KB4073757. Windows ierīču aizsardzība pret microarbokectural un speculative execution side-channel vulnerabilities

Datuma maiņa	Apraksta maiņa
2023. gada 9. augusts	Noņemtais saturs par CVE-2022-23816, jo CVE numurs netiek izmantots Noņemta dublēta tēma ar nosaukumu "Intel microcode updates" sadaļā "Darbības, lai palīdzētu aizsargāt jūsu Windows ierīces".
2024. gada 9. aprīlis	Pievienots CVE-2022-0001 | Intel Branch History Injection

Lai novērstu šīs ievainojamības, iespējams, būs jāatjaunina gan aparātprogrammatūra (mikrokods), gan jūsu programmatūra. Ieteicamās darbības skatiet Microsoft drošības konsultantos. Tas ietver aparātprogrammatūras (mikrokoda) atjauninājumus no ierīces ražotājiem un dažos gadījumos arī pretvīrusu programmatūras atjauninājumus. Mēs aicinām jūs uzturēt jūsu ierīces atjauninātas un drošībā, instalējot Windows drošības atjauninājumus katru mēnesi. 

Lai saņemtu visu pieejamo aizsardzību, veiciet tālāk aprakstītās darbības, lai iegūtu jaunākos atjauninājumus gan programmatūrai, gan aparatūrai.

1. Atjauniniet savu Windows ierīci, ieslēdzot automātiskos atjauninājumus.

2. Pārbaudiet, vai esat instalējis korporācijas Microsoft jaunākos Windows operētājsistēmas drošības atjauninājumus. Ja ir ieslēgti automātiskie atjauninājumi, tie ir automātiski jāpiegādā jums. Tomēr joprojām pārbaudiet, vai tās ir instalētas. Norādījumus skatiet rakstā Windows Update: bieži uzdotie jautājumi

3. Instalējiet pieejamos aparātprogrammatūras (mikrokoda) atjauninājumus no ierīces ražotāja. Visiem klientiem būs jāpārbauda ierīces ražotājs, lai lejupielādētu un instalētu ierīces aparatūras atjauninājumu. Skatiet sadaļu "Papildu resursi", lai iegūtu ierīču ražotāja tīmekļa vietņu sarakstu.

   Piezīme.: Klientiem jāinstalē jaunākie Windows operētājsistēmas drošības atjauninājumi no korporācijas Microsoft, lai izmantotu pieejamo aizsardzība. Vispirms ir jāinstalē pretvīrusu programmatūras atjauninājumi. Operētājsistēmas un aparātprogrammatūras atjauninājumi jāinstalē pēc tam. Mēs aicinām jūs uzturēt jūsu ierīces atjauninātas un drošībā, instalējot Windows drošības atjauninājumus katru mēnesi. 

Ietekmētās mikroshēmas ietver tos, kurus ražo Intel, AMD un ARM. Tas nozīmē, ka visas ierīces, kurās darbojas Windows operētājsistēmas, ir potenciāli neaizsargātas. Tas attiecas uz galddatoriem, klēpjdatoriem, mākoņa serveriem un viedtālruņi. Tiek ietekmētas arī ierīces, kurās darbojas citas operētājsistēmas, piemēram, Android, Chrome, iOS un macOS. Mēs iesakām klientiem, kuri izmanto šīs operētājsistēmas, meklēt šo piegādātāju norādījumus.

Publikācijas laikā nesaņēma nekādu informāciju, kas norādītu, ka šī ievainojamība ir izmantota, lai uzbrukuma klientiem.

Sākot ar 2018. gada janvāri, Microsoft izlaida atjauninājumus operētājsistēmām Windows un Internet Explorer un Microsoft Edge tīmekļa pārlūkprogrammām, lai palīdzētu mazināt šo ievainojamību un palīdzētu aizsargāt klientus. Mēs arī izlaidām atjauninājumus, lai aizsargātu mūsu mākoņpakalpojumus.  Mēs cieši sadarbojamies ar nozares partneriem, tostarp mikroshēmu veidotājiem, aparatūras OEM un programmu piegādātājiem, lai aizsargātu klientus pret šīs ievainojamības nodarbības. 

Iesakām vienmēr instalēt ikmēneša atjauninājumus, lai jūsu ierīces būtu atjauninātas un drošas. 

Atjaunināsim šo dokumentāciju, tiklīdz būs pieejamas jaunas risku mazināšanas programmas, un mēs iesakām šos dokumentus regulāri pārskatīt. 

2019. gada jūlija operētājsistēmas Windows atjauninājumi

2019. gada 6. augustā intelimizētā detalizētā informācija par drošības ievainojamību CVE-2019-1125 | Windows kernel information disclosure vulnerability. Šīs ievainojamības drošības atjauninājumi tika izlaisti kā daļa no 2019. gada 9. jūlija mēneša atjauninājuma laidiena.

2019. gada 9. jūlijā Microsoft izlaida operētājsistēmas Windows drošības atjauninājumu, lai palīdzētu novērst šo problēmu. Mēs paturam atpakaļ informāciju par šo risku mazināšanas pasākumu, līdz 2019. gada 6. augustā tika publiski pieejama koordinēta nozares izpaušana.

Klienti, kuriem Windows Update iespējoti un kuriem ir lietoti 2019. gada 9. jūlijā izlaistie drošības atjauninājumi, tiek aizsargāti automātiski. Ņemiet vērā, ka šīs ievainojamības vāj šim apdraudējumam nav nepieciešams mikrokoda atjauninājums no ierīces ražotāja (OEM).

Operētājsistēmas Windows 2019. gada maija atjauninājumi

2019. gada 14. maijā Intel publicēja informāciju par jaunu specifikācijas izpildes puses kanāla ievainojamību, ko sauc par Microar neformuālu datu iztveršanu, un tika piešķirti šādi CV:

• CVE-2018-11091 – "Microaruralectural data sampling Uncacheable Memory (MDSUM)"

• CVE-2018-12126 – "Microarhinectural Store bufera datu iztveršana (MSBDS)"

• CVE-2018-12127 – "Microarbokectural fill buffer data sampling (MFBDS)"

• CVE-2018-12130 — "Microaruralectural portu datu iztveršana (MLPDS)"

Papildinformāciju par šo problēmu skatiet tālāk sniegtajā drošības ieteikums un izmantojiet scenāriju norādījumus, kas izklāstīti Windows rakstos klientiem un serverim, lai noteiktu darbības, kas nepieciešamas, lai mazinātu apdraudējumu:

• ADV 190013 | Microsoft norādījumi, lai mazinātu Microarhinectural datu iztveršanas ievainojamību

• KB 4073119 | Windows IT Pro klienta norādījumi par aizsardzību pret apzīmētās izpildes puses kanāla ievainojamību

• KB 4457951 | Windows Server vadlīnijas, lai aizsargātu pret speculācijas izpildes blakus kanāla ievainojamību

Microsoft ir izlaidusi aizsardzību pret jaunu specifikācijas izpildes sānkanāla ievainojamību, ko sauc par Microarhinectural datu iztveršanu 64 bitu (x64) Windows versijām (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Izmantojiet reģistra iestatījumus, kā aprakstīts rakstā Windows klients (KB4073119) un Windows Server (KB4457951). Šie reģistra iestatījumi pēc noklusējuma ir iespējoti Windows Client OS izdevumos un Windows Server OS izdevumos.

