KB4073757: Bảo vệ thiết bị Windows chống lại lỗ hổng thực thi suy đoán phía kênh dựa trên silicon

Thay đổi ngày	Thay đổi mô tả
Ngày 9 tháng 8 năm 2023	Đã loại bỏ nội dung về CVE-2022-23816 vì số CVE không được sử dụng Đã loại bỏ chủ đề trùng lặp có tiêu đề "Bản cập nhật vi mã Intel" trong phần "Các bước giúp bảo vệ thiết bị Windows của bạn"
Ngày 9 tháng 4 năm 2024	Đã thêm CVE-2022-0001 | Intel Branch History Injection

Bạn có thể phải cập nhật cả vi chương trình (vi mã) và phần mềm của mình để khắc phục các lỗ hổng này. Vui lòng tham khảo Tư vấn Bảo mật của Microsoft để biết các hành động được đề xuất. Điều này bao gồm các bản cập nhật vi chương trình (vi mã) hiện hành từ nhà sản xuất thiết bị và trong một số trường hợp là các bản cập nhật cho phần mềm chống vi rút của bạn. Bạn nên duy trì cập nhật cho thiết bị của mình bằng cách cài đặt bản cập nhật bảo mật hàng tháng. 

Để nhận được tất cả các tính năng bảo vệ có sẵn, hãy làm theo các bước sau để tải các bản cập nhật mới nhất cho cả phần mềm và phần cứng.

1. Duy trì cập nhật cho thiết bị Windows của bạn bằng cách bật cập nhật tự động.

2. Kiểm tra xem bạn đã cài đặt bản cập nhật bảo mật hệ điều hành Windows mới nhất từ Microsoft hay chưa. Nếu cập nhật tự động được bật, các bản cập nhật sẽ tự động được gửi đến bạn. Tuy nhiên, bạn vẫn nên xác minh rằng chúng đã được cài đặt. Để biết hướng dẫn, hãy xem Windows Update: Câu hỏi thường gặp

3. Cài đặt bản cập nhật vi chương trình (vi mã) có sẵn từ nhà sản xuất thiết bị của bạn. Tất cả khách hàng sẽ phải tham vấn nhà sản xuất thiết bị của họ để tải xuống và cài đặt bản cập nhật phần cứng cụ thể cho thiết bị của họ. Xem mục "Tài nguyên bổ sung" để biết danh sách các trang web của nhà sản xuất thiết bị.

   Lưu ý: Khách hàng nên cài đặt các bản cập nhật bảo mật hệ điều hành Windows mới nhất từ Microsoft để tận dụng các biện pháp bảo vệ có sẵn. Nên cài đặt bản cập nhật phần mềm chống vi rút trước. Sau đó cài đặt bản cập nhật hệ điều hành và vi chương trình. Bạn nên duy trì cập nhật cho thiết bị của mình bằng cách cài đặt bản cập nhật bảo mật hàng tháng. 

Chip bị ảnh hưởng bao gồm những chip được sản xuất bởi Intel, AMD và ARM. Điều này có nghĩa là tất cả các thiết bị đang chạy hệ điều hành Windows đều có khả năng bị tấn công. Các thiết bị này bao gồm máy tính để bàn, máy tính xách tay, máy chủ đám mây và điện thoại thông minh. Các thiết bị đang chạy các hệ điều hành khác, chẳng hạn như Android, Chrome, iOS và macOS, cũng bị ảnh hưởng. Chúng tôi khuyên những khách hàng đang chạy các hệ điều hành này nên tìm hướng dẫn từ các nhà cung cấp đó.

Tại thời điểm công bố, chúng tôi chưa nhận được bất kỳ thông tin nào cho biết các lỗ hổng này đã được sử dụng để tấn công khách hàng.

Bắt đầu từ tháng 1 năm 2018, Microsoft đã phát hành các bản cập nhật cho hệ điều hành Windows cũng như trình duyệt web Internet Explorer và Edge để giúp giảm thiểu các lỗ hổng này và giúp bảo vệ khách hàng. Chúng tôi cũng phát hành các bản cập nhật để bảo mật các dịch vụ đám mây của mình.  Chúng tôi tiếp tục làm việc chặt chẽ với các đối tác trong ngành, bao gồm các nhà sản xuất chip, OEM phần cứng và nhà cung cấp ứng dụng, để bảo vệ khách hàng chống lại lớp lỗ hổng này. 

Chúng tôi khuyến khích bạn luôn cài đặt các bản cập nhật hàng tháng để giữ cho thiết bị của bạn luôn cập nhật và bảo mật. 

Chúng tôi sẽ cập nhật tài liệu này khi có các biện pháp giảm nhẹ mới và chúng tôi khuyên bạn nên kiểm tra lại tại đây thường xuyên. 

Bản cập nhật hệ điều hành Windows tháng 7 năm 2019

Vào ngày 6 tháng 8 năm 2019, Intel đã tiết lộ thông tin chi tiết về lỗ hổng bảo mật CVE-2019-1125 | Windows Kernel Information Disclosure Vulnerability. Các bản cập nhật bảo mật cho lỗ hổng này đã được phát hành như một phần của bản phát hành bản cập nhật hàng tháng Tháng Bảy vào ngày 9 tháng 7 năm 2019.

Microsoft đã phát hành bản cập nhật bảo mật cho hệ điều hành Windows vào ngày 9 tháng 7 năm 2019 để giúp giảm thiểu sự cố này. Chúng tôi đã tổ chức lại việc ghi lại biện pháp giảm nhẹ này công khai cho đến khi ngành công bố phối hợp vào thứ Ba, ngày 6 tháng 8 năm 2019.

Những khách hàng đã bật Windows Update và đã áp dụng các bản cập nhật bảo mật được phát hành vào ngày 9 tháng 7 năm 2019 sẽ được bảo vệ tự động. Lưu ý rằng lỗ hổng này không yêu cầu cập nhật vi mã từ nhà sản xuất thiết bị của bạn (OEM).

Các bản cập nhật hệ điều hành Windows tháng 5 năm 2019

Vào ngày 14 tháng 5 năm 2019, Intel đã công bố thông tin về một phân lớp mới của lỗ hổng thực hiện suy đoán phía kênh được gọi là Microarchitectural Data Sampling và được gán các CVEs sau:

• CVE-2018-11091 – "Lấy mẫu Dữ liệu Vi cấu trúc

• CVE-2018-12126 – "Microarchitectural Store Buffer Data Sampling (MSBDS)"

• CVE-2018-12127 – "Lấy mẫu dữ liệu bộ đệm vi cấu trúc (MFBDS)"

• CVE-2018-12130 – "Lấy mẫu dữ liệu cổng tải vi cấu trúc (MLPDS)"

Để biết thêm thông tin về sự cố này, hãy xem Tư vấn Bảo mật sau và hướng dẫn sử dụng theo kịch bản được nêu trong hướng dẫn Windows dành cho các bài viết Máy khách và Máy chủ để xác định các hành động cần thiết để giảm thiểu mối đe dọa:

• AdV 190013 | Hướng dẫn của Microsoft để giảm thiểu các lỗ hổng Lấy mẫu Dữ liệu Vi cấu trúc

• Kb 4073119 | Hướng dẫn Máy khách Chuyên gia CNTT của Windows để bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh

• Trình 4457951 KB | Hướng dẫn Windows Server để bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh

Microsoft đã phát hành các biện pháp bảo vệ chống lại một phân lớp mới của lỗ hổng thực hiện suy đoán phía kênh được gọi là Microarchitectural Data Sampling cho các phiên bản Windows 64 Bit (x64) (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130).

Sử dụng các cài đặt đăng ký theo mô tả trong các bài viết Windows Client (KB4073119) và Windows Server (KB4457951). Theo mặc định, các cài đặt đăng ký này được bật cho các phiên bản HĐH Windows Client và các phiên bản HĐH Windows Server.

Chúng tôi khuyên bạn nên cài đặt tất cả các bản cập nhật mới nhất từ hệ Windows Update trước khi cài đặt bất kỳ bản cập nhật vi mã nào.

