KB4073757: Protejați dispozitivele Windows împotriva vulnerabilităților de canal lateral bazate pe siliciu bazate pe microarchitectural și cu execuție speculativă

Modificare dată	Modificare descriere
9 august 2023	S-a eliminat conținutul despre CVE-2022-23816, deoarece numărul CVE nu este utilizat S-a eliminat un subiect dublat intitulat "Actualizări de microcod Intel" în secțiunea "Pașii pentru a contribui la protejarea dispozitivelor Windows"
9 aprilie 2024	Adăugat CVE-2022-0001 | Injectare istoric ramificație Intel

Poate fi necesar să actualizați atât firmware-ul (microcodul), cât și software-ul pentru a trata aceste vulnerabilități. Consultați Recomandările Microsoft de securitate pentru acțiunile recomandate. Printre acestea se numără actualizările de firmware (microcod) aplicabile de la producătorii de dispozitive și, în unele cazuri, actualizările la software-ul antivirus. Vă încurajăm să păstrați dispozitivele actualizate, instalând actualizările de securitate lunare. 

Pentru a primi toate protecțiile disponibile, urmați acești pași pentru a obține cele mai recente actualizări, atât pentru software, cât și pentru hardware.

1. Păstrați-vă dispozitivul Windows actualizat , activând actualizările automate.

2. Verificați dacă ați instalat cea mai recentă actualizare de securitate a sistemului de operare Windows de la Microsoft. Dacă actualizările automate sunt activate, actualizările ar trebui să vă fie livrate automat. Totuși, ar trebui să verificați în continuare dacă sunt instalate. Pentru instrucțiuni, consultați Windows Update: Întrebări frecvente

3. Instalați actualizări de firmware disponibile (microcod) de la producătorul dispozitivului. Toți clienții vor trebui să consulte producătorul dispozitivului pentru a descărca și a instala actualizarea hardware specifică dispozitivului. Consultați secțiunea "Resurse suplimentare" pentru o listă de site-uri web ale producătorului dispozitivului.

   Notă: Clienții ar trebui să instaleze cele mai recente actualizări de securitate ale sistemului de operare Windows de la Microsoft pentru a profita de protecțiile disponibile. Mai întâi ar trebui să fie instalate actualizările software-ului antivirus. Ar trebui să urmeze actualizările pentru sistemul de operare și firmware. Vă încurajăm să păstrați dispozitivele actualizate, instalând actualizările de securitate lunare. 

Printre cipurile afectate se numără cele produse de Intel, AMD și ARM. Acest lucru înseamnă că toate dispozitivele care rulează sisteme de operare Windows sunt potențial vulnerabile. Printre acestea se numără desktopuri, laptopuri, servere cloud și smartphone-uri. Dispozitivele care rulează alte sisteme de operare, cum ar fi Android, Chrome, iOS și macOS, sunt afectate, de asemenea. Recomandăm clienților care rulează aceste sisteme de operare să solicite îndrumări de la acești furnizori.

La momentul publicării, nu primisem informații care să indice că aceste vulnerabilități au fost utilizate pentru a ataca clienții.

Începând din ianuarie 2018, Microsoft a lansat actualizări pentru sistemele de operare Windows și browserele web Internet Explorer și Edge, pentru a reduce aceste vulnerabilități și a contribui la protejarea clienților. De asemenea, am lansat actualizări pentru a securiza serviciile noastre cloud.  Continuăm să lucrăm îndeaproape cu partenerii din industrie, inclusiv cu producătorii de cipuri, producătorii OEM de hardware și distribuitorii de aplicații, pentru a-i proteja pe clienți împotriva acestei clase de vulnerabilitate. 

Vă încurajăm să instalați întotdeauna actualizările lunare pentru a vă menține dispozitivele actualizate și securizate. 

Vom actualiza această documentație atunci când vor fi disponibile noi atenuări și vă recomandăm să reveniți aici cu regularitate. 

Actualizările sistemului de operare Windows din iulie 2019

Pe 6 august 2019, Intel a dezvăluit detalii despre vulnerabilitatea de securitate CVE-2019-1125 | Vulnerabilitate dezvăluire informații kernel Windows. Actualizările de securitate pentru această vulnerabilitate au fost lansate ca parte a actualizării lunare din iulie, lansată la 9 iulie 2019.

Microsoft a lansat o actualizare de securitate pentru sistemul de operare Windows pe 9 iulie 2019, pentru a ajuta la atenuarea acestei probleme. Am ținut să documentăm public această atenuare până la dezvăluirea coordonată a industriei, marți, 6 august 2019.

Clienții care au Windows Update activat și au aplicat actualizările de securitate lansate pe 9 iulie 2019 sunt protejați automat. Rețineți că această vulnerabilitate nu necesită o actualizare de microcod de la producătorul dispozitivului (OEM).

Actualizările sistemului de operare Windows din mai 2019

Pe 14 mai 2019, Intel a publicat informații despre o nouă subclasă de vulnerabilități de canal lateral cu execuție speculativă, cunoscută drept Eșantionarea datelor microarchitecturală și au primit următoarele CV-uri:

• CVE-2018-11091 – "Eșantionarea datelor microarchitectural de memorie nechecheizabilă (MDSUM)"

• CVE-2018-12126 – "Eșantionare date tampon depozit microarchitectural (MSBDS)"

• CVE-2018-12127 – "Eșantionare date tampon umplere microarchitecturală (MFBDS)"

• CVE-2018-12130 – "Eșantionarea datelor portului de încărcare microarchitectural (MLPDS)"

Pentru mai multe informații despre această problemă, consultați următoarele recomandări de securitate și utilizați instrucțiuni bazate pe scenarii prezentate în instrucțiunile Windows pentru articolele Clienți și Server pentru a determina acțiunile necesare pentru atenuarea amenințării:

• 190013 ADV | Îndrumări Microsoft pentru atenuarea vulnerabilităților de eșantionare a datelor microarchitectural

• KB 4073119 | Îndrumări pentru clientul Windows IT Pro, pentru a vă proteja împotriva vulnerabilităților de canal lateral cu execuție speculativă

• KB 4457951 | Îndrumări pentru Windows Server, pentru a vă proteja împotriva vulnerabilităților de canal lateral cu execuție speculativă

Microsoft a lansat protecții împotriva unei subclase noi de vulnerabilități de canal lateral cu execuție speculativă, cunoscute drept Eșantionare microarchitecturală a datelor pentru versiunile de Windows pe 64 de biți (x64) (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Utilizați setările de registry așa cum este descris în articolele Client Windows (KB4073119) și Windows Server (KB4457951 ). Aceste setări de registry sunt activate în mod implicit pentru edițiile sistemului de operare Client Windows și pentru edițiile sistemului de operare Windows Server.

