Windows ierīču aizsardzība pret Spectre un Meltdown

Šajā rakstā Microsoft klientiem ir sniegta informācija par nesen izziņoto procesoru ievainojamības problēmu “Spectre” un “Meltdown” atstāto ietekmi, kā arī sniegti resursi, kas palīdz aizsargāt jūsu ierīces mājās, darbā un uzņēmuma vidē.

Kopsavilkums

Korporācija Microsoft ir informēta par jaunajām aparatūras procesoru ievainojamības problēmām, ko dēvē par “Spectre” un “Meltdown”. Tās ir nesen atklāta ievainojamības problēmu klase, kuras pamatā ir mikroshēmu arhitektūra, kuras nolūks brīdī, kad tā tika sākotnēji izstrādāta, bija paātrināt datoru darbību. Tehniskais nosaukums ir “spekulatīvās izpildes blakus kanāla ievainojamības problēmas”. Par šīm ievainojamības problēmām vairāk varat uzzināt vietnē Google Project Zero.

Kas tiek ietekmēts?

Ietekmēto mikroshēmu vidū ir Intel, AMD un ARM ražotās mikroshēmas, kas nozīmē, ka visas ierīces, kurās darbojas Windows operētājsistēmas, ir potenciāli apdraudētas (piemēram, datori, klēpjdatori, mākoņa serveri un viedtālruņi). Ir ietekmētas arī ierīces, kurās darbojas tādas operētājsistēmas kā Android, Chrome, iOS un MacOS. Mēs iesakām klientiem, kas izmanto šīs operētājsistēmas, prasīt padomu attiecīgajam pārdevējam.

Šī raksta publicēšanas laikā mēs neesam saņēmuši nekādu informāciju, kas norādītu, ka šīs ievainojamības problēmas ir izmantotas ar nolūku veikt uzbrukumus klientu ierīcēs.

Līdz šim nodrošinātie aizsardzības pasākumi

Kopš 2018. gada 3. janvāra korporācija Microsoft ir izlaidusi vairākus atjauninājumus, kas palīdz risināt šīs ievainojamības problēmas un palīdz aizsargāt klientus. Mēs arī esam izvietojuši atjauninājumus, kas aizsargā mūsu mākoņpakalpojumus un pārlūkprogrammas Internet Explorer un Microsoft Edge. Mēs turpinām sadarboties ar nozares partneriem, tostarp mikroshēmu veidotājiem, ierīču ražotājiem un programmu piegādātājiem.

Kādas darbības man ir jāveic, lai aizsargātu ierīces?

Jums būs jāatjaunina gan aparatūra, gan programmatūra, lai novērstu šo ievainojamību. Tas ietver aparātprogrammatūras atjauninājumus no ierīču ražotājiem un dažos gadījumos arī pretvīrusu programmatūras atjauninājumus.

Lai iegūtu visu pieejamo aizsardzību, veiciet tālāk norādītās darbības, lai iegūtu jaunākos programmatūras un aparatūras atjauninājumus.

Piezīme

Pirms sākat, pārliecinieties, vai jūsu pretvīrusu (AV) programmatūra ir atjaunināta un saderīga. Jaunāko informāciju par saderību skatiet savas pretvīrusu programmatūras ražotāja tīmekļa vietnē.

  1. Pārliecinieties, vai jūsu Windows ierīce ir atjaunināta, un ieslēdziet automātisko atjaunināšanu.

  2. Pārbaudiet, vai esat instalējis korporācijas Microsoft 2018. gada janvāra operētājsistēmas Windows drošības atjauninājumu. Ja automātiskā atjaunināšana ir ieslēgta, jūs saņemsit atjauninājumus automātiski, taču vēlreiz pārliecinieties, vai tie ir instalēti. Norādījumus skatiet rakstā Windows Update: bieži uzdotie jautājumi

  3. Instalējiet pieejamos aparatūras (aparātprogrammatūras) atjauninājumus no ierīces ražotāja. Visiem klientiem ir jāsazinās ar savas ierīces ražotāju, lai lejupielādētu un instalētu savai ierīcei nepieciešamo aparatūras atjauninājumu. Tālāk pieejams saraksts ar ierīču ražotāju tīmekļa vietnēm.

    Piezīme

    Klienti kuri instalēs tikai korporācijas Microsoft 2018. gada janvāra operētājsistēmas Windows drošības atjauninājumus, nesaņems pilnīgu aizsardzību pret ievainojamības problēmām. Vispirms ir jāinstalē pretvīrusu programmatūras atjauninājumi. Operētājsistēmas un aparātprogrammatūras atjauninājumi jāinstalē pēc tam.

