Instructions pour atténuer les vulnérabilités de canal auxiliaire d’exécution spéculative

ADV180002

Avis de sécurité

Date de publication : 3 janv. 2018

Dernière mise à jour : 14 juin 2019

Assigning CNA: Microsoft

REMARQUE Cet avis a été modifié le 10 juillet 2018. Pour des raisons de simplicité, du contenu a été supprimé, car il n’est plus pertinent. Vous pouvez consulter le contenu archivé pour ADV180002 dans la section Forum aux questions qui suit le tableau des produits concernés.

Synthèse

Microsoft a connaissance d’une nouvelle classe révélée publiquement de vulnérabilités appelées « attaques par canal auxiliaire d’exécution spéculative » qui concernent de nombreux processeurs et systèmes d’exploitation modernes, notamment Intel, AMD et ARM. Remarque : ce problème concerne d’autres systèmes tels qu’Android, Chrome, iOS et Mac OS. Nous conseillons dès lors à nos clients de rechercher des instructions auprès du fournisseur correspondant.

Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait lire des données privilégiées sur des limites approuvées. Dans un environnement de ressources partagées (dans une configuration de services cloud, par exemple), ces vulnérabilités pourraient permettre à une machine virtuelle d’accéder de façon incorrecte à des informations sur une autre machine. Dans un scénario hors navigation sur un système autonome, un attaquant aurait besoin d’un accès préalable au système ou devrait pouvoir exécuter du code sur le système pour pouvoir exploiter ces vulnérabilités.

Microsoft a publié des mises à jour pour contribuer à atténuer ces vulnérabilités. Pour bénéficier de toutes les protections disponibles, des mises à jour du microprogramme (microcode) et des mises à jour logicielles sont requises. Cela peut concerner notamment le microcode des fabricants d’appareils OEM et, dans certains cas, des mises à jour de l’antivirus. Dans certains cas, l’installation de ces mises à jour a un impact sur les performances. Nous avons également pris des mesures pour sécuriser nos services cloud.

À l’heure actuelle, Microsoft ne dispose d’aucune information faisant état d’une utilisation de ces vulnérabilités dans le but d’attaquer des clients. Microsoft continue de collaborer étroitement avec des partenaires du secteur, notamment des fabricants de puces, des fabricants de matériel OEM et des fournisseurs d’application, afin de protéger ses clients.

Cet avis concerne les vulnérabilités suivantes :

CVE-2017-5753 - Contournement du contrôle de limites
CVE-2017-5715 - Injection cible de branche
CVE-2017-5754 - Chargement du cache de données non autorisé

Actions recommandées

La meilleure protection est de maintenir les ordinateurs à jour. Pour obtenir des instructions relatives à la protection des appareils Windows, consultez l’article 4073757 de la Base de connaissances. Si vous utilisez des produits Surface, consultez l’article 4073065 de la Base de connaissances Microsoft.
Il est recommandé aux entreprises de consulter cet avis en détail et de s’inscrire au service de notification de sécurité pour être averties en cas de modification du contenu de cet avis. Consultez la page Service de notification de sécurité de Microsoft.
Les développeurs de logiciels doivent consulter les instructions pour les développeurs C++ en ce qui concerne les canaux auxiliaires d’exécution spéculative à l’adresse https://aka.ms/sescdevguide.
Vérifiez l’état des protections pour les vulnérabilités CVE-2017-5715 et CVE-2017-5754 à l’aide du script PowerShell Get-SpeculationControlSettings. Pour plus d’informations et pour obtenir le script PowerShell, consultez l’article suivant : Présentation des résultats du script PowerShell Get-SpeculationControlSettings.

Impact potentiel sur les performances

Lors de tests, Microsoft a constaté un certain impact sur les performances lié à ces atténuations. Pour la plupart des appareils grand public, l’impact peut ne pas être perceptible. Toutefois, l’impact varie en fonction de la génération matérielle et de l’implémentation par le fabricant de puces. Microsoft donne la priorité à la sécurité de ses logiciels et services et a pris la décision d’implémenter certaines stratégies d’atténuation afin de renforcer la sécurité de ses produits. Dans certains cas, les atténuations ne sont pas activées par défaut afin de permettre aux utilisateurs et aux administrateurs d’évaluer l’impact sur les performances et l’exposition aux risques avant de décider d’activer les atténuations. Nous continuons de collaborer avec des fournisseurs de matériel afin d’améliorer les performances tout en préservant un degré de sécurité élevé.

Détails de l’avis

Description des vulnérabilités

Les vulnérabilités de canal auxiliaire d’exécution spéculative peuvent servir à lire le contenu de la mémoire sur une limite approuvée et peuvent par conséquent entraîner une divulgation d’informations. Il existe plusieurs vecteurs permettant à un attaquant de déclencher les vulnérabilités en fonction de l’environnement configuré. Pour obtenir une présentation détaillée des scénarios concernés et l’approche de Microsoft en ce qui concerne l’atténuation de cette nouvelle classe de vulnérabilités, consultez notre blog Security Research.

Le tableau suivant récapitule le numéro CVE, le nom et les processeurs concernés pour chacune de ces vulnérabilités :

CVE	Nom public de la vulnérabilité	Autre nom	Processeurs concernés
CVE-2017-5753	Bounds Check Bypass	Spectre, variante 1	AMD, ARM, Intel
CVE-2017-5715	Branch Target Injection	Spectre, variante 2	AMD, ARM, Intel
CVE-2017-5754	Rogue Data Cache Load	Meltdown, variante 3	ARM, Intel

Les deux premières variantes, Bounds Check Bypass (CVE-2017-5753) et Branch Target Injection (CVE-2017-5715), sont collectivement appelées « Spectre ». Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait lire des données privilégiées sur des limites approuvées. Dans un environnement de ressources partagées (dans une configuration de services cloud, par exemple), ces vulnérabilités pourraient permettre à une machine virtuelle d’accéder de façon incorrecte à des informations sur une autre machine. Dans un scénario hors navigation sur un système autonome, un attaquant aurait besoin d’un accès préalable au système ou devrait pouvoir exécuter du code non approuvé sur le système pour pouvoir exploiter ces vulnérabilités. Dans un scénario de navigation, un attaquant pourrait convaincre un utilisateur de visiter un site malveillant pour pouvoir exploiter ces vulnérabilités et obtenir des informations privilégiées du processus du navigateur telles que des données sensibles d’autres onglets ouverts. Un attaquant pourrait également injecter du code malveillant dans des réseaux de publicités utilisés par des sites de confiance ou incorporer du code malveillant sur un site de confiance compromis. La vulnérabilité « Bounds Check Bypass Store » est une extension de la vulnérabilité « Bounds Check Bypass ».

La troisième variante, « Rogue Data Cache Load » (CVE-2017-5754), est appelée « Meltdown ». Un attaquant qui parviendrait à exploiter cette vulnérabilité pourrait lire la mémoire privilégiée à partir d’un contexte non privilégié. Le tableau ci-dessous récapitule la pertinence de ces variantes en fonction des scénarios d’attaque et des limites approuvées. Chaque scénario d’attaque est décrit selon la direction du flux d’informations lors de l’exécution d’une attaque par canal auxiliaire d’exécution spéculative. Les entrées de chaque vulnérabilité CVE indiquent si la primitive de spéculation s’applique au scénario d’attaque correspondant.

Catégorie d’attaque	Scénario d’attaque	CVE-2017-5753	CVE-2017-5715	CVE-2017-5754
Entre machines virtuelles	Hyperviseur vers invité	Applicable	Applicable	Non applicable
	Hôte vers invité	Applicable	Applicable	Non applicable
	Invité vers invité	Applicable	Applicable	Non applicable
Intra-système d’exploitation	Noyau vers utilisateur	Applicable	Applicable	Applicable
	Processus vers processus	Applicable	Applicable	Non applicable
	Intra-processus	Applicable	Applicable	Non applicable
Enclave	Enclave vers n’importe quel élément	Applicable	Applicable	Non applicable

Pour obtenir une présentation détaillée de ces scénarios et notre approche en ce qui concerne l’atténuation de cette nouvelle classe de vulnérabilités, consultez notre blog Security Research.

Utilisateurs de clients Microsoft Windows

Si vous utilisez les systèmes d’exploitation clients Windows, vous devez appliquer des mises à jour du microprogramme (microcode) et des mises à jour logicielles. Pour plus d’informations, consultez l’article 4073119 de la Base de connaissances Microsoft. Si vous utilisez des processeurs AMD, vous devez consulter le point 15 du forum aux questions de cet avis pour connaître l’action supplémentaire à effectuer. Microsoft publie les mises à jour du microcode validées par Intel disponibles pour les systèmes d’exploitation Windows 10. Consultez l’article 4093836 de la Base de connaissances Microsoft pour obtenir les mises à jour actuelles du microcode Intel.

