KB4073757. Защита устройств Windows от микроархитектурных микроархитектурных и спекулятивных уязвимостей в боковом канале

Дата изменения	Описание изменений
9 августа 2023 г.	Удалено содержимое о CVE-2022-23816, так как номер CVE не используется Удален дублированный раздел "Обновления микрокодов Intel" в разделе "Действия по защите устройств Windows"
9 апреля 2024 г.	Добавлен CVE-2022-0001 | Внедрение журнала ветвей Intel

Для устранения этих уязвимостей может потребоваться обновить встроенное ПО (микрокод) и программное обеспечение. Рекомендуемые действия см. в рекомендациях по безопасности Майкрософт. Сюда входят применимые обновления встроенного ПО (микрокоды) от производителей устройств, а в некоторых случаях и обновления антивирусного программного обеспечения. Мы рекомендуем устанавливать ежемесячные обновления системы безопасности, чтобы поддерживать устройства в актуальном состоянии. 

Чтобы получить все доступные средства защиты, выполните следующие действия, чтобы получить последние обновления для программного обеспечения и оборудования.

1. Поддерживайте обновление устройства с Windows , включив автоматическое обновление.

2. Убедитесь, что вы установили последнее обновление системы безопасности Windows, выпущенное корпорацией Майкрософт. Если включены автоматические обновления, они должны быть автоматически доставлены вам. Однако по-прежнему следует убедиться, что они установлены. Инструкции см. в разделе клиентский компонент Центра обновления Windows: вопросы и ответы

3. Установите доступные обновления встроенного ПО (микрокода) от производителя устройства. Все клиенты должны будут проверка с производителем устройства, чтобы скачать и установить обновление оборудования для конкретного устройства. Список веб-сайтов изготовителей устройств см. в разделе "Дополнительные ресурсы".

   Примечание: Пользователям следует установить последние выпущенные корпорацией Майкрософт обновления безопасности для операционной системы Windows, чтобы воспользоваться доступными средствами защиты. Сначала необходимо установить обновления антивирусного программного обеспечения. Затем следует установить обновления операционной системы и встроенного ПО. Мы рекомендуем устанавливать ежемесячные обновления системы безопасности, чтобы поддерживать устройства в актуальном состоянии. 

Затронутые микросхемы включают микросхемы, которые производятся intel, AMD и ARM. Это означает, что все устройства под управлением операционных систем Windows потенциально уязвимы. Сюда входят настольные компьютеры, ноутбуки, облачные серверы и смартфоны. Устройства под управлением других операционных систем, таких как Android, Chrome, iOS и macOS, также будут затронуты. Мы советуем клиентам, работающим с этими операционными системами, обратиться за рекомендациями к этим поставщикам.

На момент публикации мы не получили никакой информации, указывающей на то, что эти уязвимости использовались для атак клиентов.

Начиная с января 2018 года корпорация Майкрософт выпустила обновления для операционных систем Windows и интернет-Обозреватель и браузеров Edge, которые помогут устранить эти уязвимости и защитить клиентов. Мы также выпустили обновления для защиты наших облачных служб.  Мы продолжаем тесно сотрудничать с отраслевыми партнерами, включая производителей микросхем, изготовителей оборудования и поставщиков приложений, для защиты клиентов от этого класса уязвимостей. 

Мы рекомендуем всегда устанавливать ежемесячные обновления, чтобы обеспечить актуальность и безопасность устройств. 

Мы будем обновлять эту документацию, когда станут доступны новые меры по устранению рисков, и рекомендуем регулярно проверка здесь. 

Обновления операционной системы Windows за июль 2019 г.

6 августа 2019 г. корпорация Intel раскрыла сведения об уязвимости системы безопасности CVE-2019-1125 | Уязвимость ядра Windows, связанная с раскрытием информации. Обновления для системы безопасности для этой уязвимости были выпущены в рамках ежемесячного обновления за июль 9 июля 2019 г.

Корпорация Майкрософт выпустила обновление для системы безопасности для операционной системы Windows 9 июля 2019 г., чтобы устранить эту проблему. Мы сдержали документирование этой меры публично до скоординированного раскрытия информации о отрасли во вторник, 6 августа 2019 года.

Клиенты, которые клиентский компонент Центра обновления Windows включили и применили обновления для системы безопасности, выпущенные 9 июля 2019 г., защищаются автоматически. Обратите внимание, что для этой уязвимости не требуется обновление микрокода от изготовителя устройства (OEM).

Обновления операционной системы Windows за май 2019 г.

14 мая 2019 г. корпорация Intel опубликовала информацию о новом подклассе уязвимостей спекулятивного выполнения на стороне канала, известном как выборка данных микроархитектуры , и ей были назначены следующие CES:

• CVE-2018-11091 — "Микроархитектурная выборка данных некашируемой памяти (MDSUM)"

• CVE-2018-12126 — "Выборка данных буфера микроархитектурного хранилища (MSBDS)"

• CVE-2018-12127 — "Выборка данных буфера микроархитектурной заполнения (MFBDS)"

• CVE-2018-12130 — "Выборка данных порта микроархитектурной нагрузки (MLPDS)"

Дополнительные сведения об этой проблеме см. в следующих рекомендациях по безопасности и руководстве по использованию сценариев, описанных в статьях Руководства Windows для клиентов и серверов, чтобы определить действия, необходимые для устранения угрозы:

• 190013 ADV | Руководство Майкрософт по устранению уязвимостей выборки микроархитектурных данных

• kb 4073119 | Руководство клиента Windows IT Pro для защиты от уязвимостей спекулятивного выполнения по боковому каналу

• kb 4457951 | Руководство по windows Server по защите от уязвимостей в боковом канале спекулятивного выполнения

Корпорация Майкрософт выпустила защиту от нового подкласса уязвимостей спекулятивного выполнения по боковому каналу, известного как выборка микроархитектурных данных для 64-разрядных (x64) версий Windows (CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Используйте параметры реестра, как описано в статьях Клиент Windows (KB4073119) и Windows Server (KB4457951). Эти параметры реестра включены по умолчанию для выпусков клиентских ОС Windows и Windows Server.

Мы рекомендуем сначала установить все последние обновления с клиентский компонент Центра обновления Windows, прежде чем устанавливать обновления микрокодов.

