הגנה על מכשירי Windows מפני Spectre ו- Meltdown

מאמר זה דן בהשפעה שיש לפגיעויות במעבדים שהתגלו לאחרונה בשם “Spectre” ו- “Meltdown” על לקוחות Windows ומספק משאבים לשמירה על המכשירים שלך מוגנים, בבית, בעבודה ובכל רחבי הארגון.

Summary

Microsoft מודעת לפגיעויות החדשות במעבדי החומרה בשם “Spectre” ו- “Meltdown”. סוגי בפגיעויות החדשים שהתגלו מבוססים על ארכיטקטורת שבב נפוצות שהתכנון המקורי שלהן היה לגרום למחשבים לפעול מהר יותר. השם הטכני הוא "פגיעויות ערוץ צדדי של ביצוע ספקולטיבי". ניתן למצוא מידע נוסף על פגיעויות אלו ב- Google Project Zero.

מי מושפע מהפגיעויות?

השבבים המושפעים כוללים את אלה שמיוצרים על-ידי Intel, AMD ו- ARM, ומשמעות הדבר היא שכל המכשירים שפועלות בהם מערכות הפעלה Windows עלולים להיות פגיעים (לדוגמה שולחנות עבודה, מחשבים ניידים, שרתי ענן וטלפונים חכמים). גם מכשירים שפועלות בהם מערכות הפעלה אחרות כמו Android, Chrome, iOS, ו- MacOS מושפעים. אנו ממליצים ללקוחות שמשתמשים במערכות הפעלה אלו לקבל הנחיות מהספקים.

בעת פרסום זה לא הגיע לידינו מידע שמציין שנעשה שימוש בפגיעויות אלו כדי לתקוף לקוחות.

ההגנות סיפקנו עד היום

נכון ל-3 בינואר 2018 Microsoft שחררה מספר עדכונים לשם צמצום הפגיעויות והגנה על הלקוחות. בנוסף, פרסנו עדכונים לשם אבטחת שירותי הענן שלנו, והדפדפנים Internet Explorer ו- Microsoft Edge. אנו ממשיכים לעבוד יחד עם שותפים בתעשייה לרבות יצרני שבבים, יצרני מכשירים וספקי אפליקציות.

מה השלבים שעלי לבצע כדי להגן על המכשיר שלי?

יהיה עליך לעדכן את התוכנה ואת החומרה שלך כדי לטפל בפגיעות. הדבר כולל עדכוני קושחה מיצרני המכשירים ובמקרים מסויימים גם עדכונים לתוכנת האנטי-וירוס.

כדי לקבל את כל ההגנות הזמינות, בצע שלבים אלה כדי לקבל את העדכונים האחרונים עבור התוכנה והחומרה שברשותך:

הערה

לפני שתתחיל ודא כי תוכנת האנטי-וירוס שלך מעודכנת ומותאמת. בדוק את אתר האינטרנט של יצרן תוכנת האנטי-וירוס כדי לקבל את פרטי התאימות המעודכנים ביותר.

  1. שמור על מכשיר Windows שלך מעודכן על-ידי הפעלה של עדכונים אוטומטיים.

  2. ודא שהתקנת את עדכון האבטחה של Microsoft למערכת ההפעלה Windows מינואר 2018. אם העדכונים האוטומטיים מופעלים, העדכונים יישלחו אליך באופן אוטומטי, אך עדיין כדאי שתוודא שהם מותקנים. לקבלת הוראות, ראה Windows Update: שאלות נפוצות

  3. התקן את עדכוני החומרה (קושחה) הזמינים מיצרן המכשיר שלך. כל הלקוחות יצטרכו לפנות ליצרני המכשיר שלהם כדי להוריד ולהתקין את עדכוני החומרה שמתאימים למכשיר שלהם. ראה להלן רשימה של אתרי איננטרנט של יצרני מכשירים.

    הערה

    לקוחות שיתקינו את עדכוני האבטחה של ינואר 2018 מ- Microsoft בלבד לא יהיו מוגנים לחלוטין מפגיעויות. תחילה יש להתקין את עדכוני התוכנה של האנטי-וירוס. לאחר מכן יש להתקין עדכונים למערכת ההפעלה ולקושחה.

משאבים

בהתאם לתפקיד שלך, מאמרי התמיכה שלהלן יעזרו לך לזהות ולצמצם את סביבות הלקוח והשרת שמושפעות מהפגיעויות Spectre ו- Meltdown.