Vă recomandăm să instalați mai întâi toate actualizările cele mai recente de la Windows Update, înainte de a instala toate actualizările de microcod.

Pentru mai multe informații despre această problemă și acțiunile recomandate, consultați următoarea recomandare de securitate: 

• 190013 ADV | Îndrumări Microsoft pentru atenuarea vulnerabilităților de eșantionare a datelor microarchitectural

Intel a lansat o actualizare de microcod pentru platformele cpu recente, pentru a ajuta la atenuarea CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. Windows KB 4093836 din 14 mai 2019 listează articole specifice din Baza de cunoștințe în funcție de versiunea sistemului de operare Windows.  Articolul conține, de asemenea, linkuri către actualizările disponibile ale microcodului Intel după CPU. Aceste actualizări sunt disponibile prin catalogul Microsoft.

Notă: vă recomandăm să instalați toate actualizările cele mai recente de la Windows Update înainte de a instala actualizări de microcod.

Suntem bucuroși să anunțăm că Retpoline este activată în mod implicit pe dispozitive Windows 10, versiunea 1809 (pentru client și server) dacă este activat Spectre varianta 2 (CVE-2017-5715). Prin activarea Retpoline pe cea mai recentă versiune de Windows 10, prin actualizarea din 14 mai 2019 (KB 4494441), anticipăm performanța îmbunătățită, în special pe procesoarele mai vechi.

Clienții trebuie să asigure că protecțiile anterioare ale sistemului de operare împotriva vulnerabilității Spectre varianta 2 sunt activate utilizând setările de registry descrise în articolele Clientul Windows și Windows Server . (Aceste setări de registry sunt activate implicit pentru edițiile sistemului de operare Client Windows, dar sunt dezactivate implicit pentru edițiile sistemului de operare Windows Server). Pentru mai multe informații despre "Retpoline", consultați Atenuarea Spectre varianta 2 cu Retpoline în Windows.

Actualizările sistemului de operare Windows din noiembrie 2018

Microsoft a lansat protecții ale sistemului de operare pentru Ocolirea Store speculativă (CVE-2018-3639) pentru procesoare AMD (CPU).

Microsoft a lansat protecții suplimentare ale sistemului de operare pentru clienții care utilizează procesoare ARM pe 64 de biți. Consultați producătorul OEM al dispozitivului pentru asistență firmware, deoarece protecțiile sistemului de operare ARM64 care atenuează CVE-2018-3639, Ocolire Store speculativă, necesită cea mai recentă actualizare de firmware de la OEM-ul dispozitivului dvs.

Actualizările sistemului de operare Windows din septembrie 2018

Pe 11 septembrie, 2018, Microsoft a lansat Windows Server 2008 SP2 Setul lunar 4458010 și 4457984 doar de securitate pentru Windows Server 2008, care oferă protecții împotriva unei noi vulnerabilități de canal lateral cu execuție speculativă, cunoscută drept L1 Terminal Fault (L1TF) care afectează procesoarele Intel® Core® și Intel® Xeon® (CVE-2018-3620 și CVE-2018-3646). 

Această versiune completează protecțiile suplimentare pentru toate versiunile de sistem Windows acceptate, prin Windows Update. Pentru mai multe informații și o listă a produselor afectate, consultați ADV180018 | Îndrumări Microsoft pentru a atenua varianta L1TF.

Notă: Windows Server 2008 SP2 urmează acum modelul de set de servicii Windows standard. Pentru mai multe informații despre aceste modificări, consultați blogul nostru Despre modificările de servicii Windows Server 2008 SP2. Clienții care rulează Windows Server 2008 ar trebui să instaleze fie 4458010, fie 4457984 în plus față de actualizarea de securitate 4341832, care a fost lansată pe 14 august 2018. Clienții ar trebui, de asemenea, să asigure protecțiile anterioare ale sistemului de operare împotriva vulnerabilităților Spectre varianta 2 și Meltdown, utilizând setările de registry evidențiate în articolele KB cu instrucțiuni despre Clientul Windows și Windows Server . Aceste setări de registry sunt activate implicit pentru edițiile sistemului de operare Client Windows, dar sunt dezactivate implicit pentru edițiile sistemului de operare Windows Server.

Microsoft a lansat protecții suplimentare ale sistemului de operare pentru clienții care utilizează procesoare ARM pe 64 de biți. Consultați producătorul OEM al dispozitivului pentru asistență firmware, deoarece protecțiile sistemului de operare ARM64 care atenuează CVE-2017-5715 - injectarea țintă pentru ramură (Spectre, varianta 2) necesită cea mai recentă actualizare de firmware de la producătorii OEM ai dispozitivului pentru a avea efect.

Actualizările sistemului de operare Windows din august 2018

La 14 august 2018, a fost anunțatĂ L1 Terminal Fault (L1TF) și atribuite mai multe CV-uri. Aceste noi vulnerabilități de canal lateral cu execuție speculativă pot fi utilizate pentru a citi conținutul memoriei dintr-o limită de încredere și, dacă sunt exploatate, pot duce la dezvăluirea informațiilor. Există mai mulți vectori prin care un atacator ar putea declanșa vulnerabilitățile în funcție de mediul configurat. L1TF afectează procesoarele Intel® Core® și procesoarele Intel® Xeon®.

Pentru mai multe informații despre L1TF și o vizualizare detaliată a scenariilor afectate, inclusiv abordarea Microsoft privind atenuarea L1TF, consultați următoarele resurse:

• ADV180018 | Îndrumări Microsoft pentru atenuarea variantei L1TF

• Blog de cercetare de securitate consultativă

• Instrucțiuni server pentru eroare terminal L1

Actualizările sistemului de operare Windows din iulie 2018

Suntem încântați să anunțăm că Microsoft a finalizat lansarea de protecții suplimentare pentru toate versiunile de sistem Windows acceptate, prin Windows Update pentru următoarele vulnerabilități:

• Spectre varianta 2 pentru procesoare AMD

• Ocolire Store speculativă pentru procesoare Intel

Pe 13 iunie 2018, a fost anunțată și atribuită CVE-2018-3665 o vulnerabilitate suplimentară care implică execuția speculativă de pe canalul lateral, cunoscută drept Restaurare stare leneș FP. Nu există setări de configurare (registry) necesare pentru Restaurare FP lazy.

Pentru mai multe informații despre această vulnerabilitate, produsele afectate și acțiunile recomandate, consultați următoarea recomandare de securitate:

• ADV180016 | Instrucțiuni Microsoft pentru restaurarea stării FP leneș

Pe 12 iunie, Microsoft a anunțat asistența Windows pentru dezactivarea ocolirii Store speculative (SSBD) în procesoarele Intel. Actualizările necesită actualizări de firmware (microcod) și de registry corespunzătoare pentru funcționalitate. Pentru informații despre actualizări și pașii de aplicat pentru a activa SSBD, consultați secțiunea "Acțiuni recomandate" din ADV180012 | Instrucțiuni Microsoft pentru ocolirea Store speculativă.