Resursi

Atkarībā no jūsu lomas tālāk sniegtie atbalsta raksti palīdzēs jums identificēt klientu un serveru vides, ko ietekmē ievainojamības problēmas Spectre un Meltdown, un nodrošināt tām risinājumus.

Microsoft drošības ieteikums: MSRC ADV180002

Intel: drošības ieteikums

ARM: drošības ieteikums

AMD: drošības ieteikums

NVIDIA: drošības ieteikums

Microsoft drošais emuārs: Par Spectre un Meltdown drošības mazinājumu ietekmi uz darbību Windows sistēmās

Norādījumi patērētājiem: Ierīces aizsardzība pret mikroshēmu drošības ievainojamības problēmām

Norādījumi aizsardzībai pret vīrusiem: 2018. gada 3. janvārī izlaistie Windows drošības atjauninājumi un pretvīrusu programmatūra

Norādījumi par AMD operētājsistēmas Windows drošības atjauninājumu bloku: KB4073707: operētājsistēmas Windows drošības atjauninājumu bloks noteiktām AMD ierīcēm

Atjauninājums, lai atspējotu risinājumu pret Spectre, Variant 2: KB4078130: dažu vecāku procesoru mikrokodā Intel ir konstatējis atkārtotas palaišanas problēmas 
 

Surface norādījumi: Surface norādījumi aizsardzībai pret spekulatīvās izpildes blakus kanāla ievainojamības problēmām

Norādījumi IT profesionāļiem: Windows klienta norādījumi IT profesionāļiem aizsardzībai pret spekulatīvās izpildes blakus kanāla ievainojamības problēmām

Edge izstrādātāju emuārs: Spekulatīvās izpildes blakus kanāla uzbrukumu novēršanas risinājumi pārlūkprogrammās Microsoft Edge un Internet Explorer

Server norādījumi: Windows Server norādījumi aizsardzībai pret spekulatīvās izpildes blakus kanāla ievainojamības problēmām

Server Hyper-V norādījumi

Azure emuārs: Aizsardzības nodrošināšana Azure klientiem pret centrālā procesora ievainojamību

Azure KB: KB4073235: Microsoft mākoņpakalpojumu aizsardzība pret spekulatīvās izpildes blakus kanāla ievainojamības problēmām

Azure Stack norādījumi: KB4073418: Azure stack norādījumi aizsardzībai pret spekulatīvās izpildes blakus kanāla ievainojamības problēmām

SQL Server norādījumi: KB4073225: SQL Server norādījumi aizsardzībai pret spekulatīvās izpildes blakus kanāla ievainojamības problēmām

SCCM norādījumi: Papildu norādījumi spekulatīvās izpildes blakus kanāla ievainojamības problēmu risināšanai

Papildu resursi

Saraksts ar OEM/servera ierīču ražotājiem

Izmantojiet tālāk sniegtās saites, lai sazinātos ar savas ierīces ražotāju un iegūtu aparātprogrammatūras atjauninājumus. Lai iegūtu visu pieejamo aizsardzību, jums būs jāinstalē gan operētājsistēmas, gan aparatūras/aparātprogrammatūras atjauninājumi.

OEM ierīču ražotāji

Saite uz mikrokoda pieejamību

Acer

https://us.answers.acer.com/app/answers/detail/a_id/53104

Asus

https://www.asus.com/News/YQ3Cr4OYKdZTwnQK

Dell

https://www.dell.com/support/meltdown-spectre

Epson

http://www.epsondirect.co.jp/support/information/2018/secure201801b.asp

Fujitsu

https://www.fujitsu.com/global/support/products/software/security/products-f/jvn-93823979e.html

HP

https://support.hp.com/document/c05869091

Lenovo

https://support.lenovo.com/us/en/solutions/len-18282

LG

https://www.lg.com/us/support

NEC

http://jpn.nec.com/security-info/av18-001.html

Panasonic

https://pc-dl.panasonic.co.jp/itn/vuln/g18-001.html

Samsung

https://www.samsung.com/us/support/

Surface

Surface norādījumi aizsardzībai pret spekulatīvās izpildes blakus kanāla ievainojamības problēmām

Toshiba

http://go.toshiba.com/intel-side-channel

Vaio

https://solutions.vaio.com/3316

 

Servera OEM ražotāji

Saite uz mikrokoda pieejamību 

Dell

https://www.dell.com/support/meltdown-spectre

Fujitsu

http://www.fujitsu.com/global/support/products/software/security/products-f/jvn-93823979e.html

HPE

http://h22208.www2.hpe.com/eginfolib/securityalerts/SCAM/Side_Channel_Analysis_Method.html

Huawei

http://www.huawei.com/au/psirt/security-notices/huawei-sn-20180104-01-intel-en

Lenovo

https://support.lenovo.com/us/en/solutions/len-18282

Microsoft nodrošina trešo pušu kontaktinformāciju, lai palīdzētu jums atrast tehnisko atbalstu. Šī kontaktinformācija var tikt mainīta bez iepriekšēja paziņojuma. Microsoft negarantē trešo pušu kontaktinformācijas pareizību.


