Zaščitite svoje naprave s sistemom Windows pred grožnjama Spectre in Meltdown

V tem članku je obravnavan vpliv nedavno razkritih ranljivosti procesorjev, imenovanih »Spectre« in »Meltdown«, na uporabnike sistema Windows, prav tako pa so navedeni viri, s katerimi lahko poskrbite za zaščito svojih naprav doma, v službi in v podjetju.

Povzetek

Microsoft je seznanjen z novima ranljivostma v procesorjih, imenovanima »Spectre« in »Meltdown«. To sta novo odkrita razreda ranljivosti, ki temeljijo na skupni arhitekturi mikročipov, ki je bila v osnovi zasnovana za to, da pohitri delovanje računalnikov. Tehnično ime je »ranljivosti stranskega kanala zaradi špekulativnega izvajanja«. Več o teh ranljivostih lahko preberete na spletnem mestu Google Project Zero.

Na koga to vpliva?

To vpliva na mikročipe proizvajalcev Intel, AMD in ARM, kar pomeni, da so potencialno ranljive vse naprave z operacijskim sistemom Windows (npr. namizni in prenosni računalniki, strežniki za oblak ter pametni telefoni). To vpliva tudi na naprave z drugimi operacijskimi sistemi, kot so Android, Chrome, iOS in MacOS. Priporočamo, da uporabniki, ki uporabljajo te operacijske sisteme, nasvete poiščejo pri ponudnikih teh sistemov.

Do objave tega članka nismo prejeli nobenih informacij o tem, da so bile te ranljivosti uporabljene za napade na uporabnike.

Oblike zaščite, ki smo jih posredovali do današnjega dne

Po 3. januarju 2018 je Microsoft izdal več posodobitev, s katerimi je ublažil posledice teh ranljivosti in pomagal zaščititi uporabnike. Uvedli smo tudi posodobitve, s katerimi smo zavarovali naše storitve v oblaku ter brskalnika Internet Explorer in Microsoft Edge. Še naprej bomo sodelovali s partnerji v industrijski panogi, vključno z izdelovalci mikročipov, proizvajalci naprav in prodajalci aplikacij.

S katerimi ukrepi naj zaščitim svoje naprave?

Za odpravo te ranljivosti boste morali posodobiti tako strojno opremo kot tudi programsko opremo. To vključuje namestitev posodobitev vdelane programske opreme proizvajalcev naprav, v nekaterih primerih pa tudi posodobitev protivirusne programske opreme.

Če želite poskrbeti za vso razpoložljivo zaščito, sledite naslednjim korakom in pridobite najnovejše posodobitve tako za programsko kot tudi za strojno opremo:

Opomba

Preden začnete, preverite, ali je vaša protivirusna programska oprema posodobljena in združljiva. Na spletnem mestu proizvajalca protivirusne programske opreme poiščite njegove najnovejše informacije glede združljivosti.

  1. Poskrbite za redno nameščanje posodobitev v vašo napravo s sistemom Windows tako, da vklopite samodejne posodobitve.

  2. Preverite, ali je bila nameščena Microsoftova varnostna posodobitev operacijskega sistema Windows iz januarja 2018. Če je vklopljeno samodejno posodabljanje, se posodobitve praviloma samodejno prenesejo, vendar se še vedno raje prepričajte, da so nameščene. Če potrebujete navodila, glejte Windows Update: pogosta vprašanja

  3. Namestite razpoložljive posodobitve strojne opreme (vdelane programske opreme) proizvajalca naprave. Vsi uporabniki morajo od proizvajalca svoje naprave prenesti in namestiti posodobitev strojne opreme za svojo napravo. Spodaj najdete seznam spletnih mest proizvajalcev naprav.

    Opomba

    Uporabniki, ki namestijo samo Microsoftove varnostne posodobitve iz januarja 2018, ne bodo v celoti zaščiteni pred ranljivostmi. Najprej je treba namestiti posodobitve protivirusne programske opreme. Nato sledijo posodobitve operacijskega sistema in vdelane programske opreme.

Viri

Glede na svojo vlogo boste v spodnjih člankih podpore lahko prepoznali in posodobili odjemalska in strežniška okolja, na katere vplivata ranljivosti Spectre in Meltdown.

