Bảo vệ thiết bị của bạn chống lại các lỗ hổng bảo mật liên quan đến chip

Các chip bị ảnh hưởng bao gồm những người được sản xuất bởi Intel và ARM, nghĩa là phiên bản hệ điều hành Windows và Windows Server có khả năng dễ bị tổn thương. Các bản cập nhật bảo mật đã phát hành vào ngày 3 tháng 1 năm 2018 cung cấp các biện pháp giảm thiểu cho thiết bị chạy các hệ điều hành Windows dựa trên x64 sau đây:

o   Windows 7 Service Pack 1

o   Windows 8.1

o   Windows 10 (phiên bản đầu tiên đã phát hành vào tháng 7 năm 2015, 1511, 1607, 1703 và 1709)

o   Windows Server 2008 R2

o   Windows Server 2012 R2

o   Windows Server 2016

Các bản cập nhật bảo mật đã phát hành vào ngày 13 tháng 2 năm 2018 cung cấp các biện pháp giảm thiểu cho thiết bị chạy các hệ điều hành Windows dựa trên x64 sau đây:

o   Windows 10 phiên bản 1709

o   Windows 10 phiên bản 1703

o   Windows 10 phiên bản 1607

o   Windows 10 phiên bản 1511

o   Windows 10 phiên bản đầu tiên được phát hành vào tháng 7 năm 2015

Giải quyết một lỗ hổng phần cứng với bản cập nhật phần mềm trình bày những thách thức đáng kể đối với các hệ điều hành cũ hơn và có thể yêu cầu thay đổi kiến trúc lớn. Chúng tôi đang tiếp tục làm việc với các nhà sản xuất chip bị ảnh hưởng và nghiên cứu cách tốt nhất để cung cấp các biện pháp giảm thiểu, có thể sẽ được đưa vào một bản cập nhật trong tương lai. Cùng với việc cập nhật phần mềm chống vi rút, việc thay thế các thiết bị cũ chạy các hệ điều hành cũ này sẽ khắc phục những nguy cơ còn lại.

Khách hàng nên cài đặt các bản Cập Nhật bảo mật hệ điều hành Windows mới nhất từ Microsoft để tận dụng việc bảo vệ sẵn có. Bạn cũng sẽ cần cài đặt bản cập nhật vi chương trình hiện hành từ nhà sản xuất thiết bị. Bản cập nhật này sẽ có sẵn trên trang web của nhà sản xuất thiết bị của bạn. Nên cài đặt bản cập nhật phần mềm chống vi rút trước. Có thể cài đặt hệ điều hành và bản cập nhật vi chương trình theo trình tự bất kỳ. Chúng tôi khuyên bạn nên giữ cho các thiết bị của mình đến ngày bằng cách cài đặt các bản Cập Nhật bảo mật Windows hàng tháng.  

Bạn sẽ cần Cập Nhật cả phần cứng và phần mềm của bạn để khắc phục sự cố này. Bạn cũng sẽ cần cài đặt bản cập nhật vi chương trình hiện hành từ nhà sản xuất thiết bị để được bảo vệ toàn diện hơn. Bạn nên duy trì cập nhật cho thiết bị của mình bằng cách cài đặt bản cập nhật bảo mật hàng tháng.

Bạn sẽ cần tham vấn nhà sản xuất thiết bị về bản cập nhật vi chương trình. Để biết thêm thông tin, hãy xem bảng được liệt kê trong KB 4073757.

Bản cập nhật dành cho thiết bị Microsoft Surface sẽ được gửi đến khách hàng thông qua Windows Update. Để biết thêm thông tin, hãy xem KB 4073065.

Trong mỗi bản cập nhật tính năng Windows 10, chúng tôi xây dựng kỹ thuật bảo mật mới nhất vào hệ điều hành, cung cấp các tính năng phòng thủ chuyên sâu ngăn chặn toàn bộ các lớp của phần mềm độc hại từ tác động đến thiết bị của bạn.  Bản phát hành cập nhật tính năng được nhắm mục tiêu mỗi năm hai lần. Trong mỗi bản cập nhật chất lượng hàng tháng, chúng tôi thêm vào một lớp bảo mật khác, lớp này theo dõi những xu hướng đang phát triển và nổi lên trong phần mềm độc hại để giúp hệ thống cập nhật an toàn hơn khi phải đối mặt với các mối đe dọa ngày càng phát triển và nâng cao.

Đề xuất:

• Hãy đảm bảo thiết bị của bạn được cập nhật với bản cập nhật bảo mật mới nhất từ Microsoft và từ nhà sản xuất phần cứng của bạn. Để biết thêm thông tin về cách duy trì cập nhật thiết bị, hãy xem Windows Update: Câu hỏi Thường Gặp.

• Hãy luôn thận trọng khi truy cập các trang web không có nguồn gốc xác định và không truy cập vào các trang web bạn không tin tưởng. Microsoft khuyên tất cả khách hàng nên bảo vệ thiết bị của họ bằng cách chạy chương trình chống vi rút được hỗ trợ. Khách hàng cũng có thể tận dụng tính năng bảo vệ chống vi rút được tích hợp sẵn: Bảo mật Windows dàn cho các thiết bị Windows 10 (hoặc Trung tâm Bảo mật của Bộ bảo vệ Windows trong các phiên bản trước của Windows 10) hoặc Microsoft Security Essentials dành cho các thiết bị Windows 7. 