 

 

2018. gada janvāra operētājsistēmas Windows atjauninājumu grafiks

2018. gada janvārī izlaistie drošības atjauninājumi nodrošina risinājumu ierīcēm, kurās darbojas tālāk minētās Windows 64 bitu operētājsistēmas. Papildinformāciju skatiet rakstā Bieži uzdotie jautājumi.

Izlaistais produkta atjauninājums

Izlaists

Izlaišanas datums

Izlaišanas kanāls

KB

Windows 10 — versija 1709/Windows Server 2016 (1709)/IoT Core — kvalitātes atjauninājums

Izlaists

3. janvāris

WU, WSUS, katalogs, Azure attēlu galerija

KB4056892

Windows Server 2016 (1709) — servera konteiners

Izlaists

5. janvāris

Docker kopa

KB4056892

Windows 10 — versija 1703/IoT Core — kvalitātes atjauninājums

Izlaists

3. janvāris

WU, WSUS, katalogs

KB4056892

Windows 10 — versija 1607/Windows Server 2016/IoT Core — kvalitātes atjauninājums

Izlaists

3. janvāris

WU, WSUS, katalogs

KB4056892

Windows Server 2016 (1607) — konteinera attēli

Izlaists

4. janvāris

Docker kopa

KB4056890

Windows 10 — versija 1511/IoT Core — kvalitātes atjauninājums

Izlaists

3. janvāris

WU, WSUS, katalogs

KB4056888

Windows 10 — versija RTM — kvalitātes atjauninājums

Izlaists

3. janvāris

WU, WSUS, katalogs

KB4056893

Windows 10 Mobile (operētājsistēmas būvējums 15254.192) — ARM

Izlaists

5. janvāris

WU, katalogs

KB4073117

Windows 10 Mobile (operētājsistēmas būvējums 15063.850)

Izlaists

5. janvāris

WU, katalogs

KB4056891

Windows 10 Mobile (operētājsistēmas būvējums 14393.2007)

Izlaists

5. janvāris

WU, katalogs

KB4056890

Windows 10 HoloLens

Izlaists

5. janvāris

WU, katalogs

KB4056890

Windows 8.1/Windows Server 2012 R2 — tikai drošības atjauninājums

Izlaists

3. janvāris

WSUS, katalogs

KB4056898

Windows Embedded 8.1 Industry Enterprise

Izlaists

3. janvāris

WSUS, katalogs

KB4056898

Windows Embedded 8.1 Industry Pro

Izlaists

3. janvāris

WSUS, katalogs

KB4056898

Windows Embedded 8.1 Pro

Izlaists

3. janvāris

WSUS, katalogs

KB4056898

Windows 8.1/Windows Server 2012 R2 ikmēneša apkopojums

Izlaists

8. janvāris

WU, WSUS, katalogs

KB4056895

Windows Embedded 8.1 Industry Enterprise

Izlaists

8. janvāris

WU, WSUS, katalogs

KB4056895

Windows Embedded 8.1 Industry Pro

Izlaists

8. janvāris

WU, WSUS, katalogs

KB4056895

Windows Embedded 8.1 Pro

Izlaists

8. janvāris

WU, WSUS, katalogs

KB4056895

Windows Server 2012, tikai drošības

Drīzumā

 

WSUS, katalogs

 

Windows Server 2008 SP2

Drīzumā

 

WU, WSUS, katalogs

 

Windows Server 2012 ikmēneša apkopojums

Drīzumā

 

WU, WSUS, katalogs

 

Windows Embedded 8 Standard

Drīzumā

 

 

 

 

Windows 7 SP1/Windows Server 2008 R2 SP1— tikai drošības atjauninājums

Izlaists

3. janvāris

WSUS, katalogs

KB4056897

Windows Embedded Standard 7

Izlaists

3. janvāris

WSUS, katalogs

KB4056897

Windows Embedded POSReady 7

Izlaists

3. janvāris

WSUS, katalogs

KB4056897

Windows Thin PC

Izlaists

3. janvāris

WSUS, katalogs

KB4056897

Windows 7 SP1/Windows Server 2008 R2 SP1 ikmēneša apkopojums

Izlaists

4. janvāris

WU, WSUS, katalogs

KB4056894

Windows Embedded Standard 7

Izlaists

4. janvāris

WU, WSUS, katalogs

KB4056894

Windows Embedded POSReady 7

Izlaists

4. janvāris

WU, WSUS, katalogs

KB4056894

Windows Thin PC

Izlaists

4. janvāris

WU, WSUS, katalogs

KB4056894

 

