更改日期 |
更改说明 |
---|---|
2023 年 8 月 9 日 |
|
2024 年 4 月 9 日 |
|
摘要
本文为影响许多新式处理器和操作系统的一类基于硅的微体系结构和推测执行侧信道漏洞提供了信息和更新。 其中还提供了 Windows 客户端和服务器资源的完整列表,以帮助你的设备在家中、工作中以及整个企业中受到保护。 这包括 Intel、AMD 和 ARM。 有关这些基于硅问题漏洞的具体详细信息,请参阅以下安全公告和 CVE:
2018 年 1 月 3 日,Microsoft 发布了与一类新发现的硬件漏洞(称为 Specter 和 Meltdown)相关的通报和安全更新,这些漏洞涉及对 AMD、ARM 和 Intel 处理器有不同程度的影响的推理执行侧信道。 此类漏洞基于最初旨在加速计算机的通用芯片架构。 你可以在 Google Project Zero 了解有关这些漏洞的详细信息。
2018 年 5 月 21 日, Google Project Zero (GPZ)、Microsoft 和 Intel 披露了两个与 Spectre 和 Meltdown 问题(称为“推测存储绕过 (SSB)”和“恶意系统注册读取”)有关的新芯片漏洞。 这两种披露的客户风险都很低。
有关这些漏洞的更多信息,请参阅 2018 年 5 月 Windows 操作系统更新下列出的资源,并参阅以下安全通报:
2018 年 6 月 13 日,我们宣布了另外一个涉及侧信道推测执行的漏洞(称为“Lazy FP 状态还原”)并指定为 CVE-2018-3665。 有关此漏洞和建议操作的更多信息,请参阅以下安全通报:
2018 年 8 月 14 日,宣布了具有多个 CVE 的一种新的推测执行侧信道漏洞 L1 终端故障 (L1TF)。 L1TF 会影响 Intel® Core® 处理器和 Intel® Xeon® 处理器。 有关 L1TF 和建议操作的更多信息,请参阅我们的安全通报:
注意: 我们建议你在安装任何微码更新之前先安装 Windows 更新中的所有最新更新。
2019 年 5 月 14 日,Intel 发布了有关新的子类推理执行侧信道漏洞(称为“微架构数据采样”)的信息。 它们已被分配以下 CVE:
重要说明:这些问题将影响其他系统,例如 Android、Chrome、iOS 和 MacOS。 我们建议客户向各自的供应商寻求指导。
Microsoft 已发布多项更新来帮助缓解此类漏洞。 若要获取所有可用保护,需要进行固件(微码)和软件更新。 这可能包括来自设备 OEM 的微码。 在某些情况下,安装这些更新会对系统性能产生影响。 我们也采取了行动来保护云服务。
注意:我们建议你在安装微码更新之前先安装 Windows 更新中的所有最新更新。
有关这些问题和建议操作的更多信息,请参阅以下安全通报:
2019 年 8 月 6 日,Intel 发布了有关 Windows 内核信息泄漏漏洞的详细信息。 此漏洞是 Spectre 变体 1 推测执行侧信道漏洞的变体,已指定为 CVE-2019-1125。
2019 年 7 月 9 日,Microsoft 发布了 Windows 操作系统的安全更新,以帮助缓解此问题。 已启用 Windows 更新并应用了 2019 年 7 月 9 日发布的安全更新的客户将自动受到保护。 请注意,此漏洞不需要设备制造商 (OEM) 提供微码更新。
有关此漏洞和适用更新的更多信息,请参阅 Microsoft 安全更新指南中的 CVE-2019-1125 | Windows 内核信息泄漏漏洞。
2022 年 6 月 14 日,Intel 发布了有关公告中列出的推测执行内存映射 I/O (MMIO) 侧信道漏洞的新子类的信息:
帮助保护 Windows 设备的步骤
你可能必须同时更新固件(微码)和软件才能修复这些漏洞。 有关建议的操作,请参阅 Microsoft 安全通报。 这包括设备制造商提供的适用固件(微码)更新,以及在某些情况下对防病毒软件的更新。 我们鼓励你通过每月安装 Windows 安全更新使你的设备保持更新到最新状态。
若要接收所有可用的保护,请按照以下步骤获取软件和硬件的最新更新。
注意: 在开始之前,请确保你的防病毒 (AV) 软件是最新且兼容。 请查看您的防病毒软件制造商的网站以了解其最新的兼容性信息。
-
检查您’是否安装了来自 Microsoft 的最新 Windows 操作系统安全更新。 如果打开了自动更新,则会自动向你发送更新。 但是,你仍然应验证它们是否已安装。 有关说明,请参阅 Windows 更新:常见问题解答
-
安装你的设备制造商提供的可用固件(微码)更新。 所有客户都需要与其设备制造商联系以下载并安装设备特定的硬件更新。 请参阅“其他资源”部分获取设备制造商网站的列表。
注意: 客户应该从 Microsoft 安装最新的 Windows 操作系统安全更新,以利用可用的保护。 应首先安装防病毒软件更新。 随后安装操作系统和固件更新。 我们鼓励你通过每月安装 Windows 安全更新使你的设备保持更新到最新状态。
