摘要

當其他資訊可供使用時,將會更新本文內容。 請定期返回查看是否有更新和新的常見問題集。


本文針對稱為「理論式執行端通道攻擊」的新等級攻擊提供相關資訊和更新,  並提供 Windows 用戶端和伺服器資料的完整清單,協助您的裝置在家中、公司和企業間得到保護。

2018 年 1 月 3 日,Microsoft 發行與新發現的硬體弱點 (稱為 Spectre 和 Meltdown) 有關的資訊安全諮詢和安全性更新,其中涉及影響 AMD、ARM 和 Intel 處理器程度不一的理論式執行端通道。 這類弱點是基於原本設計用來加快電腦執行速度的一般晶片架構。 若要深入了解這些弱點,請造訪 Google Project Zero

在 2018 年 5 月 21 日,Google Project Zero (GPZ)、Microsoft 和 Intel 公開兩個與 Spectre 和 Meltdown 問題有關的新晶片弱點,稱為「理論式儲存略過」(SSB) 和「Rogue 系統登錄讀取」。「這兩個弱點造成的客戶風險不高。」

如需有關這些弱點的詳細資訊,請參閱<2018 年 5 月 Windows 作業系統更新>下所列的資源,並參閱下列資訊安全諮詢: 

在 2018 年 6 月 13 日,我們宣布另一個與側通道理論式執行有關、名為「消極式 FP 狀態還原」的弱點,並指派為 CVE-2018-3665。 如需有關此弱點和建議動作的詳細資訊,請參閱下列資訊安全諮詢:

我們已於 2018 年 8 月 14 日宣布新的理論式執行端通道弱點 L1 終端機錯誤」(L1TF),並且此弱點具有多個 CVE。 L1TF 會影響 Intel® Core® 處理器和 Intel® Xeon® 處理器。 如需有關 L1TF 和建議動作的詳細資訊,請參閱我們的資訊安全諮詢:

注意: 建議您在安裝任何微碼更新之前,先安裝 Windows Update 中所有的最新更新。

2019 年 5 月 14 日,Intel 已發佈有關名為「微結構資料取樣」之理論式執行端通道弱點新子類別的資訊。 這些弱點已指派為下列 CVE:

重要: 這些問題將會影響其他系統,例如 Android、Chrome、iOS 和 MacOS。 建議客戶向個別廠商尋找指引。

Microsoft 已經發行更新,可協助防範這些弱點。 若要取得所有可用的保護,則必須安裝韌體 (微碼) 和軟體更新。 這包括來自裝置 OEM 的微碼。 在某些情況下,安裝這些更新將會對效能造成影響。 我們也已採取行動,保護我們的雲端服務。

注意: 建議您在安裝微碼更新之前,先安裝 Windows Update 中所有的最新更新。

如需有關這些問題和建議動作的詳細資訊,請參閱下列資訊安全諮詢:

ADV 190013 | 緩和微結構資料取樣弱點的 Microsoft 指引

Intel 已於 2019 年 8 月 6 日發行有關 Windows 核心資訊洩漏弱點的詳細資訊。 這個弱點是 Spectre Variant 1 理論式執行端通道弱點的變種,並且已指派為 CVE-2019-1125

Microsoft 已於 2019 年 7 月 9 日為 Windows 作業系統發行安全性更新,以協助防範此問題。 若客戶已啟用 Windows Update 並套用 2019 年 7 月 9 日發行的安全性更新,則會自動受到保護。 請注意,此弱點不需要裝置製造商 (OEM) 的微碼更新。

如需有關此弱點和適用更新的詳細資訊,請參閱「Microsoft 安全性更新導覽」中的 CVE-2019-1125 | Windows 核心資訊洩漏弱點

協助保護您 Windows 裝置的步驟

您可能必須更新韌體 (微碼) 和軟體,才能解決這些弱點。 請參閱 Microsoft 資訊安全諮詢,以了解建議動作。 這包括來自裝置製造商的適用韌體 (微碼) 更新,在某些情況下,還包括防毒軟體的更新。建議您安裝每月安全性更新,讓您的裝置保持最新狀態。

若要收到所有可用的保護,請依照下列步驟執行,取得軟體和硬體的最新更新。

注意

開始之前,請先確認您的防毒 (AV) 軟體是最新且相容的。 請查看您的防毒軟體製造商網站,取得最新相容性資訊。

  1. 啟用自動更新,讓您的 Windows 裝置保持最新狀態

  2. 確認您已安裝 Microsoft 提供的最新 Windows 作業系統安全性更新。 如果已啟用自動更新,更新應會自動傳遞給您。 不過,您還是應該確認已安裝更新。 如需指示,請參閱 Windows Update: 常見問題集

  3. 安裝裝置製造商提供的可用韌體 (微碼) 更新。 所有客戶都必須洽詢裝置製造商,以下載並安裝裝置特定的硬體更新。 如需裝置製造商網站的清單,請參閱其他資源一節。

    注意

    客戶應安裝 Microsoft 提供的最新 Windows 作業系統安全性更新,以善加利用可用的保護。 請先安裝防毒軟體更新, 再安裝作業系統和韌體更新。建議您安裝每月安全性更新,讓您的裝置保持最新狀態。

受影響的晶片包括 Intel、AMD 和 ARM 所製造的晶片。 這表示,所有執行 Windows 作業系統的裝置都可能容易受到攻擊, 其中包括桌上型電腦、膝上型電腦、雲端伺服器和智慧型手機。 執行 Android、Chrome、iOS 和 macOS 等其他作業系統的裝置也會受到影響。 我們建議執行這些作業系統的客戶向那些廠商尋找指引。