Pirms mikrokoda atjauninājumu instalēšanas no Windows Update ieteicams instalēt visus jaunākos atjauninājumus no programmas.

Papildinformāciju par šo problēmu un ieteicamajām darbībām skatiet šajā drošības ieteikums: 

• ADV 190013 | Microsoft norādījumi, lai mazinātu Microarhinectural datu iztveršanas ievainojamību

Intel ir izlaidusi mikrokoda atjauninājumu nesenām centrālā procesora platformām, lai palīdzētu mazināt CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. 2019. gada 14. maija Windows KB 4093836 zināšanu bāzes rakstus pēc Windows OS versijas.  Rakstā ir iekļautas arī saites uz pieejamiem centrālā procesora veiktiem Intel mikrokoda atjauninājumiem. Šie atjauninājumi ir pieejami Microsoft katalogā.

Piezīme. Ieteicams instalēt visus jaunākos atjauninājumus no Windows Update, pirms instalēt mikrokoda atjauninājumus.

Ar prieku paziņojam, ka repozitorējums pēc noklusējuma ir iespējots Windows 10 versijā 1809 (klientam un serverim), ja Irbeta 2. variants (CVE-2017-5715) ir iespējots. Iespējojot Retpoline jaunākajā Windows 10 versijā, izmantojot 2019. gada 14. maija atjauninājumu (KB 4494441), paredzam uzlabotu veiktspēju, īpaši vecāku procesoru gadījumā.

Klientiem ir jānodrošina iepriekšējo operētājsistēmas aizsardzību pret Iītola 2. varianta ievainojamību, izmantojot reģistra iestatījumus, kas aprakstīti Windows klienta un Windows Server rakstos. (Šie reģistra iestatījumi pēc noklusējuma ir iespējoti Windows Client OS izdevumos, bet pēc noklusējuma ir atspējoti Windows Server OS izdevumos). Papildinformāciju par Retpoline skatiet rakstā 2. varianta mitigēšana ar repoline operētājsistēmā Windows.

2018. gada novembra operētājsistēmas Windows atjauninājumi

Microsoft izlaida operētājsistēmas aizsardzību speculatīvajiem veikala apiet (CVE-2018-3639) AMD procesoriem (CPU).

Microsoft izlaida papildu operētājsistēmu aizsardzību klientiem, kuri izmanto 64 bitu ARM procesorus. Sazinieties ar ierīces OEM ražotāju, lai saņemtu aparātprogrammatūras atbalstu, jo arM64 operētājsistēmas aizsardzību, kas izraisa CVE-2018-3639, produkta Speculative Store apiešanu, pieprasa jaunāko aparātprogrammatūras atjauninājumu no ierīces OEM.

2018. gada septembra operētājsistēmas Windows atjauninājumi

2018. gada 11. septembrī Microsoft izlaida Windows Server 2008 SP2 ikmēneša apkopojuma 4458010 un tikai drošības 4457984 operētājsistēmai Windows Server 2008, kas nodrošina aizsardzību pret jaunu speculative execution side-channel vulnerability known as L1 Terminal Fault (L1TF), kas ietekmē Intel® Core® procesorus un Intel® Xeon® procesorus (CVE-2018-3620 un CVE-2018-3646). 

Šis laidiens aizpilda visu atbalstīto Windows sistēmas versiju papildu aizsardzību, izmantojot Windows Update. Papildinformāciju un ietekmēto produktu sarakstu skatiet sadaļā ADV180018 | Microsoft norādījumi, lai mazinātu L1TF variantu.

Piezīme. Windows Server 2008 SP2 tagad izmanto standarta Windows apkalpošanas apkopojuma modeli. Papildinformāciju par šīm izmaiņām skatiet mūsu emuārā Windows Server 2008 SP2 apkalpošanas izmaiņas. Klientiem, kuri izmanto Windows Server 2008, papildus 4341832. gada 14. augustam ir jāinstalē vai nu 4458010 vai 4457984 drošības atjauninājums, kas izlaists 2018. gada 14. augustā. Klientiem ir arī jānodrošina iepriekšējā OS aizsardzība pret Iītola 2. variantu un Kūšanas ievainojamību, izmantojot Windows klienta un Windows Server norādījumu KB rakstos aprakstītos reģistra iestatījumus. Šie reģistra iestatījumi pēc noklusējuma ir iespējoti Windows Client OS izdevumos, bet pēc noklusējuma ir atspējoti Windows Server OS izdevumos.

Microsoft izlaida papildu operētājsistēmu aizsardzību klientiem, kuri izmanto 64 bitu ARM procesorus. Lai aparātprogrammatūras atbalsts būtu pieejams, sazinieties ar ierīces OEM ražotāju, jo arM64 operētājsistēmu aizsardzībai, kas ietekmē CVE-2017-5715 — zaru mērķa ievadīšanas veidu (Arm64, Variant 2), ir nepieciešams jaunākais aparātprogrammatūras atjauninājums, ko nodrošina ierīces OEMs.

2018. gada augusta operētājsistēmas Windows atjauninājumi

2018. gada 14. augustā L1 termināļa kļūme (L1TF) tika paziņota un piešķirta vairākiem CV. Šīs jaunās potenciālās izpildes blakus kanāla ievainojamības var izmantot, lai lasītu atmiņas saturu uzticamā robežas gadījumā, un, ja tā tiek izmantota, var radīt informācijas izpaušanu. Ir vairāki vektori, pēc kuriem uzbrukums var izraisīt ievainojamību atkarībā no konfigurētās vides. L1TF ietekmē Intel® Core® procesorus un Intel® Xeon procesorus®.

Lai iegūtu papildinformāciju par L1TF un detalizētu skatu par ietekmētajiem scenārijiem, tostarp Microsoft pieeju L1TF mazināšanai, skatiet šos resursus:

• ADV180018 | Microsoft norādījumi, lai mazinātu L1TF variantu

• Drošības konsultāciju drošības izpētes emuārs

• Servera norādījumi par L1 termināļa kļūmi

2018. gada jūlija operētājsistēmas Windows atjauninājumi

Ar prieku paziņojam, ka Microsoft ir pabeigusi papildu aizsardzību pret visām atbalstītajām Windows sistēmas versijām, izmantojot Windows Update, lai aizsargātu šādas ievainojamības:

• 2. Variants AmD procesoriem

• Speculative Store Bypass for Intel processors

2018. gada 13. jūnijā tika paziņota papildu ievainojamība, iekļaujot sānkanālu specifikācijas izpildi, kas tiek dēvēta par Lazy FP State Restore, un tika piešķirta CVE-2018-3665. Lazy Restore FP Restore (Atjaunošana FP atjaunošana) nav nepieciešami konfigurācijas (reģistra) iestatījumi.

Papildinformāciju par šo ievainojamību, ietekmētajiem produktiem un ieteicamajām darbībām skatiet šajā drošības ieteikums:

• ADV180016 | Microsoft norādījumi par lazāmu FP stāvokļa atjaunošanu

12. jūnijā Microsoft paziņoja par Windows atbalstu Speculative Store apiešanas atspējošanai (SSBD) Intel procesoros. Atjauninājumiem ir nepieciešama atbilstoša aparātprogrammatūra (mikrokods) un reģistra atjauninājumi funkcionalitātei. Informāciju par atjauninājumiem un darbībām, kas jāveic, lai ieslēgtu SSBD, skatiet sadaļas "Ieteicamās darbības" sadaļā ADV180012 | Microsoft norādījumi par apzīmētā veikala apiešanu.