Microsoft Security Advisory: MSRC ADV180002

Intel: Security Advisory

ARM: Security Advisory

AMD: Security Advisory

NVIDIA: Security Advisory

Spletni dnevnik Microsoft Secure: Razumevanje vpliva rešitev za Spectre in Meltdown na učinkovitost delovanja v sistemih Windows

Navodila za uporabnike: Zaščitite svojo napravo pred varnostnimi ranljivostmi, povezanimi z mikročipi

Navodila za protivirusno zaščito: Varnostne posodobitve sistema Windows, izdane 3. januarja 2018, in protivirusna programska oprema

Navodila za blokado varnostnih posodobitev za operacijski sistem Windows za AMD: KB4073707: Blokada varnostnih posodobitev operacijskega sistema Windows za nekatere naprave s procesorji AMD

Posodobitev za onemogočanje odpravljanja ranljivosti Spectre različica 2: KB4078130: Intel je prepoznal težave s ponovnim zaganjanjem pri mikrokodi v nekaterih starejših procesorjih 
 

Navodila za Surface: Navodila za Surface za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja

Navodila za strokovnjake za IT: Navodila za odjemalec sistema Windows za strokovnjake za IT za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja

Spletni dnevnik za razvijalce brskalnika Edge: Preprečevanje napadov prek stranskega kanala zaradi špekulativnega izvajanja v brskalnikih Microsoft Edge in Internet Explorer

Navodila za strežnike: Navodila za strežnike s sistemom Windows za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja

Navodila za strežniški Hyper-V

Spletni dnevnik storitve Azure: Zaščita uporabnikov storitve Azure pred ranljivostjo CPE-ja

Zbirka znanja za Azure: KB4073235: Zaščita Microsoftovega oblaka pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja

Navodila za Azure Stack: KB4073418: Navodila za Azure Stack za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja

Navodila za SQL Server: KB4073225: Navodila za SQL Server za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja

Navodila za SCCM: Dodatna navodila za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja

Dodatni viri

Seznam proizvajalcev strojne opreme/strežniških naprav

Za posodobitve vdelane programske opreme se boste morali prek spodnjih povezav obrniti na proizvajalca vaše naprave. Za vso razpoložljivo zaščito boste morali namestiti tako posodobitve operacijskega sistema kot tudi posodobitve strojne opreme/vdelane programske opreme.

Proizvajalci strojne opreme

Povezava do razpoložljive mikrokode

Acer

https://us.answers.acer.com/app/answers/detail/a_id/53104

Asus

https://www.asus.com/News/YQ3Cr4OYKdZTwnQK

Dell

https://www.dell.com/support/meltdown-spectre

Epson

http://www.epsondirect.co.jp/support/information/2018/secure201801b.asp

Fujitsu

https://www.fujitsu.com/global/support/products/software/security/products-f/jvn-93823979e.html

HP

https://support.hp.com/document/c05869091

Lenovo

https://support.lenovo.com/us/en/solutions/len-18282

LG

https://www.lg.com/us/support

NEC

http://jpn.nec.com/security-info/av18-001.html

Panasonic

https://pc-dl.panasonic.co.jp/itn/vuln/g18-001.html

Samsung

https://www.samsung.com/us/support/

Surface

Navodila za Surface za zaščito pred ranljivostmi stranskega kanala zaradi špekulativnega izvajanja

Toshiba

http://go.toshiba.com/intel-side-channel

Vaio

https://solutions.vaio.com/3316

 

Proizvajalci strežniške strojne opreme

Povezava do razpoložljive mikrokode 

Dell

https://www.dell.com/support/meltdown-spectre

Fujitsu

http://www.fujitsu.com/global/support/products/software/security/products-f/jvn-93823979e.html

HPE

http://h22208.www2.hpe.com/eginfolib/securityalerts/SCAM/Side_Channel_Analysis_Method.html

Huawei

http://www.huawei.com/au/psirt/security-notices/huawei-sn-20180104-01-intel-en

Lenovo

https://support.lenovo.com/us/en/solutions/len-18282

Microsoft zagotavlja podatke za stik drugih ponudnikov za pomoč pri iskanju tehnične podpore. Ti podatki za stik se lahko spremenijo brez obvestila. Microsoft ne jamči za točnost teh podatkov za stik drugih ponudnikov.


