Ochrana zariadenia pred ohrozeniami zabezpečenia čipov

Medzi postihnuté čipy patria čipy vyrábané spoločnosťami Intel a ARM, čo znamená, že verzie operačného systému Windows a Windows Server môžu byť ohrozené. Aktualizácie zabezpečenia vydané 3. januára 2018 obmedzujú riziká pri zariadeniach používajúcich tieto operačné systémy Windows s procesorom typu x64:

o   Windows 7 Service Pack 1

o   Windows 8.1

o   Windows 10 (pôvodná verzia vydaná v júli 2015)

o   Windows Server 2008 R2

o   Windows Server 2012 R2

o   Windows Server 2016

Aktualizácie zabezpečenia vydané 13. februára 2018 obmedzujú riziká pri zariadeniach používajúcich tieto operačné systémy Windows s procesorom typu x64:

o   Windows 10 verzia 1709

o   Windows 10 verzia 1703

o   Windows 10 verzia 1607

o   Windows 10 verzia 1511

o   Windows 10, pôvodná verzia vydaná v júli 2015

Riešenie nedostatočného hardvéru aktualizáciou softvéru predstavuje pre staršie operačné systémy významné problémy a môže vyžadovať rozsiahle zmeny architektúry. Pokračujeme v práci s výrobcami ohrozených čipov a hľadáme najlepší spôsob, ako zamedziť rizikám, ktoré môžu byť súčasťou budúcich aktualizácií. Zostávajúce riziko by mala vyriešiť výmena starších zariadení používajúcich staršie operačné systémy spolu s aktualizáciou antivírusového softvéru.

Zákazníci by si mali inštalovať najnovšie aktualizácie zabezpečenia operačného systému Windows od spoločnosti Microsoft, aby využívali dostupné ochrany. Musíte nainštalovať aj príslušné aktualizácie firmvéru od výrobcu zariadenia. Tieto aktualizácie firmvéru by mali byť k dispozícii na webovej lokalite výrobcu zariadenia. Najskôr si však nainštalujte aktualizácie antivírusového softvéru. Aktualizácie operačného systému a firmvéru možno nainštalovať v ľubovoľnom poradí. Odporúčame aktualizovať svoje zariadenia nainštalovaním mesačných aktualizácií zabezpečenia Windowsu.  

Na odstránenie tohto rizika budete musieť aktualizovať hardvér aj softvér. Ak chcete zabezpečiť ešte komplexnejšiu ochranu, musíte nainštalovať aj príslušné aktualizácie firmvéru od výrobcu zariadenia. Odporúčame vám udržiavať svoje zariadenia aktualizované a zabezpečené inštaláciou aktualizácií zabezpečenia každý mesiac.

Aktualizácie firmvéru skontrolujte u výrobcu zariadenia. Ďalšie informácie nájdete v tabuľke v článku KB 4073757.

Aktualizácie pre zariadenia Microsoft Surface sa budú distribuovať zákazníkom prostredníctvom lokality Windows Update. Ďalšie informácie nájdete v položke KB 4073065.

V každej aktualizácii funkcií Windowsu 10 hlboko vytvárame najnovšiu technológiu zabezpečenia do operačného systému, pričom poskytujeme hĺbkové funkcie na ochranu pred bezpečnostnými hrozbami, ktoré zabránia, aby vaše zariadenie ovplyvnili celé triedy malvéru.   Aktualizácie funkcií sú vydávané dvakrát ročne. V každej mesačnej aktualizácii pridávame ďalšiu vrstvu zabezpečenia, ktorá sleduje nové a meniace sa trendy malvéru, aby boli aktuálne systémy bezpečnejšie tvárou v tvár meniacim sa a vyvíjajúcim sa hrozbám.

Odporúčania:

• Skontrolujte, či vaše zariadenia sú aktualizované najnovšími aktualizáciami zabezpečenia od spoločnosti Microsoft a od výrobcu hardvéru. Ďalšie informácie o aktualizovaní Windowsu nájdete v téme Windows Update: Najčastejšie otázky.

• Naďalej postupujte obozretne pri návšteve webových lokalít neznámeho pôvodu a nezotrvávajte na lokalitách, ktorým nedôverujete. Spoločnosť Microsoft odporúča všetkým zákazníkom chrániť svoje zariadenia používaním podporovaného antivírusového programu. Zákazníci môžu využívať vstavanú ochranu pred vírusmi: Windows Zabezpečenie pre zariadenia s Windowsom 10 (alebo Centrum zabezpečenia v programe Windows Defender v predchádzajúcich verziách Windowsu 10) alebo Microsoft Security Essentials pre zariadenia s Windowsom 7. 