Operētājsistēmas Windows 2018. gada maija atjauninājumi

2018. gada janvārī Microsoft izlaida informāciju par tikko atklāto aparatūras ievainojamību klasi (dēvētu par ātrdarbi un kustēšanu), kurās ir iesaistīti specifikācijas izpildes puses kanāli, kas ietekmē AMD, ARM un Intel CPUs dažādās pakāpēs. 2018. gada 21. maijā Google Project Zero (GPZ), Microsoft un Intel atklāja divas jaunas mikroshēmas ievainojamības, kas ir saistītas ar Senās pilsētas un kūšanas problēmām, kas tiek dēvētas par Speculative Store Bypass (SSB) un Rogue System Registry Read.

Klientu risks, izmantojot abus atklāšanas datus, ir mazs.

Papildinformāciju par šīm ievainojamībām skatiet šajos resursos:

• Microsoft drošības ieteikums Speculative Store bypass: MSRC ADV180012 un CVE-2018-3639

• Microsoft drošības ieteikums rogue System Register Read: MSRC ADV180013and CVE-2018-3640

• Drošības izpēte un aizsardzība: specifikāciju krātuves apiešanas analīze un risku mazināšana (CVE-2018-3639)

Attiecas uz: Windows 10, versija 1607, Windows Server 2016, Windows Server 2016 (Server Core instalācija) un Windows Server versija 1709 (Server Core instalēšana)

Esam nodrošināuši atbalstu netiešā atzara prognozēšanas barjeras (IBPB) lietošanai dažos AMD procesoros (CPU), lai mazinātu CVE-2017-5715, 2. variantu, kad pārslēdzaties no lietotāja konteksta uz kodola kontekstu. (Papildinformāciju skatiet rakstā AMD arhitektūras vadlīnijas attiecībā uz netiešās filiāles kontroli un AMD drošības Atjauninājumi).

Klientiem, kuri izmanto Windows 10, versiju 1607, Windows Server 2016, Windows Server 2016 (Server Core instalāciju) un Windows Server versiju 1709 (Server Core instalāciju), jāinstalē drošības atjauninājums 4103723, lai amd procesoriem iegūtu papildu riskus CVE-2017-5715, filiāles mērķa rādīšanu. Šis atjauninājums ir pieejams arī ar Windows Update.

Izpildiet norādījumus, kas izklāstīti KB 4073119 for Windows Client (IT Pro) norādījumos un KB 4072698 for Windows Server norādījumos, lai iespējotu IBPB lietošanu dažos AMD procesoros (CPU), lai mazinātu 2. variantu gadījumā, ja pārslēdzaties no lietotāja konteksta uz kodola kontekstu.

Microsoft padara intel validētu mikrokoda atjaunināšanu apKodēt 2. variantu (CVE-2017-5715 "Filiāles mērķa ievadīšanas"). Lai iegūtu jaunākos Intel microcode atjauninājumus, izmantojot Windows Update, klientiem ir jāinstalē Intel microcode ierīcēs, kurās darbojas Windows 10 operētājsistēma, pirms jaunināšanas uz Windows 10 2018. gada aprīļa atjauninājumu (versija 1803).

Mikrokoda atjauninājums ir pieejams arī tieši no kataloga, ja tas netika instalēts ierīcē pirms operētājsistēmas jaunināšanas. Intel microcode ir pieejams, izmantojot Windows Update, WSUS vai Microsoft Update katalogu. Papildinformāciju un lejupielādes norādījumus skatiet rakstā KB 4100347.

Mēs piedāvāsim papildu mikrokoda atjauninājumus no Intel operētājsistēmai Windows, tiklīdz tā kļūs pieejama korporācijai Microsoft.

Attiecas uz: Windows 10, versija 1709

Esam nodrošināuši atbalstu netiešā atzara prognozēšanas barjeras (IBPB) lietošanai dažos AMD procesoros (CPU), lai mazinātu CVE-2017-5715, 2. variantu, kad pārslēdzaties no lietotāja konteksta uz kodola kontekstu. (Papildinformāciju skatiet rakstā AMD arhitektūras vadlīnijas attiecībā uz netiešās filiāles kontroli un AMD drošības Atjauninājumi).

Izpildiet norādījumus, kas izklāstīti KB 4073119 operētājsistēmai Windows klienta (IT Pro) norādījumos, lai iespējotu IBPB lietošanu dažos AMD procesoros (CPU), lai mazinātu Kaitra 2. variantu, kad pārslēdzaties no lietotāja konteksta uz kodola kontekstu.

Microsoft padara pieejamus Intel validētus mikrokoda atjauninājumus apKodēšanas 2. variantu (CVE-2017-5715 "Filiāles mērķa ievadīšanas"). KB4093836 zināšanu bāzes rakstus pēc Windows versijas. Katrā konkrētā KB ir iekļauti jaunākie pieejamie Intel mikrokoda atjauninājumi, ko veic centrālais procesors.

Mēs piedāvāsim papildu mikrokoda atjauninājumus no Intel operētājsistēmai Windows, tiklīdz tā kļūs pieejama korporācijai Microsoft. 

2018. gada marta un jaunāku Windows versiju operētājsistēmas atjauninājumi

23. marts, TechNet drošības & aizsardzība: KVA ēna: Kūšanas aktivizēšana operētājsistēmā Windows

14. marts, drošības tehnoloģiju centrs: specifikācijas izpildes puses kanāla bounty programmas nosacījumi

2018. gada 13. marta emuārs, Windows drošība atjauninājums — paplašinām mūsu centienus aizsargāt klientus

1. marta emuārs: Atjaunināšana uz Ābeļa un Kūdēšanas drošības atjauninājumiem Windows ierīcēm

Sākot ar 2018. gada martā izlaistajiem Microsoft drošības atjauninājumiem, lai nodrošinātu riskus ierīcēm, kurās darbojas šādas x86 operētājsistēmas Windows. Lai izmantotu pieejamo aizsardzību, klientiem ir jāinstalē jaunākie Windows operētājsistēmas drošības atjauninājumi. Mēs strādājam, lai nodrošinātu aizsardzību citām atbalstītajām Windows versijām, bet pašlaik nav laidiena grafika. Lūdzu, atgriezieties šeit, lai saņemtu atjauninājumus. Papildinformāciju skatiet saistītajā zināšanu bāzes rakstā, lai iegūtu tehnisko informāciju un sadaļu Bieži uzdotie jautājumi.

