KB4073757: apsaugokite "Windows" įrenginius nuo mikroarchitektūros ir su spėjamu vykdymu susijusių šalutinių kanalų spragų

Keisti datą	Keisti aprašą
2023 m. rugpjūčio 9 d.	Pašalintas turinys apie CVE-2022-23816, nes CVE numeris nenaudojamas Pašalino pasikartojančią temą pavadinimu "Intel" mikrokodo naujinimai" skyriuje "Veiksmai, padedantys apsaugoti "Windows" įrenginius"
2024 m. balandžio 9 d.	Pridėta CVE-2022-0001 | "Intel Branch History" įdėjimas

Gali tekti atnaujinti programinę-aparatinę įrangą (mikrokodą) ir programinę įrangą, kad išs spręsti šiuos pažeidžiamumus. Rekomenduojamų veiksmų ieškokite "Microsoft" saugos patarimuose. Tai apima įrenginių gamintojų taikomus programinės-aparatinės įrangos (mikrokodo) naujinimus ir, kai kuriais atvejais, antivirusinės programinės įrangos naujinimus. Raginame įdiegti mėnesio saugos naujinimus ir taip užtikrinti, kad jūsų įrenginiai būtų atnaujinti. 

Norėdami gauti visą galimą apsaugą, atlikite šiuos veiksmus, kad gautumėte naujausius programinės įrangos ir aparatūros naujinimus.

1. Atnaujinkite "Windows" įrenginį įjungdami automatinius naujinimus.

2. Patikrinkite, ar įdiegėte naujausią „Windows“ operacinės sistemos saugos naujinimą iš „Microsoft“. Jei automatiniai naujinimai yra įjungti, naujinimai turėtų būti automatiškai jums pateikti. Tačiau vis tiek turėtumėte patikrinti, ar jos įdiegtos. Instrukcijas rasite "Windows Update": DUK

3. Įdiekite galimus programinės-aparatinės įrangos (mikrokodo) naujinimus iš įrenginio gamintojo. Visi klientai turės kreiptis į įrenginio gamintoją, kad atsisiųstų ir įdiegtų konkretaus įrenginio aparatūros naujinimą. Įrenginio gamintojo svetainių sąrašą žr. skyriuje "Papildomi ištekliai".

   Pastaba: Norėdami pasinaudoti galima apsauga, klientai turėtų įdiegti naujausius „Windows“ operacinės sistemos saugos naujinimus iš „Microsoft“. Pirmiausia reikia įdiegti antivirusinės programinės įrangos naujinimus. Tada turi sekti operacinės sistemos ir programinės-aparatinės įrangos naujinimai. Raginame įdiegti mėnesio saugos naujinimus ir taip užtikrinti, kad jūsų įrenginiai būtų atnaujinti. 

Paveikti "Intel", AMD ir ARM pagaminti lustai. Tai reiškia, kad visi įrenginiai, kuriuose veikia "Windows" operacinės sistemos, gali tapti pažeidžiami. Tai apima stalinius kompiuterius, nešiojamuosius kompiuterius, debesies serverius ir išmaniuosius telefonus. Įrenginiai, kuriuose veikia kitos operacinės sistemos, pvz., "Android", "Chrome", "iOS" ir "macOS", taip pat paveikti. Rekomenduojame klientams, kurie naudoja šias operacines sistemas, kreiptis pagalbos į šiuos tiekėjus.

Publikavimo metu negavome jokios informacijos, nurodančios, kad šios spragos buvo naudojamos atakoms prieš klientus.

Nuo 2018 m. sausio "Microsoft" išleido "Windows" operacinių sistemų ir "Internet Explorer" bei "Edge" žiniatinklio naršyklių naujinimus, kad padėtų sumažinti šiuos pažeidžiamumus ir apsaugoti klientus. Taip pat išleidome naujinimus, kad apsaugotume savo debesies paslaugas.  Mes toliau glaudžiai bendradarbiaujame su pramonės partneriais, įskaitant lustų gamintojus, aparatūros OĮG ir programėlių tiekėjus, kad apsaugotume klientus nuo šios pažeidžiamumo klasės. 

Raginame visada įdiegti mėnesinius naujinimus, kad jūsų įrenginiai būtų atnaujinti ir saugūs. 

Atnaujinsime šią dokumentaciją, kai atsiras naujų rizikos mažinimo priemonių, ir rekomenduojame reguliariai tikrinti čia. 

2019 m. liepos mėn. "Windows" operacinės sistemos naujinimai

2019 m. rugpjūčio 6 d. "Intel" atskleidė išsamią informaciją apie saugos pažeidžiamumą CVE-2019-1125 | "Windows" branduolio informacijos atskleidimo pažeidžiamumas. Šio pažeidžiamumo saugos naujinimai buvo išleisti kaip liepos mėnesio naujinimų leidimo 2019 m. liepos 9 d. dalis.

"Microsoft" 2019 m. liepos 9 d. išleido "Windows" operacinės sistemos saugos naujinimą, kad padėtų išspręsti šią problemą. Mes toliau dokumentavome šį rizikos mažinimą viešai iki koordinuoto pramonės atskleidimo 2019 m. rugpjūčio 6 d., antradienį.

Klientai, kurie "Windows Update" įgalinti ir pritaikė 2019 m. liepos 9 d. išleistus saugos naujinimus, yra apsaugoti automatiškai. Atkreipkite dėmesį, kad šis pažeidžiamumas nereikalauja iš įrenginio gamintojo (OĮG) mikrokodo naujinimo.

2019 m. gegužės mėn. "Windows" operacinės sistemos naujinimai

2019 m. gegužės 14 d. "Intel" paskelbė informaciją apie naują su spėjamu vykdymu susijusių šalutinių kanalų spragų, vadinamų mikroarchitektūros duomenų atranka , poklasį ir jiems buvo priskirti šie CVE:

• CVE-2018-11091 – "Microarchitectural Data Sampling Uncacheable Memory (MDSUM)"

• CVE-2018-12126 – "Mikroarchitektūros saugyklos buferio duomenų atranka (MSBDS)"

• CVE-2018-12127 – "Mikroarchitektūros užpildo buferio duomenų atranka (MFBDS)"

• CVE-2018-12130 – "Mikroarchitektūros apkrovos prievado duomenų atranka (MLPDS)"

Daugiau informacijos apie šią problemą ieškokite toliau pateiktuose saugos patarimuose ir naudokite scenarijus pagrįstas rekomendacijas, pateiktas "Windows" rekomendacijoje klientams ir serveriams straipsniuose, kad nustatytumėte veiksmus, kurių reikia grėsmėms sumažinti:

• ADV 190013 | "Microsoft" rekomendacijos, kaip sumažinti mikroarchitektūros duomenų pavyzdžių rinkimo pažeidžiamumus

• KB 4073119 | Patarimai dėl "Windows IT Pro" klientams, padėsiantys apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų

• KB 4457951 | Patarimai dėl "Windows Server", padėsiančio apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų

"Microsoft" išleido apsaugą nuo naujos spekuliacinių vykdymo šalutinių kanalų spragų, vadinamų mikroarchitektūros duomenų atranka 64 bitų (x64) "Windows" versijoms (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Naudokite registro parametrus, aprašytus straipsniuose "Windows Client" (KB4073119) ir "Windows Server" (KB4457951). Šie registro parametrai yra įjungti pagal numatytuosius parametrus "Windows" kliento OS leidimuose ir "Windows Server" OS leidimuose.