Để biết thêm thông tin về sự cố này và các hành động được đề xuất, hãy xem Tư vấn Bảo mật sau: 

• AdV 190013 | Hướng dẫn của Microsoft để giảm thiểu các lỗ hổng Lấy mẫu Dữ liệu Vi cấu trúc

Intel đã phát hành bản cập nhật vi mã cho các nền tảng CPU gần đây để giúp giảm thiểu CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130. KB Windows ngày 14 tháng 5 năm 2019 liệt kê 4093836 bài viết cụ thể trong Cơ sở Kiến thức theo phiên bản HĐH Windows.  Bài viết này cũng chứa các liên kết đến các bản cập nhật vi mã Intel có sẵn bằng CPU. Các bản cập nhật này có sẵn thông qua Danh mục Microsoft.

Lưu ý: Chúng tôi khuyên bạn nên cài đặt tất cả các bản cập nhật mới nhất từ Windows Update cài đặt bất kỳ bản cập nhật vi mã nào.

Chúng tôi vui mừng thông báo đã bật Retpoline theo mặc định trên thiết bị Windows 10, phiên bản 1809 (dành cho máy khách và máy chủ) nếu spectre Biến thể 2 (CVE-2017-5715) được bật. Bằng cách bật Retpoline trên phiên bản mới nhất của Windows 10, thông qua bản cập nhật ngày 14 tháng 5 năm 2019 (KB 4494441), chúng tôi dự kiến sẽ cải thiện hiệu suất, đặc biệt là trên các bộ xử lý cũ hơn.

Khách hàng nên đảm bảo bật các tính năng bảo vệ HĐH trước đó chống lại lỗ hổng Spectre Biến thể 2 bằng cách sử dụng cài đặt đăng ký được mô tả trong bài viết Windows Clientvà Windows Server . (Theo mặc định, các cài đặt đăng ký này được bật cho các phiên bản HĐH Windows Client nhưng bị tắt cho các phiên bản HĐH Windows Server). Để biết thêm thông tin về "Retpoline", hãy xem Mục Giảm nhẹ Spectre biến thể 2 bằng Retpoline trên Windows.

Bản cập nhật hệ điều hành Windows tháng 11 năm 2018

Microsoft đã phát hành tính năng bảo vệ hệ điều hành cho Speculative Store Bypass (CVE-2018-3639) cho bộ xử lý AMD (CPU).

Microsoft đã phát hành các tùy chọn bảo vệ hệ điều hành bổ sung cho khách hàng sử dụng bộ xử lý ARM 64 bit. Vui lòng tham vấn nhà sản xuất OEM thiết bị của bạn để được hỗ trợ vi chương trình vì tùy chọn bảo vệ hệ điều hành ARM64 giúp giảm thiểu CVE-2018-3639, Speculative Store Bypass, yêu cầu bản cập nhật vi chương trình mới nhất từ OEM thiết bị của bạn.

Các bản cập nhật hệ điều hành Windows tháng 9 năm 2018

Vào ngày 11 tháng 9 năm 2018, Microsoft đã phát hành Windows Server 2008 SP2 Bản tổng hợp Hàng tháng 4458010 và Bản tổng hợp Bảo mật 4457984 dành cho Windows Server 2008 cung cấp khả năng bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh được gọi là Lỗi Terminal L1 (L1TF) ảnh hưởng đến bộ xử lý Intel® Core® và bộ xử lý Intel® Xeon® (CVE-2018-3620 và CVE-2018-3646). 

Bản phát hành này hoàn tất các tùy chọn bảo vệ bổ sung trên tất cả các phiên bản hệ thống Windows được hỗ trợ Windows Update. Để biết thêm thông tin và danh sách các sản phẩm bị ảnh hưởng, vui lòng xem ADV180018 | Hướng dẫn của Microsoft để giảm thiểu biến thể L1TF.

Lưu ý: Windows Server 2008 SP2 hiện tuân theo mô hình tổng hợp cung cấp dịch vụ Windows chuẩn. Để biết thêm thông tin về những thay đổi này, vui lòng xem blog thay đổi dịch vụ Windows Server 2008 SP2 của chúng tôi. Khách hàng đang chạy Windows Server 2008 nên cài đặt 4458010 hoặc 4457984 ngoài Bản cập nhật Bảo mật 4341832, được phát hành vào ngày 14 tháng 8 năm 2018. Khách hàng cũng nên đảm bảo bật các tính năng bảo vệ HĐH trước đó chống lại lỗ hổng Spectre Biến thể 2 và Meltdown bằng cách sử dụng cài đặt đăng ký được nêu trong các bài viết KB hướng dẫn Windows Client và Windows Server . Theo mặc định, các cài đặt đăng ký này được bật cho các phiên bản HĐH Windows Client nhưng bị tắt cho các phiên bản HĐH Windows Server.

Microsoft đã phát hành các tùy chọn bảo vệ hệ điều hành bổ sung cho khách hàng sử dụng bộ xử lý ARM 64 bit. Vui lòng tham vấn nhà sản xuất OEM thiết bị của bạn để được hỗ trợ vi chương trình vì biện pháp bảo vệ hệ điều hành ARM64 giúp giảm thiểu CVE-2017-5715 - Branch target injection (Spectre, Biến thể 2) yêu cầu có bản cập nhật vi chương trình mới nhất từ OEM thiết bị của bạn để có hiệu lực.

Bản cập nhật hệ điều hành Windows tháng 8 năm 2018

Vào ngày 14 tháng 8 năm 2018, Lỗi Terminal L1 (L1TF)đã được công bố và gán nhiều CVEs. Các lỗ hổng thực hiện suy đoán phía kênh có thể được sử dụng để đọc nội dung của bộ nhớ qua ranh giới đáng tin cậy và, nếu khai thác, có thể dẫn đến tiết lộ thông tin. Có nhiều véc-tơ mà kẻ tấn công có thể kích hoạt các lỗ hổng tùy thuộc vào môi trường cấu hình. L1TF ảnh hưởng đến bộ xử lý Intel® Core® và bộ xử lý Intel® Xeon®.

Để biết thêm thông tin về L1TF và xem chi tiết các kịch bản bị ảnh hưởng, bao gồm cả phương pháp tiếp cận của Microsoft để giảm nhẹ L1TF vui lòng xem các tài nguyên sau:

• ADV180018 | Hướng dẫn của Microsoft để giảm thiểu biến thể L1TF

• Bảo mật Tư vấn Bảo mật Nghiên cứu Blog

• Hướng dẫn Máy chủ cho Lỗi Thiết bị đầu cuối L1

Bản cập nhật hệ điều hành Windows tháng 7 năm 2018

Chúng tôi vui lòng thông báo rằng Microsoft đã hoàn tất việc phát hành thêm các tùy chọn bảo vệ trên tất cả các phiên bản hệ thống Windows được hỗ trợ thông qua Windows Update cho các lỗ hổng sau:

• Spectre Biến thể 2 cho bộ xử lý AMD

• Speculative Store Bypass cho bộ xử lý Intel

Vào ngày 13 tháng 6 năm 2018, một lỗ hổng bổ sung liên quan đến thực hiện suy đoán phía kênh, được gọi là Lazy FP State Restore, đã được công bố và gán CVE-2018-3665. Không có cài đặt cấu hình (sổ đăng ký) cần thiết để Khôi phục FP Lười Khôi phục.

Để biết thêm thông tin về lỗ hổng này, sản phẩm bị ảnh hưởng và các hành động được đề xuất, hãy xem Tư vấn Bảo mật sau:

• ADV180016 | Hướng dẫn của Microsoft về khôi phục trạng thái FP lười biếng

Vào ngày 12 tháng 6, Microsoft đã thông báo hỗ trợ Windows cho Speculative Store Bypass Disable (SSBD) trong bộ xử lý Intel. Các bản cập nhật yêu cầu bản cập nhật vi chương trình (vi mã) và sổ đăng ký tương ứng cho chức năng. Để biết thông tin về các bản cập nhật và các bước áp dụng để bật SSBD, hãy xem phần "Hành động được đề xuất" trong ADV180012 | Hướng dẫn Của Microsoft cho Bỏ qua Cửa hàng Suy đoán.