Actualizările sistemului de operare Windows din mai 2018

În ianuarie 2018, Microsoft a lansat informații despre o clasă de vulnerabilități hardware nou descoperită (cunoscută ca Spectre și Meltdown), care implică canalele parte cu execuție speculativă care afectează AMD, ARM și CPU Intel în diferite grade. Pe 21 mai 2018 Google Project Zero (GPZ), Microsoft și Intel au dezvăluit două vulnerabilități noi de cipuri care sunt legate de problemele Spectre și Meltdown, cunoscute sub numele de Ocolire Store speculativă (SSB) și Registry Rogue System Read.

Riscul clienților din ambele divulgări este scăzut.

Pentru mai multe informații despre aceste vulnerabilități, consultați următoarele resurse:

• Sfatul Microsoft de securitate pentru ocolirea Store speculativ: MSRC ADV180012 și CVE-2018-3639

• Sfatul Microsoft de securitate pentru sistemul Rogue Register Citiți: MSRC ADV180013și CVE-2018-3640

• Security Research and Defense: Analiza și atenuarea ocolirii store speculative (CVE-2018-3639)

Se aplică la: Windows 10, versiunea 1607, Windows Server 2016, Windows Server 2016 (instalare Server Core) și Windows Server, versiunea 1709 (instalare Server Core)

Am oferit asistență pentru a controla utilizarea Indirect Branch Prediction Barrier (IBPB) în unele procesoare (CPU-uri) AMD, pentru a atenua CVE-2017-5715, Spectre varianta 2 atunci când comutați de la contextul de utilizator la contextul kernel. (Pentru mai multe informații, consultați Instrucțiuni privind arhitectura AMD în jurul Indirect Branch Control și AMD Security Actualizări).

Clienții care rulează Windows 10, versiunea 1607, Windows Server 2016, Windows Server 2016 (instalare Server Core) și Windows Server, versiunea 1709 (instalare Server Core) trebuie să instaleze actualizarea de securitate 4103723 pentru atenuări suplimentare pentru procesoarele AMD pentru CVE-2017-5715, Injectare țintă pentru ramură. Această actualizare este disponibilă și prin Windows Update.

Urmați instrucțiunile prezentate în KB 4073119 pentru îndrumări legate de clientul Windows (IT Pro) și kb 4072698 pentru instrucțiuni Windows Server pentru a permite utilizarea IBPB în unele procesoare (CPU-uri) AMD, pentru atenuarea Spectre varianta 2 atunci când comutați de la contextul de utilizator la contextul kernelului.

Microsoft face disponibile actualizări de microcod Intel validate în jurul Spectre varianta 2 (CVE-2017-5715 "Injectare țintă pentru ramură"). Pentru a obține cele mai recente actualizări de microcod Intel prin Windows Update, clienții trebuie să aibă instalat microcodul Intel pe dispozitivele care rulează un sistem de operare Windows 10 înainte de a face upgrade la actualizarea din aprilie 2018 a Windows 10 (versiunea 1803).

Actualizarea de microcod mai este disponibilă și direct din Catalog dacă nu a fost instalată pe dispozitiv înainte de upgrade-ul sistemului de operare. Microcodul Intel este disponibil prin Windows Update, WSUS sau Catalogul Microsoft Update. Pentru mai multe informații și instrucțiuni de descărcare, consultați KB 4100347.

Vom oferi actualizări de microcod suplimentare de la Intel pentru sistemul de operare Windows pe măsură ce devin disponibile pentru Microsoft.

Se aplică la: Windows 10, versiunea 1709

Am oferit asistență pentru a controla utilizarea Indirect Branch Prediction Barrier (IBPB) în unele procesoare (CPU-uri) AMD, pentru a atenua CVE-2017-5715, Spectre varianta 2 atunci când comutați de la contextul de utilizator la contextul kernel. (Pentru mai multe informații, consultați Instrucțiuni privind arhitectura AMD în jurul Indirect Branch Control și AMD Security Actualizări).

Urmați instrucțiunile prezentate în KB 4073119 pentru instrucțiuni despre clientul Windows (IT Pro) pentru a permite utilizarea IBPB în unele procesoare AMD (CPU-uri) pentru atenuarea Spectre varianta 2 atunci când comutați de la contextul de utilizator la contextul kernel.

Microsoft face disponibile actualizări de microcod Intel validate în jurul Spectre varianta 2 (CVE-2017-5715 "Injectare țintă ramură"). KB4093836 listează anumite articole din Baza de cunoștințe în funcție de versiunea de Windows. Fiecare kb specific conține cele mai recente actualizări de microcod Intel disponibile în funcție de CPU.

Vom oferi actualizări de microcod suplimentare de la Intel pentru sistemul de operare Windows pe măsură ce devin disponibile pentru Microsoft. 

Martie 2018 și actualizări mai recente ale sistemului de operare Windows

23 martie, TechNet Security Research & Apărare: KVA Shadow: Atenuarea Meltdown pe Windows

14 martie, Centrul tehnic de securitate: Termenii programului de recompense pentru canalul de recompense cu execuție speculativă

13 martie, blog: martie 2018 Securitate Windows Update - Extinderea eforturilor noastre de a proteja clienții

1 martie, blog: Actualizarea actualizărilor de securitate Spectre și Meltdown pentru dispozitivele Windows

Începând din martie 2018, Microsoft a lansat actualizări de securitate pentru a furniza atenuări pentru dispozitivele care rulează următoarele sisteme de operare Windows bazate pe x86. Clienții ar trebui să instaleze cele mai recente actualizări de securitate ale sistemului de operare Windows pentru a profita de protecțiile disponibile. Ne străduim să oferim protecții pentru alte versiuni de Windows acceptate, dar nu avem un program de lansare în acest moment. Reveniți aici pentru actualizări. Pentru mai multe informații, consultați articolul asociat din Baza de cunoștințe pentru detalii tehnice și secțiunea "Întrebări frecvente".