Дополнительные сведения об этой проблеме и рекомендуемых действиях см. в следующих рекомендациях по безопасности: 

• 190013 ADV | Руководство Майкрософт по устранению уязвимостей выборки микроархитектурных данных

Корпорация Intel выпустила обновление микрокода для последних платформ ЦП, чтобы помочь в устранении уязвимостей CVE-2018-11091, CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. В 4093836 базы знаний Windows от 14 мая 2019 г. перечислены конкретные статьи базы знаний по версии ОС Windows.  В этой статье также содержатся ссылки на доступные обновления микрокодов Intel по ЦП. Эти обновления доступны в каталоге Майкрософт.

Примечание. Мы рекомендуем установить все последние обновления из клиентский компонент Центра обновления Windows перед установкой обновлений микрокодов.

Мы рады сообщить, что Retpoline включена по умолчанию на Windows 10, версия 1809 устройствах (для клиента и сервера), если включен Spectre Variant 2 (CVE-2017-5715). Включив Retpoline в последней версии Windows 10 с помощью обновления от 14 мая 2019 г. (kb 4494441), мы ожидаем повышения производительности, особенно на старых процессорах.

Клиенты должны убедиться, что предыдущие защиты ОС от уязвимости Spectre Variant 2 включены с помощью параметров реестра, описанных в статьях Клиент Windows и Windows Server . (Эти параметры реестра включены по умолчанию для клиентских выпусков ОС Windows, но отключены по умолчанию для выпусков ОС Windows Server. Дополнительные сведения о "Retpoline" см. в разделе Устранение рисков spectre версии 2 с помощью Retpoline в Windows.

Обновления операционной системы Windows за ноябрь 2018 г.

Корпорация Майкрософт выпустила защиту операционной системы для спекулятивного обхода хранилища (CVE-2018-3639) для процессоров AMD (ЦП).

Корпорация Майкрософт выпустила дополнительные средства защиты операционной системы для клиентов, использующих 64-разрядные процессоры ARM. Пожалуйста, проверка с производителем изготовителя оборудования устройства для поддержки встроенного ПО, так как для защиты операционной системы ARM64, для устранения уязвимостей CVE-2018-3639, speculative Store Bypass, требуется последнее обновление встроенного ПО от изготовителя оборудования устройства.

Обновления операционной системы Windows за сентябрь 2018 г.

11 сентября 2018 г. корпорация Майкрософт выпустила ежемесячный накопительный пакет 4458010 обновления 2 (SP2) для Windows Server 2008 с пакетом обновления 2 (SP2) и только 4457984 безопасности для Windows Server 2008, которые обеспечивают защиту от новой уязвимости спекулятивного выполнения по боковому каналу, известной как ошибка терминала L1 (L1TF), затрагивающей процессоры Intel® Core® и Процессоры Intel® Xeon® (CVE-2018-3620 и CVE-2018-3646). 

Этот выпуск завершает дополнительную защиту для всех поддерживаемых версий системы Windows через клиентский компонент Центра обновления Windows. Дополнительные сведения и список затронутых продуктов см. в ADV180018 | Руководство Майкрософт по устранению проблемы с вариантом L1TF.

Примечание. Windows Server 2008 с пакетом обновления 2 (SP2) теперь следует стандартной модели накопительного пакета обслуживания Windows. Дополнительные сведения об этих изменениях см. в блоге Изменения в обслуживании Windows Server 2008 с пакетом обновления 2 (SP2). Клиенты, работающие под управлением Windows Server 2008, должны установить 4458010 или 4457984 в дополнение к обновлению системы безопасности 4341832, выпущенном 14 августа 2018 г. Клиенты также должны убедиться, что предыдущие защиты ОС от уязвимостей Spectre Variant 2 и Meltdown включены с помощью параметров реестра, описанных в статьях базы знаний о клиентах Windows и Windows Server . Эти параметры реестра включены по умолчанию для клиентских выпусков ОС Windows, но отключены по умолчанию для выпусков ОС Windows Server.

Корпорация Майкрософт выпустила дополнительные средства защиты операционной системы для клиентов, использующих 64-разрядные процессоры ARM. Пожалуйста, проверка с производителем изготовителя оборудования устройства для поддержки встроенного ПО, так как для защиты операционной системы ARM64, которая снижает уязвимость CVE-2017-5715 — внедрение целевого объекта branch (Spectre, variant 2), требуется последнее обновление встроенного ПО от изготовителей оборудования устройств.

Обновления операционной системы Windows за август 2018 г.

14 августа 2018 г. было объявлено о сбое терминала L1 (L1TF) и назначено несколько cves. Эти новые спекулятивные уязвимости бокового канала могут использоваться для считывания содержимого памяти через доверенные границы и в случае их использования могут привести к раскрытию информации. Существует несколько векторов, с помощью которых злоумышленник может активировать уязвимости в зависимости от настроенной среды. L1TF влияет на процессоры Intel® Core® и Intel® Xeon®.

Дополнительные сведения о L1TF и подробное представление затронутых сценариев, включая подход Корпорации Майкрософт к устранению рисков L1TF, см. в следующих ресурсах:

• ADV180018 | Руководство Майкрософт по устранению проблемы с вариантом L1TF

• Блог о рекомендациях по безопасности по безопасности

• Руководство по серверу для сбоя терминала L1

Обновления операционной системы Windows за июль 2018 г.

Мы рады сообщить, что корпорация Майкрософт завершила выпуск дополнительных мер защиты для всех поддерживаемых версий системы Windows через клиентский компонент Центра обновления Windows для следующих уязвимостей:

• Spectre Variant 2 для процессоров AMD

• Обход спекулятивного хранилища для процессоров Intel

13 июня 2018 г. было объявлено о дополнительной уязвимости, связанной с спекулятивным выполнением по боковому каналу, известной как восстановление состояния Ленивый FP, и была назначена функция CVE-2018-3665. Для восстановления FP с отложенным восстановлением не требуются параметры конфигурации (реестра).

Дополнительные сведения об этой уязвимости, затронутых продуктах и рекомендуемых действиях см. в следующих рекомендациях по безопасности:

• ADV180016 | Руководство Майкрософт по восстановлению состояния ленивого FP

12 июня корпорация Майкрософт объявила о поддержке Windows спекулятивного обхода store (SSBD) в процессорах Intel. Для обновления требуются соответствующие обновления встроенного ПО (микрокода) и реестра для функциональных возможностей. Сведения об обновлениях и действиях, которые необходимо применить для включения SSBD, см. в разделе "Рекомендуемые действия" в ADV180012 | Руководство Майкрософт по обходу спекулятивного хранилища.

