Ochráňte svoje zariadenia s Windowsom pred rizikami Spectre a Meltdown

Tento článok popisuje vplyv nedávno zverejnených rizík procesorov zvaných Spectre a Meltdown na používateľov systému Windows a poskytuje zdroje, ktoré pomôžu ochrániť zariadenia doma, v práci či v celom podniku.

Súhrn

Spoločnosť Microsoft vie o nových rizikách hardvéru procesorov zvaných Spectre a Meltdown Ide o novoobjavený druh rizika využívajúci bežnú čipovú architektúru, ktorá bola pôvodne vytvorená za účelom zrýchlenia počítača. Technické označenie je „riziká špekulatívneho spustenia bočného kanála. Ďalšie informácie o týchto rizikách nájdete na webovej lokalite Google Project Zero.

Kto je napadnutý?

Medzi postihnuté čipy patria čipy vyrábané spoločnosťami Intel, AMD a ARM, čo znamená, že všetky zariadenia s operačnými systémami Windows sú potenciálne ohrozené (napr. stolné počítače, prenosné počítače, cloudové servery a smartfóny). Zariadenia s inými operačnými systémami, napríklad Android, Chrome, iOS a MacOS, sú tiež napadnuté. Odporúčame zákazníkom, ktorí používajú tieto operačné systémy, aby žiadali pokyny od jednotlivých dodávateľov.

V okamihu zverejnenia nemáme informácie o tom, že by tieto riziká boli použité na útoky na zákazníkov.

Doteraz poskytnuté ochrany

Spoločnosť Microsoft vydala 3. januára 2018 niekoľko aktualizácií, ktoré by mali zmierniť tieto riziká a pomôcť ochrániť zákazníkov. Nasadili sme tiež aktualizácie zabezpečenia našich cloudových služieb a prehliadačov Internet Explorer a Microsoft Edge. Pokračujeme v úzkej spolupráci s partnermi v odvetví vrátane výrobcov čipov, výrobcov zariadení a dodávateľov aplikácií.

Aké kroky mám podniknúť na ochranu svojich zariadení?

Na odstránenie tohto rizika budete musieť aktualizovať hardvér aj softvér. To zahŕňa aktualizácie firmvéru od výrobcov zariadení a v niektorých prípadoch aj aktualizácie antivírusového softvéru.

Ak chcete prijať všetku dostupnú ochranu, použite tento postup a nainštalujte najnovšie aktualizácie softvéru a hardvéru:

Poznámka

Skôr než začnete, uistite sa, že vás antivírusový (AV) softvér je aktuálny a kompatibilný. Najnovšie informácie o kompatibilite antivírusu nájdete na webovej lokalite výrobcu softvéru.

  1. Aktuálnosť zariadení s Windowsom zabezpečíte zapnutím automatických aktualizácií.

  2. Skontrolujte, či ste nainštalovali aktualizáciu zabezpečenia operačného systému Windows od spoločnosti Microsoft z januára 2018. Ak sú automatické aktualizácie zapnuté, mali by sa vám automaticky doručovať, ale stále by ste si mali overovať, či sa nainštalovali. Pokyny nájdete v téme Windows Update: Najčastejšie otázky

  3. Nainštalujte dostupné aktualizácie hardvéru (firmvér) od výrobcu zariadenia. Všetci zákazníci budú musieť kontaktovať výrobcu zariadenia, prevziať a nainštalovať špecifickú aktualizáciu hardvéru. Nižšie nájdete zoznam webových lokalít výrobcov zariadení.

    Poznámka

    Zákazníci, ktorí si nainštalujú iba aktualizácie zabezpečenia operačného systému Windows z januára 2018 od spoločnosti Microsoft nebudú plne chránení pred rizikami. Najskôr si však nainštalujte aktualizácie antivírusového softvéru. Potom nainštalujte aktualizácie operačného systému a firmvéru.

Zdroje informácií

V závislosti od vašej úlohy vám nasledujúce články technickej podpory pomôžu určiť a obmedziť prostredia klientov a serverov napadnuté rizikami Spectre a Meltdown.

