|
Datum wijzigen |
Beschrijving wijzigen |
|---|---|
|
dinsdag 9 augustus 2023 |
|
|
9 april 2024 |
|
Samenvatting
Dit artikel bevat informatie en updates voor een nieuwe klasse microarchitecturale en speculatieve beveiligingsproblemen in het kanaal aan de uitvoeringszijde die van invloed zijn op veel moderne processors en besturingssystemen. Het biedt ook een uitgebreide lijst met Windows-client- en serverresources om uw apparaten thuis, op het werk en in uw hele bedrijf te beveiligen. Dit omvat Intel, AMD en ARM. Specifieke informatie over beveiligingsproblemen voor deze problemen op basis van silicium vindt u in de volgende beveiligingsadviezen en CVE's:
-
ADV180012 - Microsoft-richtlijnen voor het omzeilen van speculatieve winkels
-
ADV180013 - Microsoft Guidance for Rogue System Register Read
-
ADV180018 - Microsoft-richtlijnen om de L1TF-variant te beperken
-
ADV220002 - Microsoft Guidance on Intel Processor MMIO Verouderde gegevenskwetsbaarheden
Op 3 januari 2018 heeft Microsoft een advies- en beveiligingsupdate uitgebracht met betrekking tot een nieuw ontdekte klasse van hardwareproblemen (bekend als Spectre en Meltdown) met speculatieve uitvoeringskanalen die in verschillende mate van invloed zijn op AMD-, ARM- en Intel-processors. Deze klasse beveiligingsproblemen is gebaseerd op een algemene chiparchitectuur die oorspronkelijk is ontworpen om computers te versnellen. Meer informatie over deze beveiligingsproblemen vindt u in Google Project Zero.
Op 21 mei 2018 hebben Google Project Zero (GPZ), Microsoft en Intel twee nieuwe chipproblemen onthuld die betrekking hebben op de problemen spectre en meltdown en die bekend staan als Speculative Store Bypass (SSB) en Rogue System Registry Read. Het klantrisico van beide openbaarmakingen is laag.
Zie de resources die worden vermeld onder Windows-besturingssysteemupdates van mei 2018 en raadpleeg de volgende beveiligingsadviezen voor meer informatie over deze beveiligingsproblemen:
-
ADV180012 | Microsoft-richtlijnen voor het omzeilen van speculatieve winkels
-
ADV180013 | Microsoft-richtlijnen voor rogue-systeemregister lezen
Op 13 juni 2018 werd een extra beveiligingsprobleem met speculatieve uitvoering van kanalen aan de zijkant aangekondigd, bekend als Lazy FP State Restore, en cve-2018-3665 toegewezen. Zie het volgende beveiligingsadvies voor meer informatie over dit beveiligingsprobleem en aanbevolen acties:
Op 14 augustus 2018 is L1 Terminal Fault (L1TF) een nieuw speculatief beveiligingsprobleem aan de uitvoeringszijde aangekondigd dat meerdere CSP's heeft. L1TF is van invloed op Intel® Core-processors® en Intel® Xeon-processors®. Zie ons beveiligingsadvies voor meer informatie over L1TF en aanbevolen acties:
Opmerking: U wordt aangeraden alle nieuwste updates van Windows Update te installeren voordat u microcode-updates installeert.
Op 14 mei 2019 heeft Intel informatie gepubliceerd over een nieuwe subklasse van speculatieve beveiligingsproblemen aan de uitvoeringszijde van kanalen, microarchitecturale gegevenssampling genoemd. De volgende CDE's zijn toegewezen:
-
CVE-2018-11091 : "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Microarchitectural Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 : "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 : "Microarchitectural Load Port Data Sampling (MLPDS)"
Belangrijk: deze problemen zijn van invloed op andere systemen, zoals Android, Chrome, iOS en MacOS. We adviseren klanten om hulp te zoeken bij hun respectieve leveranciers.
Microsoft heeft updates uitgebracht om deze beveiligingsproblemen te verhelpen. Om alle beschikbare beveiligingen te krijgen, zijn firmware (microcode) en software-updates vereist. Dit kan microcode van OEM's van apparaten omvatten. In sommige gevallen heeft het installeren van deze updates invloed op de prestaties. We hebben ook actie ondernomen om onze cloudservices te beveiligen.
Opmerking: u wordt aangeraden alle nieuwste updates van Windows Update te installeren voordat u microcode-updates installeert.
Zie het volgende beveiligingsadvies voor meer informatie over deze problemen en aanbevolen acties:
Op 6 augustus 2019 heeft Intel details vrijgegeven over een kwetsbaarheid voor het vrijgeven van informatie in Windows-kernel. Dit beveiligingsprobleem is een variant van het spectre variant 1 speculative execution side channel vulnerability en is toegewezen CVE-2019-1125.
Microsoft heeft op 9 juli 2019 een beveiligingsupdate uitgebracht voor het Windows-besturingssysteem om dit probleem te verhelpen. Klanten die Windows Update ingeschakeld en de beveiligingsupdates hebben toegepast die zijn uitgebracht op 9 juli 2019, worden automatisch beveiligd. Houd er rekening mee dat voor dit beveiligingsprobleem geen microcode-update van de fabrikant van uw apparaat (OEM) is vereist.
Zie CVE-2019-1125 | Beveiligingsprobleem met betrekking tot openbaarmaking van Windows-kernelgegevens in de Microsoft Security Update Guide.
Op 14 juni 2022 heeft Intel informatie gepubliceerd over een nieuwe subklasse van speculative execution memory-mapped I/O (MMIO) zijkanaalproblemen die worden vermeld in het advies:
Stappen voor het beveiligen van uw Windows-apparaten
Mogelijk moet u zowel uw firmware (microcode) als uw software bijwerken om deze beveiligingsproblemen aan te pakken. Raadpleeg de Microsoft-beveiligingsadviezen voor aanbevolen acties. Dit omvat toepasselijke firmware-updates (microcode) van apparaatfabrikanten en, in sommige gevallen, updates voor uw antivirussoftware. We raden u aan uw apparaten up-to-date te houden door de maandelijks beveiligingsupdates te installeren.
Als u alle beschikbare beveiligingen wilt ontvangen, volgt u deze stappen om de nieuwste updates voor zowel software als hardware te downloaden.
Opmerking: Controleer voordat u begint of uw antivirussoftware (AV) up-to-date en compatibel is. Raadpleeg de website van de fabrikant van uw antivirussoftware voor de meest recente informatie met betrekking tot compatibiliteit.
-
Houd uw Windows-apparaat up-to-date door automatische updates in te schakelen.
-
Controleer of u de meest recente beveiligingsupdate voor uw Windows-besturingssysteem van Microsoft hebt geïnstalleerd. Als automatische updates zijn ingeschakeld, worden de updates automatisch aan u geleverd. U moet echter nog steeds controleren of ze zijn geïnstalleerd. Zie Windows Update: Veelgestelde vragen voor instructies
-
Installeer beschikbare firmware -updates (microcode) van de fabrikant van uw apparaat. Alle klanten moeten contact opnemen met de fabrikant van hun apparaat om hun apparaatspecifieke hardware-update te downloaden en te installeren. Zie de sectie 'Aanvullende resources' voor een lijst met websites van de fabrikant van apparaten.
