|
變更日期 |
變更描述 |
|---|---|
|
2023 年 8 月 9 日 |
|
|
2024 年 4 月 9 日 |
|
摘要
本文提供影響許多新式處理器和作業系統的全新級別晶片型微系統結構化與推測執行旁路弱點的資訊和更新。 並提供 Windows 用戶端和伺服器資料的完整清單,協助您的裝置在家中、公司和企業間得到保護。 這包括 Intel、AMD 和 ARM。 您可以在下列安全性建議和 CVE 中找到這些晶片型問題的特定弱點詳細資料:
2018 年 1 月 3 日,Microsoft 發行與新發現的硬體弱點 (稱為 Spectre 和 Meltdown) 有關的資訊安全諮詢和安全性更新,其中涉及影響 AMD、ARM 和 Intel 處理器程度不一的理論式執行端通道。 這類弱點是基於原本設計用來加快電腦執行速度的一般晶片架構。 您可以在Google Project Zero深入了解這些弱點。
在 2018 年 5 月 21 日,Google Project Zero (GPZ)、Microsoft 和Intel公開兩個與 Spectre 和 Meltdown 問題有關的新晶片弱點,稱為 推測執行旁路弱點 (SSB) 和 Rogue 系統登錄讀取。 這兩個弱點造成的客戶風險不高。
如需有關這些弱點的詳細資訊,請參閱 2018 年 5 月 Windows 作業系統更新 下所列的資源,並參閱下列資訊安全諮詢:
在 2018 年 6 月 13 日,我們宣布另一個與旁路推測執行有關、名為消極式 FP 狀態還原的弱點,並指派 CVE-2018-3665。 如需有關此弱點和建議動作的詳細資訊,請參閱下列資訊安全諮詢:
我們已於 2018 年 8 月 14 日宣布新的推測執行旁路弱點 L1 終端機錯誤 (L1TF) 並且此弱點具有多個 CVE。 L1TF 會影響 Intel® Core® 處理器和 Intel® Xeon® 處理器。 如需有關 L1TF 和建議動作的詳細資訊,請參閱我們的資訊安全諮詢:
注意: 建議您在安裝任何微碼更新之前,先安裝 Windows Update 中所有的最新更新。
2019 年 5 月 14 日,Intel 已發佈有關名為「微結構資料取樣」之理論式執行端通道弱點新子類別的資訊。 這些弱點已指派為下列 CVE:
重要: 這些問題將會影響其他系統,例如 Android、Chrome、iOS 和 MacOS。 建議客戶向個別廠商尋找指引。
Microsoft 已經發行更新,可協助防範這些弱點。 若要取得所有可用的保護,則必須安裝韌體 (微碼) 和軟體更新。 這包括來自裝置 OEM 的微碼。 在某些情況下,安裝這些更新將會對效能造成影響。 我們也已採取行動,保護我們的雲端服務。
注意: 建議您在安裝微碼更新之前,先安裝 Windows Update 中所有的最新更新。
如需有關這些問題和建議動作的詳細資訊,請參閱下列資訊安全諮詢:
Intel 已於 2019 年 8 月 6 日發行有關 Windows 核心資訊洩漏弱點的詳細資訊。 這個弱點是 Spectre Variant 1 推測執行旁路弱點的變體,並且已指派為 CVE-2019-1125。
Microsoft 已於 2019 年 7 月 9 日為 Windows 作業系統發行安全性更新,以協助防範此問題。 若客戶已啟用 Windows Update 並套用 2019 年 7 月 9 日發行的安全性更新,則會自動受到保護。 請注意,此弱點不需要裝置製造商 (OEM) 的微碼更新。
如需有關此弱點和適用更新的詳細資訊,請參閱「Microsoft 安全性更新導覽」中的 CVE-2019-1125 | Windows 核心資訊洩漏弱點。
2022 年 6 月 14 日,Intel 發佈了在公告中列出有關推測執行記憶體對應 I/O (MMIO) 旁路弱點的新子類別資訊:
協助保護您 Windows 裝置的步驟
您可能必須更新韌體 (微碼) 和軟體,才能解決這些弱點。 請參閱 Microsoft 資訊安全諮詢,以了解建議動作。 這包括裝置製造商的適用韌體 (微碼) 更新,在某些情況下,還包括防毒軟體的更新。 我們鼓勵您安裝每月 Windows 安全性更新,確保您的裝置在最新狀態。
若要收到所有可用的保護,請依照下列步驟執行,取得軟體和硬體的最新更新。
附註: 開始之前,請先確認您 的防毒 (AV) 軟體是最新且相容的。 請查看您的防毒軟體製造商網站,取得最新相容性資訊。
-
確認您已安裝 Microsoft 提供的最新 Windows 作業系統安全性更新。 如果已啟用自動更新,更新應會自動傳遞給您。 不過,您還是應該確認已安裝更新。 如需相關指示,請參閱 Windows Update:常見問題集
-
安裝裝置製造商提供的可用韌體 (微碼) 更新。 所有客戶都必須洽詢裝置製造商,以下載並安裝裝置特定的硬體更新。 如需裝置製造商網站的清單,請參閱其他資源一節。
附註: 客戶應安裝 Microsoft 提供的最新 Windows 作業系統安全性更新,以善加利用可用的保護。 請先安裝防毒軟體更新, 作業系統及韌體更新應跟著進行。 我們鼓勵您安裝每月 Windows 安全性更新,確保您的裝置在最新狀態。
受影響的晶片包括 Intel、AMD 和 ARM 所製造的晶片。 這表示,所有執行 Windows 作業系統的裝置都可能容易受到攻擊, 其中包括桌上型電腦、膝上型電腦、雲端伺服器和智慧型手機。 執行 Android、Chrome、iOS 和 macOS 等其他作業系統的裝置也會受到影響。 我們建議執行這些作業系統的客戶向那些廠商尋找指引。
本文發行時,我們尚未收到任何資訊,指出客戶已遭受這些弱點的攻擊。
自 2018 年 1 月開始,Microsoft 已經針對 Windows 作業系統、Internet Explorer 和 Edge 網頁瀏覽器發行數個更新,可協助避免這些弱點並保護客戶。 此外,我們也發行了更新,以保護我們的雲端服務。 我們會持續與晶片製造商、硬體 OEM 和應用程式廠商等業界合作夥伴密切合作,一同保護客戶防範這個弱點等級。
建議您永遠安裝每月更新,讓您的裝置保持在最新且安全的狀態。
