Obs!: Denne artikkelen oppdateres etter hvert som tilleggsinformasjon blir tilgjengelig. Kom tilbake hit regelmessig for oppdateringer og nye vanlige spørsmål.

Sikkerhetsproblemer

14. mai 2019 publiserte Intel informasjon om en ny underklasse av spekulative sårbarheter for utførelse av sidekanaler kjent som Microarchitectural Data Sampling. Disse sikkerhetsproblemene er løst i følgende CVE-er:

Viktig!: Disse problemene vil påvirke andre operativsystemer som Android, Chrome, iOS og MacOS. Vi råder deg til å søke veiledning fra disse respektive leverandørene.

Vi har lansert oppdateringer for å bidra til å redusere disse sikkerhetsproblemene. For å få alle tilgjengelige beskyttelser kreves fastvare (mikrokode) og programvareoppdateringer. Dette kan omfatte mikrokode fra OEMer for enheten. I noen tilfeller vil installasjon av disse oppdateringene ha en innvirkning på ytelsen. Vi har også handlet for å sikre skytjenestene våre. Vi anbefaler på det sterkeste å distribuere disse oppdateringene.

Hvis du vil ha mer informasjon om dette problemet, kan du se følgende veiledning for sikkerhet og bruke scenariobasert veiledning til å fastslå handlinger som er nødvendige for å redusere trusselen:

Obs!: Vi anbefaler at du installerer alle de nyeste oppdateringene fra Windows Update før du installerer eventuelle mikrokodeoppdateringer.

August 6, 2019 Intel utgitt detaljer om en Windows kjerne informasjon avsløring sårbarhet. Dette sikkerhetsproblemet er en variant av spectre variant 1 spekulativ kjøring sidekanal sårbarhet og har blitt tilordnet CVE-2019-1125.

Vi lanserte sikkerhetsoppdateringer for Windows-operativsystemet 9. juli 2019 for å bidra til å redusere dette problemet. Vær oppmerksom på at vi holdt tilbake dokumentering av denne reduksjonen offentlig frem til den koordinerte industriavsløringen tirsdag 6.

Kunder som har Windows Update aktivert og har brukt sikkerhetsoppdateringene som ble utgitt 9. juli 2019, beskyttes automatisk. Det er ingen ytterligere konfigurasjon nødvendig.

Obs!: Dette sikkerhetsproblemet krever ikke en mikrokodeoppdatering fra enhetsprodusenten (OEM).

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet og aktuelle oppdateringer, kan du se Microsofts veiledning for sikkerhetsoppdatering:

November 12, 2019 publiserte Intel en teknisk veiledning rundt Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort sikkerhetsproblem som er tilordnet CVE-2019-11135. Vi har utgitt oppdateringer for å bidra til å redusere dette sikkerhetsproblemet. Som standard er OS-beskyttelsene aktivert for Windows Client OS-utgaver.

14. juni 2022 publiserte vi ADV220002 | Microsofts veiledning om sikkerhetsproblemer med MMIO-foreldede data for Intel Processor. Sikkerhetsproblemer er tilordnet i følgende CVE-er:

Anbefalte handlinger

Du bør utføre følgende tiltak for å beskytte deg mot disse sikkerhetsproblemene:

  1. Bruk alle tilgjengelige oppdateringer for Windows-operativsystemet, inkludert de månedlige Windows-sikkerhetsoppdateringene.

  2. Bruk den gjeldende fastvareoppdateringen (mikrokode) som leveres av enhetsprodusenten.

  3. Evaluer risikoen for miljøet basert på informasjonen som er oppgitt i Microsoft Security Advisories ADV180002, ADV180012, ADV190013 og ADV220002,i tillegg til informasjonen i denne artikkelen.

  4. Utfør handling etter behov ved hjelp av veiledningene og informasjonen om registernøkkelen som er angitt i denne artikkelen.

Obs!: Surface-kunder mottar en mikrokodeoppdatering via Windows Update. Hvis du vil ha en liste over de nyeste tilgjengelige oppdateringene for Surface-enhetens fastvare (mikrokode), kan du se KB4073065.