Opmerking: Klanten moeten de meest recente beveiligingsupdates voor hun Windows-besturingssysteem installeren van Microsoft om te profiteren van beschikbare beveiligingen. Updates voor antivirussoftware moeten eerst worden geïnstalleerd. Daarna dienen updates van besturingssysteem en firmware te volgen. We raden u aan uw apparaten up-to-date te houden door de maandelijks beveiligingsupdates te installeren.
Beïnvloede chips zijn onder andere chips die zijn gemaakt door Intel, AMD en ARM. Dit betekent dat alle apparaten met Windows-besturingssystemen mogelijk kwetsbaar zijn. Dit omvat desktops, laptops, cloudservers en smartphones. Apparaten met andere besturingssystemen, zoals Android, Chrome, iOS en macOS, worden ook beïnvloed. We adviseren klanten die deze besturingssystemen uitvoeren om hulp te vragen bij deze leveranciers.
Op het moment van publicatie hadden we geen informatie ontvangen om aan te geven dat deze beveiligingsproblemen zijn gebruikt om klanten aan te vallen.
Vanaf januari 2018 heeft Microsoft updates uitgebracht voor Windows-besturingssystemen en de webbrowsers Internet Explorer en Edge om deze beveiligingsproblemen te verhelpen en klanten te beschermen. We hebben ook updates uitgebracht om onze cloudservices te beveiligen. We blijven nauw samenwerken met branchepartners, waaronder chipmakers, hardware-OEM's en app-leveranciers, om klanten te beschermen tegen deze klasse van kwetsbaarheid.
We raden u aan om altijd de maandelijkse updates te installeren om uw apparaten up-to-date en veilig te houden.
Deze documentatie wordt bijgewerkt wanneer er nieuwe oplossingen beschikbaar komen. U wordt aangeraden hier regelmatig terug te komen.
Windows-besturingssysteemupdates van juli 2019
Op 6 augustus 2019 heeft Intel details bekendgemaakt voor beveiligingsprobleem CVE-2019-1125 | Beveiligingsprobleem met betrekking tot openbaarmaking van windows-kernelgegevens. Beveiligingsupdates voor dit beveiligingsprobleem zijn uitgebracht als onderdeel van de maandelijkse updaterelease van juli op 9 juli 2019.
Microsoft heeft op 9 juli 2019 een beveiligingsupdate uitgebracht voor het Windows-besturingssysteem om dit probleem te verhelpen. We hebben deze beperking niet openbaar documenteren tot de gecoördineerde openbaarmaking van de branche op dinsdag 6 augustus 2019.
Klanten die Windows Update ingeschakeld en de beveiligingsupdates hebben toegepast die zijn uitgebracht op 9 juli 2019, worden automatisch beveiligd. Houd er rekening mee dat voor dit beveiligingsprobleem geen microcode-update van de fabrikant van uw apparaat (OEM) is vereist.
Windows-besturingssysteemupdates van mei 2019
Op 14 mei 2019 heeft Intel informatie gepubliceerd over een nieuwe subklasse van speculatieve beveiligingsproblemen aan de uitvoeringszijde van kanalen, microarchitecturale gegevenssampling genoemd, waaraan de volgende CSP's zijn toegewezen:
-
CVE-2018-11091 : "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"
-
CVE-2018-12126 – "Microarchitectural Store Buffer Data Sampling (MSBDS)"
-
CVE-2018-12127 : "Microarchitectural Fill Buffer Data Sampling (MFBDS)"
-
CVE-2018-12130 : "Microarchitectural Load Port Data Sampling (MLPDS)"
Zie voor meer informatie over dit probleem het volgende beveiligingsadvies en gebruik op scenario's gebaseerde richtlijnen die worden beschreven in de artikelen Windows-richtlijnen voor clients en server om te bepalen welke acties nodig zijn om de bedreiging te beperken:
Microsoft heeft beveiligingen uitgebracht tegen een nieuwe subklasse van speculatieve beveiligingsproblemen aan de uitvoeringszijde, bekend als Microarchitectural Data Sampling voor 64-bits (x64) versies van Windows (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).
Gebruik de registerinstellingen zoals beschreven in de artikelen Windows Client (KB4073119) en Windows Server (KB4457951). Deze registerinstellingen zijn standaard ingeschakeld voor edities van windows clientbesturingssystemen en edities van het Windows Server-besturingssysteem.
U wordt aangeraden eerst alle nieuwste updates van Windows Update te installeren voordat u microcode-updates installeert.
Zie het volgende beveiligingsadvies voor meer informatie over dit probleem en aanbevolen acties:
Intel heeft een microcode-update uitgebracht voor recente CPU-platforms om CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 te beperken. De Windows KB-4093836 van 14 mei 2019 bevat specifieke Knowledge Base-artikelen per Windows-besturingssysteemversie. Het artikel bevat ook koppelingen naar de beschikbare Intel-microcode-updates per CPU. Deze updates zijn beschikbaar via de Microsoft-catalogus.
Opmerking: u wordt aangeraden alle meest recente updates van Windows Update te installeren voordat u microcode-updates installeert.
We zijn blij om aan te kondigen dat retpoline standaard is ingeschakeld op Windows 10 versie 1809-apparaten (voor client en server) als Spectre Variant 2 (CVE-2017-5715) is ingeschakeld. Door Retpoline in te schakelen op de nieuwste versie van Windows 10, via de update van 14 mei 2019 (KB 4494441), verwachten we verbeterde prestaties, met name op oudere processors.
Klanten moeten ervoor zorgen dat eerdere besturingssysteembeveiligingen tegen het beveiligingsprobleem Spectre Variant 2 zijn ingeschakeld met behulp van de registerinstellingen die worden beschreven in de artikelen Windows Client en Windows Server . (Deze registerinstellingen zijn standaard ingeschakeld voor edities van windows-clientbesturingssystemen, maar standaard uitgeschakeld voor edities van het Windows Server-besturingssysteem). Zie Spectre variant 2 beperken met Retpoline in Windows voor meer informatie over 'Retpoline'.
Windows-besturingssysteemupdates van november 2018
Microsoft heeft besturingssysteembeveiligingen uitgebracht voor Speculative Store Bypass (CVE-2018-3639) voor AMD-processors (CPU's).
Microsoft heeft aanvullende besturingssysteembeveiligingen uitgebracht voor klanten die gebruikmaken van 64-bits ARM-processors. Neem contact op met de OEM-fabrikant van uw apparaat voor firmwareondersteuning, omdat voor beveiliging van ARM64-besturingssystemen die CVE-2018-3639, Speculatieve Store Bypass beperken, de meest recente firmware-update van de OEM van uw apparaat is vereist.
Windows-besturingssysteemupdates van september 2018
Op 11 september In 2018 heeft Microsoft Windows Server 2008 SP2 maandelijks updatepakket uitgebracht 4458010 en alleen beveiliging 4457984 voor Windows Server 2008 die bescherming bieden tegen een nieuw speculatief beveiligingsprobleem in het kanaal aan de uitvoering, L1 Terminal Fault (L1TF) dat van invloed is op Intel® Core-processors® en Intel® Xeon-processors® (CVE-2018-3620 en CVE-2018-3646).