Обновления операционной системы Windows за май 2018 г.

В январе 2018 года корпорация Майкрософт опубликовала информацию о недавно обнаруженном классе уязвимостей оборудования (известных как Spectre и Meltdown), которые связаны с спекулятивным выполнением побочных каналов, которые в той или иной степени влияют на процессоры AMD, ARM и Intel. 21 мая 2018 года Google Project Zero (GPZ), Корпорация Майкрософт и Intel раскрыли две новые уязвимости чипа, связанные с проблемами Spectre и Meltdown, которые известны как Спекулятивный обход магазина (SSB) и Rogue System Registry Read.

Риск, связанный с обоими раскрытиями информации, является низким.

Дополнительные сведения об этих уязвимостях см. в следующих ресурсах:

• Рекомендации майкрософт по безопасности для обхода спекулятивного хранилища: MSRC ADV180012 и CVE-2018-3639

• Рекомендации майкрософт по безопасности для чтения несанкционированных системных регистров: MSRC ADV180013и CVE-2018-3640

• Исследования и защита в области безопасности: анализ и устранение рисков обхода спекулятивного хранилища (CVE-2018-3639)

Применимо к: Windows 10 версии 1607, Windows Server 2016, Windows Server 2016 (установка основных серверных компонентов) и Windows Server версии 1709 (установка основных серверных компонентов)

Мы предоставили поддержку для управления использованием непрямого барьера прогнозирования ветви (IBPB) в некоторых процессорах AMD (ЦП) для устранения уязвимости CVE-2017-5715, Spectre Variant 2 при переключении с контекста пользователя на контекст ядра. (Дополнительные сведения см. в статье Рекомендации по архитектуре AMD по управлению непрямой ветвью и Обновления безопасности AMD).

Клиенты, использующие Windows 10 версии 1607, Windows Server 2016, Windows Server 2016 (установка основных серверных компонентов) и Windows Server версии 1709 (установка основных серверных компонентов), должны установить обновление безопасности 4103723 для дополнительных мер для процессоров AMD для CVE-2017-5715, Branch Target Injection. Это обновление также доступно через клиентский компонент Центра обновления Windows.

Следуйте инструкциям, описанным в руководстве по 4073119 базы знаний для клиента Windows (ИТ-специалист) и руководстве по 4072698 базы знаний для Windows Server, чтобы включить использование IBPB в некоторых процессорах AMD для устранения рисков Spectre Variant 2 при переключении с контекста пользователя на контекст ядра.

Корпорация Майкрософт предоставляет проверенные intel обновления микрокодов для Spectre Variant 2 (CVE-2017-5715 "Внедрение цели ветви"). Чтобы получить последние обновления микрокодов Intel через клиентский компонент Центра обновления Windows, клиенты должны установить микрокод Intel на устройствах с операционной системой Windows 10 перед обновлением до обновления Windows 10 апреля 2018 г. (версия 1803).

Также обновление микрокода можно получить непосредственно из каталога, если оно не было установлено на устройстве до обновления ОС. Микрокод Intel доступен через клиентский компонент Центра обновления Windows, WSUS или в каталоге Центра обновления Майкрософт. Дополнительные сведения и инструкции по скачиванию см. в 4100347 базы знаний.

Мы будем предлагать дополнительные обновления микрокодов от Intel для операционной системы Windows по мере их доступности для корпорации Майкрософт.

Применимо к: Windows 10 версии 1709

Мы предоставили поддержку для управления использованием непрямого барьера прогнозирования ветви (IBPB) в некоторых процессорах AMD (ЦП) для устранения уязвимости CVE-2017-5715, Spectre Variant 2 при переключении с контекста пользователя на контекст ядра. (Дополнительные сведения см. в статье Рекомендации по архитектуре AMD по управлению непрямой ветвью и Обновления безопасности AMD).

Следуйте инструкциям, описанным в руководстве по 4073119 базы знаний для клиента Windows (ИТ-специалист), чтобы включить использование IBPB в некоторых процессорах AMD для устранения рисков Spectre Variant 2 при переходе с контекста пользователя на контекст ядра.

Корпорация Майкрософт предоставляет проверенные Intel обновления микрокодов для Spectre Variant 2 (CVE-2017-5715 "Внедрение цели ветви"). KB4093836 перечислены определенные статьи базы знаний по версии Windows. Каждое конкретное кб содержит последние доступные обновления микрокодов Intel по ЦП.

Мы будем предлагать дополнительные обновления микрокодов от Intel для операционной системы Windows по мере их доступности для корпорации Майкрософт. 

Обновления операционной системы Windows за март 2018 г. и более поздние версии

23 марта, TechNet Security Research & Defense: KVA Shadow: Устранение кризиса в Windows

14 марта, Технический центр безопасности: Условия программы bounty для спекулятивного выполнения на стороне канала

13 марта, блог: Обновление Безопасность Windows за март 2018 г. — расширение наших усилий по защите клиентов

Блог от 1 марта: Обновление обновлений системы безопасности Spectre и Meltdown для устройств Windows

Начиная с марта 2018 г. корпорация Майкрософт выпустила обновления для системы безопасности, чтобы обеспечить устранение рисков для устройств под управлением следующих операционных систем Windows на базе x86. Клиенты должны установить последние обновления для системы безопасности операционной системы Windows, чтобы воспользоваться преимуществами доступных средств защиты. Мы работаем над обеспечением защиты для других поддерживаемых версий Windows, но в настоящее время у нас нет расписания выпуска. Пожалуйста, проверка здесь для обновления. Дополнительные сведения см. в соответствующей статье базы знаний, посвященной техническим сведениям, и в разделе "Вопросы и ответы".