Izlaists produkta atjauninājums	Statuss	Izlaišanas datums	Laidiena kanāls	KB
Windows 8.1 & Windows Server 2012 R2 — tikai drošības atjauninājums	Izlaists	13-Mar	WSUS, Katalogs,	KB4088879
Windows 7 SP1 & Windows Server 2008 R2 SP1 — tikai drošības atjauninājums	Izlaists	13-Mar	WSUS, katalogs	KB4088878
Windows Server 2012 — tikai drošības atjauninājums Windows 8 Embedded Standard Edition — tikai drošības atjauninājums	Izlaists	13-Mar	WSUS, katalogs	KB4088877
Windows 8.1 & Windows Server 2012 R2 — ikmēneša apkopojums	Izlaists	13-Mar	WU, WSUS, katalogs	KB4088876
Windows 7 SP1 & Windows Server 2008 R2 SP1 — ikmēneša apkopojums	Izlaists	13-Mar	WU, WSUS, katalogs	KB4088875
Windows Server 2012 — ikmēneša apkopojums Windows 8 Embedded Standard Edition — ikmēneša apkopojums	Izlaists	13-Mar	WU, WSUS, katalogs	KB4088877
Windows Server 2008 SP2	Izlaists	13-Mar	WU, WSUS, katalogs	KB4090450

Sākot ar 2018. gada martā izlaistajiem Microsoft drošības atjauninājumiem, lai nodrošinātu riskus ierīcēm, kurās darbojas šādas x64 operētājsistēmas Windows. Lai izmantotu pieejamo aizsardzību, klientiem ir jāinstalē jaunākie Windows operētājsistēmas drošības atjauninājumi. Mēs strādājam, lai nodrošinātu aizsardzību citām atbalstītajām Windows versijām, bet pašlaik nav laidiena grafika. Lūdzu, atgriezieties šeit, lai saņemtu atjauninājumus. Papildinformāciju skatiet saistītajā rakstā zināšanu bāze detalizētu informāciju un sadaļu "Bieži uzdotie jautājumi".

Izlaists produkta atjauninājums	Statuss	Izlaišanas datums	Laidiena kanāls	KB
Windows Server 2012 — tikai drošības atjauninājums Windows 8 Embedded Standard Edition — tikai drošības atjauninājums	Izlaists	13-Mar	WSUS, katalogs	KB4088877
Windows Server 2012 — ikmēneša apkopojums Windows 8 Embedded Standard Edition — ikmēneša apkopojums	Izlaists	13-Mar	WU, WSUS, katalogs	KB4088877
Windows Server 2008 SP2	Izlaists	13-Mar	WU, WSUS, katalogs	KB4090450

Šajā atjauninājumā ir novērsta privilēģiju ievainojamības pacēlums Windows kernel 64 bitu (x64) Windows versijā. Šī ievainojamība ir dokumentēta CVE-2018-1038. Lietotājiem šis atjauninājums ir jālieto, lai pilnībā aizsargātu pret šo ievainojamību, ja viņu datori tika atjaunināti 2018. gada janvārī vai pēc tam, lietojot kādu no atjauninājumiem, kas norādīti šajā zināšanu bāzes rakstā:

Windows kernel update for CVE-2018-1038

Šis drošības atjauninājums novērš vairākas paziņotās ievainojamības pārlūkprogrammā Internet Explorer. Papildinformāciju par šīm ievainojamībām skatiet rakstā Microsoft bieži sastopamās ievainojamības un apdraudējumi. 

Izlaists produkta atjauninājums	Statuss	Izlaišanas datums	Laidiena kanāls	KB
Internet Explorer 10 — kumulatīvais atjauninājums operētājsistēmai Windows 8 Embedded Standard Edition	Izlaists	13-Mar	WU, WSUS, katalogs	KB4089187

2018. gada februāra operētājsistēmas Windows atjauninājumi

Emuārs: Windows Analytics tagad palīdz novērtēt kūdīšanas un kūšanas aizsardzību

Šie drošības atjauninājumi nodrošina papildu aizsardzību ierīcēm, kurās darbojas 32 bitu (x86) Windows operētājsistēmas. Microsoft iesaka klientiem instalēt atjauninājumu, tiklīdz tas ir pieejams. Mēs turpinām strādāt, lai nodrošinātu aizsardzību citām atbalstītajām Windows versijām, bet pašlaik nav laidiena grafika. Lūdzu, atgriezieties šeit, lai saņemtu atjauninājumus. 

Piezīme Windows 10 mēneša drošības atjauninājumi ir kumulatīvi katru mēnesi un tiks automātiski lejupielādēti un instalēti no Windows Update. Ja esat instalējis iepriekšējos atjauninājumus, ierīcē tiks lejupielādētas un instalētas tikai jaunās daļas. Papildinformāciju skatiet saistītajā zināšanu bāzes rakstā, lai iegūtu tehnisko informāciju un sadaļu Bieži uzdotie jautājumi.

Izlaists produkta atjauninājums	Statuss	Izlaišanas datums	Laidiena kanāls	KB
Windows 10 — versija 1709/Windows Server 2016 (1709)/IoT Core — kvalitātes atjauninājums	Izlaists	31-Jan	WU, katalogs	KB4058258
Windows Server 2016 (1709) — servera konteiners	Izlaists	13-Feb	Docker kopa	KB4074588
Windows 10 — versija 1703/IoT Core — kvalitātes atjauninājums	Izlaists	13-Feb	WU, WSUS, katalogs	KB4074592
Windows 10 versija 1607/Windows Server 2016/IoT Core — kvalitātes atjauninājums	Izlaists	13-Feb	WU, WSUS, katalogs	KB4074590
Windows 10 HoloLens — OS un aparātprogrammatūras Atjauninājumi	Izlaists	13-Feb	WU, katalogs	KB4074590
Windows Server 2016 (1607) — konteinera attēli	Izlaists	13-Feb	Docker kopa	KB4074590
Windows 10 — versija 1511/IoT Core — kvalitātes atjauninājums	Izlaists	13-Feb	WU, WSUS, katalogs	KB4074591
Windows 10 — versija RTM — kvalitātes atjauninājums	Izlaists	13-Feb	WU, WSUS, katalogs	KB4074596

Operētājsistēmas Windows 2018. gada janvāra atjauninājumi

Emuārs: Uzmācības un kūšanas risku veiktspējas ietekme Windows sistēmā

Sākot ar 2018. gada janvāri, Microsoft izlaida drošības atjauninājumus, lai nodrošinātu riskus ierīcēm, kurās darbojas šādas x64 operētājsistēmas Windows. Lai izmantotu pieejamo aizsardzību, klientiem ir jāinstalē jaunākie Windows operētājsistēmas drošības atjauninājumi. Mēs strādājam, lai nodrošinātu aizsardzību citām atbalstītajām Windows versijām, bet pašlaik nav laidiena grafika. Lūdzu, atgriezieties šeit, lai saņemtu atjauninājumus. Papildinformāciju skatiet saistītajā zināšanu bāzes rakstā, lai iegūtu tehnisko informāciju un sadaļu Bieži uzdotie jautājumi.