Deze release voltooit de aanvullende beveiliging op alle ondersteunde Windows-systeemversies via Windows Update. Zie voor meer informatie en een lijst met betrokken producten ADV180018 | Microsoft-richtlijnen om de L1TF-variant te beperken.
Opmerking: Windows Server 2008 SP2 volgt nu het standaard windows-onderhoudspakketmodel. Zie onze blog Windows Server 2008 SP2 servicing changes (Engelstalig) voor meer informatie over deze wijzigingen. Klanten met Windows Server 2008 moeten 4458010 of 4457984 installeren naast beveiligingsupdate 4341832, die is uitgebracht op 14 augustus 2018. Klanten moeten ook ervoor zorgen dat eerdere besturingssysteembeveiligingen tegen Spectre Variant 2- en Meltdown-beveiligingsproblemen zijn ingeschakeld met behulp van de registerinstellingen die worden beschreven in de KB-artikelen windows-client - en Windows Server-richtlijnen . Deze registerinstellingen zijn standaard ingeschakeld voor edities van windows-clientbesturingssystemen, maar zijn standaard uitgeschakeld voor edities van het Windows Server-besturingssysteem.
Microsoft heeft aanvullende besturingssysteembeveiligingen uitgebracht voor klanten die gebruikmaken van 64-bits ARM-processors. Neem contact op met de OEM-fabrikant van uw apparaat voor firmwareondersteuning, omdat voor beveiliging van ARM64-besturingssystemen die CVE-2017-5715 - Branch target injection (Spectre, Variant 2) beperken, de meest recente firmware-update van uw apparaat-OEM's is vereist om van kracht te worden.
Windows-besturingssysteemupdates van augustus 2018
Op 14 augustus 2018 werd L1 Terminal Fault (L1TF) aangekondigd en meerdere CDE's toegewezen. Deze nieuwe speculatieve beveiligingsproblemen in het kanaal aan de uitvoeringszijde kunnen worden gebruikt om de inhoud van het geheugen over een vertrouwde grens te lezen en, indien misbruikt, kunnen leiden tot openbaarmaking van informatie. Er zijn meerdere vectoren waarmee een aanvaller de beveiligingsproblemen kan activeren, afhankelijk van de geconfigureerde omgeving. L1TF is van invloed op Intel® Core-processors® en Intel® Xeon-processors®.
Zie de volgende bronnen voor meer informatie over L1TF en een gedetailleerde weergave van betrokken scenario's, waaronder de aanpak van Microsoft om L1TF te beperken:
Windows-besturingssysteemupdates van juli 2018
We zijn verheugd aan te kondigen dat Microsoft de release van aanvullende beveiliging voor alle ondersteunde Windows-systeemversies heeft voltooid via Windows Update voor de volgende beveiligingsproblemen:
-
Spectre Variant 2 voor AMD-processors
-
Speculatieve Store Bypass voor Intel-processors
Op 13 juni 2018 werd een extra beveiligingsprobleem met speculatieve uitvoering van kanalen aan de zijkant aangekondigd, bekend als Lazy FP State Restore, en cve-2018-3665 toegewezen. Er zijn geen configuratieinstellingen (register) nodig voor Lazy Restore FP Restore.
Zie het volgende beveiligingsadvies voor meer informatie over dit beveiligingsprobleem, de betrokken producten en aanbevolen acties:
Op 12 juni heeft Microsoft Windows-ondersteuning aangekondigd voor Speculative Store Bypass Disable (SSBD) in Intel-processors. Voor de updates zijn overeenkomstige firmware- (microcode) en registerupdates vereist voor de functionaliteit. Zie de sectie Aanbevolen acties in ADV180012 | voor meer informatie over de updates en de stappen die moeten worden toegepast om SSBD in te schakelen . Microsoft-richtlijnen voor speculatieve store-bypass.
Windows-besturingssysteemupdates van mei 2018
In januari 2018 heeft Microsoft informatie vrijgegeven over een zojuist ontdekte klasse van hardwareproblemen (bekend als Spectre en Meltdown) waarbij speculatieve uitvoeringskanalen zijn betrokken die in verschillende mate van invloed zijn op AMD-, ARM- en Intel-CPU's. Op 21 mei 2018 hebben Google Project Zero (GPZ), Microsoft en Intel twee nieuwe chipkwetsbaarheden onthuld die betrekking hebben op de spectre- en meltdown-problemen die bekend staan als Speculative Store Bypass (SSB) en Rogue System Registry Read.
Het klantrisico van beide openbaarmakingen is laag.
Zie de volgende bronnen voor meer informatie over deze beveiligingsproblemen:
-
Microsoft-beveiligingsadvies voor speculatieve store-bypass: MSRC ADV180012 en CVE-2018-3639
-
Microsoft-beveiligingsadvies voor Rogue System Register Lezen: MSRC ADV180013en CVE-2018-3640
-
Beveiligingsonderzoek en -verdediging: analyse en beperking van speculatieve store-bypass (CVE-2018-3639)
Van toepassing op: Windows 10, versie 1607, Windows Server 2016, Windows Server 2016 (Server Core-installatie) en Windows Server, versie 1709 (Server Core-installatie)
We hebben ondersteuning geboden voor het beheren van het gebruik van Indirect Branch Prediction Barrier (IBPB) binnen sommige AMD-processors (CPU's) voor het beperken van CVE-2017-5715, Spectre Variant 2 wanneer u overschakelt van gebruikerscontext naar kernelcontext. (Zie Richtlijnen voor AMD-architectuur voor indirect branch control en AMD-beveiliging Updates voor meer informatie.
Klanten met Windows 10, versie 1607, Windows Server 2016, Windows Server 2016 (Server Core-installatie) en Windows Server versie 1709 (Server Core-installatie) moeten beveiligingsupdates installeren 4103723 voor aanvullende oplossingen voor AMD-processors voor CVE-2017-5715, Branch Target Injection. Deze update is ook beschikbaar via Windows Update.
Volg de instructies die worden beschreven in KB 4073119 voor Richtlijnen voor Windows Client (IT Pro) en KB 4072698 voor Windows Server om het gebruik van IBPB binnen sommige AMD-processors (CPU's) in te schakelen om Spectre Variant 2 te beperken wanneer u overschakelt van gebruikerscontext naar kernelcontext.
Microsoft stelt door Intel gevalideerde microcode-updates beschikbaar rond Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Klanten moeten Intel-microcode hebben geïnstalleerd op apparaten met een Windows 10-besturingssysteem voordat ze een upgrade uitvoeren naar de update van Windows 10 april 2018 (versie 1803) om de nieuwste Microcode-updates van Intel te downloaden via Windows Update.
De microcode-update is ook rechtstreeks vanuit de catalogus beschikbaar als deze niet op het apparaat is geïnstalleerd voordat een upgrade van het besturingssysteem heeft plaatsgevonden. Intel-microcode is beschikbaar via Windows Update, WSUS of de Microsoft Update-catalogus. Zie KB 4100347 voor meer informatie en downloadinstructies.
We bieden aanvullende microcode-updates van Intel voor het Windows-besturingssysteem zodra deze beschikbaar zijn voor Microsoft.