本文發行時,我們尚未收到任何資訊,指出客戶已遭受這些弱點的攻擊。

自 2018 年 1 月開始,Microsoft 已經針對 Windows 作業系統、Internet Explorer 和 Edge 網頁瀏覽器發行數個更新,可協助避免這些弱點並保護客戶。 此外,我們也發行了更新,以保護我們的雲端服務。  我們會持續與晶片製造商、硬體 OEM 和應用程式廠商等業界合作夥伴密切合作,一同保護客戶防範這個弱點等級。 

建議您永遠安裝每月更新,讓您的裝置保持在最新且安全的狀態。 

當新的緩和措施可供使用時,我們會更新這份文件,建議您定期返回查看。 

2019 年 7 月 Windows 作業系統更新

在 2019 年 8 月 6 日,Intel 已公佈安全性弱點 CVE-2019-1125 | Windows 核心資訊洩漏弱點的詳細資料。 此弱點的安全性更新已於 2019 年 7 月 9 日,發行做為 7 月每月更新的一部分。

Microsoft 已於 2019 年 7 月 9 日為 Windows 作業系統發行安全性更新,以協助防範此問題。 我們直到 2019 年 8 月 6 日星期二業界協調的公佈時間,才公開記載這項緩和措施。

若客戶已啟用 Windows Update 並套用 2019 年 7 月 9 日發行的安全性更新,則會自動受到保護。 請注意,此弱點不需要裝置製造商 (OEM) 的微碼更新。

 

2019 年 5 月 Windows 作業系統更新

2019 年 5 月 14 日,Intel 已發佈有關名為「微結構資料取樣」之理論式執行端通道弱點新子類別的資訊,並將這些弱點指派為下列 CVE:

如需有關這個問題的詳細資訊,請參閱下列資訊安全諮詢,並運用 Windows 用戶端和伺服器指引文章中所列的案例指引,判斷防範威脅所需執行的動作:

Microsoft 已針對適用於 64 位元 (x64) 版本的 Windows,發行可防範名為「微結構資料取樣」之理論式執行端通道弱點的新子類別 (CVE-2018-11091CVE-2018-12126CVE-2018-12127CVE-2018-12130) 的保護。

請使用 Windows 用戶端 (KB4073119)Windows Server (KB4457951) 文章中所述的登錄設定。在 Windows 用戶端 OS 版本和 Windows Server OS 版本中,這些登錄設定預設為啟用。

建議您在安裝任何微碼更新之前,先安裝 Windows Update 中所有的最新更新。

如需有關這個問題和建議動作的詳細資訊,請參閱下列資訊安全諮詢: 

Intel 已為最新的 CPU 平台發行微碼更新,以協助防範 CVE-2018-11091CVE-2018-12126CVE-2018-12127CVE-2018-12130。 2019 年 5 月 14 日 Windows KB 4093836 依 Windows OS 版本列出特定知識庫文章。  本文也包含可用 Intel 微碼更新的連結,依 CPU 排列。 這些更新透過 Microsoft Catalog 提供。

注意: 建議您在安裝任何微碼更新之前,先安裝 Windows Update 中所有的最新更新。

我們很高興宣布 Retpoline 已在 Windows 10 1809 版 裝置 (用戶端和伺服器) 預設為啟用 (若 Spectre Variant 2 ( CVE-2017-5715) 已啟用)。 透過安裝 2019 年 5 月 14 日更新 (KB 4494441) 來啟用最新 Windows 10 版本上的 Retpoline,預期會提升效能,對於舊版處理器更是顯著。

客戶應務必使用 Windows 用戶端Windows Server 文章中所述的登錄設定,針對 Spectre Variant 2 弱點啟用先前的作業系統保護。 (Windows 用戶端作業系統版本預設為啟用這些登錄設定,Windows 伺服器作業系統版本則預設為停用)。 如需有關 Retpoline 的詳細資訊,請參閱在 Windows 運用 Retpoline 以防範 Spectre variant 2 (英文)

 

2018 年 11 月 Windows 作業系統更新

Microsoft 已針對「理論式儲存略過」(CVE-2018-3639),發行適用於 AMD 處理器 (CPU) 的作業系統保護。

Microsoft 已經為使用 64 位元 ARM 處理器的客戶發行額外的作業系統保護。 請洽詢裝置 OEM 製造商以取得韌體支援,因為採用可防範 CVE-2018-3639,即「理論式儲存略過」的 ARM64 作業系統保護時,必須具備裝置 OEM 提供的最新韌體更新。

2018 年 9 月 Windows 作業系統更新

在 2018 年 9 月 11 日,Microsoft 已發行「Windows Server 2008 SP2 每月彙總套件 4458010」和「適用於 Windows Server 2008 的僅限安全性 4457984」,以便針對名為「L1 終端機錯誤」(L1TF) 的新理論式執行端通道弱點提供保護,此弱點會對 Intel® Core® 處理器和 Intel® Xeon® 處理器 (CVE-2018-3620 和 CVE-2018-3646) 造成影響。 

這個發行版本會透過 Windows Update,在所有支援的 Windows 系統版本上完成額外保護。 如需詳細資訊及受影響產品的清單,請參閱 ADV180018 | 緩和 L1TF 變種的 Microsoft 指引

注意: Windows Server 2008 SP2 現在依循標準 Windows 維護彙總套件模型。 如需有關這些變更的詳細資訊,請參閱我們的部落格 Windows Server 2008 SP2 服務變更 (英文)。 若客戶執行 Windows Server 2008,則除了 2018 年 8 月 14 日發行的安全性更新 4341832 以外,還應安裝 4458010 或 4457984。 此外,客戶也應務必使用 Windows 用戶端Windows Server 指引知識庫文章中所述的登錄設定,針對 Spectre Variant 2 和 Meltdown 弱點啟用先前的作業系統保護。 Windows 用戶端作業系統版本預設為啟用這些登錄設定,Windows 伺服器作業系統版本則預設為停用。

