KB4073757: Windows-laitteiden suojaaminen piipohjaisten mikroarchitectural- ja spekulatiivisten suorituspuolen kanavahaavoittuvuuksien varalta

Päivämäärän muuttaminen	Muuta kuvausta
9. elokuuta 2023	CVE-2022-23816-sisältöä on poistettu, koska CVE-numeroa ei käytetä Windows-laitteiden suojaamiseen liittyvät ohjeet -osiossa on poistettu intel-mikrokoodipäivitykset -niminen aihe.
9. huhtikuuta 2024	Lisätty CVE-2022-0001 | Intelin haarahistorian lisäys

Sinun on ehkä päivitettävä sekä laiteohjelmistosi (mikrokoodi) että ohjelmistosi näiden haavoittuvuuksien korjaamiseksi. Lisätietoja suositelluista toimista on Microsoftin suojaustiedottuksissa. Tämä sisältää laitevalmistajien soveltuvat laiteohjelmistopäivitykset (mikrokoodi) ja joissakin tapauksissa virustentorjuntaohjelmiston päivitykset. Kehotamme sinua pitämään laitteesi ajan tasalla asentamalla tietoturvapäivitykset kuukausittain. 

Jos haluat saada kaikki käytettävissä olevat suojaukset, hanki uusimmat päivitykset sekä ohjelmistolle että laitteistolle noudattamalla seuraavia ohjeita.

1. Pidä Windows-laitteesi ajan tasalla ottamalla automaattiset päivitykset käyttöön.

2. Tarkista, että olet asentanut Microsoftin Windows-käyttöjärjestelmän uusimman suojauspäivityksen. Jos automaattiset päivitykset ovat käytössä, päivitykset on toimitettava sinulle automaattisesti. Varmista kuitenkin, että ne on asennettu. Katso ohjeet artikkelista Windows Update: usein kysytyt kysymykset

3. Asenna laitteen valmistajalta saatavilla olevat laiteohjelmistopäivitykset (mikrokoodipäivitykset). Kaikkien asiakkaiden on tarkistettava asia laitevalmistajaltaan, jotta he voivat ladata ja asentaa laitekohtaista laitteistopäivitystään. Lisätietoja laitteen valmistajan sivustoista on Lisäresurssit-osiossa.

   Huomautus: Asiakkaita suositellaan asentamaan uusimmat Windows-käyttöjärjestelmän tietoturvapäivitykset Microsoftilta voidakseen hyödyntää parasta mahdollista suojausta. Virustorjuntapäivitykset täytyy asentaa ensin. Asenna käyttöjärjestelmä- ja laiteohjelmistopäivitykset vasta niiden jälkeen. Kehotamme sinua pitämään laitteesi ajan tasalla asentamalla tietoturvapäivitykset kuukausittain. 

Näitä siruja ovat muun muassa Intelin, AMD:n ja ARM:n valmistamat sirut. Tämä tarkoittaa, että kaikki laitteet, joissa on Windows-käyttöjärjestelmä, ovat mahdollisesti haavoittuvia. Tämä koskee pöytätietokoneita, kannettavia tietokoneita, pilvipalvelimia ja älypuhelimia. Tämä koskee myös laitteita, joissa on käytössä muita käyttöjärjestelmiä, kuten Android, Chrome, iOS ja macOS. Neuvomme näitä käyttöjärjestelmiä käyttäviä asiakkaita pyytämään ohjeita näiltä toimittajilta.

Julkaisuhetkellä emme olleet saaneet mitään tietoja, jotka osoittaisivat, että näitä tietoturva-aukkoja on käytetty asiakkaiden hyökkäyksiin.

Tammikuusta 2018 alkaen Microsoft on julkaissut windows-käyttöjärjestelmien sekä Internet Explorer- ja Edge-selainten päivityksiä, jotka auttavat vähentämään näitä tietoturva-aukkoja ja suojaamaan asiakkaita. Olemme myös julkaisseet päivityksiä pilvipalveluidemme suojaamiseksi.  Jatkamme tiivistä yhteistyötä alan kumppaneiden, kuten siruvalmistajien, laitevalmistajien ja sovellustoimittajien, kanssa asiakkaiden suojaamiseksi tältä haavoittuvuudelta. 

Suosittelemme, että asennat aina kuukausittaiset päivitykset, jotta laitteesi pysyvät ajan tasalla ja turvassa. 

Päivitämme nämä ohjeet, kun uusia lievennyksiä tulee saataville, ja suosittelemme, että palaat tänne säännöllisesti. 

Heinäkuun 2019 Windows-käyttöjärjestelmäpäivitykset

Intel julkisti 6. elokuuta 2019 tietoturva-aukon CVE-2019-1125 tiedot | Windows-ytimen tietojen paljastumisen haavoittuvuus. Tämän haavoittuvuuden suojauspäivitykset julkaistiin osana heinäkuun kuukausittaista päivitystä 9. heinäkuuta 2019.

Microsoft julkaisi Windows-käyttöjärjestelmän suojauspäivityksen 9. heinäkuuta 2019 ongelman lieventämiseksi. Pidättelimme tämän lieventämisen dokumentoimista julkisesti, kunnes koordinoitu teollisuuden julkistaminen tiistaina 6. elokuuta 2019.

Asiakkaat, joilla on Windows Update käytössä ja jotka ovat ottaneet käyttöön 9. heinäkuuta 2019 julkaistut suojauspäivitykset, suojataan automaattisesti. Huomaa, että tämä haavoittuvuus ei edellytä laitteen valmistajalta (OEM) mikrokoodipäivitystä.

Toukokuun 2019 Windows-käyttöjärjestelmäpäivitykset

Intel julkaisi 14.5.2019 tietoja spekulatiivisen suorituspuolen kanavan haavoittuvuuksien uudesta alaluokasta, joka tunnetaan nimellä Microarchitectural Data Sampling , ja sille annettiin seuraavat cv:t:

• CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"

• CVE-2018-12126 – "Microarchitectural Store Buffer Data Sampling (MSBDS)"

• CVE-2018-12127 – "Microarchitectural Fill Buffer Data Sampling (MFBDS)"

• CVE-2018-12130 – "Microarchitectural Load Port Data Sampling (MLPDS)"

Lisätietoja tästä ongelmasta on seuraavissa Suojaustiedote- ja käyttöskenaarioihin perustuvissa ohjeissa, jotka on kuvattu Windowsin asiakas- ja palvelinartikkeleissa, joissa määritetään uhan lieventämiseen tarvittavat toimet:

• ADV-190013 | Microsoftin ohjeet Mikroarkkitektural Data Sampling -haavoittuvuuksien lieventämiseen

• KB 4073119 | Windows IT Pro -asiakasohjeet spekulatiivisen suorituspuolen kanavan haavoittuvuuksilta suojautumiseen

• KB 4457951 | Windows Serverin ohjeet spekulatiivisen suorituspuolen kanavan haavoittuvuuksilta suojautumiseen

Microsoft on julkaissut suojauksia spekulatiivisen suorituspuolen kanavahaavoittuvuuksien uutta aliluokkaa vastaan, joka tunnetaan nimellä Microarchitectural Data Sampling 64-bittisille (x64) Windows-versioille (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Käytä rekisteriasetuksia Windows-asiakasohjelman (KB4073119) ja Windows Serverin (KB4457951) artikkeleissa kuvatulla tavalla. Nämä rekisteriasetukset ovat oletusarvoisesti käytössä Windows-asiakaskäyttöjärjestelmäversioissa ja Windows Server -käyttöjärjestelmäversioissa.

