Защитете вашите устройства с Windows срещу Spectre и Meltdown

Тази статия описва въздействието на наскоро оповестени уязвимости на процесора, наречени Spectre и Meltdown, за клиентите на Windows и предоставя ресурси, които да ви помогнат да предпазите вашите устройства у дома, на работа и във вашето предприятие.

Обобщение

Microsoft е наясно с нови уязвимости в хардуерните процесори, наречени Spectre и Meltdown. Представляват наскоро открит клас уязвимости въз основа на обща архитектура на чипа, която, когато първоначално е била проектирана, е създадена, за да ускори компютрите. Техническото название е „уязвимости в страничен канал при спекулативно изпълнение“. Можете да научите повече за тези уязвимости в Google Project Zero.

Кой е засегнат?

Засегнатите чипове включват произведените от Intel, AMD и ARM, което означава, че всички устройства, работещи с операционни системи Windows, са потенциално уязвими (например настолни компютри, лаптопи, облачни сървъри и смартфони). Устройства, работещи с други операционни системи, като например Android, Chrome, iOS и MacOS, също са засегнати. Препоръчваме на клиентите, които работят с тези операционни системи, да потърсят насоки от тези доставчици.

Към момента на публикуването не сме получили информация, която да указва, че тези уязвимости са били използвани за атака на клиенти.

Защити, които сме предоставили към момента

Считано от 3 януари 2018 г., Microsoft пусна няколко актуализации, с които да смекчи заплахата от тези уязвимости и да помогне за защитата на клиентите. Също така сме внедрили актуализации за обезпечаване на нашите облачни услуги и браузърите Internet Explorer и Microsoft Edge. Продължаваме да работим в тясно сътрудничество с партньори в отрасъла, включително производители на чипове, производители на устройства и доставчици на приложения.

Какви стъпки трябва да предприема, за да защитя моите устройства?

Ще трябва да актуализирате хардуера и софтуера си, за да засегнете тази уязвимост. Това включва актуализации на фърмуера от производителите на устройствата и в някои случаи също актуализации на антивирусния софтуер.

За да получите всички налични защити, изпълнете следните стъпки, за да се сдобиете с най-новите актуализации на софтуера и хардуера:

Бележка

Преди да започнете си, се уверете, че вашият антивирусен софтуер е актуален и съвместим. Проверете в уеб сайта на производителя на антивирусния софтуер за най-актуалната информация относно съвместимостта.

  1. Поддържайте устройството си с Windows актуализирано, като включите автоматичните актуализации.

  2. Проверете дали сте инсталирали актуализация на защитата за операционната система Windows от Microsoft от януари 2018 г. Ако автоматичните актуализации са включени, актуализациите трябва да ви бъдат доставени автоматично, но все пак ще трябва да проверите дали са инсталирани. За инструкции вж. Windows Update: ЧЗВ.

  3. Инсталирайте наличните актуализации на хардуера (фърмуера) от производителя на вашето устройство. Всички клиенти ще трябва да проверят при производителя на устройството си за изтегляне и инсталиране на специфичната актуализация на хардуера на тяхното устройство. Вижте по-долу за списък с уеб сайтове на производители на устройства.

    Бележка

    Клиентите, които са инсталирали само актуализациите на защитата от Microsoft за операционната система Windows от януари 2018 г, няма да бъдат защитени напълно срещу уязвимостите. Първо трябва да се инсталират актуализациите на антивирусния софтуер. Актуализациите на операционната система и фърмуера ще последват след това.

Ресурси

В зависимост от вашата роля, следните статии за поддръжка ще ви помогнат да идентифицирате и въведете подобрения в клиентските и сървърните среди, които са засегнати от уязвимостите Spectre и Meltdown.