Begrensningsinnstillinger for Windows-klienter

Sikkerhetsveiledningene ADV180002, ADV180012, ADV190013 og ADV220002 gir informasjon om risikoen som disse sikkerhetsproblemene utgjør, og hvordan de hjelper deg med å identifisere standardtilstanden for begrensninger for Windows-klientsystemer. Tabellen nedenfor oppsummerer kravet om CPU-mikrokode og standardstatusen for begrensningene på Windows-klienter.

– CVE

Krever CPU-mikrokode/fastvare?

Standardstatus for begrensning

CVE-2017-5753

Nei

Aktivert som standard (ingen alternativer for å deaktivere)

Se ADV180002 for mer informasjon.

CVE-2017-5715

Ja

Aktivert som standard. Brukere av systemer basert på AMD-prosessorer bør se vanlige spørsmål #15, og brukere av ARM-prosessorer bør se vanlige spørsmål nr. 20 på ADV180002 for ytterligere handling og denne KB-artikkelen for gjeldende innstillinger for registernøkkel.

Obs! Som standard er Retpoline aktivert for enheter som kjører Windows 10, versjon 1809 eller nyere hvis Spectre Variant 2 (CVE-2017-5715) er aktivert. For mer informasjon, rundt Retpoline, følg veiledningen i Mitigating Spectre-varianten 2 med Retpoline på Windows blogginnlegg.

CVE-2017-5754

Nei

Aktivert som standard

Se ADV180002 for mer informasjon.

CVE-2018-3639

Intel: Ja
AMD: Nei
ARM: Ja

Intel og AMD: Deaktivert som standard. Se ADV180012 for mer informasjon og denne KB-artikkelen for gjeldende innstillinger for registernøkkel.

ARM: Aktivert som standard uten alternativ for å deaktivere.

CVE-2019-11091

Intel: Ja

Aktivert som standard.

Se ADV190013 for mer informasjon og denne artikkelen for gjeldende innstillinger for registernøkkel.

CVE-2018-12126

Intel: Ja

Aktivert som standard.

Se ADV190013 for mer informasjon og denne artikkelen for gjeldende innstillinger for registernøkkel.

CVE-2018-12127

Intel: Ja

Aktivert som standard.

Se ADV190013 for mer informasjon og denne artikkelen for gjeldende innstillinger for registernøkkel.

CVE-2018-12130

Intel: Ja

Aktivert som standard.

Se ADV190013 for mer informasjon og denne artikkelen for gjeldende innstillinger for registernøkkel.

CVE-2019-11135

Intel: Ja

Aktivert som standard.

Se CVE-2019-11135 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2022-21123 (del av MMIO ADV220002)

Intel: Ja

Windows Server 2019, Windows Server 2022: Aktivert som standard. 
Windows Server 2016 og tidligere: Deaktivert som standard. 

Se CVE-2022-21123 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2022-21125 (del av MMIO ADV220002)

Intel: Ja

Windows Server 2019, Windows Server 2022: Aktivert som standard. 
Windows Server 2016 og tidligere: Deaktivert som standard. 

Se CVE-2022-21125 for mer informasjon.

CVE-2022-21127 (del av MMIO ADV220002)

Intel: Ja

Server 2019, Windows Server 2022: Aktivert som standard. 
Windows Server 2016 og tidligere: Deaktivert som standard. 

Se CVE-2022-21127 for mer informasjon.

CVE-2022-21166 (del av MMIO ADV220002)

Intel: Ja

Windows Server 2019, Windows Server 2022: Aktivert som standard. 
Windows Server 2016 og tidligere: Deaktivert som standard. 

Se CVE-2022-21166 for mer informasjon.

CVE-2022-23825 (AMD CPU-grentype forvirring)

AMD: Nei

Se CVE-2022-23825 for mer informasjon og denne artikkelen for gjeldende registernøkkelinnstillinger.

CVE-2022-23816 (AMD CPU-grentype forvirring)

AMD: Nei

Se CVE-2022-23816for mer informasjon og denne artikkelen for gjeldende innstillinger for registernøkkel.

Obs!: Aktivering av begrensninger som er deaktivert, kan som standard påvirke enhetsytelsen. Den faktiske ytelseseffekten avhenger av flere faktorer, for eksempel det spesifikke brikkesettet i enheten og arbeidsbelastningene som kjører.

