保护 Windows 设备免遭推理执行侧信道攻击

摘要

当有更多的信息可用时,本文将会更新。 请定期在此处查看更新和新的常见问题解答。


本文提供了有关称为“推理执行侧信道攻击”的一类新攻击的信息和更新。  其中还提供了 Windows 客户端和服务器资源的完整列表,以帮助你的设备在家中、工作中以及整个企业中受到保护。

2018 年 1 月 3 日,Microsoft 发布了与一类新发现的硬件漏洞(称为 Specter 和 Meltdown)相关的通报和安全更新,这些漏洞涉及对 AMD、ARM 和 Intel 处理器有不同程度的影响的推理执行侧信道。 此类漏洞基于最初旨在加速计算机的通用芯片架构。 你可以在 Google Project Zero 上详细了解这些漏洞。

2018 年 5 月 21 日,Google Project Zero (GPZ)、Microsoft 和 Intel 披露了两个与 Spectre 和 Meltdown 问题(称为“推理存储绕过 (SSB)”和“恶意系统注册读取”)有关的新芯片漏洞。 这两种披露的客户风险都很低

有关这些漏洞的更多信息,请参阅 2018 年 5 月 Windows 操作系统更新下列出的资源,并参阅以下安全通报:

2018 年 6 月 13 日,宣布了另外一个涉及侧信道推理执行的漏洞(称为“Lazy FP 状态还原”)并指定为 CVE-2018-3665。 有关此漏洞和建议操作的更多信息,请参阅以下安全通报:

2018 年 8 月 14 日,宣布了具有多个 CVE 的一种新的推理执行侧信道漏洞 L1 终端故障 (L1TF)。 L1TF 会影响 Intel® Core® 处理器和 Intel® Xeon® 处理器。

有关 L1TF 和建议操作的更多信息,请参阅我们的安全通报:

注意: 我们建议你在安装任何微码更新之前先安装 Windows 更新中的所有最新更新。

2019 年 5 月 14 日,Intel 发布了有关新的子类推理执行侧信道漏洞(称为“微架构数据采样”)的信息。 它们已被分配以下 CVE:

重要说明: 这些问题将影响其他系统,例如 Android、Chrome、iOS 和 MacOS。 我们建议客户向各自的供应商寻求指导。

Microsoft 已发布多项更新来帮助缓解此类漏洞。 若要获取所有可用保护,需要进行固件(微码)和软件更新。 这可能包括来自设备 OEM 的微码。 在某些情况下,安装这些更新会对系统性能产生影响。 我们也采取了行动来保护云服务。

注意: 我们建议你在安装微码更新之前先安装 Windows 更新中的所有最新更新。

有关这些问题和建议操作的更多信息,请参阅以下安全通报:

ADV 190013 | Microsoft 缓解微架构数据采样漏洞的指南

2019 年 8 月 6 日,Intel 发布了有关 Windows 内核信息泄漏漏洞的详细信息。 此漏洞是 Spectre 变体 1 推理执行侧信道漏洞的变体,已指定为 CVE-2019-1125

2019 年 7 月 9 日,Microsoft 发布了 Windows 操作系统的安全更新,以帮助缓解此问题。 已启用 Windows 更新并应用了 2019 年 7 月 9 日发布的安全更新的客户将自动受到保护。 请注意,此漏洞不需要设备制造商 (OEM) 提供微码更新。

有关此漏洞和适用更新的更多信息,请参阅 Microsoft 安全更新指南中的 CVE-2019-1125 | Windows 内核信息泄漏漏洞

帮助保护 Windows 设备的步骤

你可能必须同时更新固件(微码)和软件才能修复这些漏洞。 有关建议的操作,请参阅 Microsoft 安全通报。 这包括设备制造商提供的适用固件(微码)更新,以及某些情况下防病毒软件的更新。我们鼓励你通过安装每月安全更新来保持设备的最新状态。

若要接收所有可用的保护,请按照以下步骤获取软件和硬件的最新更新。

注意

在开始之前,请确保你的防病毒 (AV) 软件是最新且兼容的。 请查看您的防病毒软件制造商的网站以了解其最新的兼容性信息。

  1. 打开自动更新,让你的 Windows 设备保持最新状态

  2. 检查您’是否安装了来自 Microsoft 的最新 Windows 操作系统安全更新。 如果打开了自动更新,则会自动向你发送更新。 但是,你仍然应验证它们是否已安装。 有关说明,请参阅Windows 更新: FAQ

  3. 安装你的设备制造商提供的可用固件(微码)更新。 所有客户都需要与其设备制造商联系以下载并安装设备特定的硬件更新。 请参阅“其他资源”部分获取设备制造商网站的列表。

    注意

    客户应该从 Microsoft 安装最新的 Windows 操作系统安全更新,以利用可用的保护。 应首先安装防病毒软件更新。 应遵循操作系统和固件更新。 我们鼓励您通过安装每月安全更新来保持设备的最新状态。 

受影响的芯片包括那些由 Intel、AMD 和 ARM 制造的芯片。 这意味着所有运行 Windows 操作系统的设备都可能易受攻击。 这包括台式机、笔记本电脑、云服务器和智能手机。 运行 Android、Chrome、iOS 和 macOS 等其他操作系统的设备也会受到影响。 我们建议运行这些操作系统的客户寻求这些供应商的指导。