當新的緩和措施可供使用時,我們會更新這份文件,建議您定期返回查看。
2019 年 7 月 Windows 作業系統更新
在 2019 年 8 月 6 日,Intel 已公佈安全性弱點 CVE-2019-1125 | Windows 核心資訊洩漏弱點 的詳細資料。 此弱點的安全性更新已於 2019 年 7 月 9 日,發行做為 7 月每月更新的一部分。
Microsoft 已於 2019 年 7 月 9 日為 Windows 作業系統發行安全性更新,以協助防範此問題。 我們直到 2019 年 8 月 6 日星期二業界協調的公佈時間,才公開記載這項緩和措施。
若客戶已啟用 Windows Update 並套用 2019 年 7 月 9 日發行的安全性更新,則會自動受到保護。 請注意,此弱點不需要裝置製造商 (OEM) 的微碼更新。
2019 年 5 月 Windows 作業系統更新
2019 年 5 月 14 日,Intel 已發佈有關名為「微結構資料取樣」之理論式執行端通道弱點新子類別的資訊,並將這些弱點指派為下列 CVE:
如需有關這個問題的詳細資訊,請參閱下列資訊安全諮詢,並運用 Windows 用戶端和伺服器指引文章中所列的案例指引,判斷防範威脅所需執行的動作:
Microsoft 已針對適用於 64 位元 (x64) 版本的 Windows,發行可防範名為微結構資料取樣之推測執行旁路弱點的新子類別 (CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130) 的保護。
依照 Windows 用戶端 (KB4073119) 和 Windows Server(KB4457951) 文章中所述使用登錄設定。 Windows 用戶端作業系統版本和 Windows Server 作業系統版本預設為啟用這些登錄設定。
建議您在安裝任何微碼更新之前,先安裝 Windows Update 中所有的最新更新。
如需有關這個問題和建議動作的詳細資訊,請參閱下列資訊安全諮詢:
Intel 已為最新的 CPU 平台發行微碼更新,以協助降低 CVE-2018-11091,CVE-2018-12126, CVE-2018-12127, CVE-2018-12130 風險。 2019 年 5 月 14 日 Windows KB 4093836 依 Windows OS 版本列出特定知識庫文章。 本文也包含可用 Intel 微碼更新的連結,依 CPU 排列。 這些更新透過 Microsoft Catalog 提供。
注意: 建議您在安裝任何微碼更新之前,先安裝 Windows Update 中所有的最新更新。
我們很高興宣布 Retpoline 已在 Windows 10 版本 1809 裝置 (適用於用戶端和伺服器) 預設為啟用,若 Spectre Variant 2 (CVE-2017-5715) 已啟用。 透過安裝 2019 年 5 月 14 日更新 (KB 4494441) 來啟用最新 Windows 10 版本上的 Retpoline,預期會提升效能,對於舊版處理器更是顯著。
客戶應務必使用 Windows 用戶端 和 Windows Server 文章中所述的登錄設定,針對 Spectre Variant 2 弱點啟用先前的作業系統保護。 (Windows 用戶端作業系統版本預設為啟用這些登錄設定,Windows 伺服器作業系統版本則預設為停用)。 如需有關 Retpoline 的詳細資訊,請參閱 在 Windows 運用 Retpoline 以防範 Spectre Variant 2。
2018 年 11 月 Windows 作業系統更新
Microsoft 已針對推測執行旁路弱點 (CVE-2018-3639),發行適用於 AMD 處理器 (CPU) 的作業系統保護。
Microsoft 已經為使用 64 位元 ARM 處理器的客戶發行額外的作業系統保護。 請洽詢裝置 OEM 製造商以取得韌體支援,因為可緩解 CVE-2018-3639 的推測執行旁路弱點的 ARM64 作業系統保護須具備裝置 OEM 提供的最新韌體更新。
2018 年 9 月 Windows 作業系統更新
在 2018 年 9 月 11 日,Microsoft 已發行「Windows Server 2008 SP2 每月彙總套件 4458010」和「適用於 Windows Server 2008 的僅限安全性 4457984」,以便針對名為「L1 終端機錯誤」(L1TF) 的新理論式執行端通道弱點提供保護,此弱點會對 Intel® Core® 處理器和 Intel® Xeon® 處理器 (CVE-2018-3620 和 CVE-2018-3646) 造成影響。
這個發行版本會透過 Windows Update,在所有支援的 Windows 系統版本上完成額外保護。 如需詳細資訊及受影響產品的清單,請參閱 ADV180018 | 緩和 L1TF 變體的 Microsoft 指引。
注意: Windows Server 2008 SP2 現在依循標準 Windows 維護彙總套件模型。 如需有關這些變更的詳細資訊,請參閱我們的部落格 Windows Server 2008 SP2 服務變更。 若客戶執行 Windows Server 2008,則除了 2018 年 8 月 14 日發行的安全性更新 4341832 以外,還應安裝 4458010 或 4457984。 此外,客戶也應務必使用 Windows 用戶端 和 Windows Server 指引知識庫文章中所述的登錄設定,針對 Spectre Variant 2 和 Meltdown 弱點啟用先前的作業系統保護。 Windows 用戶端作業系統版本預設為啟用這些登錄設定,Windows 伺服器作業系統版本則預設為停用。
Microsoft 已經為使用 64 位元 ARM 處理器的客戶發行額外的作業系統保護。 請洽詢裝置 OEM 製造商以取得韌體支援,因為採用可防範 CVE-2017-5715 - 分支目標導入 (Spectre,Variant 2) 的 ARM64 作業系統保護時,必須具備裝置 OEM 提供的最新韌體更新,如此才會發揮作用。