Suosittelemme, että asennat ensin kaikki uusimmat päivitykset Windows Update ennen mikrokoodipäivitysten asentamista.

Lisätietoja tästä ongelmasta ja suositelluista toiminnoista on seuraavassa suojausilmoituksessa: 

• ADV-190013 | Microsoftin ohjeet Mikroarkkitektural Data Sampling -haavoittuvuuksien lieventämiseen

Intel on julkaissut mikrokoodipäivityksen viimeaikaisille suorittimen alustoille, jotka auttavat lieventämään CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. 14. toukokuuta 2019 julkaistussa Windows KB -4093836 luetellaan tietyt Knowledge Base -artikkelit Windows-käyttöjärjestelmän version mukaan.  Artikkelissa on myös linkkejä suorittimen käytettävissä oleviin Intel-mikrokoodipäivityksiin. Nämä päivitykset ovat saatavilla Microsoft-luettelosta.

Huomautus: Suosittelemme, että asennat kaikki uusimmat päivitykset Windows Update ennen mikrokoodipäivitysten asentamista.

Olemme iloisia voidessamme ilmoittaa, että Retpoline on oletusarvoisesti käytössä Windows 10, versio 1809 laitteissa (asiakas- ja palvelinlaitteissa), jos Spectre-variantti 2 (CVE-2017-5715) on käytössä. Ottamalla Retpolinen käyttöön Windows 10 uusimmassa versiossa 14. toukokuuta 2019 julkaistun päivityksen (KB 4494441) avulla odotamme parempaa suorituskykyä erityisesti vanhemmissa suorittimilla.

Asiakkaiden tulee varmistaa, että Spectre-variantin 2 haavoittuvuutta vastaan aikaisemmat käyttöjärjestelmäsuojaukset otetaan käyttöön Käyttämällä Windows-asiakasohjelma - ja Windows Server - artikkeleissa kuvattuja rekisteriasetuksia. (Nämä rekisteriasetukset ovat oletusarvoisesti käytössä Windows-asiakaskäyttöjärjestelmäversioissa, mutta ne on oletusarvoisesti poistettu käytöstä Windows Server -käyttöjärjestelmäversioissa). Lisätietoja Retpoline-versiosta on ohjeaiheessa Spectre-variantin 2 lieventäminen Windowsin Retpoline-toiminnolla.

Marraskuun 2018 Windows-käyttöjärjestelmäpäivitykset

Microsoft on julkaissut käyttöjärjestelmäsuojauksia spekulatiiviselle Storen ohituspalvelulle (CVE-2018-3639) AMD-suorittimia varten.

Microsoft on julkaissut muita käyttöjärjestelmäsuojauksia asiakkaille, jotka käyttävät 64-bittisiä ARM-suorittimia. Pyydä laiteohjelmiston tukea laitteen alkuperäiseltä laitevalmistajalta, koska ARM64-käyttöjärjestelmän suojaus, joka lieventää CVE-2018-3639:ää, spekulatiivista Kaupan ohittamista, vaatii uusimman laiteohjelmistopäivityksen laitteesi alkuperäiseltä laitevalmistajalta.

Syyskuun 2018 Windows-käyttöjärjestelmäpäivitykset

11. syyskuuta 2018, Microsoft julkaisi Windows Server 2008 SP2:n kuukausittaisen koontiversion 4458010 ja vain suojausta koskevat 4457984 Windows Server 2008:lle. Se suojaa uutta spekulatiivisen suorituspuolen kanavan haavoittuvuutta L1 Terminal Fault (L1TF) vastaan, joka vaikuttaa Intel® Core -® suorittimiin ja Intel® Xeon® -suorittimiin (CVE-2018-3620 ja CVE-2018-3646). 

Tämä versio täydentää kaikkien tuettujen Windows-järjestelmäversioiden lisäsuojaukset Windows Update kautta. Lisätietoja ja luettelo tuotteista, joihin ongelma vaikuttaa, on artikkelissa ADV180018 | Microsoftin ohjeet L1TF-variantin lieventämiseen.

Huomautus: Windows Server 2008 SP2 noudattaa nyt Windows servicingin vakiokoontimallia. Lisätietoja näistä muutoksista on Windows Server 2008 SP2:n ylläpitomuutosten blogissa. Windows Server 2008 :aa käyttävien asiakkaiden tulisi asentaa joko 4458010 tai 4457984 14. elokuuta 2018 julkaistun Security Update 4341832 -päivityksen lisäksi. Asiakkaiden tulee myös varmistaa, että Spectre-variantin 2 ja Meltdown-haavoittuvuuksien vastaiset aiemmat käyttöjärjestelmäsuojaukset otetaan käyttöön Käyttämällä Windows-asiakasohjelman ja Windows Serverin KB-ohjeartikkeleissa kuvattuja rekisteriasetuksia. Nämä rekisteriasetukset ovat oletusarvoisesti käytössä Windows-asiakaskäyttöjärjestelmäversioissa, mutta ne on oletusarvoisesti poistettu käytöstä Windows Server -käyttöjärjestelmäversioissa.

Microsoft on julkaissut muita käyttöjärjestelmäsuojauksia asiakkaille, jotka käyttävät 64-bittisiä ARM-suorittimia. Tarkista laitevalmistajalta laiteohjelmiston tuki, koska ARM64-käyttöjärjestelmän suojaukset, jotka lieventävät CVE-2017-5715 - Branch target injection (Spectre, Variant 2), vaativat uusimman laiteohjelmistopäivityksen laitteesi alkuperäisiltä laitevalmistajilta.

Elokuun 2018 Windows-käyttöjärjestelmäpäivitykset

14. elokuuta 2018 ilmoitettiin L1 Terminal Fault (L1TF) -terminaaliviasta, ja sille annettiin useita cv:tä. Näitä uusia spekulatiivisen suorituspuolen kanavan haavoittuvuuksia voidaan käyttää muistin sisällön lukemiseen luotetun rajan yli, ja jos niitä käytetään hyväksi, ne voivat johtaa tietojen paljastamiseen. On olemassa useita vektoreita, joiden avulla hyökkääjä voi laukaista haavoittuvuudet määritetyn ympäristön mukaan. L1TF vaikuttaa Intel® Core -® suorittimeen ja Intel® Xeon® -suorittimeen.

Lisätietoja L1TF:stä ja yksityiskohtainen näkymä skenaarioista, joihin ongelma vaikuttaa, mukaan lukien Microsoftin lähestymistapa L1TF:n lieventämiseen, on seuraavissa resursseissa:

• ADV180018 | Microsoftin ohjeet L1TF-variantin lieventämiseen

• Security Advisory Security Research -blogi

• L1-päätevirheen palvelinohjeet

Heinäkuun 2018 Windows-käyttöjärjestelmäpäivitykset

Olemme iloisia voidessamme ilmoittaa, että Microsoft on julkaissut lisäsuojauksia kaikkiin tuettuihin Windows-järjestelmäversioihin Windows Update kautta seuraaviin haavoittuvuuksiin:

• Spectre Variant 2 AMD-suorittimia varten

• Spekulatiivisen Storen ohitus Intel-suorittimilla

13. kesäkuuta 2018 ilmoitettiin ylimääräisestä haavoittuvuudesta, joka liittyy sivukanavan spekulatiivisiin suorituksiin, joka tunnetaan nimellä Lazy FP State Restore, ja sille annettiin CVE-2018-3665. Lazy Restore FP Restore -palautustoimintoa varten ei tarvita määritysasetuksia (rekisteriasetuksia).