 

 

Razpored posodobitev operacijskega sistema Windows v januarju 2018

Varnostne posodobitve, izdane januarja 2018, zagotavljajo ublažitev posledic za naprave, v katerih se izvajajo spodnji operacijski sistemi Windows z arhitekturo x64. Če želite več informacij, glejte pogosta vprašanja.

Izdane posodobitve izdelkov

Izdano

Datum izdaje

Kanal izdaje

KB

Windows 10 – različica 1709/Windows Server 2016 (1709)/IoT Core – posodobitev kakovosti

Izdano

3. januar

WU, WSUS, Katalog, Azure Image Gallery

KB4056892

Windows Server 2016 (1709) – vsebnik strežnika

Izdano

5. januar

Docker Hub

KB4056892

Windows 10 – različica 1703/IoT Core – posodobitev kakovosti

Izdano

3. januar

WU, WSUS, Katalog

KB4056891

Windows 10 – različica 1607/Windows Server 2016/IoT Core – posodobitev kakovosti

Izdano

3. januar

WU, WSUS, Katalog

KB4056890

Windows Server 2016 (1607) – slike vsebnika

Izdano

4. januar

Docker Hub

KB4056890

Windows 10 – različica 1511/IoT Core – posodobitev kakovosti

Izdano

3. januar

WU, WSUS, Katalog

KB4056888

Windows 10 – različica RTM – posodobitev kakovosti

Izdano

3. januar

WU, WSUS, Katalog

KB4056892

Windows 10 Mobile (graditev sistema 15254.192) – ARM

Izdano

5. januar

WU, Katalog

KB4073117

Windows 10 Mobile (graditev sistema 15063.850)

Izdano

5. januar

WU, Katalog

KB4056891

Windows 10 Mobile (graditev sistema 14393.2007)

Izdano

5. januar

WU, Katalog

KB4056890

Windows 10 HoloLens

Izdano

5. januar

WU, Katalog

KB4056890

Windows 8.1/Windows Server 2012 R2 – samo varnostna posodobitev

Izdano

3. januar

WSUS, Katalog

KB4056898

Windows Embedded 8.1 Industry Enterprise

Izdano

3. januar

WSUS, Katalog

KB4056898

Windows Embedded 8.1 Industry Pro

Izdano

3. januar

WSUS, Katalog

KB4056898

Windows Embedded 8.1 Pro

Izdano

3. januar

WSUS, Katalog

KB4056898

Windows 8.1/Windows Server 2012 R2 – mesečni paket posodobitev

Izdano

8. januar

WU, WSUS, Katalog

KB4056895

Windows Embedded 8.1 Industry Enterprise

Izdano

8. januar

WU, WSUS, Katalog

KB4056895

Windows Embedded 8.1 Industry Pro

Izdano

8. januar

WU, WSUS, Katalog

KB4056895

Windows Embedded 8.1 Pro

Izdano

8. januar

WU, WSUS, Katalog

KB4056895

Windows Server 2012 – samo varnostna posodobitev

Kmalu na voljo

 

WSUS, Katalog

 

Windows Server 2008 s servisnim paketom SP2

Kmalu na voljo

 

WU, WSUS, Katalog

 

Windows Server 2012 – mesečni paket posodobitev

Kmalu na voljo

 

WU, WSUS, Katalog

 

Windows Embedded 8 Standard

Kmalu na voljo

 

 

 

 

Windows 7 SP1/Windows Server 2008 R2 SP1 – samo varnostna posodobitev

Izdano

3. januar

WSUS, Katalog

KB4056897

Windows Embedded Standard 7

Izdano

3. januar

WSUS, Katalog

KB4056897

Windows Embedded POSReady 7

Izdano

3. januar

WSUS, Katalog

KB4056897

Windows Thin PC

Izdano

3. januar

WSUS, Katalog

KB4056897

Windows 7 SP1/Windows Server 2008 R2 SP1 – mesečni paket posodobitev

Izdano

4. januar

WU, WSUS, Katalog

KB4056894

Windows Embedded Standard 7

Izdano

4. januar

WU, WSUS, Katalog

KB4056894

Windows Embedded POSReady 7

Izdano

4. januar

WU, WSUS, Katalog

KB4056894

Windows Thin PC

Izdano

4. januar

WU, WSUS, Katalog

KB4056894

 

Internet Explorer 11 – zbirna posodobitev za Windows 7 SP1 in Windows 8.1

Izdano

3. januar

WU, WSUS, Katalog

KB4056568

Pogosta vprašanja

 

Za posodobitve vdelane programske opreme se boste morali obrniti na proizvajalca vaše naprave. Če proizvajalec naprave ni naveden v tabeli, se obrnite neposredno na proizvajalca strojne opreme.