Poradenstvo zabezpečenia spoločnosti Microsoft: MSRC ADV180002

Intel: poradenstvo zabezpečenia

ARM: poradenstvo zabezpečenia

AMD: poradenstvo zabezpečenia

NVIDIA: poradenstvo zabezpečenia

Blog Microsoft Secure: Porozumenie dopadu protiopatrení proti rizíkám Spectre a Meltdown na výkon systémov Windows

Pokyny pre používateľov: Ochrana zariadenia pred ohrozeniami zabezpečenia čipov

Antivírusové pokyny: Aktualizácie zabezpečenia Windowsu vydané 3 januára 2018 a antivírusový softvér

Pokyny k bloku aktualizácií zabezpečenia operačných systémov AMD Windows: KB4073707: blok aktualizácií zabezpečenia operačného systému Windows pre niektoré zariadenia AMD

Aktualizácia na vypnutie obmedzenia rizík súvisiacich s chybou Spectre, variant 2: KB4078130: Spoločnosť Intel identifikovala problémy s reštartom v mikrokóde na niektorých starších procesoroch 
 

Pokyny pre Surface: Pokyny pre zariadenia Surface na ochranu pred rizikom špekulatívneho spustenia bočného kanála

Pokyny pre IT profesionálov: Pokyny klienta Windows pre IT profesionálov na ochranu pred rizikom špekulatívneho spustenia bočného kanála

Blog vývojárov pre Edge: Zmiernenie útokov špekulatívneho spúšťanie bočného kanála v Microsoft Edgi a Internet Exploreri

Pokyny pre servery: Pokyny pre servery s Windowsom na ochranu pred rizikom špekulatívneho spustenia bočného kanála

Pokyny pre technológiu Hyper-V Server

Blog Azure: Zabezpečenie zákazníkov Azure pred rizikom procesora

Azure KB: KB4073235: Ochrany Microsoft Cloudu pred rizikami špekulatívneho spúšťania bočného kanála

Pokyny pre zoskupenie Azure: KB4073418: pokyny pre zoskupenie Azure na ochranu pred rizikom špekulatívneho spustenia bočného kanála

Pokyny pre SQL Server: KB4073225: Pokyny pre SQL Server na ochranu pred rizikom špekulatívneho spustenia bočného kanála

Pokyny SCCM: Ďalšie pokyny ako znížiť riziko špekulatívneho spustenia bočného kanála

Ďalšie zdroje

Zoznam výrobcov zariadení OEM/Server

Na získanie aktualizácie firmvéru hľadajte u výrobcu svojho zariadenia. Na získanie kompletnej ochrany budete musieť nainštalovať aktualizácie operačného systému a aktualizácie hardvéru/firmvéru.

OEM výrobcovia zariadení

Prepojenie na dostupnosť microcode

Acer

https://us.answers.acer.com/app/answers/detail/a_id/53104

Asus

https://www.asus.com/News/YQ3Cr4OYKdZTwnQK

Dell

https://www.dell.com/support/meltdown-spectre

Epson

http://www.epsondirect.co.jp/support/information/2018/secure201801b.asp

Fujitsu

https://www.fujitsu.com/global/support/products/software/security/products-f/jvn-93823979e.html

HP

https://support.hp.com/document/c05869091

Lenovo

https://support.lenovo.com/us/en/solutions/len-18282

LG

https://www.lg.com/us/support

NEC

http://jpn.nec.com/security-info/av18-001.html

Panasonic

https://pc-dl.panasonic.co.jp/itn/vuln/g18-001.html

Samsung

https://www.samsung.com/us/support/

Surface

Pokyny pre zariadenia Surface na ochranu pred rizikom špekulatívneho spustenia bočného kanála

Toshiba

http://go.toshiba.com/intel-side-channel

Vaio

https://solutions.vaio.com/3316

 

OEM výrobcovia serverov

Prepojenie na dostupnosť microcode 

Dell

https://www.dell.com/support/meltdown-spectre

Fujitsu

http://www.fujitsu.com/global/support/products/software/security/products-f/jvn-93823979e.html

HPE

http://h22208.www2.hpe.com/eginfolib/securityalerts/SCAM/Side_Channel_Analysis_Method.html

Huawei

http://www.huawei.com/au/psirt/security-notices/huawei-sn-20180104-01-intel-en

Lenovo

https://support.lenovo.com/us/en/solutions/len-18282

Spoločnosť Microsoft poskytuje kontaktné informácie tretích strán, ktoré vám pomôžu nájsť technickej podporu. Tieto kontaktné informácie môžu zmeniť bez predchádzajúceho upozornenia. Spoločnosť Microsoft nezaručuje presnosť kontaktných informácií tretej strany.