Bản cập nhật hệ điều hành Windows tháng 5 năm 2018

Vào tháng 1 năm 2018, Microsoft đã phát hành thông tin về một lớp lỗ hổng phần cứng mới được phát hiện (được gọi là Spectre và Meltdown) liên quan đến các kênh thực hiện suy đoán ảnh hưởng đến AMD, ARM và CPU Intel ở các mức khác nhau. Vào ngày 21 tháng 5 năm 2018, Google Project Zero (GPZ), Microsoft và Intel đã tiết lộ hai lỗ hổng chip mới liên quan đến các sự cố Spectre và Meltdown được gọi là Speculative Store Bypass (SSB) và Rogue System Registry Read.

Rủi ro của khách hàng từ cả hai tiết lộ là thấp.

Để biết thêm thông tin về các lỗ hổng này, hãy xem các tài nguyên sau:

• Tư vấn Bảo mật Microsoft cho Speculative Store Bypass: MSRC ADV180012 và CVE-2018-3639

• Tư vấn Bảo mật Microsoft cho Đăng ký Hệ thống Rogue Đọc: MSRC ADV180013và CVE-2018-3640

• Nghiên cứu bảo mật và quốc phòng: Phân tích và giảm nhẹ máy bỏ qua cửa hàng suy đoán (CVE-2018-3639)

Áp dụng đối với: Windows 10, phiên bản 1607, Windows Server 2016, Windows Server 2016 (cài đặt Server Core) và Windows Server, phiên bản 1709 (cài đặt Server Core)

Chúng tôi đã cung cấp hỗ trợ để kiểm soát việc sử dụng Rào cản Dự đoán Nhánh Gián tiếp (IBPB) trong một số bộ xử lý AMD (CPU) để giảm nhẹ CVE-2017-5715, Spectre Biến thể 2 khi bạn chuyển từ ngữ cảnh người dùng sang ngữ cảnh nhân. (Để biết thêm thông tin, hãy xem Hướng dẫn Kiến trúc AMD về Kiểm soát Nhánh Gián tiếp vàHướng dẫn Bảo mật AMD Cập nhật).

Những khách hàng đang chạy Windows 10, phiên bản 1607, Windows Server 2016, Windows Server 2016 (cài đặt Server Core) và Windows Server, phiên bản 1709 (bản cài đặt Server Core) phải cài đặt bản cập nhật bảo mật 4103723 để được giảm nhẹ bổ sung cho bộ xử lý AMD cho CVE-2017-5715, Branch Target Injection. Bản cập nhật này cũng có sẵn thông qua Windows Update.

Làm theo hướng dẫn được nêu trong KB 4073119 dành cho hướng dẫn Máy khách Windows (Chuyên gia CNTT) và hướng dẫn KB 4072698 dành cho Windows Server để cho phép sử dụng IBPB trong một số bộ xử lý AMD (CPU) nhằm giảm nhẹ Spectre Biến thể 2 khi bạn chuyển từ ngữ cảnh người dùng sang ngữ cảnh nhân.

Microsoft đang cung cấp các bản cập nhật vi mã đã được Intel xác thực liên quan đến Spectre Biến thể 2 (CVE-2017-5715 "Branch Target Injection"). Để nhận các bản cập nhật vi mã Intel mới nhất thông qua Windows Update, khách hàng phải cài đặt vi mã Intel trên thiết bị chạy hệ điều hành Windows 10 trước khi nâng cấp lên Bản cập nhật Windows 10 tháng 4 năm 2018 (phiên bản 1803).

Bản cập nhật vi mã cũng có sẵn trực tiếp từ Danh mục nếu bạn chưa cài đặt trên thiết bị trước khi nâng cấp HĐH. Vi mã Intel khả dụng thông qua Windows Update, WSUS hoặc Danh mục Microsoft Update. Để biết thêm thông tin và hướng dẫn tải xuống, hãy xem kb 4100347.

Chúng tôi sẽ cung cấp các bản cập nhật vi mã bổ sung từ Intel cho hệ điều hành Windows khi chúng có sẵn cho Microsoft.

Áp dụng đối với: Windows 10, phiên bản 1709

Chúng tôi đã cung cấp hỗ trợ để kiểm soát việc sử dụng Rào cản Dự đoán Nhánh Gián tiếp (IBPB) trong một số bộ xử lý AMD (CPU) để giảm nhẹ CVE-2017-5715, Spectre Biến thể 2 khi bạn chuyển từ ngữ cảnh người dùng sang ngữ cảnh nhân. (Để biết thêm thông tin, hãy xem Hướng dẫn Kiến trúc AMD về Kiểm soát Nhánh Gián tiếp vàHướng dẫn Bảo mật AMD Cập nhật).

Làm theo các hướng dẫn được nêu trong KB 4073119 dành cho hướng dẫn Máy khách Windows (Chuyên gia CNTT) để cho phép sử dụng IBPB trong một số bộ xử lý AMD (CPU) để giảm nhẹ Spectre Biến thể 2 khi bạn chuyển từ ngữ cảnh người dùng sang ngữ cảnh nhân.

Microsoft đang cung cấp các bản cập nhật vi mã đã xác thực của Intel xung quanh Spectre Biến thể 2 (CVE-2017-5715 "Branch Target Injection"). KB4093836 liệt kê các bài viết cụ thể trong Cơ sở Kiến thức theo phiên bản Windows. Mỗi KB cụ thể đều chứa các bản cập nhật vi mã Intel hiện có mới nhất bằng CPU.

Chúng tôi sẽ cung cấp các bản cập nhật vi mã bổ sung từ Intel cho hệ điều hành Windows khi chúng có sẵn cho Microsoft. 

Các bản cập nhật hệ điều hành Windows tháng 3 năm 2018 trở lên

Ngày 23 tháng 3, TechNet Security Research & Defense: KVA Shadow: Giảm thiểu Meltdown trên Windows

Ngày 14 tháng 3, Trung tâm Kỹ thuật Bảo mật: Điều khoản Chương trình Tặng thưởng Bên Kênh Thực hiện Suy đoán

13/03/2018, blog: Bản cập Bảo mật Windows tháng 3 năm 2018 – Mở rộng nỗ lực của chúng tôi để bảo vệ khách hàng

Ngày 1 tháng 3, blog: Cập nhật các bản cập nhật bảo mật Spectre và Meltdown cho các thiết bị Windows

Bắt đầu từ tháng 3 năm 2018, Microsoft đã phát hành các bản cập nhật bảo mật để cung cấp các biện pháp giảm thiểu cho các thiết bị chạy các hệ điều hành Windows dựa trên x86 sau đây. Khách hàng nên cài đặt các bản cập nhật bảo mật hệ điều hành Windows mới nhất để tận dụng các biện pháp bảo vệ có sẵn. Chúng tôi đang cố gắng cung cấp tính năng bảo vệ cho các phiên bản Windows được hỗ trợ khác nhưng hiện không có lịch phát hành. Vui lòng kiểm tra lại tại đây để biết các bản cập nhật. Để biết thêm thông tin, hãy xem bài viết Cơ sở Kiến thức liên quan để biết chi tiết kỹ thuật và phần "Câu hỏi thường gặp".