Posodobitve za naprave Microsoft Surface bodo uporabnikom dostavljene prek storitve Windows Update. Če želite več informacij, glejte KB 4073065.

Če vaša naprava ni Microsoftova, uporabite vdelano programsko opremo proizvajalca naprave. Če želite več informacij, se obrnite na proizvajalca vaše naprave.

Odpravljanje ranljivosti strojne opreme s posodobitvijo programske opreme predstavlja velike izzive in ublažitve posledic za starejše operacijske sistema lahko zahtevajo velike arhitekturne spremembe. Še naprej sodelujemo s proizvajalci mikročipov, na katere težava vpliva, in raziskujemo najboljši način za zagotavljanje ublažitev posledic, ki bodo morda na voljo v eni od prihodnjih posodobitev. Zamenjava starejših naprav, v katerih se izvajajo ti starejši operacijski sistemi, skupaj s posodobitvijo protivirusne programske opreme bi morala odpraviti preostalo tveganje.

Opomba

  • Izdelki, ki so trenutno zunaj osnovne in razširjene podpore, ne bodo prejeli teh posodobitev operacijskega sistema. Priporočamo, da uporabniki opravijo posodobitev na podprto različico operacijskega sistema.

  • Za te platforme ne bomo izdajali posodobitev:

    • operacijski sistemi Windows, za katere podpora trenutno ni na voljo oz. ki bodo ukinjeni leta 2018

    • sistemi, ki temeljijo na sistemu Windows XP, vključno z WES 2009, POSReady 2009

Čeprav ranljivost vpliva na sisteme, ki temeljijo na sistemu Windows XP, Microsoft ne bo izdal posodobitve zanje, saj bi zahtevana popolna sprememba arhitekture ogrozila stabilnost sistema in povzročila težave z združljivostjo aplikacij. Priporočamo, da uporabniki, ki jih skrbi varnost, izvedejo nadgradnjo na novejši podprt sistem in ostanejo v koraku s spreminjajočim se stanjem na področju varnostnih groženj, hkrati pa izkoristijo odpornejše načine zaščite, ki jih zagotavljajo novejši operacijski sistemi.

Ko namestite Microsoftovo januarsko varnostno posodobitev, morate namestiti tudi posodobitve vdelane programske opreme proizvajalca naprave. Te posodobitve bi morale biti na voljo na spletnem mestu proizvajalca vaše naprave. Najprej je treba namestiti posodobitve protivirusne programske opreme. Posodobitve operacijskega sistema in vdelane programske opreme je mogoče namestiti v poljubnem vrstnem redu.

Za odpravo te ranljivosti boste morali posodobiti tako strojno opremo kot tudi programsko opremo. Za celovitejšo zaščito boste prav tako morali namestiti ustrezne posodobitve vdelane programske opreme proizvajalca vaše naprave.

Z vsako posodobitvijo funkcij sistema Windows 10 najnovejšo varnostno tehnologijo vgradimo globoko v operacijski sistem, s čimer zagotavljamo funkcije za obrambo v globini, ki celotnim razredom zlonamerne programske opreme preprečujejo, da bi vplivali na vašo napravo. Izdaje posodobitev funkcij so predvidene dvakrat letno. Z vsako mesečno posodobitvijo kakovosti dodamo novo raven varnosti, ki spremlja nastajajoče in spreminjajoče se trende na področju zlonamerne programske opreme, tako da so posodobljeni sistemi v luči spreminjajočih in razvijajočih se groženj varnejši.