Izlaists produkta atjauninājums	Statuss	Izlaišanas datums	Laidiena kanāls	KB
Windows 10 — versija 1709/Windows Server 2016 (1709)/IoT Core — kvalitātes atjauninājums	Izlaists	3-Jan	WU, WSUS, katalogs, Azure attēlu galerija	KB4056892
Windows Server 2016 (1709) — servera konteiners	Izlaists	5-Jan	Docker kopa	KB4056892
Windows 10 — versija 1703/IoT Core — kvalitātes atjauninājums	Izlaists	3-Jan	WU, WSUS, katalogs	KB4056891
Windows 10 — versija 1607/Windows Server 2016/IoT Core — kvalitātes atjauninājums	Izlaists	3-Jan	WU, WSUS, katalogs	KB4056890
Windows Server 2016 (1607) — konteinera attēli	Izlaists	4-Jan	Docker kopa	KB4056890
Windows 10 — versija 1511/IoT Core — kvalitātes atjauninājums	Izlaists	3-Jan	WU, WSUS, katalogs	KB4056888
Windows 10 — versija RTM — kvalitātes atjauninājums	Izlaists	3-Jan	WU, WSUS, katalogs	KB4056893
Windows 10 Mobile (operētājsistēmas būvējums 15254.192) — ARM	Izlaists	5-Jan	WU, katalogs	KB4073117
Windows 10 Mobile (operētājsistēmas būvējums 15063.850)	Izlaists	5-Jan	WU, katalogs	KB4056891
Windows 10 Mobile (operētājsistēmas būvējums 14393.2007)	Izlaists	5-Jan	WU, katalogs	KB4056890
Windows 10 HoloLens	Izlaists	5-Jan	WU, katalogs	KB4056890
Windows 8.1/Windows Server 2012 R2 — tikai drošības atjauninājums	Izlaists	3-Jan	WSUS, katalogs	KB4056898
Windows Embedded 8.1 Industry Enterprise	Izlaists	3-Jan	WSUS, katalogs	KB4056898
Windows Embedded 8.1 Industry Pro	Izlaists	3-Jan	WSUS, katalogs	KB4056898
Windows Embedded 8.1 Pro	Izlaists	3-Jan	WSUS, katalogs	KB4056898
Windows 8.1/Windows Server 2012 R2 ikmēneša apkopojums	Izlaists	8-Jan	WU, WSUS, katalogs	KB4056895
Windows Embedded 8.1 Industry Enterprise	Izlaists	8-Jan	WU, WSUS, katalogs	KB4056895
Windows Embedded 8.1 Industry Pro	Izlaists	8-Jan	WU, WSUS, katalogs	KB4056895
Windows Embedded 8.1 Pro	Izlaists	8-Jan	WU, WSUS, katalogs	KB4056895
Windows Server 2012, tikai drošības	Izlaists		WSUS, katalogs
Windows Server 2008 SP2	Izlaists		WU, WSUS, katalogs
Windows Server 2012 ikmēneša apkopojums	Izlaists		WU, WSUS, katalogs
Windows Embedded 8 Standard	Izlaists		WU, WSUS, katalogs
Windows 7 SP1/Windows Server 2008 R2 SP1— tikai drošības atjauninājums	Izlaists	3-Jan	WSUS, katalogs	KB4056897
Windows Embedded Standard 7	Izlaists	3-Jan	WSUS, katalogs	KB4056897
Windows Embedded POSReady 7	Izlaists	3-Jan	WSUS, katalogs	KB4056897
Windows Thin PC	Izlaists	3-Jan	WSUS, katalogs	KB4056897
Windows 7 SP1/Windows Server 2008 R2 SP1 ikmēneša apkopojums	Izlaists	4-Jan	WU, WSUS, katalogs	KB4056894
Windows Embedded Standard 7	Izlaists	4-Jan	WU, WSUS, katalogs	KB4056894
Windows Embedded POSReady 7	Izlaists	4-Jan	WU, WSUS, katalogs	KB4056894
Windows Thin PC	Izlaists	4-Jan	WU, WSUS, katalogs	KB4056894
Internet Explorer 11 kumulatīvais atjauninājums operētājsistēmām Windows 7 SP1 un Windows 8.1	Izlaists	3-Jan	WU, WSUS, katalogs	KB4056568

2024. gada 9. aprīlī tika publicēts CVE-2022-0001 | Intel Branch History Intra-mode BTI ir aprakstīta atzaru vēstures ievadīšanas (Branch History Injection — DARBLAPU) izveide, kas ir īpaša intra režīma BTI forma. Šī ievainojamība rodas, ja uzbrucējs var manipulēt ar zaru vēsturi pirms pārejas no lietotāja uz pārrauga režīmu (vai no VMX nav saknes/viesa uz saknes režīmu). Šāda manipulācija var izraisīt netiešu zaru prognozētāju atlasīt konkrētu prognozējamu ierakstu netiešam zaram, un atklāšanas sīkrīks prognozētā mērķī īslaicīgi tiks izpildīts. Tas var būt iespējams, jo attiecīgajā zaru vēsturē var būt zari, kas saistīti ar iepriekšējo drošības kontekstu, un jo īpaši citiem prognozētajiem režīmiem.

Izpildiet norādījumus, kas izklāstīti KB4073119 for Windows Client (IT Pro) norādījumos un KB4072698 for Windows Server norādījumus, lai mazinātu CVE-2022-0001 ievainojamību | Intel Branch History injection.

Microsoft drošības ieteikums L1 termināļa kļūmei (L1TF):MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 un CVE-2018-3646

Drošības izpēte un aizsardzība: specifikāciju krātuves apiešanas analīze un risku mazināšana (CVE-2018-3639)

Microsoft drošības ieteikums Speculative Store bypass: MSRC ADV180012 un CVE-2018-3639

Microsoft drošības ieteikums rogue System Register Read | Surface drošības atjaunināšanas rokasgrāmata: MSRC ADV180013un CVE-2018-3640

Drošības izpēte un aizsardzība: specifikāciju krātuves apiešanas analīze un risku mazināšana (CVE-2018-3639)

TechNet drošības izpēte & aizsardzība: KVA ēna: kūšanas slāpēšana operētājsistēmā Windows

Drošības tehnoloģiju centrs: specifikācijas izpildes puses kanāla bounty programmas nosacījumi

Microsoft ērtību emuārs: Atjaunināšana ātrdzimu un kūdēšanas drošības atjauninājumos Windows ierīcēm

Windows darbam emuārs: Windows Analytics tagad palīdz novērtēt kūšanas un kūšanas aizsardzību

Microsoft Secure emuārs: informācija par izgaistošanas un kūšanas risku veiktspējas ietekmi Windows sistēmā

Microsoft Edge izstrādātāja emuārs: Speculative execution side-channel attacks in Microsoft Edge and Internet Explorer

Azure emuārs: Azure klientu drošība pret centrālā procesora ievainojamību

SCCM: papildu norādījumi, lai mazinātu specifikācijas izpildes blakus kanāla ievainojamību

Microsoft padomnieki:

• ADV180002 | Norādījumi par to, kā mazināt specifikācijas izpildes blakus kanāla ievainojamību

• ADV180012 | Microsoft norādījumi par apzīmētā veikala apiešanu

• ADV180013 | Microsoft norādījumi par rogue System Register Read

• ADV180016 | Microsoft norādījumi par lazāmu FP stāvokļa atjaunošanu

• ADV180018 | Microsoft norādījumi, lai mazinātu L1TF variantu

Intel: drošības ieteikums

ARM: drošības ieteikums

AMD: drošības ieteikums

NVIDIA: drošības ieteikums

Patērētāju norādījumi: ierīces aizsardzība pret ar mikroshēmu saistītām drošības ievainojamībām