发布时,我们尚未收到任何信息表明已有人利用此漏洞攻击我们的客户。

从 2018 年 1 月开始,Microsoft 发布了 Windows 操作系统、Internet Explorer 和 Edge Web 浏览器的更新,以帮助缓解这些漏洞并帮助保护客户。 我们还发布了更新以保护我们的云服务。  我们继续与包括芯片制造商、硬件 OEM 和应用程序供应商在内的行业合作伙伴密切合作,以保护客户免受此类漏洞影响。 

我们鼓励您始终安装每月更新,以确保您的设备保持最新和安全。 

我们会在新缓解措施可用时更新此文档,并建议你定期在此处查看。 

2019 年 7 月 Windows 操作系统更新

2019 年 8 月 6 日,Intel 披露了安全漏洞 CVE-2019-1125 | Windows 内核信息泄漏漏洞的详细信息。 该漏洞的安全更新已于 2019 年 7 月 9 日发布,作为 7 月月度更新发布的一部分。

2019 年 7 月 9 日,Microsoft 发布了 Windows 操作系统的安全更新,以帮助缓解此问题。 在 2019 年 8 月 6 日星期二协调行业披露之前,我们一直拒绝公开记录这种缓解措施。

已启用 Windows 更新并应用了 2019 年 7 月 9 日发布的安全更新的客户将自动受到保护。 请注意,此漏洞不需要设备制造商 (OEM) 提供微码更新。

 

2019 年 5 月 Windows 操作系统更新

2019 年 5 月 14 日,Intel 发布了有关新的子类推理执行侧信道漏洞(称为“微架构数据采样”)的信息,并指定了以下 CVE:

有关此问题的更多信息,请参阅以下安全通报,并使用 Windows 客户端和服务器指南文章中概述的基于场景的指南来确定缓解威胁所需的操作:

对于 64 位 (x64) 版本的 Windows,Microsoft 已针对新的子类推理执行侧信道漏洞发布了保护措施,这种漏洞称为“微架构数据采样”(CVE-2018-11091CVE-2018-12126CVE-2018-12127CVE-2018-12130)。

使用 Windows 客户端 (KB4073119)Windows Server (KB4457951) 文章中所述的注册表设置。Windows 客户端操作系统版本和 Windows Server 操作系统版本默认启用这些注册表设置。

我们建议你在安装任何微码更新之前先安装 Windows 更新中的所有最新更新。

有关此问题和建议操作的更多信息,请参阅以下安全通报: 

Intel 已针对最近的 CPU 平台发布了微码更新,以帮助缓解 CVE-2018-11091CVE-2018-12126CVE-2018-12127CVE-2018-12130。 2019 年 5 月 14 日 Windows KB 4093836 按 Windows 操作系统版本列出了具体的知识库文章。  本文还包含指向 CPU 可用的 Intel 微码更新的链接。 可以通过 Microsoft 目录获取这些更新。

注意: 我们建议你在安装任何微码更新之前先安装 Windows 更新中的所有最新更新。

我们很高兴地宣布,如果启用了 Spectre 变体 2 (CVE-2017-5715) ,则在 Windows 10 版本 1809 设备(对于客户端和服务器)上默认启用 Retpoline。 通过在最新版本的 Windows 10 上应用 2019 年 5 月 14 日更新 (KB 4494441) 以启用 Retpoline,我们希望提高性能,特别是旧处理器的性能。

客户应确保使用 Windows 客户端Windows Server 文章中所述的注册表设置启用针对 Spectre 变体 2 漏洞的先前操作系统保护。 (Windows 客户端操作系统版本默认启用这些注册表设置,但 Windows Server 操作系统版本默认禁用这些设置。) 有关“Retpoline”的更多信息,请参阅 Mitigating Spectre variant 2 with Retpoline on Windows(在 Windows 上使用 Retpoline 缓解 Spectre 变体 2)

 

2018 年 11 月 Windows 操作系统更新

Microsoft 已针对 AMD 处理器 (CPU) 的推理存储绕过 (CVE-2018-3639) 发布了操作系统保护。

Microsoft 已为使用 64 位 ARM 处理器的客户发布了额外的操作系统保护。 请与设备 OEM 制造商联系以获取固件支持,因为缓解 CVE-2018-3639“推理存储绕过”的 ARM64 操作系统保护需要设备 OEM 提供的最新固件更新。

2018 年 9 月 Windows 操作系统更新

2018 年 9 月 11 日,Microsoft 发布了 Windows Server 2008 SP2 月度汇总更新 4458010 和 Windows Server 2008 仅安全更新 4457984,它们针对一种新的推理执行侧信道漏洞提供保护,该漏洞称为 L1 终端故障 (L1TF),它会影响 Intel® Core® 处理器和 Intel® Xeon® 处理器(CVE-2018-3620 和 CVE-2018-3646)。 

此版本通过 Windows 更新完成了对所有受支持的 Windows 系统版本的额外保护。 有关更多信息和受影响产品的列表,请参阅 ADV180018 | Microsoft 缓解 L1TF 变体指导

注意: Windows Server 2008 SP2 现在遵循标准的 Windows 服务汇总模型。 有关这些更改的更多信息,请参阅我们的博客 Windows Server 2008 SP2 服务更改。 除了安全更新 4341832(于 2018 年 8 月 14 日发布)之外,运行 Windows Server 2008 的客户还应安装 4458010 或 4457984。 客户还应确保使用 Windows 客户端Windows 服务器指南知识库文章中概述的注册表设置启用针对 Spectre 变体 2 和 Meltdown 漏洞的先前操作系统保护。 Windows 客户端操作系统版本默认启用这些注册表设置,但 Windows 服务器操作系统版本默认禁用这些注册表设置。

