriori informazioni sui prodotti Surface interessati e sulla disponibilità degli aggiornamenti del microcodice.

Clienti Microsoft Hololens: Microsoft HoloLens non è interessato da L1TF perché non usa un processore Intel interessato.

I passaggi necessari per disabilitare Hyper-Threading saranno diversi da OEM a OEM, ma in genere fanno parte del BIOS o degli strumenti di configurazione e configurazione del firmware.

I clienti che usano processori ARM a 64 bit devono contattare l'OEM del dispositivo per richiedere il supporto del firmware perché le protezioni del sistema operativo ARM64 che attenuano il CVE-2017-5715 - Branch Target Injection (Spectre, variante 2) richiedono l'aggiornamento più recente del firmware da parte degli OEM dei dispositivi per rendere effettivo.

Per informazioni dettagliate su questa vulnerabilità, vedere la Guida alla sicurezza Microsoft: CVE-2019-1125 | Vulnerabilità divulgazione di informazioni kernel di Windows.

Non siamo a conoscenza di alcuna istanza di questa vulnerabilità della divulgazione delle informazioni che interessa l'infrastruttura dei servizi cloud.

Non appena siamo a conoscenza di questo problema, abbiamo lavorato rapidamente per risolverlo e rilasciare un aggiornamento. Crediamo fortemente in strette partnership con ricercatori e partner di settore per rendere i clienti più sicuri e non abbiamo pubblicato dettagli fino a martedì 6 agosto, in linea con le procedure coordinate di divulgazione delle vulnerabilità.