Actualizare produs lansată	Stare	Data lansării	Canal de lansare	KB
Windows 8.1 & Windows Server 2012 R2 - Actualizare doar de securitate	Lansat	13-Mar	WSUS, Catalog,	KB4088879
Windows 7 SP1 & Windows Server 2008 R2 SP1 - Actualizare doar de securitate	Lansat	13-Mar	WSUS, Catalog	KB4088878
Windows Server 2012 - Actualizare doar de securitate Windows 8 Embedded Standard Edition - Actualizare doar de securitate	Lansat	13-Mar	WSUS, Catalog	KB4088877
Windows 8.1 & Windows Server 2012 R2 - setul lunar	Lansat	13-Mar	WU, WSUS, Catalog	KB4088876
Windows 7 SP1 & Windows Server 2008 R2 SP1 - Setul lunar	Lansat	13-Mar	WU, WSUS, Catalog	KB4088875
Windows Server 2012 - Setul lunar Windows 8 Embedded Standard Edition - setul lunar	Lansat	13-Mar	WU, WSUS, Catalog	KB4088877
Windows Server 2008 SP2	Lansat	13-Mar	WU, WSUS, Catalog	KB4090450

Începând din martie 2018, Microsoft a lansat actualizări de securitate pentru a furniza atenuări pentru dispozitivele care rulează următoarele sisteme de operare Windows bazate pe x64. Clienții ar trebui să instaleze cele mai recente actualizări de securitate ale sistemului de operare Windows pentru a profita de protecțiile disponibile. Ne străduim să oferim protecții pentru alte versiuni de Windows acceptate, dar nu avem un program de lansare în acest moment. Reveniți aici pentru actualizări. Pentru mai multe informații, consultați articolul bază de cunoștințe pentru detalii tehnice și secțiunea "Întrebări frecvente".

Actualizare produs lansată	Stare	Data lansării	Canal de lansare	KB
Windows Server 2012 - Actualizare doar de securitate Windows 8 Embedded Standard Edition - Actualizare doar de securitate	Lansat	13-Mar	WSUS, Catalog	KB4088877
Windows Server 2012 - Setul lunar Windows 8 Embedded Standard Edition - setul lunar	Lansat	13-Mar	WU, WSUS, Catalog	KB4088877
Windows Server 2008 SP2	Lansat	13-Mar	WU, WSUS, Catalog	KB4090450

Această actualizare tratează o vulnerabilitate de sporire a privilegiilor din kernelul Windows în versiunea de Windows pe 64 de biți (x64). Această vulnerabilitate este documentată în CVE-2018-1038. Utilizatorii trebuie să aplice această actualizare pentru a fi complet protejați împotriva acestei vulnerabilități dacă computerele lor au fost actualizate la sau după ianuarie 2018, aplicând oricare dintre actualizările listate în următorul articol din Baza de cunoștințe:

Actualizare kernel Windows pentru CVE-2018-1038

Această actualizare de securitate rezolvă mai multe vulnerabilități raportate în Internet Explorer. Pentru a afla mai multe despre aceste vulnerabilități, consultați Vulnerabilitățile și expunerile comune Microsoft. 

Actualizare produs lansată	Stare	Data lansării	Canal de lansare	KB
Internet Explorer 10 - Actualizare cumulativă pentru Windows 8 Embedded Standard Edition	Lansat	13-Mar	WU, WSUS, Catalog	KB4089187

Actualizările sistemului de operare Windows din februarie 2018

Blog: Windows Analytics vă ajută acum să evaluați protecțiile împotriva Spectre și Meltdown

Următoarele actualizări de securitate oferă protecții suplimentare pentru dispozitivele care rulează sisteme de operare Windows pe 32 de biți (x86). Microsoft le recomandă clienților să instaleze actualizarea imediat ce este disponibilă. Continuăm să lucrăm pentru a oferi protecții pentru alte versiuni de Windows acceptate, dar nu avem un program de lansare în acest moment. Reveniți aici pentru actualizări. 

Notă Windows 10 actualizările de securitate lunare sunt cumulative de la o lună la alta și vor fi descărcate și instalate automat de pe Windows Update. Dacă ați instalat actualizări mai vechi, doar porțiunile noi vor fi descărcate și instalate pe dispozitivul dvs. Pentru mai multe informații, consultați articolul asociat din Baza de cunoștințe pentru detalii tehnice și secțiunea "Întrebări frecvente".

Actualizare produs lansată	Stare	Data lansării	Canal de lansare	KB
Windows 10 - Versiunea 1709 / Windows Server 2016 (1709) / IoT Core - Actualizare de calitate	Lansat	31 ianuarie	WU, Catalog	KB4058258
Windows Server 2016 (1709) - Container de server	Lansat	13-Feb	Hubul Docker	KB4074588
Windows 10 - Versiunea 1703 / IoT Core - actualizare de calitate	Lansat	13-Feb	WU, WSUS, Catalog	KB4074592
Windows 10 - Versiunea 1607 / Windows Server 2016 / IoT Core - Actualizare de calitate	Lansat	13-Feb	WU, WSUS, Catalog	KB4074590
Windows 10 HoloLens - sistem de operare și Actualizări de firmware	Lansat	13-Feb	WU, Catalog	KB4074590
Windows Server 2016 (1607) - imagini container	Lansat	13-Feb	Hubul Docker	KB4074590
Windows 10 - Versiunea 1511 / IoT Core - actualizare de calitate	Lansat	13-Feb	WU, WSUS, Catalog	KB4074591
Windows 10 - Versiunea RTM - Actualizare de calitate	Lansat	13-Feb	WU, WSUS, Catalog	KB4074596

Actualizările sistemului de operare Windows din ianuarie 2018

Blog: Înțelegerea impactului asupra performanței atenuării Spectre și Meltdown pe sistemele Windows

Începând din ianuarie 2018, Microsoft a lansat actualizări de securitate pentru a furniza atenuări pentru dispozitivele care rulează următoarele sisteme de operare Windows bazate pe x64. Clienții ar trebui să instaleze cele mai recente actualizări de securitate ale sistemului de operare Windows pentru a profita de protecțiile disponibile. Ne străduim să oferim protecții pentru alte versiuni de Windows acceptate, dar nu avem un program de lansare în acest moment. Reveniți aici pentru actualizări. Pentru mai multe informații, consultați articolul asociat din Baza de cunoștințe pentru detalii tehnice și secțiunea "Întrebări frecvente".