Rekomenduojame pirmiausia įdiegti visus naujausius "Windows Update" naujinimus, prieš diegiant mikrokodo naujinimus.

Norėdami gauti daugiau informacijos apie šią problemą ir rekomenduojamus veiksmus, žr. saugos patarimą: 

• ADV 190013 | "Microsoft" rekomendacijos, kaip sumažinti mikroarchitektūros duomenų pavyzdžių rinkimo pažeidžiamumus

"Intel" išleido mikrokodo naujinimą naujausioms CPU platformoms, kad padėtų sumažinti CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. 2019 m. gegužės 14 d. "Windows " KB 4093836 pateikiami konkretūs žinių bazės straipsniai pagal "Windows" OS versiją.  Šiame straipsnyje taip pat pateikiami saitai į galimus "Intel" mikrokodo naujinimus pagal CPU. Šie naujinimai pasiekiami per "Microsoft" katalogą.

Pastaba: rekomenduojame įdiegti visus naujausius naujinimus iš "Windows Update" prieš diegiant mikrokodo naujinimus.

Džiaugiamės galėdami pranešti, kad "Retpoline" įjungta pagal numatytuosius parametrus Windows 10, 1809 versijos įrenginiuose (klientams ir serveriams), jei įgalintas "Spectre Variant 2" (CVE-2017-5715). Įjungdami "Retpoline" naujausioje Windows 10 versijoje, naudodami 2019 m. gegužės 14 d. naujinimą (KB 4494441), numatome didesnį našumą, ypač senesniuose procesoriuose.

Klientai turėtų užtikrinti, kad ankstesnės OS apsaugos nuo "Spectre Variant 2" pažeidžiamumo būtų įgalintos naudojant registro parametrus, aprašytus "Windows" kliento ir "Windows Server" straipsniuose. (Šie registro parametrai yra įjungti pagal numatytuosius parametrus "Windows" kliento OS leidimuose, bet išjungti pagal numatytuosius parametrus "Windows Server" OS leidimuose). Daugiau informacijos apie "Retpoline", žr. "Spectre" 2 variantas su "Retpoline" sistemoje "Windows".

2018 m. lapkričio mėn. "Windows" operacinės sistemos naujinimai

"Microsoft" išleido operacinės sistemos apsaugą, skirtą "Speculative Store Bypass" (CVE-2018-3639) AMD procesoriams (CPU).

"Microsoft" išleido papildomą operacinės sistemos apsaugą klientams, naudojantiems 64 bitų ARM procesorius. Dėl programinės-aparatinės įrangos palaikymo kreipkitės į įrenginio OĮG gamintoją, nes ARM64 operacinės sistemos apsaugai, sumažinančioms CVE-2018-3639, "Speculative Store Bypass", reikalingas naujausias programinės-aparatinės įrangos naujinimas iš įrenginio OĮG.

2018 m. rugsėjo mėn. "Windows" operacinės sistemos naujinimai

Rugsėjo 11 d. 2018 m. "Microsoft" išleido "Windows Server 2008 SP2" mėnesio naujinimų paketą 4458010 ir tik saugos 4457984, skirtus "Windows Server 2008", teikiančioms apsaugą nuo naujo spėjamo vykdymo šalutinio kanalo pažeidžiamumo, vadinamo L1 terminalo klaida (L1TF), turinčiu įtakos "Intel Core®"® procesoriams ir "Intel Xeon®"® procesoriams (CVE-2018-3620 ir CVE-2018-3646). 

Šiame leidime per "Windows Update" užbaigiamos visos palaikomos "Windows" sistemos versijos papildoma apsauga. Daugiau informacijos ir paveiktų produktų sąrašą rasite ADV180018 | "Microsoft" rekomendacijos, kaip sumažinti L1TF variantą.

Pastaba: "Windows Server 2008 SP2" dabar atitinka standartinį "Windows" priežiūros naujinimų modelį. Daugiau informacijos apie šiuos pakeitimus žr. mūsų tinklaraštyje "Windows Server 2008 SP2" priežiūros pakeitimai. Klientai, naudojantys "Windows Server 2008", be saugos naujinimo 4341832, kuris buvo išleistas 2018 m. rugpjūčio 14 d., turėtų įdiegti 4458010 arba 4457984. Klientai taip pat turėtų užtikrinti ankstesnę OS apsaugą nuo "Spectre Variant 2" ir "Meltdown" pažeidžiamumų naudodami registro parametrus, aprašytus "Windows" kliento ir "Windows Server" patarimų KB straipsniuose. Šie registro parametrai yra įjungti pagal numatytuosius parametrus "Windows" kliento OS leidimuose, bet pagal numatytuosius parametrus yra išjungti "Windows Server" OS leidimuose.

"Microsoft" išleido papildomą operacinės sistemos apsaugą klientams, naudojantiems 64 bitų ARM procesorius. Dėl programinės-aparatinės įrangos palaikymo kreipkitės į įrenginio OĮG gamintoją, nes ARM64 operacinės sistemos apsaugai, sumažinančioms CVE-2017-5715 – "Branch Target Injection" ("Spectre", 2 variantas), reikia naujausio programinės-aparatinės įrangos naujinimo iš įrenginio OĮG, kad įsigaliotų.

2018 m. rugpjūčio mėn. "Windows" operacinės sistemos naujinimai

2018 m. rugpjūčio 14 d. paskelbta L1 terminalo klaida (L1TF) ir priskirta keletas CVEs. Šie nauji spekuliaciniai vykdymo šalutinių kanalų pažeidžiamumai gali būti naudojami skaityti atminties turinį per patikimą ribą ir, jei naudojama, gali sukelti informacijos atskleidimą. Yra keli vektoriai, iš kurių pažeidėjas gali sukelti pažeidžiamumus, atsižvelgiant į sukonfigūruotą aplinką. L1TF turi įtakos "Intel Core®"® procesoriams ir "Intel Xeon®"® procesoriams.

Daugiau informacijos apie L1TF ir išsamų susijusių scenarijų rodinį, įskaitant "Microsoft" požiūrį į L1TF sumažinimą, žr. šiuos išteklius:

• ADV180018 | "Microsoft" rekomendacijos, kaip sumažinti L1TF variantą

• Saugos patarimo saugos tyrimų tinklaraštis

• Patarimai dėl serverio L1 terminalo klaidos

2018 m. liepos mėn. "Windows" operacinės sistemos naujinimai

Džiaugiamės galėdami pranešti, kad "Microsoft" atliko papildomų apsaugos veiksmų visose palaikomose "Windows" sistemos versijose per "Windows Update" dėl šių pažeidžiamumų:

• "Spectre Variant 2" AMD procesoriams

• "Intel" procesoriams skirtas "Speculative Store Bypass"

2018 m. birželio 13 d. paskelbta apie papildomą pažeidžiamumą įtraukiant šalutinių kanalų spekuliacinį vykdymą, vadinamą "Lazy FP State Restore", ir priskirtas CVE-2018-3665. Nėra konfigūracijos (registro) parametrų, reikalingų "Lazy Restore FP Restore".

Daugiau informacijos apie šį pažeidžiamumą, paveiktus produktus ir rekomenduojamus veiksmus, žr. šį saugos patarimą:

• ADV180016 | "Microsoft" rekomendacijos dėl "Lazy FP State Restore"

Birželio 12 d. "Microsoft" paskelbė apie "Windows" palaikymą "Speculative Store Bypass Disable" (SSBD) "Intel" procesoriuose. Kad veiktų funkcijos, naujinimams reikia atitinkamos programinės-aparatinės įrangos (mikrokodo) ir registro naujinimų. Informacijos apie naujinimus ir veiksmus, kuriuos reikia atlikti norint įjungti SSBD, ieškokite skyriuje "Rekomenduojami veiksmai", esančiame ADV180012 | "Microsoft" rekomendacijos dėl "Speculative Store Bypass".