Registerinnstillinger

Vi gir følgende registerinformasjon for å aktivere begrensninger som ikke er aktivert som standard, som dokumentert i sikkerhetsveiledningene ADV180002 og ADV180012. I tillegg tilbyr vi registernøkkelinnstillinger for brukere som ønsker å deaktivere begrensningene som er relatert til CVE-2017-5715 og CVE-2017-5754 for Windows-klienter .

Viktig!: Dette avsnittet, denne metoden eller denne oppgaven inneholder trinn som forteller deg hvordan du kan endre registeret. Det kan imidlertid oppstå alvorlige problemer hvis du endrer registret på feil måte. Sørg derfor for at du følger fremgangsmåten nøye. Husk å ta sikkerhetskopi av registret før du endrer det, som en ekstra beskyttelse. Da kan du gjenopprette registret hvis det skulle oppstå problemer. Hvis du vil ha mer informasjon om hvordan du sikkerhetskopierer og gjenoppretter registeret, kan du se følgende artikkel i Microsoft Knowledge Base:

322756 Slik sikkerhetskopierer og gjenoppretter du registeret i Windows

Viktig!: Som standard er Retpoline aktivert på Windows 10, versjon 1809 enheter hvis Spectre, Variant 2 (CVE-2017-5715) er aktivert. Aktivering av Retpoline på den nyeste versjonen av Windows 10 kan forbedre ytelsen på enheter som kjører Windows 10, versjon 1809 for Spectre variant 2, spesielt på eldre prosessorer.

Slik aktiverer du standard begrensninger for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

For å deaktivere begrensninger for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

Obs!: En verdi på 3 er nøyaktig for FeatureSettingsOverrideMask for innstillingene «aktiver» og «deaktiver». (Se avsnittet Vanlige spørsmål hvis du vil ha mer informasjon om registernøkler.)

Slik deaktiverer du begrensninger for CVE-2017-5715 (Spectre Variant 2) :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

Slik aktiverer du standard begrensninger for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

Som standard er bruker-til-kjerne-beskyttelse for CVE-2017-5715 deaktivert for AMD- og ARM-CPU-er. Du må aktivere begrensningen for å motta ekstra beskyttelse for CVE-2017-5715. Hvis du vil ha mer informasjon, kan du se vanlige spørsmål nr. 15 i ADV180002 for AMD-prosessorer og vanlige spørsmål #20 i ADV180002 for ARM-prosessorer.

Aktiver bruker-til-kjerne-beskyttelse på AMD- og ARM-prosessorer sammen med annen beskyttelse for CVE 2017-5715:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

For å muliggjøre begrensninger for CVE-2018-3639 (Speculative Store Bypass), standard begrensninger for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

Merk: AMD-prosessorer er ikke sårbare for CVE-2017-5754 (Meltdown). Denne registernøkkelen brukes i systemer med AMD-prosessorer for å aktivere standard begrensninger for CVE-2017-5715 på AMD-prosessorer og begrensningen for CVE-2018-3639.

For å deaktivere begrensninger for CVE-2018-3639 (Speculative Store Bypass) *og* begrensninger for CVE-2017-5715 (Spectre Variant 2) og CVE-2017-5754 (Meltdown)

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

Som standard er bruker-til-kjerne-beskyttelse for CVE-2017-5715 deaktivert for AMD-prosessorer. Kunder må aktivere begrensningen for å motta ytterligere beskyttelse for CVE-2017-5715.  Hvis du vil ha mer informasjon, kan du se vanlige spørsmål nr. 15 i ADV180002.

Aktiver bruker-til-kjerne-beskyttelse på AMD-prosessorer sammen med annen beskyttelse for CVE 2017-5715 og beskyttelse for CVE-2018-3639 (Speculative Store Bypass):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

Slik aktiverer du begrensninger for sikkerhetsproblemet Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) og Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) sammen med variantene Spectre (CVE-2017-5753 & CVE-2017-5715) og Meltdown (CVE-2017-5754), inkludert Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) samt L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646) uten å deaktivere Hyper-Threading:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 72 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Avslutt alle Virtual Machines. Dette gjør at fastvarerelaterte begrensninger kan brukes på verten før virtuelle maskiner startes. Derfor oppdateres også vm-ene når de startes på nytt.