2018 年 8 月 Windows 作業系統更新
在 2018 年 8 月 14 日,我們已宣布 L1 終端機錯誤 (L1TF) 並指派多個 CVE。 這些新的理論式執行端通道弱點可能會用來讀取受信任邊界間的記憶體內容,並且若遭到利用,可能導致資訊洩漏。 視設定的環境而定,攻擊者可能會利用多個媒介來觸發弱點。 L1TF 會影響 Intel® Core® 處理器和 Intel® Xeon® 處理器。
如需有關 L1TF 的詳細資訊,以及受影響案例的詳細概觀,包括 Microsoft 防範 L1TF 的方法,請參閱下列資源:
2018 年 7 月 Windows 作業系統更新
我們很高興宣布 Microsoft 已完成透過 Windows Update,在所有支援的 Windows 系統版本發行適用於下列弱點的額外保護:
-
適用於 AMD 處理器的 Spectre Variant 2
-
適用於 Intel 處理器的理論式儲存略過
在 2018 年 6 月 13 日,我們宣布另一個與旁路推測執行有關、名為消極式 FP 狀態還原的弱點,並指派 CVE-2018-3665。 消極式還原 FP 還原不需要設定 (登錄) 設定。
如需有關此弱點、受影響產品和建議動作的詳細資訊,請參閱下列資訊安全諮詢:
Microsoft 已於 6 月 12 日宣布對 Intel 處理器中「理論式儲存略過停用」(SSBD) 的 Windows 支援。 更新需要對應的韌體 (微碼) 和登錄更新,才能發揮作用。 如需有關更新和 SSBD 啟用步驟的資訊,請參閱 ADV180012 | 適用於推測執行旁路弱點的 Microsoft 指引 中的「建議動作」一節。
2018 年 5 月 Windows 作業系統更新
在 2018 年 1 月,Microsoft 發行與新發現的硬體弱點 (稱為 Spectre 和 Meltdown) 有關的資訊,其中涉及影響 AMD、ARM 和 Intel CPU 程度不一的理論式執行端通道。 在 2018 年 5 月 21 日,Google Project Zero (GPZ)、Microsoft 和 Intel 公開揭露兩個與 Spectre 和 Meltdown 問題有關的新晶片弱點,稱為 推測執行旁路弱點 (SSB) 和 Rogue 系統登錄讀取。
「這兩個弱點造成的客戶風險不高。」
如需有關這些弱點的詳細資訊,請參閱下列資源:
-
適用於推測執行旁路弱點的 Microsoft 資訊安全諮詢: MSRC ADV180012 和 CVE-2018-3639
-
適用於 Rogue 系統登錄讀取的 Microsoft 資訊安全諮詢 : MSRC ADV180013和 CVE-2018-3640
-
安全性研究與防禦: 推測執行旁路弱點的分析和減緩措施 (CVE-2018-3639)
適用於: Windows 10 1607 版、Windows Server 2016、Windows Server 2016 (Server Core 安裝) 和 Windows Server 1709 版 (Server Core 安裝)
我們已經提供支援,以便在從使用者內容切換至核心內容時,控制如何在某些 AMD 處理器 (CPU) 內運用間接分支預測屏障 (IBPB) 緩解 CVE-2017-5715,Spectre Variant 2。 (如需詳細資訊,請參閱 AMD 間接分支控制的基礎架構準則 和 AMD 安全性更新)。
若客戶執行 Windows 10 1607 版、Windows Server 2016、Windows Server 2016 (Server Core 安裝) 和 Windows Server 1709 版 (Server Core 安裝),必須安裝安全性更新 4103723,做為 AMD 處理器的額外緩和措施,以防範 CVE-2017-5715 分支目標導入。 此更新也會透過 Windows Update 提供。
請依照適用於 Windows 用戶端 (IT 專業人員) KB 4073119 的指引及適用於 Windows Server KB 4072698 的指引中所述的指示執行,在某些 AMD 處理器 (CPU) 內啟用 IBPB,以便在從使用者內容切換至核心內容時緩解 Spectre Variant 2。
Microsoft 會推出經過 Intel 驗證、與 Spectre Variant 2 (CVE-2017-5715「分支目標導入」) 有關的微碼更新。 若要透過 Windows Update 取得最新的 Intel 微碼更新,執行 Windows 10 作業系統的裝置在升級為 Windows 10 2018 年 4 月更新 (版本 1803) 之前,必須先安裝 Intel 微碼。
此外,升級作業系統之前,也可以從 Catalog 直接取得微碼更新 (若未安裝)。 Intel 微碼會透過 Windows Update、WSUS 或 Microsoft Update Catalog 提供使用。 如需詳細資訊和下載指示,請參閱KB 4100347。
當 Intel 提供其他微碼更新給 Microsoft 時,我們也會提供給 Windows 作業系統。
適用於: Windows 10 版本 1709
我們已經提供支援,以便在從使用者內容切換至核心內容時,控制如何在某些 AMD 處理器 (CPU) 內運用 Indirect Branch Prediction Barrier (IBPB) 防範 CVE-2017-5715 Spectre Variant 2 (如需詳細資訊,請參閱 AMD 間接分支控制的基礎架構準則 和 AMD 安全性更新)。
請依照適用於 Windows 用戶端 (IT 專業人員) 的 KB 4073119 指引中所列的指示執行,以便在從使用者內容切換至核心內容時,在某些 AMD 處理器 (CPU) 內啟用 IBPB 緩解 Spectre Variant 2。
Microsoft 會推出經過 Intel 驗證、與 Spectre Variant 2 (CVE-2017-5715「分支目標導入」) 有關的微碼更新。 KB4093836 依 Windows 版本列出特定知識庫文章。 每個特定 KB 都包含依 CPU 排列、最新可用的 Intel 微碼更新。