2018 m. gegužės mėn. "Windows" operacinės sistemos naujinimai

2018 m. sausio mėn. "Microsoft" išleido informaciją apie naujai atrastą aparatūros pažeidžiamumų klasę (vadinamą "Spectre" ir "Meltdown"), kuri apima su spėjamu vykdymu susijusių šalutinių kanalų poveikį AMD, ARM ir "Intel" CPU įvairiu laipsniu. 2018 m. gegužės 21 d. "Google Project Zero" (GPZ) "Microsoft " ir "Intel" pranešė apie du naujus lustų pažeidžiamumus, susijusius su "Spectre" ir "Meltdown" problemomis, vadinamomis "Speculative Store Bypass" (SSB) ir " Rogue System Registry Read".

Klientų rizika dėl abiejų atskleidimų yra maža.

Norėdami gauti daugiau informacijos apie šiuos pažeidžiamumą, peržiūrėkite šiuos išteklius:

• "Microsoft" saugos patarimas, skirtas "Speculative Store Bypass: MSRC" ADV180012 ir CVE-2018-3639

• "Microsoft" saugos patarimas, skirtas "Rogue" sistemos registrui, skirtas skaityti: MSRC ADV180013ir CVE-2018-3640

• Saugos tyrimai ir gynyba: spekuliacinių saugyklų apėjimo analizė ir mažinimas (CVE-2018-3639)

Taikoma: Windows 10 1607 versija, "Windows Server 2016", "Windows Server 2016" ("Server Core" diegimas) ir "Windows Server" 1709 versija ("Server Core" diegimas)

Mes teikėme palaikymą, skirtą valdyti netiesioginio šakos nuspėjimo barjero (IBPB) naudojimą kai kuriuose AMD procesoriuose (CPU), siekiant sumažinti CVE-2017-5715, "Spectre" 2 variantą, kai pereinate nuo vartotojo prie branduolio konteksto. (Daugiau informacijos žr. AMD architektūros gairės dėl netiesioginio šakų valdymo ir AMD saugos Naujinimai).

Klientai, naudojantys "Windows 10" 1607 versiją, "Windows Server 2016", "Windows Server 2016" ("Server Core" diegimą) ir "Windows Server" 1709 versiją ("Server Core" diegimas), turi įdiegti saugos naujinimą 4103723, skirtą papildomas rizikos mažinimo priemones AMD procesoriams, skirtiems CVE-2017-5715, "Branch Target Injection". Šis naujinimas taip pat pasiekiamas per "Windows Update".

Vykdykite instrukcijas, pateiktas KB 4073119 ", skirtos "Windows" klientui (IT profesionalams), nurodymus ir KB 4072698 , skirtus "Windows Server", kad įgalintumėte IBPB naudojimą kai kuriuose AMD procesoriuose (CPU), siekiant sumažinti "Spectre" 2 variantą, kai pereinate nuo vartotojo konteksto prie branduolio konteksto.

"Microsoft" pateikia "Intel" patvirtintus mikrokodo naujinimus apie "Spectre Variant 2" (CVE-2017-5715 "Branch Target Injection"). Norėdami gauti naujausius "Intel" mikrokodo naujinimus per ""Windows Update"", klientai turi įdiegti "Intel" mikrokodą įrenginiuose, kuriuose veikia Windows 10 operacinė sistema, prieš atnaujindami versiją į Windows 10 2018 m. balandžio mėn. naujinimą (1803 versiją).

Mikrokodo naujinimas taip pat pasiekiamas tiesiogiai iš katalogo, jei jis nebuvo įdiegtas įrenginyje prieš naujinant operacinę sistemą. "Intel" mikrokodas pasiekiamas per "Windows Update", WSUS arba "Microsoft Update" katalogą. Daugiau informacijos ir atsisiuntimo instrukcijas žr. KB 4100347.

Pasiūlysime papildomų mikrokodo naujinimų iš "Intel", skirtų operacinei sistemai "Windows", kai jie taps pasiekiami "Microsoft".

Taikoma: „Windows 10“ 1709 versija

Mes teikėme palaikymą, skirtą valdyti netiesioginio šakos nuspėjimo barjero (IBPB) naudojimą kai kuriuose AMD procesoriuose (CPU), siekiant sumažinti CVE-2017-5715, "Spectre" 2 variantą, kai pereinate nuo vartotojo prie branduolio konteksto. (Daugiau informacijos žr. AMD architektūros gairės dėl netiesioginio šakų valdymo ir AMD saugos Naujinimai).

Vykdykite kb 4073119 "Windows" klientui (IT specialistams) pateiktas instrukcijas, kad įgalintumėte IBPB naudojimą kai kuriuose AMD procesoriuose (CPU), siekiant sumažinti "Spectre" 2 variantą, kai pereinate nuo vartotojo konteksto prie branduolio konteksto.

"Microsoft" pateikia "Intel" patvirtintus mikrokodo naujinimus apie "Spectre Variant 2" (CVE-2017-5715 "Branch Target Injection"). KB4093836 pateikiami konkretūs žinių bazės straipsniai pagal "Windows" versiją. Kiekvienoje konkrečioje KB yra naujausi galimi "Intel" mikrokodo naujinimai pagal CPU.

Pasiūlysime papildomų mikrokodo naujinimų iš "Intel", skirtų operacinei sistemai "Windows", kai jie taps pasiekiami "Microsoft". 

2018 m. kovo mėn. ir vėlesni "Windows" operacinės sistemos naujinimai

Kovo 23 d. "TechNet" saugos tyrimų & defense: KVA Shadow: Mitigating Meltdown on Windows

Kovo 14 d. Saugos technologijų centras: spekuliatyvios vykdymo šalutinių kanalų bounty programos sąlygos

Kovo 13 d. tinklaraštis: 2018 m. kovo mėn. "Windows" sauga naujinimas – plečiame savo pastangas apsaugoti klientus

Kovo 1 d. tinklaraštis: naujinimas "Spectre" ir "Meltdown" saugos naujinimuose, skirtiems "Windows" įrenginiams

Nuo 2018 m. kovo mėn. "Microsoft" išleido saugos naujinimus, skirtus sumažinti riziką įrenginiams, kuriuose veikia šios x86 pagrindo "Windows" operacinės sistemos. Norėdami pasinaudoti galima apsauga, klientai turėtų įdiegti naujausius "Windows" operacinės sistemos saugos naujinimus. Stengiamės suteikti kitų palaikomų "Windows" versijų apsaugą, bet šiuo metu neturime leidimų grafiko. Patikrinkite, ar yra naujinimų. Daugiau informacijos ieškokite susijusiame žinių bazės straipsnyje, kur rasite techninės informacijos ir skyrių "DUK".