Microsoft Security Advisory: MSRC ADV180002

Intel: Security Advisory

ARM: Security Advisory

AMD: Security Advisory

NVIDIA: Security Advisory

Блог за защитата на Microsoft: Разбиране на въздействието върху производителността на предпазните мерки за Spectre и Meltdown върху системите с Windows

Насоки за потребителя: Защита на вашето устройство срещу уязвимости на защитата, свързани с чиповете

Антивирусни насоки: Актуализациите на защитата на Windows, пуснати на 3 януари 2018 г., и антивирусен софтуер

Указания за блок за актуализация на защитата за операционната система Windows с AMD: KB4073707: Блок за актуализация на защитата за операционна система Windows за някои устройства с AMD процесор

Актуализация за деактивиране на облекчението срещу Spectre, вариант 2: KB4078130: Intel идентифицира проблеми с микрокода на някои по-стари процесори 
 

Указания за Surface: Указания за Surface, които да ви помагат да се защитите срещу уязвимостите в страничен канал при спекулативно изпълнение

Указания за ИТ професионалисти: Указания за Windows клиенти за ИТ професионалисти, които да ви помагат да се защитите срещу уязвимостите в страничен канал при спекулативно изпълнение

Блог за разработчици на Edge: Облекчаване на атаките върху страничен канал при спекулативно изпълнение в Microsoft Edge и Internet Explorer

Указания за сървъри: Указания за сървъри Windows, които да ви помагат да се защитите срещу уязвимостите в страничен канал при спекулативно изпълнение

Указания за сървъра Hyper-V

Блог на Azure: Защита за клиенти на Azure срещу уязвимости в ЦП

Azure KB: KB4073235: Защити в облак на Microsoft срещу уязвимости в страничен канал при спекулативно изпълнение

Указания за Azure Stack: KB4073418: Указания за Azure Stack, които да ви помагат да се защитите срещу уязвимостите в страничен канал при спекулативно изпълнение

Указания за SQL Server: KB4073225: Указания за SQL Server, които да ви помагат да се защитите срещу уязвимостите в страничен канал при спекулативно изпълнение

Указания за SCCM: Допълнителни указания, които да ви помогнат да се защитите срещу уязвимостите в страничен канал при спекулативно изпълнение

Допълнителни ресурси

Списък с производители на OEM/сървърни устройства

Използвайте връзките по-долу, за да проверите при производителя на вашето устройство за актуализации на фърмуера. Ще трябва да инсталирате актуализациите на операционната система и хардуера/фърмуера за всички налични защити.

Производители на OEM устройства

Връзка към наличност на микрокода

Acer

https://us.answers.acer.com/app/answers/detail/a_id/53104

Asus

https://www.asus.com/News/YQ3Cr4OYKdZTwnQK

Dell

https://www.dell.com/support/meltdown-spectre

Epson

http://www.epsondirect.co.jp/support/information/2018/secure201801b.asp

Fujitsu

https://www.fujitsu.com/global/support/products/software/security/products-f/jvn-93823979e.html

HP

https://support.hp.com/document/c05869091

Lenovo

https://support.lenovo.com/us/en/solutions/len-18282

LG

https://www.lg.com/us/support

NEC

http://jpn.nec.com/security-info/av18-001.html

Panasonic

https://pc-dl.panasonic.co.jp/itn/vuln/g18-001.html

Samsung

https://www.samsung.com/us/support/

Surface

Указания за Surface, които да ви помогнат да се защитите срещу уязвимостите в страничен канал при спекулативно изпълнение

Toshiba

http://go.toshiba.com/intel-side-channel

Vaio

https://solutions.vaio.com/3316

 

Производителите на OEM сървъри

Връзка към наличност на микрокода 

Dell

https://www.dell.com/support/meltdown-spectre

Fujitsu

http://www.fujitsu.com/global/support/products/software/security/products-f/jvn-93823979e.html

HPE

http://h22208.www2.hpe.com/eginfolib/securityalerts/SCAM/Side_Channel_Analysis_Method.html

Huawei

http://www.huawei.com/au/psirt/security-notices/huawei-sn-20180104-01-intel-en

Lenovo

https://support.lenovo.com/us/en/solutions/len-18282

Microsoft предоставя информация за връзка на трети лица, за да ви помогне да намерите техническа поддръжка. Тази информация за връзка може да се промени без предизвестие. Microsoft не гарантира точността на тази информация за връзка на трети лица.