Start enheten på nytt for at endringene skal tre i kraft.

Slik aktiverer du begrensninger for sikkerhetsproblemet Intel Transactional Synchronization Extensions (Intel TSX) Transaction Asynchronous Abort (CVE-2019-11135) og Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) sammen med variantene Spectre (CVE-2017-5753 & CVE-2017-5715) og Meltdown (CVE-2017-5754), inkludert Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) samt L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646) med Hyper-Threading deaktivert:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 8264 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Hvis Hyper-V-funksjonen er installert, legger du til følgende registerinnstilling:

reg add "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f

Hvis dette er en Hyper-V-vert og fastvareoppdateringene er brukt: Avslutt alle Virtual Machines. Dette gjør at fastvarerelaterte begrensninger kan brukes på verten før virtuelle maskiner startes. Derfor oppdateres også vm-ene når de startes på nytt.

Start enheten på nytt for at endringene skal tre i kraft.

Slik deaktiverer du begrensninger for® sikkerhetsproblemet Intel Transactional Synchronization Extensions (Intel® TSX) Transaction Asynchronous Abort (CVE-2019-11135) og Microarchitectural Data Sampling ( CVE-2019-11091 , CVE-2018-12126 , CVE-2018-12127 , CVE-2018-12130 ) sammen med variantene Spectre (CVE-2017-5753 & CVE-2017-5715) og Meltdown (CVE-2017-5754), inkludert Speculative Store Bypass Disable (SSBD) (CVE-2018-3639) samt L1 Terminal Fault (L1TF) (CVE-2018-3615, CVE-2018-3620 og CVE-2018-3646):

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3 /f

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Start enheten på nytt for at endringene skal tre i kraft.

Aktiver bruker-til-kjerne-beskyttelse på AMD-prosessorer:

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 16777280 /f 

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f 

For å være fullstendig beskyttet, kan det hende at kunder også må deaktivere Hyper-Threading (også kjent som Simultaneous Multi Threading (SMT)). Se KB4073757for veiledning om beskyttelse av Windows-enheter. 

Kontroller at beskyttelse er aktivert

For å bekrefte at beskyttelse er aktivert, har vi publisert et PowerShell-skript som du kan kjøre på enhetene dine. Installer og kjør skriptet ved hjelp av én av følgende metoder.

Installer PowerShell-modulen:

PS> Install-Module SpeculationControl

Kjør PowerShell-modulen for å bekrefte at beskyttelse er aktivert:

PS> # Lagre gjeldende kjøringspolicy slik at den kan tilbakestilles

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Tilbakestille kjøringspolicyen til den opprinnelige tilstanden

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Installer PowerShell-modulen fra Technet ScriptCenter:

Gå til https://aka.ms/SpeculationControlPS

Last ned SpeculationControl.zip til en lokal mappe.

Pakk ut innholdet til en lokal mappe, for eksempel C:\ADV180002

Kjør PowerShell-modulen for å bekrefte at beskyttelse er aktivert:

Start PowerShell, og kopier og kjør følgende kommandoer ved hjelp av det forrige eksemplet:

PS> # Lagre gjeldende kjøringspolicy slik at den kan tilbakestilles

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> CD C:\ADV180002\SpeculationControl

PS> Import-Module .\SpeculationControl.psd1

PS> Get-SpeculationControlSettings

PS> # Tilbakestille kjøringspolicyen til den opprinnelige tilstanden

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

Hvis du vil ha en detaljert forklaring av utdataene for PowerShell-skriptet, kan du se KB4074629.

Vanlige spørsmål

Mikrokoden leveres gjennom en fastvareoppdatering. Du bør ta kontakt med CPU-en (brikkesettet) og enhetsprodusentene om tilgjengeligheten av gjeldende sikkerhetsoppdateringer for fastvare for den bestemte enheten, inkludert Intels Microcode Revision Guidance.

Adressering av et maskinvaresårbarhet gjennom en programvareoppdatering byr på betydelige utfordringer. Begrensninger for eldre operativsystemer krever også omfattende arkitektoniske endringer. Vi samarbeider med berørte brikkeprodusenter for å finne den beste måten å levere begrensninger på, som kan leveres i fremtidige oppdateringer.