Actualizare produs lansată	Stare	Data lansării	Canal de lansare	KB
Windows 10 - Versiunea 1709 / Windows Server 2016 (1709) / IoT Core - Actualizare de calitate	Lansat	3 ianuarie	WU, WSUS, Catalog, Galeria de imagini Azure	KB4056892
Windows Server 2016 (1709) - Container de server	Lansat	5 ianuarie	Hubul Docker	KB4056892
Windows 10 - Versiunea 1703 / IoT Core - actualizare de calitate	Lansat	3 ianuarie	WU, WSUS, Catalog	KB4056891
Windows 10 - Versiunea 1607 / Windows Server 2016 / IoT Core - Actualizare de calitate	Lansat	3 ianuarie	WU, WSUS, Catalog	KB4056890
Windows Server 2016 (1607) - imagini container	Lansat	4 ianuarie	Hubul Docker	KB4056890
Windows 10 - Versiunea 1511 / IoT Core - actualizare de calitate	Lansat	3 ianuarie	WU, WSUS, Catalog	KB4056888
Windows 10 - Versiunea RTM - Actualizare de calitate	Lansat	3 ianuarie	WU, WSUS, Catalog	KB4056893
Windows 10 Mobile (versiunea sistemului de operare 15254.192) - ARM	Lansat	5 ianuarie	WU, Catalog	KB4073117
Windows 10 Mobile (versiunea sistemului de operare 15063.850)	Lansat	5 ianuarie	WU, Catalog	KB4056891
Windows 10 Mobile (versiunea sistemului de operare 14393.2007)	Lansat	5 ianuarie	WU, Catalog	KB4056890
Windows 10 HoloLens	Lansat	5 ianuarie	WU, Catalog	KB4056890
Windows 8.1 / Windows Server 2012 R2 - Actualizare doar de securitate	Lansat	3 ianuarie	WSUS, Catalog	KB4056898
Windows Embedded 8.1 Industry Enterprise	Lansat	3 ianuarie	WSUS, Catalog	KB4056898
Windows Embedded 8.1 Industry Pro	Lansat	3 ianuarie	WSUS, Catalog	KB4056898
Windows Embedded 8.1 Pro	Lansat	3 ianuarie	WSUS, Catalog	KB4056898
Windows 8.1 / Windows Server 2012 R2, Setul lunar	Lansat	8 ianuarie	WU, WSUS, Catalog	KB4056895
Windows Embedded 8.1 Industry Enterprise	Lansat	8 ianuarie	WU, WSUS, Catalog	KB4056895
Windows Embedded 8.1 Industry Pro	Lansat	8 ianuarie	WU, WSUS, Catalog	KB4056895
Windows Embedded 8.1 Pro	Lansat	8 ianuarie	WU, WSUS, Catalog	KB4056895
Windows Server 2012, numai pentru securitate	Lansat		WSUS, Catalog
Windows Server 2008 SP2	Lansat		WU, WSUS, Catalog
Windows Server 2012, Setul lunar	Lansat		WU, WSUS, Catalog
Windows Embedded 8 Standard	Lansat		WU, WSUS, Catalog
Windows 7 SP1 / Windows Server 2008 R2 SP1 - Actualizare doar de securitate	Lansat	3 ianuarie	WSUS, Catalog	KB4056897
Windows Embedded Standard 7	Lansat	3 ianuarie	WSUS, Catalog	KB4056897
Windows Embedded POSReady 7	Lansat	3 ianuarie	WSUS, Catalog	KB4056897
Windows Thin PC	Lansat	3 ianuarie	WSUS, Catalog	KB4056897
Windows 7 SP1 / Windows Server 2008 R2 SP1, Setul lunar	Lansat	4 ianuarie	WU, WSUS, Catalog	KB4056894
Windows Embedded Standard 7	Lansat	4 ianuarie	WU, WSUS, Catalog	KB4056894
Windows Embedded POSReady 7	Lansat	4 ianuarie	WU, WSUS, Catalog	KB4056894
Windows Thin PC	Lansat	4 ianuarie	WU, WSUS, Catalog	KB4056894
Internet Explorer 11 - Actualizare cumulativă pentru Windows 7 SP1 și Windows 8.1	Lansat	3 ianuarie	WU, WSUS, Catalog	KB4056568

Pe 9 aprilie 2024 am publicat CVE-2022-0001 | Injectare istoric ramificație Intel care descrie injectarea istoricului de ramură (BHI), care este o formă specifică de ITO intra-mode. Această vulnerabilitate apare atunci când un atacator poate manipula istoricul ramurilor înainte de trecerea de la utilizator la modul de supervizare (sau de la VMX non-root/guest la modul rădăcină). Această manipulare poate determina un predictor de ramură indirectă să selecteze o anumită intrare de predictor pentru o ramură indirectă, iar un gadget de dezvăluire de la ținta estimată se va executa în mod tranzitoriu. Acest lucru poate fi posibil, deoarece istoricul relevant al ramurilor poate conține ramuri luate în contexte de securitate anterioare și, în special, alte moduri de predicție.

Urmați instrucțiunile prezentate în KB4073119 pentru îndrumări legate de clientul Windows (IT Pro) și KB4072698 pentru îndrumări despre Windows Server, pentru a atenua vulnerabilitățile descrise în CVE-2022-0001 | Injectare istoric ramificație Intel.

Sfatul Microsoft de securitate pentru eroare terminal L1 (L1TF): ADV180018 MSRC, CVE-2018-3615, CVE-2018-3620 și CVE-2018-3646

Security Research and Defense: Analiza și atenuarea ocolirii store speculative (CVE-2018-3639)

Sfatul Microsoft de securitate pentru ocolirea Store speculativ: MSRC ADV180012 și CVE-2018-3639

Sfatul Microsoft de securitate pentru Sistemul Rogue Înregistrați-vă Citiți | Ghid de actualizare de securitate pentru Surface: MSRC ADV180013și CVE-2018-3640

Security Research and Defense: Analiza și atenuarea ocolirii store speculative (CVE-2018-3639)

TechNet Security Research & Defense: KVA Shadow: Atenuarea Meltdown pe Windows

Centrul tehnic de securitate: Termenii programului de recompense pentru canalul de recompense cu execuție speculativă

Blogul Experiența Microsoft: Actualizarea actualizărilor de securitate Spectre și Meltdown pentru dispozitivele Windows

Blogul Windows pentru Business: Windows Analytics vă ajută acum să evaluați protecțiile Spectre și Meltdown

Blogul Microsoft Secure: Înțelegerea impactului asupra performanței atenuării Spectre și Meltdown pe sistemele Windows

Blogul dezvoltatorilor Edge: Atenuarea atacurilor de canal lateral cu execuție speculativă în Microsoft Edge și Internet Explorer

Blogul Azure: Securizarea clienților Azure de vulnerabilitatea CPU

SCCM îndrumări: Instrucțiuni suplimentare pentru a atenua vulnerabilitățile de canal lateral cu execuție speculativă

Recomandări Microsoft:

• ADV180002 | Instrucțiuni pentru a atenua vulnerabilitățile de canal lateral cu execuție speculativă

• ADV180012 | Instrucțiuni Microsoft pentru ocolirea Store speculativă

• ADV180013 | Instrucțiuni Microsoft pentru Înregistrare sistem Rogue Citite

• ADV180016 | Instrucțiuni Microsoft pentru restaurarea stării FP leneș

• ADV180018 | Îndrumări Microsoft pentru atenuarea variantei L1TF

Intel: Sfat de securitate

ARM: Sfat de securitate

AMD: Sfat de securitate

NVIDIA: Sfat de securitate

Îndrumări pentru consumatori: Protejarea dispozitivului împotriva vulnerabilităților de securitate legate de cipuri