Microsoft 已經為使用 64 位元 ARM 處理器的客戶發行額外的作業系統保護。 請洽詢裝置 OEM 製造商以取得韌體支援,因為採用可防範 CVE-2017-5715 - 分支目標導入 (Spectre,Variant 2) 的 ARM64 作業系統保護時,必須具備裝置 OEM 提供的最新韌體更新,如此才會發揮作用。

2018 年 8 月 Windows 作業系統更新

我們已於 2018 年 8 月 14 日宣布 L1 終端機錯誤 (L1TF) 並指派多個 CVE。 這些新的理論式執行端通道弱點可能會用來讀取受信任邊界間的記憶體內容,並且若遭到利用,可能導致資訊洩漏。 視設定的環境而定,攻擊者可能會利用多個媒介來觸發弱點。 L1TF 會影響 Intel® Core® 處理器和 Intel® Xeon® 處理器。

如需有關 L1TF 的詳細資訊,以及受影響案例的詳細概觀,包括 Microsoft 防範 L1TF 的方法,請參閱下列資源:

2018 年 7 月 Windows 作業系統更新

我們很高興宣布 Microsoft 已完成透過 Windows Update,在所有支援的 Windows 系統版本發行適用於下列弱點的額外保護:

  • 適用於 AMD 處理器的 Spectre Variant 2

  • 適用於 Intel 處理器的理論式儲存略過

在 2018 年 6 月 13 日,我們宣布另一個與側通道理論式執行有關、名為「消極式 FP 狀態還原」的弱點,並指派為 CVE-2018-3665。 消極式還原 FP 還原不需要設定 (登錄) 設定。

如需有關此弱點、受影響產品和建議動作的詳細資訊,請參閱下列資訊安全諮詢:

Intel 最近宣布,他們已經完成驗證,並開始為新版 CPU 平台發行與 Spectre Variant 2 (CVE 2017-5715「分支目標導入」) 有關的微碼。 KB4093836 依 Windows 版本列出特定知識庫文章。 本文包含可用 Intel 微碼更新的連結,依 CPU 排列。

2018 年 6 月 Windows 作業系統更新

Microsoft 已於 6 月 12 日宣布對 Intel 處理器中「理論式儲存略過停用」(SSBD) 的 Windows 支援。 更新需要對應的韌體 (微碼) 和登錄更新,才能發揮作用。 如需有關更新和 SSBD 啟用步驟的資訊,請參閱 ADV180012 | 適用於理論式儲存略過的 Microsoft 指引中的<建議動作>一節。

2018 年 5 月 Windows 作業系統更新

在 2018 年 1 月,Microsoft 發行與新發現的硬體弱點 (稱為 Spectre 和 Meltdown) 有關的資訊,其中涉及影響 AMD、ARM 和 Intel CPU 程度不一的理論式執行端通道。 在 2018 年 5 月 21 日,Google Project Zero (GPZ)、Microsoft 和 Intel 公開兩個與 Spectre 和 Meltdown 問題有關的新晶片弱點,稱為「理論式儲存略過」(SSB) 和「Rogue 系統登錄讀取」。

「這兩個弱點造成的客戶風險不高。」

如需有關這些弱點的詳細資訊,請參閱下列資源:

適用於: Windows 10 1607 版、Windows Server 2016、Windows Server 2016 (Server Core 安裝) 和 Windows Server 1709 版 (Server Core 安裝)

我們已經提供支援,以便在從使用者內容切換至核心內容時,控制如何在某些 AMD 處理器 (CPU) 內運用 Indirect Branch Prediction Barrier (IBPB) 防範 CVE-2017-5715 Spectre Variant 2 (如需詳細資訊,請參閱 AMD 間接分支控制的基礎架構準則 (英文)AMD 安全性更新)。

若客戶執行 Windows 10 1607 版、Windows Server 2016、Windows Server 2016 (Server Core 安裝) 和 Windows Server 1709 版 (Server Core 安裝),必須安裝安全性更新 4103723,做為 AMD 處理器的額外緩和措施,以防範 CVE-2017-5715 分支目標導入。 此更新也會透過 Windows Update 提供。

請依照 KB 4073119 (適用於 Windows 用戶端 (IT 專業人員) 的指引) 及 KB 4072698 (適用於 Windows Server 的指引) 所述的指示執行,在某些 AMD 處理器 (CPU) 內啟用 IBPB,以便在從使用者內容切換至核心內容時防範 Spectre Variant 2。

Microsoft 會推出經過 Intel 驗證、與 Spectre Variant 2 (CVE-2017-5715「分支目標導入」) 有關的微碼更新。“” 若要透過 Windows Update 取得最新的 Intel 微碼更新,執行 Windows 10 作業系統的裝置在升級為 Windows 10 2018 年 4 月更新 (版本 1803) 之前,必須先安裝 Intel 微碼。

此外,升級作業系統之前,也可以從 Catalog 直接取得微碼更新 (若未安裝)。 Intel 微碼會透過 Windows Update、WSUS 或 Microsoft Update Catalog 提供使用。 如需詳細資訊和下載指示,請參閱 KB 4100347

當 Intel 提供其他微碼更新給 Microsoft 時,我們也會提供給 Windows 作業系統。

Microsoft 會推出經過 Intel 驗證、與 Spectre Variant 2 (CVE-2017-5715「分支目標導入」) 有關的微碼更新。 KB 4093836 依 Windows 版本列出特定知識庫文章。 每個特定 KB 都包含依 CPU 排列、最新可用的 Intel 微碼更新。

