Microsoft 已發現一些不同製造商的碎片會受到影響的安全性漏洞。 許多裝置和應用程式受此問題影響,包括任何在受影響晶片上執行的作業系統,例如 Windows。 若想利用可用的保護,請依照下列步驟以取得軟體及硬體的最新更新:
-
確認您的防毒軟體已是最新狀態。 查看軟體製造商的網站,以取得他們最新的資訊。
-
確認您已安裝 Microsoft 的最新 Windows 作業系統安全性更新。 如果自動更新已開啟,應該會自動將更新傳遞給您,但您依舊必須確認已安裝這些更新。 有關指示,請參閱 Windows Update:常見問題。
-
安裝您的裝置製造商提供的任何韌體更新。 韌體更新應該可以在裝置製造商的網站上取得。
注意: 只有安裝 Microsoft 最新安全性更新的客戶,不會完全防範這些弱點。 您還需要安裝您的裝置製造商提供的適用韌體更新。 首先要安裝防毒軟體更新。 接著以任意順序安裝作業系統和韌體更新。
我們鼓勵您每個月安裝 Windows 安全性更新,確保您的裝置在最新狀態並且安全無虞。
常見問題集
以下是有關最近發現會影響數個不同製造商晶片的安全性弱點的解答。
受到影響的包括由 Intel 和 ARM 製造的晶片,這表示 Windows 和 Windows Server 作業系統版本都可能有安全弱點。 2018 年 1 月 3 日發行的安全性更新提供安全防護功能給執行下列 Windows x64 型作業系統的裝置:
o Windows 7 Service Pack 1
o Windows 8.1
o Windows 10 (2015 年 7 月推出的最初版本、1511、1607、1703 和 1709)
o Windows Server 2008 R2
o Windows Server 2012 R2
o Windows Server 2016
2018 年 2 月 13 日發行的安全性更新,提供安全防護功能給執行下列 Windows x64 型作業系統的裝置:
o Windows 10 版本 1709
o Windows 10 版本 1703
o Windows 10 版本 1607
o Windows 10 版本 1511
o Windows 10 (2015 年 7 月推出的最初版本)
使用軟體更新解決硬體弱點,對較舊的作業系統是一項重大的挑戰,而且可能需要進行大規模的架構變更。 我們會持續與受影響的晶片製造商合作,研究提供防護功能的最佳方法,希望可在未來的更新中提供。 除了更新防毒軟體,更換執行這些較舊作業系統的舊型裝置也應該能夠解決其餘風險。
客戶應安裝 Microsoft 的最新 Windows 作業系統安全性更新,以充分利用可用的保護。 您還需要安裝您的裝置製造商提供的適用韌體更新。 這些更新應該可以在裝置製造商的網站上取得。 首先要安裝防毒軟體更新。 接著以任意順序安裝作業系統和韌體更新。 我們建議您安裝每月的 Windows 安全性更新,讓您的裝置保持在最新狀態。
您必須同時更新您的硬體和軟體,才能修正這個弱點。 您還需要安裝您的裝置製造商提供的適用韌體更新,才能獲得更完整的保護。 我們鼓勵您安裝每月 Windows 安全性更新,確保您的裝置在最新狀態。
請洽詢您的裝置製造商,以取得韌體更新。 如需詳細資訊,請參閱 KB 4073757 中所列表格。
Microsoft Surface 裝置的更新會透過 Windows Update 傳遞給客戶。 如需詳細資訊,請參閱 KB 4073065。
建議事項:
-
確保已使用 Microsoft 和您的硬體製造商提供的最新安全性更新,將您的裝置更新到最新狀態。 如需如何將裝置保持在最新狀態的詳細資訊,請參閱 Windows Update:常見問題集。
-