Microsoft 已为使用 64 位 ARM 处理器的客户发布了额外的操作系统保护。 请与设备 OEM 制造商联系以获取固件支持,因为缓解 CVE-2017-5715“分支目标注入”(Spectre 变体 2)的 ARM64 操作系统保护需要设备 OEM 提供的最新固件更新才能生效。

2018 年 8 月 Windows 操作系统更新

2018 年 8 月 14 日,宣布了 L1 终端故障 (L1TF)并指定了多个 CVE。 这些新的推理执行侧信道漏洞可用于读取跨越受信任边界的内存内容,如果被利用,可能会导致信息泄漏。 攻击者可以利用多个途径根据配置的环境触发漏洞。 L1TF 会影响 Intel® Core® 处理器和 Intel® Xeon® 处理器。

有关 L1TF 的更多信息以及受影响场景的详细视图,包括 Microsoft 缓解 L1TF 的方法,请参阅以下资料:

2018 年 7 月 Windows 操作系统更新

我们很高兴地宣布,Microsoft 已通过 Windows 更新针对以下漏洞发布了对所有受支持 Windows 操作系统版本的额外保护:

  • 针对 AMD 处理器的 Spectre 变体 2

  • 针对 Intel 处理器的推理存储绕过

2018 年 6 月 13 日,宣布了另外一个涉及侧信道推理执行的漏洞(称为“Lazy FP 状态还原”)并指定为 CVE-2018-3665。 Lazy 还原 FP 还原不需要任何配置(注册表)设置。

有关此漏洞、受影响的产品和建议操作的更多信息,请参阅以下安全通报:

Intel 最近宣布他们已完成验证,并开始发布与 Spectre 变体 2(CVE 2017-5715“分支目标注入”)相关的最新 CPU 平台的微码。 KB4093836 按 Windows 版本列出了特定的知识库文章。 本文包含指向 CPU 可用的 Intel 微码更新的链接。

2018 年 6 月 Windows 操作系统更新

6 月 12 日,Microsoft 宣布了对 Intel 处理器中推理存储绕过禁用 (SSBD) 的 Windows 支持。 这些更新需要对应的固件(微码)和注册表更新才能实现功能。 有关开启 SSBD 要应用的更新和步骤的信息,请参阅 ADV180012 | Microsoft 推理存储绕过指南中的“推荐的操作”部分。

2018 年 5 月 Windows 操作系统更新

2018 年 1 月,Microsoft 发布了有关一类新发现的硬件漏洞(称为 Spectre 和 Meltdown)的信息,其中涉及不同程度影响 AMD、ARM 和 Intel CPU 的推理执行侧信道漏洞。 2018 年 5 月 21 日,Google Project Zero (GPZ)、Microsoft 和 Intel 披露了两个与 Spectre 和 Meltdown 问题(称为“推理存储绕过 (SSB)”和“恶意系统注册读取”)有关的新芯片漏洞。

这两种披露的客户风险都很低

有关这些漏洞的更多信息,请参阅以下资源:

适用于: Windows 10 版本 1607、Windows Server 2016、Windows Server 2016(服务器内核安装)和 Windows Server 版本 1709(服务器内核安装)

我们提供了一些支持来控制在某些 AMD 处理器 (CPU) 内间接分支预测屏障 (IBPB) 的使用,用于在从用户上下文切换到内核上下文时缓解 CVE-2017-5715(Spectre 变体 2)。 (有关更多信息,请参阅围绕间接分支控制的 AMD 体系结构指南AMD 安全更新)。

运行 Windows 10 版本 1607、Windows Server 2016、Windows Server 2016(服务器内核安装)和 Windows Server 版本 1709(服务器内核安装)的客户必须安装安全更新 4103723,以获取针对 CVE-2017-5715(分支目标注入),适用于 AMD 处理器的其他缓解措施。 可以通过 Windows 更新获取此更新。

按照 Windows 客户端 (IT Pro) 指南的 KB 4073119 和 Windows Server 指南的 KB 4072698 中所述的说明,启用某些 AMD 处理器 (CPU) 内 IBPB 的使用,用于在从用户上下文切换到内核上下文时缓解“Spectre 变体 2”。

Microsoft 正在围绕 Spectre 变体 2 (CVE-2017-5715“分支目标注入”)提供 Intel 验证的微码更新。 要通过 Windows 更新获取最新的 Intel 微码更新,客户必须在升级到 Windows 10 的 2018 年 4 月更新(版本 1803)之前,在运行 Windows 10 操作系统的设备上安装 Intel 微码。

如果在升级操作系统之前未在设备上安装微码更新,也可以直接从目录中获取微码更新。 可以通过 Windows 更新、WSUS 或 Microsoft 更新目录获取 Intel 微码。 有关更多信息和下载说明,请参阅 KB 4100347

我们会将来自 Intel 的适用于 Windows 操作系统的其他微码更新提供给 Microsoft。

Microsoft 正在围绕 Spectre 变体 2(CVE -2017-5715“分支目标注入”)提供 Intel 验证的微码更新。 KB 4093836 按 Windows 版本列出了特定的知识库文章。 每个特定的 KB 包含 CPU 最新的可用 Intel 微码更新。