Выпущено обновление продукта	Состояние	Дата выпуска	Канал выпуска	KB
Windows 8.1 & Windows Server 2012 R2 — обновление только для системы безопасности	Выпущено	13 марта	WSUS, каталог,	KB4088879
Windows 7 с пакетом обновления 1 (SP1) & Windows Server 2008 R2 с пакетом обновления 1 (SP1) — только обновление системы безопасности	Выпущено	13 марта	WSUS, каталог	KB4088878
Windows Server 2012 — обновление только для системы безопасности Windows 8 Embedded Standard Edition — обновление только для системы безопасности	Выпущено	13 марта	WSUS, каталог	KB4088877
Windows 8.1 & Windows Server 2012 R2 — ежемесячный накопительный пакет	Выпущено	13 марта	WU, WSUS, каталог	KB4088876
Windows 7 с пакетом обновления 1 (SP1) & Windows Server 2008 R2 с пакетом обновления 1 (SP1) — ежемесячный накопительный пакет	Выпущено	13 марта	WU, WSUS, каталог	KB4088875
Windows Server 2012 — ежемесячный накопительный пакет Windows 8 Embedded Standard Edition — ежемесячный накопительный пакет	Выпущено	13 марта	WU, WSUS, каталог	KB4088877
Windows Server 2008 с пакетом обновления 2 (SP2)	Выпущено	13 марта	WU, WSUS, каталог	KB4090450

Начиная с марта 2018 г. корпорация Майкрософт выпустила обновления для системы безопасности, чтобы обеспечить устранение рисков для устройств под управлением следующих операционных систем Windows на базе x64. Клиенты должны установить последние обновления для системы безопасности операционной системы Windows, чтобы воспользоваться преимуществами доступных средств защиты. Мы работаем над обеспечением защиты для других поддерживаемых версий Windows, но в настоящее время у нас нет расписания выпуска. Пожалуйста, проверка здесь для обновления. Дополнительные сведения см. в соответствующей база знаний статье с техническими сведениями и разделом "Вопросы и ответы".

Выпущено обновление продукта	Состояние	Дата выпуска	Канал выпуска	KB
Windows Server 2012 — обновление только для системы безопасности Windows 8 Embedded Standard Edition — обновление только для системы безопасности	Выпущено	13 марта	WSUS, каталог	KB4088877
Windows Server 2012 — ежемесячный накопительный пакет Windows 8 Embedded Standard Edition — ежемесячный накопительный пакет	Выпущено	13 марта	WU, WSUS, каталог	KB4088877
Windows Server 2008 с пакетом обновления 2 (SP2)	Выпущено	13 марта	WU, WSUS, каталог	KB4090450

Это обновление устраняет уязвимость, связанную с повышением привилегий в ядре Windows в 64-разрядной (x64) версии Windows. Эта уязвимость описана в документе CVE-2018-1038. Пользователи должны применить это обновление, чтобы быть полностью защищены от этой уязвимости, если их компьютеры были обновлены в январе 2018 года или после этого путем применения любого из обновлений, перечисленных в следующей статье базы знаний:

Обновление ядра Windows для CVE-2018-1038

Это обновление для системы безопасности устраняет несколько обнаруженных уязвимостей в Интернете Обозреватель. Дополнительные сведения об этих уязвимостях см. в статье Общие уязвимости и уязвимости Майкрософт. 

Выпущено обновление продукта	Состояние	Дата выпуска	Канал выпуска	KB
Internet Обозреватель 10 — накопительное обновление для Windows 8 Embedded Standard Edition	Выпущено	13 марта	WU, WSUS, каталог	KB4089187

Обновления операционной системы Windows за февраль 2018 г.

Блог: Windows Analytics теперь помогает оценить защиту Spectre и Meltdown

Следующие обновления системы безопасности обеспечивают дополнительную защиту для устройств под управлением 32-разрядных (x86) операционных систем Windows. Корпорация Майкрософт рекомендует клиентам установить обновление сразу после его доступности. Мы продолжаем работать над обеспечением защиты для других поддерживаемых версий Windows, но в настоящее время у нас нет расписания выпусков. Пожалуйста, проверка здесь для обновления. 

Примечание Windows 10 ежемесячные обновления для системы безопасности являются накопительными по месяцам и будут загружаться и устанавливаться автоматически с клиентский компонент Центра обновления Windows. Если вы установили предыдущие обновления, на вашем устройстве будут загружены и установлены только новые части. Дополнительные сведения см. в соответствующей статье базы знаний, посвященной техническим сведениям, и в разделе "Вопросы и ответы".

Выпущено обновление продукта	Состояние	Дата выпуска	Канал выпуска	KB
Windows 10 — версия 1709/Windows Server 2016 (1709)/ IoT базовая — исправление	Выпущено	31 января	WU, каталог	KB4058258
Windows Server 2016 (1709) — серверный контейнер	Выпущено	13 февраля	Docker Hub	KB4074588
Windows 10 — версии 1703/IoT базовая — исправление	Выпущено	13 февраля	WU, WSUS, каталог	KB4074592
Windows 10 — версия 1607 / Windows Server 2016 / IoT Core — исправление	Выпущено	13 февраля	WU, WSUS, каталог	KB4074590
Windows 10 HoloLens — ос и встроенное ПО Обновления	Выпущено	13 февраля	WU, каталог	KB4074590
Windows Server 2016 (1607) — образы контейнеров	Выпущено	13 февраля	Docker Hub	KB4074590
Windows 10 — версии 1511/IoT базовая — исправление	Выпущено	13 февраля	WU, WSUS, каталог	KB4074591
Windows 10 — версия RTM — исправление	Выпущено	13 февраля	WU, WSUS, каталог	KB4074596

Обновления операционной системы Windows за январь 2018 г.

Блог: Общие сведения о влиянии на производительность рисков Spectre и meltdown в системах Windows

Начиная с января 2018 года корпорация Майкрософт выпустила обновления для системы безопасности, чтобы обеспечить устранение рисков для устройств под управлением следующих операционных систем Windows на базе x64. Клиенты должны установить последние обновления для системы безопасности операционной системы Windows, чтобы воспользоваться преимуществами доступных средств защиты. Мы работаем над обеспечением защиты для других поддерживаемых версий Windows, но в настоящее время у нас нет расписания выпуска. Пожалуйста, проверка здесь для обновления. Дополнительные сведения см. в соответствующей статье базы знаний, посвященной техническим сведениям, и в разделе "Вопросы и ответы".