Instrucțiuni antivirus: Actualizările de securitate Windows lansate la 3 ianuarie 2018 și software-ul antivirus

Instrucțiuni pentru blocul de actualizări de securitate pentru sistemul de operare Windows AMD: KB4073707: Blocul de actualizare de securitate al sistemului de operare Windows pentru unele dispozitive bazate pe AMD

Actualizare pentru dezactivarea atenuării împotriva Spectre, varianta 2: KB4078130: Intel a identificat probleme de repornire cu microcodul pe unele procesoare mai vechi 

Îndrumări pentru Surface: Îndrumări pentru Surface, pentru a vă proteja împotriva vulnerabilităților de canal lateral cu execuție speculativă

Verificați starea atenuării canalului lateral cu execuție speculativă: Înțelegerea Get-SpeculationControlSettings ieșirea scriptului PowerShell

Îndrumări pentru profesioniști IT: Îndrumări pentru clienții Windows pentru profesioniști IT, pentru a vă proteja împotriva vulnerabilităților de canal lateral cu execuție speculativă

Îndrumări pentru server: Îndrumări pentru Windows Server, pentru a vă proteja împotriva vulnerabilităților de canal lateral cu execuție speculativă

Instrucțiuni pentru server pentru eroare terminal L1: instrucțiuni Windows Server pentru a vă proteja împotriva erorii terminal L1

Îndrumări pentru dezvoltatori: Îndrumări pentru dezvoltatori pentru ocolirea Store speculativă

Îndrumări pentru Server Hyper-V

• Controale de resurse pentru mașina virtuală

• Gestionare resurse CPU gazdă Hyper-V

Azure KB: KB4073235: Microsoft Cloud Protections împotriva vulnerabilităților de executare Side-Channel speculative

Îndrumări pentru Azure Stack: KB4073418: Îndrumări pentru Azure Stack, pentru a vă proteja împotriva vulnerabilităților de canal lateral cu execuție speculativă

Fiabilitate Azure: Portalul de fiabilitate Azure

instrucțiuni SQL Server: KB4073225: SQL Server Îndrumări pentru a vă proteja împotriva vulnerabilităților de canal lateral cu execuție speculativă

Linkuri către producătorii de dispozitive OEM și server pentru actualizări pentru a vă proteja împotriva vulnerabilităților Spectre și Meltdown

Pentru a contribui la rezolvarea acestor vulnerabilități, trebuie să actualizați atât hardware-ul, cât și software-ul. Utilizați următoarele linkuri pentru a consulta producătorul dispozitivului pentru actualizări de firmware (microcod) aplicabile.

Utilizați următoarele linkuri pentru a consulta producătorul dispozitivului pentru actualizări de firmware (microcod). Va trebui să instalați atât actualizările sistemului de operare, cât și actualizările de firmware (microcod) pentru toate protecțiile disponibile.

Producători de dispozitive OEM	Link la disponibilitatea microcodului
Acer	Vulnerabilitățile de securitate Meltdown și Spectre
Asus	Asus Update privind executarea speculativă și Indirect Branch Prediction Side Channel Analysis Method
Dell	Vulnerabilități Meltdown și Spectre
Epson	Vulnerabilități CPU (atacuri de canal lateral)
Fujitsu	Hardware-ul CPU vulnerabil la atacuri pe partea de canal (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HP	COMUNICARE DE ASISTENȚĂ - BULETIN DE SECURITATE
Lenovo	Citirea memoriei privilegiate cu un canal lateral
LG	Obțineți Ajutor pentru produse & asistență
NEC	Privind răspunsul la vulnerabilitatea procesorului (meltdown, spectrul) în produsele noastre
Panasonic	Informații de securitate privind vulnerabilitatea prin metoda de analiză a execuției speculative și a metodei de analiză a canalelor secundare de estimare a ramurilor indirecte
Samsung	Anunț privind actualizarea software-ului Intel CPUs
Surface	Îndrumări pentru Surface, pentru a vă proteja împotriva vulnerabilităților de canal lateral cu execuție speculativă
Toshiba	Intel, AMD & vulnerabilitățile de securitate ale metodei de analiză a metodei de analiză Microsoft Microsoft Speculative Execution și Indirect Branch Prediction Side Channel Method (2017)
Vaio	On the vulnerability support for side channel analysis

Producători OEM de servere	Link la disponibilitatea microcodului
Dell	Vulnerabilități Meltdown și Spectre
Fujitsu	Hardware-ul CPU vulnerabil la atacuri pe partea de canal (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HPE	Avertizări de vulnerabilitate pentru securitatea produselor Hewlett Packard Enterprise
Huawei	Notificare de securitate - declarație privind dezvăluirea media a vulnerabilităților de securitate din proiectarea arhitecturii CPU Intel
Lenovo	Citirea memoriei privilegiate cu un canal lateral

Va trebui să consultați producătorul dispozitivului pentru actualizări de firmware (microcod). Dacă producătorul dispozitivului nu este listat în tabel, contactați producătorul OEM în mod direct.

Actualizări pentru dispozitivele Microsoft Surface sunt disponibile clienților prin Windows Update. Pentru o listă de actualizări disponibile pentru firmware-ul dispozitivului Surface (microcod), consultați KB 4073065.

Dacă dispozitivul dvs. nu este de la Microsoft, aplicați actualizări de firmware de la producătorul dispozitivului. Contactați producătorul dispozitivuluipentru mai multe informații.

Abordarea unei vulnerabilități hardware prin utilizarea unei actualizări software prezintă provocări și atenuări semnificative pentru sistemele de operare mai vechi și poate necesita modificări arhitecturale extinse. Continuăm să lucrăm cu producătorii cipurilor afectate pentru a investiga cea mai bună modalitate de a oferi atenuări. Acest lucru poate fi furnizat într-o actualizare viitoare. Înlocuirea dispozitivelor mai vechi care rulează aceste sisteme de operare mai vechi și, de asemenea, actualizarea software-ului antivirus ar trebui să rezolve riscul rămas.

Deși sistemele bazate pe Windows XP sunt produse afectate, Microsoft nu emite o actualizare pentru acestea, deoarece modificările arhitecturale cuprinzătoare care ar fi necesare ar pune în pericol stabilitatea sistemului și ar cauza probleme de compatibilitate a aplicațiilor. Recomandăm clienților ce țin cont de importanța securității să facă upgrade la un sistem de operare acceptat mai nou, pentru a ține pasul cu peisajul amenințărilor de securitate în permanentă schimbare și a beneficia de protecțiile mai robuste pe care le oferă sistemele de operare mai noi.

Actualizări să Windows 10 pentru HoloLens sunt disponibile pentru clienții HoloLens prin Windows Update.