Đã phát hành bản cập nhật sản phẩm	Trạng thái	Ngày phát hành	Kênh phát hành	KB
Windows 8.1 & Windows Server 2012 R2 - Bản cập nhật Dành riêng cho Bảo mật	Đã phát hành	Ngày 13 tháng 3	WSUS, Danh mục,	KB4088879
Windows 7 SP1 & Windows Server 2008 R2 SP1 - Bản cập nhật Dành riêng cho Bảo mật	Đã phát hành	Ngày 13 tháng 3	WSUS, Danh mục	KB4088878
Windows Server 2012 - Bản cập nhật Dành riêng cho Bảo Windows 8 Embedded Standard - Bản cập nhật Dành riêng cho Bảo mật	Đã phát hành	Ngày 13 tháng 3	WSUS, Danh mục	KB4088877
Windows 8.1 & Windows Server 2012 R2 - Bản tổng hợp Hàng tháng	Đã phát hành	Ngày 13 tháng 3	WU, WSUS, Danh mục	KB4088876
Windows 7 SP1 & Windows Server 2008 R2 SP1 - Bản tổng hợp Hàng tháng	Đã phát hành	Ngày 13 tháng 3	WU, WSUS, Danh mục	KB4088875
Windows Server 2012 - Bản tổng hợp Hàng Windows 8 Embedded Standard Edition - Bản tổng hợp Hàng tháng	Đã phát hành	Ngày 13 tháng 3	WU, WSUS, Danh mục	KB4088877
Windows Server 2008 SP2	Đã phát hành	Ngày 13 tháng 3	WU, WSUS, Danh mục	KB4090450

Bắt đầu từ tháng 3 năm 2018, Microsoft đã phát hành các bản cập nhật bảo mật để cung cấp các biện pháp giảm thiểu cho các thiết bị chạy các hệ điều hành Windows dựa trên x64 sau đây. Khách hàng nên cài đặt các bản cập nhật bảo mật hệ điều hành Windows mới nhất để tận dụng các biện pháp bảo vệ có sẵn. Chúng tôi đang cố gắng cung cấp tính năng bảo vệ cho các phiên bản Windows được hỗ trợ khác nhưng hiện không có lịch phát hành. Vui lòng kiểm tra lại tại đây để biết các bản cập nhật. Để biết thêm thông tin, hãy xem bài viết cơ sở tri thức liên quan để biết chi tiết kỹ thuật và phần "Câu hỏi thường gặp".

Đã phát hành bản cập nhật sản phẩm	Trạng thái	Ngày phát hành	Kênh phát hành	KB
Windows Server 2012 - Bản cập nhật Dành riêng cho Bảo Windows 8 Embedded Standard - Bản cập nhật Dành riêng cho Bảo mật	Đã phát hành	Ngày 13 tháng 3	WSUS, Danh mục	KB4088877
Windows Server 2012 - Bản tổng hợp Hàng Windows 8 Embedded Standard Edition - Bản tổng hợp Hàng tháng	Đã phát hành	Ngày 13 tháng 3	WU, WSUS, Danh mục	KB4088877
Windows Server 2008 SP2	Đã phát hành	Ngày 13 tháng 3	WU, WSUS, Danh mục	KB4090450

Bản cập nhật này khắc phục sự gia tăng lỗ hổng đặc quyền trong nhân Windows trong phiên bản Windows 64 Bit (x64). Lỗ hổng này được ghi trong CVE-2018-1038. Người dùng phải áp dụng bản cập nhật này để được bảo vệ đầy đủ chống lại lỗ hổng này nếu máy tính của họ đã được cập nhật vào hoặc sau tháng 1 năm 2018 bằng cách áp dụng bất kỳ bản cập nhật nào được liệt kê trong bài viết Cơ sở Kiến thức sau đây:

Bản cập nhật nhân Windows cho CVE-2018-1038

Bản cập nhật bảo mật này giải quyết một số lỗ hổng được báo cáo trong Internet Explorer. Để tìm hiểu thêm về các lỗ hổng này, hãy xem Microsoft Common Vulnerabilities and Exposures. 

Đã phát hành bản cập nhật sản phẩm	Trạng thái	Ngày phát hành	Kênh phát hành	KB
Internet Explorer 10 - Bản cập nhật tích lũy dành Windows 8 Embedded Standard Edition	Đã phát hành	Ngày 13 tháng 3	WU, WSUS, Danh mục	KB4089187

Bản cập nhật hệ điều hành Windows tháng 2 năm 2018

Blog: Windows Analytics hiện giúp đánh giá biện pháp bảo vệ chống Spectre và Meltdown

Các bản cập nhật bảo mật sau cung cấp bảo vệ bổ sung cho các thiết bị chạy hệ điều hành Windows 32 bit (x86). Microsoft khuyên khách hàng nên cài đặt bản cập nhật ngay khi có sẵn. Chúng tôi tiếp tục làm việc để cung cấp bảo vệ cho các phiên bản Windows được hỗ trợ khác nhưng hiện không có lịch phát hành. Vui lòng kiểm tra lại tại đây để biết các bản cập nhật. 

Lưu ý Windows 10 cập nhật bảo mật hàng tháng là tích lũy theo tháng và sẽ được tải xuống và cài đặt tự động từ các Windows Update. Nếu bạn đã cài đặt các bản cập nhật cũ hơn, chỉ các phần mới sẽ được tải xuống và cài đặt trên thiết bị của bạn. Để biết thêm thông tin, hãy xem bài viết Cơ sở Kiến thức liên quan để biết chi tiết kỹ thuật và phần "Câu hỏi thường gặp".

Đã phát hành bản cập nhật sản phẩm	Trạng thái	Ngày phát hành	Kênh phát hành	KB
Windows 10 - Phiên bản 1709 / Windows Server 2016 (1709) / IoT Core - Bản cập nhật Chất lượng	Đã phát hành	Ngày 31 tháng 1	WU, Danh mục	KB4058258
Windows Server 2016 (1709) - Vùng chứa máy chủ	Đã phát hành	Ngày 13 tháng 2	Docker Hub	KB4074588
Windows 10 - Phiên bản 1703 / IoT Core - Bản cập nhật Chất lượng	Đã phát hành	Ngày 13 tháng 2	WU, WSUS, Danh mục	KB4074592
Windows 10 - Phiên bản 1607 / Windows Server 2016 / IoT Core - Bản cập nhật Chất lượng	Đã phát hành	Ngày 13 tháng 2	WU, WSUS, Danh mục	KB4074590
Windows 10 HoloLens - HĐH và vi chương trình Cập nhật	Đã phát hành	Ngày 13 tháng 2	WU, Danh mục	KB4074590
Windows Server 2016 (1607) - Hình ảnh Vùng chứa	Đã phát hành	Ngày 13 tháng 2	Docker Hub	KB4074590
Windows 10 - Phiên bản 1511 / IoT Core - Bản cập nhật Chất lượng	Đã phát hành	Ngày 13 tháng 2	WU, WSUS, Danh mục	KB4074591
Windows 10 - Phiên bản RTM - Bản cập nhật Chất lượng	Đã phát hành	Ngày 13 tháng 2	WU, WSUS, Danh mục	KB4074596

Bản cập nhật hệ điều hành Windows tháng 1 năm 2018

Blog: Hiểu tác động hiệu suất của spectre và Meltdown Mitigations trên Hệ thống Windows

Bắt đầu từ tháng 1 năm 2018, Microsoft đã phát hành các bản cập nhật bảo mật để cung cấp các biện pháp giảm thiểu cho các thiết bị chạy các hệ điều hành Windows dựa trên x64 sau đây. Khách hàng nên cài đặt các bản cập nhật bảo mật hệ điều hành Windows mới nhất để tận dụng các biện pháp bảo vệ có sẵn. Chúng tôi đang cố gắng cung cấp tính năng bảo vệ cho các phiên bản Windows được hỗ trợ khác nhưng hiện không có lịch phát hành. Vui lòng kiểm tra lại tại đây để biết các bản cập nhật. Để biết thêm thông tin, hãy xem bài viết Cơ sở Kiến thức liên quan để biết chi tiết kỹ thuật và phần "Câu hỏi thường gặp".