Utilisateurs de Microsoft Windows Server

Si vous utilisez les systèmes d’exploitation clients Windows répertoriés dans le tableau des produits concernés, vous devez appliquer des mises à jour du microprogramme (microcode) et des mises à jour logicielles, ainsi que configurer les protections. Pour plus d’informations, y compris les solutions de contournement, consultez l’article 4072698 de la Base de connaissances Microsoft.

Microsoft Azure a pris des mesures pour corriger les failles de sécurité au niveau de l’hyperviseur afin de protéger les machines virtuelles Windows Server exécutées dans Azure. Des informations supplémentaires sont disponibles ici.

Utilisateurs de Microsoft Surface

Si vous utilisez des produits Microsoft Surface et Surface Book, vous devez appliquer les mises à jour du microprogramme (microcode) et les mises à jour logicielles. La plupart de nos clients ont activé les mises à jour automatiques et n’auront pas besoin d’entreprendre de nouvelle action, car cette mise à jour de sécurité sera téléchargée et installée automatiquement. Pour plus d’informations, consultez l’article 4073065 de la Base de connaissances Microsoft.

Utilisateurs de Microsoft Cloud

Microsoft a déjà déployé des atténuations sur ses services cloud. Des informations supplémentaires sont disponibles ici.

Utilisateurs de Microsoft SQL Server

Les utilisateurs de Microsoft SQL Server doivent suivre les instructions décrites dans l’article 4073225 de la Base de connaissances Microsoft.

Utilisateurs de Microsoft HoloLens

Les mises à jour pour Windows 10 pour HoloLens sont disponibles pour les clients HoloLens par le biais de Windows Update.

Après l’application de la mise à jour de sécurité Windows de février 2018, les clients HoloLens ne doivent entreprendre aucune action supplémentaire pour mettre à jour le microprogramme de leur appareil. Ces atténuations seront également incluses dans toutes les versions futures de Windows 10 pour HoloLens.

Forum aux questions mis à jour

Plusieurs points du forum aux questions ont été mis à jour ou archivés pour des raisons de simplicité. Consultez la section Forum aux questions qui suit le tableau des produits concernés pour obtenir le contenu archivé.

1. Quels sont les systèmes exposés à ces vulnérabilités ?

Ces vulnérabilités concernent les systèmes d’exploitation clients et serveurs. Les systèmes et services configurés pour autoriser l’exécution de code non approuvé sont les plus exposés à ces vulnérabilités. En outre, les systèmes clients utilisés dans des scénarios de navigation tels que les postes de travail ou les serveurs Terminal Server sont exposés à un risque accru.

2. Quelles sont les CVE associées à ces vulnérabilités ?

3. Des attaques actives ont-elles déjà été détectées ?

Non. Lors de la publication, Microsoft ne dispose d’aucune information faisant état d’une utilisation de ces vulnérabilités dans le but d’attaquer ses clients.

4. Point supprimé pour des raisons de simplicité (il concernait la date de divulgation).

5. Les mises à jour de sécurité Windows publiées le 3 janvier 2018 ne m’ont pas été proposées. Que faire ?

Afin d’éviter tout impact négatif sur les appareils, les mises à jour de sécurité Windows publiées le 3 janvier 2018 n’étaient proposées qu’aux appareils exécutant un antivirus compatible. Pour plus d’informations sur l’obtention des mises à jour, consultez l’article 4072699 de la Base de connaissances Microsoft.

6. Point supprimé pour des raisons de simplicité (il concernait la disponibilité des mises à jour pour Windows Server 2008 et Windows Server 2012 - consultez le tableau des produits concernés pour les mises à jour).

7. Point supprimé pour des raisons de simplicité (il concernait la disponibilité des mises à jour pour les versions 32 bits de Windows (x86) - consultez le tableau des produits concernés pour les mises à jour).

8. Point supprimé pour des raisons de simplicité (il concernait la portée des vulnérabilités - pour plus d’informations, consultez la section Description des vulnérabilités de cet avis).

9. Mon appareil est-il protégé après l’application des mises à jour de sécurité Windows ?

Non. Une action supplémentaire peut être requise. Consultez le tableau ci-dessous :

CVE	Modifications Windows	Microcode nécessaire ?	Action supplémentaire nécessaire ?
CVE-2017-5753	Modification du compilateur, binaires recompilés faisant à présent partie des mises à jour Windows et renforcement des navigateurs Edge et IE11 pour empêcher l’exploitation à partir de JavaScript	Non	Non
CVE-2017-5715	Appel de nouvelles instructions d’UC pour éliminer la spéculation de branche dans les situations à risque	Oui	1. Mise à jour du microcode nécessaire. 2. Sous Windows Server, l’atténuation doit être activée. Pour plus d’informations, voir KB 4072698. 3. Si vous utilisez un processeur AMD, consultez le point 15 du forum aux questions pour connaître l’action supplémentaire. 4. Si vous utilisez un processeur ARM, consultez les points 19 et 20 du forum aux questions pour connaître l’action supplémentaire.
CVE-2017-5754	Isolation des tables de pages du noyau et du mode utilisateur	Non	1. Sous Windows Server 2019, l’atténuation est activée par défaut. 2. Sous Windows Server 2016 et les versions antérieures, l’atténuation doit être activée. Pour plus d’informations, voir KB 4072698.

10. Point supprimé pour des raisons de simplicité (il concernait la disponibilité des mises à jour pour les systèmes utilisant d’anciens processeurs AMD - consultez le tableau des produits concernés pour les mises à jour).

11. Point supprimé pour des raisons de simplicité (il concernait les problèmes de redémarrage liés au microcode Intel sur d’anciens processeurs). Voir KB 4093836 pour les mises à jour du microcode disponibles.

12. Si je suis dans la branche Sécurité uniquement, quelles sont les mises à jour de sécurité uniquement que je dois installer pour bénéficier d’une protection contre les vulnérabilités décrites dans cet avis ?

Les mises à jour de sécurité uniquement ne sont pas cumulatives. Selon la version du système d’exploitation que vous utilisez et du processeur de l’ordinateur, vous devrez peut-être installer plusieurs mises à jour de sécurité pour bénéficier d’une protection intégrale. En général, les clients doivent installer les mises à jour de janvier, de février, de mars et d’avril. Les systèmes reposant sur des processeurs AMD nécessitent une mise à jour supplémentaire indiquée dans le tableau suivant :

Version du système d’exploitation	Mise à jour de sécurité
Windows 8.1, Windows Server 2012 R2	4338815 - Correctif cumulatif mensuel
	4338824 - Sécurité uniquement
Windows 7 SP1, Windows Server 2008 R2 SP1 ou Windows Server 2008 R2 SP1 (installation Server Core)	4284826 - Correctif cumulatif mensuel
	4284867 - Sécurité uniquement
Windows Server 2008 SP2	4340583 - Mise à jour de sécurité

Microsoft recommande d’installer ces mises à jour de sécurité uniquement dans leur ordre de publication.

13. Si j’installe l’une des mises à jour de sécurité applicables de février, les protections contre la vulnérabilité CVE-2017-5715 sont-elles désactivées, comme c’était le cas avec la mise à jour de sécurité 4078130 ?

Non. La mise à jour de sécurité 4078130 était un correctif spécifique destiné à empêcher les comportements imprévisibles du système, les problèmes de performances et/ou les redémarrages inattendus suite à l’installation du microcode. L’application des mises à jour de sécurité de février sur les systèmes d’exploitation clients Windows active toutes les trois atténuations. Sur les systèmes d’exploitation serveurs Windows, vous devez encore activer les atténuations une fois les tests appropriés effectués. Pour plus d’informations, consultez l’article 4072698 de la Base de connaissances Microsoft.

14. J’ai appris qu’Intel avait publié des mises à jour du microcode. Où puis-je trouver et installer ces mises à jour pour mon système ?

Microsoft fournit les mises à jour du microcode Intel pour les systèmes d’exploitation Windows dès qu’elles sont disponibles. Consultez l’article 4093836 de la Base de connaissances Microsoft pour obtenir les mises à jour actuelles du microcode Intel.

15. Quelles sont les atténuations pour les processeurs AMD pour la vulnérabilité CVE-2017-5715, « injection cible de branche » ?

