Захист пристроїв Windows від вразливостей Spectre і Meltdown

Застосовується до: Windows 10Windows 10 MobileWindows 8.1 Докладно

У цій статті розглядається вплив нещодавно виявлених вразливостей процесора, названих "Spectre" і "Meltdown", на користувачів Windows і надаються ресурси для захисту пристроїв удома, на роботі та на вашому підприємстві.

Зведення

Корпорації Майкрософт відомо про нещодавно виявлені вразливості в процесорах, які назвали "Spectre" і "Meltdown". Це нововиявлений класс вразливостей на основі поширеної архітектури мікросхем, яку спочатку при розробці було створено для прискорення роботи комп’ютерів. Їх технічна назва "вразливості стороннього каналу спекулятивного виконання". Ви можете дізнатися більше про ці вразливості на сторінці Google Project Zero.

Кого це стосується?

До уражених мікросхем відносяться мікросхеми виробництва Intel, AMD і ARM, що обумовлює потенційну вразливість всіх пристроїв, які працюють під керівництвом операційних систем Windows (зокрема, ПК, ноутбуків, хмарних серверів та смартфонів). Пристроїв під керуванням інших операційних систем (наприклад, Android, Chrome, iOS і MacOS) це також стосується. Радимо користувачам, які використовують ці операційні системи, звернутися за рекомендаціями до їх постачальників.

На час цієї публікації ми не отримали жодної інформації для з’ясування, чи ці вразливості було використано для атаки на користувачів.

Захист, який надається на цей час

З 3 січня 2018 року корпорація Майкрософт випустила кілька оновлень, які допомагають мінімізувати ризик від цих вразливостей та захистити користувачів. Ми також розгорнули оновлення для захисту наших хмарних служб та браузерів Internet Explorer і Microsoft Edge. Ми продовжуємо тісно співпрацювати з партнерами в галузі, зокрема виробниками мікросхем і пристроїв, а також постачальниками програм.

Які заходи слід вжити для захисту моїх пристроїв?

Задля усунення цієї вразливості знадобиться оновити апаратне та програмне забезпечення. Це також стосується оновлень мікропрограм від виробників пристроїв і, в деяких випадках, оновлень антивірусного програмного забезпечення.

Для максимального захисту пристроїв та програм виконайте наступні дії, щоб отримати останні оновлення для програмного і апаратного забезпечення.

  1. Забезпечте регулярне оновлення свого пристрою Windows, увімкнувши автоматичне оновлення.
  2. Переконайтеся, що встановлено оновлення системи безпеки для операційної системи Windows за січень 2018 р. від корпорації Майкрософт. Якщо в вас увімкнуто автоматичне оновлення, його було встановлено автоматично, але все одно слід перевірити його наявність. Докладніше про те, як це зробити див. у розділі Windows Update: запитання й відповіді
  3. Інсталюйте доступні оновлення апаратного забезпечення (мікропрограм) від виробника пристрою. Усім користувачам знадобиться звернутися до виробника пристрою, щоб завантажити та інсталювати оновлення апаратного забезпечення саме для вашого пристрою. Нижче наведено список веб-сайтів виробників пристроїв

Ресурси


Залежно від вашої ролі наступні статті служби підтримки допоможуть вам визначити та мінімізувати ризики для клієнтських та серверних середовищ, на які впливають вразливості Spectre and Meltdown.

Microsoft Security Advisory: MSRC ADV180002

Intel: Security Advisory

ARM: Security Advisory

AMD: Security Advisory

NVIDIA: Security Advisory

Блог Безпека Microsoft: Основні відомості про вплив на продуктивність мінімізації ризиків від Spectre і Meltdown в системах Windows

Рекомендації для користувачів: Захист пристрою від уразливостей системи безпеки, пов’язаних із мікросхемами

Рекомендації з антивірусного програмного забезпечення: Оновлення системи безпеки Windows, випущеного 3 січня 2018 року та антивірусне програмне забезпечення

Рекомендації щодо блокування оновлення системи безпеки ОС Windows для AMD: KB4073707: блокування оновлення системи безпеки ОС Windows для деяких пристроїв на базі AMD