 

 

Plán aktualizácií operačného systému Windows na január 2018

Aktualizácie zabezpečenia vydané v januári 2018 obmedzujú riziká pri zariadeniach používajúcich nasledujúce operačné systémy Windows založené na platforme x64. Ďalšie informácie nájdete v časti Najčastejšie otázky.

Vydaná aktualizácia produktu

Vydané

Dátum vydania

Kanál vydania

KB

Windows 10 – verzia 1709/Windows Server 2016 (1709) / IoT Core – aktualizácia kvality

Vydané

3. január

WU, WSUS, Katalóg, Azure a Galéria

KB4056892

Windows Server 2016 (1709) – kontajner servera

Vydané

5. január

Centrum Docker

KB4056892

Windows 10 – verzia 1703 / IoT Core - aktualizácia kvality

Vydané

3. január

WU, WSUS, Katalóg

KB4056891

Windows 10 – verzia 1607/Windows Server 2016 /IoT Core – aktualizácia kvality

Vydané

3. január

WU, WSUS, Katalóg

KB4056890

Windows Server 2016 (1607) – obrázky kontajnera

Vydané

4. január

Centrum Docker

KB4056890

Windows 10 – verzia 1511 / IoT Core - aktualizácia kvality

Vydané

3. január

WU, WSUS, Katalóg

KB4056888

Windows 10 - verzia RTM - aktualizácia kvality

Vydané

3. január

WU, WSUS, Katalóg

KB4056893

Windows 10 Mobile (zostava OS 15254.192) - ARM

Vydané

5. január

WU, Katalóg

KB4073117

Windows 10 Mobile (zostava OS 15063.850)

Vydané

5. január

WU, Katalóg

KB4056891

Windows 10 Mobile (zostava OS 14393.2007)

Vydané

5. január

WU, Katalóg

KB4056890

HoloLens s Windowsom 10

Vydané

5. január

WU, Katalóg

KB4056890

Windows 8.1 a Windows Server 2012 R2 – iba aktualizácia zabezpečenia

Vydané

3. január

WSUS, Katalóg

KB4056898

Windows Embedded 8.1 Industry Enterprise

Vydané

3. január

WSUS, Katalóg

KB4056898

Windows Embedded 8.1 Industry Pro

Vydané

3. január

WSUS, Katalóg

KB4056898

Windows Embedded 8.1 Pro

Vydané

3. január

WSUS, Katalóg

KB4056898

Windows 8.1/Windows Server 2012 R2 – mesačná súhrnná aktualizácia

Vydané

8. január

WU, WSUS, Katalóg

KB4056895

Windows Embedded 8.1 Industry Enterprise

Vydané

8. január

WU, WSUS, Katalóg

KB4056895

Windows Embedded 8.1 Industry Pro

Vydané

8. január

WU, WSUS, Katalóg

KB4056895

Windows Embedded 8.1 Pro

Vydané

8. január

WU, WSUS, Katalóg

KB4056895

Windows Server 2012 – iba aktualizácia zabezpečenia

Nadchádzajúca

 

WSUS, Katalóg

 

Windows Server 2008 SP2

Nadchádzajúca

 

WU, WSUS, Katalóg

 

Windows Server 2012 – mesačná súhrnná aktualizácia

Nadchádzajúca

 

WU, WSUS, Katalóg

 

Windows Embedded 8 Standard

Nadchádzajúca

 

 

 

 

Windows 7 SP1 a Windows Server 2008 R2 SP1 – iba aktualizácia zabezpečenia

Vydané

3. januára

WSUS, Katalóg

KB4056897

Windows Embedded Standard 7

Vydané

3. január

WSUS, Katalóg

KB4056897

Windows Embedded POSReady 7

Vydané

3. január

WSUS, Katalóg

KB4056897

Windows Thin PC

Vydané

3. január

WSUS, Katalóg

KB4056897

Windows 7 SP1 a Windows Server 2008 R2 SP1 – mesačná súhrnná aktualizácia

Vydané

4. januára

WU, WSUS, Katalóg

KB4056894

Windows Embedded Standard 7

Vydané

4. január

WU, WSUS, Katalóg

KB4056894

Windows Embedded POSReady 7

Vydané

4. január

WU, WSUS, Katalóg

KB4056894

Windows Thin PC

Vydané

4. január

WU, WSUS, Katalóg

KB4056894

 

Internet Explorer 11 – Kumulatívna aktualizácia pre Windows 7 SP1 a Windows 8.1

Vydané

3. január

WU, WSUS, Katalóg

KB4056568

Najčastejšie otázky

 

Aktualizácie firmvéru skontrolujte u výrobcu zariadenia. Ak výrobca zariadenia nie je uvedený v tabuľke, kontaktujte ho priamo.