Microsoft Security Advisory: MSRC ADV180002

Intel: Security Advisory

ARM: Security Advisory

AMD: Security Advisory

NVIDIA: Security Advisory

בלוג האבטחה של Microsoft: הבנת ההשפעה על הביצוע של צמצומי Spectre ו- Meltdown על מערכות Windows

הדרכה לצרכנים: הגנה על המכשיר שלך מפני פגיעויות באבטחה הקשורות לשבבים

הדרכה עבור אנטי-וירוס: עדכוני האבטחה של Windows שהופצו ב-3 בינואר 2018 ותוכנת האנטי-וירוס

הדרכה עבור חסימת עדכון האבטחה של מערכות הפעלה Windows עבור AMD: KB4073707: חסימת עדכון אבטחה למערכות הפעלה Windows עבור מכשירים מסויימים שמבוססים על AMD

עדכון להשבתת צמצום הסיכונים כנגד Spectre, Variant 2: KB4078130: ‏Intel זיהתה בעיות באתחול מחדש עם מיקרו-קוד במעבדים ישנים מסוימים 
 

הדרכה עבור Surface: הדרכה עבור Surface להגנה מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי

הדרכה עבור מומחי IT: הדרכה עבור מומחי IT להגנה מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי

בלוג למפתחי Edge: צמצום תקיפות של פגיעויות ערוץ צדדי של ביצוע ספקולטיבי ב- Microsoft Edge ו- Internet Explorer

הדרכה עבור Windows Server: הדרכה עבור Windows Server להגנה מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי

הדרכה על שרתים מסוג Hyper-V

בלוג Azure: הגנה על לקוחות Azure מפני פגיעויות של מעבדים

Azure KB: KB4073235: הגנות על ענן של Microsoft מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי

הדרכה עבור Azure Stack: KB4073418: הדרכה עבור Azure Stack להגנה מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי

הדרכה עבור SQL Server: KB4073225: הדרכה עבור SQL Server להגנה מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי

הדרכה עבור SCCM‏‎: הדרכה נוספת לצמצום פגיעויות ערוץ צדדי של ביצוע ספקולטיבי

משאבים נוספים

רשימה של יצרני מכשירים לשרתים\OEM

השתמש בקישורים שלהלן כדי ליצור קשר עם יצרן המכשיר שלך לקבלת עדכוני קושחה. יהיה עליך להתקין עדכונים גם למערכת ההפעלה וגם לחומרה\קושחה לקבלת כל ההגנות הזמינות.

יצרני מכשירי OEM

קישור לזמינות מיקרו-קוד

Acer

https://us.answers.acer.com/app/answers/detail/a_id/53104

Asus

https://www.asus.com/News/YQ3Cr4OYKdZTwnQK

Dell

https://www.dell.com/support/meltdown-spectre

Epson

http://www.epsondirect.co.jp/support/information/2018/secure201801b.asp

Fujitsu

https://www.fujitsu.com/global/support/products/software/security/products-f/jvn-93823979e.html

HP

https://support.hp.com/document/c05869091

Lenovo

https://support.lenovo.com/us/en/solutions/len-18282

LG

https://www.lg.com/us/support

NEC

http://jpn.nec.com/security-info/av18-001.html

Panasonic

https://pc-dl.panasonic.co.jp/itn/vuln/g18-001.html

Samsung

https://www.samsung.com/us/support/

Surface

הדרכה עבור Surface להגנה מפני פגיעויות ערוץ צדדי של ביצוע ספקולטיבי

Toshiba

http://go.toshiba.com/intel-side-channel

Vaio

https://solutions.vaio.com/3316

 

יצרנים של שרתי OEM

קישור לזמינות מיקרו-קוד 

Dell

https://www.dell.com/support/meltdown-spectre

Fujitsu

http://www.fujitsu.com/global/support/products/software/security/products-f/jvn-93823979e.html

HPE

http://h22208.www2.hpe.com/eginfolib/securityalerts/SCAM/Side_Channel_Analysis_Method.html

Huawei

http://www.huawei.com/au/psirt/security-notices/huawei-sn-20180104-01-intel-en

Lenovo

https://support.lenovo.com/us/en/solutions/len-18282

Microsoft מספקת את פרטי הקשר של ספקים חיצוניים כדי לסייע לך לאתר תמיכה טכנית. פרטי קשר אלה עשויים להשתנות ללא הודעה. Microsoft אינה מבטיחה שפרטי הקשר של ספק חיצוני זה יהיו מדויקים.


 

 

לוח זמנים לעדכוני אבטחה של ינואר 2018 למערכות הפעלה Windows

עדכוני האבטחה שהופצו בינואר 2018 מספקים צמצום סיכונים למכשירים שפועלים באמצעות מערכות ההפעלה הבאות שמבוססות על Windows x64. ראה שאלות נפוצות לקבלת מידע נוסף.