Đã phát hành bản cập nhật sản phẩm	Trạng thái	Ngày phát hành	Kênh phát hành	KB
Windows 10 - Phiên bản 1709 / Windows Server 2016 (1709) / IoT Core - Bản cập nhật Chất lượng	Đã phát hành	Ngày 3 tháng 1	WU, WSUS, Danh mục, Thư viện Hình ảnh Azure	KB4056892
Windows Server 2016 (1709) - Vùng chứa máy chủ	Đã phát hành	Ngày 5 tháng 1	Docker Hub	KB4056892
Windows 10 - Phiên bản 1703 / IoT Core - Bản cập nhật Chất lượng	Đã phát hành	Ngày 3 tháng 1	WU, WSUS, Danh mục	KB4056891
Windows 10 - Phiên bản 1607 / Windows Server 2016 / IoT Core - Bản cập nhật Chất lượng	Đã phát hành	Ngày 3 tháng 1	WU, WSUS, Danh mục	KB4056890
Windows Server 2016 (1607) - Hình ảnh Vùng chứa	Đã phát hành	Ngày 4 tháng 1	Docker Hub	KB4056890
Windows 10 - Phiên bản 1511 / IoT Core - Bản cập nhật Chất lượng	Đã phát hành	Ngày 3 tháng 1	WU, WSUS, Danh mục	KB4056888
Windows 10 - Phiên bản RTM - Bản cập nhật Chất lượng	Đã phát hành	Ngày 3 tháng 1	WU, WSUS, Danh mục	KB4056893
Windows 10 Mobile (HĐH Bản dựng 15254.192) - ARM	Đã phát hành	Ngày 5 tháng 1	WU, Danh mục	KB4073117
Windows 10 Mobile (HĐH Bản dựng 15063.850)	Đã phát hành	Ngày 5 tháng 1	WU, Danh mục	KB4056891
Windows 10 Mobile (HĐH Bản dựng 14393.2007)	Đã phát hành	Ngày 5 tháng 1	WU, Danh mục	KB4056890
Windows 10 HoloLens	Đã phát hành	Ngày 5 tháng 1	WU, Danh mục	KB4056890
Windows 8.1 / Windows Server 2012 R2 - Bản cập nhật Dành riêng cho Bảo mật	Đã phát hành	Ngày 3 tháng 1	WSUS, Danh mục	KB4056898
Windows Embedded 8.1 Industry Enterprise	Đã phát hành	Ngày 3 tháng 1	WSUS, Danh mục	KB4056898
Windows Embedded 8.1 Industry Pro	Đã phát hành	Ngày 3 tháng 1	WSUS, Danh mục	KB4056898
Windows Embedded 8.1 Pro	Đã phát hành	Ngày 3 tháng 1	WSUS, Danh mục	KB4056898
Bản tổng hợp Hàng tháng Windows 8.1 / Windows Server 2012 R2	Đã phát hành	Ngày 8 tháng 1	WU, WSUS, Danh mục	KB4056895
Windows Embedded 8.1 Industry Enterprise	Đã phát hành	Ngày 8 tháng 1	WU, WSUS, Danh mục	KB4056895
Windows Embedded 8.1 Industry Pro	Đã phát hành	Ngày 8 tháng 1	WU, WSUS, Danh mục	KB4056895
Windows Embedded 8.1 Pro	Đã phát hành	Ngày 8 tháng 1	WU, WSUS, Danh mục	KB4056895
Windows Server 2012 Dành riêng cho Bảo mật	Đã phát hành		WSUS, Danh mục
Windows Server 2008 SP2	Đã phát hành		WU, WSUS, Danh mục
Bản tổng hợp Hàng tháng Windows Server 2012	Đã phát hành		WU, WSUS, Danh mục
Windows Embedded 8 Standard	Đã phát hành		WU, WSUS, Danh mục
Windows 7 SP1 / Windows Server 2008 R2 SP1 - Bản cập nhật Dành riêng cho Bảo mật	Đã phát hành	Ngày 3 tháng 1	WSUS, Danh mục	KB4056897
Windows Embedded Standard 7	Đã phát hành	Ngày 3 tháng 1	WSUS, Danh mục	KB4056897
Windows Embedded POSReady 7	Đã phát hành	Ngày 3 tháng 1	WSUS, Danh mục	KB4056897
Windows Thin PC	Đã phát hành	Ngày 3 tháng 1	WSUS, Danh mục	KB4056897
Bản tổng hợp Hàng tháng Windows 7 SP1 / Windows Server 2008 R2 SP1	Đã phát hành	Ngày 4 tháng 1	WU, WSUS, Danh mục	KB4056894
Windows Embedded Standard 7	Đã phát hành	Ngày 4 tháng 1	WU, WSUS, Danh mục	KB4056894
Windows Embedded POSReady 7	Đã phát hành	Ngày 4 tháng 1	WU, WSUS, Danh mục	KB4056894
Windows Thin PC	Đã phát hành	Ngày 4 tháng 1	WU, WSUS, Danh mục	KB4056894
Internet Explorer 11-Bản cập nhật Tích lũy dành cho Windows 7 SP1 và Windows 8.1	Đã phát hành	Ngày 3 tháng 1	WU, WSUS, Danh mục	KB4056568

Vào ngày 9 tháng 4 năm 2024, chúng tôi đã phát hành CVE-2022-0001 | Intel Branch History Injection mô tả Branch History Injection (BHI) là một dạng BTI trong chế độ cụ thể. Lỗ hổng này xảy ra khi kẻ tấn công có thể thao tác lịch sử chi nhánh trước khi chuyển từ người dùng sang chế độ giám sát (hoặc từ VMX không gốc/khách sang chế độ gốc). Thao tác này có thể khiến một trình dự đoán nhánh gián tiếp chọn một mục dự đoán cụ thể cho một nhánh gián tiếp và một tiện ích tiết lộ tại mục tiêu được dự đoán sẽ thực thi tạm thời. Điều này có thể xảy ra vì lịch sử nhánh liên quan có thể chứa các nhánh được thực hiện trong các ngữ cảnh bảo mật trước đó và đặc biệt là các chế độ trình dự đoán khác.

Làm theo hướng dẫn được nêu trong KB4073119 dành cho hướng dẫn Máy khách Windows (Chuyên gia CNTT) và hướng dẫn KB4072698 dành cho Windows Server để giảm thiểu các lỗ hổng được mô tả trong CVE-2022-0001 | Intel Branch History Injection.

Tư vấn Bảo mật Microsoft cho Lỗi Terminal L1 (L1TF):MSRC ADV180018, CVE-2018-3615, CVE-2018-3620 và CVE-2018-3646

Nghiên cứu bảo mật và quốc phòng: Phân tích và giảm nhẹ máy bỏ qua cửa hàng suy đoán (CVE-2018-3639)

Tư vấn Bảo mật Microsoft cho Speculative Store Bypass: MSRC ADV180012 và CVE-2018-3639

Microsoft Tư vấn Bảo mật cho Hệ thống Rogue Đăng ký Đọc | Hướng dẫn Cập nhật Bảo mật cho Surface: MSRC ADV180013 và CVE-2018-3640

Nghiên cứu bảo mật và quốc phòng: Phân tích và giảm nhẹ máy bỏ qua cửa hàng suy đoán (CVE-2018-3639)

Nghiên cứu Bảo mật TechNet & Defense: KVA Shadow: Giảm thiểu Meltdown trên Windows

Trung tâm Kỹ thuật Bảo mật: Điều khoản Chương trình Tặng Thưởng Bên Kênh Suy Đoán

Blog Trải nghiệm Microsoft: Cập nhật bản cập nhật bảo mật Spectre và Meltdown cho các thiết bị Windows

Blog Windows for Business: Windows Analytics hiện giúp đánh giá biện pháp bảo vệ chống Spectre và Meltdown

Microsoft Secure blog: Hiểu tác động hiệu suất của Spectre và Meltdown Mitigations trên Hệ thống Windows

Blog nhà phát triển Edge: Giảm thiểu các cuộc tấn công thực hiện suy đoán phía kênh trong Microsoft Edge và Internet Explorer

Azure Blog: Bảo vệ khách hàng Azure khỏi lỗ hổng CPU

SCCM hướng dẫn: Hướng dẫn bổ sung để giảm thiểu lỗ hổng thực hiện suy đoán phía kênh

Microsoft Advisories:

• ADV180002 | Hướng dẫn để giảm thiểu lỗ hổng thực hiện suy đoán phía kênh

• ADV180012 | Hướng dẫn Microsoft cho Bỏ qua Cửa hàng Suy đoán

• ADV180013 | Đọc Hướng dẫn Microsoft về Đăng ký Hệ thống Rogue

• ADV180016 | Hướng dẫn của Microsoft về khôi phục trạng thái FP lười biếng

• ADV180018 | Hướng dẫn của Microsoft để giảm thiểu biến thể L1TF

Intel: Tư vấn Bảo mật

ARM: Tư vấn Bảo mật

AMD: Tư vấn Bảo mật

NVIDIA: Tư vấn Bảo mật

Hướng dẫn Người tiêu dùng: Bảo vệ thiết bị của bạn chống lại các lỗ hổng bảo mật liên quan đến chip