Lisätietoja tästä haavoittuvuudesta, tuotteista, joihin ongelma vaikuttaa, ja suositelluista toiminnoista on seuraavassa suojausilmoituksessa:

• ADV180016 | Microsoftin ohjeet laiskan FP-tilan palauttamiseen

Microsoft ilmoitti 12. kesäkuuta Windows-tuesta spekulatiiviselle Storen ohitustoiminnolle (SSBD) Intel-suorittimilla. Päivitykset edellyttävät vastaavia laiteohjelmistopäivityksiä (mikrokoodi) ja rekisteripäivityksiä. Lisätietoja päivityksistä ja SSBD:n käyttöönottovaiheista on ADV180012 | Microsoftin ohjeet spekulatiivisen Kaupan ohittamiseen.

Toukokuun 2018 Windows-käyttöjärjestelmäpäivitykset

Tammikuussa 2018 Microsoft julkaisi tietoja äskettäin löydetyistä laitteistohaavoittuvuuksista (Spectre ja Meltdown), joihin liittyy spekulatiivisia suorituspuolen kanavia, jotka vaikuttavat AMD:hen, ARM:hen ja Intelin suoritinyksikköihin vaihtelevassa määrin. 21. toukokuuta 2018 Google Project Zero (GPZ), Microsoft ja Intel paljastivat kaksi uutta siruhaavoittuvuutta, jotka liittyvät Spectre- ja Meltdown-ongelmiin, jotka tunnetaan nimellä Spekulatiivisen Kaupan ohitus (SSB) ja Rogue System Registry Read.

Asiakasriski molemmista ilmoituksista on pieni.

Lisätietoja näistä haavoittuvuuksista on seuraavissa resursseissa:

• Microsoft security advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639

• Microsoft Security Advisory for Rogue System Register Lue: MSRC ADV180013ja CVE-2018-3640

• Security Research and Defense: Spekulatiivisen myymälän ohittamisen analyysi ja lieventäminen (CVE-2018-3639)

Koskee seuraavia: Windows 10, versio 1607, Windows Server 2016, Windows Server 2016 (Server Core -asennus) ja Windows Serverin versio 1709 (Server Core -asennus)

Olemme tarjonneet tukea epäsuoran haaran ennakointimuurin (IBPB) käytön hallintaan joissakin AMD-suorittimissa (CPU) CVE-2017-5715 Spectre-variantin 2 lieventämiseksi, kun vaihdat käyttäjäkontekstista ydinkontekstiin. (Lisätietoja on artikkelissa AMD-arkkitehtuurin ohjeet epäsuoran haaran hallinnasta ja AMD-suojauksen Päivitykset).

Asiakkaiden, joilla on käytössä Windows 10, versio 1607, Windows Server 2016, Windows Server 2016 (Server Core -asennus) ja Windows Serverin versio 1709 (Server Core -asennus), on asennettava suojauspäivitys 4103723 lisävähennyksiä AMD-suorittimille CVE-2017-5715, Branch Target Injection -versiolle. Tämä päivitys on saatavilla myös Windows Update.

Noudata ohjeissa KB 4073119 for Windows Client (IT Pro) kuvattuja ohjeita ja Windows Serverin KB-4072698 ohjeita, jotta voit ottaa IBPB:n käytön käyttöön joissakin AMD-suorittimissa Spectre-variantin 2 lieventämiseksi, kun vaihdat käyttäjäkontekstista ydinkontekstiin.

Microsoft tuo saataville Intelin vahvistamia mikrokoodipäivityksiä Spectre-variantin 2 ympärille (CVE-2017-5715 "Branch Target Injection"). Jotta asiakkaat voivat hankkia uusimmat Intel-mikrokoodipäivitykset Windows Update kautta, heidän on oltava asentaneet Intel-mikrokoodin laitteisiin, joissa on Windows 10 käyttöjärjestelmä, ennen päivittämistä Windows 10 huhtikuun 2018 päivitykseen (versio 1803).

Mikrokoodipäivitys on myös saatavilla suoraan luettelosta, jos se ei ole asennettuna laitteeseen ennen käyttöjärjestelmän päivittämistä. Intel-mikrokoodi on saatavilla Windows Update, WSUS:n tai Microsoft Update -luettelon kautta. Lisätietoja ja latausohjeita on artikkelissa KB-4100347.

Tarjoamme Intelin muita mikrokoodipäivityksiä Windows-käyttöjärjestelmään, kun ne tulevat Microsoftin saataville.

Koskee seuraavia: Windows 10, versio 1709

Olemme tarjonneet tukea epäsuoran haaran ennakointimuurin (IBPB) käytön hallintaan joissakin AMD-suorittimissa (CPU) CVE-2017-5715 Spectre-variantin 2 lieventämiseksi, kun vaihdat käyttäjäkontekstista ydinkontekstiin. (Lisätietoja on artikkelissa AMD-arkkitehtuurin ohjeet epäsuoran haaran hallinnasta ja AMD-suojauksen Päivitykset).

Noudata ohjeissa KB 4073119 for Windows Client (IT Pro) kuvattuja ohjeita, jotta voit ottaa IBPB:n käyttöön joissakin AMD-suorittimissa Spectre-variantin 2 lieventämiseksi, kun vaihdat käyttäjäkontekstista ydinkontekstiin.

Microsoft tuo saataville Intelin vahvistamia mikrokoodipäivityksiä Spectre-variantin 2 ympärille (CVE-2017-5715 "Branch Target Injection"). KB4093836 luetteloi tietyt Knowledge Base -artikkelit Windows-version mukaan. Jokainen tietty KB sisältää suorittimen uusimmat saatavilla olevat Intel-mikrokoodipäivitykset.

Tarjoamme Intelin muita mikrokoodipäivityksiä Windows-käyttöjärjestelmään, kun ne tulevat Microsoftin saataville. 

Maaliskuun 2018 ja uudemmat Windows-käyttöjärjestelmäpäivitykset

23. maaliskuuta TechNet Security Research & Defense: KVA Shadow: Meltdownin lieventäminen Windowsissa

14. maaliskuuta Security Tech Center: Spekulatiivisen suorituspuolen kanavan palkkio-ohjelman ehdot

13. maaliskuuta blogi: maaliskuun 2018 Windowsin suojaus päivitys – Laajennamme toimiamme asiakkaiden suojaamiseksi

1. maaliskuuta blogi: Päivitys Spectre- ja Meltdown-suojauspäivityksistä Windows-laitteille

Maaliskuusta 2018 alkaen Microsoft on julkaissut suojauspäivityksiä, jotka tarjoavat lievennyksiä laitteille, joissa on käytössä seuraavat x86-pohjaiset Windows-käyttöjärjestelmät. Asiakkaiden tulee asentaa uusimmat Windows-käyttöjärjestelmän suojauspäivitykset, jotta he voivat hyödyntää käytettävissä olevia suojaustoimintoja. Pyrimme suojaamaan muita tuettuja Windows-versioita, mutta meillä ei ole julkaisuaikataulua tällä hetkellä. Tarkista päivitykset täältä. Lisätietoja on aiheeseen liittyvässä Knowledge Base -artikkelissa, jossa on teknisiä tietoja, ja usein kysytyt kysymykset -osiosta.