Le tableau ci-dessous récapitule les scénarios d’attaque contre lesquels cette mise à jour protège lorsque l’atténuation Windows contre l’injection cible de branche est activée et que la prise en charge matérielle nécessaire est présente sur les processeurs AMD :

Scénario	Atténuation
Scénarios interprocessus dans lesquels une application malveillante en mode utilisateur pourrait utiliser la vulnérabilité CVE-2017-5715 pour divulguer le contenu de la mémoire utilisée par d’autres applications.	Activée par défaut
Scénarios utilisateur-noyau dans lesquels une application malveillante en mode utilisateur pourrait utiliser la vulnérabilité CVE-2017-5715 pour divulguer le contenu de la mémoire du noyau.	Désactivée par défaut
Scénarios de virtualisation dans lesquels une machine virtuelle compromise pourrait utiliser la vulnérabilité CVE-2017-5715 pour lire le contenu de la mémoire privilégiée allouée à l’hôte, à l’hyperviseur ou à une autre machine virtuelle invitée.	Activée par défaut

Par défaut, la protection utilisateur-noyau pour CVE-2017-5715 est désactivée pour les processeurs AMD. Les clients doivent activer l’atténuation pour bénéficier des protections supplémentaires pour la vulnérabilité CVE-2017-5715. L’activation de cette atténuation peut réduire les performances. L’impact réel sur les performances varie en fonction de différents facteurs, comme le circuit microprogrammé de l’hôte physique et les charges de travail exécutées. Pour plus d’informations sur l’activation de cette protection, consultez l’article 4073119 de la Base de connaissances Microsoft pour les systèmes d’exploitation clients Windows.

Pour les processeurs AMD prenant en charge SMT, une protection supplémentaire contre les attaques provenant de threads matériels frères est fournie par l’activation de STIBP ou la désactivation de SMT. Pour plus d’informations et pour obtenir les atténuations recommandées par AMD, consultez les mises à jour de la sécurité des processeurs AMD et les instructions relatives à l’architecture AMD concernant le contrôle Indirect Branch.

16. J’ai appris qu’AMD avait publié des mises à jour du microcode. Où puis-je trouver et installer ces mises à jour pour mon système ?

AMD a récemment annoncé avoir commencé à publier un microcode pour les plateformes de processeur les plus récentes en ce qui concerne la variante 2 de Spectre (CVE-2017-5715, « injection cible de branche »). Pour plus d’informations, consultez les mises à jour de la sécurité des processeurs AMD et le Livre blanc AMD : instructions relatives à l’architecture concernant le contrôle Indirect Branch.

Microsoft tiendra ses clients informés des mises à jour du microcode AMD pour les systèmes d’exploitation Windows dès qu’elles seront disponibles. Consultez régulièrement ce forum aux questions pour obtenir les dernières mises à jour.

17. J’ai appris que la vulnérabilité CVE-2018-3693 (Bounds Check Bypass Store) est liée à Spectre. Microsoft va-t-elle publier des atténuations pour cette vulnérabilité ?

La vulnérabilité « Bounds Check Bypass Store » (BCBS) a été divulguée le 10 juillet 2018 et attribuée à la CVE-2018-3693. Nous estimons que BCBS appartient à la même classe de vulnérabilités que « Bounds Check Bypass » (variante 1). À ce jour, nous n’avons connaissance d’aucune instance de BCBS dans nos logiciels. Nous poursuivons toutefois nos recherches sur cette classe de vulnérabilités et nous collaborerons avec des partenaires du secteur pour publier des atténuations, le cas échéant. Nous continuons à encourager les chercheurs à transmettre leurs résultats et constatations dans le cadre du programme Bounty Speculative Execution Side Channel de Microsoft, entre autres toute instance exploitable de BCBS. Les développeurs de logiciels doivent consulter les instructions pour les développeurs mises à jour pour BCBS à l’adresse https://aka.ms/sescdevguide.

18. J’ai un appareil AMD et je subis une utilisation élevée du processeur après avoir installé les mises à jour de sécurité Windows de juin ou de juillet ou après avoir installé une mise à jour du BIOS pour mon appareil. Ce problème est-il normal ?

Des clients ont signalé une utilisation élevée du processeur provoquant une dégradation des performances sur certains systèmes équipés de processeurs AMD Family 15h et 16h suite à l’installation des mises à jour Windows de juin ou juillet 2018 de Microsoft et suite à la mise à jour du microcode AMD corrigeant la variante 2 de Spectre (CVE-2017-5715 - « Branch Target Injection »). AMD et Microsoft ont recherché une solution à ce problème et Microsoft a publié une solution dans les mises à jour de sécurité Windows du 18 août 2018 pour les systèmes d’exploitation suivants :

Windows 10 version 1607
Windows 10 version 1709
Windows 10 version 1803
Windows 7 Service Pack 1
Windows Server 2016
Windows Server version 1709 (installation Server Core)
Windows Server version 1803 (installation Server Core)
Windows Server 2008 R2 Service Pack 1

AMD et Microsoft ont recherché une solution à ce problème, et Microsoft a publié une solution dans les mises à jour de sécurité Windows du 13 novembre 2018 pour les systèmes d’exploitation suivants :

Windows 8.1
Windows Server 2008
Windows Server 2012
Windows Server 2012 R2

Instructions concernant la correction

Si vous souhaitez corriger l’impact sur les performances dû à ce problème, vous pouvez envisager de désactiver temporairement les atténuations contre la variante 2 de Spectre à l’aide des paramètres du Registre pour Windows jusqu’à ce qu’une solution à ce problème soit publiée. Dès qu’une solution sera publiée pour ce problème, vous devrez réactiver les paramètres du Registre.

Si vous avez désactivé les atténuations contre la variante 2 de Spectre à l’aide des paramètres du Registre pour Windows, vous devrez réactiver les paramètres du Registre.

Remarque : Nous ne vous recommandons pas de désinstaller les mises à jour de sécurité de juin ou de juillet pour Windows, car elles fournissent de nombreux autres correctifs de sécurité critiques.

Modification des paramètres du Registre

Important Cette section, méthode ou tâche contient des étapes vous indiquant comment modifier le Registre. Toutefois, des problèmes graves peuvent se produire si vous modifiez le Registre de façon incorrecte. Veillez dès lors à suivre attentivement les étapes ci-dessous. Pour plus de sécurité, sauvegardez le Registre avant de le modifier. Vous serez alors en mesure de le restaurer en cas de problème. Pour plus d’informations sur les procédures de sauvegarde et de restauration du Registre, consultez l’[article 322756 de la Base de connaissances Microsoft](https://support.microsoft.com/fr-fr/help/322756).

Remarque L’activation ou la désactivation de l’atténuation contre la variante 2 de Spectre par la modification du Registre nécessite des droits d’administration et un redémarrage.

Pour désactiver les atténuations contre la variante 2 de Spectre, procédez comme suit :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f  
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

Dès que la solution sera disponible pour votre système d’exploitation, vous devrez réactiver les clés du Registre.

Pour activer les atténuations contre la variante 2 de Spectre, procédez comme suit :

reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Redémarrez l’ordinateur pour que les modifications apportées soient prises en compte.

19. Où puis-je trouver et installer le microprogramme ARM64 qui atténue la CVE-2017-5715 - Injection cible de branche (Spectre, variante 2) ?

Les clients qui utilisent un processeur ARM 64 bits doivent contacter l’intégrateur de l’appareil pour les questions liées au microprogramme, car les protections du système d’exploitation ARM64 qui atténuent la CVE-2017-5715 - Injection cible de branche (Spectre, variante 2) nécessitent la dernière mise à jour de l’OEM de l’appareil.

20. Quelles sont les atténuations pour les processeurs ARM pour la vulnérabilité CVE-2017-5715, « Branch Target Injection » ?

Scénario	Atténuation
Scénarios interprocessus dans lesquels une application malveillante en mode utilisateur pourrait utiliser la vulnérabilité CVE-2017-5715 pour divulguer le contenu de la mémoire utilisée par d’autres applications.	Activée par défaut
Scénarios utilisateur-noyau dans lesquels une application malveillante en mode utilisateur pourrait utiliser la vulnérabilité CVE-2017-5715 pour divulguer le contenu de la mémoire du noyau.	Désactivée par défaut
Scénarios de virtualisation dans lesquels une machine virtuelle compromise pourrait utiliser la vulnérabilité CVE-2017-5715 pour lire le contenu de la mémoire privilégiée allouée à l’hôte, à l’hyperviseur ou à une autre machine virtuelle invitée.	Activée par défaut

Par défaut, la protection utilisateur-noyau pour CVE-2017-5715 est désactivée pour les processeurs ARM. Les clients doivent activer l’atténuation pour bénéficier des protections supplémentaires pour la vulnérabilité CVE-2017-5715. L’activation de cette atténuation peut réduire les performances. L’impact réel sur les performances varie en fonction de différents facteurs, comme le circuit microprogrammé de l’hôte physique et les charges de travail exécutées. Pour plus d’informations sur l’activation de cette protection, consultez l’article 4073119 de la Base de connaissances Microsoft pour les systèmes d’exploitation clients Windows.

Actions suggérées supplémentaires

Protégez votre PC Nous encourageons nos clients à suivre les conseils repris dans la section « Protégez votre ordinateur » concernant l’activation d’un pare-feu, l’obtention de mises à jour logicielles et l’installation d’antivirus. Pour plus d’informations, voir Sécurité et Vie privée Microsoft.
Tenez les logiciels Microsoft à jour Nous recommandons aux utilisateurs de logiciels Microsoft d’installer les dernières mises à jour de sécurité Microsoft pour protéger au maximum leur ordinateur. Si vous n’êtes pas sûr que vos logiciels sont à jour, rendez-vous sur Microsoft Update, effectuez la vérification des mises à jour requises pour votre ordinateur et installez toutes les mises à jour prioritaires qui vous sont proposées. Si vous avez activé et configuré les mises à jour automatiques de façon à les recevoir pour les produits Microsoft, celles-ci vous sont fournies au moment de leur publication, mais nous vous conseillons de vérifier qu'elles sont bien installées.