當 Intel 提供其他微碼更新給 Microsoft 時,我們也會提供給 Windows 作業系統。
2018 年 3 月和更新的 Windows 作業系統更新
3 月 23 日,TechNet 安全性研究和防禦: KVA 陰影: 緩解 Windows 上的 Meltdown
3 月 14 日,安全性技術中心: 推測執行旁路懸賞計劃條款
3 月 13 日,部落格:2018 年 3 月 Windows 安全性更新 – 擴展我們保護客戶的努力
3 月 1 日,部落格: 適用於 Windows 裝置之 Spectre 和 Meltdown 安全性更新的更新
自 2018 年 3 月開始,Microsoft 已針對執行下列 x86 型 Windows 作業系統的裝置發行安全性更新,以提供緩和措施。 客戶應安裝最新 Windows 作業系統安全性更新,以善加利用可用的保護。 我們會努力為其他支援的 Windows 版本提供保護,但目前沒有發行排程。 請返回查看是否有更新。 如需詳細資訊,請參閱相關知識庫文章了解技術詳細資訊以及「常見問題集」一節。
|
發行的產品更新 |
狀態 |
發行日期 |
發行管道 |
KB |
|
Windows 8.1 與 Windows Server 2012 R2 - 僅限安全性更新 |
已發行 |
3 月 13 日 |
WSUS、Catalog |
|
|
Windows 7 SP1 與 Windows Server 2008 R2 SP1 - 僅限安全性更新 |
已發行 |
3 月 13 日 |
WSUS、Catalog |
|
|
Windows Server 2012 - 僅限安全性更新 |
已發行 |
3 月 13 日 |
WSUS、Catalog |
|
|
Windows 8.1 與 Windows Server 2012 R2 - 每月彙總套件 |
已發行 |
3 月 13 日 |
WU、WSUS、Catalog |
|
|
Windows 7 SP1 與 Windows Server 2008 R2 SP1 - 每月彙總套件 |
已發行 |
3 月 13 日 |
WU、WSUS、Catalog |
|
|
Windows Server 2012 - 每月匯總套件 |
已發行 |
3 月 13 日 |
WU、WSUS、Catalog |
|
|
Windows Server 2008 SP2 |
已發行 |
3 月 13 日 |
WU、WSUS、Catalog |
自 2018 年 3 月開始,Microsoft 已針對執行下列 x64 型 Windows 作業系統的裝置發行安全性更新,以提供緩和措施。 客戶應安裝最新 Windows 作業系統安全性更新,以善加利用可用的保護。 我們會努力為其他支援的 Windows 版本提供保護,但目前沒有發行排程。 請返回查看是否有更新。 如需詳細資訊,請參閱相關知識庫文章了解技術詳細資訊以及「常見問題集」一節。
|
發行的產品更新 |
狀態 |
發行日期 |
發行管道 |
KB |
|
Windows Server 2012 - 僅限安全性更新 |
已發行 |
3 月 13 日 |
WSUS、Catalog |
|
|
Windows Server 2012 - 每月匯總套件 |
已發行 |
3 月 13 日 |
WU、WSUS、Catalog |
|
|
Windows Server 2008 SP2 |
已發行 |
3 月 13 日 |
WU、WSUS、Catalog |
此更新能解決 64 位元 (x64) 版本 Windows 中 Windows 核心權限提高的弱點。 此弱點已記載於 CVE-2018-1038。 如果使用者的電腦在 2018 年 1 月以後透過套用下列知識庫文章所列的任何更新進行更新,則必須套用此更新,才能完全防範此弱點。
此安全性更新可解決 Internet Explorer 中幾項報告的弱點。 若要深入了解這些弱點,請參閱 Microsoft 一般弱點及安全風險。
|
發行的產品更新 |
狀態 |
發行日期 |
發行管道 |
KB |
|
Internet Explorer 10 - 適用於 Windows 8 Embedded Standard Edition 的累積更新 |
已發行 |
3 月 13 日 |
WU、WSUS、Catalog |
2018 年 2 月 Windows 作業系統更新
下列安全性更新可為執行 32 位元 (x86) Windows 作業系統的裝置提供額外保護。 Microsoft 建議客戶在更新推出時,盡快安裝。 我們會繼續努力為其他支援的 Windows 版本提供保護,但目前沒有發行排程。 請返回查看是否有更新。
附註: Windows 10 每月安全性更新是每個月累積的更新,將會從 Windows Update 自動下載並安裝。 如果您已安裝先前的更新,則只會在您的裝置下載並安裝新的部分。 如需詳細資訊,請參閱相關知識庫文章及常見問題集一節,了解詳細技術資訊。
|
發行的產品更新 |
狀態 |
發行日期 |
發行管道 |
KB |
|
Windows 10 - 版本 1709 / Windows Server 2016 (1709) / IoT 核心版 - 品質更新 |
已發行 |
1 月 31 日 |
WU、Catalog |
|
|
Windows Server 2016 (1709) - 伺服器容器 |
已發行 |
2 月 13 日 |
Docker Hub |
|
|
Windows 10 - 版本 1703 / IoT 核心版 - 品質更新 |
已發行 |
2 月 13 日 |
WU、WSUS、Catalog |
|
|
Windows 10 - 版本 1607 / Windows Server 2016 / IoT 核心版 - 品質更新 |
已發行 |
2 月 13 日 |
WU、WSUS、Catalog |
|
|
Windows 10 HoloLens - OS 和韌體更新 |
已發行 |
2 月 13 日 |
WU、Catalog |
|