Pretvīrusu norādījumi: 2018. gada 3. janvārī izlaistie Windows drošības atjauninājumi un pretvīrusu programmatūra

Norādījumi par AMD Windows OS drošības atjaunināšanas bloķēšanu: KB4073707: Operētājsistēmas Windows drošības atjaunināšanas bloks dažām AMD ierīcēm

Atjauninājums, lai atspējotu riskus attiecībā pret Ābekli, 2. variants: KB4078130: Intel ir konstatējusi atkārtotas palaišanas problēmas ar mikrokodu dažos vecākos procesoros 

Surface norādījumi: Surface norādījumi par aizsardzību pret apzīmētās izpildes puses kanāla ievainojamību

Specifikācijas izpildes puses kanāla risku mazināšanas statusa pārbaude: informācija Get-SpeculationControlSettings PowerShell skripta izvadi

Norādījumi IT klientiem: Windows klienta norādījumi IT klientiem, lai aizsargātu pret apzīmētas izpildes puses kanāla ievainojamību

Servera norādījumi: Windows Server norādījumi aizsardzībai pret apzīmētās izpildes blakus kanāla ievainojamību

Servera norādījumi par L1 termināļa kļūmi: Windows Server norādījumi aizsardzībai pret L1 termināļa kļūmi

Izstrādātāja norādījumi: izstrādātāja norādījumi par apzīmētā veikala apiešanu

Server Hyper-V norādījumi

• Virtuālās mašīnas resursu vadīklas

• Hyper-V resursdatora centrālā procesora resursu pārvaldība

Azure KB: KB4073235: Microsoft mākoņa aizsardzība pret apzīmēto izpildi Side-Channel ievainojamību

Azure grēdas norādījumi. KB4073418: Azure grēdas norādījumi aizsardzībai pret apzīmētās izpildes sānu kanāla ievainojamību

Azure uzticamība: Azure uzticamības portāls

SQL Server: KB4073225: SQL Server, kā aizsargāties pret speculative execution side-channel vulnerabilities

Saites uz OEM un serveru ierīču ražotājiem, lai saņemtu atjauninājumus aizsardzībai pret slāpēšanas un kūšanas ievainojamībām

Lai novērstu šo ievainojamību, atjauniniet gan aparatūru, gan programmatūru. Izmantojiet tālāk norādītās saites, lai sa saņemtu attiecināmus aparātprogrammatūras (mikrokoda) atjauninājumus pie ierīces ražotāja.

Izmantojiet tālāk norādītās saites, lai sa saņemtu aparātprogrammatūras (mikrokoda) atjauninājumus pie ierīces ražotāja. Jums būs jāinstalē gan operētājsistēmas, gan aparātprogrammatūras (mikrokoda) atjauninājumi visiem pieejamajiem aizsardzībai.

OEM ierīču ražotāji	Saite uz mikrokoda pieejamību
Acer	Kūšanas un lēkšanas drošības ievainojamības
Asus	ASUS atjauninājums specifikācijas izpildei un netiešās filiāles prognozes kanāla analīzes metodei
Dell	Kūšanas un slāpējuma ievainojamības
Epson	Centrālā procesora ievainojamības (sānu kanāla uzbrukumi)
Fujitsu	Centrālā procesora aparatūra, kas ir neaizsargāta pret sānu kanāla uzbrukumiem (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HP	ATBALSTA SAZIŅA — DROŠĪBAS BIĻETENS
Lenovo	Priviliģētās atmiņas lasīšana sān kanālā
LG	Produktu palīdzības saņemšana & atbalstu
NEC	Atbildot uz procesora ievainojamību (kūšanu, spektra) mūsu produktos
Panasonic	Security information of vulnerability by Speculative Execution and Indirect Branch Prediction Side Channel Analysis Method
Samsung	Intel CPUs programmatūras atjaunināšanas paziņojums
Surface	Surface norādījumi aizsardzībai pret spekulatīvās izpildes blakus kanāla ievainojamības problēmām
Toshiba	Intel, AMD & Microsoft speculative execution and Indirect Branch Prediction Side Channel Analysis Method Security Vulnerabilities (2017)
Vaio	Par ievainojamības atbalstu kanāla analīzei

Servera OEM ražotāji	Saite uz mikrokoda pieejamību
Dell	Kūšanas un slāpējuma ievainojamības
Fujitsu	Centrālā procesora aparatūra, kas ir neaizsargāta pret sānu kanāla uzbrukumiem (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HPE	Hewlett Packard Enterprise produktu drošības ievainojamības brīdinājumi
Huawei	Drošības paziņojums — paziņojums par informācijas nesēja izpaušanu par drošības ievainojamībām Intel CPU arhitektūras noformējumā
Lenovo	Priviliģētās atmiņas lasīšana sān kanālā

Lai saņemtu aparātprogrammatūras (mikrokoda) atjauninājumus, jums būs jāpārbauda ierīces ražotājs. Ja jūsu ierīces ražotājs nav norādīts tabulā, sazinieties ar OEM tieši.

Atjauninājumi ierīcei Microsoft Surface ir pieejamas klientiem, izmantojot Windows Update. Pieejamo Surface ierīces aparātprogrammatūras (mikrokoda) atjauninājumu sarakstu skatiet KB 4073065.

Ja jūsu ierīce nav no Microsoft, lietojiet aparātprogrammatūras atjauninājumus no ierīces ražotāja. Lai iegūtu papildinformāciju,sazinieties ar ierīces ražotāju.

Aparatūras ievainojamības novēršana, izmantojot programmatūras atjauninājumu, rada būtiskas problēmas un riskus, kas ietekmē vecākas operētājsistēmas, un var būt nepieciešamas plašas arhitektūras izmaiņas. Mēs turpinām strādāt ar ietekmēto mikroshēmu ražotājiem, lai izpētītu labāko veidu, kā nodrošināt riskus. Tas var būt nodrošināts nākotnes atjauninājumā. Nomainot vecākas ierīces, kurās darbojas šīs vecākās operētājsistēmas, kā arī atjauninot pretvīrusu programmatūru, būtu ņemiet vērā atlikušo risku.

Lai gan tiek ietekmēti sistēmas, kuru pamatā ir Windows XP, Microsoft neizdoties to atjauninājums, jo visaptverošas arhitektūras izmaiņas, kas būtu nepieciešamas, varētu negatīvi ietekmēt sistēmas stabilitāti un izraisīt lietojumprogrammu saderības problēmas. Mēs iesakām klientiem, kuriem rūp drošība, veikt jaunināšanu uz jaunāku, atbalstītu operētājsistēmu, lai pielāgotos mainīgajai drošības apdraudējumu situācijai un izmantotu labākus aizsardzības pasākumus, ko nodrošina jaunākās operētājsistēmas.

Atjauninājumi Windows 10, kas attiecas uz HoloLens, ir pieejami HoloLens klientiem, izmantojot Windows Update.

Pēc 2018. gada februāra atjauninājuma Windows drošība, HoloLens klientiem nav jāveic nekādas papildu darbības, lai atjauninātu ierīces aparātprogrammatūru. Šie atvieglojumus tiks iekļauti arī visos turpmākajos HoloLens Windows 10 laidienos.

Lai iegūtu papildinformāciju, sazinieties ar OEM.