Tuotepäivitys julkaistu	Tila	Julkaisupäivä	Julkaisukanava	KB
Windows 8.1 & Windows Server 2012 R2 – vain suojauspäivitys	Julkaistu	13.3.	WSUS, Luettelo,	KB4088879
Windows 7 SP1 & Windows Server 2008 R2 SP1 – vain suojauspäivitys	Julkaistu	13.3.	WSUS-palvelut, Catalog	KB4088878
Windows Server 2012 - Vain suojausta parantava päivitys Windows 8 Embedded Standard Edition - Vain suojauspäivitys	Julkaistu	13.3.	WSUS-palvelut, Catalog	KB4088877
Windows 8.1 & Windows Server 2012 R2 – kuukausittainen koontiversio	Julkaistu	13.3.	WU, WSUS-palvelut, Catalog	KB4088876
Windows 7 SP1 & Windows Server 2008 R2 SP1 – kuukausittainen koontiversio	Julkaistu	13.3.	WU, WSUS-palvelut, Catalog	KB4088875
Windows Server 2012 – kuukausittainen koontiversio Windows 8 Embedded Standard Edition – kuukausittainen koontiversio	Julkaistu	13.3.	WU, WSUS-palvelut, Catalog	KB4088877
Windows Server 2008 SP2	Julkaistu	13.3.	WU, WSUS-palvelut, Catalog	KB4090450

Maaliskuusta 2018 alkaen Microsoft on julkaissut suojauspäivityksiä, jotka tarjoavat lievennyksiä laitteille, joissa on käytössä seuraavat x64-pohjaiset Windows-käyttöjärjestelmät. Asiakkaiden tulee asentaa uusimmat Windows-käyttöjärjestelmän suojauspäivitykset, jotta he voivat hyödyntää käytettävissä olevia suojaustoimintoja. Pyrimme suojaamaan muita tuettuja Windows-versioita, mutta meillä ei ole julkaisuaikataulua tällä hetkellä. Tarkista päivitykset täältä. Lisätietoja on aiheeseen liittyvässä tietokanta artikkelissa tekniset tiedot ja usein kysytyt kysymykset -osiossa.

Tuotepäivitys julkaistu	Tila	Julkaisupäivä	Julkaisukanava	KB
Windows Server 2012 - Vain suojausta parantava päivitys Windows 8 Embedded Standard Edition - Vain suojauspäivitys	Julkaistu	13.3.	WSUS-palvelut, Catalog	KB4088877
Windows Server 2012 – kuukausittainen koontiversio Windows 8 Embedded Standard Edition – kuukausittainen koontiversio	Julkaistu	13.3.	WU, WSUS-palvelut, Catalog	KB4088877
Windows Server 2008 SP2	Julkaistu	13.3.	WU, WSUS-palvelut, Catalog	KB4090450

Tämä päivitys korjaa Windowsin 64-bittisen (x64) version Windows-ytimen käyttöoikeushaavoittuvuuden. Tämä haavoittuvuus on dokumentoitu versiossa CVE-2018-1038. Käyttäjien on otettava tämä päivitys käyttöön, jotta he voivat suojautua täydeltä haavoittuvuudelta, jos heidän tietokoneensa on päivitetty tammikuussa 2018 tai sen jälkeen, käyttämällä mitä tahansa seuraavassa Knowledge Base -artikkelissa lueteltuja päivityksiä:

Windows-ytimen päivitys CVE-2018-1038:lle

Tämä suojauspäivitys korjaa useita raportoituja Internet Explorerin tietoturva-aukkoja. Lisätietoja näistä haavoittuvuuksista on ohjeaiheessa Microsoftin yleiset haavoittuvuudet ja altistukset. 

Tuotepäivitys julkaistu	Tila	Julkaisupäivä	Julkaisukanava	KB
Internet Explorer 10 – Windows 8 Embedded Standard Editionin kumulatiivinen päivitys	Julkaistu	13.3.	WU, WSUS-palvelut, Catalog	KB4089187

Helmikuun 2018 Windows-käyttöjärjestelmäpäivitykset

Blogi: Windows Analytics auttaa nyt arvioimaan Spectre- ja Meltdown-suojauksia

Seuraavat suojauspäivitykset tarjoavat lisäsuojauksia laitteille, joissa on 32-bittinen (x86) Windows-käyttöjärjestelmä. Microsoft suosittelee, että asiakkaat asentavat päivityksen heti, kun se on saatavilla. Pyrimme edelleen suojaamaan muita tuettuja Windows-versioita, mutta meillä ei ole julkaisuaikataulua tällä hetkellä. Tarkista päivitykset täältä. 

Huomautus Windows 10 kuukausittaiset suojauspäivitykset ovat kumulatiivisia kuukausittain, ja ne ladataan ja asennetaan automaattisesti Windows Update. Jos olet asentanut aiemmat päivitykset, vain uudet osat ladataan ja asennetaan laitteeseesi. Lisätietoja on aiheeseen liittyvässä Knowledge Base -artikkelissa, jossa on teknisiä tietoja, ja usein kysytyt kysymykset -osiosta.

Tuotepäivitys julkaistu	Tila	Julkaisupäivä	Julkaisukanava	KB
Windows 10:n versio 1709 / Windows Server 2016 (1709) / IoT Core – laatupäivitys	Julkaistu	31.1.2019	WU, Catalog	KB4058258
Windows Server 2016 (1709) – Server-säilö	Julkaistu	13.-2. helmikuuta	Docker Hub	KB4074588
Windows 10:n versio 1703 / IoT Core – laatupäivitys	Julkaistu	13.-2. helmikuuta	WU, WSUS-palvelut, Catalog	KB4074592
Windows 10 – versio 1607 / Windows Server 2016 / IoT Core - laatupäivitys	Julkaistu	13.-2. helmikuuta	WU, WSUS-palvelut, Catalog	KB4074590
Windows 10 HoloLens – käyttöjärjestelmän ja laiteohjelmiston Päivitykset	Julkaistu	13.-2. helmikuuta	WU, Catalog	KB4074590
Windows Server 2016 (1607) – säilökuvat	Julkaistu	13.-2. helmikuuta	Docker Hub	KB4074590
Windows 10:n versio 1511 / IoT Core – laatupäivitys	Julkaistu	13.-2. helmikuuta	WU, WSUS-palvelut, Catalog	KB4074591
Windows 10:n RTM-versio – laatupäivitys	Julkaistu	13.-2. helmikuuta	WU, WSUS-palvelut, Catalog	KB4074596

Windows-käyttöjärjestelmän tammikuun 2018 päivitykset

Blogi: Spectren suorituskykyvaikutuksen ja sulamisen lieventämisen ymmärtäminen Windows-järjestelmissä

Tammikuusta 2018 alkaen Microsoft julkaisi suojauspäivityksiä, jotka tarjoavat lievennyksiä laitteille, joissa on käytössä seuraavat x64-pohjaiset Windows-käyttöjärjestelmät. Asiakkaiden tulee asentaa uusimmat Windows-käyttöjärjestelmän suojauspäivitykset, jotta he voivat hyödyntää käytettävissä olevia suojaustoimintoja. Pyrimme suojaamaan muita tuettuja Windows-versioita, mutta meillä ei ole julkaisuaikataulua tällä hetkellä. Tarkista päivitykset täältä. Lisätietoja on aiheeseen liittyvässä Knowledge Base -artikkelissa, jossa on teknisiä tietoja, ja usein kysytyt kysymykset -osiosta.