在瀏覽不明來源的網站時保持敏感謹慎的態度,不要停留在您不信任的網站上。 Microsoft 建議所有客戶執行受支援的防毒程式來保護裝置。 客戶也可以善用內建的防毒軟體防護:適用於 Windows 10 裝置的 Windows 安全性 (或舊版的 Windows 10 的 Windows Defender 資訊安全中心),或適用於 Windows 7 裝置的 Microsoft Security Essentials。
我們已採取步驟來保護使用 Microsoft 瀏覽器的客戶,也會在未來的更新持續改進這些安全防護功能。 我們也建議客戶養成良好的上網習慣,包括不要貿然按下網頁連結、開啟不明檔案或接受檔案傳輸。
如果您裝置執行的防毒軟體目前不確定是否與更新相容,就無法安裝更新。 因此,如果您在安裝更新時發生問題,請先洽詢您的防毒軟體製造商,以了解您所執行的防毒軟體是否已更新。 更新無法安裝在具有不相容防毒軟體的裝置上。
您也可以嘗試這些 Windows Update 疑難排解秘訣。
Intel 已報告最近發行微型代碼的問題,旨在解決 Spectre Variant 2 (CVE 2017-5715 分支目標注入) – 特別是 Intel 指出,此微碼可能會導致「高於預期的重新開機及其他無法預測的系統行為」,然後指出類似這種情況可能會導致「資料遺失 或損壞」。 我們的經驗是,在某些情況下,系統不穩定可能會導致資料遺失或損壞。 在 2018 年 1 月 22 日,Intel 建議客戶停止在受到影響的處理器上部署目前的 Microcode 版本,同時在更新的解決方案上執行其他測試。 我們了解 Intel 仍在繼續調查目前微碼版本的可能影響,並鼓勵客戶持續檢視他們的指導方針以利做出更佳判斷。
當 Intel 測試、更新及部署新的 Microcode 時,我們目前提供帶外更新 KB4078130,專門停用針對 CVE-2017-5715 的緩解措施 -「分支目標注入弱點」。 在我們的測試中,已發現此更新可防止所述行為。 這項更新包含 Windows 7 (SP1)、Windows 8.1 和所有 Windows 10 用戶端與伺服器版本。 如果您執行的裝置受到影響,可以從 Microsoft Update 目錄網站下載此更新。. 應用此承載只會專門停用針對 CVE-2017-5715 –「分支目標注入弱點」的安全防護功能。
截至 2018 年 1 月 25 日,沒有任何已知報告指出此 Spectre variant 2 (CVE 2017-5715 ) 已用來攻擊客戶。 我們建議 Windows 客戶,當 Intel 報告已解決您裝置適用的此項無法預期系統行為時,在適當的時機重新啟用針對 CVE-2017-5715 的安全防護功能。
2018 年 2 月 ,Intel 宣佈已完成驗證,並開始發行適用于較新 CPU 平臺的 Microcode。 Microsoft 會在約 Spectre Variant 2 [CVE 2017-5715 (「分支目標插入」)] 時提供 Intel 的驗證微碼更新。 KB4093836 和 KB4100347 會根據 Windows 版本列出特定知識庫文章。 每個特定的 KB 都會包含每個 CPU 可用的 Intel 微碼更新。
從 2018 年 5 月 17 日開始,Microsoft 對於升級到 Windows 10 2018 年 4 月更新的裝置,提供針對 Spectre Variant 2 (CVE 2017-5715「分支目標插入」) 的 Intel 的驗證微碼更新。 若要透過 Windows Update 取得最新的 Intel 微碼更新,客戶必須在升級到 Windows 10 2018 年 4 月更新 (版本 1803) 之前,已在執行 Windows 10 作業系統的裝置上安裝 Intel 微碼。
如果在升級作業系統之前未安裝在裝置上,也可以直接從目錄使用 Microcode 更新。 Intel 微碼可透過 Windows Update、WSUS 或 Microsoft Update Catalog 取得。 詳細資訊和下載指示,請參閱 KB4100347。
