Tóm tắt
Microsoft đã biết một tầng lớp mới tiết lộ công khai các lỗ hổng được gọi là "suy thực thi bên kênh tấn công" ảnh hưởng đến nhiều bộ xử lý hiện đại và hệ điều hành, bao gồm Intel, AMD, và ARM.
Chú ý Sự cố này cũng ảnh hưởng đến hệ thống khác như Android, iOS, Chrome và MacOS, do đó, chúng tôi khuyên khách hàng tìm kiếm hướng dẫn từ các nhà cung cấp.
Chúng tôi đã phát hành một số bản Cập Nhật để giúp giảm thiểu các điểm yếu. Chúng tôi cũng đã thực hiện hành động để đảm bảo các dịch vụ đám mây. Xem các phần sau đây để biết thêm chi tiết.
Chúng tôi đã không được nhận bất kỳ thông tin nào để cho biết rằng các lỗ hổng đã được sử dụng để tấn công khách hàng. Chúng tôi đang làm việc chặt chẽ với đối tác trong ngành bao gồm các nhà sản xuất chip, phần cứng OEM và nhà cung cấp ứng dụng bảo vệ khách hàng. Để bảo vệ có tất cả, bản cập nhật phần cứng/phần mềm và phần mềm được yêu cầu. Điều này bao gồm vi từ thiết bị OEM, và trong một số trường hợp, Cập nhật phần mềm chống virus.Microsoft Security ADV180002 tư vấn.
Để biết thêm chi tiết về các lỗ hổng, hãy xemNền tảng phân tích hệ thống cụ thể
Mặc dù hệ thống nền tảng phân tích (ứng) chạy trên các phiên bản bị ảnh hưởng của Microsoft SQL Server 2014 và SQL Server 2016, như đã nêu trong liên quan đến bài viết cơ sở kiến thức SQL Server, ứng hỗ trợ bất kỳ tính năng cho phép người dùng mã trực tiếp chạy trên máy thiết bị.
ỨNG hiện không sử dụng sau đây:
-
Hệ thống SQL CLR
-
Gói R và Python chạy qua cơ chế tập lệnh bên ngoài hoặc độc lập R/máy học Studio trên cùng một máy vật lý với ứng
-
Khả năng mở rộng SQL Agent chỉ chạy trên máy tính vật lý tương tự như ứng (ActiveX kịch bản)
-
Microsoft hoặc không phải Microsoft OLE DB nhà cung cấp được sử dụng trên các máy chủ được liên kết trong đó ứng nguồn
-
Microsoft hoặc Microsoft mở rộng thủ tục được lưu trữ
Tất cả phần mềm bị hạn chế cài đặt trên thiết bị trừ khi chấp thuận của nhóm sản phẩm Microsoft APS.
Lưu ý Có thể cho những người có quyền truy cập vào các thiết bị để cài đặt phần mềm độc hại trên các thiết bị mà không có sự cho phép của Microsoft.
Khuyến nghị
Chúng tôi khuyến nghị khách hàng cài đặt bảo mật hotfix mới nhất của hệ điều hành Windows bằng cách sử dụng WSUS. Để biết thêm thông tin, hãy xem:
Windows Server Hướng dẫn để bảo vệ khỏi suy thực thi bên kênh lỗ hổng
Lưu ý Nếu bạn đang chạy phần mềm chống vi-rút, xem KB 4056898 trước khi bạn cài đặt bản Cập Nhật.
Khách hàng đang chạy phiên bản phần mềm ứng hơn V2 AU4 nên nâng cấp lên phiên bản mới nhất của ứng. Khách hàng đang chạy HDInsight ứng nên đợi AU4 hotfix, như đã nêu dưới đây.
Nhóm Microsoft APS tiếp tục điều tra vấn đề này. Mặc dù tác động đến ứng tối thiểu, nhóm ứng sẽ phát hành bản sửa lỗi liên quan đến Microsoft SQL Server sau.
Dates:
APS2016-Target hotfix là ngày 2018.
AU5- được xác định
AU4 - được xác định
Hoạt động tư vấn
Chúng tôi tiếp tục đánh giá hiệu suất vá nhị phân. Tuy nhiên, khi xuất bản bài viết này, chúng tôi đã không được xác thực ứng hoạt động với tất cả các bản vá lỗi vi. Khách hàng nên đánh giá hiệu suất của các ứng dụng cụ thể khi áp dụng bản vá lỗi. Xác thực ảnh hưởng đến hiệu năng tạo điều kiện cho vi thay đổi trước khi triển khai các thay đổi thành một môi trường sản xuất.
Chúng tôi sẽ cập nhật phần này với thông tin khi có sẵn.