Lai ierīce būtu pilnībā aizsargāta, jums jāinstalē jaunākie Windows operētājsistēmas drošības atjauninājumi ierīcei un attiecīgos aparātprogrammatūras (mikrokoda) atjauninājumi no ierīces ražotāja. Šie atjauninājumi ir pieejami jūsu ierīces ražotāja tīmekļa vietnē. Vispirms ir jāinstalē pretvīrusu programmatūras atjauninājumi. Operētājsistēmas un aparātprogrammatūras atjauninājumus var instalēt jebkurā secībā.

Lai novērstu šo ievainojamību, ir jāatjaunina gan aparatūra, gan programmatūra. Jums būs arī jāinstalē piemērojamie aparātprogrammatūras (mikrokoda) atjauninājumi no ierīces ražotāja, lai iegūtu plašāku aizsardzību. Mēs aicinām jūs uzturēt jūsu ierīces atjauninātas un drošībā, instalējot Windows drošības atjauninājumus katru mēnesi.

Katrā Windows 10 atjauninājumā mēs iebūvēt jaunāko drošības tehnoloģiju padziļināti operētājsistēmā, nodrošinot drošības līdzekļus, kas neļauj veselām klasēm ar ļaunprogrammatūru ietekmēt jūsu ierīci. Līdzekļu atjauninājumu laidieni tiek izdoti divas reizes gadā. Katrā ikmēneša kvalitātes atjauninājumā mēs pievienojam vēl vienu drošības slāni, kas seko jaunām un mainīgajām ļaunprogrammatūras tendencēm, lai padarītu jaunākās sistēmas drošākas izmaiņu un augošo apdraudējumu gadījumā.

Microsoft atcēlusi AV saderības pārbaudi Windows drošības atjauninājumiem atbalstītajām Windows 10, Windows 8.1 un Windows 7 SP1 ierīcēm, izmantojot Windows Update. 

Ieteikumi.

• Pārliecinieties, vai jūsu ierīces ir atjauninātas, ņemot vērā microsoft un aparatūras ražotāja jaunākos drošības atjauninājumus. Papildinformāciju par to, kā uzturēt ierīces atjauninājumu, skatiet rakstā Windows Update: bieži uzdotie jautājumi.

• Turpiniet ievērot saprotamu piesardzību, apmeklējot nezināmas izcelsmes tīmekļa vietnes, bet nepaliek vietnēs, kurām neuzticaties. Microsoft iesaka visiem klientiem aizsargāt savas ierīces, palaižot atbalstītu pretvīrusu programmu. Klienti var arī izmantot iebūvēto pretvīrusu aizsardzību: Windows Defender operētājsistēmai Windows 10 vai Microsoft Security Essentials operētājsistēmai Windows 7. Šie risinājumi ir saderīgi gadījumos, kad klienti nevar instalēt vai palaist pretvīrusu programmatūru.

Lai nepieļautu klientu ierīču nelabvēlīgu ietekmēšanu, visiem klientiem netiek piedāvāti janvāra vai februāra Windows drošības atjauninājumi. Detalizētu informāciju skatiet Microsoft zināšanu bāzes rakstā 4072699. 

Intel ir ziņojis par problēmām, kas ietekmē nesen izlaisto mikrokodu, kas ir paredzēts 2. varianta (CVE-2017-5715 — "Filiāles mērķa novēršanai") adresēšanai. Īpaši Intel atzīmēja, ka šis mikrokods var izraisīt "augstākas vērtības, nekā paredzēts, restartēšanu un citu neparedzētu sistēmas darbību", kā arī situācijas, piemēram, var izraisīt datu zudumu vai bojājumus.  Mūsu pieredze ir tā, ka sistēmas neesība dažos gadījumos var izraisīt datu zudumu vai bojājumus. 22. janvārī Intel iesaka klientiem pārtraukt pašreizējās mikrokoda versijas izvietošanu ietekmētajos procesoros, kamēr viņi veic papildu pārbaudi par atjaunināto risinājumu. Mēs saprotam, ka Intel turpina izpētīt pašreizējās mikrokoda versijas iespējamo ietekmi un iesakām klientiem regulāri pārskatīt norādījumus, lai informētu par saviem lēmumiem.

Intel pārbauda, atjaunina un izvieto jaunu mikrokodu, tāpēc mēs sniedzam iespēju izmantot ārpusjoslas (OOB) atjauninājumu, KB 4078130, kas īpaši atspējo tikai risku mazināšanas iespēju attiecībā uz CVE-2017-5715 — "Zaru mērķa ieviesināšana". Mūsu pārbaudē tika konstatēts, ka šis atjauninājums novērš aprakstītas darbības. Pilnu ierīču sarakstu skatiet Intel mikrokoda pārskatīšanas norādījumos. Šis atjauninājums attiecas uz Windows 7 (SP1), Windows 8.1 un visām Windows 10 klienta un servera versijām. Ja izmantojat ietekmēto ierīci, šo atjauninājumu var lietot, lejupielādējot to no tīmekļa vietnes Microsoft atjaunināšanas katalogs. Šīs lietderīgās slodzes lietošana īpaši atspējo tikai risku, kas tiek piemērots CVE-2017-5715 — "Zaru mērķa piemērošanu". 

No 25. janvāra nav nevienas zināmas atskaites, kas norādītu, ka šis 2. variants (CVE-2017-5715) ir piederīgs uzbrukumiem klientiem. Mēs iesakām atbilstošos gadījumos Windows klienti atkārtoti iespējot risku mazināšanas iespēju attiecībā uz CVE-2017-5715, ja Intel ziņo, ka šī neprognozējamā sistēmas darbība jūsu ierīcē ir atrisināta.

Nē. Drošība Tikai atjauninājumi nav kumulatīvi. Atkarībā no izmantotās operētājsistēmas versijas ir jāinstalē visi izlaistie tikai drošības atjauninājumi, lai aizsargātu šo ievainojamību. Piemēram, ja izmantojat operētājsistēmu Windows 7 32 bitu sistēmām ietekmētā Intel CPU, no 2018. gada janvāra ir jāinstalē katrs tikai drošības atjauninājums. Mēs iesakām instalēt šos tikai drošības atjauninājumus laidienu secībā.
 
Piezīme Iepriekš šī bieži uzdoto jautājumu versija nepareizi norāda, ka februāra tikai drošības atjauninājumā bija iekļauti drošības labojumi, kas izlaisti janvārī. Patiesībā tā tas nav.

Nē. Drošības atjauninājumu 4078130 bija konkrēts labojums, lai novērstu neparedzētu sistēmas darbību, veiktspējas problēmas un neparedzētas restartēšanas pēc mikrokoda instalēšanas. Februāra drošības atjauninājumu lietojot Windows klienta operētājsistēmās, var izmantot visus trīs riskus. Windows serveru operētājsistēmās pēc atbilstošās testēšanas veikšanas joprojām ir jāiespējo risku mazināšana. Papildinformāciju skatiet Microsoft zināšanu 4072698 rakstā.

AED nesen paziņoja, ka ir sācis izlaist mikrokodu jaunākām centrālā procesora platformām ap Sevī Variant 2 (CVE-2017-5715 "Filiāles mērķa izlaides"). Lai iegūtu papildinformāciju, skatiet AMD drošības AtjauninājumiAMD Whitepaper: arhitektūras vadlīnijas attiecībā uz netiešās filiāles kontroli. Tie ir pieejami OEM aparātprogrammatūras kanālā. 

