Protejarea dispozitivelor Windows împotriva Spectre și Meltdown

Acest articol prezintă impactul vulnerabilităților de procesor dezvăluite recent, numite „Spectre” și „Meltdown”, pentru clienții Windows și oferă resurse pentru a vă menține dispozitivele protejate acasă, la locul de muncă și în toată întreprinderea.

Rezumat

Microsoft a luat cunoștință de noile vulnerabilități ale procesoarelor hardware, numite „Spectre” și „Meltdown”. Acestea reprezintă o clasă de vulnerabilități nou descoperită, bazată pe o arhitectură de cip comună care, după cum a fost concepută inițial, trebuia să accelereze funcționarea computerelor. Numele tehnic este „vulnerabilități de canal lateral cu execuție speculativă”. Puteți afla mai multe despre aceste vulnerabilități la Google Project Zero.

Cine este afectat?

Printre cipurile afectate se numără cele produse de Intel, AMD și ARM, ceea ce înseamnă toate dispozitivele care rulează sisteme de operare Windows sunt potențial vulnerabile (de exemplu, desktopuri, laptopuri, servere cloud și telefoane smartphone). Dispozitivele care rulează alte sisteme de operare, cum ar fi Android, Chrome, iOS și MacOS sunt, de asemenea, afectate. Recomandăm clienților care rulează aceste sisteme de operare să solicite asistență de la acești furnizori.

Până în acest moment al publicării, nu am primit informații care să indice că aceste vulnerabilități au fost utilizate pentru atacuri asupra clienților.

Protecțiile pe care le-am oferit până în prezent

Începând cu 3 ianuarie 2018, Microsoft a lansat mai multe actualizări pentru a ajuta la atenuarea acestor vulnerabilități și pentru a contribui la protejarea clienților. De asemenea, am implementat actualizări pentru a securiza serviciile noastre în cloud și browserele Internet Explorer și Microsoft Edge. Continuăm să lucrăm îndeaproape cu partenerii din industrie, inclusiv cu producătorii de cipuri, cu producătorii de dispozitive și cu furnizorii de aplicații.

Ce pași ar trebui să urmez pentru a-mi proteja dispozitivele?

Va trebui să actualizați atât hardware-ul, cât și software-ul pentru a trata această vulnerabilitate. Printre acestea se numără și actualizările de firmware de la producătorii de dispozitive și, în unele cazuri, actualizările la software-ul antivirus.

Pentru a primi toate protecțiile disponibile, urmați acești pași pentru a obține cele mai recente actualizări, atât pentru software, cât și pentru hardware:

Notă

Înainte de a începe, asigurați-vă că software-ul dvs. antivirus (AV) este actualizat și compatibil. Consultați site-ul web al producătorului de software antivirus pentru cele mai recente informații despre compatibilitate.

  1. Mențineți-vă dispozitivul Windows la zi, activând actualizările automate.

  2. Verificați dacă ați instalat actualizarea de securitate a sistemului de operare Windows din ianuarie 2018 de la Microsoft. Dacă actualizările automate sunt activate, actualizările ar trebui să vă fie livrate automat, dar ar trebui totuși să confirmați că sunt instalate. Pentru instrucțiuni, consultați Windows Update: Întrebări frecvente

  3. Instalați actualizările de hardware (firmware) disponibile de la producătorul dispozitivului. Toți clienții vor trebuie să se consulte cu producătorul dispozitivului lor pentru a descărca și a instala actualizarea de hardware specifică dispozitivului. Mai jos, consultați o listă cu site-urile producătorilor de dispozitive.

    Notă

    Clienții care instalează doar actualizările de securitate ale sistemului de operare Windows din ianuarie 2018 de la Microsoft nu vor avea o protecție completă împotriva vulnerabilităților. Mai întâi ar trebui să fie instalate actualizările software-ului antivirus. Ar trebui să urmeze actualizările pentru sistemul de operare și firmware.

Resurse

În funcție de rolul dvs., următoarele articole de asistență vă vor ajuta să identificați și să atenuați riscurile pentru mediile de client și server care sunt afectate de vulnerabilitățile Spectre și Meltdown.