當 Intel 提供其他微碼更新給 Microsoft 時,我們也會提供給 Windows 作業系統。

2018 年 4 月 Windows 作業系統更新

適用於: Windows 10 1709 版

我們已經提供支援,以便在從使用者內容切換至核心內容時,控制如何在某些 AMD 處理器 (CPU) 內運用 Indirect Branch Prediction Barrier (IBPB) 防範 CVE-2017-5715 Spectre Variant 2 (如需詳細資訊,請參閱 AMD 間接分支控制的基礎架構準則 (英文)AMD 安全性更新)。

請依照 KB 4073119 中所列、適用於 Windows 用戶端 (IT 專業人員) 指引的指示執行,以便在從使用者內容切換至核心內容時,在某些 AMD 處理器 (CPU) 內啟用 IBPB 防範 Spectre Variant 2。

Microsoft 會推出經過 Intel 驗證、與 Spectre Variant 2 (CVE-2017-5715「分支目標導入」) 有關的微碼更新。  KB4093836 依 Windows 版本列出特定知識庫文章。 每個特定 KB 都包含依 CPU 排列、最新可用的 Intel 微碼更新。

當 Intel 提供其他微碼更新給 Microsoft 時,我們也會提供給 Windows 作業系統。 

2018 年 3 月 Windows 作業系統更新

3 月 23 日,TechNet Security Research & Defense: KVA Shadow: 在 Windows 上防範 Meltdown (英文)

3 月 14 日,Security TechCenter: 理論式執行端通道獎金計劃條款 (英文)

3 月 13 日,部落格: 2018 年 3 月 Windows 安全性更新 – 擴展我們的努力,保護客戶 (英文)

3 月 1 日,部落格: 適用於 Windows 裝置之 Spectre 和 Meltdown 安全性更新的更新 (英文)

Microsoft 會推出經過 Intel 驗證、與 Spectre Variant 2 (CVE-2017-5715「分支目標導入」) 有關的微碼更新。  KB4093836 依 Windows 版本列出特定知識庫文章。 每個特定 KB 都包含依 CPU 排列、可用的 Intel 微碼更新。

當 Intel 提供其他微碼更新給 Microsoft 時,我們也會提供給 Windows 作業系統。

自 2018 年 3 月開始,Microsoft 已針對執行下列 x86 型 Windows 作業系統的裝置發行安全性更新,以提供緩和措施。 客戶應安裝最新 Windows 作業系統安全性更新,以善加利用可用的保護。 我們會努力為其他支援的 Windows 版本提供保護,但目前沒有發行排程。 請返回查看是否有更新。 如需詳細資訊,請參閱相關知識庫文章及常見問題集一節,了解詳細技術資訊。

發行的產品更新

狀態

發行日期

發行管道

KB

Windows 8.1 與 Windows Server 2012 R2 - 僅限安全性更新

已發行

3 月 13 日

WSUS、Catalog

KB4088879

Windows 7 SP1 與 Windows Server 2008 R2 SP1 - 僅限安全性更新

已發行

3 月 13 日

WSUS、Catalog

KB4088878

Windows Server 2012 - 僅限安全性更新
Windows 8 Embedded Standard Edition - 僅限安全性更新

已發行

3 月 13 日

WSUS、Catalog

KB4088877

Windows 8.1 與 Windows Server 2012 R2 - 每月彙總套件

已發行

3 月 13 日

WU、WSUS、Catalog

KB4088876

Windows 7 SP1 與 Windows Server 2008 R2 SP1 - 每月彙總套件

已發行

3 月 13 日

WU、WSUS、Catalog

KB4088875

Windows Server 2012 - 每月彙總套件
Windows 8 Embedded Standard Edition - 每月彙總套件

已發行

3 月 13 日

WU、WSUS、Catalog

KB4088877

Windows Server 2008 SP2

已發行

3 月 13 日

WU、WSUS、Catalog

KB4090450

自 2018 年 3 月開始,Microsoft 已針對執行下列 x64 型 Windows 作業系統的裝置發行安全性更新,以提供緩和措施。 客戶應安裝最新 Windows 作業系統安全性更新,以善加利用可用的保護。 我們會努力為其他支援的 Windows 版本提供保護,但目前沒有發行排程。 請返回查看是否有更新。 如需詳細資訊,請參閱相關知識庫文章及常見問題集一節,了解詳細技術資訊。

發行的產品更新

狀態

發行日期

發行管道

KB

Windows Server 2012 - 僅限安全性更新
Windows 8 Embedded Standard Edition - 僅限安全性更新

已發行

3 月 13 日

WSUS、Catalog

KB4088877

Windows Server 2012 - 每月彙總套件
Windows 8 Embedded Standard Edition - 每月彙總套件

已發行

3 月 13 日

WU、WSUS、Catalog

KB4088877

Windows Server 2008 SP2

已發行

3 月 13 日

WU、WSUS、Catalog

KB4090450

此更新能解決 64 位元 (x64) 版本 Windows 中 Windows 核心權限提高的弱點。 此弱點已記載於 CVE-2018-1038。 如果使用者的電腦在 2018 年 1 月以後透過套用下列知識庫文章所列的任何更新進行更新,則必須套用此更新,才能完全防範此弱點。

CVE-2018-1038 的 Windows 核心更新

此安全性更新可解決 Internet Explorer 中幾項報告的弱點。 若要深入了解這些弱點,請參閱 Microsoft 一般弱點及安全風險。 

發行的產品更新

狀態

發行日期

發行管道

KB

Internet Explorer 10 - 適用於 Windows 8 Embedded Standard Edition 的累積更新

已發行

3 月 13 日

WU、WSUS、Catalog

KB4089187

2018 年 2 月 Windows 作業系統更新

部落格: Windows Analytics 現在可協助評估 Spectre 和 Meltdown 保護 (英文)

下列安全性更新可為執行 32 位元 (x86) Windows 作業系統的裝置提供額外保護。 Microsoft 建議客戶在更新推出時,盡快安裝。 我們會繼續努力為其他支援的 Windows 版本提供保護,但目前沒有發行排程。 請返回查看是否有更新。 