我们会将来自 Intel 的适用于 Windows 操作系统的其他微码更新提供给 Microsoft。

2018 年 4 月 Windows 操作系统更新

适用于: Windows 10 版本 1709

我们提供了一些支持来控制在某些 AMD 处理器 (CPU) 内间接分支预测屏障 (IBPB) 的使用,用于在从用户上下文切换到内核上下文时缓解 CVE-2017-5715(Spectre 变体 2)。 (有关更多信息,请参阅围绕间接分支控制的 AMD 体系结构指南AMD 安全更新)。

按照 Windows 客户端 (IT Pro) 指南的 KB 4073119 中所述的说明,启用某些 AMD 处理器 (CPU) 内 IBPB 的使用,用于在从用户上下文切换到内核上下文时缓解“Spectre 变体 2”。

Microsoft 正在围绕 Spectre 变体 2(CVE -2017-5715“分支目标注入”)提供 Intel 验证的微码更新。 KB4093836 按 Windows 版本列出了特定的知识库文章。 每个特定的 KB 包含 CPU 最新的可用 Intel 微码更新。

我们会将来自 Intel 的适用于 Windows 操作系统的其他微码更新提供给 Microsoft。 

2018 年 3 月 Windows 操作系统更新

3 月 23 日,TechNet 安全研究与防卫: KVA 遮蔽: 在 Windows 上缓解 Meltdown

3 月 14 日,安全技术中心: 推理执行侧信道悬赏计划条款

3 月13 日,博客 2018 年 3 月 Windows 安全更新 – 加强对客户的保护力度

3 月 1 日博客: 有关 Windows 设备的 Spectre 和 Meltdown 安全更新的更新

Microsoft 正在围绕 Spectre 变体 2(CVE-2017-5715“分支目标注入”)提供 Intel 验证的微码更新。 KB4093836 按 Windows 版本列出了特定的知识库文章。 每个特定的 KB 包含 CPU 可用的 Intel 微码更新。

我们会将来自 Intel 的适用于 Windows 操作系统的其他微码更新提供给 Microsoft。

从 2018 年 3 月开始,Microsoft 发布了安全更新,为运行以下基于 x86 的 Windows 操作系统的设备提供缓解措施。 客户应该安装最新的 Windows 操作系统安全更新,以利用可用的保护。 我们努力为其它受支持的 Windows 版本提供保护,但目前还没有发布计划。 请在这里查看更新。 有关更多信息,请参阅相关知识库文章以获取技术详细信息以及“常见问题解答”部分。

已发布的产品更新

状态

发布日期

发布通道

KB

Windows 8.1 和 Windows Server 2012 R2 - 仅安全更新

发行版

3 月 13 日

WSUS、目录

KB4088879

Windows 7 SP1 和 Windows Server 2008 R2 SP1 - 仅安全更新

发行版

3 月 13 日

WSUS、目录

KB4088878

Windows Server 2012 - 仅安全更新
Windows 8 Embedded Standard Edition - 仅安全更新

发行版

3 月 13 日

WSUS、目录

KB4088877

Windows 8.1 和 Windows Server 2012 R2 - 月度汇总

发行版

3 月 13 日

WU、WSUS、目录

KB4088876

Windows 7 SP1 和 Windows Server 2008 R2 SP1 - 月度汇总

发行版

3 月 13 日

WU、WSUS、目录

KB4088875

Windows Server 2012 - 月度汇总
Windows 8 Embedded Standard Edition - 月度汇总

发行版

3 月 13 日

WU、WSUS、目录

KB4088877

Windows Server 2008 SP2

发行版

3 月 13 日

WU、WSUS、目录

KB4090450

从 2018 年 3 月开始,Microsoft 发布了安全更新,为运行以下基于 x64 的 Windows 操作系统的设备提供缓解措施。 客户应该安装最新的 Windows 操作系统安全更新,以利用可用的保护。 我们努力为其它受支持的 Windows 版本提供保护,但目前还没有发布计划。 请在这里查看更新。 有关更多信息,请参阅相关知识库文章以获取技术详细信息以及“常见问题解答”部分。

已发布的产品更新

状态

发布日期

发布通道

KB

Windows Server 2012 - 仅安全更新
Windows 8 Embedded Standard Edition - 仅安全更新

发行版

3 月 13 日

WSUS、目录

KB4088877

Windows Server 2012 - 月度汇总
Windows 8 Embedded Standard Edition - 月度汇总

发行版

3 月 13 日

WU、WSUS、目录

KB4088877

Windows Server 2008 SP2

发行版

3 月 13 日

WU、WSUS、目录

KB4090450

此更新修复了 Windows 64 位 (x64) 版本的 Windows 内核中的特权提升漏洞。 此漏洞记录在 CVE-2018-1038 中。 如果用户在 2018 年 1 月期间或之后通过应用以下知识库文章中列出的任意更新对计算机进行了更新,则必须应用此更新才能完全防范此漏洞。

CVE-2018-1038 的 Windows 内核更新

此安全更新可修复 Internet Explorer 中报告的多个漏洞。 若要了解有关这些漏洞的更多信息,请参阅 Microsoft 常见漏洞和披露。 

已发布的产品更新

状态

发布日期

发布通道

KB

Internet Explorer 10 - Windows 8 Embedded Standard Edition 的累积更新

发行版

3 月 13 日

WU、WSUS、目录

KB4089187

2018 年 2 月 Windows 操作系统更新

博客: Windows Analytics 现在可以帮助评估 Spectre 和 Meltdown 保护

以下安全更新为运行 32 位(x86) Windows 操作 系统的设备提供额外保护。 Microsoft 建议客户尽快安装更新。 我们继续努力为其它受支持的 Windows 版本提供保护,但目前还没有发布计划。 请在这里查看更新。 