 

 

Януари 2018 г. График за актуализация на операционната система Windows

Актуализациите на защитата, издадени през януари 2018 г., предоставят смекчавания на последствията за устройства, работещи със следните операционни системи Windows, базирани на x64. За повече информация вж. ЧЗВ.

Издадена актуализация за продукта

Издадено

Датата на издаване

Издаване на канал

KB

Windows 10 – версия 1709 / Windows Server 2016 (1709) / IoT Core – актуализация на качеството

Издадено

3-и януари

WU, WSUS, каталог, галерия с изображения на Azure

KB4056892

Windows Server 2016 (1709) – сървър контейнер

Издадено

5-и януари

Docker Hub

KB4056892

Windows 10 – версия 1703 / IoT Core – актуализация на качеството

Издадено

3-и януари

WU, WSUS, каталог

KB4056891

Windows 10 – версия 1607 / Windows Server 2016 / IoT Core – актуализация на качеството

Издадено

3-и януари

WU, WSUS, каталог

KB4056890

Windows Server 2016 (1607) – изображения в контейнер

Издадено

4-и януари

Docker Hub

KB4056890

Windows 10 – версия 1511 / IoT Core – актуализация на качеството

Издадено

3-и януари

WU, WSUS, каталог

KB4056888

Windows 10 – версия RTM – актуализация на качеството

Издадено

3-и януари

WU, WSUS, каталог

KB4056893

Windows 10 Mobile (компилация на ОС 15254.192) – ARM

Издадено

5-и януари

WU, каталог

KB4073117

Windows 10 Mobile (компилация на ОС 15063.850)

Издадено

5-и януари

WU, каталог

KB4056891

Windows 10 Mobile (компилация на ОС 14393.2007)

Издадено

5-и януари

WU, каталог

KB4056890

Windows 10 HoloLens

Издадено

5-и януари

WU, каталог

KB4056890

Windows 8.1 / Windows Server 2012 R2 – актуализация само на защитата

Издадено

3-и януари

WSUS, каталог

KB4056898

Windows Embedded 8.1 Industry Enterprise

Издадено

3-и януари

WSUS, каталог

KB4056898

Windows Embedded 8.1 Industry Pro

Издадено

3-и януари

WSUS, каталог

KB4056898

Windows Embedded 8.1 Pro

Издадено

3-и януари

WSUS, каталог

KB4056898

Месечен сборен пакет за актуализация за Windows 8.1 / Windows Server 2012 R2

Издадено

8-и януари

WU, WSUS, каталог

KB4056895

Windows Embedded 8.1 Industry Enterprise

Издадено

8-и януари

WU, WSUS, каталог

KB4056895

Windows Embedded 8.1 Industry Pro

Издадено

8-и януари

WU, WSUS, каталог

KB4056895

Windows Embedded 8.1 Pro

Издадено

8-и януари

WU, WSUS, каталог

KB4056895

Windows Server 2012 – само на защитата

Предстои

 

WSUS, каталог

 

Windows Server 2008 SP2

Предстои

 

WU, WSUS, каталог

 

Месечен сборен пакет за актуализация за Windows Server 2012

Предстои

 

WU, WSUS, каталог

 

Windows Embedded 8 Standard

Предстои

 

 

 

 