Van toepassing op: Windows 10, versie 1709
We hebben ondersteuning geboden voor het beheren van het gebruik van Indirect Branch Prediction Barrier (IBPB) binnen sommige AMD-processors (CPU's) voor het beperken van CVE-2017-5715, Spectre Variant 2 wanneer u overschakelt van gebruikerscontext naar kernelcontext. (Zie Richtlijnen voor AMD-architectuur voor indirect branch control en AMD-beveiliging Updates voor meer informatie.
Volg de instructies die worden beschreven in KB 4073119 voor Windows Client (IT Pro) om het gebruik van IBPB binnen sommige AMD-processors (CPU's) in te schakelen om Spectre Variant 2 te beperken wanneer u overschakelt van gebruikerscontext naar kernelcontext.
Microsoft stelt door Intel gevalideerde microcode-updates beschikbaar rond Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 bevat specifieke Knowledge Base-artikelen per Windows-versie. Elke specifieke KB bevat de nieuwste beschikbare Intel-microcode-updates per CPU.
We bieden aanvullende microcode-updates van Intel voor het Windows-besturingssysteem zodra deze beschikbaar zijn voor Microsoft.
Windows-besturingssysteemupdates van maart 2018 en hoger
23 maart, TechNet Security Research & Defense: KVA Shadow: Mitigating Meltdown op Windows
14 maart, Security Tech Center: Speculatieve uitvoeringszijde kanaal bounty programma voorwaarden
13 maart, blog: Windows-beveiliging update van maart 2018 – Uitbreiding van onze inspanningen om klanten te beschermen
1 maart, blog: Update op Spectre- en Meltdown-beveiligingsupdates voor Windows-apparaten
Vanaf maart 2018 heeft Microsoft beveiligingsupdates uitgebracht om oplossingen te bieden voor apparaten met de volgende op x86 gebaseerde Windows-besturingssystemen. Klanten moeten de meest recente beveiligingsupdates voor windows-besturingssystemen installeren om te profiteren van de beschikbare beveiliging. We werken aan beveiliging voor andere ondersteunde Windows-versies, maar hebben op dit moment geen releaseschema. Kijk hier terug voor updates. Zie het gerelateerde Knowledge Base-artikel voor technische details en de sectie Veelgestelde vragen voor meer informatie.
|
Productupdate uitgebracht |
Status |
Releasedatum |
Releasekanaal |
KB |
|
Windows 8.1 & Windows Server 2012 R2 - Alleen beveiligingsupdate |
Uitgebracht |
13-mrt |
WSUS, Catalogus, |
|
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 - Alleen beveiligingsupdate |
Uitgebracht |
13-mrt |
WSUS, catalogus |
|
|
Windows Server 2012 - Alleen beveiligingsupdate |
Uitgebracht |
13-mrt |
WSUS, catalogus |
|
|
Windows 8.1 & Windows Server 2012 R2 - Maandelijks updatepakket |
Uitgebracht |
13-mrt |
WU, WSUS, catalogus |
|
|
Windows 7 SP1 & Windows Server 2008 R2 SP1 - Maandelijks updatepakket |
Uitgebracht |
13-mrt |
WU, WSUS, catalogus |
|
|
Windows Server 2012 - Maandelijks updatepakket |
Uitgebracht |
13-mrt |
WU, WSUS, catalogus |
|
|
Windows Server 2008 SP2 |
Uitgebracht |
13-mrt |
WU, WSUS, catalogus |
Vanaf maart 2018 heeft Microsoft beveiligingsupdates uitgebracht om oplossingen te bieden voor apparaten met de volgende x64-gebaseerde Windows-besturingssystemen. Klanten moeten de meest recente beveiligingsupdates voor windows-besturingssystemen installeren om te profiteren van de beschikbare beveiliging. We werken aan beveiliging voor andere ondersteunde Windows-versies, maar hebben op dit moment geen releaseschema. Kijk hier terug voor updates. Zie het gerelateerde Knowledge Base artikel voor technische details en de sectie 'Veelgestelde vragen' voor meer informatie.
|
Productupdate uitgebracht |
Status |
Releasedatum |
Releasekanaal |
KB |
|
Windows Server 2012 - Alleen beveiligingsupdate |
Uitgebracht |
13-mrt |
WSUS, catalogus |
|
|
Windows Server 2012 - Maandelijks updatepakket |
Uitgebracht |
13-mrt |
WU, WSUS, catalogus |
|
|
Windows Server 2008 SP2 |
Uitgebracht |
13-mrt |
WU, WSUS, catalogus |
Deze update lost een beveiligingsprobleem op met betrekking tot uitbreiding van bevoegdheden in de Windows-kernel in de 64-bits versie (x64) van Windows. Dit beveiligingsprobleem wordt beschreven in CVE-2018-1038. Gebruikers moeten deze update toepassen om volledig te worden beveiligd tegen dit beveiligingsprobleem als hun computers zijn bijgewerkt op of na januari 2018 door een van de updates toe te passen die worden vermeld in het volgende Knowledge Base-artikel:
Met deze beveiligingsupdate worden verschillende gemelde beveiligingsproblemen in Internet Explorer opgelost. Zie Algemene beveiligingsproblemen en blootstellingen van Microsoft voor meer informatie over deze beveiligingsproblemen.
|
Productupdate uitgebracht |
Status |
Releasedatum |
Releasekanaal |
KB |
|
Internet Explorer 10 - Cumulatieve update voor Windows 8 Embedded Standard Edition |
Uitgebracht |
13-mrt |
WU, WSUS, catalogus |
Windows-besturingssysteemupdates van februari 2018
Blog: Windows Analytics helpt nu bij het beoordelen van Spectre- en Meltdown-beveiligingen
De volgende beveiligingsupdates bieden extra beveiliging voor apparaten met 32-bits (x86) Windows-besturingssystemen. Microsoft raadt klanten aan de update zo snel mogelijk te installeren. We blijven werken aan beveiliging voor andere ondersteunde Windows-versies, maar hebben op dit moment geen releaseschema. Kijk hier terug voor updates.
Opmerking Windows 10 maandelijkse beveiligingsupdates zijn maandelijks cumulatief en worden automatisch gedownload en geïnstalleerd vanaf Windows Update. Als u eerdere updates hebt geïnstalleerd, worden alleen de nieuwe gedeelten gedownload en geïnstalleerd op uw apparaat. Zie het gerelateerde Knowledge Base-artikel voor technische details en de sectie Veelgestelde vragen voor meer informatie.