Microsoft tesno sodeluje s partnerji za protivirusno programsko opremo, na katere to vpliva, in poskuša zagotoviti, da bodo vsi uporabniki čim prej prejeli januarske varnostne posodobitve sistema Windows. Če uporabnikom januarske varnostne posodobitve niso ponujene, Microsoft priporoča, da se obrnejo neposredno na svojega ponudnika protivirusnih rešitev. Priporočila:

  • Poskrbite za to, da bodo vaše naprave posodobljene z najnovejšimi Microsoftovimi varnostnimi posodobitvami in varnostnimi posodobitvami proizvajalca vaše strojne opreme. Če želite več informacij o tem, kako redno posodabljati napravo, glejte Windows Update: pogosta vprašanja.

  • Še naprej bodite razumno pozorni pri uporabi spletnih mest neznanega izvora in se ne zadržujte na spletnih mestih, ki jim ne zaupate. Microsoft vsem uporabnikom priporoča, da svoje naprave zaščitijo z izvajanjem podprtega protivirusnega programa. Uporabniki lahko izkoristijo tudi vgrajeno protivirusno zaščito: Windows Defender za naprave s sistemom Windows 10 ali Microsoft Security Essentials za naprave s sistemom Windows 7. Ti rešitvi sta združljivi v primerih, ko uporabniki ne morajo namestiti ali zagnati protivirusne programske opreme.

Da varnostne posodobitve sistema Windows, ki so bile izdane 3. januarja 2018, ne bi negativno vplivale na naprave uporabnikov, niso bile ponujene vsem uporabnikom. Za podrobnosti glejte naslednje: članek 4072699 iz Microsoftove zbirka znanja in članek 4073707 iz Microsoftove zbirke znanja

Intel je prijavil težave z nedavno izdano mikrokodo, ki je namenjena odpravi težave Spectre različica 2 (CVE 2017-5715 Branch Target Injection) – natančneje je Intel opazil, da lahko ta mikrokoda povzroči »višje število ponovnih zagonov kot običajno in druge oblike nepredvidljivega vedenja sistema«, nato pa dodal, da lahko takšne situacije privedejo do »izgube ali poškodbe podatkov«. Po naših izkušnjah lahko nestabilnost sistema v nekaterih primerih povzroči izgubo ali poškodbo podatkov.  22. januarja je Intel svojim strankam svetoval, naj prenehajo uvajati trenutno različico mikrokode v prizadetih procesorjih, dokler Intel ne odpravi dodatnega testiranja na posodobljeni rešitvi.  Zavedamo se, da Intel še naprej preiskuje potencialni vpliv trenutne različice mikrokode in spodbuja svoje stranke, da redno pregledujejo navodila in posledično lažje sprejemajo pametne odločitve.


Medtem ko Intel testira, posodablja in uvaja novo mikrokodo, danes dajemo na voljo posebno posodobitev KB4078130, ki posebej onemogoča samo odpravljanje ranljivosti CVE-2017-5715 – “Branch target injection vulnerability.” Glede na rezultate našega testiranja ta posodobitev preprečuje opisano vedenje.  Za celoten seznam naprav glejte Intelova navodila za revizijo mikrokode.  Ta posodobitev pokriva Windows 7 (SP1), Windows 8.1 in vse različice sistema Windows 10, tako odjemalske kot tudi strežniške. Če uporabljate prizadeto napravo, lahko to posodobitev namestite tako, da jo prenesete s spletnega mesta kataloga Microsoft Update.  Uporaba te koristne vsebine posebej onemogoča samo odpravljanje ranljivosti CVE-2017-5715 – “Branch target injection vulnerability.” 


Do 25. januarja nismo prejeli nobene prijave o tem, da bi ste Spectre različica 2 (CVE 2017-5715 ) uporabil za napad na stranke. Uporabnikom sistema Windows priporočamo, da ko bo to primerno, znova omogočijo odpravljanje ranljivosti CVE-2017-5715, ko bo Intel sporočil, da je to nepredvidljivo vedenje sistema za vašo napravo odpravljeno.

Ali potrebujete dodatno pomoč?

Razširite svoja znanja
Oglejte si izobraževanje
Prvi dobite nove funkcije
Pridruži se Microsoftu programa Insider

Vam je bila informacija v pomoč?

Zahvaljujemo se vam za povratne informacije.

Zahvaljujemo se vam za povratne informacije. Videti je, da bi vam prišla prav pomoč enega od naših Officeovih agentov za podporo.

×