Windows 7 SP1 / Windows Server 2008 R2 SP1 – актуализация само на защитата

Издадено

3 януари

WSUS, каталог

KB4056897

Windows Embedded Standard 7

Издадено

3-и януари

WSUS, каталог

KB4056897

Windows Embedded POSReady 7

Издадено

3-и януари

WSUS, каталог

KB4056897

Windows Thin PC

Издадено

3-и януари

WSUS, каталог

KB4056897

Месечен сборен пакет за актуализация за Windows 7 SP1 / Windows Server 2008 R2 SP1

Издадено

4 януари

WU, WSUS, каталог

KB4056894

Windows Embedded Standard 7

Издадено

4-и януари

WU, WSUS, каталог

KB4056894

Windows Embedded POSReady 7

Издадено

4-и януари

WU, WSUS, каталог

KB4056894

Windows Thin PC

Издадено

4-и януари

WU, WSUS, каталог

KB4056894

 

Internet Explorer 11 – кумулативна актуализация за Windows 7 SP1 и Windows 8.1

Издадено

3-и януари

WU, WSUS, каталог

KB4056568

Често задавани въпроси

Ще трябва да се обърнете към производителя на вашето устройство за актуализации на фърмуера. Ако производителят на вашето устройство не е посочен в таблицата, свържете се директно с производителя на вашето OEM устройство.

Актуализациите за устройства Microsoft Surface ще бъде предоставена на клиентите чрез Windows Update. За повече информация вижте KB 4073065.

Ако вашето устройство не е от Microsoft, приложете фърмуера от производителя на устройството. Свържете се с производителя на устройствотоза повече информация.

Решаването на проблем с хардуерна уязвимост с актуализация на софтуера създава значителни предизвикателства и смекчавания на последствията за по-старите операционни системи и може да изисква значителни архитектурни промени. Ние продължаваме да работим с производителите на засегнатите чипове и да търсим най-добрия начин за предоставяне на смекчавания на последствията, които може да се предоставят при бъдеща актуализация. Подмяната на по-стари устройства, работещи с тези по-стари операционни системи, трябва да вземе предвид оставащия риск с актуализирания антивирусен софтуер.

Бележка

  • Продуктите, които вече не подлежат на базова и разширена поддръжка, няма да получат тези актуализации на операционната система. Препоръчваме на клиентите актуализация до поддържана версия на операционната система.

  • Няма да издаваме актуализации за следните платформи:

    • Операционни системи Windows, които в момента не се поддържат, или тези, на които им предстои край на услугата (EOS) през 2018 г.

    • Системи, базирани на Windows XP, включително WES 2009, POSReady 2009

Въпреки че системите, базирани Windows XP, са засегнати продукти, Microsoft няма да издаде актуализация за тях, тъй като нужните цялостни архитектурни промени биха застрашили стабилността на системата и биха довели до проблеми със съвместимостта на приложенията. Препоръчваме на клиентите, които вземат сериозно защитата, да надстроят до по-нова поддържана операционна система, за да са в крак с променливия пейзаж на заплахите за защитата и да могат да се възползват от по-стабилните защити, които предоставят по-новите операционни системи.

След като сте инсталирали актуализация на защитата от Microsoft от януари, трябва също да инсталирате актуализации на фърмуера от производителя на вашето устройство. Тези актуализации трябва да са налични на уеб сайта на производителя на вашето устройство. Първо трябва да се инсталират актуализациите на антивирусния софтуер. Актуализациите на операционната система и фърмуера може да се инсталират в какъвто и да е ред.

Ще трябва да актуализирате хардуера и софтуера си, за да засегнете тази уязвимост. Също така ще трябва да инсталирате съответните актуализации на фърмуера от производителя на вашето устройство за по-цялостна защита.

Във всяка актуализация на функциите на Windows 10 ние създаваме най-новата технология за защита дълбоко в операционната система, като предоставяме функции за защита в дълбочина, които предотвратяват цели класове злонамерен софтуер да засегнат вашето устройство. Цели се изданията на актуализации на функции да са два пъти в годината. Във всяка месечна актуализация на качеството добавяме още един пласт защита, проследяващ възникващи и променящи се тенденции в злонамерения софтуер, за да осигурим актуална защита на системите в среда на променящи се и еволюиращи заплахи.