Išleistas produkto naujinimas	Būsena	Išleidimo data	Leidimo kanalas	KB
"Windows 8".1 & "Windows Server 2012 R2" – tik saugos naujinimas	Išleista	Kovo 13 d.	WSUS, katalogas,	KB4088879
"Windows 7" SP1 & "Windows Server 2008 R2" SP1 – tik saugos naujinimas	Išleista	Kovo 13 d.	WSUS, katalogas	KB4088878
"Windows Server 2012" – tik saugos naujinimas "Windows 8" įdėtasis standartinis leidimas – tik saugos naujinimas	Išleista	Kovo 13 d.	WSUS, katalogas	KB4088877
"Windows 8".1 & "Windows Server 2012 R2" – mėnesio naujinimų paketas	Išleista	Kovo 13 d.	WU, WSUS, katalogas	KB4088876
"Windows 7 SP1" & "Windows Server 2008 R2" SP1 – mėnesio naujinimų paketas	Išleista	Kovo 13 d.	WU, WSUS, katalogas	KB4088875
"Windows Server 2012" – mėnesio naujinimų paketas "Windows 8" Įdėtasis standartinis leidimas – mėnesio naujinimų paketas	Išleista	Kovo 13 d.	WU, WSUS, katalogas	KB4088877
Windows Server 2008 SP2	Išleista	Kovo 13 d.	WU, WSUS, katalogas	KB4090450

Nuo 2018 m. kovo "Microsoft" išleido saugos naujinimus, skirtus sumažinti riziką įrenginiams, kuriuose veikia šios x64 pagrindo "Windows" operacinės sistemos. Norėdami pasinaudoti galima apsauga, klientai turėtų įdiegti naujausius "Windows" operacinės sistemos saugos naujinimus. Stengiamės suteikti kitų palaikomų "Windows" versijų apsaugą, bet šiuo metu neturime leidimų grafiko. Patikrinkite, ar yra naujinimų. Daugiau informacijos ieškokite susijusiame žinių bazė straipsnyje, jei reikia techninės informacijos, ir skyriuje "DUK".

Išleistas produkto naujinimas	Būsena	Išleidimo data	Leidimo kanalas	KB
"Windows Server 2012" – tik saugos naujinimas "Windows 8" įdėtasis standartinis leidimas – tik saugos naujinimas	Išleista	Kovo 13 d.	WSUS, katalogas	KB4088877
"Windows Server 2012" – mėnesio naujinimų paketas "Windows 8" Įdėtasis standartinis leidimas – mėnesio naujinimų paketas	Išleista	Kovo 13 d.	WU, WSUS, katalogas	KB4088877
Windows Server 2008 SP2	Išleista	Kovo 13 d.	WU, WSUS, katalogas	KB4090450

Šis naujinimas išsprendžia "Windows" branduolio 64 bitų (x64) "Windows" versijos teisių pažeidžiamumo padidinimą. Šis pažeidžiamumas dokumentuotas CVE-2018-1038. Vartotojai turi taikyti šį naujinimą, kad būtų visiškai apsaugotas nuo šio pažeidžiamumo, jei jų kompiuteriai buvo atnaujinti arba po 2018 m. sausio mėn. taikant naujinimus, kurie išvardyti šiame žinių bazės straipsnyje:

"Windows" branduolio naujinimas, skirtas CVE-2018-1038

Šis saugos naujinimas išsprendžia keletą "Internet Explorer" pažeidžiamumų, apie kuriuos pranešta. Norėdami sužinoti daugiau apie šiuos pažeidžiamumą, ieškokite "Microsoft" bendro pažeidžiamumas ir rizikos. 

Išleistas produkto naujinimas	Būsena	Išleidimo data	Leidimo kanalas	KB
"Internet Explorer 10" – kaupiamasis naujinimas, skirtas ""Windows 8" Embedded Standard Edition"	Išleista	Kovo 13 d.	WU, WSUS, katalogas	KB4089187

2018 m. vasario mėn. "Windows" operacinės sistemos naujinimai

Tinklaraštis: "Windows Analytics" dabar padeda įvertinti "Spectre" ir "Meltdown" apsaugą

Šie saugos naujinimai suteikia papildomą apsaugą įrenginiams, kuriuose veikia 32 bitų (x86) "Windows" operacinės sistemos. "Microsoft" rekomenduoja klientams įdiegti naujinimą, kai tik jis bus pasiekiamas. Mes ir toliau dirbame teiksime kitų palaikomų "Windows" versijų apsaugą, tačiau šiuo metu neturime leidimų grafiko. Patikrinkite, ar yra naujinimų. 

Pastaba Windows 10 mėnesio saugos naujinimai yra kaupiamieji mėnuo per mėnesį ir bus automatiškai atsisiųsti ir įdiegti iš "Windows Update". Jei įdiegėte ankstesnius naujinimus, į įrenginį bus atsiųsmos ir įdiegtos tik naujos dalys. Daugiau informacijos ieškokite susijusiame žinių bazės straipsnyje, kur rasite techninės informacijos ir skyrių "DUK".

Išleistas produkto naujinimas	Būsena	Išleidimo data	Leidimo kanalas	KB
„Windows 10“ – versija 1709 / „Windows Server 2016“ (1709) / „IoT Core“ – kokybinis naujinimas	Išleista	Sausio 31 d.	WU, katalogas	KB4058258
„Windows Server 2016“ (1709) – „Server“ konteineris	Išleista	Vasario 13 d.	„Docker“ telkinys	KB4074588
„Windows 10“ – versija 1703 / „IoT Core“ – kokybinis naujinimas	Išleista	Vasario 13 d.	WU, WSUS, katalogas	KB4074592
Windows 10 – versija 1607 / "Windows Server 2016" / "IoT Core" – kokybinis naujinimas	Išleista	Vasario 13 d.	WU, WSUS, katalogas	KB4074590
"Windows 10 HoloLens" – operacinės sistemos ir programinės-aparatinės įrangos Naujinimai	Išleista	Vasario 13 d.	WU, katalogas	KB4074590
„Windows Server 2016“ (1607) – konteinerių vaizdai	Išleista	Vasario 13 d.	„Docker“ telkinys	KB4074590
„Windows 10“ – versija 1511 / „IoT Core“ – kokybinis naujinimas	Išleista	Vasario 13 d.	WU, WSUS, katalogas	KB4074591
„Windows 10“ – versija RTM – kokybinis naujinimas	Išleista	Vasario 13 d.	WU, WSUS, katalogas	KB4074596

2018 m. sausio mėn. "Windows" operacinės sistemos naujinimai

Tinklaraštis: "Spectre" ir "Meltdown" rizikos mažinimo priemonių poveikio "Windows" sistemoms supratimas

Nuo 2018 m. sausio mėn. "Microsoft" išleido saugos naujinimus, skirtus sumažinti riziką įrenginiams, kuriuose veikia šios x64 pagrindo "Windows" operacinės sistemos. Norėdami pasinaudoti galima apsauga, klientai turėtų įdiegti naujausius "Windows" operacinės sistemos saugos naujinimus. Stengiamės suteikti kitų palaikomų "Windows" versijų apsaugą, bet šiuo metu neturime leidimų grafiko. Patikrinkite, ar yra naujinimų. Daugiau informacijos ieškokite susijusiame žinių bazės straipsnyje, kur rasite techninės informacijos ir skyrių "DUK".