Выпущено обновление продукта	Состояние	Дата выпуска	Канал выпуска	KB
Windows 10 — версия 1709/Windows Server 2016 (1709)/ IoT базовая — исправление	Выпущено	3 января	WU, WSUS, каталог, коллекция образов Azure	KB4056892
Windows Server 2016 (1709) — серверный контейнер	Выпущено	5 января	Docker Hub	KB4056892
Windows 10 — версии 1703/IoT базовая — исправление	Выпущено	3 января	WU, WSUS, каталог	KB4056891
Windows 10 — версия 1607/Windows Server 2016/ IoT базовая — исправление	Выпущено	3 января	WU, WSUS, каталог	KB4056890
Windows Server 2016 (1607) — образы контейнеров	Выпущено	4 января	Docker Hub	KB4056890
Windows 10 — версии 1511/IoT базовая — исправление	Выпущено	3 января	WU, WSUS, каталог	KB4056888
Windows 10 — версия RTM — исправление	Выпущено	3 января	WU, WSUS, каталог	KB4056893
Windows 10 Mobile (сборка ОС 15254.192) — ARM	Выпущено	5 января	WU, каталог	KB4073117
Windows 10 Mobile (сборка ОС 15063.850)	Выпущено	5 января	WU, каталог	KB4056891
Windows 10 Mobile (сборка ОС 14393.2007)	Выпущено	5 января	WU, каталог	KB4056890
HoloLens с Windows 10	Выпущено	5 января	WU, каталог	KB4056890
Windows 8.1 и Windows Server 2012 R2 — обновление системы безопасности	Выпущено	3 января	WSUS, каталог	KB4056898
Windows Embedded 8.1 Industry Enterprise	Выпущено	3 января	WSUS, каталог	KB4056898
Windows Embedded 8.1 Industry Pro	Выпущено	3 января	WSUS, каталог	KB4056898
Windows Embedded 8.1 Pro	Выпущено	3 января	WSUS, каталог	KB4056898
Windows 8.1 и Windows Server 2012 R2 — ежемесячный накопительный пакет	Выпущено	8 января	WU, WSUS, каталог	KB4056895
Windows Embedded 8.1 Industry Enterprise	Выпущено	8 января	WU, WSUS, каталог	KB4056895
Windows Embedded 8.1 Industry Pro	Выпущено	8 января	WU, WSUS, каталог	KB4056895
Windows Embedded 8.1 Pro	Выпущено	8 января	WU, WSUS, каталог	KB4056895
Windows Server 2012 — обновление системы безопасности	Выпущено		WSUS, каталог
Windows Server 2008 с пакетом обновления 2 (SP2)	Выпущено		WU, WSUS, каталог
Windows Server 2012 — ежемесячный накопительный пакет	Выпущено		WU, WSUS, каталог
Windows Embedded 8 Standard	Выпущено		WU, WSUS, каталог
Windows 7 SP1 и Windows Server 2008 R2 с пакетом обновления 1 (SP1) — обновление системы безопасности	Выпущено	3 января	WSUS, каталог	KB4056897
Windows Embedded Standard 7	Выпущено	3 января	WSUS, каталог	KB4056897
Windows Embedded POSReady 7	Выпущено	3 января	WSUS, каталог	KB4056897
Windows Thin PC	Выпущено	3 января	WSUS, каталог	KB4056897
Windows 7 SP1 и Windows Server 2008 R2 с пакетом обновления 1 (SP1) — ежемесячный накопительный пакет	Выпущено	4 января	WU, WSUS, каталог	KB4056894
Windows Embedded Standard 7	Выпущено	4 января	WU, WSUS, каталог	KB4056894
Windows Embedded POSReady 7	Выпущено	4 января	WU, WSUS, каталог	KB4056894
Windows Thin PC	Выпущено	4 января	WU, WSUS, каталог	KB4056894
Internet Explorer 11 — накопительный пакет обновления для Windows 7 SP1 и Windows 8.1	Выпущено	3 января	WU, WSUS, каталог	KB4056568

9 апреля 2024 г. мы опубликовали CVE-2022-0001 | Внедрение журнала ветвей Intel , описывающее внедрение журнала ветвей (BHI), которое является определенной формой внутрисемейной BTI. Эта уязвимость возникает, когда злоумышленник может управлять журналом ветви перед переходом из режима пользователя в режим супервизора (или из режима VMX, не корневого или гостевого, в корневой режим). Это может привести к тому, что прогностиктор непрямой ветви выберет определенную запись прогностика для непрямой ветви, и гаджет раскрытия информации в прогнозируемом целевом объекте будет выполняться временно. Это может быть возможно, так как соответствующий журнал ветви может содержать ветви, принятые в предыдущих контекстах безопасности, и, в частности, в других режимах прогнозирования.

Следуйте инструкциям, описанным в руководстве по KB4073119 для клиента Windows (ИТ-специалист) и KB4072698 для Windows Server, чтобы устранить уязвимости, описанные в cve-2022-0001 | Внедрение журнала филиалов Intel.

Рекомендации майкрософт по безопасности для сбоя терминала L1 (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 и CVE-2018-3646

Исследования и защита в области безопасности: анализ и устранение рисков обхода спекулятивного хранилища (CVE-2018-3639)

Рекомендации майкрософт по безопасности для обхода спекулятивного хранилища: MSRC ADV180012 и CVE-2018-3639

Советы майкрософт по безопасности для чтения мошеннических системных регистров | Руководство по обновлению системы безопасности для Surface: MSRC ADV180013и CVE-2018-3640

Исследования и защита в области безопасности: анализ и устранение рисков обхода спекулятивного хранилища (CVE-2018-3639)

TechNet Security Research & Defense: KVA Shadow: Устранение кризиса в Windows

Технический центр безопасности: условия программы bounty на стороне спекулятивного выполнения канала

Блог Microsoft Experience: Обновление обновлений системы безопасности Spectre и Meltdown для устройств Windows

Блог Windows для бизнеса: Windows Analytics теперь помогает оценить защиту Spectre и Meltdown

Блог Microsoft Secure: Общие сведения о влиянии на производительность рисков Spectre и meltdown в системах Windows

Блог разработчика Edge: Устранение спекулятивного выполнения атак на стороне канала в Microsoft Edge и Интернет-Обозреватель

Блог Azure: Защита клиентов Azure от уязвимости ЦП

SCCM руководство. Дополнительные рекомендации по устранению уязвимостей спекулятивного выполнения на стороне канала

Рекомендации Майкрософт:

• ADV180002 | Руководство по устранению уязвимостей спекулятивного выполнения в боковом канале