Tuotepäivitys julkaistu	Tila	Julkaisupäivä	Julkaisukanava	KB
Windows 10:n versio 1709 / Windows Server 2016 (1709) / IoT Core – laatupäivitys	Julkaistu	3.1.2019	WU, WSUS, Catalog, Azure Image Gallery	KB4056892
Windows Server 2016 (1709) – Server-säilö	Julkaistu	5.1.2019	Docker Hub	KB4056892
Windows 10:n versio 1703 / IoT Core – laatupäivitys	Julkaistu	3.1.2019	WU, WSUS-palvelut, Catalog	KB4056891
Windows 10:n versio 1607 / Windows Server 2016 / IoT Core – laatupäivitys	Julkaistu	3.1.2019	WU, WSUS-palvelut, Catalog	KB4056890
Windows Server 2016 (1607) – säilökuvat	Julkaistu	4.1.2019	Docker Hub	KB4056890
Windows 10:n versio 1511 / IoT Core – laatupäivitys	Julkaistu	3.1.2019	WU, WSUS-palvelut, Catalog	KB4056888
Windows 10:n RTM-versio – laatupäivitys	Julkaistu	3.1.2019	WU, WSUS-palvelut, Catalog	KB4056893
Windows 10 Mobile (käyttöjärjestelmän koontiversio 15254.192) – ARM	Julkaistu	5.1.2019	WU, Catalog	KB4073117
Windows 10 Mobile (käyttöjärjestelmän koontiversio 15063.850)	Julkaistu	5.1.2019	WU, Catalog	KB4056891
Windows 10 Mobile (käyttöjärjestelmän koontiversio 14393.2007)	Julkaistu	5.1.2019	WU, Catalog	KB4056890
Windows 10 HoloLens	Julkaistu	5.1.2019	WU, Catalog	KB4056890
Windows 8.1 / Windows Server 2012 R2 – pelkkä suojauspäivitys	Julkaistu	3.1.2019	WSUS-palvelut, Catalog	KB4056898
Windows Embedded 8.1 Industry Enterprise	Julkaistu	3.1.2019	WSUS-palvelut, Catalog	KB4056898
Windows Embedded 8.1 Industry Pro	Julkaistu	3.1.2019	WSUS-palvelut, Catalog	KB4056898
Windows Embedded 8.1 Pro	Julkaistu	3.1.2019	WSUS-palvelut, Catalog	KB4056898
Windows 8.1 / Windows Server 2012 R2 – kuukausittainen koontipäivitys	Julkaistu	8.1.2019	WU, WSUS-palvelut, Catalog	KB4056895
Windows Embedded 8.1 Industry Enterprise	Julkaistu	8.1.2019	WU, WSUS-palvelut, Catalog	KB4056895
Windows Embedded 8.1 Industry Pro	Julkaistu	8.1.2019	WU, WSUS-palvelut, Catalog	KB4056895
Windows Embedded 8.1 Pro	Julkaistu	8.1.2019	WU, WSUS-palvelut, Catalog	KB4056895
Windows Server 2012 – vain suojauspäivitys	Julkaistu		WSUS-palvelut, Catalog
Windows Server 2008 SP2	Julkaistu		WU, WSUS-palvelut, Catalog
Windows Server 2012 – kuukausittainen koontipäivitys	Julkaistu		WU, WSUS-palvelut, Catalog
Windows Embedded 8 Standard	Julkaistu		WU, WSUS-palvelut, Catalog
Windows 7 SP1 / Windows Server 2008 R2 SP1 – vain suojauspäivitys	Julkaistu	3.1.2019	WSUS-palvelut, Catalog	KB4056897
Windows Embedded Standard 7	Julkaistu	3.1.2019	WSUS-palvelut, Catalog	KB4056897
Windows Embedded POSReady 7	Julkaistu	3.1.2019	WSUS-palvelut, Catalog	KB4056897
Windows Thin -tietokone	Julkaistu	3.1.2019	WSUS-palvelut, Catalog	KB4056897
Windows 7 SP1 / Windows Server 2008 R2 SP1 – kuukausittainen koontipäivitys	Julkaistu	4.1.2019	WU, WSUS-palvelut, Catalog	KB4056894
Windows Embedded Standard 7	Julkaistu	4.1.2019	WU, WSUS-palvelut, Catalog	KB4056894
Windows Embedded POSReady 7	Julkaistu	4.1.2019	WU, WSUS-palvelut, Catalog	KB4056894
Windows Thin -tietokone	Julkaistu	4.1.2019	WU, WSUS-palvelut, Catalog	KB4056894
Internet Explorer 11:n kumulatiivinen päivitys Windows 7 SP1:lle ja Windows 8.1:lle	Julkaistu	3.1.2019	WU, WSUS-palvelut, Catalog	KB4056568

9. huhtikuuta 2024 julkaisimme CVE-2022-0001 | Intel Branch History Injection , joka kuvaa haarahistorian lisäystä (BHI), joka on erityinen moodin sisäinen BTI. Tämä haavoittuvuus ilmenee, kun hyökkääjä voi käsitellä haarahistoriaa ennen siirtymistä käyttäjästä valvojatilaan (tai VMX:stä, joka ei ole pää-/vieras, päätilaan). Tämä manipulointi voi saada epäsuoran haaran ennustajaa valitsemaan tietyn ennustajamerkinnän epäsuoralle haaralle, ja ennustetun kohteen paljastusohjelma suoritetaan tilapäisesti. Tämä voi olla mahdollista, koska kyseisessä haarahistoriassa voi olla aikaisemmissa suojauskonteksteissa ja erityisesti muissa ennustajatiloissa otettuja haaroja.

Noudata windows-asiakasohjelman (IT Pro) KB4073119 ohjeita ja KB4072698 Windows Serverin ohjeisiin CVE-2022-0001 | Intelin haarahistorian lisäys.

Microsoft security advisory for L1 Terminal Fault (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 ja CVE-2018-3646

Security Research and Defense: Spekulatiivisen myymälän ohittamisen analyysi ja lieventäminen (CVE-2018-3639)

Microsoft security advisory for Speculative Store Bypass: MSRC ADV180012 and CVE-2018-3639

Microsoft Security Advisory for Rogue System Register Read | Surfacen tietoturvapäivitysopas: MSRC ADV180013ja CVE-2018-3640

Security Research and Defense: Spekulatiivisen myymälän ohittamisen analyysi ja lieventäminen (CVE-2018-3639)

TechNet Security Research & Defense: KVA Shadow: Meltdownin lieventäminen Windowsissa

Security Tech Center: Spekulatiivisen suorituspuolen kanavan palkkio-ohjelman ehdot

Microsoft Experience -blogi: Päivitys Spectre- ja Meltdown-suojauspäivityksistä Windows-laitteille

Windows for Business -blogi: Windows Analytics auttaa nyt arvioimaan Spectre- ja Meltdown-suojausta

Microsoft Secure -blogi: Spectren suorituskykyvaikutuksen ymmärtäminen ja sulamisen lieventämisen vaikutus Windows-järjestelmiin

Edge Developer Blog: Spekulatiivisen suorituspuolen kanavahyökkäysten lieventäminen Microsoft Edgessä ja Internet Explorerissa

Azure-blogi: Azure-asiakkaiden suojaaminen suoritinhaavoittuvuudelta

SCCM ohjeet: Lisäohjeita spekulatiivisen suorituspuolen kanavan haavoittuvuuksien lieventämiseksi

Microsoftin tiedotteet:

• ADV180002 | Ohjeita spekulatiivisen suorituspuolen kanavahaavoittuvuuksien lieventämiseen

• ADV180012 | Microsoftin ohjeet spekulatiivisen Kaupan ohittamiseen

• ADV180013 | Microsoftin ohjeet rogue system register read

• ADV180016 | Microsoftin ohjeet laiskan FP-tilan palauttamiseen

• ADV180018 | Microsoftin ohjeet L1TF-variantin lieventämiseen

Intel: suojaustiedote

ARM: Suojausilmoitus

AMD: Suojaustiedote

NVIDIA: Suojaustiedote

Kuluttajien ohjeet: Laitteen suojaaminen siruun liittyviltä tietoturva-aukkoilta

Virustentorjuntaohjeet: 3. tammikuuta 2018 julkaistut Windowsin suojauspäivitykset ja virustentorjuntaohjelmat

