Ochrana zařízení před chybami zabezpečení souvisejícími s čipy

Čipy, kterých se tento problém týká, zahrnují čipy vyráběné společnostmi Intel a ARM, což znamená, že jednotlivé verze operačních systémů Windows a Windows Server jsou potenciálně zranitelné. Bezpečnostní aktualizace vydané 3. ledna 2018 zmírňují rizika u zařízení s následujícími verzemi operačních systémů Windows pro platformu x64:

o   Windows 7 Service Pack 1

o   Windows 8.1

o   Windows 10 (prvotní verze vydaná v červenci 2015 a verze 1511, 1607, 1703 a 1709)

o   Windows Server 2008 R2

o   Windows Server 2012 R2

o   Windows Server 2016

Bezpečnostní aktualizace vydané 13. února 2018 zmírňují rizika u zařízení s následujícími verzemi operačních systémů Windows pro platformu x64:

o   Windows 10 verze 1709

o   Windows 10 verze 1703

o   Windows 10 verze 1607

o   Windows 10 verze 1511

o   Windows 10 – prvotní verze vydaná v červenci 2015

Řešení chyby zabezpečení hardwaru pomocí aktualizace softwaru představuje významné problémy pro starší operační systémy a může vyžadovat rozsáhlé architektonické změny. Nadále spolupracujeme s výrobci čipů, kterých se tento problém týká, a hledáme nejlepší řešení ke zmírnění rizik, které může být poskytnuto v některé z budoucích aktualizací. Zbývající rizika by měla vyřešit výměna starších zařízení s těmito staršími operačními systémy spolu s aktualizací antivirového softwaru.

Zákazníci by měli nainstalovat nejnovější aktualizace zabezpečení operačního systému Windows od společnosti Microsoft, aby využili dostupné ochrany. Budete si také muset nainstalovat příslušné aktualizace firmwaru od výrobce zařízení. Tyto aktualizace by měly být dostupné na webu výrobce zařízení. Nejdříve by měly být nainstalovány aktualizace antivirového softwaru. Aktualizace operačního systému a firmwaru je možné instalovat v libovolném pořadí. Doporučujeme vám, abyste měli vaše zařízení aktuální, a to instalací měsíčních aktualizací zabezpečení Windows.  

Abyste opravili tuto chybu zabezpečení, budete muset aktualizovat hardware i software. K zajištění komplexnější ochrany si budete muset také nainstalovat příslušné aktualizace firmwaru od výrobce zařízení. Doporučujeme vám, abyste zařízení udržovali aktualizované a zabezpečené instalacemi měsíčních aktualizací zabezpečení systému Windows.

Abyste získali aktualizace firmwaru, musíte se obrátit na výrobce zařízení. Další informace najdete v tabulce uvedené v článku KB 4073757.

Aktualizace pro zařízení Microsoft Surface budou zákazníkům doručovány prostřednictvím služby Windows Update. Další informace najdete v článku KB 4073065.

V každé aktualizaci funkcí Windows 10 vytváříme nejnovější technologii zabezpečení hluboko do operačního systému, která poskytuje funkce hloubkové ochrany, které brání dopadu na vaše zařízení celými třídami malwaru.  Aktualizace funkcí jsou vydávány dvakrát ročně. V každé měsíční aktualizaci pro zvýšení kvality přidáváme další vrstvu zabezpečení, která sleduje trendy vývoje a změn malwaru tak, aby byly aktuální systémy lépe zabezpečeny před měnícími se a vyvíjejícími se hrozbami.

Doporučení:

• Zajistěte, aby byla vaše zařízení aktualizována instalací nejnovějších aktualizací zabezpečení od společnosti Microsoft a od výrobce hardwaru. Další informace o tom, jak udržovat zařízení v aktualizovaném stavu, najdete na stránce Windows Update: nejčastější dotazy.

• Buďte i nadále opatrní při návštěvách webů neznámého původu a nezůstávejte na webech, kterým nedůvěřujete. Společnost Microsoft doporučuje všem zákazníkům, aby svá zařízení chránili spuštěním podporovaného antivirového programu. Zákazníci můžou také využít integrovanou antivirovou ochranu: Zabezpečení Windows pro zařízení s Windows 10 (nebo Centrum zabezpečení v programu Windows Defender v předchozích verzích Windows 10), případně Microsoft Security Essentials pro zařízení s Windows 7. 

Podnikli jsme kroky k ochraně zákazníků, kteří používají prohlížeče společnosti Microsoft, a v budoucích aktualizacích budeme tato řešení dále vylepšovat. Našim zákazníkům také doporučujeme, aby uplatňovali osvědčené postupy při práci online včetně opatrnosti při klikání na odkazy na webové stránky, otevírání neznámých souborů nebo při přijímání přenosů souborů.

