Santrauka
"Microsoft" žino viešai naujuose pažeidžiamumai, kurie vadinami "spekuliacinio vykdymo pusėje kanalo atakų", daug šiuolaikinių procesorių ir operacinių sistemų, įskaitant "Intel" ir AMD ARM.
Pastaba Ši problema taip pat turi įtakos kitoms sistemoms, pvz., "Android", "Chrome", "iOS", ir MacOS, todėl rekomenduojame klientams galimybę konsultuotis šių pardavėjų.
Mes išleido kelis naujinimus, kad padėtų sumažinti šių pažeidžiamumą. Mes taip pat ėmėsi priemonių apsaugoti mūsų debesų kompiuterijos paslaugos. Tolesniuose skyriuose išsamiau žr.
Mes dar negavau jokios informacijos nurodyti, kad pulti savo klientų vartoja šiuos pažeidžiamumas. Stengiamės glaudžiai su pramonės partneriais, įskaitant lustų kūrėjai, aparatūros OEM ir programėlių tiekėjų apsaugoti klientus. Norėdami gauti visų galimų apsaugos, būtini aparatūros/programinės-aparatinės įrangos ir programinės įrangos naujinimus. Tai apima microcode iš OĮG įrenginio, ir tam tikrais atvejais, naujinimai ir antivirusinė programinė įranga taip pat."Microsoft" saugos patarimą ADV180002.
Jei norite gauti daugiau informacijos apie pažeidžiamumą, peržiūrėkiteSpecifinės analizės platformos sistema
Nors analizė platformos sistemos (MPS) veikia įtakos "Microsoft SQL Server 2014" ir "SQL Server 2016, kaip nurodyta susijusios SQL Server žinių bazės straipsnyje, APS nepalaiko visas funkcijas, kurios leistų vartotojo kodas vykdyti tiesiogiai į įrenginys.
APS šiuo metu neleidžia naudoti šiuos veiksmus:
-
SQL CLR rinkiniai
-
R ir Python paketai paleisti per išorės scenarijai mechanizmą arba atskirą R/mašinos mokymosi Studio viename fiziniame kompiuteryje kaip APS
-
SQL agento išplėtimas nurodo, kad paleisti viename fiziniame kompiuteryje kaip APS ("ActiveX" scenarijus)
-
"Microsoft" arba ne "Microsoft" OLE DB teikėjus, naudojamus susietą serveriuose kur APS yra šaltinis
-
"Microsoft" arba "Microsoft" pratęsti saugomas procedūras
Visi programinės įrangos neleidžiama įdiegti prietaiso, jei APS "Microsoft" produktų grupės.
Pastaba. Tai asmuo, turintis prieigą prie įrenginio įdiegti prietaiso be leidimo iš "Microsoft" kenkėjiškų programų.
Rekomendacijos
Rekomenduojame, kad visiems klientams įdiegti naujausią "Windows" OS saugos karštąją pataisą naudojant WSUS. Jei norite gauti daugiau informacijos, žr.:
Windows Server patarimų apsisaugoti nuo spekuliacinių vykdymo pusėje kanalo pažeidžiamumas
Pastaba. Jei naudojate antivirusinę programinę įrangą, peržiūrėkite KB 4056898 prieš pradėdami diegti naujinimą.
Klientai, kurie veikia APS programinės įrangos versijos, senesnės nei V2 AU4 atnaujinti į naujausią versiją dėl veiksmų programų. Klientai, kurie veikia HDInsight į veiksmų planus turi laukti AU4 karštąsias pataisas, kaip nurodyta toliau.
"Microsoft" APS komanda toliau nagrinėti šį klausimą. Nors ap poveikis yra minimalus, APS komandos vėliau išleis Microsoft SQL Server nesusijusios karštosios pataisos.
Dates:
APS2016 – Target karštųjų pataisų data – 2018 m. vasario.
AU5 – nustatyti
AU4 - nustatyti
Konsultavimo efektyvumas
Toliau įvertinti pataisytą dvejetainiai failai. Tačiau šiame straipsnyje paskelbimo metu mes dar nepatvirtino MPS našumą, visi microcode pataisas. Klientai, patariama įvertinti jų specifinių programų taikant pataisas. Patvirtinti veiklos poveikį įgalinimas microcode pakeitimus prieš diegiant pakeitimų į gamybos aplinkoje.
Mes atnaujinsime šio skyriaus su daugiau informacijos, kai jis pasiekiamas.