Internet Explorer 11 kumulatīvais atjauninājums operētājsistēmām Windows 7 SP1 un Windows 8.1

Izlaists

3. janvāris

WU, WSUS, katalogs

KB4056568

Bieži uzdotie jautājumi

Lai iegūtu aparātprogrammatūras atjauninājumus, sazinieties ar savas ierīces ražotāju. Ja jūsu ierīces ražotājs nav norādīts tabulā, sazinieties ar OEM tieši.

Microsoft Surface ierīču atjauninājumi klientiem tiks nodrošināti, izmantojot Windows Update. Papildinformāciju skatiet rakstā KB 4073065.

Ja jūsu ierīce nav Microsoft ierīce, lietojiet ierīces ražotāja nodrošināto aparātprogrammatūru. Lai iegūtu papildinformāciju, sazinieties ar savas ierīces ražotāju.

Aparatūras ievainojamības risināšana ar programmatūras atjauninājumu rada būtiskas problēmas un drošības mazinājumus vecākām operētājsistēmām un var prasīt apjomīgas arhitektūras izmaiņas. Mēs turpināt sadarboties ar ietekmēto mikroshēmu ražotājiem un strādājam pie labākā veida, kā nodrošināt risinājumus, kas var tikt iekļauti kādā no turpmākajiem atjauninājumiem. Ievainojamības risku var mazināt, aizstājot vecākas ierīces, kurās darbojas vecākas operētājsistēmas, un atjauninot pretvīrusu programmatūru.

Piezīme

  • Produkti, kam pašlaik ir beidzies gan galvenais, gan paplašinātais atbalsts, nesaņems šos operētājsistēmas atjauninājumus. Mēs iesakām klientiem veikt atjaunināšanu uz atbalstītu operētājsistēmas versiju.

  • Tālāk minētajām platformām netiks izlaisti atjauninājumi.

    • Windows operētājsistēmas, kas šobrīd netiek atbalstītas vai kurām 2018. gadā beigsies atbalsts (end of service — EOS)

    • Windows XP tipa sistēmas, tostarp WES 2009, POSReady 2009

Lai gan sistēmas, kuru pamatā ir Windows XP, ir ietekmētie produkti, Microsoft neizdod tām atjauninājumus, jo nepieciešamās visaptverošās arhitektūras izmaiņas apdraudētu sistēmas stabilitāti un radītu lietojumprogrammu saderības problēmas. Mēs iesakām klientiem, kuriem rūp drošība, veikt jaunināšanu uz jaunāku, atbalstītu operētājsistēmu, lai pielāgotos mainīgajai drošības apdraudējumu situācijai un izmantotu labākus aizsardzības pasākumus, ko nodrošina jaunākās operētājsistēmas.

Pēc janvāra Microsoft drošības atjauninājuma instalēšanas jums būs jāinstalē aparātprogrammatūras atjauninājumi no savas ierīces ražotāja. Šie atjauninājumi ir pieejami jūsu ierīces ražotāja tīmekļa vietnē. Vispirms ir jāinstalē pretvīrusu programmatūras atjauninājumi. Operētājsistēmas un aparātprogrammatūras atjauninājumus var instalēt jebkurā secībā.

Lai novērstu šo ievainojamību, jums būs jāatjaunina gan aparatūra, gan programmatūra. Jums būs jāinstalē arī saistītie aparātprogrammatūras atjauninājumi no savas ierīces ražotāja, lai nodrošinātu visaptverošāku aizsardzību.

Katrā Windows 10 līdzekļu atjauninājumā mēs dziļi operētājsistēmā iebūvējam jaunākās drošības tehnoloģijas, nodrošinot tādus aizsardzības līdzekļus, kas neļauj dažādu kategoriju ļaunprogrammatūrai ietekmēt jūsu ierīci. Līdzekļu atjauninājumu laidieni tiek izdoti divas reizes gadā. Katrā ikmēneša kvalitātes atjauninājumā mēs pievienojam citu drošības slāni, kas seko ļaunprogrammatūras izplatībai un tendencēm, lai padarītu atjauninātas sistēmas vēl drošākas pret nemitīgi mainīgajiem apdraudējumiem.