Pokud je na vašem zařízení spuštěn antivirový software, u kterého není prokázána kompatibilita s touto aktualizací, nebude aktualizace nainstalována. Pokud tedy máte potíže s instalací aktualizace, ověřte si nejprve u výrobce antivirového softwaru, jestli byl spuštěný antivirový software aktualizován. Tuto aktualizaci nelze nainstalovat na zařízení s nekompatibilním antivirovým softwarem.

Můžete také vyzkoušet tyto tipy pro řešení potíží seslužbou Windows Update.

Intel nahlásil problémy s nedávno vydaným mikrokódem určeným k řešení varianty Spectre 2 (CVE 2017-5715 Branch Target Injection) – konkrétně Společnost Intel uvedla, že tento mikrokód může způsobit"vyšší než očekávané restartování a jiné nepředvídatelné chování systému ", a pak podotkly, že situace, jako je tato, mohou vést keztrátěnebo poškození dat ."  Naše vlastní prostředí je v tom, že nestabilita systému může za určitých okolností způsobit ztrátu nebo poškození dat.  22. ledna 2018 společnost Intel doporučila zákazníkům, aby přestali nasazovat aktuální verzi mikrokódu na ovlivněné procesory, zatímco budou provádět další testování aktualizovaného řešení.  Chápeme, že společnost Intel nadále zkoumá potenciální dopad aktuální verze mikrokódu, a doporučujeme zákazníkům, aby průběžně kontrolovali pokyny společnosti Intel ohledně dalších rozhodnutí.

Zatímco Intel testuje, aktualizuje a nasazovat nový mikrokód, dnes zprosazujeme mimo pásmo aktualizační aktualizaci KB4078130, která konkrétně zakáže pouze zmírnění rizik v případě chyby zabezpečení týkající se injektáže na větev.  V našem testování jsme zjistili, že tato aktualizace brání popsanému chování. Tato aktualizace je určena pro Windows 7 (SP1), Windows 8.1 a všechny verze systému Windows 10 pro klienty a servery. Pokud používáte ovlivněné zařízení, můžete tuto aktualizaci použít tak, že si ji stáhnete z webu Katalog služby Microsoft Update .  Použití této aktualizace zakazuje specificky pouze opravu ke zmírnění rizik souvisejících s chybou zabezpečení CVE-2017-5715 – Branch target injection vulnerability. 

Od 25. ledna 2018 nejsou žádné známé sestavy, které by naznačují, že tato varianta Spectre 2 (CVE 2017-5715) byla použita k útoku na zákazníky. Doporučujeme zákazníkům s Windows, aby v odpovídající době znovu povolili opravu ke zmírnění rizik souvisejících s chybou zabezpečení CVE-2017-5715, jakmile společnost Intel oznámí, že toto nepředvídatelné chování systému bylo u daného zařízení vyřešeno.

V únoru 2018 Intel oznámil, že dokončil ověření a začal vypouštět mikrokód pro novější platformy PROCESORU. Společnost Microsoft zpřístupňuje aktualizace ověřených mikrokódů od společnosti Intel týkající se chyby zabezpečení Spectre varianty 2 (CVE 2017-5715 Branch Target Injection). Články KB4093836 a KB4100347 obsahují seznam konkrétních článků znalostní databáze Knowledge Base podle verze systému Windows. Každý konkrétní článek KB obsahuje dostupné aktualizace mikrokódů od společnosti Intel podle procesoru.

Od 17. května 2018 zpřístupnila společnost Microsoft aktualizace ověřených mikrokódů od společnosti Intel týkající se chyby zabezpečení Spectre varianty 2 (CVE 2017-5715 Branch Target Injection) pro zařízení upgradovaná na aktualizaci Windows 10 z dubna 2018. Pokud chtějí zákazníci získat nejnovější aktualizace mikrokódů od společnosti Intel pomocí služby Windows Update, musí mít na zařízení s operačním systémem Windows 10 nainstalovaný mikrokód od společnosti Intel před upgradem na aktualizaci Windows 10 z dubna 2018 (verze 1803).  
Aktualizace mikrokódu je také dostupná přímo z katalogu, pokud nebyla na zařízení před upgradem operačního systému nainstalovaná.  Mikrokód od společnosti Intel je k dispozici prostřednictvím služby Windows Update, WSUS nebo Katalogu služby Microsoft Update.  Další informace a pokyny ke stažení najdete v článku KB4100347.