הפצה של עדכון למוצר

הופץ‏‎

תאריך הפצה

ערוץ הפצה

KB

Windows 10 - גירסה 1709 \ IoT Core - עדכון איכות \ (Windows Server 2016 (1709

הופץ‏‎

ינואר 3

WU, WSUS, קטלוג, גלריית תמונות של Azure

KB4056892

Windows Server 2016 (1709) - ‏‫שרת של גורם מכיל‬

הופץ‏‎

ינואר 5

מרכז Docker

KB4056892

Windows 10 - גירסה 1703 / IoT Core - עדכון איכות

הופץ‏‎

ינואר 3

WU, WSUS, קטלוג

KB4056891

Windows 10 - גירסה 1607 \ IoT Core - עדכון איכות \ Windows Server 2016

הופץ‏‎

ינואר 3

WU, WSUS, קטלוג

KB4056890

Windows Server 2016 (1607) - ‏‫תמונות של גורמים מכילים

הופץ‏‎

ינואר 4

מרכז Docker

KB4056890

Windows 10 - גירסה 1511 / IoT Core - עדכון איכות

הופץ‏‎

ינואר 3

WU, WSUS, קטלוג

KB4056888

Windows 10 - גירסה RTM - עדכון איכות

הופץ‏‎

ינואר 3

WU, WSUS, קטלוג

KB4056893

Windows 10 Mobile (גירסת Build של מערכת ההפעלה 15254.12) - ARM

הופץ‏‎

ינואר 5

WU, קטלוג

KB4073117

Windows 10 Mobile (גירסת Build של מערכת ההפעלה 15063.850)

הופץ‏‎

ינואר 5

WU, קטלוג

KB4056891

Windows 10 Mobile (גירסת Build של מערכת ההפעלה 14393.2007)

הופץ‏‎

ינואר 5

WU, קטלוג

KB4056890

Windows 10 HoloLens

הופץ‏‎

ינואר 5

WU, קטלוג

KB4056890

Windows 8.1 / Windows Server 2012 R2 - עדכון אבטחה בלבד

הופץ‏‎

ינואר 3

WSUS, קטלוג

KB4056898

Windows Embedded 8.1 Industry Enterprise

הופץ‏‎

ינואר 3

WSUS, קטלוג

KB4056898

Windows Embedded 8.1 Industry Pro

הופץ‏‎

ינואר 3

WSUS, קטלוג

KB4056898

Windows Embedded 8.1 Pro

הופץ‏‎

ינואר 3

WSUS, קטלוג

KB4056898

Windows 8.1 / Windows Server 2012 R2 אוסף עדכונים חודשי

הופץ‏‎

ינואר 8

WU, WSUS, קטלוג

KB4056895

Windows Embedded 8.1 Industry Enterprise

הופץ‏‎

ינואר 8

WU, WSUS, קטלוג

KB4056895

Windows Embedded 8.1 Industry Pro

הופץ‏‎

ינואר 8

WU, WSUS, קטלוג

KB4056895

Windows Embedded 8.1 Pro

הופץ‏‎

ינואר 8

WU, WSUS, קטלוג

KB4056895

Windows Server 2012 עדכוני אבטחה בלבד

בקרוב

 

WSUS, קטלוג

 

Windows Server 2008 SP2

בקרוב

 

WU, WSUS, קטלוג

 

Windows Server 2012 אוסף עדכונים חודשי

בקרוב

 

WU, WSUS, קטלוג

 

Windows Embedded 8 Standard

בקרוב

 

 

 

 

Windows 7 SP1 / Windows Server 2008 R2 SP1 - עדכון אבטחה בלבד

הופץ‏‎

3 בינואר

WSUS, קטלוג

KB4056897

Windows Embedded Standard 7

הופץ‏‎

ינואר 3

WSUS, קטלוג

KB4056897

Windows Embedded POSReady 7

הופץ‏‎

ינואר 3

WSUS, קטלוג

KB4056897

מחשב דק של Windows

הופץ‏‎

ינואר 3

WSUS, קטלוג

KB4056897

Windows 7 SP1 / Windows Server 2008 R2 SP1 אוסף עדכונים חודשי

הופץ‏‎

4 בינואר

WU,‏ WSUS, קטלוג

KB4056894

Windows Embedded Standard 7

הופץ‏‎

ינואר 4

WU, WSUS, קטלוג

KB4056894

Windows Embedded POSReady 7

הופץ‏‎

ינואר 4

WU, WSUS, קטלוג

KB4056894

מחשב דק של Windows

הופץ‏‎

ינואר 4

WU, WSUS, קטלוג

KB4056894

 

Internet Explorer 11 - ‏‫עדכון מצטבר עבור Windows 7 SP1 ו- Windows 8.1

הופץ‏‎

ינואר 3

WU, WSUS, קטלוג

KB4056568

שאלות נפוצות

עליך ליצור קשר עם יצרן המכשיר שלך לקבלת עדכוני קושחה. אם יצרן המכשיר שלך לא מופיע ברשימה, צור קשר עם ה- OEM שלך ישירות.