După aplicareaactualizării Securitate Windows din februarie 2018, clienții HoloLens nu trebuie să ia nicio acțiune suplimentară pentru a-și actualiza firmware-ul dispozitivului. Aceste atenuări vor fi incluse, de asemenea, în toate versiunile viitoare de Windows 10 pentru HoloLens.

Contactați producătorul OEM pentru mai multe informații.

Pentru ca dispozitivul dvs. să fie complet protejat, ar trebui să instalați cele mai recente actualizări de securitate ale sistemului de operare Windows pentru dispozitivul dvs. și actualizările de firmware (microcod) aplicabile de la producătorul dispozitivului. Aceste actualizări ar trebui să fie disponibile pe site-ul web al producătorului dispozitivului. Mai întâi ar trebui să fie instalate actualizările software-ului antivirus. Actualizările sistemului de operare și cele ale firmware-ului pot fi instalate în orice ordine.

Va trebui să actualizați atât hardware-ul, cât și software-ul pentru a trata această vulnerabilitate. De asemenea, va trebui să instalați actualizările de firmware (microcod) aplicabile de la producătorul dispozitivului pentru o protecție mai cuprinzătoare. Vă încurajăm să păstrați dispozitivele actualizate, instalând actualizările de securitate lunare.

În fiecare Windows 10 actualizare de caracteristici, construim cea mai recentă tehnologie de securitate adânc în sistemul de operare, oferind caracteristici de apărare în profunzime care împiedică toate clasele de malware să vă influențeze dispozitivul. Lansările de actualizări de caracteristici sunt programate să aibă loc de două ori pe an. În fiecare actualizare de calitate lunară, adăugăm un alt nivel de securitate care urmărește tendințele noi și în schimbare din malware, pentru a face sistemele actualizate mai sigure în fața amenințărilor în schimbare și în evoluție.

Microsoft a ridicat verificarea compatibilității AV pentru actualizările de securitate Windows pentru versiunile acceptate de Windows 10, Windows 8.1 și Windows 7 SP1 prin Windows Update. 

Recomandări:

• Asigurați-vă că dispozitivele dvs. sunt actualizate, având cele mai recente actualizări de securitate de la Microsoft și de la producătorul de hardware. Pentru mai multe informații despre cum să vă mențineți dispozitivul actualizat, consultați Windows Update: Întrebări frecvente.

• Continuați să fiți precaut atunci când vizitați site-uri web de origine necunoscută și nu rămâneți pe site-uri în care nu aveți încredere. Microsoft recomandă tuturor clienților să își protejeze dispozitivele, rulând un program antivirus acceptat. De asemenea, clienții pot beneficia de protecție antivirus încorporată: Windows Defender pentru dispozitive Windows 10 sau Microsoft Security Essentials pentru dispozitive Windows 7. Aceste soluții sunt compatibile în cazurile în care clienții nu pot instala sau rula software antivirus.

Pentru a evita afectarea dispozitivelor clienților, actualizările de securitate Windows lansate în ianuarie sau februarie nu au fost oferite tuturor clienților. Pentru detalii, consultați articolul 4072699 din Baza de cunoștințe Microsoft. 

Intel a raportat probleme care afectează microcodul lansat recent, care este destinat să abordeze Spectre varianta 2 (CVE-2017-5715 - "Injectare țintă pentru ramură"). Mai exact, Intel a menționat că acest microcod poate provoca "reporniri mai mari decât se așteptau și alte comportamente imprevizibile ale sistemului" și, de asemenea, că situații ca acesta pot provoca "pierderi de date sau deteriorare".  Propria noastră experiență este că instabilitatea sistemului poate provoca, în unele circumstanțe, pierderi de date sau deteriorare. Pe 22 ianuarie, Intel le-a recomandat clienților să nu mai implementeze versiunea curentă de microcod pe procesoarele afectate, în timp ce efectuează teste suplimentare pe soluția actualizată. Înțelegem că Intel continuă să investigheze impactul potențial al versiunii de microcod curente și încurajăm clienții să revizuiască instrucțiunile în mod continuu pentru a-și informa deciziile.

În timp ce Intel testează, actualizează și implementează noul microcod, vă punem la dispoziție o actualizare OOB, KB 4078130, care dezactivează în mod specific doar atenuarea pentru CVE-2017-5715 - "Injectare țintă pentru ramură". În testarea noastră, această actualizare a fost găsită pentru a preveni comportamentul descris. Pentru lista completă de dispozitive, consultați Instrucțiuni de revizuire a microcodului Intel. Această actualizare cuprinde Windows 7 (SP1), Windows 8.1 și toate versiunile de Windows 10, pentru client și server. Dacă rulați un dispozitiv afectat, această actualizare poate fi aplicată descărcându-o de pe site-ul web Catalog Microsoft Update. Aplicarea acestei sarcini dezactivează în mod specific doar atenuarea împotriva CVE-2017-5715 - "Injectare țintă ramură". 

Începând cu data de 25 ianuarie, nu există rapoarte cunoscute care să indice faptul că spectre varianta 2 (CVE-2017-5715) a fost utilizat pentru a ataca clienții. Atunci când este cazul, le recomandăm clienților Windows să reactiveze atenuarea pentru CVE-2017-5715 atunci când Intel raportează că acest comportament de sistem imprevizibil a fost rezolvat pentru dispozitivul dvs.

Nu. Actualizările doar de securitate nu sunt cumulative. În funcție de versiunea sistemului de operare pe care o rulați, trebuie să instalați toate actualizările doar de securitate lansate pentru a fi protejat împotriva acestor vulnerabilități. De exemplu, dacă rulați Windows 7 pentru sisteme pe 32 de biți pe un procesor Intel afectat, trebuie să instalați fiecare actualizare doar de securitate începând din ianuarie 2018. Vă recomandăm să instalați aceste actualizări doar de securitate în ordinea lansării.
 
Notă O versiune anterioară a acestor Întrebări frecvente a declarat incorect că actualizarea doar pentru securitate din februarie includea remedierile de securitate lansate în ianuarie. De fapt, nu.

Nu. Actualizare de securitate 4078130 a fost o remediere specifică pentru a preveni comportamentele imprevizibile ale sistemului, problemele de performanță și repornirile neașteptate după instalarea microcodului. Aplicarea actualizărilor de securitate din februarie pe sistemele de operare client Windows permite toate cele trei atenuări. Pe sistemele de operare Windows Server, trebuie totuși să activați atenuările după ce se efectuează testarea corespunzătoare. Consultați articolul din Baza de cunoștințe Microsoft 4072698 pentru mai multe informații.

AMD a anunțat recent că au început lansarea microcodului pentru platforme cpu mai noi în jurul Spectre varianta 2 (CVE-2017-5715 "Injectare țintă pentru ramură"). Pentru mai multe informații, consultați Actualizări de securitate AMD și AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Acestea sunt disponibile de pe canalul de firmware OEM. 