注意 Windows 10 每月安全更新按月累计,将从 Windows 更新自动下载并安装。 如果您安装了较早的更新,则只有新的部分将被下载并安装到您的设备上。 有关更多信息,请参阅相关知识库文章以获取技术详细信息以及“常见问题解答”部分。

已发布的产品更新

状态

发布日期

发布通道

KB

Windows 10 - 版本 1709 / Windows Server 2016(1709)/物联网核心 - 质量更新

发行版

1 月 31 日

WU,目录

KB4058258

Windows Server 2016 (1709) - Server 容器

发行版

2 月 13 日

Docker Hub

KB4074588

Windows 10 - 版本 1703/物联网核心 - 质量更新

发行版

2 月 13 日

WU,WSUS,目录

KB4074592

Windows 10 - 版本 1607 / Windows Server 2016/物联网核心 - 质量更新

发行版

2 月 13 日

WU,WSUS,目录

KB4074590

Windows 10 HoloLens - 操作系统和固件更新

发行版

2 月 13 日

WU、目录

KB4074590

Windows Server 2016(1607) - 容器映像

发行版

2 月 13 日

Docker 中心

KB4074590

Windows 10 - 版本 1511/物联网核心 - 质量更新

发行版

2 月 13 日

WU,WSUS,目录

KB4074591

Windows 10 - 版本RTM - 质量更新

发行版

2 月 13 日

WU,WSUS,目录

KB4074596

2018 年 1 月 Windows 操作系统更新

博客: 了解 Spectre 和 Meltdown 缓解对 Windows 系统的性能影响

从 2018 年 1 月开始,Microsoft 发布了安全更新,为运行以下基于 x64 的 Windows 操作系统的设备提供缓解措施。 客户应该安装最新的 Windows 操作系统安全更新,以利用可用的保护。 我们努力为其它受支持的 Windows 版本提供保护,但目前还没有发布计划。 请在这里查看更新。 有关更多信息,请参阅相关知识库文章以获取技术详细信息以及“常见问题解答”部分。

已发布的产品更新

状态

发布日期

发布通道

KB

Windows 10 - 版本 1709 / Windows Server 2016(1709)/物联网核心 - 质量更新

发行版

1 月 3 日

WU,WSUS,目录,Azure 图片库

KB4056892

Windows Server 2016 (1709) - Server 容器

发行版

1 月 5 日

Docker Hub

KB4056892

Windows 10 - 版本 1703/物联网核心 - 质量更新

发行版

1 月 3 日

WU,WSUS,目录

KB4056891

Windows 10 - 版本 1607 / Windows Server 2016/物联网核心 - 质量更新

发行版

1 月 3 日

WU,WSUS,目录

KB4056890

Windows Server 2016(1607) - 容器映像

发行版

1 月 4 日

Docker Hub

KB4056890

Windows 10 - 版本 1511/物联网核心 - 质量更新

发行版

1 月 3 日

WU,WSUS,目录

KB4056888

Windows 10 - 版本RTM - 质量更新

发行版

1 月 3 日

WU,WSUS,目录

KB4056893

Windows 10 Mobile(操作系统内部版本 15254.192) - ARM

发行版

1 月 5 日

WU,目录

KB4073117

Windows 10 Mobile(操作系统内部版本 15063.850)

发行版

1 月 5 日

WU,目录

KB4056891

Windows 10 Mobile(操作系统内部版本 14393.2007)