Sfat Microsoft de securitate: MSRC ADV180002

Intel: Sfat de securitate

ARM: Sfat de securitate

AMD: Sfat de securitate

NVIDIA: Sfat de securitate

Blogul Microsoft Secure: Înțelegerea impactului asupra performanței al atenuărilor Spectre și Meltdown pe sistemele Windows

Îndrumări pentru consumatori: Protejarea dispozitivului împotriva vulnerabilităților de securitate legate de cipuri

Îndrumări antivirus: Actualizările de securitate Windows lansate la 3 ianuarie 2018 și software-ul antivirus

Îndrumări pentru blocul de actualizări de securitate pentru sistemul de operare Windows pe AMD: KB4073707: Blocul de actualizări de securitate ale sistemului de operare Windows pentru unele dispozitive bazate pe AMD

Actualizare pentru a dezactiva atenuarea împotriva Spectre, varianta 2: KB4078130: Intel a identificat probleme de repornire cu microcodul de pe unele procesoare mai vechi 
 

Îndrumări pentru Surface: Îndrumări pentru Surface, pentru a vă proteja împotriva vulnerabilităților de canal lateral cu execuție speculativă

Îndrumări pentru profesioniști IT: Îndrumări referitoare la clientul Windows pentru profesioniști IT, pentru a vă proteja împotriva vulnerabilităților de canal lateral cu execuție speculativă

Blogul pentru dezvoltatori Edge: Atenuarea atacurilor de canal lateral cu execuție speculativă în Microsoft Edge și Internet Explorer

Îndrumări pentru server: Îndrumări pentru Windows Server, pentru a vă proteja împotriva vulnerabilităților de canal lateral cu execuție speculativă

Îndrumări pentru Server Hyper-V

Blogul Azure: Securizarea clienților Azure împotriva vulnerabilității CPU

Azure KB: KB4073235: Protecțiile Microsoft în cloud împotriva vulnerabilităților de canal lateral cu execuție speculativă

Îndrumări pentru Azure Stack: KB4073418: Îndrumări pentru Azure Stack, pentru a vă proteja împotriva vulnerabilităților de canal lateral cu execuție speculativă

Îndrumări pentru SQL Server: KB4073225: Îndrumări pentru SQL Server, pentru a vă proteja împotriva vulnerabilităților de canal lateral cu execuție speculativă

Îndrumări pentru SCCM: Îndrumări suplimentare pentru a atenua vulnerabilitățile de canal lateral cu execuție speculativă

Resurse suplimentare

Lista de producători de dispozitive OEM/servere

Utilizați linkurile de mai jos pentru a vă consulta cu producătorul dispozitivului în legătură cu actualizările de firmware. Va trebui să instalați atât actualizările pentru sistemul de operare, cât și cele pentru hardware/firmware, pentru a beneficia de toate protecțiile disponibile.

Producători de dispozitive OEM

Link la disponibilitatea microcodului

Acer

https://us.answers.acer.com/app/answers/detail/a_id/53104

Asus

https://www.asus.com/News/YQ3Cr4OYKdZTwnQK

Dell

https://www.dell.com/support/meltdown-spectre

Epson

http://www.epsondirect.co.jp/support/information/2018/secure201801b.asp

Fujitsu

https://www.fujitsu.com/global/support/products/software/security/products-f/jvn-93823979e.html

HP

https://support.hp.com/document/c05869091

Lenovo

https://support.lenovo.com/us/en/solutions/len-18282

LG

https://www.lg.com/us/support

NEC

http://jpn.nec.com/security-info/av18-001.html

Panasonic

https://pc-dl.panasonic.co.jp/itn/vuln/g18-001.html

Samsung

https://www.samsung.com/us/support/

Surface

Îndrumări pentru Surface, pentru a vă proteja împotriva vulnerabilităților de canal lateral cu execuție speculativă

Toshiba

http://go.toshiba.com/intel-side-channel

Vaio

https://solutions.vaio.com/3316

 

Producători OEM de servere

Link la disponibilitatea microcodului 

Dell

https://www.dell.com/support/meltdown-spectre

Fujitsu

http://www.fujitsu.com/global/support/products/software/security/products-f/jvn-93823979e.html

HPE

http://h22208.www2.hpe.com/eginfolib/securityalerts/SCAM/Side_Channel_Analysis_Method.html

Huawei

http://www.huawei.com/au/psirt/security-notices/huawei-sn-20180104-01-intel-en

Lenovo

https://support.lenovo.com/us/en/solutions/len-18282

Microsoft oferă informații de contact de la terți pentru a vă ajuta să găsiți asistență tehnică. Aceste informații de contact se pot modifica fără notificare prealabilă. Microsoft nu garantează acuratețea acestor informații de contact de la terți.


