Microsoft 已意识到影响来自多个不同制造商的芯片的安全漏洞。 许多设备和应用程序将受到此缺陷影响,包括任何使用受影响的芯片运行的操作系统,如 Windows。 若要利用可用的保护,请遵循以下步骤获取最新的软件和硬件更新:
-
确保你的防病毒软件处于最新状态。 查看软件制造商网站,了解最新信息。
-
确认你已安装微软发布的最新 Windows 操作系统安全更新。 如果已启用自动更新,更新应自动提供给你,但仍应确认这些更新是否已安装。 有关说明,请参阅 Windows 更新:常见问题解答。
-
安装设备制造商发布的任何固件更新。 固件更新应可通过设备制造商网站获取。
注意: 仅安装来自 Microsoft 的最新安全更新的客户不会受到漏洞的完全保护。 你还需要安装设备制造商的可用固件更新。 首先应安装防病毒软件更新。 可以任意顺序安装操作系统和固件更新。
我们鼓励你通过每月安装 Windows 安全更新使你的设备保持更新到最新状态且最安全。
常见问题
针对最近发现的对多家不同制造商生产的芯片造成影响的安全漏洞,我们提供了问题解答。
受影响的芯片包括由 Intel 和 ARM 制造的芯片,这意味着 Windows 和 Windows Server 操作系统版本可能易受攻击。 2018 年 1 月 3 日发布的安全更新为运行以下 Windows x64 操作系统的设备提供了缓解措施:
o Windows 7 Service Pack 1
o Windows 8.1
o Windows 10(2015 年 7 月发布的初始版本、1511、1607、1703 和 1709)
o Windows Server 2008 R2
o Windows Server 2012 R2
o Windows Server 2016
2018 年 2 月 13 日发布的安全更新为运行以下 Windows x64 操作系统的设备提供了缓解措施:
o Windows 10 版本 1709
o Windows 10 版本 1703
o Windows 10 版本 1607
o Windows 10 版本 1511
Windows 10(2015 年 7 月发布初始版本)
使用软件更新解决硬件漏洞对于较旧的操作系统带来了重大挑战,并且可能需要进行广泛的体系结构更改。 我们将继续与受影响的芯片制造商合作探索最佳缓解措施,这可能会在未来的更新中予以体现。 除更新防病毒软件外,更换运行旧版操作系统的较旧设备应该也可以消除仍然存在的风险。
客户应安装来自微软的最新 Windows 操作系统安全更新,以便利用可用的保护。 你还需要安装设备制造商的可用固件更新。 这些更新应可通过设备制造商网站获取。 首先应安装防病毒软件更新。 可以任意顺序安装操作系统和固件更新。 建议通过安装每月的 Windows 安全更新,使设备保持最新。
要修复此漏洞,需要对硬件和软件都进行更新。 你还需要安装设备制造商的可用固件更新才能受到更全面的保护。 我们鼓励你通过每月安装 Windows 安全更新使你的设备保持更新到最新状态。
对于固件更新,你需要与设备制造商进行确认。 若要获取详细信息,请参阅 KB 4073757 中列出的表。
Microsoft Surface 设备的更新将通过 Windows 更新提供给客户。 有关详细信息,请参阅 KB 4073065。
建议:
-
确保你的设备已使用 Microsoft 和硬件制造商提供的最新安全更新达到最新状态。 有关使设备保持最新状态的详细信息,请参阅 Windows 更新:常见问题解答。
-
当访问来源未知的网站时保持合理的警惕,不要在不信任的站点上停留。 Microsoft 建议所有用户运行受支持的防病毒程序以保护其设备。 用户也可以充分利用内置的防病毒保护:Windows 10 设备的 Windows 安全中心(在以前版本的 Windows 10 中称为 Windows Defender 安全中心)或 Windows 7 设备的 Microsoft Security Essentials。
我们已采取步骤来保护使用微软浏览器的客户,我们将继续在未来更新中改进这些缓解措施。 我们也鼓励用户形成良好的网络使用习惯,比如在单击网页链接、打开未知文件或接受文件传输时保持谨慎。
如果设备运行与更新兼容情况未知的防病毒软件,更新将无法安装。 因此,如果你在安装更新时遇到问题,请首先与防病毒软件制造商确认,了解你所运行的防病毒软件是否已更新。 如果设备安装了不兼容的防病毒软件,则更新将无法安装。
还可以尝试这些 Windows 更新 疑难解答提示。
Intel 报告了最近发布的微代码问题,旨在解决 Spectre 变体 2 (CVE 2017-5715 分支目标注入) - 具体而言,Intel 指出此微 代码可能导致"高于预期的重新启动和其他不可预知的系统行为",然后指出此类情况可能导致"数据丢失或损坏"。 我们的经验是,在某些情况下,系统不稳定可能会导致数据丢失或损坏。 2018 年 1 月 22 日,Intel 建议客户停止在受影响的处理器上部署当前微代码版本,同时对更新的解决方案执行其他测试。 据我们了解,Intel 将继续调查当前微代码版本的潜在影响,并鼓励客户持续关注他们的指南,以便做出明智的决策。
在 Intel 测试、更新和部署新微代码时,我们目前提供带外更新 KB4078130,专门禁用针对 CVE-2017-5715 的缓解措施 – "分支目标注入漏洞"。 在我们的测试中,我们发现此更新是为了防止出现所述的行为。 此更新涵盖 Windows 7 (SP1)、Windows 8.1 和所有版本的 Windows 10,适用于客户端和服务器。 如果正在运行受影响的设备,可以通过从 Microsoft 更新目录网站 下载此更新来应用 此更新。 此有效负载专门用于禁用针对 CVE-2017-5715 -“分支目标注入漏洞”的缓解措施。
截至 2018 年 1 月 25 日,没有任何已知报告表明此 Spectre 变体 2 (CVE 2017-5715 ) 已用于攻击客户。 我们建议 Windows 客户在 Intel 报告已解决相关设备的无法预测的系统行为后,再选择合适的时间重新启用针对 CVE-2017-5715 的缓解措施。
2018 年 2 月 ,Intel 宣布他们已完成验证并开始为较新的 CPU 平台发布微代码。 Microsoft 即将针对 Spectre 变体 2 [CVE 2017-5715 (Branch Target Injection)] 推出经过 Intel 验证的微代码更新。 KB4093836 和 KB4100347 按 Windows 版本列出了特定的知识库文章。 每个特定的知识库包含按 CPU 排列的 Intel 微代码更新。
自 2018 年 5 月 17 日起,Microsoft 可针对 Spectre 变体 2(CVE 2017-5715“Branch Target Injection”)向升级到 Windows 10 2018 年 4 月更新的设备推出经过 Intel 验证的微代码更新。 若要通过 Windows 更新获取最新的 Intel 微代码更新,客户必须在运行 Windows 10 操作系统的设备上安装 Intel 微代码,然后才能升级到 Windows 10 2018 年 4 月更新(版本 1803)。
如果在升级 OS 之前未在设备上安装微代码更新,也可以直接从目录中获得该更新。 Intel 微代码通过 Windows 更新、WSUS 或 Microsoft 更新目录推出。 有关详细信息和下载说明,请参阅KB4100347。