Išleistas produkto naujinimas	Būsena	Išleidimo data	Leidimo kanalas	KB
„Windows 10“ – versija 1709 / „Windows Server 2016“ (1709) / „IoT Core“ – kokybinis naujinimas	Išleista	Sausio 3 d.	WU, WSUS, katalogas, „Azure“ vaizdų galerija	KB4056892
„Windows Server 2016“ (1709) – „Server“ konteineris	Išleista	Sausio 5 d.	„Docker“ telkinys	KB4056892
„Windows 10“ – versija 1703 / „IoT Core“ – kokybinis naujinimas	Išleista	Sausio 3 d.	WU, WSUS, katalogas	KB4056891
„Windows 10“ – versija 1607 / „Windows Server 2016“ / „IoT Core“ – kokybinis naujinimas	Išleista	Sausio 3 d.	WU, WSUS, katalogas	KB4056890
„Windows Server 2016“ (1607) – konteinerių vaizdai	Išleista	Sausio 4 d.	„Docker“ telkinys	KB4056890
„Windows 10“ – versija 1511 / „IoT Core“ – kokybinis naujinimas	Išleista	Sausio 3 d.	WU, WSUS, katalogas	KB4056888
„Windows 10“ – versija RTM – kokybinis naujinimas	Išleista	Sausio 3 d.	WU, WSUS, katalogas	KB4056893
„Windows 10 Mobile“ (OS Komponavimo versija 15254.192) – ARM	Išleista	Sausio 5 d.	WU, katalogas	KB4073117
„Windows 10 Mobile“ (OS Komponavimo versija 15063.850)	Išleista	Sausio 5 d.	WU, katalogas	KB4056891
„Windows 10 Mobile“ (OS Komponavimo versija 14393.2007)	Išleista	Sausio 5 d.	WU, katalogas	KB4056890
„Windows 10 HoloLens“	Išleista	Sausio 5 d.	WU, katalogas	KB4056890
„Windows 8.1“ / „Windows Server 2012 R2“ – tik saugos naujinimas	Išleista	Sausio 3 d.	WSUS, katalogas	KB4056898
„Windows Embedded 8.1 Industry Enterprise‟	Išleista	Sausio 3 d.	WSUS, katalogas	KB4056898
Windows Embedded 8.1 Industry Pro	Išleista	Sausio 3 d.	WSUS, katalogas	KB4056898
„Windows Embedded 8.1 Pro‟	Išleista	Sausio 3 d.	WSUS, katalogas	KB4056898
„Windows 8.1“ / „Windows Server 2012 R2“ specifinių mėnesio naujinimų paketas	Išleista	Sausio 8 d.	WU, WSUS, katalogas	KB4056895
„Windows Embedded 8.1 Industry Enterprise‟	Išleista	Sausio 8 d.	WU, WSUS, katalogas	KB4056895
Windows Embedded 8.1 Industry Pro	Išleista	Sausio 8 d.	WU, WSUS, katalogas	KB4056895
„Windows Embedded 8.1 Pro‟	Išleista	Sausio 8 d.	WU, WSUS, katalogas	KB4056895
„Windows Server 2012“ tik saugos naujinimas	Išleista		WSUS, katalogas
Windows Server 2008 SP2	Išleista		WU, WSUS, katalogas
„Windows Server 2012“ specifinių mėnesio naujinimų paketas	Išleista		WU, WSUS, katalogas
Windows Embedded 8 Standard	Išleista		WU, WSUS, katalogas
„Windows 7 SP1“ / „Windows Server 2008 R2“ SP1 – tik saugos naujinimas	Išleista	Sausio 3 d.	WSUS, katalogas	KB4056897
Windows Embedded Standard 7	Išleista	Sausio 3 d.	WSUS, katalogas	KB4056897
„Windows Embedded POSReady 7“	Išleista	Sausio 3 d.	WSUS, katalogas	KB4056897
„Windows Thin PC“	Išleista	Sausio 3 d.	WSUS, katalogas	KB4056897
„Windows 7 SP1“ / „Windows Server 2008 R2“ SP1 specifinių mėnesio naujinimų paketas	Išleista	Sausio 4 d.	WU, WSUS, katalogas	KB4056894
Windows Embedded Standard 7	Išleista	Sausio 4 d.	WU, WSUS, katalogas	KB4056894
„Windows Embedded POSReady 7“	Išleista	Sausio 4 d.	WU, WSUS, katalogas	KB4056894
„Windows Thin PC“	Išleista	Sausio 4 d.	WU, WSUS, katalogas	KB4056894
Kaupiamasis „Internet Explorer 11“ naujinimas, skirtas sistemoms „Windows 7 SP1“ ir „Windows 8.1“	Išleista	Sausio 3 d.	WU, WSUS, katalogas	KB4056568

2024 m. balandžio 9 d. paskelbėme CVE-2022-0001 | "Intel Branch History" įdėjimas , kuris aprašo filialo istorijos įdėjimas (BHI), kuris yra konkrečios formos vidinio režimo BTI. Šis pažeidžiamumas atsiranda, kai pažeidėjas gali valdyti šakos retrospektyvą prieš pereidamas iš vartotojo į priežiūros režimą (arba iš VMX ne šakninio / svečio į šakninį režimą). Dėl šio manipuliavimo netiesioginis šakos numatymas gali pasirinkti konkretų netiesioginio šakos prognozės įrašą, o atskleidimo įtaisas, esantis numatytame tiksliniame objekte, bus laikinai vykdomas. Tai gali būti įmanoma, nes atitinkamoje šakų retrospektyvoje gali būti šakų, paimtų ankstesniuose saugos kontekstuose, ypač kitų prognozės režimų.

Vykdykite nurodymus, aprašytus KB4073119", skirtos "Windows" klientui (IT specialistams), nurodymus ir KB4072698, skirtus "Windows Server", kad sumažintumėte CVE-2022-0001 aprašytus pažeidžiamumus | "Intel Branch History Injection".

"Microsoft" saugos patarimas, skirtas L1 terminalo klaidai (L1TF): MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 ir CVE-2018-3646

Saugos tyrimai ir gynyba: spekuliacinių saugyklų apėjimo analizė ir mažinimas (CVE-2018-3639)

"Microsoft" saugos patarimas, skirtas "Speculative Store Bypass: MSRC" ADV180012 ir CVE-2018-3639

"Microsoft" saugos patarimas, skirtas "Rogue" sistemos registrui skaityti | "Surface" saugos naujinimo vadovas: MSRC ADV180013ir CVE-2018-3640

Saugos tyrimai ir gynyba: spekuliacinių saugyklų apėjimo analizė ir mažinimas (CVE-2018-3639)

"TechNet" saugos tyrimų & gynyba: KVA šešėlis: "Meltdown" švelninimas sistemoje "Windows"

Security Tech Center: Speculative Execution Side Channel Bounty Program Terms

"Microsoft Experience" tinklaraštis: "Spectre" ir "Meltdown" saugos naujinimų naujinimas "Windows" įrenginiams

"Windows" verslui tinklaraštis: "Windows Analytics" dabar padeda įvertinti "Spectre" ir "Meltdown" apsaugą

"Microsoft Secure" tinklaraštis: "Spectre" ir "Meltdown" rizikos mažinimo priemonių poveikio našumui supratimas "Windows" sistemose

"Edge" kūrėjų tinklaraštis: su spėjamu vykdymu susijusių šalutinių kanalų atakų "Microsoft Edge" ir "Internet Explorer" poveikis

"Azure" tinklaraštis: "Azure" klientų apsauga nuo CPU pažeidžiamumo

SCCM patarimai: papildomos rekomendacijos, kaip sumažinti su spėjamu vykdymu susijusių šalutinių kanalų pažeidžiamumą

"Microsoft" patarimai:

• ADV180002 | Rekomendacijos, kaip sumažinti su spėjamu vykdymu susijusių šalutinių kanalų pažeidžiamumą

• ADV180012 | "Microsoft" rekomendacijos dėl "Speculative Store Bypass"

• ADV180013 | "Microsoft" rekomendacijos, skirtos "Rogue" sistemos registrui skaityti