Aktualizácie pre zariadenia Microsoft Surface sa budú distribuovať zákazníkom prostredníctvom lokality Windows Update. Ďalšie informácie nájdete v položke KB 4073065.

Ak vaše zariadenie nie je od spoločnosti Microsoft, použite firmvér od výrobcu zariadenia. Ďalšie informácie získate od výrobcu svojho zariadenia.

Riešenie chyby hardvéru pomocou aktualizácie softvéru predstavuje veľkú výzvu a obmedzovanie rizík pre staršie operačné systémy môže vyžadovať veľké zmeny v architektúre. Pokračujeme v práci s výrobcami ohrozených čipov a hľadáme najlepší spôsob, ako zamedziť rizikám, ktoré môžu byť súčasťou budúcich aktualizácií. Zostávajúce riziko by mala vyriešiť výmena starších zariadení používajúcich staršie operačné systémy spolu s aktualizáciou antivírusového softvéru.

Poznámka

  • Produkty, ktorým sa zároveň neposkytuje bežná ani rozšírená podpora, tieto aktualizácie operačného systému neobdržia. Odporúčame zákazníkom aktualizáciu na podporovanú verziu operačného systému.

  • Pre nasledujúce platformy nebudeme vydávať aktualizácie:

    • Operačné systémy Windows, ktoré sú momentálne bez podpory alebo tie, pre ktoré sa ukončí poskytovanie podpory v roku 2018

    • Systémy založené na Windowse XP vrátane WES 2009, POSReady 2009

Hoci systémy založené na Windowse XP sú ohrozené produkty, spoločnosť Microsoft pre ne nevydáva aktualizáciu, pretože nevyhnutné komplexné zmeny architektúry by ohrozili stabilitu systému a spôsobili by problémy s kompatibilitou aplikácií. Odporúčame zákazníkom, ktorým záleží na zabezpečené, aby inovovali na novší podporovaný operačný systém, aby držali krok s meniacimi sa bezpečnostnými hrozbami a využívali robustnejšiu ochranu poskytovanú novšími operačnými systémami.

Po inštalácii januárovej aktualizácie zabezpečenia spoločnosti Microsoft budete musieť nainštalovať ešte aktualizácie firmvéru od výrobcu zariadenia. Tieto aktualizácie firmvéru by mali byť k dispozícii na webovej lokalite výrobcu zariadenia. Najskôr si však nainštalujte aktualizácie antivírusového softvéru. Aktualizácie operačného systému a firmvéru možno nainštalovať v ľubovoľnom poradí.

Na odstránenie tohto rizika budete musieť aktualizovať hardvér aj softvér. Ak chcete zabezpečiť ešte komplexnejšiu ochranu, musíte nainštalovať aj súvisiace aktualizácie firmvéru od výrobcu zariadenia.

V každej aktualizácii funkcií Windowsu 10 zavádzame najnovšie technológie zabezpečenia hlboko do operačného systému, poskytujeme hĺbkové funkcie ochrany, ktoré bránia celým triedam malvéru vplývať na vaše zariadenie. Aktualizácie funkcií sú vydávané dvakrát ročne. V každej mesačnej aktualizácii pridávame ďalšiu vrstvu zabezpečenia, ktorá sleduje nové a meniace sa trendy malvéru, aby boli aktuálne systémy bezpečnejšie tvárou v tvár meniacim sa a vyvíjajúcim sa hrozbám.

Spoločnosť Microsoft úzko spolupracuje s ovplyvnenými antivírusovými partnermi, aby zabezpečila všetkým zákazníkom prijatie januárovej aktualizácie zabezpečenia systému Windows čo najskôr. Ak zákazníkom nie sú ponúkané januárové aktualizácie zabezpečenia, spoločnosť Microsoft odporúča zákazníkom, aby poskytovateľa antivírusového softvéru priamo kontaktovali. Odporúčania:

  • Skontrolujte, či vaše zariadenia sú aktualizované najnovšími aktualizáciami zabezpečenia od spoločnosti Microsoft a od výrobcu hardvéru. Ďalšie informácie o aktualizovaní Windowsu nájdete v téme Windows Update: Najčastejšie otázky.