Podnikli sme kroky na ochranu zákazníkov, ktorí používajú prehliadače od Microsoftu a v budúcich aktualizáciách budeme tieto opatrenia aj naďalej zlepšovať. Vyzývame našich zákazníkov, aby si pestovali dobré počítačové návyky online, vrátane obozretnosti pri klikaní na prepojenia na webové stránky, otváraní neznámych súborov alebo prijímania prenosov súborov.

Ak vaše zariadenie používa antivírusový softvér, o ktorom nie je známe, že je kompatibilný s aktualizáciou, aktualizácia sa nenainštaluje. Takže ak máte problémy s inštaláciou aktualizácie, najskôr sa obráťte na výrobcu antivírusového softvéru a zistite, či vami používaný antivírusový softvér bol aktualizovaný. Aktualizácia sa nedá nainštalovať do zariadení, ktoré majú nekompatibilný antivírusový softvér.

Môžete tiež vyskúšať tieto tipy na riešenie problémov so službyWindows Update.

Spoločnosť Intel hlásila problémy s nedávno vydaným mikrokódom určeným na riešenie problému s variantom Spectre 2 (CVE 2017-5715 Branch Target Injection) – konkrétne Intel, že tento mikrokód môže spôsobiť"vyššie, ako sa očakávalo, reštartovanie a iné nepredvídateľné správanie systému " a potom si poznačte, že situácie, ako je táto, môžu mať za následokstratuúdajov alebo poškodenie.  S našimi vlastnými skúsenosťami je, že nestabilita systému môže v niektorých prípadoch spôsobiť stratu údajov alebo poškodenie.  22. januára 2018 spoločnosť Intel odporúčala zákazníkom prestať nasadzovať aktuálnu verziu mikrokódu na o vplyvných procesoroch, zatiaľ čo vykonávajú ďalšie testovanie aktualizovaného riešenia.  Chápeme, že spoločnosť Intel pokračuje v skúmaní potenciálneho vplyvu súčasnej verzie mikrokódu, a zákazníkom odporúčame, aby priebežne prehodnocovali svoje pokyny a pri rozhodovaní pracovali s aktuálnymi informáciami.

Kým Intel testuje, aktualizuje a nasadzuje nový kód microcode, k dispozícii je už pásmová aktualizácia KB4078130,ktorá konkrétne zakáže len obmedzenie cve-2017-5715 – "problém s aplikáciou na vytváranie vetvy.  Pri testovaní sa zistilo, že táto aktualizácia bráni správaniu opísanému v tomto texte. Táto aktualizácia sa vzťahuje na Windows 7 (SP1), Windows 8.1 a všetky verzie Windowsu 10, klientske aj serverové. Ak používate o niečo ovplyvniť zariadenie, túto aktualizáciu môžete použiť stiahnutím z webovej lokality katalóguslužby Microsoft Update.  Použitie tejto údajovej časti specificky zakazuje iba nápravu chyby CVE-2017-5715 – „Branch target injection vulnerability“. 

Od 25. januára 2018 neexistujú žiadne známe zostavy, ktoré by naznačovať, že tento typ 2 (CVE 2017-5715) bol použitý na útok zákazníkov. Odporúčame zákazníkom používajúcim Windows, aby vo vhodných prípadoch znova povolili nápravu chyby CVE-2017-5715, keď spoločnosť Intel oznámi, že toto nepredvídateľné správanie systému bolo pre vaše zariadenie vyriešené.

Vo februári 2018 Intel oznámili, že dokončili svoje overovanie a začali s vydaním mikrokódu pre novšie platformy procesora. Spoločnosť Microsoft sprístupňuje aktualizované mikrokódy spoločnosti Intel týkajúce sa variantu 2 chyby Spectre [CVE 2017-5715 ("Branch Target Injection")]. V článkoch KB4093836 a KB4100347 sú uvedené konkrétne články databázy Knowledge Base rozdelené podľa verzií Windowsu. Každý konkrétny článok KB obsahuje dostupné aktualizácie mikrokódu Intel rozdelené podľa procesora.

Od 17. mája 2018 spoločnosť Microsoft sprístupňuje aktualizácie overených mikrokódov Intel pre Spectre Variant 2 (CVE 2017-5715, Vloženie cieľa vetvy) v zariadeniach inovovaných na aktualizáciu Windowsu 10 z apríla 2018. Ak chcú zákazníci získať najnovšie aktualizácie mikrokódov Intel prostredníctvom služby Windows Update, musia mať nainštalovaný mikrokód Intel v zariadeniach s operačným systémom Windows 10 ešte pred inováciou na aktualizáciu Windowsu 10 z apríla 2018 (verzia 1803). 
Aktualizácia mikrokódu je k dispozícii aj priamo v katalógu, ak nebola v zariadení nainštalovaná pred inováciou operačného systému.  Mikrokód Intel je k dispozícii prostredníctvom služby Windows Update, WSUS alebo Katalógu služby Microsoft Update.  Ďalšie informácie a pokyny na stiahnutie nájdete v článku KB4100347.