• ADV180012 | Руководство Майкрософт по обходу спекулятивного хранилища

• ADV180013 | Руководство Майкрософт по чтению мошеннических системных регистров

• ADV180016 | Руководство Майкрософт по восстановлению состояния ленивого FP

• ADV180018 | Руководство Майкрософт по устранению проблемы с вариантом L1TF

Intel: рекомендации по безопасности

ARM: рекомендации по безопасности

AMD: рекомендации по безопасности

NVIDIA: Советы по безопасности

Руководство для потребителей. Защита устройства от уязвимостей системы безопасности, связанных с микросхемами

Руководство по антивирусной программе: обновления для системы безопасности Windows, выпущенные 3 января 2018 г., и антивирусная программа

Руководство по блоку обновления безопасности ОС AMD для Windows: KB4073707: блок обновления безопасности операционной системы Windows для некоторых устройств на базе AMD

Обновление для отключения защиты от Spectre, вариант 2: KB4078130: Intel обнаружила проблемы с перезагрузкой микрокода на некоторых старых процессорах 

Руководство по Surface. Руководство по защите от уязвимостей бокового канала спекулятивного выполнения

Проверка состояния устранения рисков на стороне спекулятивного выполнения: общие сведения о Get-SpeculationControlSettings выходных данных скрипта PowerShell

Руководство по ИТ-специалистам: руководство клиента Windows для ИТ-специалистов по защите от уязвимостей спекулятивного выполнения по боковому каналу

Руководство по серверу. Руководство по защите Windows Server от спекулятивного выполнения уязвимостей стороннего канала

Руководство по работе с сервером для сбоя терминала L1: руководство по защите Windows Server от сбоя терминала L1

Руководство для разработчиков: руководство разработчика по обходу спекулятивного хранилища 

Рекомендации по Hyper-V для серверов

• Элементы управления ресурсами виртуальных машин

• Управление ресурсами ЦП узла Hyper-V

База знаний Azure: KB4073235: Защита от уязвимостей в облаке Майкрософт от уязвимостей Side-Channel спекулятивного выполнения

Руководство по Azure Stack: KB4073418: руководство по Azure Stack для защиты от уязвимостей спекулятивного выполнения в боковом канале

Надежность Azure: портал надежности Azure

руководство по SQL Server: KB4073225: SQL Server руководство по защите от уязвимостей спекулятивного выполнения в боковом канале

Ссылки на изготовителей oem и серверных устройств для обновления для защиты от уязвимостей Spectre и Meltdown

Чтобы устранить эти уязвимости, необходимо обновить оборудование и программное обеспечение. Используйте следующие ссылки, чтобы проверка с производителем устройства для применимых обновлений встроенного ПО (микрокодов).

Используйте следующие ссылки, чтобы проверка с производителем устройства для обновлений встроенного ПО (микрокодов). Вам потребуется установить обновления операционной системы и встроенного ПО (микрокода) для всех доступных средств защиты.

OEM-производители устройств	Ссылка на сведения о доступности микрокода
Acer	Уязвимости системы безопасности Spectre и кризисные уязвимости
Asus	Обновление ASUS для метода анализа бокового канала спекулятивного выполнения и прогнозирования косвенных ветвей
Dell	Кризис и уязвимости Spectre
Epson	Уязвимости ЦП (атаки на сторонние каналы)
Fujitsu	Оборудование ЦП, уязвимое к атакам на стороне канала (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HP	ПОДДЕРЖКА КОММУНИКАЦИИ— БЮЛЛЕТЕНЬ ПО БЕЗОПАСНОСТИ
Lenovo	Чтение привилегированной памяти с помощью бокового канала
LG	Получение справки по продукту & поддержки
NEC	О реакции на уязвимость процессора (кризис, спектр) в наших продуктах
Panasonic	Сведения о безопасности уязвимости методом спекулятивного выполнения и анализа бокового канала прогнозирования непрямых ветвей
Samsung	Объявление об обновлении программного обеспечения процессоров Intel
Surface	Рекомендации по защите устройств Surface от уязвимостей спекулятивного выполнения бокового канала
Toshiba	Intel, AMD & уязвимости системы безопасности метода анализа бокового канала спекулятивного выполнения и косвенного прогнозирования ветвей Майкрософт (2017)
Vaio	Поддержка уязвимостей для анализа стороннего канала

OEM-производители серверов	Ссылка на сведения о доступности микрокода
Dell	Кризис и уязвимости Spectre
Fujitsu	Оборудование ЦП, уязвимое к атакам на стороне канала (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HPE	Оповещения об уязвимостях системы безопасности продуктов Hewlett Packard Enterprise
Huawei	Уведомление о безопасности — заявление о раскрытии в средстве массовой информации уязвимостей системы безопасности в проектировании архитектуры ЦП Intel
Lenovo	Чтение привилегированной памяти с помощью бокового канала

Вам потребуется проверка с производителем устройства для обновления встроенного ПО (микрокода). Если изготовитель устройства не указан в таблице, обратитесь к OEM-производителю напрямую.

Обновления для устройств Microsoft Surface доступны клиентам через клиентский компонент Центра обновления Windows. Список доступных обновлений встроенного ПО устройства Surface (микрокода) см. в статье Базы знаний 4073065.

Если ваше устройство не от корпорации Майкрософт, примените обновления встроенного ПО от производителя устройства. За дополнительными сведениями обратитесь к производителю устройства.

Устранение уязвимости оборудования с помощью обновления программного обеспечения представляет собой значительные проблемы и способы их устранения для старых операционных систем и может потребовать значительных изменений архитектуры. Мы продолжаем работать с затронутыми производителями микросхем, чтобы изучить лучший способ обеспечения мер по устранению рисков. Это может быть предоставлено в будущем обновлении. Замена старых устройств под управлением этих старых операционных систем, а также обновление антивирусного программного обеспечения должны устранять оставшийся риск.

Хотя системы под управлением Windows XP являются затронутыми продуктами, корпорация Майкрософт не выпускает для них обновления, так как необходимые комплексные изменения архитектуры ставят под угрозу стабильность системы и вызывают проблемы с совместимостью приложений. Мы рекомендуем пользователям, которые заботит безопасность, обновиться до поддерживаемой операционной системы, чтобы защититься от новых угроз и более надежные средства безопасности.