 

 

Planificarea actualizării sistemului de operare Windows din ianuarie 2018

Actualizările de securitate lansate în ianuarie 2018 furnizează atenuări pentru dispozitivele care rulează următoarele sisteme de operare Windows bazate pe x64. Consultați Întrebări frecvente pentru mai multe informații.

Actualizarea produsului a fost lansată

Lansat

Data lansării

Canal de lansare

KB

Windows 10 - Versiunea 1709 / Windows Server 2016 (1709) / IoT Core - Actualizare de calitate

Lansat

3 ianuarie

WU, WSUS, Catalog, Galeria de imagini Azure

KB4056892

Windows Server 2016 (1709) - Container de server

Lansat

5 ianuarie

Hubul Docker

KB4056892

Windows 10 - Versiunea 1703 / IoT Core - actualizare de calitate

Lansat

3 ianuarie

WU, WSUS, Catalog

KB4056891

Windows 10 - Versiunea 1607 / Windows Server 2016 / IoT Core - Actualizare de calitate

Lansat

3 ianuarie

WU, WSUS, Catalog

KB4056890

Windows Server 2016 (1607) - imagini container

Lansat

4 ianuarie

Hubul Docker

KB4056890

Windows 10 - Versiunea 1511 / IoT Core - actualizare de calitate

Lansat

3 ianuarie

WU, WSUS, Catalog

KB4056888

Windows 10 - Versiunea RTM - Actualizare de calitate

Lansat

3 ianuarie

WU, WSUS, Catalog

KB4056893

Windows 10 Mobile (versiunea sistemului de operare 15254.192) - ARM

Lansat

5 ianuarie

WU, Catalog

KB4073117

Windows 10 Mobile (versiunea sistemului de operare 15063.850)

Lansat

5 ianuarie

WU, Catalog

KB4056891

Windows 10 Mobile (versiunea sistemului de operare 14393.2007)

Lansat

5 ianuarie

WU, Catalog

KB4056890

Windows 10 HoloLens

Lansat

5 ianuarie

WU, Catalog

KB4056890

Windows 8.1 / Windows Server 2012 R2 - Actualizare doar de securitate

Lansat

3 ianuarie

WSUS, Catalog

KB4056898

Windows Embedded 8.1 Industry Enterprise

Lansat

3 ianuarie

WSUS, Catalog

KB4056898

Windows Embedded 8.1 Industry Pro

Lansat

3 ianuarie

WSUS, Catalog

KB4056898

Windows Embedded 8.1 Pro

Lansat

3 ianuarie

WSUS, Catalog

KB4056898

Windows 8.1 / Windows Server 2012 R2, Setul lunar

Lansat

8 ianuarie

WU, WSUS, Catalog

KB4056895

Windows Embedded 8.1 Industry Enterprise

Lansat

8 ianuarie

WU, WSUS, Catalog

KB4056895

Windows Embedded 8.1 Industry Pro

Lansat

8 ianuarie

WU, WSUS, Catalog

KB4056895

Windows Embedded 8.1 Pro

Lansat

8 ianuarie

WU, WSUS, Catalog

KB4056895

Windows Server 2012, numai pentru securitate

În curând

 

WSUS, Catalog

 

Windows Server 2008 SP2

În curând

 

WU, WSUS, Catalog

 

Windows Server 2012, Setul lunar

În curând

 

WU, WSUS, Catalog

 

Windows Embedded 8 Standard

În curând

 

 

 

 