Hướng dẫn Chống Virut: Các bản cập nhật bảo mật Windows đã phát hành ngày 3 tháng 1 năm 2018 và phần mềm chống vi rút

Hướng dẫn chặn bản cập nhật bảo mật HĐH Windows AMD: KB4073707: Chặn bản cập nhật bảo mật hệ điều hành Windows cho một số thiết bị dựa trên AMD

Cập nhật để Vô hiệu hóa Ảnh hưởng của Spectre, Biến thể 2: KB4078130: Intel đã xác định được sự cố khởi động lại với vi mã trên một số bộ xử lý cũ hơn 

Hướng dẫn Surface: Hướng dẫn Surface để bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh

Xác minh trạng thái của các biện pháp giảm nhẹ kênh thực hiện suy đoán: Hiểu rõ Get-SpeculationControlSettings ra tập lệnh PowerShell

Hướng dẫn Chuyên gia CNTT: Hướng dẫn Máy khách Windows dành cho Chuyên gia CNTT để bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh

Hướng dẫn Máy chủ: Hướng dẫn Windows Server để bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh

Hướng dẫn Máy chủ cho Lỗi Đầu cuối L1: Hướng dẫn Windows Server để bảo vệ chống lại lỗi thiết bị đầu cuối L1

Hướng dẫn nhà phát triển: Hướng dẫn Nhà phát triển cho Bỏ qua Cửa hàng Suy đoán

Hướng dẫn Máy chủ Hyper-V

• Kiểm soát Tài nguyên của Máy Ảo

• Quản lý Tài nguyên CPU Máy chủ Hyper-V

Azure KB: Bản KB4073235: Microsoft Cloud Protections chống lại lỗ hổng thực hiện suy đoán Side-Channel lỗ hổng

Hướng dẫn Azure Stack: KB4073418: Hướng dẫn Azure stack để bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh

Độ tin cậy của Azure: Cổng thông tin Độ tin cậy Azure

SQL Server hướng dẫn: KB4073225: hướng SQL Server để bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh

Liên kết tới nhà sản xuất thiết bị OEM và Máy chủ để nhận các bản cập nhật để bảo vệ chống lại lỗ hổng Spectre và Meltdown

Để giúp giải quyết các lỗ hổng này, bạn phải cập nhật cả phần cứng và phần mềm. Sử dụng các liên kết sau để tham vấn nhà sản xuất thiết bị về các bản cập nhật vi chương trình (vi mã) hiện hành.

Sử dụng các liên kết sau để tham vấn nhà sản xuất thiết bị về bản cập nhật vi chương trình (vi mã). Bạn sẽ phải cài đặt cả bản cập nhật hệ điều hành và vi chương trình (vi mã) để có tất cả các tùy chọn bảo vệ khả dụng.

Nhà sản xuất Thiết bị OEM	Liên kết đến tình trạng khả dụng của vi mã
Acer	Meltdown và lỗ hổng bảo mật Spectre
Asus	Cập nhật ASUS về Thực thi Suy đoán và Phương pháp Phân tích Kênh Gián tiếp Nhánh Gián tiếp
Dell	Meltdown và Lỗ hổng Spectre
Epson	Lỗ hổng CPU (tấn công kênh bên)
Fujitsu	Phần cứng CPU dễ bị tấn công kênh bên (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HP	THÔNG BÁO HỖ TRỢ LIÊN LẠC- BẢO MẬT
Lenovo	Đọc Bộ nhớ Đặc quyền với Kênh Bên
LG	Nhận Hỗ trợ Trợ giúp sản & phẩm
NEC	Về phản ứng với lỗ hổng bảo mật của bộ xử lý (meltdown, spectrum) trong các sản phẩm của chúng tôi
Panasonic	Thông tin bảo mật của lỗ hổng bảo mật bằng Phương pháp Phân tích Kênh Suy đoán Và Phân tích Kênh Gián tiếp Nhánh Gián tiếp
Samsung	Thông báo Cập nhật Phần mềm Intel CPU
Surface	Hướng dẫn Surface để bảo vệ chống lại lỗ hổng thực hiện suy đoán phía kênh
Toshiba	Intel, AMD & thực thi suy đoán của Microsoft và Các lỗ hổng bảo mật phương pháp phân tích bên kênh phân tích nhánh gián tiếp của Intel, AMD (2017)
Vaio	Trên hỗ trợ lỗ hổng để phân tích kênh bên

Nhà sản xuất OEM Máy chủ	Liên kết đến tình trạng khả dụng của vi mã
Dell	Meltdown và Lỗ hổng Spectre
Fujitsu	Phần cứng CPU dễ bị tấn công kênh bên (CVE-2017-5715, CVE-2017-5753, CVE-2017-5754)
HPE	Cảnh báo Lỗ hổng Bảo mật Sản phẩm Của Doanh nghiệp Hewlett Packard
Huawei	Thông báo Bảo mật - Tuyên bố về Tiết lộ Phương tiện về Các lỗ hổng Bảo mật trong Thiết kế Cấu trúc Intel CPU
Lenovo	Đọc Bộ nhớ Đặc quyền với Kênh Bên

Bạn sẽ phải tham vấn nhà sản xuất thiết bị về bản cập nhật vi chương trình (vi mã). Nếu nhà sản xuất thiết bị của bạn không được liệt kê trong bảng, hãy liên hệ trực tiếp với OEM.

Cập nhật cho các thiết bị Microsoft Surface có sẵn cho khách hàng thông qua Windows Update. Để biết danh sách các bản cập nhật vi chương trình (vi mã) thiết bị Surface khả dụng, hãy xem Bản cập 4073065.

Nếu thiết bị của bạn không phải từ Microsoft, hãy áp dụng bản cập nhật vi chương trình từ nhà sản xuất thiết bị. Hãy liên hệ với nhà sản xuất thiết bịcủa bạn để biết thêm thông tin.

Khắc phục lỗ hổng bảo mật phần cứng bằng cách sử dụng bản cập nhật phần mềm gây ra những thách thức và biện pháp giảm thiểu đáng kể cho các hệ điều hành cũ hơn và có thể yêu cầu thay đổi kiến trúc trên diện rộng. Chúng tôi đang tiếp tục làm việc với các nhà sản xuất chip bị ảnh hưởng để điều tra cách tốt nhất để cung cấp các biện pháp giảm nhẹ. Bản cập nhật này có thể được cung cấp trong bản cập nhật trong tương lai. Việc thay thế các thiết bị cũ đang chạy các hệ điều hành cũ hơn này cũng như cập nhật phần mềm chống vi rút sẽ giải quyết các rủi ro còn lại.

Mặc dù các hệ thống dựa trên Windows XP là các sản phẩm bị ảnh hưởng, nhưng Microsoft sẽ không phát hành bản cập nhật cho các hệ thống đó vì các thay đổi về kiến trúc toàn diện sẽ gây nguy hiểm cho tính ổn định của hệ thống và gây ra sự cố tương thích ứng dụng. Chúng tôi khuyên những khách hàng có ý thức bảo mật nên nâng cấp lên hệ điều hành được hỗ trợ mới hơn để theo kịp bối cảnh mối đe dọa bảo mật đang thay đổi và hưởng lợi từ các biện pháp bảo vệ mạnh mẽ hơn mà các hệ điều hành mới hơn mang lại.

Cập nhật để Windows 10 holoLens có sẵn cho khách hàng HoloLens thông qua Windows Update.

Sau khi áp dụng Bản cập nhật Bảo mật Windows tháng 2 năm 2018, khách hàng HoloLens không phải thực hiện thêm bất kỳ hành động nào để cập nhật vi chương trình thiết bị của mình. Các biện pháp giảm thiểu này cũng sẽ được bao gồm trong tất cả các bản phát hành tương lai Windows 10 cho HoloLens.