注意:Windows 10 每月安全性更新是每個月累積的更新,將會從 Windows Update 自動下載並安裝。 如果您已安裝先前的更新,則只會在您的裝置下載並安裝新的部分。 如需詳細資訊,請參閱相關知識庫文章及常見問題集一節,了解詳細技術資訊。

發行的產品更新

狀態

發行日期

發行管道

KB

Windows 10 - 版本 1709 / Windows Server 2016 (1709) / IoT 核心版 - 品質更新

已發行

1 月 31 日

WU、Catalog

KB4058258

Windows Server 2016 (1709) - 伺服器容器

已發行

2 月 13 日

Docker Hub

KB4074588

Windows 10 - 版本 1703 / IoT 核心版 - 品質更新

已發行

2 月 13 日

WU、WSUS、Catalog

KB4074592

Windows 10 - 版本 1607 / Windows Server 2016 / IoT 核心版 - 品質更新

已發行

2 月 13 日

WU、WSUS、Catalog

KB4074590

Windows 10 HoloLens - OS 和韌體更新

已發行

2 月 13 日

WU、Catalog

KB4074590

Windows Server 2016 (1607) - 容器映像

已發行

2 月 13 日

Docker Hub

KB4074590

Windows 10 - 版本 1511 / IoT 核心版 - 品質更新

已發行

2 月 13 日

WU、WSUS、Catalog

KB4074591

Windows 10 - 版本 RTM - 品質更新

已發行

2 月 13 日

WU、WSUS、Catalog

KB4074596

2018 年 1 月 Windows 作業系統更新

部落格: 了解 Spectre 和 Meltdown 緩和措施對 Windows 系統造成的效能影響 (英文)

自 2018 年 1 月開始,Microsoft 已針對執行下列 x64 型 Windows 作業系統的裝置發行安全性更新,以提供緩和措施。 客戶應安裝最新 Windows 作業系統安全性更新,以善加利用可用的保護。 我們會努力為其他支援的 Windows 版本提供保護,但目前沒有發行排程。 請返回查看是否有更新。 如需詳細資訊,請參閱相關知識庫文章及常見問題集一節,了解詳細技術資訊。

發行的產品更新

狀態

發行日期

發行管道

KB

Windows 10 - 版本 1709 / Windows Server 2016 (1709) / IoT 核心版 - 品質更新

已發行

1 月 3 日

WU、WSUS、Catalog、Azure 圖像藝廊

KB4056892

Windows Server 2016 (1709) - 伺服器容器

已發行

1 月 5 日

Docker Hub

KB4056892

Windows 10 - 版本 1703 / IoT 核心版 - 品質更新

已發行

1 月 3 日

WU、WSUS、Catalog

KB4056891

Windows 10 - 版本 1607 / Windows Server 2016 / IoT 核心版 - 品質更新

已發行

1 月 3 日

WU、WSUS、Catalog

KB4056890

Windows Server 2016 (1607) - 容器映像

已發行

1 月 4 日

Docker Hub

KB4056890

Windows 10 - 版本 1511 / IoT 核心版 - 品質更新

已發行

1 月 3 日

WU、WSUS、Catalog

KB4056888

Windows 10 - 版本 RTM - 品質更新

已發行

1 月 3 日

WU、WSUS、Catalog

KB4056893

Windows 10 行動裝置版 (作業系統組建 15254.192) - ARM

已發行

1 月 5 日

WU、Catalog

KB4073117

Windows 10 行動裝置版 (作業系統組建 15063.850)

已發行

1 月 5 日

WU、Catalog

KB4056891

Windows 10 行動裝置版 (作業系統組建 14393.2007)