• ADV180016 | "Microsoft" rekomendacijos dėl "Lazy FP State Restore"

• ADV180018 | "Microsoft" rekomendacijos, kaip sumažinti L1TF variantą

"Intel": saugos patarimas

ARM: saugos patarimas

AMD: saugos patarimas

NVIDIA: saugos patarimas

Patarimai vartotojams: įrenginio apsauga nuo su lustu susijusių saugos pažeidžiamumų

Patarimai dėl antivirusinės programos: "Windows" saugos naujinimai, išleisti 2018 m. sausio 3 d., ir antivirusinė programinė įranga

Rekomendacijos dėl AMD "Windows" OS saugos naujinimo bloko: KB4073707: "Windows" operacinės sistemos saugos naujinimo blokas, skirtas kai kuriems AMD pagrindo įrenginiams

Naujinimas, skirtas išjungti rizikos mažinimą dėl "Spectre", 2 variantas: KB4078130: "Intel" nustatė paleidimo iš naujo problemas dėl kai kurių senesnių procesorių mikrokodo 

Patarimai dėl "Surface": patarimai, kaip apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų

Patikrinkite, ar yra su spėjamu vykdymu susijusių šalutinių kanalų mažinimų būsena: supratimas, Get-SpeculationControlSettings "PowerShell" scenarijaus išvestis

Patarimai IT specialistams: patarimai IT specialistams, kaip "Windows" klientams apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų

Patarimai dėl serverio: patarimai dėl "Windows Server", padėsiančio apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų

Patarimai dėl serverio L1 terminalo klaidos: patarimai dėl "Windows Server", padėsiančio apsisaugoti nuo L1 terminalo gedimo

Kūrėjo rekomendacijos: Kūrėjo rekomendacijos dėl "Speculative Store Bypass"

Patarimai dėl „Server Hyper-V“

• Virtualiosios mašinos išteklių valdikliai

• "Hyper-V" pagrindinio CPU išteklių valdymas

"Azure" KB: KB4073235: "Microsoft" debesies apsaugos nuo spekuliacinio vykdymo Side-Channel pažeidžiamumas

Patarimai dėl "Azure Stack": KB4073418: rekomendacijos dėl "Azure Stack", skirtos apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų

"Azure" patikimumas: "Azure" patikimumo portalas

"SQL Server" patarimai: KB4073225: "SQL Server" rekomendacijos, kaip apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų

Saitai su OĮG ir serverio įrenginių gamintojais dėl naujinimų, skirtų apsisaugoti nuo "Spectre" ir "Meltdown" pažeidžiamumų

Norėdami išspręsti šiuos pažeidžiamumus, turite atnaujinti savo aparatūrą ir programinę įrangą. Norėdami patikrinti, ar įrenginio gamintojas turi taikomų programinės-aparatinės įrangos (mikrokodo) naujinimų, naudokite šiuos saitus.

Norėdami patikrinti, ar įrenginio gamintojas turi programinės-aparatinės įrangos (mikrokodo) naujinimų, naudokite šiuos saitus. Turėsite įdiegti tiek operacinės sistemos, tiek programinės-aparatinės įrangos (mikrokodo) naujinimus visoms galimai apsaugai.

OĮG įrenginių gamintojai	Saitas dėl prieinamo mikrokodo
„Acer‟	"Meltdown" ir "Spectre" saugos spragos
„Asus‟	ASUS naujinimas dėl spėjamo vykdymo ir netiesioginio šakos numatymo šalutinių kanalų analizės metodo
Dell	"Meltdown" ir "Spectre" pažeidžiamumai
Epson	CPU pažeidžiamumai (šalutinių kanalų atakos)
Fujitsu	CPU aparatūra pažeidžiama šoninio kanalo atakų (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HP	PALAIKYMO KOMUNIKACIJA – SAUGOS BIULETENIS
Lenovo	Privilegijuotos atminties skaitymas šoniniame kanale
LG	Gaukite pagalbos dėl produkto & palaikymą
NEC	Reaguojant į procesoriaus pažeidžiamumą ("meltdown", spektras) mūsų produktuose
Panasonic	Saugos informacija apie pažeidžiamumą pagal spekuliacinį vykdymą ir netiesioginio šakos numatymo kanalo analizės metodą
„Samsung‟	"Intel" CPU programinės įrangos naujinimo pranešimas
„Surface“	Patarimai dėl „Surface“, padėsiantys apsisaugoti nuo su spėjamu vykdymu susijusių šalutinių kanalų spragų
„Toshiba‟	"Intel", AMD & "Microsoft" su spėjamu vykdymu ir netiesioginio šakos numatymo kanalo analizės metodo saugos pažeidžiamumais (2017 m.)
„Vaio“	Šalutinių kanalų analizės pažeidžiamumo palaikymo

Serverių OĮG gamintojai	Saitas dėl prieinamo mikrokodo
Dell	"Meltdown" ir "Spectre" pažeidžiamumai
Fujitsu	CPU aparatūra pažeidžiama šoninio kanalo atakų (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HPE	"Hewlett Packard Enterprise" produktų saugos pažeidžiamumo įspėjimai
„Huawei“	Saugos pranešimas – "Intel" CPU architektūros dizaino saugos pažeidžiamumų medijos atskleidimo pareiškimas
Lenovo	Privilegijuotos atminties skaitymas šoniniame kanale

Turėsite pasiteiiškinkite įrenginio gamintojo, ar nėra programinės-aparatinės įrangos (mikrokodo) naujinimų. Jei lentelėje jūsų įrenginio gamintojo nėra, kreipkitės tiesiogiai į OĮG.

"Microsoft Surface" įrenginių Naujinimai klientams pasiekiamos per "Windows Update". Galimų "Surface" įrenginio programinės-aparatinės įrangos (mikrokodo) naujinimų sąrašą rasite KB 4073065.

Jei jūsų įrenginys nėra iš "Microsoft", taikykite įrenginio gamintojo programinės-aparatinės įrangos naujinimus. Norėdami gauti daugiau informacijos, kreipkitės į įrenginio gamintoją.

Aparatūros pažeidžiamumo šalinimas naudojant programinės įrangos naujinimą kelia didelių sunkumų ir pažeidžiamumą mažinančių priemonių senesnėms operacinėms sistemoms ir gali reikėti išsamių architektūros pakeitimų. Mes ir toliau dirbame su paveiktų lustų gamintojais, kad ištirtumėte geriausią rizikos mažinimo būdą. Tai gali būti pateikta būsimame naujinime. Pakeitus senesnius įrenginius, kuriuose veikia šios senesnės operacinės sistemos, taip pat atnaujinant antivirusinę programinę įrangą, turėtų būti išspręsta likusi rizika.

Nors "Windows XP" sistemos yra paveikti produktai, "Microsoft" joms naujinimo neišleidžia, nes išsamūs architektūros pakeitimai, kurių reikėtų, keltų grėsmę sistemos stabilumui ir sukeltų programų suderinamumo problemų. Klientams, kuriems svarbi sauga, rekomenduojame savo operacinę sistemą išplėtoti į naujesnę palaikomą sistemą ir neatsilikti nuo kintančios grėsmių saugai aplinkos ir išnaudotų patikimesnę apsaugą, kurią suteikia naujesnės operacinės sistemos.

Naujinimai "HoloLens" Windows 10 "HoloLens" klientams pasiekiamos per "Windows Update".