发行版

1 月 5 日

WU,目录

KB4056890

Windows 10 HoloLens

发行版

1 月 5 日

WU,目录

KB4056890

Windows 8.1 / Windows Server 2012 R2 - 仅安全更新

发行版

1 月 3 日

WSUS、目录

KB4056898

Windows Embedded 8.1 Industry Enterprise

发行版

1 月 3 日

WSUS、目录

KB4056898

Windows Embedded 8.1 Industry Pro

发行版

1 月 3 日

WSUS、目录

KB4056898

Windows Embedded 8.1 Pro

发行版

1 月 3 日

WSUS、目录

KB4056898

Windows 8.1 / Windows Server 2012 R2 月度汇总

发行版

1 月 8 日

WU、WSUS、目录

KB4056895

Windows Embedded 8.1 Industry Enterprise

发行版

1 月 8 日

WU、WSUS、目录

KB4056895

Windows Embedded 8.1 Industry Pro

发行版

1 月 8 日

WU、WSUS、目录

KB4056895

Windows Embedded 8.1 Pro

发行版

1 月 8 日

WU,WSUS,目录

KB4056895

Windows Server 2012 仅安全

发行版

WSUS、目录

Windows Server 2008 SP2

发行版

WU,WSUS,目录

Windows Server 2012 月度汇总

发行版

WU,WSUS,目录

Windows Embedded 8 Standard

发行版

WU,WSUS,目录

Windows 7 SP1 / Windows Server 2008 R2 SP1 - 仅安全更新

发行版

1 月 3 日

WSUS、目录

KB4056897

Windows Embedded Standard 7

发行版

1 月 3 日

WSUS、目录

KB4056897

Windows Embedded POSReady 7

发行版

1 月 3 日

WSUS、目录

KB4056897

Windows Thin PC

发行版

1 月 3 日

WSUS、目录

KB4056897

Windows 7 SP1 / Windows Server 2008 R2 SP1 月度汇总

发行版

1 月 4 日

WU、WSUS、目录

KB4056894

Windows Embedded Standard 7

发行版

1 月 4 日

WU、WSUS、目录

KB4056894

Windows Embedded POSReady 7

发行版

1 月 4 日

WU、WSUS、目录

KB4056894

Windows Thin PC

发行版

1 月 4 日

WU、WSUS、目录

KB4056894

Internet Explorer 11 - Windows 7 SP1 和 Windows 8.1 的累积更新

发行版

1 月 3 日

WU,WSUS,目录

KB4056568

资源和技术指南

根据你的角色,以下支持文章将帮助你识别并缓解受 Spectre 和 Meltdown 漏洞影响的客户端和服务器环境。

L1 终端故障 (L1TF) 的 Microsoft 安全通报: MSRC ADV180018CVE-2018-3615CVE-2018-3620CVE-2018-3646

安全研究与防卫: 推理存储绕过的分析和缓解措施 (CVE-2018-3639)

针对推理存储绕过的 Microsoft 安全通报 MSRC ADV180012CVE-2018-3639

针对恶意系统注册读取的 Microsoft 安全通报 | Surface 安全更新指南MSRC ADV180013CVE-2018-3640

安全研究与防卫: 推理存储绕过的分析和缓解措施 (CVE-2018-3639)

TechNet 安全研究与防卫: KVA 遮蔽: 在 Windows 上缓解 Meltdown

安全技术中心: 推理执行侧信道悬赏计划条款

Microsoft 体验博客: 有关 Windows 设备的 Spectre 和 Meltdown 安全更新的更新

面向企业的 Windows 博客: Windows Analytics 现在可以帮助评估 Spectre 和 Meltdown 保护

Microsoft Secure 博客了解 Spectre 和 Meltdown 缓解对 Windows 系统的性能影响

边缘开发者博客缓解 Microsoft Edge 和 Internet Explorer 中的推测性执行旁道攻击

Azure 博客保护 Azure 客户的 CPU 安全漏洞

SCCM 指南有关缓解推理执行副通道漏洞的其它指导

Microsoft 通报:

Intel安全通报

ARM安全通报

AMD安全通报

NVIDIA: 安全通报

客户指南保护您的设备免受与芯片相关的安全漏洞

防病毒指南2018 年 1 月 3 日发布的 Windows 安全更新和防病毒软件

AMD Windows 操作系统安全更新块指南KB4073707: 适用于某些基于 AMD 的设备的 Windows 操作系统安全更新块

禁用针对 Spectre 变体 2 的缓解措施的更新KB4078130: Intel 已确定与某些旧版处理器上的微码相关的重启问题 

表面指南防止推理执行侧信道漏洞的 Surface 指导

验证推理执行侧信道缓解措施的状态了解 Get-SpeculationControlSettings PowerShell 脚本输出

IT Pro 指南IT 专业人士防御推理执行侧信道漏洞的 Windows 客户端指导

Server 指南防御推理执行侧信道漏洞的 Windows Server 指导

L1 终端故障的服务器指南防御 L1 终端故障的 Windows Server 指导

开发人员指南: 推理存储绕过开发人员指南

(服务器)Hyper-V 指南

Azure KBKB4073235: 针对推测执行边信道漏洞的 Microsoft 云保护

Azure Stack 指南KB4073418: 用于防范推理执行边信道漏洞的 Azure Stack 指南

Azure 可靠性: Azure 可靠性门户

SQL Server 指南KB4073225: 防止推测执行边信道漏洞的 SQL Server 指导

指向 OEM 和服务器设备制造商获取防御 Spectre 和 Meltdown 漏洞的更新的链接

为了帮助修复这些漏洞,必须同时更新硬件和软件。 使用以下链接与设备制造商确认适用的固件(微码)更新。

常见问题

第三方联系信息免责声明

Microsoft 提供了第三方联系信息,以帮助你查找有关此主题的其他信息。 该联系信息如有更改,恕不另行通知。 Microsoft 不保证第三方联系信息的准确性。

你将需要与你的设备制造商确认固件(微码)更新。 如果您的设备制造商未在表格中列出,请直接联系您的 OEM。

通过 Windows 更新,客户可以使用 Microsoft Surface 设备的更新。 有关可用 Surface 设备固件(微码)更新的列表,请参阅 KB 4073065

如果你的设备不是来自 Microsoft,请应用设备制造商提供的固件更新。 有关更多信息,请与您的设备制造商联系。

通过使用软件更新修复硬件漏洞存在重大挑战,而且适用于较早操作系统的缓解措施需要大量的体系结构更改。 我们会继续与受影响的芯片制造商合作,以研究提供缓解措施的最佳方式。 这可能会在将来的更新中提供。 替换运行这些较早操作系统的较旧设备以及更新防病毒软件应该能解决剩余的风险。

注意

  • 目前不支持主流和扩展支持的产品将不会收到这些系统更新。 我们建议客户更新到受支持的系统版本。 

  • 推理执行侧信道攻击利用 CPU 行为和功能。 CPU 制造商必须首先确定哪些处理器可能存在风险,然后通知 Microsoft。 在许多情况下,还需要相应的操作系统更新,以便为客户提供更全面的保护。 我们建议具有安全意识的 Windows CE 供应商与其芯片制造商合作,以了解这些漏洞和适用的缓解措施。