Ohjeita AMD Windows -käyttöjärjestelmän suojauspäivityslohkoon: KB4073707: Windows-käyttöjärjestelmän suojauspäivityslohko joillekin AMD-pohjaisille laitteille

Update to Disable Mitigation against Spectre, Variant 2: KB4078130: Intel has identified reboot issues with microcode on some older processors 

Surfacen ohjeet: Surfacen ohjeet spekulatiivisilta suorituspuolen kanavan haavoittuvuuksilta suojautumiseen

Spekulatiivisen suorituspuolen kanavan lievennysten tilan tarkistaminen: powershellin komentosarjan Get-SpeculationControlSettings ymmärtäminen

IT-ammattilaisten ohjeet: Windows-asiakasohjeet IT-ammattilaisille spekulatiivisen suorituspuolen kanavan haavoittuvuuksilta suojautumiseen

Palvelimen ohjeet: Windows Serverin ohjeet spekulatiivisilta suorituspuolen kanavan haavoittuvuuksilta suojautumiseen

L1-päätevirheen palvelinohjeet: Windows Serverin ohjeet L1-päätevirheen varalta

Kehittäjän ohjeet: Kehittäjän ohjeet spekulatiiviselle Kaupan ohituksella

Server Hyper-V -ohjeet

• Virtuaalikoneen resurssiohjausobjektit

• Hyper-V-isäntäsuorittimen resurssien hallinta

Azure KB: KB4073235: Microsoftin pilvisuojaukset spekulatiivista suoritusta Side-Channel haavoittuvuuksia vastaan

Azure Stack -ohjeet: KB4073418: Azure-pinon ohjeet spekulatiivisilta suorituspuolen kanavan haavoittuvuuksilta suojautumiseen

Azuren luotettavuus: Azuren luotettavuusportaali

SQL Server ohjeet: KB4073225: SQL Server Ohjeita spekulatiivisilta suorituspuolen kanavan haavoittuvuuksilta suojautumiseen

Linkit OEM- ja Server-laitevalmistajiin Spectre- ja Meltdown-haavoittuvuuksilta suojautumista varten

Näiden haavoittuvuuksien korjaamiseksi sinun on päivitettävä sekä laitteistosi että ohjelmistosi. Seuraavien linkkien avulla voit tarkistaa laitteen valmistajalta soveltuvat laiteohjelmistopäivitykset (mikrokoodit).

Seuraavien linkkien avulla voit tarkistaa laitevalmistajalta laiteohjelmiston (mikrokoodi) päivitykset. Sinun on asennettava sekä käyttöjärjestelmän että laiteohjelmiston (mikrokoodi) päivitykset kaikkia käytettävissä olevia suojauksia varten.

Laitevalmistajat	Linkki mikrokoodiin
Acer	Meltdownin ja Spectren tietoturva-aukot
Asus	ASUS-päivitys spekulatiivisesta suorittamisesta ja epäsuoran haaran ennakoinnin sivukanavan analyysimenetelmästä
Dell	Meltdown- ja Spectre-haavoittuvuudet
Epson	Suorittimen haavoittuvuudet (sivukanavahyökkäykset)
Fujitsu	Suorittimen laitteisto alttiina sivukanavahyökkäyksille (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HP	TUKIVIESTINTÄ – SUOJAUSTIEDOTE
Lenovo	Etuoikeutetun muistin lukeminen sivukanavalla
LG	Tuoteohjeiden & tuen hankkiminen
NEC	Vastauksena suorittimen haavoittuvuuteen (sulaminen, spektri) tuotteissamme
Panasonic	Spekulatiivisen suoritus- ja epäsuoran haaran ennakoinnin sivukanava-analyysimenetelmän aiheuttaman haavoittuvuuden suojaustiedot
Samsung	Intel CPUs Software Update -ilmoitus
Surface	Surface-ohjeet spekulatiivisen suorituspuolen kanavan haavoittuvuuksilta suojautumiseen
Toshiba	Intel, AMD & Microsoftin spekulatiivisen suorittamisen ja epäsuoran haaran ennakoinnin sivukanavan analyysimenetelmän tietoturva-aukot (2017)
Vaio	Sivukanava-analyysin haavoittuvuuden tuki

Palvelinlaitevalmistajat	Linkki mikrokoodiin
Dell	Meltdown- ja Spectre-haavoittuvuudet
Fujitsu	Suorittimen laitteisto alttiina sivukanavahyökkäyksille (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HPE	Hewlett Packard Enterprisen tuotesuojauksen haavoittuvuusilmoitukset
Huawei	Suojausilmoitus – lausunto Tietoturva-aukkojen paljastumisesta Intelin suoritinarkkitehtuurin suunnittelussa
Lenovo	Etuoikeutetun muistin lukeminen sivukanavalla

Sinun on tarkistettava laitevalmistajalta laiteohjelmistopäivitykset (mikrokoodit). Jos laitevalmistajaasi ei ole taulukossa, ota yhteyttä suoraan laitevalmistajaan.

microsoft Surface -laitteiden Päivitykset ovat asiakkaiden käytettävissä Windows Update kautta. Luettelo saatavilla olevista Surface-laitteen laiteohjelmistopäivityksistä (mikrokoodi) on ohjeaiheessa KB 4073065.

Jos laitteesi ei ole Microsoftilta, ota laiteohjelmistopäivitykset käyttöön laitteen valmistajalta. Saat lisätietoja laitteen valmistajalta.

Laitteistohaavoittuvuuden korjaaminen ohjelmistopäivityksen avulla aiheuttaa merkittäviä haasteita ja lievennyksiä vanhoille käyttöjärjestelmille, ja se voi vaatia laajoja arkkitehtonisia muutoksia. Jatkamme yhteistyötä siruvalmistajien kanssa selvittääksemme parhaan tavan tarjota lievennyksiä. Tämä voi olla saatavilla tulevassa päivityksessä. Vanhojen laitteiden, joissa on käytössä nämä vanhemmat käyttöjärjestelmät, korvaamisen ja virustentorjuntaohjelmiston päivittämisen pitäisi korjata jäljellä oleva riski.

Vaikka tämä koskee Windows XP -pohjaisia järjestelmiä, Microsoft ei julkaise niille päivitystä, koska tarvittavat kattavat arkkitehtoniset muutokset vaarantaisivat järjestelmän vakauden ja aiheuttaisivat sovellusten yhteensopivuusongelmia. Suosittelemme, että tietoturvasta huolestuneet asiakkaat päivittävät käyttöönsä uudemman tuetun käyttöjärjestelmän. Tällä tavoin he voivat hyödyntää niiden tarjoamia tehokkaampia suojaustoimintoja ja pysyä ajan tasalla kehittyvistä uhista.

holoLensin Päivitykset Windows 10 hololens -asiakkaille Windows Update kautta.

Helmikuun 2018 Windowsin suojaus päivityksen käyttöönoton jälkeen HoloLensin asiakkaiden ei tarvitse tehdä mitään lisätoimia laitteen laiteohjelmiston päivittämiseksi. Nämä lievennykset sisällytetään myös kaikkiin holoLensin tuleviin Windows 10 julkaisuihin.

Saat lisätietoja ottamalla yhteyttä alkuperäiseen laitevalmistajaan.