|
Windows Server 2016 (1607) - 容器映像 |
已發行 |
2 月 13 日 |
Docker Hub |
|
|
Windows 10 - 版本 1511 / IoT 核心版 - 品質更新 |
已發行 |
2 月 13 日 |
WU、WSUS、Catalog |
|
|
Windows 10 - 版本 RTM - 品質更新 |
已發行 |
2 月 13 日 |
WU、WSUS、Catalog |
2018 年 1 月 Windows 作業系統更新
自 2018 年 1 月開始,Microsoft 已針對執行下列 x64 型 Windows 作業系統的裝置發行安全性更新,以提供緩和措施。 客戶應安裝最新 Windows 作業系統安全性更新,以善加利用可用的保護。 我們會努力為其他支援的 Windows 版本提供保護,但目前沒有發行排程。 請返回查看是否有更新。 如需詳細資訊,請參閱相關知識庫文章及常見問題集一節,了解詳細技術資訊。
|
發行的產品更新 |
狀態 |
發行日期 |
發行管道 |
KB |
|
Windows 10 - 版本 1709 / Windows Server 2016 (1709) / IoT 核心版 - 品質更新 |
已發行 |
1 月 3 日 |
WU、WSUS、Catalog、Azure 圖像藝廊 |
|
|
Windows Server 2016 (1709) - 伺服器容器 |
已發行 |
1 月 5 日 |
Docker Hub |
|
|
Windows 10 - 版本 1703 / IoT 核心版 - 品質更新 |
已發行 |
1 月 3 日 |
WU、WSUS、Catalog |
|
|
Windows 10 - 版本 1607 / Windows Server 2016 / IoT 核心版 - 品質更新 |
已發行 |
1 月 3 日 |
WU、WSUS、Catalog |
|
|
Windows Server 2016 (1607) - 容器映像 |
已發行 |
1 月 4 日 |
Docker Hub |
|
|
Windows 10 - 版本 1511 / IoT 核心版 - 品質更新 |
已發行 |
1 月 3 日 |
WU、WSUS、Catalog |
|
|
Windows 10 - 版本 RTM - 品質更新 |
已發行 |
1 月 3 日 |
WU、WSUS、Catalog |
|
|
Windows 10 行動裝置版 (作業系統組建 15254.192) - ARM |
已發行 |
1 月 5 日 |
WU、Catalog |
|
|
Windows 10 行動裝置版 (作業系統組建 15063.850) |
已發行 |
1 月 5 日 |
WU、Catalog |
|
|
Windows 10 行動裝置版 (作業系統組建 14393.2007) |
已發行 |
1 月 5 日 |
WU、Catalog |
|
|
Windows 10 HoloLens |
已發行 |
1 月 5 日 |
WU、Catalog |
|
|
Windows 8.1 / Windows Server 2012 R2 - 僅限安全性更新 |
已發行 |
1 月 3 日 |
WSUS、Catalog |
|
|
Windows Embedded 8.1 Industry Enterprise |
已發行 |
1 月 3 日 |
WSUS、Catalog |
|
|
Windows Embedded 8.1 Industry Pro |
已發行 |
1 月 3 日 |
WSUS、Catalog |
|
|
Windows Embedded 8.1 Pro |
已發行 |
1 月 3 日 |
WSUS、Catalog |
|
|
Windows 8.1 / Windows Server 2012 R2 每月彙總套件 |
已發行 |
1 月 8 日 |
WU、WSUS、Catalog |
|
|
Windows Embedded 8.1 Industry Enterprise |
已發行 |
1 月 8 日 |
WU、WSUS、Catalog |
|
|
Windows Embedded 8.1 Industry Pro |
已發行 |
1 月 8 日 |
WU、WSUS、Catalog |
|
|
Windows Embedded 8.1 Pro |
已發行 |
1 月 8 日 |
WU、WSUS、Catalog |
|
|
Windows Server 2012 僅限安全性 |
已發行 |
WSUS、Catalog |
||
|
Windows Server 2008 SP2 |
已發行 |
WU、WSUS、Catalog |
||
|
Windows Server 2012 每月彙總套件 |
已發行 |
WU、WSUS、Catalog |
||
|
Windows Embedded 8 Standard |
已發行 |
WU、WSUS、Catalog |
||
|
Windows 7 SP1 / Windows Server 2008 R2 SP1 - 僅限安全性更新 |
已發行 |
1 月 3 日 |
WSUS、Catalog |
|
|
Windows Embedded Standard 7 |
已發行 |
1 月 3 日 |
WSUS、Catalog |
|
|
Windows Embedded POSReady 7 |
已發行 |
1 月 3 日 |
WSUS、Catalog |
|
|
Windows 精簡型電腦 |
已發行 |
1 月 3 日 |
WSUS、Catalog |
|
|
Windows 7 SP1 / Windows Server 2008 R2 SP1 每月彙總套件 |
已發行 |
1 月 4 日 |
WU、WSUS、Catalog |
|
|
Windows Embedded Standard 7 |
已發行 |
1 月 4 日 |
WU、WSUS、Catalog |
|
|
Windows Embedded POSReady 7 |
已發行 |
1 月 4 日 |
WU、WSUS、Catalog |