עדכונים עבור מכשירי Microsoft Surface יישלחו ללקוחות דרך Windows Update. למידע נוסף, ראה KB 4073065.

אם המכשיר שלך אינו של Microsoft החל קושחה מיצרן המכשיר. צור קשר עם יצרן המכשירלמידע נוסף.

טיפול בפגיעות של חומרה בעזרת עדכון תוכנה טומן בתוכו אתגרים משמעותיים וצמצום סיכונים במערכות הפעלה ישנות יותר, דבר שעשוי לדרוש שינויים נרחבים בארכיטקטורה. אנו ממשיכים לעבוד יחד עם יצרני השבבים שהושפעו ובודקים את הדרך הטובה ביותר לספק צמצומי סיכונים, שייתכן שנכלול בעדכון עתידי. החלפה של אותם מכשירים ישנים שפועלים באמצעות אותן מערכות הפעלה ישנות אמורה לפתור את הסיכון שנותר, יחד עם עדכון תוכנת האנטי-וירוס.

הערה

  • מכשירים שנמצאים כעת מחוץ לתמיכה הרגילה והמורחבת לא יקבלו עדכונים אלו. אנו ממליצים ללקוחות לעדכן לגירסה נתמכת של מערכת ההפעלה.

  • אנו לא ננפיק עדכונים עבור הפלטפורמות הבאות:

    • מערכות הפעלה של Windows שתמה תקופת התמיכה שלהם או מערכות הפעלה שסיום השירות (EOS) שלהן מתקרב בשנת 2018

    • מערכות מבוססות Windows XP, כולל WES 2009,‏ POSReady 2009

על אף שמערכות המבוססות על Windows XP הושפעו, Microsoft אינה מנפיקה עדכון עבורן מכיוון שהשינויים המקיפים בארכיטקטורה שנדרשים לשם כך יהוו סיכון ליציבות המערכת ויגרמו לבעיות תאימות עם אפליקציות. אנו ממליצים ללקוחות בעלי מודעות לאבטחה לשדרג למערכת הפעלה חדשה יותר ונתמכת, כדי שיוכלו לעמוד בקצב של נוף איומי האבטחה המשתנה ולהנות מהיתרונות של ההגנות החזקות שמסופקות במערכות ההפעלה החדשות יותר.

לאחר שהתקנת את עדכון האבטחה של Microsoft מינואר, יהיה עליך להתקין את עדכוני הקושחה מיצרן המכשיר שלך. עדכוני קושחה אלו אמורים להיות זמינים באתר האינטרנט של יצרן המכשיר שלך. תחילה יש להתקין את עדכוני התוכנה של האנטי-וירוס. עדכונים של מערכת ההפעלה והקושחה יכולים להיות מותקנים בכל סדר.

יהיה עליך לעדכן את התוכנה ואת החומרה שלך כדי לטפל בפגיעות. בנוסף, יהיה עליך להתקין עדכוני קושחה קשורים מיצרן המכשיר שלך להגנה מקיפה יותר.

בכל עדכון תכונות של Windows 10 אנו בונים את טכנולוגיית האבטחה העדכנית ביותר עמוק במערכת ההפעלה, דבר שמספק תכונות הגנה לעומק שמונעות ממחלקות שלמות של תוכנות זדוניות להשפיע על המכשיר שלך. עדכוני התכונות מופצים פעמיים השנה. בכל עדכון איכות חודשי אנו מוסיפים שכבה נוספת של הגנה, שכבה שעוקבת אחר מגמות מתפתחות ומשתנות בתוכנות הזדוניות כדי להפוך את המערכות המעודכנות לבטוחות מפני איומים שמתפתחים ומשתנים.