  • Naďalej postupujte obozretne pri návšteve webových lokalít neznámeho pôvodu a nezotrvávajte na lokalitách, ktorým nedôverujete. Spoločnosť Microsoft odporúča všetkým zákazníkom chrániť svoje zariadenia používaním podporovaného antivírusového programu. Zákazníci môžu využívať aj vstavanú ochranu pred vírusmi: Windows Defender pre zariadenia s Windowsom 10 alebo Microsoft Security Essentials pre zariadenia s Windowsom 7. Tieto riešenia sú kompatibilné v prípadoch, keď zákazníci nemôžu nainštalovať alebo spustiť antivírusový softvér.

Aktualizácie zabezpečenia Windowsu, ktoré boli vydané 3 januára 2018, neboli ponúknuté všetkým zákazníkom, aby sme sa vyhli nepriaznivému ovplyvneniu zariadení zákazníkov. Podrobnosti nájdete na nasledujúcich miestach: článok 4072699 databázy Microsoft Knowledge Base a článok 4073707 databázy Microsoft Knowledge Base

Spoločnosť Intel má nahlásené problémy s nedávno vydaným mikrokódom určeným na riešenie chyby Spectre variant 2 (CVE 2017-5715 Branch Target Injection) – spoločnosť Intel konkrétne uviedla, že tento mikrokód môže spôsobiť „vyšší ako očakávaný počet reštartov a iné nepredvídateľné správanie systému“. Ďalej uvádza, že situácie, ako táto, môžu mať za následok „stratu alebo poškodenie údajov“. Na základe vlastnej skúsenosti môžeme konštatovať, že nestabilita systému môže v niektorých prípadoch spôsobiť stratu alebo poškodenie údajov.  22. januára spoločnosť Intel odporučila, aby zákazníci zastavili nasadzovanie súčasnej verzie mikrokódu na ovplyvnených procesoroch, kým dokončí ďalšie testovanie na aktualizovanom riešení.  Chápeme, že spoločnosť Intel pokračuje v skúmaní potenciálneho vplyvu súčasnej verzie mikrokódu, a zákazníkom odporúčame, aby priebežne prehodnocovali svoje pokyny a pri rozhodovaní pracovali s aktuálnymi informáciami.


Zatiaľ čo spoločnosť Intel testuje, aktualizuje a nasadzuje nový mikrokód, sprístupňujeme ešte dnes aktualizáciu mimo pásma KB4078130, ktorá špecificky zakazuje iba nápravu chyby CVE-2017-5715 – „Branch target injection vulnerability“. Pri našich testoch sa zistilo, že táto aktualizácia zabraňuje popísanému správaniu.  Úplný zoznam zariadení nájdete v téme Pokyny spoločnosti Intel na revíziu mikrokódu.  Táto aktualizácia sa vzťahuje na Windows 7 (SP1), Windows 8.1 a všetky verzie Windowsu 10, klientske aj serverové. Ak používate ovplyvnené zariadenie, túto aktualizáciu môžete použiť tak, že ju stiahnete z webovej lokality Katalóg služby Microsoft Update.  Použitie tejto údajovej časti specificky zakazuje iba nápravu chyby CVE-2017-5715 – „Branch target injection vulnerability“. 


Od 25. januára nie sú známe žiadne správy, ktoré by naznačovali, že tento variant 2 chyby Spectre (CVE 2017-5715) bol použitý na útok na zákazníkov. Odporúčame zákazníkom používajúcim Windows, aby vo vhodných prípadoch znova povolili nápravu chyby CVE-2017-5715, keď spoločnosť Intel oznámi, že toto nepredvídateľné správanie systému bolo pre vaše zariadenie vyriešené.

Potrebujete ďalšiu pomoc?

Rozšírte svoje zručnosti
Preskúmať školenie
Buďte medzi prvými, ktorí získajú nové funkcie
Pripojiť k Microsoft insiderov chcú

Považujete poskytnuté informácie za užitočné?

Ďakujem za vaše pripomienky!

Ďakujeme vám za pripomienky. Pravdepodobne vám pomôže, ak vás spojíme s pracovníkom podpory pre Office.

×