Ringkasan
Microsoft telah mengetahui kelas publik dibuka baru kerentanan yang disebut sebagai "spekulatif eksekusi sisi-saluran serangan" yang mempengaruhi banyak modern prosesor dan sistem operasi, termasuk dari Intel, AMD dan ARM.
Catatan Masalah ini mempengaruhi sistem lain seperti Android, Chrome, iOS dan MacOS, sehingga kami menyarankan pelanggan untuk mendapatkan petunjuk dari vendor tersebut.
Kami telah merilis beberapa pembaruan untuk membantu mengurangi kerentanan ini. Kami juga telah mengambil tindakan untuk menjamin layanan cloud kami. Lihat bagian berikut ini untuk rinciannya.
Kami belum menerima informasi apa pun untuk menunjukkan kerentanan ini digunakan untuk menyerang pelanggan kami. Kami telah bekerja sama dengan mitra industri termasuk pembuat chip, perangkat keras OEM vendor aplikasi untuk melindungi pelanggan. Untuk mendapatkan semua tersedia perlindungan, pembaruan perangkat keras firmware dan perangkat lunak diperlukan. Ini mencakup pengendali dari perangkat OEM dan, dalam beberapa kasus, pembaruan perangkat lunak antivirus juga.ADV180002 penasihat keamanan Microsoft.
Untuk informasi lebih lanjut tentang kerentanan, lihatKhusus sistem Platform analitis
Meskipun Analytics Platform sistem (APS) berjalan pada versi Microsoft SQL Server 2014 dan SQL Server 2016, yang terkena dampak sebagaimana tercantum di artikel Pangkalan Pengetahuan SQL Serveryang terkait, APS tidak mendukung fitur yang memungkinkan pengguna kode langsung mengeksekusi pada alat.
APS saat ini tidak mengizinkan penggunaan berikut ini:
-
Rakitan SQL CLR
-
R dan Python paket yang menjalankan melalui mekanisme skrip eksternal atau dari berdiri sendiri R mesin belajar Studio pada mesin fisik yang sama sebagai APS
-
Ekstensibilitas agen SQL poin yang dijalankan di mesin fisik yang sama sebagai APS (ActiveX skrip)
-
Microsoft atau non - Microsoft OLE DB penyedia yang digunakan di server tertaut mana APS adalah sumber
-
Microsoft atau non-Microsoft diperpanjang disimpan prosedur
Semua perangkat lunak dibatasi dari pemasangan pada alat kecuali disetujui oleh tim produk Microsoft APS.
Catatan Dimungkinkan untuk seseorang yang memiliki akses ke alat untuk menginstal perangkat lunak berbahaya pada alat tanpa izin dari Microsoft.
Rekomendasi
Kami menyarankan semua pelanggan untuk menginstal hotfix keamanan Windows OS terbaru menggunakan WSUS. Untuk informasi selengkapnya, lihat:
Windows Server panduan untuk melindungi spekulatif eksekusi sisi-saluran kerentanan
Catatan Jika Anda menjalankan perangkat lunak antivirus, lihat KB 4056898 sebelum Anda menginstal pembaruan.
Pelanggan yang menggunakan versi perangkat lunak APS lebih tua daripada V2 AU4 harus meng-upgrade ke versi terbaru APS. Pelanggan yang menjalankan HDInsight dalam APS harus menunggu AU4 hotfix, seperti yang tertera di bawah ini.
Tim Microsoft APS terus menyelidiki masalah ini. Meskipun dampak APS minimal, tim APS akan rilis Microsoft SQL Server yang berkaitan dengan perbaikan terbaru nanti.
Dates:
APS2016-Target hotfix tanggal adalah 2018 Februari.
AU5- ditentukan
AU4 - ditentukan
Kinerja penasihat
Kami terus mengevaluasi kinerja patch biner. Namun, saat publikasi dari artikel ini, kami telah tidak belum divalidasi APS kinerja dengan semua pengendali patch. Pelanggan yang disarankan untuk mengevaluasi kinerja aplikasi khusus mereka saat menerapkan patch. Validasi mempengaruhi kinerja memungkinkan pengendali perubahan sebelum menyebarkan perubahan ke lingkungan produksi.
Kami akan memperbarui bagian ini dengan informasi lebih lanjut saat telah tersedia.