Chúng tôi đã thực hiện các bước để bảo vệ khách hàng sử dụng trình duyệt của Microsoft và chúng tôi sẽ tiếp tục cải thiện các biện pháp giảm thiểu này trong các bản cập nhật trong tương lai. Chúng tôi cũng khuyên khách hàng của chúng tôi thực hành các thói quen máy tính tốt trực tuyến, bao gồm thận trọng khi bấm vào nối kết đến các trang web, hãy mở các tệp không xác định hoặc chấp nhận chuyển tệp.

Nếu thiết bị của bạn đang chạy phần mềm chống vi-rút không được biết là tương thích với bản Cập Nhật, bản Cập Nhật sẽ không được cài đặt. Vì vậy, nếu bạn gặp sự cố khi cài đặt bản Cập Nhật, trước tiên hãy kiểm tra với nhà sản xuất phần mềm chống vi-rút của bạn để tìm hiểu xem phần mềm chống vi-rút mà bạn đang chạy đã được Cập Nhật. Không thể cài đặt Cập Nhật trên các thiết bị có phần mềm chống vi-rút không tương thích.

Bạn cũng có thể thử các Mẹo khắc phục sự cốWindows Update này.

Intel đã báo cáo sự cố với mã lỗi được phát hành gần đây có nghĩa là đến địa chỉ Spectre biến thể 2 (CPC 2017-5715 chi nhánh mục tiêu) – đặc biệt là Intel ghi chú rằng điều này có thể gâyra "cao hơn dự kiến khởi động lại và hành vi hệ thốngkhông thể đoán trước khác"  Trải nghiệm riêng của chúng tôi là hệ thống mất ổn định có thể có trong một số trường hợp gây ra mất dữ liệu hoặc tham nhũng.  Vào ngày 22 tháng 1, 2018, Intel được đề xuất rằng khách hàng ngừng triển khai phiên bản vi mã hiện tại trên bộ xử lý bị ảnh hưởng trong khi họ thực hiện kiểm tra bổ sung trên giải pháp đã cập nhật.  Chúng tôi hiểu rằng Intel đang tiếp tục điều tra khả năng tác động của phiên bản vi mã hiện tại và khuyến khích khách hàng thường xuyên xem lại các hướng dẫn để đưa ra quyết định sáng suốt.

Trong khi kiểm tra Intel, các bản Cập Nhật và triển khai mã lỗi mới, chúng tôi đang có sẵn một bản Cập Nhật ban ngày hôm nay, KB4078130, đặc biệt chỉ vô hiệu hóa việc giảm nhẹ đối với cve-2017-5715 – "chi nhánh mục tiêu tiêm lỗ hổng".  Trong thử nghiệm bản cập nhật này đã được tìm thấy để ngăn không cho hành vi được mô tả. Bản cập nhật này áp dụng cho Windows 7 (SP1), Windows 8.1 và tất cả các phiên bản Windows 10, cho máy khách và máy chủ. Nếu bạn đang chạy một thiết bị đã ảnh hưởng, bạn có thể áp dụng bản cập nhật này bằng cách tải xuống từ trang webdanh mục Microsoft Update.  Việc áp dụng tải trọng này dành riêng để vô hiệu hóa ảnh hưởng của CVE-2017-5715 – “Lỗ hổng bảo mật branch target injection”. 

Tính đến 25 tháng 1, 2018, không có báo cáo nào đã biết để cho biết rằng phiên bản này Spectre 2 (CPC 2017-5715) đã được sử dụng để tấn công khách hàng. Khi phù hợp, khách hàng Windows nên bật lại quy trình giảm thiểu ảnh hưởng do CVE-2017-5715 khi Intel báo cáo đã giải quyết được hành vi hệ thống không thể dự đoán này cho thiết bị của bạn.

Trong tháng hai 2018, Intel đã thông báo họ đã hoàn thành hợp lệ của họ và bắt đầu phát hành vi mã cho các nền tảng CPU mới hơn. Microsoft sẽ cung cấp các bản cập nhật vi mã đã được Intel xác thực liên quan đến Spectre Biến thể 2 [CVE 2017-5715 ("Branch Target Injection")]. KB4093836 và KB4100347 liệt kê các bài viết cụ thể trong Cơ sở Kiến thức theo phiên bản Windows. Mỗi KB cụ thể đều bao gồm các bản cập nhật vi mã Intel khả dụng theo CPU.

Từ ngày 17 tháng 5 năm 2018, Microsoft sẽ cung cấp các bản cập nhật vi mã đã được Intel xác thực liên quan đến Spectre Biến thể 2 (CVE 2017-5715 “Branch Target Injection”) cho thiết bị đã nâng cấp lên Bản cập nhật Windows 10 tháng 4 năm 2018. Để tải các bản Cập Nhật vi-mã mới nhất của Intel thông qua Windows Update, khách hàng phải cài đặt Intel vi mã trên các thiết bị chạy hệ điều hành Windows 10 trước khi nâng cấp lên Windows 10 tháng tư 2018 (Phiên bản 1803). 
Bản Cập Nhật vi mã cũng sẵn dùng trực tiếp từ danh mục nếu nó không được cài đặt trên thiết bị trước khi nâng cấp hệ điều hành.  Vi mã Intel có sẵn thông qua Windows Update, WSUS hoặc các Danh mục Microsoft Update.  Để biết thêm thông tin và tải xuống hướng dẫn, hãy xem KB4100347.