|
|
Windows 精簡型電腦 |
已發行 |
1 月 4 日 |
WU、WSUS、Catalog |
|
|
適用於 Windows 7 SP1 和 Windows 8.1 之 Internet Explorer 11 的累積更新 |
已發行 |
1 月 3 日 |
WU、WSUS、Catalog |
我們已在 2024 年 4 月 9 日發佈 CVE-2022-0001 | Intel 分支歷程記錄注入 其描述分支歷程記錄 (BHI),這是一種特定形式的內部模式 BTI。 當攻擊者可能會在從使用者轉換到主管模式 (或從 VMX 非根/來賓轉換為根模式) 之前,先操作分支歷程記錄時,就會發生此弱點。 此操作可能會導致間接分支預測器為間接分支選取特定的預測器項目,而預測目標的揭露小工具將暫時執行。 這可能是因為相關的分支歷程記錄可能包含先前安全性內容中所採用的分支,尤其是其他預測器模式。
請遵循適用於 Windows 用戶端 (IT 專業人員) 指導方針的 KB4073119 和適用於 Windows Server 指導方針的 KB4072698 中所述的指示,以降低 CVE-2022-0001 |Intel 分支歷程記錄注入 中所描述的弱點。
資源和技術指引
視您的角色而定,下列支援文章可協助您識別受到 Spectre 和 Meltdown 弱點影響的用戶端和伺服器環境,並協助避免攻擊。
適用於 L1 終端機錯誤 (L1TF) 的 Microsoft 資訊安全諮詢: MSRC ADV180018、CVE-2018-3615、CVE-2018-3620,和 CVE-2018-3646
安全性研究與防禦: 推測執行旁路弱點的分析和緩解措施 (CVE-2018-3639)
適用於推測執行旁路弱點的 Microsoft資訊安全諮詢: MSRC ADV180012 和 CVE-2018-3639
適用於 Rogue 系統登錄讀取的Microsoft 資訊安全諮詢 | 適用於 Surface 的安全性更新導覽: MSRC ADV180013和 CVE-2018-3640
安全性研究與防禦: 推測執行旁路弱點的分析和減緩措施 (CVE-2018-3639)
TechNet 安全性研究與防禦: KVA Shadow: 緩解 Windows 上的 Meltdown
安全性技術中心: 推測執行旁路懸賞計劃條款
Microsoft 體驗部落格: 適用於 Windows 裝置的 Spectre 更新和 Meltdown 安全性更新
商務用 Windows 部落格: Windows Analytics 現在可協助評估 Spectre 和 Meltdown 保護
Microsoft Secure 落格: 了解 Spectre 及 Meltdown 風險降低措施對 Windows 系統的效能影響
Edge 開發人員部落格: 在 Microsoft Edge 和 Internet Explorer 中降低推測執行旁路弱點的風險
Azure 部落格: 保護 Azure 客戶不受 CPU 弱點威脅
SCCM 指引: 降低推測執行旁路弱點風險的其他指引
Microsoft 諮詢:
Intel: 資訊安全諮詢
ARM: 資訊安全諮詢
AMD: 資訊安全諮詢
NVIDIA: 資訊安全諮詢
消費者指引: 保護您的裝置不受晶片相關安全性弱點影響
防毒軟體指引: Windows 安全性更新 (2018 年 1 月 3 日發行) 以及防毒軟體
AMD Windows OS 安全性更新封鎖的指引: KB4073707: Windows 作業系統安全性更新對部分 AMD 型裝置的封鎖
更新以停用針對 Spectre, Variant 2 的防護功能: KB4078130: Intel 已確認某些較舊處理器上微碼的重新啟動問題
Surface 指引: 防範推測執行旁路弱點的 Surface 指引
確認推測執行旁路緩解的狀態: 瞭解 PowerShell 指令碼輸出 Get-SpeculationControlSettings
IT 專業人員指引: IT 專業人員防範推測執行旁路弱點的 Windows 用戶端指引
伺服器指引: 防範推測執行旁路弱點的 Windows Server 指引
L1 終端機錯誤的伺服器指引: Windows Server 防範 L1 終端機錯誤的指引
開發人員指引: 推測執行旁路弱點的開發人員指引
Server Hyper-V 指引
Azure KB: KB4073235: Microsoft Cloud 防範推測執行旁路弱點
Azure 堆疊指引: KB4073418: 防範推測執行旁路弱點的 Azure 堆疊指引
Azure 可靠性: Azure 可靠性入口網站
SQL Server 指引: KB4073225: 防範推測執行旁路弱點的 SQL Server 指引
連結至 OEM 和伺服器裝置製造商,以取得防範 Spectre 和 Meltdown 弱點的更新
為協助解決這些弱點,您必須更新硬體和軟體。 請使用下列連結,查看您的裝置製造商是否有適用的韌體 (微碼) 更新。
請使用下列連結,查看您的裝置製造商是否有韌體 (微碼) 更新。 您必須安裝作業系統和韌體 (微碼) 更新,才能取得所有可用保護。
|
OEM 裝置製造商 |
微碼可用性的連結 |
|
Acer |
|
|
Asus |
|
|
Dell |
|
|
Epson |
|
|
Fujitsu |
|
|
HP |
|
|
Lenovo |
|
|
LG |
|
|
NEC |
|
|
Panasonic |
|
|
Samsung |
|
|
Surface |
|
|
Toshiba |
|
|
Vaio |
|
伺服器 OEM 製造商 |
微碼可用性的連結 |
|
Dell |
|
|
Fujitsu |
|
|
HPE |
|
|
Huawei |
|
|
Lenovo |
常見問題集
您必須查看您的裝置製造商是否有韌體 (微碼) 更新。 如果您的裝置製造商未列在表格中,請直接與您的 OEM 連絡。
Microsoft Surface 裝置的客戶可以透過 Windows Update 取得更新。 如需可用 Surface 裝置韌體 (微碼) 更新的清單,請參閱 KB 4073065。