Microsoft cieši sadarbojas ar ietekmētajiem pretvīrusu programmatūru izstrādātājiem partneriem, lai nodrošinātu, ka visi klienti pēc iespējas drīzāk saņemtu janvāra Windows drošības atjauninājumus. Ja klientiem netiek piedāvāti janvāra drošības atjauninājumi, korporācija Microsoft iesaka klientiem tieši sazināties ar savu pretvīrusu programmatūras nodrošinātāju. Ieteikumi:

  • Pārliecinieties, vai jūsu ierīcēs ir instalēti jaunākie drošības atjauninājumi no Microsoft un jūsu aparatūras ražotāja. Papildinformāciju par ierīces atjaunināšanu skatiet rakstā Windows Update: bieži uzdotie jautājumi.

  • Turpiniet ievērot piesardzību, apmeklējot nezināmas izcelsmes tīmekļa vietnes, un nepalieciet vietnēs, kurām neuzticaties. Korporācija Microsoft iesaka visiem klientiem aizsargāt savas ierīces, izmantojot atbalstītu pretvīrusu programmu. Klienti var arī izmantot iebūvēto pretvīrusu aizsardzību: Windows Defender operētājsistēmai Windows 10 vai Microsoft Security Essentials operētājsistēmai Windows 7. Šie risinājumi noder gadījumos, kad klients nevar instalēt vai palaist pretvīrusu programmatūru.

Lai novērstu negatīvu ietekmi uz klientu ierīcēm, 2018. gada 3. janvārī izlaistie drošības atjauninājumi netika piedāvāti visiem klientiem. Papildinformāciju skatiet Microsoft zināšanu bāzes rakstā 4072699 un Microsoft zināšanu bāzes rakstā 4073707

Intel ir ziņojis par problēmām, kas saistītas ar nesen izlaistu mikrokodu, kas paredzēts Spectre variant 2 (CVE 2017-5715 Branch Target Injection) problēmu risināšanai, proti, Intel atzīmēja, ka šis mikrokods var izraisīt “vairākas atkārtotas palaišanas un citas neparedzētas sistēmas darbības,” kā arī atzīmēja, ka šādas situācijas var radīt “datu zudumu vai bojājumus.” Mūsu pieredze rāda, ka sistēmas nestabilitāte dažās situācijās var radīt datu zudumu un bojājumus.  22. janvārī Intel ieteica klientiem pārtraukt izmantot aktuālo mikrokoda versiju procesoriem, kurus skārušas problēmas, kamēr kompānija veic atjauninātā risinājuma papildu testēšanu.  Mēs saprotam, ka Intel turpina izpētīt ietekmi uz aktuālo mikrokoda versiju, un aicinām klientus regulāri sekot līdzi kompānijas norādījumiem, lai pieņemtu pamatotus lēmumus.


Kamēr Intel testē, atjaunina un izvieto jauno mikrokodu, mēs šodien padarām pieejamu citu atjauninājumu — KB4078130, kas tikai atspējo risinājumu pret CVE-2017-5715 — “Branch target injection vulnerability.” Mūsu testos šis atjauninājums novērsa aprakstītās problēmas.  Visu iekārtu sarakstu skatiet Intel mikrokoda pārskatīšanas norādījumi.  Šis atjauninājums attiecas uz Windows 7 (SP1), Windows 8.1 un visām Windows 10 klienta un servera versijām. Ja izmantojat ierīci, kuru ir skārusi šī problēma, šo atjauninājumu var izmantot, lejupielādējot no Microsoft Update kataloga vietnes.  Šī atjauninājuma izmantošana tikai atspējo risinājumu pret CVE-2017-5715 — “Branch target injection vulnerability.” 


Kopš 25. janvāra nav saņemti ziņojumi, kas norādītu, ka uzbrukumos klientiem būtu ticis izmantots šis Spectre variant 2 (CVE 2017-5715). Mēs iesakām Windows klientiem, kurus skārusi šī problēma, atkārtoti iespējot risinājumu pret CVE-2017-5715, kad Intel ziņo, ka ir atrisināta problēma saistībā ar šo neparedzamo sistēmas darbību jūsu ierīcei.

 

Vai nepieciešama papildu palīdzība?

Paplašiniet savas prasmes
Iepazīties ar apmācību
Esiet pirmais, kas saņem jaunās iespējas
Pievienoties Microsoft Insider

Vai šī informācija bija noderīga?

Paldies par jūsu atsauksmēm!

Paldies par atsauksmēm! Šķiet, ka jums varētu būt noderīgi sazināties ar kādu no mūsu Office atbalsta speciālistiem.

×