Hãy liên hệ với OEM của bạn để biết thêm thông tin.

Để thiết bị của bạn được bảo vệ hoàn toàn, bạn nên cài đặt các bản cập nhật bảo mật hệ điều hành Windows mới nhất cho thiết bị và các bản cập nhật vi chương trình (vi mã) hiện hành từ nhà sản xuất thiết bị của bạn. Bản cập nhật này sẽ có sẵn trên trang web của nhà sản xuất thiết bị của bạn. Nên cài đặt bản cập nhật phần mềm chống vi rút trước. Có thể cài đặt hệ điều hành và bản cập nhật vi chương trình theo trình tự bất kỳ.

Bạn sẽ phải cập nhật cả phần cứng và phần mềm của bạn để giải quyết lỗ hổng này. Bạn cũng sẽ phải cài đặt bản cập nhật vi chương trình (vi mã) hiện hành từ nhà sản xuất thiết bị để được bảo vệ toàn diện hơn. Bạn nên duy trì cập nhật cho thiết bị của mình bằng cách cài đặt bản cập nhật bảo mật hàng tháng.

Trong mỗi Windows 10 nhật tính năng mới nhất, chúng tôi xây dựng công nghệ bảo mật mới nhất chuyên sâu về hệ điều hành, cung cấp các tính năng bảo vệ chuyên sâu giúp ngăn chặn toàn bộ các loại phần mềm độc hại ảnh hưởng đến thiết bị của bạn. Bản phát hành cập nhật tính năng được nhắm mục tiêu mỗi năm hai lần. Trong mỗi bản cập nhật chất lượng hàng tháng, chúng tôi bổ sung thêm một lớp bảo mật khác theo dõi các xu hướng đang phát triển và đang phát triển trong phần mềm có hại để giúp hệ thống cập nhật an toàn hơn khi phải đối mặt với các mối đe dọa ngày càng phát triển và thay đổi.

Microsoft đã ngừng kiểm tra tính tương thích của AV đối với các bản cập nhật bảo mật Windows dành cho các phiên bản được hỗ trợ của các thiết bị Windows 10, Windows 8.1 và Windows 7 SP1 thông qua Windows Update. 

Khuyến nghị:

• Đảm bảo rằng thiết bị của bạn đã được cập nhật bằng cách cài đặt các bản cập nhật bảo mật mới nhất từ Microsoft và nhà sản xuất phần cứng của bạn. Để biết thêm thông tin về cách giữ cho thiết bị của bạn luôn cập nhật, hãy xem bài Windows Update: Câu hỏi thường gặp.

• Hãy thận trọng khi bạn truy cập các trang web không có nguồn gốc không xác định và không truy cập các trang web mà bạn không tin tưởng. Microsoft khuyên tất cả khách hàng nên bảo vệ thiết bị của họ bằng cách chạy chương trình chống vi rút được hỗ trợ. Khách hàng cũng có thể tận dụng giải pháp chống vi rút được tích hợp sẵn: Bộ bảo vệ Windows dành cho thiết bị Windows 10 hoặc Microsoft Security Essentials dành cho thiết bị Windows 7. Các giải pháp này tương thích trong trường hợp khách hàng không thể cài đặt hoặc chạy phần mềm chống vi rút.

Để giúp tránh gây ảnh hưởng bất lợi đến thiết bị của khách hàng, tất cả khách hàng chưa được cung cấp các bản cập nhật bảo mật Windows được phát hành vào tháng 1 hoặc tháng 2. Để biết chi tiết, hãy xem bài viết trong Cơ sở Kiến thức Microsoft 4072699. 

Intel đã báo cáo các sự cố ảnh hưởng đến vi mã được phát hành gần đây nhằm giải quyết Spectre Biến thể 2 (CVE-2017-5715 – "Branch Target Injection"). Cụ thể, Intel lưu ý rằng vi mã này có thể gây ra "cao hơn dự kiến khởi động lại và hành vi hệ thống không thể đoán trước" và các tình huống như thế này có thể gây ra "mất dữ liệu hoặc hỏng."  Trải nghiệm của chúng tôi là tính không ổn định của hệ thống, trong một số trường hợp, có thể gây mất dữ liệu hoặc hỏng dữ liệu. Vào ngày 22 tháng 1, Intel khuyên khách hàng nên ngừng triển khai phiên bản vi mã hiện tại trên các bộ xử lý bị ảnh hưởng trong khi họ thực hiện thử nghiệm bổ sung đối với giải pháp được cập nhật. Chúng tôi hiểu rằng Intel đang tiếp tục điều tra tác động tiềm tiềm của phiên bản vi mã hiện tại và chúng tôi khuyến khích khách hàng thường xuyên xem lại hướng dẫn của mình để đưa ra quyết định.

Trong khi Intel kiểm tra, cập nhật và triển khai vi mã mới, chúng tôi đang cung cấp bản cập nhật ngoài dải (OOB), KB 4078130, chỉ vô hiệu hóa biện pháp giảm nhẹ đối với CVE-2017-5715 – "Branch Target Injection". Trong thử nghiệm của chúng tôi, bản cập nhật này đã được tìm thấy để ngăn chặn các hành vi được mô tả. Để biết danh sách đầy đủ các thiết bị, hãy xem hướng dẫn hiệu đính vi mã của Intel. Bản cập nhật này áp dụng cho Windows 7 (SP1), Windows 8.1 và tất cả các phiên bản Windows 10, cho máy khách và máy chủ. Nếu bạn đang chạy một thiết bị bị ảnh hưởng, bản cập nhật này có thể được áp dụng bằng cách tải xuống từ trang web Danh mục Microsoft Update. Việc áp dụng tải trọng này đặc biệt vô hiệu hóa việc giảm nhẹ đối với CVE-2017-5715 – "Branch Target Injection". 

Kể từ ngày 25 tháng 1, không có báo cáo đã biết nào cho biết Spectre Biến thể 2 này (CVE-2017-5715) đã được sử dụng để tấn công khách hàng. Chúng tôi khuyên khách hàng Windows nên bật lại biện pháp giảm nhẹ đối với CVE-2017-5715 khi Intel báo cáo đã giải quyết được hành vi hệ thống không thể dự đoán này cho thiết bị của bạn.

Không. Bản cập nhật Dành riêng cho Bảo mật không tích lũy. Tùy thuộc vào phiên bản hệ điều hành bạn đang chạy, bạn phải cài đặt tất cả các bản cập nhật Dành riêng cho Bảo mật đã phát hành để được bảo vệ chống lại các lỗ hổng này. Ví dụ: nếu bạn đang chạy Windows 7 dành cho Hệ thống 32 bit trên CPU Intel bị ảnh hưởng, bạn phải cài đặt mọi bản cập nhật Dành riêng cho Bảo mật bắt đầu từ tháng 1 năm 2018. Chúng tôi khuyên bạn nên cài đặt các bản cập nhật Dành riêng cho Bảo mật này theo thứ tự phát hành.
 
Lưu ý Một phiên bản trước của Câu hỏi Thường Gặp này đã nêu không chính xác rằng bản cập nhật Dành riêng cho Bảo mật Tháng Hai bao gồm các bản sửa lỗi bảo mật được phát hành vào tháng 1. Trong thực tế, nó không.

Không. Bản cập nhật bảo 4078130 là một bản sửa lỗi cụ thể để ngăn chặn hành vi hệ thống không thể dự đoán, sự cố hiệu suất và khởi động lại không mong muốn sau khi cài đặt vi mã. Việc áp dụng các bản cập nhật bảo mật Tháng Hai trên hệ điều hành máy khách Windows cho phép tất cả ba biện pháp giảm nhẹ. Trên hệ điều hành máy chủ Windows, bạn vẫn phải bật các biện pháp giảm nhẹ sau khi kiểm tra thích hợp được thực hiện. Xem bài viết trong Cơ sở Kiến thức Microsoft 4072698 biết thêm thông tin.