|
Productupdate uitgebracht |
Status |
Releasedatum |
Releasekanaal |
KB |
|
Windows 10 - versie 1709 / Windows Server 2016 (1709) / IoT Core - Kwaliteitsupdate |
Uitgebracht |
31-jan |
WU, catalogus |
|
|
Windows Server 2016 (1709) - Servercontainer |
Uitgebracht |
13-februari |
Docker Hub |
|
|
Windows 10 - versie 1703 / IoT Core - Kwaliteitsupdate |
Uitgebracht |
13-februari |
WU, WSUS, catalogus |
|
|
Windows 10 - Versie 1607 / Windows Server 2016 / IoT Core - Kwaliteitsupdate |
Uitgebracht |
13-februari |
WU, WSUS, catalogus |
|
|
Windows 10 HoloLens - besturingssysteem en firmware Updates |
Uitgebracht |
13-februari |
WU, catalogus |
|
|
Windows Server 2016 (1607) - Containerafbeeldingen |
Uitgebracht |
13-februari |
Docker Hub |
|
|
Windows 10 - versie 1511 / IoT Core - Kwaliteitsupdate |
Uitgebracht |
13-februari |
WU, WSUS, catalogus |
|
|
Windows 10 - versie RTM - Kwaliteitsupdate |
Uitgebracht |
13-februari |
WU, WSUS, catalogus |
Windows-besturingssysteemupdates van januari 2018
Blog: Inzicht in de impact van spectre- en meltdown-oplossingen op Windows-systemen
Vanaf januari 2018 heeft Microsoft beveiligingsupdates uitgebracht om oplossingen te bieden voor apparaten met de volgende x64-gebaseerde Windows-besturingssystemen. Klanten moeten de meest recente beveiligingsupdates voor windows-besturingssystemen installeren om te profiteren van de beschikbare beveiliging. We werken aan beveiliging voor andere ondersteunde Windows-versies, maar hebben op dit moment geen releaseschema. Kijk hier terug voor updates. Zie het gerelateerde Knowledge Base-artikel voor technische details en de sectie Veelgestelde vragen voor meer informatie.
|
Productupdate uitgebracht |
Status |
Releasedatum |
Releasekanaal |
KB |
|
Windows 10 - versie 1709 / Windows Server 2016 (1709) / IoT Core - Kwaliteitsupdate |
Uitgebracht |
3-jan |
WU, WSUS, catalogus, Azure-afbeeldingsgalerie |
|
|
Windows Server 2016 (1709) - Servercontainer |
Uitgebracht |
5-jan |
Docker Hub |
|
|
Windows 10 - versie 1703 / IoT Core - Kwaliteitsupdate |
Uitgebracht |
3-jan |
WU, WSUS, catalogus |
|
|
Windows 10 - versie 1607 / Windows Server 2016 / IoT Core - Kwaliteitsupdate |
Uitgebracht |
3-jan |
WU, WSUS, catalogus |
|
|
Windows Server 2016 (1607) - Containerafbeeldingen |
Uitgebracht |
4-jan |
Docker Hub |
|
|
Windows 10 - versie 1511 / IoT Core - Kwaliteitsupdate |
Uitgebracht |
3-jan |
WU, WSUS, catalogus |
|
|
Windows 10 - versie RTM - Kwaliteitsupdate |
Uitgebracht |
3-jan |
WU, WSUS, catalogus |
|
|
Windows 10 Mobile (OS-build 15254.192) - ARM |
Uitgebracht |
5-jan |
WU, catalogus |
|
|
Windows 10 Mobile (OS-build 15063.850) |
Uitgebracht |
5-jan |
WU, catalogus |
|
|
Windows 10 Mobile (OS-build 14393.2007) |
Uitgebracht |
5-jan |
WU, catalogus |
|
|
Windows 10 HoloLens |
Uitgebracht |
5-jan |
WU, catalogus |
|
|
Windows 8.1 / Windows Server 2012 R2 - Alleen beveiligingsupdate |
Uitgebracht |
3-jan |
WSUS, catalogus |
|
|
Windows Embedded 8.1 Industry Enterprise |
Uitgebracht |
3-jan |
WSUS, catalogus |
|
|
Windows Embedded 8.1 Industry Pro |
Uitgebracht |
3-jan |
WSUS, catalogus |
|
|
Windows Embedded 8.1 Pro |
Uitgebracht |
3-jan |
WSUS, catalogus |
|
|
Windows 8.1 / Windows Server 2012 R2 maandelijks updatepakket |
Uitgebracht |
8-jan |
WU, WSUS, catalogus |
|
|
Windows Embedded 8.1 Industry Enterprise |
Uitgebracht |
8-jan |
WU, WSUS, catalogus |
|
|
Windows Embedded 8.1 Industry Pro |
Uitgebracht |
8-jan |
WU, WSUS, catalogus |
|
|
Windows Embedded 8.1 Pro |
Uitgebracht |
8-jan |
WU, WSUS, catalogus |
|
|
Windows Server 2012 - Alleen beveiliging |
Uitgebracht |
WSUS, catalogus |
||
|
Windows Server 2008 SP2 |
Uitgebracht |
WU, WSUS, catalogus |
||
|
Windows Server 2012 maandelijks updatepakket |
Uitgebracht |
WU, WSUS, catalogus |
||
|
Windows Embedded 8 Standard |
Uitgebracht |
WU, WSUS, catalogus |
||
|
Windows 7 SP1 / Windows Server 2008 R2 SP1 - Alleen beveiligingsupdate |
Uitgebracht |
3-jan |
WSUS, catalogus |
|
|
Windows Embedded Standard 7 |
Uitgebracht |
3-jan |
WSUS, catalogus |
|
|
Windows Embedded POSReady 7 |
Uitgebracht |
3-jan |
WSUS, catalogus |
|
|
Windows Thin PC |
Uitgebracht |
3-jan |
WSUS, catalogus |
|
|
Windows 7 SP1 / Windows Server 2008 R2 SP1 maandelijks updatepakket |
Uitgebracht |
4-jan |
WU, WSUS, catalogus |
|
|
Windows Embedded Standard 7 |
Uitgebracht |
4-jan |
WU, WSUS, catalogus |
|
|
Windows Embedded POSReady 7 |
Uitgebracht |
4-jan |
WU, WSUS, catalogus |
|
|
Windows Thin PC |
Uitgebracht |
4-jan |
WU, WSUS, catalogus |
|
|
Internet Explorer 11 - Cumulatieve update voor Windows 7 SP1 en Windows 8.1 |
Uitgebracht |
3-jan |
WU, WSUS, catalogus |
Op 9 april 2024 hebben we CVE-2022-0001 | Intel Branch History Injection die Branch History Injection (BHI) beschrijft, een specifieke vorm van intra-mode BTI. Dit beveiligingsprobleem treedt op wanneer een aanvaller de vertakkingsgeschiedenis kan manipuleren voordat deze overstapt van de gebruiker naar de supervisormodus (of van VMX niet-hoofd-/gastmodus naar hoofdmodus). Deze manipulatie kan ertoe leiden dat een indirecte vertakkingsvoorspeller een specifieke predictor-vermelding selecteert voor een indirecte vertakking en dat een gadget voor openbaarmaking op het voorspelde doel tijdelijk wordt uitgevoerd. Dit kan mogelijk zijn omdat de relevante vertakkingsgeschiedenis vertakkingen kan bevatten die zijn gemaakt in eerdere beveiligingscontexten, en in het bijzonder andere voorspellingsmodi.
Volg de instructies die worden beschreven in KB4073119 voor Richtlijnen voor Windows Client (IT Pro) en KB4072698 voor Windows Server om de beveiligingsproblemen te verhelpen die worden beschreven in CVE-2022-0001 | Intel Branch History Injection.
Resources en technische richtlijnen
Afhankelijk van uw rol kunnen de volgende ondersteuningsartikelen u helpen bij het identificeren en beperken van client- en serveromgevingen die worden beïnvloed door de beveiligingsproblemen Spectre en Meltdown.