已發行

1 月 5 日

WU、Catalog

KB4056890

Windows 10 HoloLens

已發行

1 月 5 日

WU、Catalog

KB4056890

Windows 8.1 / Windows Server 2012 R2 - 僅限安全性更新

已發行

1 月 3 日

WSUS、Catalog

KB4056898

Windows Embedded 8.1 Industry Enterprise

已發行

1 月 3 日

WSUS、Catalog

KB4056898

Windows Embedded 8.1 Industry Pro

已發行

1 月 3 日

WSUS、Catalog

KB4056898

Windows Embedded 8.1 Pro

已發行

1 月 3 日

WSUS、Catalog

KB4056898

Windows 8.1 / Windows Server 2012 R2 每月彙總套件

已發行

1 月 8 日

WU、WSUS、Catalog

KB4056895

Windows Embedded 8.1 Industry Enterprise

已發行

1 月 8 日

WU、WSUS、Catalog

KB4056895

Windows Embedded 8.1 Industry Pro

已發行

1 月 8 日

WU、WSUS、Catalog

KB4056895

Windows Embedded 8.1 Pro

已發行

1 月 8 日

WU、WSUS、Catalog

KB4056895

Windows Server 2012 僅限安全性

已發行

WSUS、Catalog

Windows Server 2008 SP2

已發行

WU、WSUS、Catalog

Windows Server 2012 每月彙總套件

已發行

WU、WSUS、Catalog

Windows Embedded 8 Standard

已發行

WU、WSUS、Catalog

Windows 7 SP1 / Windows Server 2008 R2 SP1 - 僅限安全性更新

已發行

1 月 3 日

WSUS、Catalog

KB4056897

Windows Embedded Standard 7

已發行

1 月 3 日

WSUS、Catalog

KB4056897

Windows Embedded POSReady 7

已發行

1 月 3 日

WSUS、Catalog

KB4056897

Windows 精簡型電腦

已發行

1 月 3 日

WSUS、Catalog

KB4056897

Windows 7 SP1 / Windows Server 2008 R2 SP1 每月彙總套件

已發行

1 月 4 日

WU、WSUS、Catalog

KB4056894

Windows Embedded Standard 7

已發行

1 月 4 日

WU、WSUS、Catalog

KB4056894

Windows Embedded POSReady 7

已發行

1 月 4 日

WU、WSUS、Catalog

KB4056894

Windows 精簡型電腦

已發行

1 月 4 日

WU、WSUS、Catalog

KB4056894

適用於 Windows 7 SP1 和 Windows 8.1 之 Internet Explorer 11 的累積更新

已發行

1 月 3 日

WU、WSUS、Catalog

KB4056568

資源和技術指引

視您的角色而定,下列支援文章可協助您識別受到 Spectre 和 Meltdown 弱點影響的用戶端和伺服器環境,並協助避免攻擊。

L1 終端機錯誤 (L1TF) 的 Microsoft 資訊安全諮詢: MSRC ADV180018CVE-2018-3615CVE-2018-3620CVE-2018-3646

安全性研究和防禦: 分析和防範理論式儲存略過 (CVE-2018-3639) (英文)

理論式儲存略過的 Microsoft 資訊安全諮詢: MSRC ADV180012CVE-2018-3639

Rogue 系統登錄讀取的 Microsoft 資訊安全諮詢 | 適用於 Surface 的安全性更新導覽MSRC ADV180013CVE-2018-3640

安全性研究和防禦: 分析和防範理論式儲存略過 (CVE-2018-3639) (英文)

TechNet Security Research & Defense: KVA Shadow: 在 Windows 上防範 Meltdown (英文)

Security TechCenter: 理論式執行端通道獎金計劃條款 (英文)

Microsoft Experience 部落格: 適用於 Windows 裝置之 Spectre 和 Meltdown 安全性更新的更新 (英文)

Windows for Business 部落格Windows Analytics 現在可協助評估 Spectre 和 Meltdown 保護 (英文)

Microsoft 安全性部落格了解 Spectre 和 Meltdown 緩和措施對 Windows 系統造成的效能影響 (英文)

Edge 開發人員部落格避免 Microsoft Edge 和 Internet Explorer 遭到理論式執行端通道攻擊 (英文)

Azure 部落格保護 Azure 客戶防範 CPU 弱點 (英文)

SCCM 指引防範理論式執行端通道弱點的其他指引 (英文)

Microsoft 諮詢:

Intel資訊安全諮詢

ARM資訊安全諮詢

AMD資訊安全諮詢

NVIDIA: 資訊安全諮詢

消費者指引保護您的裝置不受晶片相關安全性弱點影響

防毒指引2018 年 1 月 3 日發行的 Windows 安全性更新,以及防毒軟體

AMD Windows OS 安全性更新封鎖指引KB4073707: Windows 作業系統安全性更新封鎖了某些 AMD 裝置

推出更新,以停用防範 Spectre Variant 2 的緩和措施KB4078130: Intel 已識別某些舊版處理器的微碼存在重新開機問題 

Surface 指引防範理論式執行端通道弱點的 Surface 指引

確認理論式執行端通道緩和措施的狀態了解 Get-SpeculationControlSettings PowerShell 指令碼輸出

IT 專業人員指引IT 專業人員防範理論式執行端通道弱點的 Windows 用戶端指引

伺服器指引防範理論式執行端通道弱點的 Windows Server 指引

適用於 L1 終端機錯誤的伺服器指引針對 L1 終端機錯誤防護 Windows Server 指導

開發人員指引: 適用於理論式儲存略過的開發人員指引 (機器翻譯)

Server Hyper-V 指引

Azure 知識庫KB4073235: 防範理論式執行端通道弱點的 Microsoft 雲端保護

Azure Stack 指引KB4073418: 防範理論式執行端通道弱點的 Azure Stack 指引

Azure 可靠性: Azure 可靠性入口網站

SQL Server 指引KB4073225: 防範理論式執行端通道弱點的 SQL Server 指引

連結至 OEM 和伺服器裝置製造商,以取得防範 Spectre 和 Meltdown 弱點的更新

為協助解決這些弱點,您必須更新硬體和軟體。 請使用下列連結,查看您的裝置製造商是否有適用的韌體 (微碼) 更新。

常見問題集

協力廠商連絡資訊免責聲明

Microsoft 提供協力廠商連絡資訊,以協助您尋找有關此主題的其他資訊。 此連絡資訊若有變更,恕不另行通知。 Microsoft 不保證協力廠商連絡資訊的準確性。

您必須查看您的裝置製造商是否有韌體 (微碼) 更新。 如果您的裝置製造商未列在表格中,請直接與您的 OEM 連絡。

Microsoft Surface 裝置的客戶可以透過 Windows Update 取得更新。 如需可用 Surface 裝置韌體 (微碼) 更新的清單,請參閱 KB 4073065

如果您的裝置並非 Microsoft 所出產,請套用裝置製造商提供的韌體更新。 請與您的裝置製造商連絡,以取得詳細資訊。

透過軟體更新解決硬體弱點會帶來許多挑戰,並需要適用於舊版作業系統的緩和措施,而且可能需要進行大規模的架構變更。 我們會持續與受影響的晶片製造商合作,研究提供緩和措施的最佳方式。 這可能會在未來的更新中提供。 取代執行這些舊版作業系統的舊版裝置並更新防毒軟體,應能解決其餘風險。

注意事項

  • 目前不在主要支援和延伸支援範圍內的產品,將不會收到這些系統更新。 建議客戶更新為支援的系統版本。 

  • 理論式執行端通道攻擊會利用 CPU 行為和功能。 CPU 製造商必須先判斷哪些處理器可能存在風險,然後再通知 Microsoft。 在很多情況下,爲了為客戶提供更加全面的保護,也需要對應的作業系統更新。 我們建議具有安全性意識的 Windows CE 廠商與晶片製造商合作,以了解弱點和適用的緩和措施。