Intel a anunțat recent că și-a finalizat validările și a început lansarea microcodului pentru platformele CPU mai noi. Microsoft face disponibile actualizări de microcod Intel validate în jurul Spectre varianta 2 (CVE-2017-5715 "Injectare țintă ramură"). KB 4093836 listează anumite articole din Baza de cunoștințe în funcție de versiunea de Windows. Fiecare articol KB individual conține actualizările disponibile pentru microcodul Intel în funcție de CPU.

Microsoft face disponibile actualizări de microcod Intel validate în jurul Spectre varianta 2 (CVE-2017-5715 "Injectare țintă pentru ramură"). Pentru a obține cele mai recente actualizări de microcod Intel prin Windows Update, clienții trebuie să aibă instalat microcodul Intel pe dispozitivele care rulează un sistem de operare Windows 10 înainte de a face upgrade la actualizarea din aprilie 2018 a Windows 10 (versiunea 1803).

Actualizarea de microcod este disponibilă, de asemenea, direct din Catalogul de actualizare dacă nu a fost instalată pe dispozitiv înainte de upgrade-ul sistemului. Microcodul Intel este disponibil prin Windows Update, WSUS sau Catalogul Microsoft Update. Pentru mai multe informații și instrucțiuni de descărcare, consultați KB 4100347.

Pentru mai multe informații, consultați următoarele resurse:

• ADV180012 | Instrucțiuni Microsoft pentru ocolirea Store speculativă pentru CVE-2018-3639

• ADV180013 | Instrucțiuni Microsoft pentru înregistrarea sistemului Rogue Citiți pentru CVE-2018-3640 și KB 4073065 | Instrucțiuni pentru clienții Surface

• Blogul Microsoft Security Research and Defense

• Îndrumări pentru dezvoltatori pentru ocolirea Store speculativă

Pentru detalii, consultați secțiunile "Acțiuni recomandate" și "Întrebări frecvente" din ADV180012 | Instrucțiuni Microsoft pentru ocolirea Store speculativă.

Pentru a verifica starea SSBD, Get-SpeculationControlSettings script PowerShell a fost actualizat pentru a detecta procesoarele afectate, starea actualizărilor sistemului de operare SSBD și starea microcodului de procesor, dacă este cazul. Pentru mai multe informații și pentru a obține scriptul PowerShell, consultați KB4074629.

Pe 13 iunie 2018, a fost anunțată și atribuită CVE-2018-3665 o vulnerabilitate suplimentară care implică execuția speculativă de pe canalul lateral, cunoscută drept Restaurare stare leneș FP. Nu există setări de configurare (registry) necesare pentru Restaurare FP lazy.

Pentru mai multe informații despre această vulnerabilitate și acțiunile recomandate, consultați Sfatul de securitate: ADV180016 | Instrucțiuni Microsoft pentru restaurarea stării FP leneș

NotăNu există setări de configurare (registry) necesare pentru Restaurare FP lazy.

Bounds Check Bypass Store (BCBS) a fost dezvăluit la 10 iulie 2018 și atribuit CVE-2018-3693. Considerăm BCBS că aparține aceleiași clase de vulnerabilități ca ocolirea verificării limitelor (varianta 1). Momentan nu avem cunoștință de nicio instanță a BCBS în software-ul nostru, dar continuăm să cercetăm această clasă de vulnerabilitate și vom colabora cu partenerii din industrie pentru a lansa atenuări după cum este necesar. Continuăm să încurajăm cercetătorii să trimită orice constatări relevante programului de recompense Canal lateral execuție speculativă Microsoft, inclusiv instanțele exploatabile ale BCBS. Dezvoltatorii de software ar trebui să revizuiască îndrumările pentru dezvoltatori care au fost actualizate pentru BCBS la https://aka.ms/sescdevguide.

La 14 august 2018, a fost anunțatĂ L1 Terminal Fault (L1TF) și atribuite mai multe CV-uri. Aceste noi vulnerabilități de canal lateral cu execuție speculativă pot fi utilizate pentru a citi conținutul memoriei dintr-o limită de încredere și, dacă sunt exploatate, pot duce la dezvăluirea informațiilor. Există mai mulți vectori prin care un atacator ar putea declanșa vulnerabilitățile în funcție de mediul configurat. L1TF afectează procesoarele Intel® Core® și procesoarele Intel® Xeon®.

Pentru mai multe informații despre această vulnerabilitate și o vizualizare detaliată a scenariilor afectate, inclusiv abordarea Microsoft privind atenuarea L1TF, consultați următoarele resurse:

• ADV180018 | Îndrumări Microsoft pentru atenuarea variantei L1TF

• Blog de cercetare de securitate consultativă

• Instrucțiuni server pentru eroare terminal L1

Clienți Microsoft Surface: Clienții care utilizează Microsoft Surface și produsele Surface Book trebuie să urmeze instrucțiunile pentru clientul Windows evidențiate în Sfatul de securitate: ADV180018 | Îndrumări Microsoft pentru a atenua varianta L1TF. Consultați și Articolul din Baza de cunoștințe Microsoft 4073065 pentru mai multe informații despre produsele Surface afectate și disponibilitatea actualizărilor de microcod.

Clienții Microsoft Hololens: Microsoft HoloLens nu este afectat de L1TF, deoarece nu utilizează un procesor Intel afectat.

Pașii necesari pentru dezactivarea Hyper-Threading vor fi diferiți de OEM la OEM, dar, în general, fac parte din BIOS sau din instrumentele de configurare și configurare a firmware-ului.

Clienții care utilizează procesoare ARM pe 64 de biți ar trebui să consulte OEM-ul dispozitivului pentru asistență firmware, deoarece protecțiile sistemului de operare ARM64 care atenuează CVE-2017-5715 - injectarea țintă pentru ramură (Spectre, varianta 2) necesită cea mai recentă actualizare de firmware de la producătorii OEM ai dispozitivului pentru a avea efect.

Pentru detalii despre această vulnerabilitate, consultați Ghidul de securitate Microsoft: CVE-2019-1125 | Vulnerabilitate dezvăluire informații kernel Windows.

Nu cunoaștem nicio instanță a acestei vulnerabilități de divulgare a informațiilor care să afecteze infrastructura noastră de servicii cloud.

Imediat ce am luat cunoștință de această problemă, ne-am străduit rapid să o remediem și să lansăm o actualizare. Credem cu tărie în parteneriate strânse cu cercetătorii și partenerii din industrie pentru a-i face pe clienți mai în siguranță și nu am publicat detalii până marți, 6 august, în conformitate cu practicile coordonate de divulgare a vulnerabilităților.