Intel nesen paziņoja, ka ir pabeiguši validāciju un sācis izlaist mikrokodu jaunākām centrālā procesora platformām. Microsoft padara pieejamus Intel validētus mikrokoda atjauninājumus apKodēšanas 2. variantu (CVE-2017-5715 "Filiāles mērķa ievadīšanas"). KB 4093836 uzskaitīti konkrēti zināšanu bāzes raksti pēc Windows versijas. Katrā konkrētajā KB ir ietverti Intel mikrokoda atjauninājumi pēc CPU.

Microsoft padara intel validētu mikrokoda atjaunināšanu apKodēt 2. variantu (CVE-2017-5715 "Filiāles mērķa ievadīšanas"). Lai iegūtu jaunākos Intel microcode atjauninājumus, izmantojot Windows Update, klientiem ir jāinstalē Intel microcode ierīcēs, kurās darbojas Windows 10 operētājsistēma, pirms jaunināšanas uz Windows 10 2018. gada aprīļa atjauninājumu (versija 1803).

Mikrokoda atjauninājums ir pieejams arī tieši no atjauninājumu kataloga, ja tas netika instalēts ierīcē pirms sistēmas jaunināšanas. Intel microcode ir pieejams, izmantojot Windows Update, WSUS vai Microsoft Update katalogu. Papildinformāciju un lejupielādes norādījumus skatiet rakstā KB 4100347.

Papildinformāciju skatiet šādos resursos:

• ADV180012 | Microsoft norādījumi par apzīmēto store apiešanu attiecībā uz CVE-2018-3639

• ADV180013 | Microsoft norādījumi par rogue system Register Read for CVE-2018-3640 un KB 4073065 | Norādījumi Surface klientiem

• Microsoft drošības izpētes un aizsardzības emuārs

• Norādījumi izstrādātājiem par speculatīvu krātuves apiešanu

Detalizētu informāciju skatiet sadaļas "Ieteicamās darbības" un "Bieži uzdotie jautājumi" ADV180012 | Microsoft norādījumi par apzīmētā veikala apiešanu.

Lai pārbaudītu SSBD statusu, Get-SpeculationControlSettings PowerShell skripts ir atjaunināts, lai noteiktu ietekmētos procesorus, SSBD operētājsistēmas atjauninājumu statusu un procesora mikrokoda stāvokli, ja piemērojams. Papildinformāciju un PowerShell skripta iegūšanas iespējas skatiet rakstā KB4074629.

2018. gada 13. jūnijā tika paziņota papildu ievainojamība, iekļaujot sānkanālu specifikācijas izpildi, kas tiek dēvēta par Lazy FP State Restore, un tika piešķirta CVE-2018-3665. Lazy Restore FP Restore (Atjaunošana FP atjaunošana) nav nepieciešami konfigurācijas (reģistra) iestatījumi.

Papildinformāciju par šo ievainojamību un ieteicamajām darbībām skatiet drošības ieteikums: ADV180016 | Microsoft norādījumi par lazāmu FP stāvokļa atjaunošanu

PiezīmeLazy Restore FP Restore (Atjaunošana FP atjaunošana) nav nepieciešami konfigurācijas (reģistra) iestatījumi.

Bounds Check Bypass Store (BCBS) ir izpausta 2018. gada 10. jūlijā un ir piešķirta CVE-2018-3693. Mēs uzskatām, ka BCBS ietilpst vienā un tajā pašā ievainojamību klasē kā Bounds Check Bypass (1. variants). Pašlaik mēs zinām par BCBS instancēm mūsu programmatūrā, taču turpinām izpētīt šo ievainojamības nodarbības daļu un darbotos ar nozares partneriem, lai pēc vajadzības atbrīvotu risku mazināšanas pasākumus. Mēs turpinām rosināt zinātniekus iesniegt jebkādus atbilstošus rezultātus Microsoft speculative Execution Side Channel bounty programmā, tostarp visas izmantojamās BCBS instances. Programmatūras izstrādātājiem ir jāpārskata izstrādātāja norādījumi, kas ir atjaunināti BCBS vietnē https://aka.ms/sescdevguide.

2018. gada 14. augustā L1 termināļa kļūme (L1TF) tika paziņota un piešķirta vairākiem CV. Šīs jaunās potenciālās izpildes blakus kanāla ievainojamības var izmantot, lai lasītu atmiņas saturu uzticamā robežas gadījumā, un, ja tā tiek izmantota, var radīt informācijas izpaušanu. Ir vairāki vektori, pēc kuriem uzbrukums var izraisīt ievainojamību atkarībā no konfigurētās vides. L1TF ietekmē Intel® Core® procesorus un Intel® Xeon procesorus®.

Lai iegūtu papildinformāciju par šo ievainojamību un detalizētu skatu par ietekmētajiem scenārijiem, tostarp Microsoft pieeju L1TF migrēšanas migrācijai, skatiet šādus resursus:

• ADV180018 | Microsoft norādījumi, lai mazinātu L1TF variantu

• Drošības konsultāciju drošības izpētes emuārs

• Servera norādījumi par L1 termināļa kļūmi

Microsoft Surface klienti: Klientiem, kuri izmanto Microsoft Surface Surface Book un Surface Book, ir jāievēro Windows klienta norādījumi, kas izklāstīti drošības ieteikums: ADV180018 | Microsoft norādījumi, lai mazinātu L1TF variantu. Papildinformāciju par ietekmētajiem Surface produktiem un mikrokoda atjauninājumu pieejamību skatiet arī Microsoft zināšanu bāzes rakstā 4073065.

Microsoft Hololens klienti: Microsoft HoloLens neietekmē L1TF, jo tā neizmanto ietekmēto Intel procesoru.

Darbības, kas jāveic, lai atspējotu Hyper-Threading atšķiras no OEM uz OEM, bet parasti ir daļa no BIOS vai aparātprogrammatūras iestatīšanas un konfigurācijas rīkiem.

Klientiem, kuri izmanto 64 bitu ARM procesorus, ir jāpārbauda ierīces OEM aparātprogrammatūras atbalsts, jo ARM64 operētājsistēmas aizsardzībai, kas ietekmē CVE-2017-5715 — zaru mērķa iesiešana (Esiet, 2. variants), ir nepieciešams jaunākais aparātprogrammatūras atjauninājums, ko nodrošina ierīces OEM.

Detalizētu informāciju par šo ievainojamību skatiet Microsoft drošības rokasgrāmatā: CVE-2019-1125 | Windows kernel information disclosure vulnerability.

Mēs neapzināmies nevienu šādas informācijas atklāšanas ievainojamību, kas ietekmē mūsu mākoņpakalpojumu infrastruktūru.

Tiklīdz kļuva zināms par šo problēmu, mēs ātri strādājām, lai novērstu šo problēmu un izlaistu atjauninājumu. Mēs cieši ticam sadarbību gan ar zinātniekiem, gan nozares partneriem, lai padarītu klientus drošākus, un nepublicējām informāciju līdz otrdienai un 6. augustam saskaņā ar koordinētu ievainojamības atklāšanas praksi.