Pritaikius 2018 m. vasario mėn. "Windows" sauga naujinimą, "HoloLens" klientai neturi imtis jokių papildomų veiksmų įrenginio programinei-aparatinei įrangai atnaujinti. Šios rizikos mažinimo priemonės taip pat bus įtrauktos į visus būsimus "holoLens" skirtus Windows 10 leidimus.

Norėdami gauti daugiau informacijos, kreipkitės į OĮG.

Kad įrenginys būtų visiškai apsaugotas, įdiekite naujausius "Windows" operacinės sistemos saugos naujinimus, skirtus jūsų įrenginiui, ir taikomus programinės-aparatinės įrangos (mikrokodo) naujinimus iš įrenginio gamintojo. Šie naujinimai turėtų būti prieinami įrenginio gamintojo svetainėje. Pirmiausia reikia įdiegti antivirusinės programinės įrangos naujinimus. Operacinės sistemos ir programinės-aparatinės įrangos naujinimai gali būti diegiami bet kokia tvarka.

Jums reikės atnaujinti aparatūrą ir programinę įrangą, kad būtų išspręstas šis pažeidžiamumas. Visapusiškesnapsaugos tikslais taip pat turėsite įdiegti taikomus programinės-aparatinės įrangos (mikrokodo) naujinimus iš įrenginio gamintojo. Raginame įdiegti mėnesio saugos naujinimus ir taip užtikrinti, kad jūsų įrenginiai būtų atnaujinti.

Kiekviename Windows 10 funkcijų naujinime giliai operacinėje sistemoje sukuriame naujausias saugos technologijas, kurios teikia išsamios gynybos funkcijas, kurios neleidžia ištisoms kenkėjiškos programinės įrangos klasėms paveikti jūsų įrenginio. Funkcijų naujinimo leidimai leidžiami du kartus per metus. Kiekviename mėnesiniame kokybiniame naujinime pridedame dar vieną saugos lygmenį, kuris seka kenkėjiškų programų naujas ir kintančias tendencijas, kad besikeičiančios ir besikeičiančios grėsmių sistemos taptų saugesnės.

"Microsoft" atiėlė "Windows" saugos naujinimų, skirtų palaikomoms Windows 10, "Windows 8".1" ir "Windows 7" SP1 įrenginių versijoms, AV suderinamumo patikrą per "Windows Update". 

Rekomendacijas:

• Įsitikinkite, kad jūsų įrenginiai yra atnaujinti, naudodami naujausius saugos naujinimus iš "Microsoft" ir aparatūros gamintojo. Daugiau informacijos apie tai, kaip užtikrinti įrenginio atnaujinimą, žr. "Windows Update": DUK.

• Toliau praktikuokite atsargiai, kai lankotės nežinomos kilmės svetainėse ir nepasilikite svetainėse, kuriomis nepasitikite. "Microsoft" rekomenduoja visiems klientams apsaugoti savo įrenginius naudojant palaikomą antivirusinę programą. Klientai taip pat gali pasinaudoti integruota apsauga nuo virusų: „Windows“ sargyba, skirta „Windows 10“ įrenginiams, ar „Microsoft Security Essentials“, skirta „Windows 7“ įrenginiams. Šie sprendimai suderinami tais atvejais, kai klientai negali įdiegti arba paleisti antivirusinės programinės įrangos.

Siekiant išvengti neigiamos įtakos klientų įrenginiams, sausio arba vasario mėn. išleisti "Windows" saugos naujinimai nebuvo pasiūlyti visiems klientams. Daugiau informacijos ieškokite "Microsoft" žinių bazės straipsnyje 4072699. 

"Intel" pranešė apie problemas , kurios turi įtakos neseniai išleistam mikrokodui, kuris skirtas "Spectre Variant 2" (CVE-2017-5715 – "Branch Target Injection"). Konkrečiai "Intel" pažymėjo, kad šis mikrokodas gali sukelti "didesnį nei tikėtasi perkrovimą ir kitą neprognozuojamą sistemos veikimą", taip pat, kad tokiose situacijose gali būti "duomenų praradimas arba sugadinimas".  Mūsų patirtis yra ta, kad sistemos nestabilumas tam tikromis aplinkybėmis gali sukelti duomenų praradimą ar sugadinimą. Sausio 22 d. "Intel" rekomendavo klientams sustabdyti dabartinės mikrokodo versijos diegimą paveiktuose procesoriuose, kol jie atlieka papildomus atnaujinto sprendimo testus. Suprantame, kad "Intel" toliau tiria dabartinės mikrokodo versijos galimą poveikį ir raginame klientus nuolat peržiūrėti savo rekomendacijas, kad jie galėtų priimti sprendimus.

Kol "Intel" tikrina, atnaujina ir diegia naują mikrokodą, pateikiame ne juostos (OOB) naujinimą KB 4078130, kuris išjungia tik poveikio sumažinimą dėl CVE-2017-5715 – "Branch Target Injection". Tikrinant aptikta, kad šis naujinimas neleidžia atlikti aprašytų veiksmų. Išsamų įrenginių sąrašą rasite "Intel" mikrokodo peržiūros rekomendacijose. Šis naujinimas apima „Windows 7“ (SP1), „Windows 8.1“ ir visas „Windows 10“ versijas, skirtas klientams ir serveriams. Jei naudojate paveiktą įrenginį, šį naujinimą galima taikyti atsisiunčiant jį iš "Microsoft Update" katalogo svetainės. Šio paketo turinio taikymas išjungia tik poveikio mažinimą dėl CVE-2017-5715 – "Branch Target Injection". 

Nuo sausio 25 d. nėra žinomų ataskaitų, nurodančių, kad šis "Spectre" 2 variantas (CVE-2017-5715) buvo naudojamas atakoms klientams. Rekomenduojame, kai reikia, "Windows" klientams iš naujo įjungti rizikos mažinimą dėl CVE-2017-5715, kai "Intel" praneša, kad jūsų įrenginiui buvo išspręstas šis neprognozuojamas sistemos veikimas.

Ne. Tik saugos naujinimai nėra kaupiamieji. Atsižvelgiant į naudojamą operacinės sistemos versiją, turite įdiegti visus išleistus tik saugos naujinimus, kad jie būtų apsaugoti nuo šių pažeidžiamumų. Pavyzdžiui, jei naudojate "Windows 7" 32 bitų sistemoms paveiktame "Intel" CPU, turite įdiegti kiekvieną tik saugos naujinimą nuo 2018 m. sausio mėn. Rekomenduojame įdiegti šiuos tik saugos naujinimus leidimo tvarka.
 
Pastaba Ankstesnėje šių DUK versijoje neteisingai nurodyta, kad vasario mėn. tik saugos naujinime buvo saugos pataisos, išleistos sausio mėn. Tiesą sakant, tai nėra.

Ne. Saugos naujinimo 4078130 buvo konkreti pataisa, skirta išvengti neprognozuojamo sistemos veikimo, efektyvumo problemų ir netikėto paleidimo iš naujo įdiegus mikrokodą. Vasario mėn. saugos naujinimų taikymas "Windows" kliento operacinėse sistemose įgalina visus tris mažinimus. "Windows Server" operacinėse sistemose vis tiek turite įgalinti mažinimą atlikus atitinkamus testus. Daugiau informacijos žr. "Microsoft" žinių bazės 4072698 straipsnyje.

AMD neseniai paskelbė, kad jie pradėjo išleisti mikrokodo naujesnių CPU platformų aplink Spectre Variant 2 (CVE-2017-5715 "Branch Target Injection"). Daugiau informacijos žr. AMD saugos Naujinimai ir AMD techninę dokumentaciją: Architektūros gairės dėl netiesioginio šakų valdymo. Jas galima gauti iš OĮG programinės-aparatinės įrangos kanalo. 