Jotta laitteesi olisi täysin suojattu, asenna uusimmat Windows-käyttöjärjestelmän suojauspäivitykset laitteeseesi ja soveltuvat laiteohjelmistopäivitykset (mikrokoodi) laitteen valmistajalta. Näiden päivitysten pitäisi olla saatavilla laitteen valmistajan sivustossa. Virustorjuntapäivitykset täytyy asentaa ensin. Käyttöjärjestelmän ja laiteohjelmiston päivitysten asentamisen järjestyksellä ei ole väliä.

Sinun on päivitettävä sekä laitteistosi että ohjelmistosi tämän haavoittuvuuden korjaamiseksi. Sinun on myös asennettava laitteen valmistajalta soveltuvat laiteohjelmistopäivitykset (mikrokoodit), jotta saat kattavamman suojauksen. Kehotamme sinua pitämään laitteesi ajan tasalla asentamalla tietoturvapäivitykset kuukausittain.

Jokaisessa Windows 10 ominaisuuspäivityksessä kehitämme uusimman suojausteknologian syvälle käyttöjärjestelmään ja tarjoamme suojaukseen liittyviä ominaisuuksia, jotka estävät kokonaisia haittaohjelmaluokkia vaikuttamasta laitteeseesi. Ominaisuuspäivityksiä julkaistaan kaksi kertaa vuodessa. Lisäämme jokaiseen kuukausittaiseen laatupäivitykseen toisen suojauskerroksen, joka seuraa haittaohjelmien uusia ja muuttuvia trendejä, jotta ajan tasalla olevat järjestelmät ovat turvallisempia muuttuvien ja kehittyvien uhkien edessä.

Microsoft on poistanut Windowsin suojauspäivitysten AV-yhteensopivuustarkistuksen Windows 10-, Windows 8.1- ja Windows 7 SP1 -laitteiden tuetuista versioista Windows Update kautta. 

Suosituksia:

• Varmista, että laitteesi ovat ajan tasalla, hankkimalla uusimmat suojauspäivitykset Microsoftilta ja laitevalmistajalta. Lisätietoja laitteen pitämisestä ajan tasalla on artikkelissa Windows Update: usein kysytyt kysymykset.

• Jatka järkevän varovaisuuden harjoittamista käydessäsi tuntemattoman alkuperän sivustoissa, äläkä jää sivustoille, joihin et luota. Microsoft suosittelee, että kaikki asiakkaat suojaavat laitteitaan suorittamalla tuetun virustentorjuntaohjelman. Asiakkaat voivat myös hyödyntää sisäistä virustentorjuntaa: Windows Defender Windows 10 -laitteille tai Microsoft Security Essentials Windows 7 -laitteille. Nämä ratkaisut ovat yhteensopivia tapauksissa, joissa asiakkaat eivät voi asentaa tai suorittaa virustentorjuntaohjelmistoa.

Jotta asiakaslaitteisiin ei aiheutuisi haittaa, tammi- tai helmikuussa julkaistuja Windowsin suojauspäivityksiä ei ole tarjottu kaikille asiakkaille. Lisätietoja on Microsoft Knowledge Base -artikkelissa 4072699. 

Intel on raportoinut ongelmista , jotka vaikuttavat äskettäin julkaistuun mikrokoodiin, jonka tarkoituksena on käsitellä Spectre-varianttia 2 (CVE-2017-5715 – "Branch Target Injection"). Tarkemmin sanottuna Intel totesi, että tämä mikrokoodi voi aiheuttaa "odotettua suurempia uudelleenkäynnistyksiä ja muuta arvaamatonta järjestelmän toimintaa" ja että tällaiset tilanteet voivat aiheuttaa "tietojen menettämistä tai vioittumista".  Oma kokemuksemme on, että järjestelmän epävakaus voi joissakin tapauksissa aiheuttaa tietojen menettämistä tai vioittumista. Intel suositteli 22.1.2019, että asiakkaat lopettaisivat nykyisen mikrokoodiversion käyttöönoton suorittimilla, joita ongelma koskee, samalla kun he suorittavat lisätestausta päivitetyssä ratkaisussa. Ymmärrämme, että Intel jatkaa nykyisen mikrokoodiversion mahdollisten vaikutusten tutkimista, ja kehotamme asiakkaita tarkistamaan ohjeistuksensa jatkuvasti tiedottaakseen päätöksistään.

Kun Intel testaa, päivittää ja ottaa käyttöön uuden mikrokoodin, julkaisemme kaistan ulkopuolisen päivityksen KB 4078130, joka poistaa erityisesti käytöstä vain CVE-2017-5715 – "Branch Target Injection" -päivitykseen kohdistuvat lievennykset. Testauksessamme tämän päivityksen on todettu estävän kuvatun toiminnan. Täydellinen laiteluettelo on Intelin mikrokoodin muokkausohjeissa. Tämä päivitys kattaa Windows 7:n (SP1), Windows 8.1:n ja kaikki Windows 10:n asiakas- ja palvelinversiot. Jos käytät laitetta, johon ongelma vaikuttaa, päivitys voidaan asentaa lataamalla se Microsoft Update -luettelon sivustosta. Tämän hyötykuorman soveltaminen poistaa erityisesti käytöstä vain CVE-2017-5715 – "Branch Target Injection" -lievennyksen. 

25. tammikuuta alkaen ei ole tiedossa raportteja, jotka osoittaisivat, että tätä Spectre-varianttia 2 (CVE-2017-5715) on käytetty asiakkaiden hyökkäämiseen. Suosittelemme, että Windows-asiakkaat voivat tarvittaessa ottaa lievennyksen uudelleen käyttöön CVE-2017-5715:tä vastaan, kun Intel ilmoittaa, että tämä arvaamaton järjestelmän toiminta on ratkaistu laitteessasi.

Et. Vain suojauspäivitykset eivät ole kumulatiivisia. Käytössä olevan käyttöjärjestelmäversion mukaan kaikki julkaistut vain suojauspäivitykset on asennettava, jotta ne voidaan suojata näheiltä. Jos käytössäsi on esimerkiksi Windows 7 32-bittisille järjestelmille intel-suorittimen kanssa, johon ongelma vaikuttaa, sinun on asennettava jokainen vain suojausta parantava päivitys tammikuusta 2018 alkaen. Suosittelemme, että asennat nämä vain suojauspäivitykset julkaisujärjestyksessä.
 
Huomautus Näiden usein kysyttyjen kyselyjen aiemmassa versiossa todettiin virheellisesti, että helmikuun vain suojaukseen liittyvä päivitys sisälsi tammikuussa julkaistut suojauskorjaukset. Itse asiassa se ei.

Et. Suojauspäivityksen 4078130 oli erityinen korjaus, jolla estettiin järjestelmän arvaamattomat toimintatavat, suorituskykyongelmat ja odottamattomat uudelleenkäynnistykset mikrokoodin asentamisen jälkeen. Helmikuun suojauspäivitysten käyttöönotto Windows-asiakaskäyttöjärjestelmissä mahdollistaa kaikki kolme lievennystä. Windows Server -käyttöjärjestelmissä lievennykset on otettava käyttöön asianmukaisen testauksen jälkeen. Lisätietoja on Microsoft Knowledge Base -artikkelissa 4072698 .

AMD ilmoitti äskettäin, että he ovat alkaneet julkaista mikrokoodia uudempaan suoritinalustaan Spectre-variantin 2 ympärillä (CVE-2017-5715 "Branch Target Injection"). Lisätietoja on artikkelissa AMD Security Päivitykset ja AMD Whitepaper: Architecture Guidelines around Indirect Branch Control. Nämä ovat saatavilla OEM-laiteohjelmistokanavalta. 