Oppdateringer for Microsoft Surface-enheter leveres til kunder gjennom Windows Update sammen med oppdateringene for Windows-operativsystemet. Hvis du vil ha en liste over tilgjengelige oppdateringer for Surface-enhetens fastvare (mikrokode), kan du se KB4073065.

Hvis enheten ikke er fra Microsoft, bruker du fastvaren fra enhetsprodusenten. Hvis du vil ha mer informasjon, kontakter du produsenten av OEM-enheten.

I februar og mars 2018 lanserte Microsoft ekstra beskyttelse for noen x86-baserte systemer. Hvis du vil ha mer informasjon , kan du se KB4073757 og Microsoft Security Advisory ADV180002.

Oppdateringer for å Windows 10 for HoloLens er tilgjengelige for HoloLens-kunder gjennom Windows Update.

Etter å ha brukt Windows Sikkerhet Update for februar 2018, trenger ikke HoloLens-kunder å gjøre noe mer for å oppdatere fastvaren for enheten. Disse begrensningene vil også bli inkludert i alle fremtidige utgivelser av Windows 10 for HoloLens.

Nei. Bare sikkerhetsoppdateringer er ikke kumulative. Avhengig av hvilken versjon av operativsystemet du kjører, må du installere alle månedlige sikkerhetsoppdateringer som bare skal beskyttes mot disse sikkerhetsproblemene. Hvis du for eksempel kjører Windows 7 for 32-biters systemer på en berørt Intel CPU, må du installere alle oppdateringene bare for sikkerhet. Vi anbefaler at du installerer disse oppdateringene bare for sikkerhet i utgivelsesrekkefølgen.

Obs! En tidligere versjon av disse vanlige spørsmålene uttalte feilaktig at oppdateringen for bare sikkerhetsoppdatering for februar inkluderte sikkerhetsoppdateringene som ble utgitt i januar. Faktisk gjør det ikke det.

Nei. Sikkerhetsoppdatering 4078130 var en bestemt løsning for å forhindre uforutsigbar systematferd, ytelsesproblemer og/eller uventede omstarter etter installasjon av mikrokode. Bruk av sikkerhetsoppdateringene for februar på operativsystemer for Windows-klienten muliggjør alle tre begrensninger.

Intel kunngjorde nylig at de har fullført valideringene sine og begynte å lansere mikrokode for nyere CPU-plattformer. Microsoft gjør tilgjengelige Intel-validerte mikrokodeoppdateringer rundt Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 viser bestemte Knowledge Base-artikler etter Windows-versjon. Hver spesifikke KB inneholder de tilgjengelige Intel-mikrokodeoppdateringene av CPU.

Dette problemet ble løst i KB4093118.

AMD kunngjorde nylig at de har begynt å lansere mikrokode for nyere CPU-plattformer rundt Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Hvis du vil ha mer informasjon, kan du se AMD Security Oppdateringer og AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Disse er tilgjengelige fra OEM-fastvarekanalen.

Vi gjør tilgjengelige Intel validerte mikrokodeoppdateringer rundt Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection "). For å få de nyeste Intel-mikrokodeoppdateringene gjennom Windows Update, må kundene ha installert Intel-mikrokode på enheter som kjører et Windows 10 operativsystem før de oppgraderer til Windows 10 april 2018 Update (versjon 1803).

Mikrokodeoppdateringen er også tilgjengelig direkte fra Katalog hvis den ikke ble installert på enheten før du oppgraderte operativsystemet. Intel-mikrokode er tilgjengelig via Windows Update, WSUS eller Microsoft Update-katalogen. Hvis du vil ha mer informasjon og instruksjoner for nedlasting, kan du se KB4100347.

Hvis du vil ha mer informasjon, kan du se avsnittene Anbefalte handlinger og Vanlige spørsmål i ADV180012 | Microsoft-veiledning for spekulativ butikkomkobling.

For å bekrefte statusen for SSBD ble Get-SpeculationControlSettings PowerShell-skriptet oppdatert for å oppdage berørte prosessorer, status for SSBD-operativsystemoppdateringer og tilstanden til prosessormikrokoden hvis aktuelt. Hvis du vil ha mer informasjon og få Tak i PowerShell-skriptet, kan du se KB4074629.