Windows 7 SP1 / Windows Server 2008 R2 SP1 - Actualizare doar de securitate

Lansat

3 ianuarie

WSUS, Catalog

KB4056897

Windows Embedded Standard 7

Lansat

3 ianuarie

WSUS, Catalog

KB4056897

Windows Embedded POSReady 7

Lansat

3 ianuarie

WSUS, Catalog

KB4056897

Windows Thin PC

Lansat

3 ianuarie

WSUS, Catalog

KB4056897

Windows 7 SP1 / Windows Server 2008 R2 SP1, Setul lunar

Lansat

4 ianuarie

WU, WSUS, Catalog

KB4056894

Windows Embedded Standard 7

Lansat

4 ianuarie

WU, WSUS, Catalog

KB4056894

Windows Embedded POSReady 7

Lansat

4 ianuarie

WU, WSUS, Catalog

KB4056894

Windows Thin PC

Lansat

4 ianuarie

WU, WSUS, Catalog

KB4056894

 

Internet Explorer 11 - Actualizare cumulativă pentru Windows 7 SP1 și Windows 8.1

Lansat

3 ianuarie

WU, WSUS, Catalog

KB4056568

Întrebări frecvente

 

Va trebui să vă consultați cu producătorul dispozitivului pentru actualizările de firmware. Dacă producătorul dispozitivului nu este listat în tabel, contactați producătorul OEM în mod direct.

Actualizările pentru dispozitivele Microsoft Surface vor fi livrate clienților prin intermediul Windows Update. Pentru mai multe informații, consultați KB 4073065.

Dacă dispozitivul dvs. nu provine de la Microsoft, aplicați firmware-ul de la producătorul dispozitivului. Contactați producătorul dispozitivuluipentru mai multe informații.

Tratarea unei vulnerabilități hardware cu o actualizare software prezintă provocări semnificative și unor remedieri pentru sistemele de operare mai vechi și poate solicita modificări extinse de arhitectură. Lucrăm în continuare cu producătorii cipurilor afectate și investigăm cea mai bună modalitate de a oferi remedierile, care pot fi oferite într-o actualizare viitoare. Înlocuirea dispozitivelor mai vechi care rulează aceste sisteme de operare mai vechi ar trebui să trateze riscurile rămase, împreună cu software-ul antivirus actualizat.

Notă

  • Produsele care nu beneficiază în prezent de suport mainstream și extins nu vor primi aceste actualizări de sistem de operare. Le recomandăm clienților să actualizeze la o versiune de sistem de operare acceptată.

  • Nu vom lansa actualizări pentru următoarele platforme:

    • Sistemele de operare Windows care în prezent nu beneficiază de asistență sau cele pentru care se încheie perioada de service (EOS) în 2018

    • Sistemele bazate pe Windows XP, inclusiv WES 2009, POSReady 2009

Deși sistemele bazate pe Windows XP sunt produse afectate, Microsoft nu lansează nicio actualizare pentru ele, deoarece modificările arhitecturale cuprinzătoare necesare ar pune în pericol stabilitatea sistemului și ar cauza probleme de compatibilitate pentru aplicații. Recomandăm clienților ce țin cont de importanța securității să facă upgrade la un sistem de operare acceptat mai nou, pentru a ține pasul cu peisajul amenințărilor de securitate în permanentă schimbare și a beneficia de protecțiile mai robuste pe care le oferă sistemele de operare mai noi.

După ce ați instalat actualizarea de securitate Microsoft din ianuarie, va trebui, de asemenea, să instalați actualizările de firmware de la producătorul dispozitivului. Aceste actualizări ar trebui să fie disponibile pe site-ul web al producătorului dispozitivului. Mai întâi ar trebui să fie instalate actualizările software-ului antivirus. Actualizările sistemului de operare și cele ale firmware-ului pot fi instalate în orice ordine.

Va trebui să actualizați atât hardware-ul, cât și software-ul pentru a trata această vulnerabilitate. De asemenea, va trebui să instalați actualizările de firmware asociate de la producătorul dispozitivului, pentru o protecție mai cuprinzătoare.

În fiecare actualizare de caracteristici Windows 10, construim cea mai recentă tehnologie de securitate adânc în sistemul de operare, oferind caracteristici defensive puternice care împiedică toate categoriile de malware să vă afecteze dispozitivul. Lansările de actualizări de caracteristici sunt programate să aibă loc de două ori pe an. În fiecare actualizare de calitate lunară, adăugăm un nivel nou de securitate, unul care urmărește tendințele noi și în schimbare din evoluția malware-ului, pentru a face mai sigure sistemele actualizate în fața amenințărilor modificate și a celor în evoluție.