Intel ilmoitti äskettäin suorittaneensa validointinsa ja alkaneensa julkaista mikrokoodia uudempaa suoritinympäristöä varten. Microsoft tuo saataville Intelin vahvistamia mikrokoodipäivityksiä Spectre-variantin 2 ympärille (CVE-2017-5715 "Branch Target Injection"). KB 4093836 luetteloi tietyt Knowledge Base -artikkelit Windows-version mukaan. Kukin tietty kt sisältää käytettävissä olevat Intelin mikrokoodipäivitykset suorittimen mukaan.

Microsoft tuo saataville Intelin vahvistamia mikrokoodipäivityksiä Spectre-variantin 2 ympärille (CVE-2017-5715 "Branch Target Injection"). Jotta asiakkaat voivat hankkia uusimmat Intel-mikrokoodipäivitykset Windows Update kautta, heidän on oltava asentaneet Intel-mikrokoodin laitteisiin, joissa on Windows 10 käyttöjärjestelmä, ennen päivittämistä Windows 10 huhtikuun 2018 päivitykseen (versio 1803).

Mikrokoodipäivitys on saatavilla myös suoraan päivitysluettelosta, jos sitä ei ole asennettu laitteeseen ennen järjestelmän päivittämistä. Intel-mikrokoodi on saatavilla Windows Update, WSUS:n tai Microsoft Update -luettelon kautta. Lisätietoja ja latausohjeita on artikkelissa KB-4100347.

Lisätietoja on seuraavissa resursseissa:

• ADV180012 | Microsoftin ohjeet spekulatiivisen Kaupan ohittamiseen CVE-2018-3639:lle

• ADV180013 | Microsoftin ohjeet rogue system register read for CVE-2018-3640 and KB 4073065 | Ohjeita Surface-asiakkaille

• Microsoft Security Research and Defense -blogi

• Kehittäjän ohjeet spekulatiiviselle Kaupan ohituksella

Lisätietoja on ADV180012 | Microsoftin ohjeet spekulatiivisen Kaupan ohittamiseen.

SSBD:n tilan tarkistamista varten Get-SpeculationControlSettings PowerShell -komentosarja on päivitetty havaitsemaan kyseiset suorittimet, SSBD-käyttöjärjestelmäpäivitysten tila ja suorittimen mikrokoodin tila tarvittaessa. Lisätietoja ja PowerShell-komentosarjan hankkiminen on artikkelissa KB4074629.

13. kesäkuuta 2018 ilmoitettiin ylimääräisestä haavoittuvuudesta, joka liittyy sivukanavan spekulatiivisiin suorituksiin, joka tunnetaan nimellä Lazy FP State Restore, ja sille annettiin CVE-2018-3665. Lazy Restore FP Restore -palautustoimintoa varten ei tarvita määritysasetuksia (rekisteriasetuksia).

Lisätietoja tästä haavoittuvuudesta ja suositelluista toimista on suojausilmoituksessa: ADV180016 | Microsoftin ohjeet laiskan FP-tilan palauttamiseen

HuomautusLazy Restore FP Restore -palautustoimintoa varten ei tarvita määritysasetuksia (rekisteriasetuksia).

Bounds Check Bypass Store (BCBS) julkistettiin 10. heinäkuuta 2018 ja sille annettiin CVE-2018-3693. Katsomme, että BCBS kuuluu samaan haavoittuvuusluokkaan kuin Bounds Check Bypass (muuttuja 1). Emme ole tällä hetkellä tietoisia BCBS-esiintymistä ohjelmistossamme, mutta jatkamme tämän haavoittuvuusluokan tutkimista ja teemme yhteistyötä alan kumppaneiden kanssa vapauttaaksemme lievennyksiä tarpeen mukaan. Kannustamme edelleen tutkijoita toimittamaan kaikki asiaankuuluvat havainnot Microsoftin spekulatiivisen suorituspuolen kanavan palkkio-ohjelmaan, mukaan lukien BCBS:n hyväksikäytettävät esiintymät. Ohjelmistokehittäjien tulee tutustua kehittäjän ohjeisiin, jotka on päivitetty BCBS:lle https://aka.ms/sescdevguide.

14. elokuuta 2018 ilmoitettiin L1 Terminal Fault (L1TF) -terminaaliviasta , ja sille annettiin useita cv:tä. Näitä uusia spekulatiivisen suorituspuolen kanavan haavoittuvuuksia voidaan käyttää muistin sisällön lukemiseen luotetun rajan yli, ja jos niitä käytetään hyväksi, ne voivat johtaa tietojen paljastamiseen. On olemassa useita vektoreita, joiden avulla hyökkääjä voi laukaista haavoittuvuudet määritetyn ympäristön mukaan. L1TF vaikuttaa Intel® Core -® suorittimeen ja Intel® Xeon® -suorittimeen.

Lisätietoja tästä haavoittuvuudesta ja yksityiskohtainen näkymä skenaarioista, joihin ongelma vaikuttaa, mukaan lukien Microsoftin lähestymistapa L1TF:n lieventämiseen, on seuraavissa resursseissa:

• ADV180018 | Microsoftin ohjeet L1TF-variantin lieventämiseen

• Security Advisory Security Research -blogi

• L1-päätevirheen palvelinohjeet

Microsoft Surface -asiakkaat: Microsoft Surfacea ja Surface Book tuotteita käyttävien asiakkaiden on noudatettava suojausilmoituksessa kuvattuja Windows-asiakasohjelman ohjeita: ADV180018 | Microsoftin ohjeet L1TF-variantin lieventämiseen. Lisätietoja ongelmasta kärsivistä Surface-tuotteista ja mikrokoodipäivitysten saatavuudesta on myös Microsoft Knowledge Base -artikkelissa 4073065 .

Microsoft Hololens -asiakkaat: L1TF ei vaikuta Microsoft HoloLens, koska se ei käytä intel-suoritinta, johon ongelma vaikuttaa.

Vaiheet, jotka tarvitaan Hyper-Threading poistamiseen käytöstä, eroavat alkuperäisestä laitevalmistajasta alkuperäiseen laitevalmistajaan, mutta ovat yleensä osa BIOS- tai laiteohjelmiston määritys- ja määritystyökaluja.

Asiakkaiden, jotka käyttävät 64-bittisiä ARM-suorittimia, tulisi tarkistaa laiteohjelmiston tuki laitteen OEM-laiteohjelmistotuesta, koska ARM64-käyttöjärjestelmän suojaus, joka lieventää CVE-2017-5715 - Branch target injection (Spectre, Variant 2), edellyttää laitteen alkuperäisten laiteohjelmistojen uusimman laiteohjelmistopäivityksen asentamista voimaan.

Lisätietoja tästä haavoittuvuudesta on Microsoftin suojausoppaassa: CVE-2019-1125 | Windows-ytimen tietojen paljastumisen haavoittuvuus.

Emme ole tietoisia tämän tiedon paljastumisen haavoittuvuudesta, joka vaikuttaa pilvipalveluinfrastruktuuriimme.

Heti kun saimme tietää tästä ongelmasta, työskentelimme nopeasti sen korjaamiseksi ja päivityksen julkaisemiseksi. Uskomme vahvasti tiiviisiin kumppanuuksiin sekä tutkijoiden että alan kumppaneiden kanssa asiakkaiden turvallisuuden parantamiseksi, ja julkaisimme tiedot vasta tiistaina 6. elokuuta koordinoitujen haavoittuvuuksien paljastuskäytäntöjen mukaisesti.