Microsoft работи в тясно сътрудничество със засегнатите антивирусни партньори, за да гарантира, че всички клиенти получават актуализации на защитата на Windows от януари възможно най-скоро. Ако на клиентите не се предложат актуализациите на защитата от януари, Microsoft им препоръчва да се свържат със своя доставчик на антивирусна програма. Препоръки:

  • Уверете се, вашите устройства са актуални с най-новите актуализации на защитата от Microsoft и от производителя на вашия хардуер. За повече информация как да поддържате устройството си актуално вж. Windows Update: ЧЗВ.

  • Продължавайте да сте предпазливи, когато посещавате уебсайтове с неизвестен произход и не оставайте в ненадеждни сайтове. Microsoft препоръчва всички клиенти да защитят своите устройства, като изпълняват поддържана антивирусна програма. Клиентите могат също да се възползват от вградената антивирусна защита: Windows Defender за устройства с Windows 10 или Microsoft Security Essentials за устройства с Windows 7. Тези решения са съвместими в случаите, когато клиентите не могат да инсталират или изпълнят антивирусен софтуер.

За да се избегне неблагоприятният ефект върху клиентски устройства, актуализациите на защитата на Windows, които бяха пуснати на пазара на 3 януари 2018 г., не бяха предложени на всички клиенти. За повече информация вж. следното: статия в базата знания на Microsoft: 4072699 и статия в базата знания на Microsoft: 4073707

Intel съобщиха за проблеми с наскоро издадения микрокод, предназначен за Spectre, вариант 2 (CVE 2017-5715 Branch Target Injection) – специално Intel отбеляза, че този код може да доведе до „по-чести от очакваното рестартирания и друго непредвидимо поведение на системата“ и след това отбелязаха, че ситуации като тази може да доведат до „загуба на данни или повреда“. Нашият опит е, че нестабилност на система при определени обстоятелства може да доведе до загуба на данни или повреда.  На 22 януари Intel препоръча на клиентите да спрат с внедряването на текущата версия на микрокода на засегнатите процесори, докато не изпълнят допълнително тестване на актуализираното решение.  Осъзнаваме, че Intel продължава да проучва потенциалното въздействие на текущата версия на микрокода и съветваме потребителите да преглеждат насоките им редовно, за да се информират за решенията им.


Докато Intel прави тестове, актуализации и внедрява новия микрокод, предоставяме извънредна актуализация днес, KB4078130, която специфично деактивира единствено облекчението срещу CVE-2017-5715 – „Уязвимостта Branch Target Injection“. Нашите тестове ни показаха, че тази актуализация предотвратява описаното поведение.  За пълен списък с устройства вижте Насоки за поправка на микрокода на Intel.  Тази актуализация включва Windows 7 (SP1), Windows 8.1, както и всички версии на Windows 10, за клиенти и сървъри. Ако работите със засегнато устройство, тази актуализация може да се приложи чрез изтегляне от уеб сайта „Каталог на Microsoft Update“ .  Прилагането на този полезен обем специфично деактивира само облекчението срещу CVE-2017-5715 – „Уязвимостта Branch Target Injection“. 


Считано от 25 януари, няма известни отчети, които да индикират, че Spectre, вариант 2 (CVE 2017-5715) е бил използван за атака клиенти. Препоръчваме на клиентите на Windows да активират отново в подходящия момент облекчението срещу CVE-2017-5715, когато Intel съобщи, че това непредсказуемо поведение на системата е отстранено за вашето устройство.

 

Нуждаете се от още помощ?

Разширете уменията си
Преглед на обучението
Получавайте първи новите функции
Присъединете се към Microsoft приобщени

Беше ли полезна тази информация?

Благодарим ви за обратната връзка!

×