  • 我们不会为以下平台发布更新:

    • 目前不受支持或者在 2018 年进入服务终止 (EOS) 的 Windows 操作系统

    • 包括 WES 2009 和 POSReady 2009 在内的基于 Windows XP 的系统


虽然基于 Windows XP 的系统是受影响的产品,但 Microsoft 不会为其发布更新,因为所需的全面体系结构更改会危及系统稳定性并导致应用程序兼容性问题。 我们建议具有安全意识的客户升级到更新的受支持的操作系统,以跟上不断变化的安全威胁格局,并从更新的操作系统提供的更强大的保护中受益。

HoloLens 客户可通过 Windows 更新获取适用于 HoloLens 的 Windows 10 更新。

应用 2018 年 2 月 Windows 安全更新之后,HoloLens 客户不必采取任何其他措施来更新设备固件。 这些缓解措施应包含在适用于 HoloLens 的 Windows 10 的未来版本中。

有关更多信息,请与您的 OEM 联系。

为了让你的设备得到全面保护,你应该为设备安装最新的 Windows 操作系统安全更新和设备制造商提供的适用固件(微码)更新。 这些更新应在您的设备制造商的网站上提供。 应首先安装防病毒软件更新。 操作系统和固件更新可以按任意顺序安装。

必须更新硬件和软件才能修复此漏洞。 你还将必须安装设备制造商提供的适用固件(微码)更新以获得更全面的保护。我们鼓励你通过安装每月安全更新来使设备保持最新状态。

在每个 Windows 10 功能更新中,我们都将最新的安全技术深入到操作系统中,提供纵深防御功能,可防止整个类别的恶意软件影响您的设备。 功能更新版本每年定位两次。 在每月质量更新中,我们增加了另一层安全性,可以跟踪恶意软件中新出现的和不断变化的趋势,以便面对不断变化和不断变化的威胁,使最新的系统更安全。

Microsoft 已通过 Windows 更新提升了受支持版本的 Windows 10、Windows 8.1 和 Windows 7 SP1 设备的 Windows 安全更新的 AV 兼容性检查。 

推荐:

  • 确保你的设备通过安装 Microsoft 和硬件制造商提供的最新安全更新保持最新状态。 有关如何使你的设备保持最新状态的更多信息,请参阅 Windows 更新: 常见问题解答

  • 访问来历不明的网站时请继续采取合理的谨慎措施,并且不要停留在你不信任的网站上。 Microsoft 建议所有客户通过运行受支持的防病毒程序来保护自己的设备。 客户还可以利用内置的防病毒保护功能: 针对 Windows 10设备的 Windows Defender 或针对 Windows 7 设备的 Microsoft Security Essentials。 在客户无法安装或运行防病毒软件的情况下,这些解决方案适用。

为了帮助避免对客户设备产生负面影响,1 月和 2 月发布的 Windows 安全更新尚未提供给所有客户。 有关详细信息,请参阅 Microsoft 知识库文章 4072699。 

Intel 已报告了影响最近发布的旨在解决 Spectre 变体 2(CVE -2017-5715“分支目标注入”)的微码问题。 具体而言,Intel 已注意到此微码可能会导致“重启次数多于预期以及其他意外系统行为”,并且还注意到此类情况可能会导致“数据丢失或损坏”。  我们自己的经验是:系统不稳定在某些情况下会导致数据丢失或损坏。 1 月 22 日,Intel 建议客户在对更新的解决方案执行额外测试时,在受影响的处理器上停止部署当前微码版本。 我们了解 Intel 在不断调查当前微码版本的潜在影响,并鼓励客户持续查看指南以告知其决策。

在 Intel 测试、更新和部署新微码的同时,我们将提供一个带外 (OOB) 更新 KB 4078130,专门用于仅禁用针对 CVE-2017-5715“分支目标注入”的缓解措施。 在我们的测试中,发现此更新可防止上述行为。 有关设备的完整列表,请参阅 Intel 微码修订指南。 此更新适用于客户端和服务器的 Windows 7 (SP1)、Windows 8.1 和所有版本的 Windows 10。 如果你正在运行受影响的设备,可以通过从 Microsoft 更新目录网站下载更新来应用此更新。 应用此有效负载可专门仅禁用针对 CVE-2017-5715“分支目标注入”的缓解措施。 

截至 1 月 25 日,尚没有已知的报告表明此 Spectre 变体 2 (CVE-2017-5715) 被用于攻击客户。 当 Intel 报告已为你的设备解决此意外系统行为时,我们建议 Windows 客户适当时重新启用针对 CVE-2017-5715 的缓解措施。

否,仅安全更新不是累积的。 根据你正在运行的操作系统版本,将必须安装所有发布的仅安全更新,以免受这些漏洞的影响。 例如,如果你在受影响的 Intel CPU 上运行 Windows 7(用于 32 位系统),则必须安装从 2018 年 1 月开始的每个仅安全更新。 我们建议按照发布顺序安装这些仅安全更新。
 