Оновлення з метою вимкнення засобу захисту від Spectre, варіант 2: KB4078130: компанія Intel виявила проблеми перезавантаження, пов’язані з мікрокомандою, на деяких старих процесорах 
 

Рекомендації для Surface: рекомендації для Surface щодо захисту від вразливостей стороннього каналу спекулятивного виконання

Рекомендації для ІТ-спеціалістів: Рекомендації для клієнта Windows щодо захисту від вразливостей стороннього каналу спекулятивного виконання для ІТ-спеціалістів

Блог розробників Microsoft Edge: Мінімізація ризиків атак стороннього каналу спекулятивного виконання в Microsoft Edge і Internet Explorer

Рекомендації для серверів: Рекомендації для Windows Server щодо захисту від вразливостей стороннього каналу спекулятивного виконання.

Рекомендації для Hyper-V Server

Блог Azure: Захист користувачів Azure від вразливості ЦП

KB Azure: KB4073235: захист Microsoft Cloud від вразливостей стороннього каналу спекулятивного виконання

Рекомендації щодо Azure Stack: KB4073418: рекомендації для Azure Stack щодо захисту від вразливостей стороннього каналу спекулятивного виконання

Рекомендації для SQL Server: KB4073225: рекомендації для SQL Server щодо захисту від вразливостей стороннього каналу спекулятивного виконання

Рекомендації для SCCM: Додаткові рекомендації для мінімізації ризиків від вразливостей стороннього каналу спекулятивного виконання

Додаткові ресурси


Перелік виробників пристроїв та серверного обладнання

Скористайтеся посиланнями нижче, щоб звернутися до виробника пристрою для отримання оновлень мікропрограм. Потрібно інсталювати оновлення для операційної системи та апаратного забезпечення (мікропрограм) для максимального доступного захисту.

Виробники пристроїв

Посилання на доступність мікрокоманд

Acer https://us.answers.acer.com/app/answers/detail/a_id/53104
Asus https://www.asus.com/News/YQ3Cr4OYKdZTwnQK

Dell

https://www.dell.com/support/meltdown-spectre

Epson http://www.epsondirect.co.jp/support/information/2018/secure201801b.asp
Fujitsu

HP

https://support.hp.com/document/c05869091

Lenovo

https://support.lenovo.com/us/en/solutions/len-18282

LG

https://www.lg.com/us/support

NEC http://jpn.nec.com/security-info/av18-001.html

Panasonic

https://pc-dl.panasonic.co.jp/itn/vuln/g18-001.html

Samsung

https://www.samsung.com/us/support/

Surface

Рекомендації для Surface щодо захисту від вразливостей стороннього каналу спекулятивного виконання

Toshiba

http://go.toshiba.com/intel-side-channel

Vaio

https://solutions.vaio.com/3316

 

Виробники обладнання для серверів

Посилання на доступність мікрокоманд 

Dell

https://www.dell.com/support/meltdown-spectre

Fujitsu http://www.fujitsu.com/global/support/products/software/security/products-f/jvn-93823979e.html

HPE

http://h22208.www2.hpe.com/eginfolib/securityalerts/SCAM/Side_Channel_Analysis_Method.html

Huawei http://www.huawei.com/au/psirt/security-notices/huawei-sn-20180104-01-intel-en

Lenovo

https://support.lenovo.com/us/en/solutions/len-18282

Корпорація Майкрософт надає контактну інформацію сторонніх виробників, щоб допомогти вам отримати технічну підтримку. Ці відомості можуть змінюватися без попередження. Майкрософт не гарантує точність цієї контактної інформації сторонніх виробників.
 

 

Планування оновлення операційної системи Windows у січні 2018 р.

Завдяки оновленням системи безпеки, випущеним у січні 2018 р., послаблюються ризики для пристроїв під керуванням наведених далі операційних систем Windows на базі x64-процесорів. Додаткову інформацію див. на сторінці Запитання й відповіді.