  • 我們不會為下列平台發行更新:

    • 目前不在支援範圍或將於 2018 年終止服務 (EOS) 的 Windows 作業系統

    • Windows XP 系統,包括 WES 2009 和 POSReady 2009


雖然 Windows XP 系統是受影響的產品,但是 Microsoft 不會為這些產品發行更新,因為若必須進行全面性架構變更,可能會危及系統穩定性並造成應用程式相容性問題。 建議具有安全性意識的客戶升級為較新支援的作業系統,以跟上變化多端的安全性威脅概覽,並從較新作業系統所提供的更多穩健保護中獲益。

HoloLens 客戶可以透過 Windows Update 取得適用於 Windows 10 HoloLens 的更新。

套用 2018 年 2 月 Windows 安全性更新之後,HoloLens 客戶不必採取任何其他動作來更新他們的裝置韌體。 這些緩和措施也會隨附於 Windows 10 HoloLens 未來的所有版本。

請與您的 OEM 連絡,以取得詳細資訊。

為了讓您的裝置獲得完整保護,您應安裝裝置適用的最新 Windows 作業系統安全性更新,以及裝置製造商提供的適用韌體 (微碼) 更新。 這些更新應該可從裝置製造商網站取得。 請先安裝防毒軟體更新, 作業系統更新和韌體更新則能以任意順序進行安裝。

您必須更新硬體和軟體,才能解決此弱點。 此外,您也必須安裝裝置製造商提供的適用韌體 (微碼) 更新,才能獲得更完整的保護。建議您安裝每月安全性更新,讓您的裝置保持最新狀態。 

在每個 Windows 10 功能更新中,我們所建置的最新安全性技術會深入作業系統,提供深度防禦功能 (英文),避免整個惡意程式碼等級影響您的裝置。 我們的目標是一年發行兩次功能更新。 在每個每月品質更新中,我們新增另一層安全性,用以追蹤惡意程式碼中顯露和改變的趨勢,以便在面對不斷變化、發展的威脅時,能更安全地使系統保持最新狀態。

對於支援版本的 Windows 10、Windows 8.1 和 Windows 7 SP1 裝置,Microsoft 已經撤銷透過 Windows Update 對 Windows 安全性更新進行 AV 相容性檢查。 

建議:

  • 安裝 Microsoft 和硬體製造商提供的最新安全性更新,確保您的裝置為最新狀態。 如需有關如何使您的裝置保持最新狀態的詳細資訊,請參閱 Windows Update: 常見問題集

  • 在造訪不明來源的網站時,請保持警覺,並且不要在您不信任的網站上停留。 Microsoft 建議所有客戶執行支援的防毒程式,以保護他們的裝置。 此外,客戶也可以利用內建的防毒保護: Windows 10 裝置的 Windows Defender 或 Windows 7 裝置的 Microsoft Security Essentials。 這些是客戶無法安裝或執行防毒軟體時的相容解決方案。

為協助避免對客戶裝置造成負面影響,1 月或 2 月發行的 Windows 安全性更新尚未提供給所有客戶。 如需詳細資訊,請參閱 Microsoft 知識庫文章 4072699。 

Intel 已經針對最近發行來解決 Spectre Variant 2 (CVE-2017-5715 – 分支目標導入) 的微碼回報問題 (英文)。 具體而言,Intel 發現此微碼可能會導致重新開機次數多於預期,以及其他無法預測的系統行為 (英文),同時發現這類情況可能導致資料遺失或損毀 (英文)。  我們自己的經驗是,系統不穩定可能會在某些情況下造成資料遺失或損毀。 Intel 已在 1 月 22 日建議擁有受影響處理器的客戶,停止部署目前微碼版本 (英文),因為他們會對更新的解決方案進行其他測試。 我們了解 Intel 會持續調查目前微碼版本的潛在影響,並鼓勵客戶繼續檢閱指引,以掌握 Intel 的決定。

在 Intel 測試、更新和部署新微碼的同時,我們會推出不定期 (OOB) 更新 KB 4078130,此更新只會特別停用防範 CVE-2017-5715 –「分支目標導入」的緩和措施。 依據我們測試的結果,發現此更新能防範上述行為。 如需完整裝置清單,請參閱 Intel 的微碼修訂指引。 此更新涵蓋 Windows 7 (SP1)、Windows 8.1,以及適用於用戶端和伺服器的所有 Windows 10 版本。 如果您執行受影響的裝置,請從 Microsoft Update Catalog 網站下載並套用此更新。 此裝載的應用程式只會特別停用防範 CVE-2017-5715 –「分支目標導入」的緩和措施。 

至 1 月 25 日為止,尚無已知報告指出客戶已遭受這個 Spectre Variant 2 (CVE-2017-5715) 的攻擊。 當 Intel 報告裝置的這個無法預測的系統行為已經解決時,我們建議 Windows 客戶適時重新啟用防範 CVE-2017-5715 的緩和措施。

否,僅限安全性更新不是累積更新。 視您執行的作業系統版本而定,您必須安裝發行的所有僅限安全性更新,才能防範這些弱點。 例如,如果您在受影響的 Intel CPU 上執行適用於 32 位元系統的 Windows 7,則必須安裝 2018 年 1 月以後發行的所有僅限安全性更新。 建議您依發行順序安裝這些僅限安全性更新。
 
注意:先前的<常見問題集>版本不正確地指出,2 月僅限安全性更新包含 1 月發行的安全性修正程式。 其實並非如此。

不會。安全性更新 4078130 是特定的修正程式,用來防範安裝微碼後出現無法預測的系統行為、效能問題,以及未預期的重新啟動情形。 在 Windows 用戶端作業系統上套用 2 月安全性更新,可啟用全部三個緩和措施。 在 Windows 伺服器作業系統上,經過適當的測試之後,您仍必須啟用緩和措施。 如需詳細資訊,請參閱 Microsoft 知識庫文章 4072698