Microsoft a lucrat îndeaproape cu partenerii antivirus afectați, pentru a se asigura că toți clienții primesc actualizările de securitate Windows din ianuarie cât mai curând posibil. Dacă clienților nu li se oferă actualizările de securitate din ianuarie, Microsoft le recomandă clienților să își contacteze furnizorul antivirus în mod direct. Recomandări:

  • Asigurați-vă că dispozitivele dvs. sunt la zi cu cele mai recente actualizări de securitate de la Microsoft și de la producătorul de hardware. Pentru mai multe informații despre cum să vă mențineți dispozitivul la zi, consultați Windows Update: întrebări frecvente.

  • Continuați să dați dovadă de precauție maximă atunci când vizitați site-uri web de origine necunoscută și nu rămâneți pe site-uri în care nu aveți încredere. Microsoft le recomandă tuturor clienților să își protejeze dispozitivele, rulând un program antivirus acceptat. De asemenea, clienții pot beneficia de protecție antivirus încorporată: Windows Defender pentru dispozitive Windows 10 sau Microsoft Security Essentials pentru dispozitive Windows 7. Aceste soluții sunt compatibile în situațiile în care clienții nu pot instala sau rula un software antivirus.

Pentru a evita afectarea dispozitivelor clienților, actualizările de securitate Windows care au fost lansate pe 3 ianuarie 2018 nu au fost oferite tuturor clienților. Pentru detalii, consultați următoarele: articolul 4072699 din Baza de cunoștințe Microsoft și articolul 4073707 din Baza de cunoștințe Microsoft

Intel a raportat probleme cu microcodul lansat recent, proiectat să trateze problema Spectre, varianta 2 (CVE 2017-5715 injectare țintă pentru ramură). Mai exact, Intel a observat că acest microcod poate cauza „un număr de reporniri mai mare decât de obicei și alte comportamente de sistem imprevizibile”, apoi a observat că situații ca aceasta pot duce la „pierderea sau deteriorarea datelor”. Experiența noastră ne-a dovedit că instabilitatea sistemului poate cauza, în anumite situații, pierderea sau deteriorarea datelor.  La 22 ianuarie, Intel le-a recomandat clienților să oprească implementarea versiunii de microcod curente pe procesoarele afectate, asigurându-i că se ocupă de testări suplimentare ale soluției actualizate.  Am înțeles că Intel continuă să investigheze impactul potențial al versiunii de microcod curente și îi încurajăm pe clienți să revizuiască instrucțiunile oferite constant pentru a se informa în deciziile lor.


În timp ce Intel testează, actualizează și implementează microcodul nou, noi vă punem la dispoziție astăzi o actualizare independentă, KB4078130, care dezactivează în mod specific doar atenuarea pentru CVE-2017-5715 – „vulnerabilitatea Injectare țintă pentru ramură”. Testările noastre au descoperit că această actualizare previne comportamentul descris.  Pentru lista completă de dispozitive, consultați Instrucțiunile de revizie a microcodului Intel.  Această actualizare cuprinde Windows 7 (SP1), Windows 8.1 și toate versiunile de Windows 10, pentru client și server. Dacă rulați un dispozitiv afectat, această actualizare se poate aplica descărcând-o de la site-ul Catalog Microsoft Update.  Aplicarea acestei sarcini dezactivează în mod specific doar atenuarea împotriva CVE-2017-5715 - vulnerabilitatea Injectare țintă pentru ramură”. 


Începând cu 25 ianuarie, nu există rapoarte cunoscute pentru a indica faptul că acest Spectre, varianta 2 (CVE 2017-5715) a fost utilizat pentru atacuri împotriva clienților. Le recomandăm clienților Windows, dacă este cazul, să reactiveze atenuarea pentru CVE-2017-5715 atunci când Intel raportează că acest comportament de sistem imprevizibil a fost rezolvat pentru dispozitivul dvs.

Aveți nevoie de ajutor suplimentar?

Extindeți-vă competențele
Explorați instruirea
Fiți primul care obține noile caracteristici
Alăturați-vă la Microsoft Insider

V-a fost de ajutor această informație?

Cât de mulțumit sunteți de calitatea traducerii?

Ce v-a afectat experiența?

Aveți feedback suplimentar? (Opțional)

Vă mulțumim pentru feedback!

×