"Intel" neseniai paskelbė, kad užbaigė savo tikrinimus ir pradėjo išleisti mikrokodą naujesnėms CPU platformoms. "Microsoft" pateikia "Intel" patvirtintus mikrokodo naujinimus apie "Spectre Variant 2" (CVE-2017-5715 "Branch Target Injection"). KB 4093836 pateikiami konkretūs žinių bazės straipsniai pagal "Windows" versiją. Kiekvienoje konkrečioje KB yra galimų „Intel“ mikrokodų naujinimai pagal CPU.

"Microsoft" pateikia "Intel" patvirtintus mikrokodo naujinimus apie "Spectre Variant 2" (CVE-2017-5715 "Branch Target Injection"). Norėdami gauti naujausius "Intel" mikrokodo naujinimus per ""Windows Update"", klientai turi įdiegti "Intel" mikrokodą įrenginiuose, kuriuose veikia Windows 10 operacinė sistema, prieš atnaujindami versiją į Windows 10 2018 m. balandžio mėn. naujinimą (1803 versiją).

Mikrokodo naujinimas taip pat pasiekiamas tiesiogiai iš naujinimo katalogo, jei jis nebuvo įdiegtas įrenginyje prieš naujinant sistemos versiją. "Intel" mikrokodas pasiekiamas per "Windows Update", WSUS arba "Microsoft Update" katalogą. Daugiau informacijos ir atsisiuntimo instrukcijas žr. KB 4100347.

Daugiau informacijos žr. šiuose ištekliuose:

• ADV180012 | "Microsoft" rekomendacijos dėl "Speculative Store Bypass for CVE-2018-3639"

• ADV180013 | "Microsoft" rekomendacijos, skirtos "Rogue" sistemos registrui, skirtas CVE-2018-3640 ir KB 4073065 | Rekomendacijos "Surface" klientams

• "Microsoft" saugos tyrimų ir gynybos tinklaraštis

• Kūrėjo rekomendacijos dėl "Speculative Store Bypass"

Daugiau informacijos žr. ADV180012 | skiltyse "Rekomenduojami veiksmai" ir "DUK" "Microsoft" rekomendacijos dėl "Speculative Store Bypass".

Norint patikrinti SSBD būseną, atnaujintas Get-SpeculationControlSettings "PowerShell" scenarijus, kad aptiktų paveiktus procesorius, SSBD operacinės sistemos naujinimų būseną ir procesoriaus mikrokodo būseną, jei taikoma. Norėdami gauti daugiau informacijos ir gauti "PowerShell" scenarijų, žr. KB4074629.

2018 m. birželio 13 d. paskelbta apie papildomą pažeidžiamumą įtraukiant šalutinių kanalų spekuliacinį vykdymą, vadinamą "Lazy FP State Restore", ir priskirtas CVE-2018-3665. Nėra konfigūracijos (registro) parametrų, reikalingų "Lazy Restore FP Restore".

Daugiau informacijos apie šį pažeidžiamumą ir rekomenduojamus veiksmus rasite saugos patarime: ADV180016 | "Microsoft" rekomendacijos dėl "Lazy FP State Restore"

PastabaNėra konfigūracijos (registro) parametrų, reikalingų "Lazy Restore FP Restore".

"Bounds Check Bypass Store" (BCBS) buvo atskleista 2018 m. liepos 10 d. ir priskirta CVE-2018-3693. Mes laikome, kad BCBS priklauso tai pačiai spragų klasei kaip "Bounds Check Bypass" (1 variantas). Šiuo metu nesame susipažinę su jokiais BCBS egzemplioriais savo programinėje įrangoje, tačiau toliau tiriame šią pažeidžiamumo klasę ir dirbsime su pramonės partneriais, kad prireikus išleistume pažeidžiamumą mažinančias priemones. Mes ir toliau skatiname tyrėjus pateikti atitinkamas išvadas į "Microsoft" spekuliacinio vykdymo šalutinių kanalų dosninę programą, įskaitant bet kokius išnaudojamus BCBS egzempliorius. Programinės įrangos kūrėjai turėtų peržiūrėti BCBS atnaujintas rekomendacijas https://aka.ms/sescdevguide.

2018 m. rugpjūčio 14 d. paskelbta apie L1 terminalo gedimą (L1TF) ir priskirti keli CVEs. Šie nauji spekuliaciniai vykdymo šalutinių kanalų pažeidžiamumai gali būti naudojami skaityti atminties turinį per patikimą ribą ir, jei naudojama, gali sukelti informacijos atskleidimą. Yra keli vektoriai, iš kurių pažeidėjas gali sukelti pažeidžiamumus, atsižvelgiant į sukonfigūruotą aplinką. L1TF turi įtakos "Intel Core®"® procesoriams ir "Intel Xeon®"® procesoriams.

Norėdami gauti daugiau informacijos apie šį pažeidžiamumą ir išsamų susijusių scenarijų rodinį, įskaitant "Microsoft" požiūrį į L1TF, žr. šiuos išteklius:

• ADV180018 | "Microsoft" rekomendacijos, kaip sumažinti L1TF variantą

• Saugos patarimo saugos tyrimų tinklaraštis

• Patarimai dėl serverio L1 terminalo klaidos

"Microsoft Surface" klientai: "Microsoft Surface" ir Surface Book produktus naudojantys klientai turi vadovautis nurodymais, skirtais "Windows" klientui, kaip nurodyta saugos patarime: ADV180018 | "Microsoft" rekomendacijos, kaip sumažinti L1TF variantą. Daugiau informacijos apie paveiktus "Surface" produktus ir mikrokodo naujinimų pasiekiamumą žr. "Microsoft" žinių bazės straipsnyje 4073065 .

"Microsoft Hololens" klientai: Microsoft HoloLens neveikia L1TF, nes jis nenaudoja paveikto "Intel" procesoriaus.

Veiksmai, kurių reikia norint išjungti Hyper-Threading, skirsis nuo OĮG iki OĮG, bet paprastai yra BIOS arba programinės-aparatinės įrangos sąrankos ir konfigūravimo įrankių dalis.

Klientai, naudojantys 64 bitų ARM procesorius, turėtų kreiptis į įrenginio OĮG dėl programinės-aparatinės įrangos palaikymo, nes ARM64 operacinės sistemos apsaugai, sumažinančioms CVE-2017-5715 – "Branch Target Injection" ("Spectre", "Variant 2"), reikia, kad įsigaliotų naujausias programinės-aparatinės įrangos naujinimas iš įrenginio OĮG.

Daugiau informacijos apie šį pažeidžiamumą žr. "Microsoft" saugos vadove: CVE-2019-1125 | "Windows" branduolio informacijos atskleidimo pažeidžiamumas.

Mes nežinome apie jokius šios informacijos atskleidimo pažeidžiamumus, kurie daro įtaką mūsų debesies tarnybų infrastruktūrai.

Kai tik sužinome apie šią problemą, mes greitai dirbome, kad išstengtume ją išspręsti ir išleistume naujinimą. Esame tvirtai įsitikinę, kad reikia glaudžiai bendradarbiauti su tyrėjais ir pramonės partneriais, kad klientai būtų saugesni, ir nepaskelbėme išsamios informacijos iki antradienį, rugpjūčio 6 d., pagal koordinuotą pažeidžiamumo atskleidimo praktiką.