Обновления Windows 10 для HoloLens доступны клиентам HoloLens через клиентский компонент Центра обновления Windows.

После примененияобновления Безопасность Windows за февраль 2018 г. пользователям HoloLens не нужно предпринимать никаких дополнительных действий для обновления встроенного ПО устройства. Эти меры по устранению рисков также будут включены во все будущие выпуски Windows 10 для HoloLens.

Обратитесь к изготовителю оборудования для получения дополнительных сведений.

Чтобы устройство было полностью защищено, необходимо установить последние обновления для системы безопасности операционной системы Windows для устройства и применимые обновления встроенного ПО (микрокод) от производителя устройства. Эти обновления должны быть доступны на веб-сайте производителя устройства. Сначала необходимо установить обновления антивирусного программного обеспечения. Обновления ОС и встроенного ПО можно установить в любом порядке.

Для устранения этой уязвимости потребуется обновить оборудование и программное обеспечение. Вам также потребуется установить применимые обновления встроенного ПО (микрокода) от производителя устройства для более комплексной защиты. Мы рекомендуем устанавливать ежемесячные обновления системы безопасности, чтобы поддерживать устройства в актуальном состоянии.

В каждом обновлении компонентов Windows 10 мы строим новейшие технологии безопасности глубоко в операционной системе, предоставляя функции глубокой защиты, которые предотвращают влияние на устройство целыми классами вредоносных программ. Обновления компонентов выпускаются два раза в год. В каждом ежемесячном обновлении качества мы добавляем еще один уровень безопасности, который отслеживает новые и изменяющиеся тенденции в вредоносных программах, чтобы сделать современные системы более безопасными перед лицом меняющихся и изменяющихся угроз.

Корпорация Майкрософт отменила проверка совместимости av для обновлений системы безопасности Windows для поддерживаемых версий Windows 10, Windows 8.1 и Windows 7 с пакетом обновления 1 (SP1) через клиентский компонент Центра обновления Windows. 

Рекомендации:

• Убедитесь, что устройства обновлены, установив последние обновления для системы безопасности от корпорации Майкрософт и изготовителя оборудования. Дополнительные сведения о том, как поддерживать устройство в актуальном состоянии, см. в разделе клиентский компонент Центра обновления Windows: вопросы и ответы.

• Продолжайте практиковать разумную осторожность при посещении веб-сайтов неизвестного происхождения, и не оставайтесь на сайтах, которым вы не доверяете. Корпорация Майкрософт рекомендует всем клиентам защитить свои устройства, запустив поддерживаемую антивирусную программу. Клиенты также могут воспользоваться преимуществами встроенными средствами антивирусной защиты, такими как Защитник Windows для устройств с Windows 10 или Microsoft Security Essentials для устройств с Windows 7. Эти решения совместимы в тех случаях, когда клиентам не удается установить или запустить антивирусную программу.

Чтобы избежать негативного влияния на устройства клиентов, обновления системы безопасности Windows, выпущенные в январе или феврале, были предложены не всем клиентам. Дополнительные сведения см. в статье базы знаний Майкрософт 4072699. 

Корпорация Intel сообщила о проблемах , влияющих на недавно выпущенный микрокод, предназначенный для решения Spectre Variant 2 (CVE-2017-5715 — "Внедрение цели ветви"). В частности, Intel отметила, что этот микрокод может привести к "более высоким, чем ожидалось, перезагрузкам и другому непредсказуемому поведению системы", а также что такие ситуации могут привести к "потере данных или повреждению".  Наш собственный опыт показывает, что в некоторых случаях нестабильность системы может привести к потере или повреждению данных. 22 января корпорация Intel рекомендовала клиентам прекратить развертывание текущей версии микрокода на затронутых процессорах, пока они выполняют дополнительное тестирование обновленного решения. Мы понимаем, что корпорация Intel продолжает изучать потенциальное влияние текущей версии микрокода, и мы рекомендуем клиентам постоянно просматривать их рекомендации, чтобы информировать их о своих решениях.

Пока Intel тестирует, обновляет и развертывает новые микрокоды, мы делаем доступным обновление вне диапазона (OOB), KB 4078130, которое, в частности, отключает только защиту от CVE-2017-5715 — "Внедрение цели ветви". В ходе тестирования было обнаружено, что это обновление предотвращает описанное поведение. Полный список устройств см . в руководстве intel по исправлению микрокодов. Это обновление охватывает Windows 7 (с пакетом обновления 1), Windows 8.1 и все версии Windows 10 (клиентские и серверные). Если вы используете затронутое устройство, это обновление можно применить, скачав его с веб-сайта каталога Центра обновления Майкрософт. Применение этих полезных данных специально отключает только устранение рисков для CVE-2017-5715 — "Внедрение цели ветви". 

По состоянию на 25 января нет известных отчетов, указывающих на то, что этот Spectre Variant 2 (CVE-2017-5715) использовался для атак на клиентов. Мы рекомендуем, чтобы при необходимости клиенты Windows повторно включили защиту от CVE-2017-5715, когда Intel сообщит, что это непредсказуемое поведение системы было устранено для вашего устройства.

Нет. Обновления только для системы безопасности не являются накопительными. В зависимости от используемой версии операционной системы необходимо установить все выпущенные обновления только для системы безопасности, чтобы защититься от этих уязвимостей. Например, если вы используете Windows 7 для 32-разрядных систем на затронутом ЦП Intel, необходимо установить каждое обновление только для системы безопасности, начиная с января 2018 г. Рекомендуется устанавливать эти обновления только для системы безопасности в порядке выпуска.
 
Примечание В более ранней версии этого часто задаваемых вопросов неправильно указывалось, что февральское обновление для системы безопасности включало исправления безопасности, выпущенные в январе. На самом деле, это не так.

Нет. Обновление системы безопасности 4078130 было особым исправлением, чтобы предотвратить непредсказуемое поведение системы, проблемы с производительностью и непредвиденные перезапуски после установки микрокода. Применение обновлений для системы безопасности за февраль в клиентских операционных системах Windows позволяет устранить все три проблемы. В операционных системах Windows Server по-прежнему необходимо включить меры по устранению рисков после выполнения соответствующего тестирования. Дополнительные сведения см. в статье базы знаний Майкрософт 4072698 .