Exploitabilité

Le tableau ci-dessous fournit une évaluation d’exploitabilité pour cette vulnérabilité lors de la publication initiale.

Publicly disclosed: Non
Exploited: Non
Exploitability assessment: Exploitation moins probable

Forum aux questions

REMARQUE : L’avis ADV180002 a été mis à jour le 10 juillet 2018. Le contenu suivant est la version archivée d’origine de l’avis ADV180002. Consultez le début de cette page pour obtenir les informations les plus récentes concernant les vulnérabilités de canal auxiliaire d’exécution spéculative décrites dans cet avis.

Synthèse

Microsoft a publié plusieurs mises à jour pour contribuer à atténuer ces vulnérabilités. Nous avons également pris des mesures pour sécuriser nos services cloud. Voir ci-après pour plus d’informations.

À l’heure actuelle, Microsoft n’a reçu aucune information faisant état d’une utilisation de ces vulnérabilités dans le but d’attaquer des clients. Microsoft continue de collaborer étroitement avec des partenaires du secteur, notamment des fabricants de puces, des fabricants de matériel OEM et des fournisseurs d’application, afin de protéger ses clients. Pour bénéficier de toutes les protections disponibles, des mises à jour du matériel/microprogramme et des mises à jour logicielles sont requises. Cela peut concerner notamment le microcode des fabricants d’appareils OEM et, dans certains cas, des mises à jour de l’antivirus.

Cet avis concerne les vulnérabilités suivantes :

CVE-2017-5753 - Contournement du contrôle de limites
CVE-2017-5715 - Injection cible de branche
CVE-2017-5754 - Chargement du cache de données non autorisé

Actions recommandées

Si vous êtes un particulier, la meilleure protection est de maintenir vos ordinateurs à jour. Pour cela, utilisez la fonctionnalité de mise à jour automatique. Pour savoir comment activer les mises à jour automatiques, cliquez ici. Outre les mises à jour de sécurité Windows de janvier 2018, vous devrez peut-être installer des mises à jour du microprogramme disponibles auprès du fabricant de votre appareil pour bénéficier d’une protection renforcée. Contactez le fabricant de votre appareil pour obtenir les mises à jour appropriées.

Si les mises à jour automatiques sont activées, les mises à jour de sécurité Windows de janvier 2018 seront proposées aux appareils qui utilisent un antivirus pris en charge. Ces mises à jour peuvent être installées dans n’importe quel ordre.

Si vous avez activé et configuré la mise à jour automatique de façon à recevoir les mises à jour pour Windows, celles-ci vous sont fournies au moment de leur publication, si votre appareil et vos logiciels sont compatibles. Nous vous recommandons de vérifier que ces mises à jour sont installées. Si la mise à jour automatique n’est pas activée, vérifiez et installez manuellement les mises à jour de sécurité du système d’exploitation Windows de janvier 2018.
Installez la mise à jour applicable du microprogramme fournie par votre fabricant d’appareil OEM.

Les utilisateurs de produits Surface doivent appliquer des mises à jour du microprogramme et des mises à jour logicielles. Pour plus d’informations, consultez l’article 4073065 de la Base de connaissances Microsoft.

Impact potentiel sur les performances

Lors de tests, Microsoft a constaté un certain impact sur les performances lié à ces atténuations. Pour la plupart des appareils grand public, l’impact peut ne pas être perceptible. Toutefois, l’impact varie en fonction de la génération matérielle et de l’implémentation par le fabricant de puces. Microsoft donne la priorité à la sécurité de ses logiciels et services et a pris la décision d’implémenter certaines stratégies d’atténuation afin de renforcer la sécurité de ses produits. Nous continuons de collaborer avec des fournisseurs de matériel afin d’améliorer les performances tout en préservant un degré de sécurité élevé.

Détails de l’avis

Description des vulnérabilités

Microsoft collabore avec des fabricants de matériel et de logiciels pour développer conjointement des atténuations afin de protéger les clients des produits et services Microsoft. Ces atténuations empêchent les attaquants d’exploiter une faille du processeur leur permettant de divulguer le contenu de la mémoire.

Utilisateurs de clients Microsoft Windows

Dans le cas d’un client, une application malveillante en mode utilisateur pourrait être utilisée pour divulguer le contenu de la mémoire du noyau.

Les utilisateurs des systèmes d’exploitation clients Windows, notamment Windows 7 Service Pack 1, Windows 8.1 et Windows 10, doivent appliquer des mises à jour du microprogramme et des mises à jour logicielles. Pour plus d’informations, consultez l’article 4073119 de la Base de connaissances Microsoft.

Les utilisateurs des produits Microsoft Surface et Surface Book doivent appliquer des mises à jour du microprogramme et des mises à jour logicielles. La plupart de nos clients ont activé les mises à jour automatiques et n’auront pas besoin d’entreprendre de nouvelle action, car cette mise à jour de sécurité sera téléchargée et installée automatiquement.

Microsoft continuera de collaborer étroitement avec des partenaires du secteur pour améliorer les atténuations contre cette classe de vulnérabilités.

Utilisateurs de Microsoft Windows Server

Dans le cas d’un serveur, une application malveillante en mode utilisateur pourrait être utilisée pour divulguer le contenu de la mémoire du noyau. Dans les autres environnements d’hébergement à plusieurs clients, une machine virtuelle pourrait lire la mémoire du système d’exploitation hôte ou la mémoire d’autres systèmes d’exploitation invités exécutés sur la même machine physique.

Les utilisateurs des systèmes d’exploitation Windows Server, notamment Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2 et Windows Server 2016, doivent appliquer des mises à jour du microprogramme et des mises à jour logicielles, ainsi que configurer des protections. Pour plus d’informations, y compris les solutions de contournement, consultez l’article 4072698 de la Base de connaissances Microsoft.

Microsoft continuera de collaborer étroitement avec des partenaires du secteur pour améliorer les atténuations contre cette classe de vulnérabilités.

Utilisateurs de Microsoft Cloud

Microsoft a déjà déployé des atténuations sur la majorité de ses services cloud et accélère ses efforts en vue de couvrir les services restants. Des informations supplémentaires sont disponibles ici.

Utilisateurs de Microsoft SQL Server

Les utilisateurs de Microsoft SQL Server doivent suivre les instructions décrites dans l’article 4073225 de la Base de connaissances Microsoft.

Clients Microsoft HoloLens

Les mises à jour pour Windows 10 pour HoloLens sont disponibles pour les clients HoloLens par le biais de Windows Update.

Forum aux questions

1. Quels sont les systèmes exposés à ces vulnérabilités ?

2. Quelles sont les CVE associées à ces vulnérabilités ?

3. Des attaques actives ont-elles déjà été détectées ?

Non. Lors de la publication de cet avis de sécurité, Microsoft n’avait reçu aucune information faisant état d’une utilisation de ces vulnérabilités dans le but d’attaquer des clients.

4. Ces vulnérabilités ont-elles été révélées publiquement ?

Oui. Les vulnérabilités ont été divulguées le 3 janvier 2018 sur le site suivant : https://bugs.chromium.org/p/project-zero/issues/detail?id=1272.

5. Les mises à jour de sécurité Windows publiées le 3 janvier 2018 ne m’ont pas été proposées. Que faire ?

Afin d’éviter tout impact négatif sur les appareils, les mises à jour de sécurité Windows publiées le 3 janvier 2018 n’ont été proposées qu’aux appareils exécutant un antivirus compatible. Pour plus d’informations sur l’obtention des mises à jour, consultez l’article 4072699 de la Base de connaissances Microsoft.

6. Pourquoi les plateformes Windows Server 2008 et Windows Server 2012 ne bénéficient-elles pas d’une mise à jour ? Quand les clients peuvent-ils s’attendre à un correctif ?

La résolution d’une vulnérabilité matérielle à l’aide d’une mise à jour logicielle constitue un défi considérable, car certains systèmes d’exploitation nécessitent des modifications importantes de l’architecture. Microsoft continue à collaborer avec les fabricants de puces concernés pour déterminer le meilleur moyen de proposer les atténuations.

Mise à jour du 13 mars 2018 : Microsoft a publié les mises à jour de sécurité suivantes pour Windows Server 2008 et Windows Server 2012 afin de fournir des atténuations contre les vulnérabilités décrites dans cet avis. Consultez le tableau des produits concernés pour obtenir les liens de téléchargement et d’installation des mises à jour. Ces mises à jour sont également disponibles via Windows Update.