Випущене оновлення продукту

Випущено

Дата випуску

Канал випуску

KB

Windows 10 – версія 1709 / Windows Server 2016 (1709) / IoT Core – покращення

Випущено

З січня

WU, WSUS, каталог, колекція зображень Azure

KB4056892

Windows Server 2016 (1709) – контейнер сервера

Випущено

5 січня

Центр Docker

KB4056892

Windows 10 версії 1703 / IoT Core – покращення

Випущено

3 січня

WU, WSUS, каталог

KB4056891

Windows 10 версії 1607 / Windows Server 2016 / IoT Core – покращення

Випущено

3 січня

WU, WSUS, каталог

KB4056890

Windows Server 2016 (1607) – зображення контейнера

Випущено

4 січня

Центр Docker

KB4056890

Windows 10 версії 1511 / IoT Core – покращення

Випущено

3 січня

WU, WSUS, каталог

KB4056888

Windows 10 версії RTM – покращення

Випущено

3 січня

WU, WSUS, каталог

KB4056893

Windows 10 Mobile (збірка ОС 15254.192) – ARM

Випущено

5 січня

WU, каталог

KB4073117

Windows 10 Mobile (збірка ОС 15063.850)

Випущено

5 січня

WU, каталог

KB4056891

Windows 10 Mobile (збірка ОС 14393.2007)

Випущено

5 січня

WU, каталог

KB4056890

Windows 10 HoloLens

Випущено

5 січня

WU, каталог

KB4056890

Windows 8.1 і Windows Server 2012 R2 – оновлення системи безпеки

Випущено

3 січня

WSUS, каталог

KB4056898

Windows Embedded 8.1 Industry Enterprise

Випущено

3 січня

WSUS, каталог

KB4056898

Windows Embedded 8.1 Industry Pro

Випущено

3 січня

WSUS, каталог

KB4056898

Windows Embedded 8.1 Pro

Випущено

3 січня

WSUS, каталог

KB4056898

Windows 8.1 або Windows Server 2012 R2 – щомісячне зведене оновлення

Випущено

8 січня

WU, WSUS, каталог

KB4056895

Windows Embedded 8.1 Industry Enterprise

Випущено

8 січня

WU, WSUS, каталог

KB4056895

Windows Embedded 8.1 Industry Pro

Випущено

8 січня

WU, WSUS, каталог

KB4056895

Windows Embedded 8.1 Pro

Випущено

8 січня

WU, WSUS, каталог

KB4056895

Оновлення системи безпеки для Windows Server 2012

Очікується

 

WSUS, каталог

 

Windows Server 2008 SP2

Очікується

 

WU, WSUS, каталог

 

Щомісячне зведене оновлення для Windows Server 2012

Очікується

 

WU, WSUS, каталог

 

Windows Embedded 8 Standard

Очікується

 

 

 

 

Windows 7 із пакетом оновлень 1 (SP1) і Windows Server 2008 R2 з пакетом оновлень 1 (SP1) – тільки оновлення системи безпеки

Випущено

3 січня

WSUS, каталог

KB4056897

Windows Embedded Standard 7

Випущено

3 січня

WSUS, каталог

KB4056897

Windows Embedded POSReady 7

Випущено

3 січня

WSUS, каталог

KB4056897

Windows Thin PC

Випущено

3 січня

WSUS, каталог

KB4056897

Windows 7 із пакетом оновлень 1 (SP1) або Windows Server 2008 R2 з пакетом оновлень 1 (SP1) – щомісячне зведене оновлення

Випущено

4 січня

WU, WSUS, каталог

KB4056894

Windows Embedded Standard 7

Випущено

4 січня

WU, WSUS, каталог

KB4056894

Windows Embedded POSReady 7

Випущено

4 січня

WU, WSUS, каталог

KB4056894

Windows Thin PC

Випущено

4 січня

WU, WSUS, каталог

KB4056894

 

Internet Explorer 11 – сукупне оновлення для Windows 7 із пакетом оновлень 1 (SP1) і Windows 8.1

Випущено

3 січня

WU, WSUS, каталог

KB4056568

Запитання й відповіді