AMD gần đây đã thông báo rằng họ đã bắt đầu phát hành vi mã cho các nền tảng CPU mới hơn xung quanh Spectre Biến thể 2 (CVE-2017-5715 "Branch Target Injection"). Để biết thêm thông tin, hãy tham khảo Hướng dẫn Bảo mật AMD Cập nhật và Sách trắng AMD: Hướng dẫn Kiến trúc liên quan đến Kiểm soát Nhánh Gián tiếp. Các bản cập nhật này có sẵn từ kênh vi chương trình OEM. 

Intel gần đây đã thông báo rằng họ đã hoàn tất các quá trình xác thực và bắt đầu phát hành vi mã cho các nền tảng CPU mới hơn. Microsoft đang cung cấp các bản cập nhật vi mã đã xác thực của Intel xung quanh Spectre Biến thể 2 (CVE-2017-5715 "Branch Target Injection"). Kb 4093836 các bài viết cơ sở Kiến thức cụ thể theo phiên bản Windows. Mỗi KB cụ thể đều bao gồm các bản cập nhật vi mã Intel khả dụng theo CPU.

Microsoft đang cung cấp các bản cập nhật vi mã đã được Intel xác thực liên quan đến Spectre Biến thể 2 (CVE-2017-5715 "Branch Target Injection"). Để nhận các bản cập nhật vi mã Intel mới nhất thông qua Windows Update, khách hàng phải cài đặt vi mã Intel trên thiết bị chạy hệ điều hành Windows 10 trước khi nâng cấp lên Bản cập nhật Windows 10 tháng 4 năm 2018 (phiên bản 1803).

Bản cập nhật vi mã cũng có sẵn trực tiếp từ Danh mục Cập nhật nếu nó không được cài đặt trên thiết bị trước khi nâng cấp hệ thống. Vi mã Intel khả dụng thông qua Windows Update, WSUS hoặc Danh mục Microsoft Update. Để biết thêm thông tin và hướng dẫn tải xuống, hãy xem kb 4100347.

Để biết thêm thông tin, hãy xem các tài nguyên sau:

• ADV180012 | Hướng dẫn Microsoft cho Speculative Store Bypass cho CVE-2018-3639

• ADV180013 | Microsoft Guidance for Rogue System Register Read for CVE-2018-3640 and KB 4073065 | Hướng dẫn dành cho Khách hàng Surface

• Microsoft Security Research and Defense Blog

• Hướng dẫn Nhà phát triển cho Bỏ qua Cửa hàng Suy đoán

Để biết chi tiết, hãy xem các phần "Hành động được đề xuất" và "Câu hỏi thường gặp" ADV180012 | Hướng dẫn Của Microsoft cho Bỏ qua Cửa hàng Suy đoán.

Để xác minh trạng thái của SSBD, tập lệnh Get-SpeculationControlSettings PowerShell đã được cập nhật để phát hiện các bộ xử lý bị ảnh hưởng, trạng thái của bản cập nhật hệ điều hành SSBD và trạng thái của vi mã bộ xử lý nếu có. Để biết thêm thông tin và để có được tập lệnh PowerShell, hãy KB4074629.

Vào ngày 13 tháng 6 năm 2018, một lỗ hổng bổ sung liên quan đến thực hiện suy đoán phía kênh, được gọi là Lazy FP State Restore, đã được công bố và gán CVE-2018-3665. Không có cài đặt cấu hình (sổ đăng ký) cần thiết để Khôi phục FP Lười Khôi phục.

Để biết thêm thông tin về lỗ hổng này và các hành động được đề xuất, vui lòng tham khảo Tư vấn Bảo mật: ADV180016 | Hướng dẫn của Microsoft về khôi phục trạng thái FP lười biếng

Lưu ýKhông có cài đặt cấu hình (sổ đăng ký) cần thiết để Khôi phục FP Lười Khôi phục.

Bounds Check Bypass Store (BCBS) đã được tiết lộ vào ngày 10 tháng 7 năm 2018 và được gán CVE-2018-3693. Chúng tôi coi BCBS là thuộc cùng loại lỗ hổng như Bounds Check Bypass (Biến thể 1). Chúng tôi hiện chưa biết về bất kỳ phiên bản nào của BCBS trong phần mềm của mình, nhưng chúng tôi đang tiếp tục nghiên cứu lớp lỗ hổng này và sẽ làm việc với các đối tác trong ngành để phát hành các biện pháp giảm thiểu theo yêu cầu. Chúng tôi tiếp tục khuyến khích các nhà nghiên cứu gửi mọi phát hiện liên quan đến chương trình tiền thưởng Kênh Thực hiện Suy đoán Phía của Microsoft, bao gồm mọi trường hợp khai thác được của BCBS. Các nhà phát triển phần mềm nên xem lại hướng dẫn nhà phát triển đã được cập nhật cho BCBS https://aka.ms/sescdevguide.

Vào ngày 14 tháng 8 năm 2018, Lỗi Terminal L1 (L1TF) đã được công bố và gán nhiều CVEs. Các lỗ hổng thực hiện suy đoán phía kênh có thể được sử dụng để đọc nội dung của bộ nhớ qua ranh giới đáng tin cậy và, nếu khai thác, có thể dẫn đến tiết lộ thông tin. Có nhiều véc-tơ mà kẻ tấn công có thể kích hoạt các lỗ hổng tùy thuộc vào môi trường cấu hình. L1TF ảnh hưởng đến bộ xử lý Intel® Core® và bộ xử lý Intel® Xeon®.

Để biết thêm thông tin về lỗ hổng này và xem chi tiết các kịch bản bị ảnh hưởng, bao gồm cả phương pháp tiếp cận của Microsoft để giảm nhẹ L1TF vui lòng xem các tài nguyên sau:

• ADV180018 | Hướng dẫn của Microsoft để giảm thiểu biến thể L1TF

• Bảo mật Tư vấn Bảo mật Nghiên cứu Blog

• Hướng dẫn Máy chủ cho Lỗi Thiết bị đầu cuối L1

Khách hàng của Microsoft Surface: Khách hàng sử dụng Microsoft Surface và Surface Book cần phải làm theo hướng dẫn dành cho Windows Client được nêu trong Tư vấn Bảo mật: ADV180018 | Hướng dẫn của Microsoft để giảm thiểu biến thể L1TF. Xem thêm Bài viết trong Cơ sở Kiến thức của Microsoft 4073065 biết thêm thông tin về các sản phẩm Surface bị ảnh hưởng và tính khả dụng của các bản cập nhật vi mã.

Khách hàng của Microsoft Hololens: Microsoft HoloLens bị ảnh hưởng bởi L1TF vì nó không sử dụng bộ xử lý Intel bị ảnh hưởng.

Các bước cần thiết để vô hiệu hóa Hyper-Threading sẽ khác với OEM oem nhưng thường là một phần của BIOS hoặc thiết lập vi chương trình và các công cụ cấu hình.

Khách hàng sử dụng bộ xử lý ARM 64 bit nên kiểm tra với thiết bị OEM để được hỗ trợ vi chương trình vì hệ điều hành ARM64 bảo vệ giảm thiểu CVE-2017-5715 - Branch target injection (Spectre, Biến thể 2) yêu cầu bản cập nhật vi chương trình mới nhất từ OEM thiết bị có hiệu lực.

Để biết chi tiết về lỗ hổng này, hãy xem Hướng dẫn Bảo mật của Microsoft: CVE-2019-1125 | Windows Kernel Information Disclosure Vulnerability.

Chúng tôi không biết về bất kỳ trường hợp nào của lỗ hổng tiết lộ thông tin này ảnh hưởng đến cơ sở hạ tầng dịch vụ đám mây của chúng tôi.

Ngay sau khi chúng tôi biết về sự cố này, chúng tôi đã làm việc nhanh chóng để giải quyết sự cố đó và phát hành bản cập nhật. Chúng tôi thực sự tin tưởng vào mối quan hệ đối tác chặt đẹp với cả các nhà nghiên cứu và đối tác trong ngành để làm cho khách hàng an toàn hơn và không công bố chi tiết cho đến thứ Ba, ngày 6 tháng 8, phù hợp với các thực hành tiết lộ lỗ hổng phối hợp.