4090450 - Windows Server 2008 pour systèmes 32 bits
4090450 - Windows Server 2008 pour systèmes x64
4090450 - Windows Server 2008 pour systèmes Itanium
4088877 - (Correctif cumulatif mensuel) Windows Server 2012
4088880 - (Sécurité uniquement) Windows Server 2012

7. Je dispose d’une architecture x86 et les résultats de la vérification PowerShell indiquent que je ne bénéficie pas d’une protection complète contre ces vulnérabilités de canal auxiliaire d’exécution spéculative. Microsoft fournira-t-elle des protections complètes à l’avenir ?

La résolution d’une vulnérabilité matérielle à l’aide d’une mise à jour logicielle constitue un défi considérable et implique des atténuations pour les systèmes d’exploitation antérieurs qui nécessitent des modifications importantes de l’architecture. Les packages de mise à jour 32 bits existants répertoriés dans cet avis corrigent entièrement les vulnérabilités CVE-2017-5753 et CVE-2017-5715, mais ne fournissent actuellement pas de protection pour la vulnérabilité CVE-2017-5754. Microsoft continue de collaborer avec les fabricants de puces concernés pour déterminer le meilleur moyen de proposer des atténuations pour les clients x86, qui pourront être fournies dans une mise à jour ultérieure.

Mise à jour du 13 mars 2018 : Microsoft a publié les mises à jour de sécurité suivantes pour fournir des protections supplémentaires pour les versions 32 bits (x86) de Windows en ce qui concerne la vulnérabilité CVE-2017-5754 (« Meltdown »). Consultez le tableau des produits concernés pour obtenir les liens de téléchargement et d’installation des mises à jour. Ces mises à jour sont également disponibles via Windows Update.

4088875 - (Correctif cumulatif mensuel) Windows 7 pour systèmes 32 bits Service Pack 1
4088878 - (Sécurité uniquement) Windows 7 pour systèmes 32 bits Service Pack 1
4088876 - (Correctif cumulatif mensuel) Windows 8.1 pour systèmes 32 bits
4088879 - (Sécurité uniquement) Windows 8.1 pour systèmes 32 bits

Mise à jour du 13 février 2018 : Microsoft a publié les mises à jour de sécurité suivantes pour fournir des protections supplémentaires pour les versions 32 bits (x86) de Windows 10 en ce qui concerne la vulnérabilité CVE-2017-5754 (« Meltdown »). Consultez le tableau des produits concernés pour obtenir les liens de téléchargement et d’installation des mises à jour à partir du Catalogue Microsoft Update :

4074596 - Windows 10 pour systèmes 32 bits
4074591 - Windows 10 version 1511 pour systèmes 32 bits
4074590 - Windows 10 version 1607 pour systèmes 32 bits
4074592 - Windows 10 version 1703 pour systèmes 32 bits

Mise à jour du 18 janvier 2018 : Microsoft a publié la mise à jour de sécurité 4073291 pour fournir des protections supplémentaires pour la version 32 bits (x86) de Windows 10 version 1709 en ce qui concerne la vulnérabilité CVE-2017-5754 (« Meltdown »). Consultez le tableau des produits concernés pour obtenir les liens de téléchargement et d’installation de la mise à jour à partir du Catalogue Microsoft Update

8. Quelle est la portée de ces vulnérabilités ?

Il s’agit de vulnérabilités de divulgation d’informations. Un attaquant qui parviendrait à exploiter ces vulnérabilités pourrait les utiliser pour révéler des informations sensibles qui pourraient être utilisées afin d’exploiter davantage le système. Dans un environnement de ressources partagées (dans une configuration de services cloud, par exemple), ces vulnérabilités pourraient permettre à une machine virtuelle d’accéder de façon incorrecte à des informations sur une autre machine. Dans un scénario hors navigation sur un système autonome, un attaquant aurait besoin d’un accès préalable au système ou devrait pouvoir exécuter du code non approuvé sur le système pour pouvoir exploiter ces vulnérabilités. Dans un scénario de navigation, un attaquant pourrait convaincre un utilisateur de visiter un site malveillant pour pouvoir exploiter ces vulnérabilités. Un attaquant pourrait également injecter du code malveillant dans des réseaux de publicités utilisés par des sites de confiance ou incorporer du code malveillant sur un site de confiance compromis.

En soi, ces vulnérabilités ne permettent pas l’exécution de code arbitraire.

9. Mon appareil est-il protégé après l’application des mises à jour de sécurité Windows publiées par Microsoft le 3 janvier 2018 ?

Pour bénéficier de toutes les protections disponibles pour votre appareil contre les trois vulnérabilités décrites dans cet avis, vous devez installer les mises à jour de sécurité pour Windows et appliquer les mises à jour du microcode fournies par le fabricant de matériel OEM.

Si ce fabricant ne fournit pas de mise à jour du microcode ou si vous ne parvenez pas à l’appliquer, les mises à jour de sécurité Windows publiées le 3 janvier 2018 corrigent les vulnérabilités suivantes :

CVE-2017-5753 - Contournement du contrôle de limites
CVE-2017-5754 - Chargement du cache de données non autorisé

Pour corriger la vulnérabilité CVE-2017-5715 (injection cible de branche), vous devez appliquer une mise à jour du microcode avec la mise à jour de sécurité Windows. Pour toute question concernant la mise à jour du microcode, contactez le fabricant OEM. Les systèmes ne disposant pas d’un microcode mis à jour restent vulnérables à la divulgation d’informations décrite au point 8 du forum aux questions : Quelle est la portée de ces vulnérabilités ?

10. J’ai un appareil AMD et un antivirus compatible, mais je ne reçois pas la mise à jour de sécurité Windows de janvier 2018. Quelle en est la raison ?

Microsoft a collaboré avec AMD pour résoudre les blocages de mise à jour sur un nombre limité d’anciens processeurs AMD (qui étaient auparavant bloqués pour éviter que les utilisateurs ne puissent pas redémarrer après l’installation des mises à jour de sécurité récentes du système d’exploitation Windows). Le 18 janvier 2018, Microsoft a repris la mise à jour de tous les appareils AMD à l’aide de la mise à jour du système d’exploitation Windows pour assurer la protection contre les vulnérabilités de circuit microprogrammé Spectre et Meltdown. Les articles suivants de mise à jour du système d’exploitation Windows contiennent des informations sur l’obtention de la mise à jour. Notez que vous devez d’abord avoir un antivirus compatible avant de procéder à la mise à jour.

Pour obtenir des informations spécifiques pour votre appareil AMD, consultez l’avis de sécurité d’AMD. Si vous utilisez les systèmes d’exploitation clients Windows, notamment Windows 7 Service Pack 1, Windows 8.1 et Windows 10, consultez l’article 4073119 de la Base de connaissances Microsoft pour plus d’informations. Si vous utilisez les systèmes d’exploitation serveurs Windows, notamment Windows Server 2008 R2 Service Pack 1, Windows Server 2012 R2 et Windows Server 2016, consultez l’article 4072698 de la Base de connaissances Microsoft pour plus d’informations.

11. Intel a identifié des problèmes de redémarrage liés au microcode sur d’anciens processeurs. Que faire ?

Intel a signalé des problèmes liés au microcode récemment publié afin de corriger la variante 2 de Spectre (CVE-2017-5715, injection cible de branche). En particulier, Intel a constaté que ce microcode peut provoquer « un nombre de redémarrages plus important que prévu et d’autres comportements imprévisibles du système » et que ces situations peuvent entraîner « la perte ou l’altération des données ». Selon notre expérience, l’instabilité du système peut, dans certains cas, provoquer la perte ou l’altération des données. Le 22 janvier, Intel a recommandé à ses clients d’arrêter le déploiement de la version actuelle du microcode sur les processeurs concernés pendant qu’il réalisait des tests supplémentaires sur la solution mise à jour. Nous comprenons qu’Intel poursuit ses recherches sur l’impact potentiel de la version actuelle du microcode et nous invitons nos clients à consulter régulièrement ses instructions pour les aider à prendre des décisions.

En attendant qu’Intel teste, mette à jour et déploie un nouveau microcode, nous publions aujourd’hui une mise à jour hors cycle, KB4078130, qui désactive uniquement l’atténuation contre la vulnérabilité CVE-2017-5715, « injection cible de branche ». Nos tests confirment que cette mise à jour empêche le comportement décrit. Pour obtenir la liste complète des appareils concernés, consultez les instructions de révision du microcode d’Intel. Cette mise à jour concerne Windows 7 Service Pack 1, Windows 8.1 et toutes les versions de Windows 10 (client et serveur). Si vous utilisez un appareil concerné, vous pouvez appliquer cette mise à jour en la téléchargeant à partir du Catalogue Microsoft Update. L’application de cette charge utile désactive en particulier uniquement l’atténuation contre la vulnérabilité CVE-2017-5715, « injection cible de branche ».