Microsoft-beveiligingsadvies voor L1 Terminal Fault (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 en CVE-2018-3646
Beveiligingsonderzoek en -verdediging: analyse en beperking van speculatieve store-bypass (CVE-2018-3639)
Microsoft-beveiligingsadvies voor speculatieve store-bypass: MSRC ADV180012 en CVE-2018-3639
Microsoft-beveiligingsadvies voor Rogue System Register Read | Handleiding voor beveiligingsupdates voor Surface: MSRC ADV180013en CVE-2018-3640
Beveiligingsonderzoek en -verdediging: analyse en beperking van speculatieve store-bypass (CVE-2018-3639)
TechNet Security Research & Defense: KVA Shadow: Meltdown beperken in Windows
Security Tech Center: Voorwaarden van het kanaal bountyprogramma voor speculatieve uitvoering
Microsoft Experience-blog: Update op Spectre- en Meltdown-beveiligingsupdates voor Windows-apparaten
Windows voor Bedrijven-blog: Windows Analytics helpt nu bij het beoordelen van Spectre- en Meltdown-beveiligingen
Microsoft Secure-blog: Inzicht in de impact van spectre en meltdown-oplossingen op Windows-systemen
Edge-ontwikkelaarsblog: Speculatieve aanvallen aan de uitvoering aan de zijkant van kanalen beperken in Microsoft Edge en Internet Explorer
Azure-blog: Azure-klanten beveiligen tegen CPU-kwetsbaarheid
SCCM richtlijnen: aanvullende richtlijnen voor het beperken van speculatieve beveiligingsproblemen in kanalen aan de uitvoeringszijde
Microsoft Advisories:
-
ADV180012 | Microsoft-richtlijnen voor het omzeilen van speculatieve winkels
-
ADV180013 | Microsoft-richtlijnen voor rogue-systeemregister lezen
-
ADV180018 | Microsoft-richtlijnen om de L1TF-variant te beperken
Intel: Beveiligingsadvies
ARM: Beveiligingsadvies
AMD: Beveiligingsadvies
NVIDIA: Beveiligingsadvies
Consumentenrichtlijnen: uw apparaat beschermen tegen beveiligingsproblemen met chip
Antivirusrichtlijnen: Windows-beveiligingsupdates uitgebracht op 3 januari 2018 en antivirussoftware
Richtlijnen voor beveiligingsupdateblok voor AMD Windows-besturingssysteem: KB4073707: Beveiligingsupdateblok voor Windows-besturingssysteem voor sommige amd-apparaten
Update to Disable Mitigation against Spectre, Variant 2: KB4078130: Intel has identified reboot issues with microcode on some older processors (Update to Disable Mitigation against Spectre, Variant 2: KB4078130: Intel has identified reboot issues with microcode on some older processors(en)
Surface-richtlijnen: Surface-richtlijnen ter bescherming tegen speculatieve beveiligingsproblemen in het uitvoerkanaal
Controleer de status van speculatieve kanaalbeperkingen aan de uitvoeringszijde: inzicht in Get-SpeculationControlSettings PowerShell-scriptuitvoer
Serverrichtlijnen: Windows Server-richtlijnen ter bescherming tegen speculatieve beveiligingsproblemen in het kanaal aan de zijkant van de uitvoering
Serverrichtlijnen voor L1-terminalfout: Windows Server-richtlijnen voor beveiliging tegen L1-terminalfout
Richtlijnen voor ontwikkelaars: Richtlijnen voor ontwikkelaars voor het omzeilen van speculatieve winkels
Richtlijnen voor servers met Hyper-V
Azure KB: KB4073235: Microsoft Cloud Protections against Speculative Execution Side-Channel Vulnerabilities
Azure Stack-richtlijnen: KB4073418: Azure Stack-richtlijnen ter bescherming tegen speculatieve beveiligingsproblemen in het uitvoerkanaal
Azure-betrouwbaarheid: Azure Reliability Portal
SQL Server richtlijnen: KB4073225: SQL Server-richtlijnen voor bescherming tegen speculatieve beveiligingsproblemen aan de uitvoeringszijde van kanalen
Koppelingen naar fabrikanten van OEM- en serverapparaten voor updates ter bescherming tegen beveiligingsproblemen met Spectre en Meltdown
Als u deze beveiligingsproblemen wilt oplossen, moet u zowel uw hardware als software bijwerken. Gebruik de volgende koppelingen om contact op te nemen met de fabrikant van uw apparaat voor toepasselijke firmware-updates (microcode).
Gebruik de volgende koppelingen om contact op te nemen met de fabrikant van uw apparaat op firmware -updates (microcode). U moet updates voor het besturingssysteem en de firmware (microcode) installeren voor alle beschikbare beveiligingen.
|
OEM-apparaatfabrikanten |
Koppeling naar beschikbaarheid van microcode |
|
Acer |
|
|
Asus |
ASUS-update over speculatieve uitvoering en indirecte vertakkingsvoorspellingskanaalanalysemethode |
|
Dell |
|
|
Epson |
|
|
Fujitsu |
|
|
HP |
|
|
Lenovo |
|
|
LG |
|
|
NEC |
|
|
Panasonic |
|
|
Samsung |
|
|
Surface |
|
|
Toshiba |
|
|
Vaio |
Over de ondersteuning voor beveiligingsproblemen voor analyse van kanalen aan de zijkant |
|
Server-OEM-fabrikanten |
Koppeling naar beschikbaarheid van microcode |
|
Dell |
|
|
Fujitsu |
|
|
HPE |
Waarschuwingen voor beveiligingsproblemen met Hewlett Packard Enterprise-productbeveiliging |
|
Huawei |
|
|
Lenovo |
Veelgestelde vragen
U moet contact opnemen met de fabrikant van uw apparaat voor firmware -updates (microcode). Als de fabrikant van uw apparaat niet wordt vermeld in de tabel, neemt u rechtstreeks contact op met uw OEM.
Updates voor Microsoft Surface-apparaten zijn beschikbaar voor klanten via Windows Update. Zie KB-4073065 voor een lijst met beschikbare updates voor surface-apparaatfirmware (microcode).
Als uw apparaat niet van Microsoft is, past u firmware-updates van de fabrikant van het apparaat toe. Neem contact op met de fabrikant van uw apparaatvoor meer informatie.
Het aanpakken van een hardwareprobleem met behulp van een software-update brengt aanzienlijke uitdagingen en risicobeperkingen met zich mee voor oudere besturingssystemen en kan uitgebreide architectuurwijzigingen vereisen. We blijven samenwerken met de betrokken chipfabrikanten om de beste manier te onderzoeken om risicobeperkingen te bieden. Dit kan worden opgegeven in een toekomstige update. Het resterende risico moet worden aangepakt door oudere apparaten met deze oudere besturingssystemen te vervangen en antivirussoftware bij te werken.
Notities:
-
Producten die momenteel buiten de basis- en uitgebreide ondersteuning vallen, ontvangen deze systeemupdates niet. We raden klanten aan bij te werken naar een ondersteunde systeemversie.