Microsoft עובדת בשיתוף פעולה עם שותפי אנטי-וירוס שהושפעו כדי לוודא שכל הלקוחות יקבלו את עדכוני האבטחה של Windows מחודש ינואר בהקדם האפשרי. אם לקוח לא קיבל הצעה לעדכוני האבטחה מחודש ינואר, Microsoft ממליצה ללקוחותיה ליצור קשר ישירות עם ספק האנטי-וירוס. המלצות:

  • יש לוודא שהמכשירים שלך מעודכנים בעדכוני האבטחה האחרונים של Microsoft ושל יצרן החומרה שלך. לקבלת מידע נוסף על האופן שבו תוכל לשמור על המכשיר שלך מעודכן, ראה ‎Windows Update: שאלות נפוצות.

  • המשך לפעול בזהירות בעת ביקור באתרים ממקור לא ידוע ואל תישאר באתרים שעליהם אתה לא סומך. Microsoft ממליצה לכל ללקוחותיה להגן על המכשירים שלהם על-ידי הפעלה של תוכנת אנטי-וירוס נתמכת. בנוסף, לקוחות יכולים לנצל את הגנת האנטי-וירוס המובנית: Windows Defender למכשירי Windows 10 או Microsoft Security Essentials למכשירי Windows 7. פתרונות אלה מתאימים במקרים שבהם לקוחות אינם יכולים להתקין או להפעיל תוכנת אנטי-וירוס.

כדי להימנע מלהשפיע לרעה על המכשירים של לקוחות, עדכוני האבטחה של Windows שהופצו ב3- בינואר 2018 לא הוצעו לכל הלקוחות. לקבלת פרטים, ראה: Microsoft Knowledge Base מאמר 4072699 ו- Microsoft Knowledge Base מאמר 4073707

Intel דיווחה על בעיות עם מיקרו-קוד שהופץ לאחרונה שמטרתו לטפל ב- Spectre variant 2‏ (CVE 2017-5715 הזרקת יעד הסתעפות). במיוחד ציינה Intel שמיקרו-קוד זה עלול לגרום ל"מספר גבוה מהצפוי של אתחולים מחדש והתנהגות בלתי צפויה אחרת של המערכת", ולאחר מכן ציינה שמצבים כגון אלה עלולים לגרום ל"אובדן נתונים או נזק לנתונים". הניסיון שלנו מלמד שאי יציבות של המערכת עלול בנסיבות מסוימות לגרום לאובדן נתונים או לנזק לנתונים.  ב- 22 בינואר, Intel המליצה שלקוחות יפסיקו לפרוס את הגירסה הנוכחית של המיקרו-קוד במעבדים המושפעים בזמן שהיא מבצעת בדיקות נוספות של הפתרון המעודכן.  אנו מבינים כי Intel ממשיכה לחקור את ההשפעה האפשרית של גירסת המיקרו-קוד הנוכחית, וממליצים ללקוחות לסקור את ההנחיות שלה באופן קבוע כדי לקבל החלטות שקולות.


בזמן ש- Intel בודקת, מעדכנת ופורסת מיקרו-קוד חדש, אנחנו מספקים היום עדכון מיוחד, KB4078130, אשר משבית באופן ספציפי רק את צמצום הסיכונים כנגד CVE-2017-5715 – 'פגיעות של הזרקת יעד הסתעפות'. בבדיקות שערכנו, מצאנו שעדכון זה מונע את אופן הפעולה המתואר.  לקבלת רשימה מלאה של מכשירים, ראה הנחיות למהדורת המיקרו-קוד של Intel.  עדכון זה חל על Windows 7 (SP1)‎‏, Windows 8.1 וכל הגירסאות של Windows 10 עבור לקוח ועבור שרת. אם אתה משתמש במכשיר מושפע, תוכל להחיל עדכון זה על-ידי הורדתו מאתר האינטרנט של Microsoft Update Catalog.  היישום של תוכן מנה זה משבית באופן ספציפי את צמצום הסיכונים כנגד CVE-2017-5715 – 'פגיעות של הזרקת יעד הסתעפות'. 


החל מ- 25 בינואר, לא התקבלו דיווחים ידועים המציינים כי נעשה שימוש ב- Spectre variant 2‏ (CVE 2017-5715) כדי לתקוף לקוחות. אנו ממליצים ללקוחות Windows, בעת הצורך, להפעיל מחדש את צמצום הסיכונים כנגד CVE-2017-5715 כאשר Intel תדווח שאופן פעולה בלתי צפוי זה של המערכת נפתר עבור המכשיר שברשותך.

 

זקוק לעזרה נוספת?

הרחב את הכישורים שלך
סייר בהדרכה
קבל תכונות חדשות לפני כולם
הצטרף למשתתפי Microsoft insider

האם מידע זה היה שימושי?

תודה על המשוב!

תודה על המשוב! נראה שכדאי לקשר אותך לאחד מנציגי התמיכה של Office.

×