如果您的裝置並非 Microsoft 所出產,請套用裝置製造商提供的韌體更新。 請與您的 裝置製造商 連絡以取得詳細資訊。
透過軟體更新解決硬體弱點會帶來許多挑戰,並需要適用於舊版作業系統的緩和措施,而且可能需要進行大規模的架構變更。 我們會持續與受影響的晶片製造商合作,研究提供緩和措施的最佳方式。 這可能會在未來的更新中提供。 取代執行這些舊版作業系統的舊版裝置並更新防毒軟體,應能解決其餘風險。
附註:
-
目前不在主要支援和延伸支援範圍內的產品,將不會收到這些系統更新。 建議客戶更新為支援的系統版本。
-
理論式執行端通道攻擊會利用 CPU 行為和功能。 CPU 製造商必須先判斷哪些處理器可能存在風險,然後再通知 Microsoft。 在很多情況下,爲了為客戶提供更加全面的保護,也需要對應的作業系統更新。 我們建議具有安全性意識的 Windows CE 廠商與晶片製造商合作,以了解弱點和適用的緩和措施。
-
我們不會為下列平台發行更新:
-
目前不在支援範圍或將於 2018 年終止服務 (EOS) 的 Windows 作業系統
-
Windows XP 系統,包括 WES 2009 和 POSReady 2009
-
雖然 Windows XP 系統是受影響的產品,但是 Microsoft 不會為這些產品發行更新,因為若必須進行全面性架構變更,可能會危及系統穩定性並造成應用程式相容性問題。 建議具有安全性意識的客戶升級為較新支援的作業系統,以跟上變化多端的安全性威脅概覽,並從較新作業系統所提供的更多穩健保護中獲益。
HoloLens 客戶可以透過 Windows Update 取得適用於 Windows 10 HoloLens 的更新。
套用 2018 年 2 月 Windows 安全性更新之後,HoloLens 客戶不必採取任何其他動作來更新他們的裝置韌體。 這些緩和措施也會隨附於 Windows 10 HoloLens 未來的所有版本。
請與您的 OEM 連絡,以取得詳細資訊。
為了讓您的裝置獲得完整保護,您應安裝裝置適用的最新 Windows 作業系統安全性更新,以及裝置製造商提供的適用韌體 (微碼) 更新。 這些更新應該可從裝置製造商網站取得。 請先安裝防毒軟體更新, 作業系統更新和韌體更新則能以任意順序進行安裝。
您必須更新硬體和軟體,才能解決此弱點。 您還必須安裝您的裝置製造商提供的適用韌體 (微碼) 更新,才能獲得更完整的保護。 我們鼓勵您安裝每月 Windows 安全性更新,確保您的裝置在最新狀態。
在每個 Windows 10 功能更新中,我們所建置的最新安全性技術會深入作業系統,提供 深度防禦功能,避免整個惡意程式碼等級影響您的裝置。 我們的目標是一年發行兩次功能更新。 在每個每月品質更新中,我們新增另一層安全性,用以追蹤惡意程式碼中顯露和改變的趨勢,以便在面對不斷變化、發展的威脅時,能更安全地使系統保持最新狀態。
對於支援版本的 Windows 10、Windows 8.1 和 Windows 7 SP1 裝置,Microsoft 已經撤銷透過 Windows Update 對 Windows 安全性更新進行 AV 相容性檢查。
建議:
-
安裝 Microsoft 和硬體製造商提供的最新安全性更新,確保您的裝置為最新狀態。 如需有關如何使您的裝置保持最新狀態的詳細資訊,請參閱 Windows Update: 常見問題集。
-
在造訪不明來源的網站時,請保持警覺,並且不要在您不信任的網站上停留。 Microsoft 建議所有客戶執行支援的防毒程式,以保護他們的裝置。 客戶也可以運用內建防毒保護:適用於 Windows 10 裝置的 Windows Defender 或適用於 Windows 7 裝置的 Microsoft Security Essentials。 這些是客戶無法安裝或執行防毒軟體時的相容解決方案。
為協助避免對客戶裝置造成負面影響,1 月或 2 月發行的 Windows 安全性更新尚未提供給所有客戶。 如需詳細資訊,請參閱 Microsoft 知識庫文章 4072699。
Intel 已經針對最近發行來解決 Spectre Variant 2 (CVE-2017-5715 – 分支目標導入) 的微碼 回報問題。 具體而言,Intel 發現此微碼可能會導致「重新啟動次數多於預期,以及其他無法預測的系統行為」,和諸如此類的可能導致「資料遺失或損毀的情況。」 我們自己的經驗是,系統不穩定可能會在某些情況下造成資料遺失或損毀。 Intel 已在 1 月 22 日建議客戶在受影響處理器上停止部署目前微碼版本,因為他們會對更新的解決方案進行其他測試。 我們了解 Intel 會持續調查目前微碼版本的潛在影響,並鼓勵客戶繼續檢閱指引,以掌握 Intel 的決定。
在 Intel 測試、更新和部署新微碼的同時,我們會推出不定期 (OOB) 更新 KB 4078130,此更新只會特別停用防範 CVE-2017-5715 –「分支目標導入」的緩和措施。 依據我們測試的結果,發現此更新能防範上述行為。 如需完整裝置清單,請參閱 Intel 的微碼修訂指引。 此更新涵蓋 Windows 7 (SP1)、Windows 8.1,以及適用於用戶端和伺服器的所有 Windows 10 版本。 如果您正在執行受影響的裝置,可從 Microsoft Update Catalog 網站下載並套用此更新。 此裝載的應用程式只會特別停用防範 CVE-2017-5715 –「分支目標導入」的緩和措施。
至 1 月 25 日為止,尚無已知報告指出客戶已遭受這個 Spectre Variant 2 (CVE-2017-5715) 的攻擊。 當 Intel 報告裝置的這個無法預測的系統行為已經解決時,我們建議 Windows 客戶適時重新啟用防範 CVE-2017-5715 的緩和措施。
否。 僅限安全性更新不是累積更新。 視您執行的作業系統版本而定,您必須安裝發行的所有僅限安全性更新,才能防範這些弱點。 例如,如果您在受影響的 Intel CPU 上執行適用於 32 位元系統的 Windows 7,則必須安裝 2018 年 1 月以後發行的所有僅限安全性更新。 建議您依發行順序安裝這些僅限安全性更新。