注意 此常见问题解答的较早版本错误地指出,2 月仅安全更新包含 1 月发布的安全修补程序。 事实上,并不包含。

否。安全更新 4078130 是一个特定的修复程序,可用于防止在安装微码后出现不可预知的系统行为、性能问题和意外重启。 在 Windows 客户端操作系统上应用 2 月份安全更新可启用所有三种缓解措施。 在 Windows 服务器操作系统上,执行适当的测试后仍必须启用缓解措施。 有关更多信息,请参阅 Microsoft 知识库文章 4072698

AMD 最近宣布他们已开始围绕 Spectre 变体 2(CVE-2017-5715“分支目标注入”)发布适用于较新 CPU 平台的微码。 有关更多信息,请参阅 AMD 安全更新AMD 白皮书: 围绕间接分支控制的 AMD 体系结构指南。 这些内容可从 OEM 固件频道获得。 

Intel 最近宣布他们已经完成了验证,并开始针对较新的 CPU 平台发布微码。 Microsoft 正在围绕 Spectre 变体 2(CVE-2017-5715“分支目标注入”)提供 Intel 验证的微码更新。 KB 4093836 按 Windows 版本列出了特定的知识库文章。 每个特定的 KB 包含 CPU 可用的 Intel 微码更新。

Microsoft 正在围绕 Spectre 变体 2 (CVE-2017-5715“分支目标注入”)提供 Intel 验证的微码更新。 要通过 Windows 更新获取最新的 Intel 微码更新,客户必须在升级到 Windows 10 的 2018 年 4 月更新(版本 1803)之前,在运行 Windows 10 操作系统的设备上安装 Intel 微码。

如果在升级系统之前未在设备上安装微码更新,也可以直接从更新目录中获取微码更新。 可以通过 Windows 更新、WSUS 或 Microsoft 更新目录获取 Intel 微码。 有关更多信息和下载说明,请参阅 KB 4100347

有关详细信息,请参阅 ADV180012 | Microsoft 推理存储绕过指南中的““推荐的操作””和““常见问题解答””部分。

为验证 SSBD 的状态,已更新 Get-SpeculationControlSettings PowerShell 脚本以检测受影响的处理器、SSBD 操作系统更新的状态和处理器微码的状态(如果适用)。 若要获取详细信息和 PowerShell 脚本,请参阅 KB4074629

2018 年 6 月 13 日,宣布了另外一个涉及侧信道推理执行的漏洞(称为“Lazy FP 状态还原”)并指定为 CVE-2018-3665。 Lazy 还原 FP 还原不需要任何配置(注册表)设置。

有关此漏洞和建议操作的更多信息,请参阅安全通报: ADV180016 | Microsoft Lazy FP 状态还原指南

注意 Lazy 还原 FP 还原不需要任何配置(注册表)设置。

边界检查绕过存储 (BCBS) 于 2018 年 7 月 10 日披露,并指定为 CVE-2018-3693。 我们认为 BCBS 与边界检查绕过(变体 1)属于同一类漏洞。 我们目前尚未发现我们的软件中存在任何 BCBS 实例,但我们正在继续研究此漏洞类别,并将与行业合作伙伴合作以发布所需的缓解措施。 我们将继续鼓励研究人员向 Microsoft 的推理执行侧信道悬赏计划提交任何相关调查结果,包括任何可利用的 BCBS 实例。 软件开发人员应查看已为 BCBS 更新的开发人员指南,网址为:https://aka.ms/sescdevguide

2018 年 8 月 14 日,宣布了 L1 终端故障 (L1TF) 并指定了多个 CVE。 这些新的推理执行侧信道漏洞可用于读取跨越受信任边界的内存内容,如果被利用,可能会导致信息泄漏。 攻击者可以利用多个途径根据配置的环境触发漏洞。 L1TF 会影响 Intel® Core® 处理器和 Intel® Xeon® 处理器。

有关此漏洞的更多信息以及受影响场景的详细视图,包括 Microsoft 缓解 L1TF 的方法,请参阅以下资料:

Microsoft Surface 客户: 使用 Microsoft Surface 和 Surface Book 产品的客户需要遵循安全通报中概述的 Windows 客户端指导: ADV180018 | Microsoft 缓解 L1TF 变体指南。 有关受影响的 Surface 产品和微码更新可用性的更多信息,另请参阅 Microsoft 知识库文章 4073065

Microsoft HoloLens 客户: Microsoft HoloLens 不受 L1TF 的影响,因为它不使用受影响的 Intel 处理器。

禁用超线程所需的步骤因 OEM 不同而异,但通常都是 BIOS 或固件设置和配置工具的一部分。

使用 64 位 ARM 处理器的客户应与设备 OEM 联系以获取固件支持,因为缓解 CVE-2017-5715“分支目标注入”(Spectre 变体 2)的 ARM64 操作系统保护需要设备 OEM 提供的最新固件更新才能生效。

有关此漏洞的详细信息,请参阅 Microsoft 安全指南: CVE-2019-1125 | Windows 内核信息泄漏漏洞

我们未发现影响云服务基础设施的此信息泄漏漏洞的任何实例。

我们一经发现此问题,就会迅速进行解决并发布更新。 我们坚信与研究人员和行业合作伙伴建立密切的合作伙伴关系,以使客户更加安全,并且在 8 月 6 日星期二之前不发布详细信息,与协调漏洞披露做法一致。

需要更多帮助?

扩展你的技能
了解培训
抢先获得新功能
加入 Microsoft 内部人员

此信息是否有帮助?

谢谢您的反馈意见!

谢谢你的反馈! 可能需要转接到 Office 支持专员。

×