AMD 最近宣布,他們已開始針對 Spectre Variant 2 (CVE-2017-5715「分支目標導入」) 發行適用於新版 CPU 平台的微碼。 如需詳細資訊,請參閱 AMD 安全性更新AMD 白皮書: 間接分支控制的基礎架構準則 (英文)。 這些可從 OEM 韌體管道取得。 

Intel 最近宣布,他們已經完成驗證,並開始為新版 CPU 平台發行微碼。 Microsoft 會推出經過 Intel 驗證、與 Spectre Variant 2 (CVE-2017-5715「分支目標導入」) 有關的微碼更新。  KB 4093836 依 Windows 版本列出特定知識庫文章。 每個特定 KB 都包含依 CPU 排列、可用的 Intel 微碼更新。

Microsoft 會推出經過 Intel 驗證、與 Spectre Variant 2 (CVE-2017-5715「分支目標導入」) 有關的微碼更新。“” 若要透過 Windows Update 取得最新的 Intel 微碼更新,執行 Windows 10 作業系統的裝置在升級為 Windows 10 2018 年 4 月更新 (版本 1803) 之前,必須先安裝 Intel 微碼。

此外,升級系統之前,也可以從 Update Catalog 直接取得微碼更新 (若未安裝)。 Intel 微碼會透過 Windows Update、WSUS 或 Microsoft Update Catalog 提供使用。 如需詳細資訊和下載指示,請參閱 KB 4100347

如需詳細資訊,請參閱 ADV180012 | 適用於理論式儲存略過的 Microsoft 指引中的<建議動作>和<常見問題集>章節。

若要確認 SSBD 的狀態,Get-SpeculationControlSettings PowerShell 指令碼已經過更新,可偵測受影響的處理器、SSBD 作業系統更新的狀態,以及處理器微碼的狀態 (若適用)。 如需詳細資訊,並且若要取得 PowerShell 指令碼,請參閱 KB4074629

在 2018 年 6 月 13 日,我們宣布另一個與側通道理論式執行有關、名為「消極式 FP 狀態還原」的弱點,並指派為 CVE-2018-3665。 消極式還原 FP 還原不需要設定 (登錄) 設定。

如需有關此弱點和建議動作的詳細資訊,請參閱資訊安全諮詢: ADV180016 | 適用於消極式 FP 狀態還原的 Microsoft 指引

注意:「消極式還原 FP 還原」不需要設定 (登錄) 設定。

「範圍檢查略過存放區」(Bounds Check Bypass Store,BCBS) 已於 2018 年 7 月 10 日揭露,並指派為 CVE-2018-3693。 我們認為 BCBS 與範圍檢查略過 (Variant 1) 屬於同一類型的弱點。 目前我們的軟體中尚未發現 BCBS 實例,但我們會繼續研究這一弱點類型並與業界合作夥伴合作,根據需要發行緩和措施。 我們會繼續鼓勵研究人員向 Microsoft 理論式執行端通道獎金計劃 (英文) 提交任何相關發現,包括任何可利用進行攻擊的 BCBS 實例。 軟體開發人員應檢視已更新的 BCBS 開發人員指引,網址為 https://aka.ms/sescdevguide

我們已於 2018 年 8 月 14 日宣布 L1 終端機錯誤 (L1TF) 並指派多個 CVE。 這些新的理論式執行端通道弱點可能會用來讀取受信任邊界間的記憶體內容,並且若遭到利用,可能導致資訊洩漏。 視設定的環境而定,攻擊者可能會利用多個媒介來觸發弱點。 L1TF 會影響 Intel® Core® 處理器和 Intel® Xeon® 處理器。

如需有關此弱點的詳細資訊,以及受影響案例的詳細概觀,包括 Microsoft 防範 L1TF 的方法,請參閱下列資源:

Microsoft Surface 客戶: 若客戶使用 Microsoft Surface 和 Surface Book 產品,則必須遵循資訊安全諮詢所述的 Windows 用戶端指引: ADV180018 | 緩和 L1TF 變種的 Microsoft 指引。 另請參閱 Microsoft 知識庫文章 4073065,以取得有關受影響 Surface 產品和微碼更新供應情形的詳細資訊。

Microsoft HoloLens 客戶: Microsoft HoloLens 未受到 L1TF 的影響,因為它並非使用受影響的 Intel 處理器。

停用「超執行緒」所需的步驟會依 OEM 而有所不同,但一般來說,屬於 BIOS 或韌體設定和組態工具的內容。

若客戶使用 64 位元 ARM 處理器,建議洽詢裝置 OEM 以取得韌體支援,因為採用可防範 CVE-2017-5715 - 分支目標導入 (Spectre,Variant 2) 的 ARM64 作業系統保護時,必須具備裝置 OEM 提供的最新韌體更新,如此才會發揮作用。

如需有關這個弱點的詳細資訊,請參閱 Microsoft 安全性導覽: CVE-2019-1125 | Windows 核心資訊洩漏弱點

我們尚未發現這個影響我們雲端服務基礎結構的資訊洩漏弱點的情況。

我們一發現這個問題,即迅速地努力解決問題並發行更新。 我們堅信與研究人員和業界合作夥伴的密切關係可讓客戶更加安全,並且依照一貫的協調弱點洩漏作法,直到 8 月 6 日星期二才發佈詳細資料。

需要更多協助?

擴展您的技能
探索訓練
優先取得新功能
加入 Microsoft 測試人員

這項資訊有幫助嗎?

您對翻譯品質的滿意度為何?
以下何者是您會在意的事項?

感謝您的意見反應!

×