-
Speculatieve aanvallen aan de zijkant van het kanaal voor uitvoering maken gebruik van CPU-gedrag en -functionaliteit. CPU-fabrikanten moeten eerst bepalen welke processors risico lopen en vervolgens Microsoft op de hoogte stellen. In veel gevallen zijn bijbehorende updates van het besturingssysteem ook vereist om klanten uitgebreidere beveiliging te bieden. We raden aan dat beveiligingsbewuste Windows CE leveranciers samenwerken met hun chipfabrikant om inzicht te hebben in de beveiligingsproblemen en toepasselijke risicobeperkingen.
-
We brengen geen updates uit voor de volgende platforms:
-
Windows-besturingssystemen die momenteel niet ondersteund worden of waarvan het einde van de ondersteuning ingaat in 2018
-
Windows XP-systemen, waaronder WES 2009 en POSReady 2009
-
Hoewel Windows XP-systemen getroffen producten zijn, geeft Microsoft er geen update voor uit omdat de uitgebreide architectuurwijzigingen die nodig zouden zijn de stabiliteit van het systeem in gevaar zouden brengen en compatibiliteitsproblemen met toepassingen zouden veroorzaken. Beveiligingsbewuste klanten worden geadviseerd een upgrade uit te voeren naar een nieuwer ondersteund besturingssysteem om gelijke tred te houden met het veranderende landschap van beveiligingsbedreigingen en te profiteren van de krachtigere beveiligingen die nieuwere besturingssystemen bieden.
Updates om te Windows 10 voor HoloLens zijn beschikbaar voor HoloLens-klanten via Windows Update.
Na het toepassen van de Windows-beveiliging-update van februari 2018 hoeven HoloLens-klanten geen extra actie te ondernemen om de firmware van hun apparaat bij te werken. Deze oplossingen worden ook opgenomen in alle toekomstige releases van Windows 10 voor HoloLens.
Neem contact op met uw OEM voor meer informatie.
Om uw apparaat volledig te beveiligen, moet u de meest recente beveiligingsupdates voor het Windows-besturingssysteem voor uw apparaat en toepasselijke firmware -updates (microcode) van de fabrikant van uw apparaat installeren. Deze updates zouden beschikbaar moeten zijn op de website van de fabrikant van uw apparaat. Updates voor antivirussoftware moeten eerst worden geïnstalleerd. Updates voor het besturingssysteem en de firmware kunnen in willekeurige volgorde worden geïnstalleerd.
U moet zowel uw hardware als uw software bijwerken om dit beveiligingsprobleem op te lossen. U moet ook toepasselijke firmware -updates (microcode) van de fabrikant van uw apparaat installeren voor een uitgebreidere beveiliging. We raden u aan uw apparaten up-to-date te houden door de maandelijks beveiligingsupdates te installeren.
In elke Windows 10 functie-update bouwen we de nieuwste beveiligingstechnologie diep in het besturingssysteem en bieden we diepgaande beveiligingsfuncties die voorkomen dat hele malwareklassen van invloed zijn op uw apparaat. Er worden tweemaal per jaar functie-updates uitgebracht. In elke maandelijkse kwaliteitsupdate voegen we een nieuwe beveiligingslaag toe die opkomende en veranderende trends in malware bijhoudt om up-to-date systemen veiliger te maken in het licht van veranderende en veranderende bedreigingen.
Microsoft heeft de AV-compatibiliteitscontrole voor Windows-beveiligingsupdates voor ondersteunde versies van Windows 10-, Windows 8.1- en Windows 7 SP1-apparaten via Windows Update opgeheven.
Aanbevelingen:
-
Zorg ervoor dat uw apparaten up-to-date zijn door de nieuwste beveiligingsupdates van Microsoft en uw hardwarefabrikant te hebben. Zie Windows Update: Veelgestelde vragen voor meer informatie over het up-to-date houden van uw apparaat.
-
Blijf verstandig voorzichtig wanneer u websites van onbekende oorsprong bezoekt en blijf niet op sites die u niet vertrouwt. Microsoft raadt alle klanten aan hun apparaten te beschermen door een ondersteund antivirusprogramma uit te voeren. Klanten kunnen ook profiteren van ingebouwde antivirusbescherming: Windows Defender voor Windows 10-apparaten of Microsoft Security Essentials voor apparaten met Windows 7. Deze oplossingen zijn compatibel in gevallen waarin klanten geen antivirussoftware kunnen installeren of uitvoeren.
Om nadelige gevolgen voor apparaten van klanten te voorkomen, zijn de Windows-beveiligingsupdates die in januari of februari zijn uitgebracht, niet aan alle klanten aangeboden. Zie het Microsoft Knowledge Base-artikel 4072699 voor meer informatie.
Intel heeft problemen gemeld die van invloed zijn op onlangs uitgebrachte microcode die is bedoeld om Spectre Variant 2 (CVE-2017-5715 – "Branch Target Injection") aan te pakken. Intel merkte met name op dat deze microcode kan leiden tot 'hoger dan verwacht opnieuw opstarten en ander onvoorspelbaar systeemgedrag' en ook dat situaties zoals deze kunnen leiden tot 'gegevensverlies of beschadiging'. Onze eigen ervaring is dat systeeminstabiliteit in sommige omstandigheden kan leiden tot gegevensverlies of beschadiging. Op 22 januari raadde Intel klanten aan om te stoppen met het implementeren van de huidige microcodeversie op betrokken processors terwijl ze aanvullende tests uitvoeren op de bijgewerkte oplossing. We begrijpen dat Intel de mogelijke impact van de huidige microcodeversie blijft onderzoeken en we raden klanten aan om hun richtlijnen voortdurend te bekijken om hun beslissingen te nemen.
Terwijl Intel nieuwe microcode test, bijwerkt en implementeert, maken we een out-of-band-update (OOB) beschikbaar, KB 4078130, die specifiek alleen de beperking voor CVE-2017-5715 – "Branch Target Injection" uitschakelt. Tijdens onze tests is vastgesteld dat deze update het beschreven gedrag verhindert. Zie de richtlijnen voor microcoderevisie van Intel voor de volledige lijst met apparaten. Deze update heeft betrekking op Windows 7 (SP1), Windows 8.1 en alle versies van Windows 10, voor client en server. Als u een getroffen apparaat gebruikt, kan deze update worden toegepast door deze te downloaden van de website microsoft updatecatalogus. Toepassing van deze nettolading schakelt specifiek alleen de beperking voor CVE-2017-5715 – "Branch Target Injection" uit.
Vanaf 25 januari zijn er geen bekende rapporten om aan te geven dat deze Spectre Variant 2 (CVE-2017-5715) is gebruikt om klanten aan te vallen. We raden Windows-klanten aan de beperking voor CVE-2017-5715 opnieuw in te schakelen wanneer Intel meldt dat dit onvoorspelbare systeemgedrag is opgelost voor uw apparaat.
Nee. Alleen beveiligingsupdates zijn niet cumulatief. Afhankelijk van de versie van het besturingssysteem dat u gebruikt, moet u alle uitgebrachte beveiligingsupdates installeren om te worden beschermd tegen deze beveiligingsproblemen. Als u bijvoorbeeld Windows 7 voor 32-bits systemen gebruikt op een getroffen Intel-CPU, moet u elke update alleen beveiligingsupdate installeren die vanaf januari 2018 begint. We raden u aan deze alleen beveiligingsupdates te installeren in de volgorde van release.