En date du 25 janvier, il n’existe aucun rapport connu faisant état d’une utilisation de la variante 2 de Spectre (CVE-2017-5715) dans le but d’attaquer des clients. Nous recommandons aux utilisateurs Windows de réactiver, le cas échéant, l’atténuation contre CVE-2017-5715 dès qu’Intel aura signalé que ce comportement imprévisible du système est résolu pour l’appareil concerné.

Mise à jour du 24 avril 2018 :

Microsoft a publié la mise à jour de sécurité autonome 4078407 qui active par défaut l’atténuation contre la variante 2 de Spectre (CVE-2017-5715) pour toutes les versions prises en charge de Windows 10 et des serveurs Windows 10. Vous pouvez appliquer cette mise à jour en la téléchargeant à partir du Catalogue Microsoft Update. Pour plus d’informations, consultez l’article 4078407 de la Base de connaissances Microsoft.

12. Je n’ai pas installé les mises à jour de sécurité uniquement de janvier 2018 ou de février 2018. Que dois-je installer pour bénéficier d’une protection contre les vulnérabilités décrites dans cet avis ?

Les mises à jour de sécurité uniquement ne sont pas cumulatives. Selon la version du système d’exploitation que vous utilisez, vous devez installer les mises à jour de sécurité uniquement de janvier, de février et de mars pour bénéficier d’une protection contre les vulnérabilités décrites dans cet avis. Par exemple, si vous utilisez Windows 7 pour systèmes 32 bits sur un processeur Intel concerné, vous devez installer les mises à jour de sécurité uniquement de janvier, de février et de mars. Nous recommandons d’installer ces mises à jour de sécurité uniquement dans leur ordre de publication. Remarque : une version antérieure de ce forum aux questions indiquait de manière incorrecte que la mise à jour de sécurité uniquement de février contenait les correctifs de sécurité publiés en janvier pour les problèmes associés à cet avis.

14. J’ai appris qu’Intel avait publié des mises à jour du microcode. Où puis-je trouver et installer ces mises à jour pour mon système ?

Ces mises à jour sont actuellement disponibles via le Catalogue Microsoft Update pour les appareils Windows 10 version 1709 et Windows Server version 1709. Pour plus d’informations et pour obtenir la dernière mise à jour du microcode disponible pour les appareils Windows 10 version 1709 ou Windows Server version 1709, consultez l’article 4090007 de la Base de connaissances Microsoft.

Mise à jour du 15 mai 2018 :

Ces mises à jour sont actuellement disponibles via le Catalogue Microsoft Update pour les appareils Windows 10 version 1803 et Windows Server version 1803. Pour plus d’informations et pour obtenir la dernière mise à jour du microcode disponible pour les appareils Windows 10 version 1803 ou Windows Server version 1803, consultez l’article 4100347 de la Base de connaissances Microsoft.

Mise à jour du 24 avril 2018 :

Ces mises à jour sont actuellement disponibles via le Catalogue Microsoft Update pour les appareils Windows 10. Pour plus d’informations et pour obtenir la dernière mise à jour du microcode disponible pour les appareils Windows 10, consultez l’article 4091666 de la Base de connaissances Microsoft.

Mise à jour du 14 mars 2018 :

Ces mises à jour sont actuellement disponibles via le Catalogue Microsoft Update pour les appareils Windows 10 version 1703. Pour plus d’informations et pour obtenir la dernière mise à jour du microcode disponible pour les appareils Windows 10 version 1703, consultez l’article 4091663 de la Base de connaissances Microsoft.

Ces mises à jour sont actuellement disponibles via le Catalogue Microsoft Update pour les appareils Windows 10 version 1607 et Windows Server 2016. Pour plus d’informations et pour obtenir la dernière mise à jour du microcode disponible pour les appareils Windows 10 version 1607 ou Windows Server 2016, consultez l’article 4091664 de la Base de connaissances Microsoft.

Microsoft publiera les mises à jour du microcode Intel pour les systèmes d’exploitation Windows dès qu’elles seront disponibles. Consultez l’article 4093836 de la Base de connaissances Microsoft ou ce forum aux questions pour obtenir les mises à jour actuelles du microcode Intel.

15. Quelles sont les atténuations pour les processeurs AMD pour la vulnérabilité CVE-2017-5715, « injection cible de branche » ?

Si vous utilisez Windows 10 version 1709 ou Windows Server version 1709 (installation Server Core), vous devez installer la mise à jour de sécurité 4093112 pour bénéficier d’atténuations supplémentaires pour les processeurs AMD pour la vulnérabilité CVE-2017-5715, « injection cible de branche ». Consultez le tableau des produits concernés pour obtenir les liens de téléchargement et d’installation des mises à jour. Cette mise à jour est également disponible via Windows Update.

Mise à jour du 10 juillet 2018 :

Si vous utilisez Windows 8.1, Windows Server 2012 R2 ou Windows Server 2012 R2 (installation Server Core), vous devez installer la mise à jour de sécurité 4338815 (correctif cumulatif mensuel) ou 4338824 (mise à jour de sécurité uniquement) pour bénéficier d’atténuations supplémentaires pour les processeurs AMD pour la vulnérabilité CVE-2017-5715, « injection cible de branche ». Consultez le tableau des produits concernés pour obtenir les liens de téléchargement et d’installation des mises à jour. Ces mises à jour sont également disponibles via Windows Update.

Si vous utilisez Windows Server 2012 ou Windows Server 2012 (installation Server Core), vous devez installer la mise à jour de sécurité 4338830 (correctif cumulatif mensuel) ou 4338820 (mise à jour de sécurité uniquement) pour bénéficier d’atténuations supplémentaires pour les processeurs AMD pour la vulnérabilité CVE-2017-5715, « injection cible de branche ». Consultez le tableau des produits concernés pour obtenir les liens de téléchargement et d’installation des mises à jour. Ces mises à jour sont également disponibles via Windows Update.

Si vous utilisez Windows Server 2008 ou Windows Server 2008 (installation Server Core), vous devez installer la mise à jour de sécurité 4340583 pour bénéficier d’atténuations supplémentaires pour les processeurs AMD pour la vulnérabilité CVE-2017-5715, « injection cible de branche ». Consultez le tableau des produits concernés pour obtenir les liens de téléchargement et d’installation des mises à jour. Ces mises à jour sont également disponibles via Windows Update.

Mise à jour du 12 juin 2018 :

Si vous utilisez Windows 10 version 1703, vous devez installer la mise à jour de sécurité 4284874 pour bénéficier d’atténuations supplémentaires pour les processeurs AMD pour la vulnérabilité CVE-2017-5715, « injection cible de branche ». Consultez le tableau des produits concernés pour obtenir les liens de téléchargement et d’installation des mises à jour. Ces mises à jour sont également disponibles via Windows Update.

Si vous utilisez Windows 10, vous devez installer la mise à jour de sécurité 4284860 pour bénéficier d’atténuations supplémentaires pour les processeurs AMD pour la vulnérabilité CVE-2017-5715, « injection cible de branche ». Consultez le tableau des produits concernés pour obtenir les liens de téléchargement et d’installation des mises à jour. Ces mises à jour sont également disponibles via Windows Update.

Si vous utilisez Windows 7, Windows Server 2008 R2 ou Windows Server 2008 R2 (installation Server Core), vous devez installer la mise à jour de sécurité 4284826 (correctif cumulatif mensuel) ou 4284867 (mise à jour de sécurité uniquement) pour bénéficier d’atténuations supplémentaires pour les processeurs AMD pour la vulnérabilité CVE-2017-5715, « injection cible de branche ». Consultez le tableau des produits concernés pour obtenir les liens de téléchargement et d’installation des mises à jour. Ces mises à jour sont également disponibles via Windows Update.

Mise à jour du 8 mai 2018 :

Si vous utilisez Windows 10 version 1607, Windows Server 2016 ou Windows Server 2016 (installation Server Core), vous devez installer la mise à jour de sécurité 4103723 pour bénéficier d’atténuations supplémentaires pour les processeurs AMD pour la vulnérabilité CVE-2017-5715, « Branch Target Injection ». Consultez le tableau des produits concernés pour obtenir les liens de téléchargement et d’installation des mises à jour. Ces mises à jour sont également disponibles via Windows Update.

Scénario	Atténuation
Scénarios interprocessus dans lesquels une application malveillante en mode utilisateur pourrait utiliser la vulnérabilité CVE-2017-5715 pour divulguer le contenu de la mémoire utilisée par d’autres applications.	Activée par défaut
Scénarios utilisateur-noyau dans lesquels une application malveillante en mode utilisateur pourrait utiliser la vulnérabilité CVE-2017-5715 pour divulguer le contenu de la mémoire du noyau.	Désactivée par défaut
Scénarios de virtualisation dans lesquels une machine virtuelle compromise pourrait utiliser la vulnérabilité CVE-2017-5715 pour lire le contenu de la mémoire privilégiée allouée à l’hôte, à l’hyperviseur ou à une autre machine virtuelle invitée.	Activée par défaut

16. J’ai appris qu’AMD avait publié des mises à jour du microcode. Où puis-je trouver et installer ces mises à jour pour mon système ?