Juni 13, 2018, en ekstra sårbarhet som involverer side-kanal spekulativ utførelse, kjent som Lazy FP State Restore, ble annonsert og tildelt CVE-2018-3665. Det er ikke nødvendig med konfigurasjonsinnstillinger (registerinnstillinger) for gjenoppretting av forsinket gjenoppretting.

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet og anbefalte handlinger, kan du se sikkerhetsveiledningen ADV180016 | Microsoft Guidance for Lazy FP State Restore.

Obs!: Det er ikke nødvendig med konfigurasjonsinnstillinger (registerinnstillinger) for gjenoppretting av forsinket gjenoppretting.

Bounds Check Bypass Store (BCBS) ble offentliggjort 10. juli 2018 og tilordnet CVE-2018-3693. Vi anser BCBS for å tilhøre samme klasse av sikkerhetsproblemer som Bounds Check Bypass (variant 1). Vi er for øyeblikket ikke klar over noen forekomster av BCBS i programvaren vår, men vi fortsetter å undersøke denne sårbarhetsklassen og vil samarbeide med bransjepartnere for å frigi begrensninger etter behov. Vi fortsetter å oppfordre forskere til å sende inn relevante funn til Microsofts speculative Execution Side Channel bounty program, inkludert eventuelle utnyttelige forekomster av BCBS. Programvareutviklere bør se gjennom utviklerveiledningen som ble oppdatert for BCBS på https://aka.ms/sescdevguide.

14. august 2018 ble L1 Terminal Fault (L1TF) annonsert og tilordnet flere CVE-er. Disse nye, spekulative sårbarhetene for utførelse av sidekanaler kan brukes til å lese innholdet i minnet på tvers av en klarert grense, og kan, hvis de utnyttes, føre til fremlegging av informasjon. En angriper kan utløse sårbarhetene gjennom flere vektorer, avhengig av det konfigurerte miljøet. L1TF påvirker Intel® Core-prosessorer® og Intel® Xeon-prosessorer®.

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet og en detaljert visning av berørte scenarioer, inkludert Microsofts tilnærming til å redusere L1TF, kan du se følgende ressurser:

Kunder som bruker 64-biters ARM-prosessorer bør sjekke med enheten OEM for fastvarestøtte fordi ARM64 operativsystembeskyttelse som reduserer CVE-2017-5715 | Injeksjon av grenmål (Spectre, variant 2) krever at den nyeste fastvareoppdateringen fra enhets-OPERATIVSYSTEMET trer i kraft.

For Azure-veiledning kan du se denne artikkelen: Veiledning for å redusere spekulative sikkerhetsproblemer i sidekanaler i Azure.  

Hvis du vil ha mer informasjon om retpolineaktivering, kan du se blogginnlegget vårt: Begrense Spectre-variant 2 med Retpoline på Windows

Hvis du vil ha mer informasjon om dette sikkerhetsproblemet, kan du se Microsofts sikkerhetsveiledning: CVE-2019-1125 | Sikkerhetsproblem for offentliggjøring av Windows-kjerneinformasjon.

Vi er ikke klar over noen forekomst av dette sikkerhetsproblemet for fremlegging av informasjon som påvirker infrastrukturen for skytjenesten.

Så snart vi ble oppmerksomme på dette problemet, jobbet vi raskt for å løse det og lansere en oppdatering. Vi har stor tro på nære partnerskap med både forskere og bransjepartnere for å gjøre kundene sikrere, og publiserte ikke detaljer før tirsdag 6.

Referanser

Vi tilbyr tredjeparts kontaktinformasjon for å hjelpe deg med å finne teknisk støtte. Denne kontaktinformasjonen kan endres uten varsel. Vi garanterer ikke nøyaktigheten til denne tredjeparts kontaktinformasjonen.

Trenger du mer hjelp?

Utvid ferdighetene dine

Utforsk opplæring >

Vær først ute med de nye funksjonene

BLI MED I MICROSOFT INSIDERS >

Var denne informasjonen nyttig?

Hvor fornøyd er du med språkkvaliteten?
Hva påvirket opplevelsen din?

Takk for tilbakemeldingen!

×