Opmerking In een eerdere versie van deze veelgestelde vragen is ten onrechte vermeld dat de update alleen beveiligingsupdate van februari de beveiligingspatches bevat die in januari zijn uitgebracht. In feite niet.
Nee. Beveiligingsupdate 4078130 was een specifieke oplossing om onvoorspelbaar systeemgedrag, prestatieproblemen en onverwachte herstarts na de installatie van microcode te voorkomen. Als u de beveiligingsupdates van februari toepast op Windows-clientbesturingssystemen, worden alle drie de risicobeperkingen ingeschakeld. Op Windows-serverbesturingssystemen moet u de risicobeperkingen nog steeds inschakelen nadat de juiste tests zijn uitgevoerd. Zie het Microsoft Knowledge Base-artikel 4072698 voor meer informatie.
AMD heeft onlangs aangekondigd dat ze zijn begonnen met het uitbrengen van microcode voor nieuwere CPU-platforms rond Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Raadpleeg de AMD Security Updates and AMD Whitepaper: Architecture Guidelines around Indirect Branch Control voor meer informatie. Deze zijn beschikbaar via het OEM-firmwarekanaal.
Intel heeft onlangs aangekondigd dat ze hun validaties hebben voltooid en begonnen met het vrijgeven van microcode voor nieuwere CPU-platforms. Microsoft stelt door Intel gevalideerde microcode-updates beschikbaar rond Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). KB 4093836 bevat specifieke Knowledge Base-artikelen per Windows-versie. Elke specifieke KB bevat de beschikbare Intel microcode-updates per CPU.
Microsoft stelt door Intel gevalideerde microcode-updates beschikbaar rond Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Klanten moeten Intel-microcode hebben geïnstalleerd op apparaten met een Windows 10-besturingssysteem voordat ze een upgrade uitvoeren naar de update van Windows 10 april 2018 (versie 1803) om de nieuwste Microcode-updates van Intel te downloaden via Windows Update.
De microcode-update is ook rechtstreeks beschikbaar vanuit de updatecatalogus als deze niet op het apparaat was geïnstalleerd voordat het systeem werd bijgewerkt. Intel-microcode is beschikbaar via Windows Update, WSUS of de Microsoft Update-catalogus. Zie KB 4100347 voor meer informatie en downloadinstructies.
Zie de volgende resources voor meer informatie:
Zie de secties 'Aanbevolen acties' en 'Veelgestelde vragen' in ADV180012 | Microsoft-richtlijnen voor speculatieve store-bypass.
Om de status van SSBD te controleren, is het Get-SpeculationControlSettings PowerShell-script bijgewerkt om de betrokken processors, de status van de updates van het SSBD-besturingssysteem en de status van de processormicrocode, indien van toepassing, te detecteren. Zie KB4074629 voor meer informatie en om het PowerShell-script te verkrijgen.
Op 13 juni 2018 werd een extra beveiligingsprobleem met speculatieve uitvoering van kanalen aan de zijkant aangekondigd, bekend als Lazy FP State Restore, en cve-2018-3665 toegewezen. Er zijn geen configuratieinstellingen (register) nodig voor Lazy Restore FP Restore.
Raadpleeg beveiligingsadvies: ADV180016 | voor meer informatie over dit beveiligingsprobleem en aanbevolen acties. Microsoft Guidance for Lazy FP State Restore (Microsoft Guidance for Lazy FP State Restore)
OpmerkingEr zijn geen configuratieinstellingen (register) nodig voor Lazy Restore FP Restore.
Bounds Check Bypass Store (BCBS) is bekendgemaakt op 10 juli 2018 en heeft CVE-2018-3693 toegewezen. We beschouwen BCBS als behoort tot dezelfde klasse beveiligingsproblemen als Bounds Check Bypass (variant 1). We zijn momenteel niet op de hoogte van exemplaren van BCBS in onze software, maar we blijven deze beveiligingsklasse onderzoeken en zullen samenwerken met partners in de branche om risicobeperkingen zo nodig vrij te geven. We blijven onderzoekers aanmoedigen om alle relevante bevindingen in te dienen bij het speculatieve kanaal voor uitvoering van Microsoft, inclusief alle exploiteerbare exemplaren van BCBS. Softwareontwikkelaars moeten de richtlijnen voor ontwikkelaars bekijken die zijn bijgewerkt voor BCBS op https://aka.ms/sescdevguide.
Op 14 augustus 2018 werd L1 Terminal Fault (L1TF) aangekondigd en meerdere CDE's toegewezen. Deze nieuwe speculatieve beveiligingsproblemen in het kanaal aan de uitvoeringszijde kunnen worden gebruikt om de inhoud van het geheugen over een vertrouwde grens te lezen en, indien misbruikt, kunnen leiden tot openbaarmaking van informatie. Er zijn meerdere vectoren waarmee een aanvaller de beveiligingsproblemen kan activeren, afhankelijk van de geconfigureerde omgeving. L1TF is van invloed op Intel® Core-processors® en Intel® Xeon-processors®.
Zie de volgende bronnen voor meer informatie over dit beveiligingsprobleem en een gedetailleerde weergave van getroffen scenario's, waaronder de aanpak van Microsoft om L1TF te beperken:
Microsoft Surface-klanten: Klanten die Microsoft Surface- en Surface Book-producten gebruiken, moeten de richtlijnen voor Windows Client volgen die worden beschreven in het beveiligingsadvies: ADV180018 | Microsoft-richtlijnen om de L1TF-variant te beperken. Zie ook Microsoft Knowledge Base-artikel 4073065 voor meer informatie over betrokken Surface-producten en de beschikbaarheid van de microcode-updates.
Microsoft Hololens-klanten: Microsoft HoloLens wordt niet beïnvloed door L1TF omdat er geen betrokken Intel-processor wordt gebruikt.
De stappen die nodig zijn om Hyper-Threading uit te schakelen, verschillen van OEM tot OEM, maar maken over het algemeen deel uit van de bios- of firmware-installatie- en configuratieprogramma's.
Klanten die gebruikmaken van 64-bits ARM-processors moeten contact opnemen met de OEM van het apparaat voor firmwareondersteuning, omdat arm64-besturingssysteembeveiligingen die cve-2017-5715 - branch-doelinjectie (Spectre, variant 2) beperken, de meest recente firmware-update van OEM's van apparaten vereisen om van kracht te worden.
We zijn ons niet bewust van een exemplaar van deze kwetsbaarheid voor het vrijgeven van informatie die van invloed is op onze cloudservice-infrastructuur.
Zodra we ons bewust werden van dit probleem, hebben we snel gewerkt om het op te lossen en een update uit te brengen. We geloven sterk in nauwe samenwerkingen met onderzoekers en branchepartners om klanten veiliger te maken en hebben pas op dinsdag 6 augustus details gepubliceerd, in overeenstemming met gecoördineerde procedures voor openbaarmaking van beveiligingsproblemen.
Naslagwerken
Microsoft verstrekt contactgegevens van derden om u te helpen aanvullende informatie over dit onderwerp te vinden. Deze contactgegevens kunnen zonder voorafgaande kennisgeving worden gewijzigd. Microsoft garandeert de juistheid van contactgegevens van derden niet.