Actions suggérées supplémentaires

Protégez votre PC Nous encourageons nos clients à suivre les conseils repris dans la section « Protégez votre ordinateur » concernant l’activation d’un pare-feu, l’obtention de mises à jour logicielles et l’installation d’antivirus. Pour plus d’informations, voir Sécurité et Vie privée Microsoft.
Tenez les logiciels Microsoft à jour Nous recommandons aux utilisateurs de logiciels Microsoft d’installer les dernières mises à jour de sécurité Microsoft pour protéger au maximum leur ordinateur. Si vous n’êtes pas sûr que vos logiciels sont à jour, rendez-vous sur Microsoft Update, effectuez la vérification des mises à jour requises pour votre ordinateur et installez toutes les mises à jour prioritaires qui vous sont proposées. Si vous avez activé et configuré les mises à jour automatiques de façon à les recevoir pour les produits Microsoft, celles-ci vous sont fournies au moment de leur publication, mais nous vous conseillons de vérifier qu'elles sont bien installées.

Remerciements

Jann Horn of Google Project Zero
Paul Kocher
Moritz Lipp from Graz University of Technology
Daniel Genkin from University of Pennsylvania and University of Maryland
Daniel Gruss from Graz University of Technology
Werner Haas of Cyberus Technology GmbH
Mike Hamburg of Rambus Security Division
Stefan Mangard from Graz University of Technology
Thomas Prescher of Cyberus Technology GmbH
Michael Schwarz from Graz University of Technology
Yuval Yarom of The University of Adelaide and Data61
Additional information on the Meltdown and Spectre attacks can be found at their respective web sites.
Anders Fogh of GDATA Advanced Analytics

Microsoft reconnaît les efforts des professionnels de la sécurité qui contribuent à protéger les clients par une divulgation coordonnée des vulnérabilités. Pour plus d’informations, consultez la page Remerciements.

Mises à jour de sécurité

Consultez le site web Politique de support Microsoft pour connaître la politique de support correspondant à votre logiciel.

Date de publication Descending

Date de publication

Produit

Plateforme

Impact

Gravité max.

Article

Télécharger

Build Number

3 janv. 2018

Microsoft SQL Server 2008 for x64-Based Systems Service Pack 4 (QFE)

Information Disclosure

Important

4057114

Security Update

3 janv. 2018

Microsoft SQL Server 2008 R2 for x64-Based Systems Service Pack 3 (QFE)

Information Disclosure

Important

4057113

Security Update

3 janv. 2018

Microsoft SQL Server 2008 R2 for 32-Bit Systems Service Pack 3 (QFE)

Information Disclosure

Important

4057113

Security Update

3 janv. 2018

Microsoft Edge (EdgeHTML-based)

Windows Server 2016

Information Disclosure

Important

4088787

Security Update

3 janv. 2018

Microsoft Edge (EdgeHTML-based)

Windows 10 Version 1607 for x64-based Systems

Information Disclosure

Important

4088787

Security Update

3 janv. 2018

Microsoft Edge (EdgeHTML-based)

Windows 10 Version 1607 for 32-bit Systems

Information Disclosure

Important

4088787

Security Update

3 janv. 2018

Microsoft Edge (EdgeHTML-based)

Windows 10 Version 1511 for x64-based Systems

Information Disclosure

Important

4088779

Security Update

3 janv. 2018

Microsoft Edge (EdgeHTML-based)

Windows 10 Version 1511 for 32-bit Systems

Information Disclosure

Important

4088779

Security Update

3 janv. 2018

Microsoft Edge (EdgeHTML-based)

Windows 10 for x64-based Systems

Information Disclosure

Important

4088786

Security Update

3 janv. 2018

Microsoft Edge (EdgeHTML-based)

Windows 10 for 32-bit Systems

Information Disclosure

Important

4088786

Security Update

3 janv. 2018

Microsoft Edge (EdgeHTML-based)

Windows 10 Version 1709 for x64-based Systems

Information Disclosure

Important

4088776

Security Update

3 janv. 2018

Microsoft Edge (EdgeHTML-based)

Windows 10 Version 1709 for 32-bit Systems

Information Disclosure

Important

4088776

Security Update

3 janv. 2018

Microsoft Edge (EdgeHTML-based)

Windows 10 Version 1703 for x64-based Systems

Information Disclosure

Important

4088782

Security Update

3 janv. 2018

Microsoft Edge (EdgeHTML-based)

Windows 10 Version 1703 for 32-bit Systems

Information Disclosure

Important

4088782

Security Update

3 janv. 2018

Windows Server, version 1803 (Server Core Installation)

Information Disclosure

Important

4493464

VIA Processors Security Update

3 janv. 2018

Windows 10 Version 1803 for x64-based Systems

Information Disclosure

Important

4493464

VIA Processors Security Update

3 janv. 2018

Windows 10 Version 1803 for 32-bit Systems

Information Disclosure

Important

4493464

VIA Processors Security Update

3 janv. 2018

Windows 10 Version 1607 for HoloLens

Information Disclosure

Important

4074590

Security Update

3 janv. 2018

Windows 8.1 for x64-based systems

Information Disclosure

Important

3 janv. 2018

Windows 8.1 for 32-bit systems

Information Disclosure

Important

3 janv. 2018

Windows 7 for x64-based Systems Service Pack 1

Information Disclosure

Important

3 janv. 2018

Windows 7 for 32-bit Systems Service Pack 1

Information Disclosure

Important

3 janv. 2018

Windows Server 2016 (Server Core installation)

Information Disclosure

Important

4103723

Security Update

3 janv. 2018

Windows Server 2016

Information Disclosure

Important

4103723

Security Update

3 janv. 2018

Windows 10 Version 1607 for x64-based Systems

Information Disclosure

Important

4103723

Security Update

3 janv. 2018

Windows 10 Version 1607 for 32-bit Systems

Information Disclosure

Important

4103723

Security Update

3 janv. 2018

Windows 10 Version 1511 for x64-based Systems

Information Disclosure

Important

4056888

Security Update

3 janv. 2018

Windows 10 Version 1511 for 32-bit Systems

Information Disclosure

Important

4074591

Security Update

3 janv. 2018

Windows 10 for x64-based Systems

Information Disclosure

Important

4284860

Security Update

3 janv. 2018

Windows 10 for 32-bit Systems

Information Disclosure

Important

4284860

Security Update

3 janv. 2018

Windows 10 Version 1703 for x64-based Systems

Information Disclosure

Important

4284874

Security Update

3 janv. 2018

Windows 10 Version 1703 for 32-bit Systems

Information Disclosure

Important

4284874

Security Update

3 janv. 2018

Microsoft SQL Server 2016 for x64-based Systems Service Pack 1 (CU)

Information Disclosure

Important

4058561

Security Update

3 janv. 2018

Microsoft SQL Server 2008 for 32-bit Systems Service Pack 4 (QFE)

Information Disclosure

Important

4057114

Security Update

3 janv. 2018

Microsoft SQL Server 2017 for x64-based Systems (CU)

Information Disclosure

Important

4058562

Security Update

3 janv. 2018

Microsoft SQL Server 2017 for x64-based Systems (GDR)

Information Disclosure

Important

4057122

Security Update

3 janv. 2018

Microsoft SQL Server 2012 for x64-based Systems Service Pack 4 (QFE)

Information Disclosure

Important

4057116

Security Update

3 janv. 2018

Microsoft SQL Server 2012 for 32-bit Systems Service Pack 4 (QFE)

Information Disclosure

Important

4057116

Security Update

3 janv. 2018

Internet Explorer 11

Windows Server 2012 R2

Information Disclosure

Important

3 janv. 2018

Internet Explorer 11

Windows Server 2008 R2 for x64-based Systems Service Pack 1

Information Disclosure

Important

All results loaded

Toutes les 87 lignes chargées

Clause d’exclusion de responsabilité

Les informations contenues dans la Base de connaissances Microsoft sont fournies « en l’état », sans garantie d’aucune sorte. Microsoft exclut toute garantie expresse ou implicite, notamment toute garantie de qualité et d'adéquation à un usage particulier. Microsoft Corporation ou ses fournisseurs ne pourront en aucun cas être tenus pour responsables de tout dommage de quelque nature que ce soit, y compris les dommages directs, indirects, accessoires, consécutifs, pertes de bénéfice ou dommages spéciaux, même si Microsoft Corporation ou ses fournisseurs ont été prévenus de l’éventualité de tels dommages. Certains pays n’autorisent pas l’exclusion ou la limitation des responsabilités pour les dommages indirects ou accessoires, de sorte que la limitation ci-dessus peut ne pas être applicable.