AMD недавно объявила, что они начали выпускать микрокоды для новых платформ ЦП вокруг Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Дополнительные сведения см. в техническом документе AMD Security Обновления и документе AMD: Рекомендации по архитектуре по управлению непрямой ветвью. Они доступны в канале встроенного ПО OEM. 

Intel недавно объявила о завершении проверок и начала выпускать микрокоды для новых платформ ЦП. Корпорация Майкрософт предоставляет проверенные Intel обновления микрокодов для Spectre Variant 2 (CVE-2017-5715 "Внедрение цели ветви"). KB 4093836 перечислены определенные статьи базы знаний по версии Windows. Каждая конкретная статья базы знаний содержит доступные обновления микрокода Intel для разных ЦП.

Корпорация Майкрософт предоставляет проверенные intel обновления микрокодов для Spectre Variant 2 (CVE-2017-5715 "Внедрение цели ветви"). Чтобы получить последние обновления микрокодов Intel через клиентский компонент Центра обновления Windows, клиенты должны установить микрокод Intel на устройствах с операционной системой Windows 10 перед обновлением до обновления Windows 10 апреля 2018 г. (версия 1803).

Обновление микрокода также доступно непосредственно из каталога обновлений, если оно не было установлено на устройстве до обновления системы. Микрокод Intel доступен через клиентский компонент Центра обновления Windows, WSUS или в каталоге Центра обновления Майкрософт. Дополнительные сведения и инструкции по скачиванию см. в 4100347 базы знаний.

Дополнительные сведения см. в следующих ресурсах:

• ADV180012 | Руководство Майкрософт по обходу спекулятивного хранилища для CVE-2018-3639

• ADV180013 | Руководство Майкрософт по чтению мошеннической системной регистрации для CVE-2018-3640 и базы знаний 4073065 | Руководство для клиентов Surface

• Блог по исследованиям и обороне в области безопасности Майкрософт

• Руководство разработчика по обходу спекулятивного хранилища

Дополнительные сведения см. в разделах "Рекомендуемые действия" и "Вопросы и ответы" в ADV180012 | Руководство Майкрософт по обходу спекулятивного хранилища.

Чтобы проверить состояние SSBD, скрипт PowerShell Get-SpeculationControlSettings обновлен для обнаружения затронутых процессоров, состояния обновлений операционной системы SSBD и состояния микрокода процессора, если применимо. Дополнительные сведения и сведения о получении скрипта PowerShell см. в разделе KB4074629.

13 июня 2018 г. было объявлено о дополнительной уязвимости, связанной с спекулятивным выполнением по боковому каналу, известной как восстановление состояния Ленивый FP, и была назначена функция CVE-2018-3665. Для восстановления FP с отложенным восстановлением не требуются параметры конфигурации (реестра).

Дополнительные сведения об этой уязвимости и рекомендуемых действиях см. в рекомендациях по безопасности: ADV180016 | Руководство Майкрософт по восстановлению состояния ленивого FP

ПримечаниеДля восстановления FP с отложенным восстановлением не требуются параметры конфигурации (реестра).

Хранилище обхода границ (BCBS) было раскрыто 10 июля 2018 г. и присвоено значение CVE-2018-3693. Мы считаем, что BCBS принадлежит к тому же классу уязвимостей, что и обход проверки границ (вариант 1). В настоящее время мы не знаем о каких-либо экземплярах BCBS в нашем программном обеспечении, но мы продолжаем исследовать этот класс уязвимостей и будем работать с отраслевыми партнерами над выпуском мер по устранению рисков по мере необходимости. Мы по-прежнему призываем исследователей представить любые соответствующие результаты в программу microsoft Speculative Execution Side Channel bounty, включая любые эксплуатируемые экземпляры BCBS. Разработчикам программного обеспечения следует ознакомиться с руководством для разработчиков, которое было обновлено для BCBS на https://aka.ms/sescdevguide.

14 августа 2018 г. было объявлено о сбое терминала L1 (L1TF) и назначено несколько cves. Эти новые спекулятивные уязвимости бокового канала могут использоваться для считывания содержимого памяти через доверенные границы и в случае их использования могут привести к раскрытию информации. Существует несколько векторов, с помощью которых злоумышленник может активировать уязвимости в зависимости от настроенной среды. L1TF влияет на процессоры Intel® Core® и Intel® Xeon®.

Дополнительные сведения об этой уязвимости и подробное представление затронутых сценариев, включая подход Корпорации Майкрософт к устранению уязвимости L1TF, см. в следующих ресурсах:

• ADV180018 | Руководство Майкрософт по устранению проблемы с вариантом L1TF

• Блог о рекомендациях по безопасности по безопасности

• Руководство по серверу для сбоя терминала L1

Клиенты Microsoft Surface: Клиенты, использующие Microsoft Surface и продукты Surface Book, должны следовать рекомендациям для клиента Windows, приведенным в разделе Рекомендации по безопасности: ADV180018 | Руководство Майкрософт по устранению проблемы с вариантом L1TF. Дополнительные сведения о затронутых продуктах Surface и доступности обновлений микрокодов см. в статье базы знаний Майкрософт 4073065 .

Клиенты Microsoft Hololens: Microsoft HoloLens не влияет на L1TF, так как он не использует затронутый процессор Intel.

Действия, необходимые для отключения Hyper-Threading, будут отличаться от OEM к OEM, но обычно являются частью средств настройки и настройки BIOS или встроенного ПО.

Клиенты, использующие 64-разрядные процессоры ARM, должны проверка с изготовителем оборудования устройства для поддержки встроенного ПО, так как для защиты операционной системы ARM64, которая снижает риск внедрения цели CVE-2017-5715 ( Spectre, вариант 2), требуется последнее обновление встроенного ПО от изготовителей оборудования устройств.

Дополнительные сведения об этой уязвимости см. в руководстве по безопасности Майкрософт : CVE-2019-1125 | Уязвимость ядра Windows, связанная с раскрытием информации.

Мы не знаем о каких-либо случаях этой уязвимости раскрытия информации, затрагивающей нашу инфраструктуру облачных служб.

Как только нам стало известно об этой проблеме, мы быстро поработали над ее решением и выпуском обновления. Мы твердо верим в тесные партнерские отношения как с исследователями, так и с отраслевыми партнерами, чтобы сделать клиентов более безопасными, и не публиковали подробности до вторника, 6 августа, в соответствии с скоординированной практикой раскрытия уязвимостей.