注意事項 先前的常見問題集版本不正確地指出 2 月僅限安全性更新包含了 1 月發行的安全性修正程式。 其實並非如此。
否。 安全性更新 4078130 是特定的修正程式,用來防範安裝微碼後出現無法預測的系統行為、效能問題,以及未預期的重新啟動情形。 在 Windows 用戶端作業系統上套用 2 月安全性更新,可啟用全部三個緩和措施。 在 Windows 伺服器作業系統上,經過適當的測試之後,您仍必須啟用緩和措施。 如需詳細資訊,請參閱 Microsoft 知識庫文章 4072698。
AMD 最近宣布,他們已開始針對 Spectre Variant 2 (CVE-2017-5715 分支目標導入) 發行適用於新版 CPU 平台的微碼。 如需詳細資訊,請參閱 AMD 安全性更新 和 AMD 白皮書: 有關間分支接控制的架構指引。 這些可從 OEM 韌體管道取得。
Intel 最近宣布,他們已經完成驗證,並開始為新版 CPU 平台發行微碼。 Microsoft 會推出經過 Intel 驗證、與 Spectre Variant 2 (CVE-2017-5715「分支目標導入」) 有關的微碼更新。 KB 4093836 依 Windows 版本列出特定知識庫文章。 每個特定 KB 都包含依 CPU 排列、可用的 Intel 微碼更新。
Microsoft 會推出經過 Intel 驗證、與 Spectre Variant 2 (CVE-2017-5715「分支目標導入」) 有關的微碼更新。 若要透過 Windows Update 取得最新的 Intel 微碼更新,執行 Windows 10 作業系統的裝置在升級為 Windows 10 2018 年 4 月更新 (版本 1803) 之前,必須先安裝 Intel 微碼。
此外,升級系統之前,也可以從 Update Catalog 直接取得微碼更新 (若未安裝)。 Intel 微碼會透過 Windows Update、WSUS 或 Microsoft Update Catalog 提供使用。 如需詳細資訊和下載指示,請參閱KB 4100347。
請參閱 ADV180012 | 適用於推測執行旁路弱點的 Microsoft 指引中的「建議動作」和「常見問題集」章節。
若要確認 SSBD 的狀態,Get-SpeculationControlSettings PowerShell 指令碼已經過更新,可偵測受影響的處理器、SSBD 作業系統更新的狀態,以及處理器微碼的狀態 (若適用)。 如需詳細資訊,並且若要取得 PowerShell 指令碼,請參閱 KB4074629。
在 2018 年 6 月 13 日,我們宣布另一個與旁路推測執行有關、名為消極式 FP 狀態還原的弱點,並指派 CVE-2018-3665。 消極式還原 FP 還原不需要設定 (登錄) 設定。
如需有關這個弱點和建議動作的詳細資訊,請參閱安全性諮詢: ADV180016 | 適用於消極式 FP 狀態還原的 Microsoft 指引
附註消極式還原 FP 還原不需要設定 (登錄) 設定。
「範圍檢查略過存放區」(Bounds Check Bypass Store,BCBS) 已於 2018 年 7 月 10 日揭露,並指派為 CVE-2018-3693。 我們認為 BCBS 與範圍檢查略過 (Variant 1) 屬於同一類型的弱點。 目前我們的軟體中尚未發現 BCBS 實例,但我們會繼續研究這一弱點類型並與業界合作夥伴合作,根據需要發行緩和措施。 我們會繼續鼓勵研究人員向 Microsoft 理論式執行端通道獎金計劃 (英文) 提交任何相關發現,包括任何可利用進行攻擊的 BCBS 實例。 軟體開發人員應檢視已針對 BCBS 更新的開發人員指引,網址為 https://aka.ms/sescdevguide。
在 2018 年 8 月 14 日,我們已宣布 L1 終端機錯誤 (L1TF) 並指派多個 CVE。 這些新的理論式執行端通道弱點可能會用來讀取受信任邊界間的記憶體內容,並且若遭到利用,可能導致資訊洩漏。 視設定的環境而定,攻擊者可能會利用多個媒介來觸發弱點。 L1TF 會影響 Intel® Core® 處理器和 Intel® Xeon® 處理器。
如需有關此弱點的詳細資訊,以及受影響案例的詳細概觀,包括 Microsoft 防範 L1TF 的方法,請參閱下列資源:
Microsoft Surface 客戶: 若客戶使用 Microsoft Surface 和 Surface Book 產品,則必須遵循資訊安全諮詢所述的 Windows 用戶端指引:ADV180018 | 緩和 L1TF 變體的 Microsoft 指引。 另請參閱 Microsoft 知識庫文章 4073065 以取得有關受影響 Surface 產品和微碼更新可用性的詳細資訊。
Microsoft Hololens 客戶:Microsoft HoloLens 未受到 L1TF 的影響,因為它並非使用受影響的 Intel 處理器。
停用「超執行緒」所需的步驟會依 OEM 而有所不同,但一般來說,屬於 BIOS 或韌體設定和組態工具的內容。
若客戶使用 64 位元 ARM 處理器,建議洽詢裝置 OEM 以取得韌體支援,因為採用可防範 CVE-2017-5715 - 分支目標導入 (Spectre,Variant 2) 的 ARM64 作業系統保護時,必須具備裝置 OEM 提供的最新韌體更新,如此才會發揮作用。
如需此弱點的詳細資訊,請參閱 Microsoft 資訊安全指南: CVE-2019-1125 |Windows 核心資訊揭露弱點。
我們尚未發現這個影響我們雲端服務基礎結構的資訊洩漏弱點的情況。
我們一發現這個問題,即迅速地努力解決問題並發行更新。 我們堅信與研究人員和業界合作夥伴的密切關係可讓客戶更加安全,並且依照一貫的協調弱點洩漏作法,直到 8 月 6 日星期二才發佈詳細資料。
參考
Microsoft 提供協力廠商連絡資訊,以協助您尋找有關此主題的其他資訊。 此連絡資訊若有變更,恕不另行通知。 Microsoft 不保證協力廠商連絡資訊的準確性。