Révisions

version

revisionDate

description

27.1

14 juin 2019

Updated the table in FAQ #9 with information for customers using an ARM processor.

27.0

9 avr. 2019

Pour fournir une protection contre les vulnérabilités Variante 2 de Spectre (CVE-2017-5175) et Meltdown (CVE-2017-5754) pour les systèmes équipés de processeurs VIA, Microsoft a publié les mises à jour de sécurité suivantes : 1. Mise à jour de sécurité 4493472 (correctif cumulatif mensuel) ou 4493448 (mise à jour de sécurité uniquement) pour Windows 7, Windows Server 2008 R2 ou Windows Server 2008 R2 pour systèmes x64 (installation Server Core) (pour plus d’informations, voir https://support.microsoft.com/fr-fr/help/4493472/ ou https://support.microsoft.com/fr-fr/help/4493448/). 2. Mise à jour de sécurité 4493446 (correctif cumulatif mensuel) pour Windows RT 8.1 ; mise à jour de sécurité 4493446 (correctif cumulatif mensuel) ou 4493467 (mise à jour de sécurité uniquement) pour Windows 8.1, Windows Server 2012 R2 ou Windows Server 2012 R2 (installation Server Core) (pour plus d’informations, voir https://support.microsoft.com/fr-fr/help/4493446/ ou https://support.microsoft.com/fr-fr/help/4493467/). 3. Mise à jour cumulative 4493464 pour Windows 10 version 1803 ou Windows Server version 1803 (installation Server Core) (pour plus d’informations, voir https://support.microsoft.com/fr-fr/help/4493464/). Ces mises à jour ne concernent que les processeurs VIA. Pour obtenir les instructions des clients Windows (destinées aux professionnels de l’informatique), consultez la page https://support.microsoft.com/fr-fr/help/4073119/. Pour obtenir les instructions Windows Server, consultez la page https://support.microsoft.com/fr-fr/help/4072698/.

26.0

13 nov. 2018

Les mises à jour suivantes ont été apportées : 1. Ajout d’informations au point 9 du forum aux questions pour les utilisateurs de Windows Server 2019. 2. Mise à jour du point 18 du forum aux questions pour annoncer qu’avec les mises à jour de sécurité Windows publiées le 13 novembre 2018, Microsoft fournit la solution pour les clients utilisant des appareils AMD qui subissent une utilisation élevée du processeur suite à l’installation des mises à jour de sécurité de juin ou de juillet et à la mise à jour du microcode d’AMD. Microsoft recommande à ces clients d’installer les mises à jour de sécurité Windows de novembre et de réactiver les atténuations contre la variante 2 de Spectre si elles étaient désactivées. Cette solution est disponible dans les mises à jour de sécurité Windows de novembre pour : Windows Server 2008, Windows Server 2012, Windows 8.1 et Windows Server 2012 R2. 3. Ajout d’un point 20 au forum aux questions en ce qui concerne les atténuations pour les processeurs ARM pour la vulnérabilité CVE-2017-5715, « Branch Target Injection ».

25.0

11 sept. 2018

Les mises à jour suivantes ont été apportées : 1. Microsoft a publié la mise à jour de sécurité 4457128 pour Windows 10 version 1803 pour systèmes ARM64 afin de fournir une protection contre CVE-2017-5715. Consultez le tableau des produits concernés pour obtenir les liens de téléchargement et d’installation de la mise à jour. Cette mise à jour est également disponible via Windows Update. 2. Ajout de la FAQ 19 pour expliquer où le client peut trouver et installer le microprogramme ARM64 qui atténue la CVE-2017-5715 - Injection cible de branche (Spectre, variante 2).

24.0

15 août 2018

Mise à jour du point 18 du forum aux questions pour annoncer qu’avec les mises à jour de sécurité Windows publiées le 14 août 2018, Microsoft fournit la solution pour les clients utilisant des appareils AMD qui subissent une utilisation élevée du processeur suite à l’installation des mises à jour de sécurité de juin ou de juillet et à la mise à jour du microcode d’AMD. Microsoft recommande à ces clients d’installer les mises à jour de sécurité Windows d’août et de réactiver les atténuations contre la variante 2 de Spectre si elles étaient désactivées. Cette solution est disponible dans les mises à jour de sécurité Windows d’août pour : Windows 10 version 1607. Windows 10 version 1709. Windows 10 version 1803, Windows 7 Service Pack 1, Windows Server 2016, Windows Server version 1709 (installation Server Core), Windows Server version 1803 (installation Server Core) et Windows Server 2008 R2 Service Pack 1. Le forum aux questions sera mis à jour dès que d’autres mises à jour seront disponibles.

23.0

1 août 2018

Ajout d’un point 18 au forum aux questions pour résoudre un problème d’utilisation élevée du processeur que certains clients disposant d’un appareil AMD rencontrent suite à l’installation des mises à jour de sécurité Windows de juin ou de juillet ou suite à l’installation d’une mise à jour du BIOS.

22.0

19 juil. 2018

Pour résoudre un problème connu dans les mises à jour de sécurité publiées le 10 juillet, Microsoft publie des packages de mise à jour cumulative de remplacement pour Windows 10, ainsi que des packages autonomes et de pré-version du correctif cumulatif pour toutes les autres éditions prises en charge de Windows. Ces packages sont disponibles dans le Catalogue Microsoft Update, sur WSUS ou par une recherche manuelle sur Windows Update. Si vous rencontrez des problèmes suite à l’installation des mises à jour de sécurité Windows de juillet, vous devez installer les packages de remplacement. Consultez le tableau des produits concernés pour connaître les numéros des packages de remplacement. Si vous avez installé les mises à jour de sécurité et ne rencontrez aucun problème, vous ne devez pas entreprendre de nouvelle action.

21.0

10 juil. 2018

Mise à jour du point 15 du forum aux questions pour annoncer que les mises à jour de sécurité suivantes fournissent des atténuations supplémentaires pour les processeurs AMD pour la vulnérabilité CVE-2017-5715 : 1. Mise à jour de sécurité 4338815 (correctif cumulatif mensuel) ou 4338824 (mise à jour de sécurité uniquement) pour Windows 8.1, Windows Server 2012 R2 ou Windows Server 2012 R2 (installation Server Core) (pour plus d’informations, voir https://support.microsoft.com/fr-fr/help/4338815/ ou https://support.microsoft.com/fr-fr/help/4338824/). 2. Mise à jour de sécurité 4338830 (correctif cumulatif mensuel) ou 4338820 (mise à jour de sécurité uniquement) pour Windows Server 2012 ou Windows Server 2012 (installation Server Core) (pour plus d’informations, voir https://support.microsoft.com/fr-fr/help/4338830/ ou https://support.microsoft.com/fr-fr/help/4338820/). 3. Mise à jour de sécurité 4340583 pour Windows Server 2008 ou Windows Server 2008 (installation Server Core) (pour plus d’informations, voir https://support.microsoft.com/fr-fr/help/4340583/). 2. Le 10 juillet 2018, cet avis a fait l’objet d’une mise à jour complète afin de fournir aux clients les toutes dernières informations permettant de protéger les systèmes contre les vulnérabilités de canal auxiliaire d’exécution spéculative CVE-2017-5753, CVE-2017-5715 et CVE-2017-5754. Pour des raisons de simplicité, du contenu a été supprimé, car il n’est plus pertinent. Vous pouvez consulter le contenu archivé pour ADV180002 dans la section Forum aux questions qui suit le tableau des produits concernés.

20.0

12 juin 2018

Mise à jour du point 15 du forum aux questions pour annoncer que les mises à jour de sécurité suivantes fournissent des atténuations supplémentaires pour les processeurs AMD pour la vulnérabilité CVE-2017-5715 : 1. Mise à jour de sécurité 4284874 pour Windows 10 version 1703 (pour plus d’informations, voir https://support.microsoft.com/fr-fr/help/4103723/). 2. Mise à jour de sécurité 4284860 pour Windows 10 (pour plus d’informations, voir https://support.microsoft.com/fr-fr/help/4284860/). 3. Mise à jour de sécurité 4284826 (correctif cumulatif mensuel) ou 4284867 (mise à jour de sécurité uniquement) pour Windows 7, Windows Server 2008 R2 ou Windows Server 2008 R2 (installation Server Core) (pour plus d’informations, voir https://support.microsoft.com/fr-fr/help/4284826/ ou https://support.microsoft.com/fr-fr/help/4284867/).

19.0

15 mai 2018

Mise à jour du point 14 du forum aux questions pour annoncer qu’une mise à jour autonome pour Windows 10 version 1803 et Windows Server version 1803 est disponible via le Catalogue Microsoft Update. Cette mise à jour contient des mises à jour du microcode fournies par Intel. Pour plus d’informations, consultez l’article 4100347 de la Base de connaissances Microsoft.

Quel est votre degré de satisfaction en ce qui concerne le guide des mises à jour de sécurité MSRC ?