受影响的芯片包括那些由 Intel、AMD 和 ARM 制造的芯片。 这意味着所有运行 Windows 操作系统的设备都可能易受攻击。 这包括台式机、笔记本电脑、云服务器和智能手机。 运行 Android、Chrome、iOS 和 macOS 等其他操作系统的设备也会受到影响。 我们建议运行这些操作系统的客户寻求这些供应商的指导。
发布时,我们尚未收到任何信息表明已有人利用此漏洞攻击我们的客户。
从 2018 年 1 月开始,Microsoft 发布了 Windows 操作系统、Internet Explorer 和 Edge Web 浏览器的更新,以帮助缓解这些漏洞并帮助保护客户。 我们还发布了更新以保护我们的云服务。 我们继续与包括芯片制造商、硬件 OEM 和应用程序供应商在内的行业合作伙伴密切合作,以保护客户免受此类漏洞影响。
我们鼓励您始终安装每月更新,以确保您的设备保持最新和安全。
我们会在新缓解措施可用时更新此文档,并建议你定期在此处查看。
2019 年 7 月 Windows 操作系统更新
2019 年 8 月 6 日,Intel 披露了安全漏洞 CVE-2019-1125 | Windows 内核信息泄漏漏洞的详细信息。 该漏洞的安全更新已于 2019 年 7 月 9 日发布,作为 7 月月度更新发布的一部分。
2019 年 7 月 9 日,Microsoft 发布了 Windows 操作系统的安全更新,以帮助缓解此问题。 在 2019 年 8 月 6 日星期二协调行业披露之前,我们一直拒绝公开记录这种缓解措施。
已启用 Windows 更新并应用了 2019 年 7 月 9 日发布的安全更新的客户将自动受到保护。 请注意,此漏洞不需要设备制造商 (OEM) 提供微码更新。
2019 年 5 月 Windows 操作系统更新
2019 年 5 月 14 日,Intel 发布了有关新的子类推理执行侧信道漏洞(称为“微架构数据采样”)的信息,并指定了以下 CVE:
有关此问题的更多信息,请参阅以下安全通报,并使用 Windows 客户端和服务器指南文章中概述的基于场景的指南来确定缓解威胁所需的操作:
对于 64 位 (x64) 版本的 Windows,Microsoft 已针对新的子类推测执行侧信道漏洞发布了保护措施,这种漏洞称为“微架构数据采样”(CVE-2018-11091、CVE-2018-12126、CVE-2018-12127、CVE-2018-12130)。
使用 Windows 客户端(KB4073119)和 Windows Server (KB4457951)文章中所述的注册表设置。 Windows 客户端操作系统版本和 Windows Server 操作系统版本默认启用这些注册表设置。
我们建议你在安装任何微码更新之前先安装 Windows 更新中的所有最新更新。
有关此问题和建议操作的更多信息,请参阅以下安全通报:
Intel 已发布最新 CPU 平台的微码更新,以帮助缓解 CVE-2018-11091、CVE-2018-12126、CVE-2018-12127,CVE-2018-12130。 2019 年 5 月 14 日,Windows KB 4093836 按 Windows OS 版本列出具体的知识库文章。 本文还包含指向 CPU 可用的 Intel 微码更新的链接。 可以通过 Microsoft 目录获取这些更新。
注意:我们建议你在安装任何微码更新之前先安装 Windows 更新中的所有最新更新。
我们很高兴地宣布,如果启用了 Spectre 变体 2(CVE-2017-5715),则默认情况下在 Windows 10 版本 1809 设备(对于客户端和服务器)上启用 Retpoline。 通过在最新版本的 Windows 10 上应用 2019 年 5 月 14 日更新 (KB 4494441) 以启用 Retpoline,我们希望提高性能,特别是旧处理器的性能。
客户应确保使用 Windows 客户端和 Windows Server文章中所述的注册表设置启用针对 Spectre 变体 2 漏洞的先前操作系统保护。 (Windows 客户端操作系统版本默认启用这些注册表设置,但 Windows Server 操作系统版本默认禁用这些设置。) 有关“Retpoline”的详细信息,请参阅 使用 Windows上的 Retpoline 缓解 Spectre 变体 2。
2018 年 11 月 Windows 操作系统更新
Microsoft 已针对 AMD 处理器 (CPU) 的推测存储绕过 (CVE-2018-3639) 发布了操作系统保护。
Microsoft 已为使用 64 位 ARM 处理器的客户发布了额外的操作系统保护。 请与设备 OEM 制造商联系以获取固件支持,因为缓解 CVE-2018-3639“推测存储绕过”的 ARM64 操作系统保护需要设备 OEM 提供的最新固件更新。
2018 年 9 月 Windows 操作系统更新
2018 年 9 月 11 日,Microsoft 发布了 Windows Server 2008 SP2 月度汇总更新 4458010 和 Windows Server 2008 仅安全更新 4457984,它们针对一种新的推理执行侧信道漏洞提供保护,该漏洞称为 L1 终端故障 (L1TF),它会影响 Intel® Core® 处理器和 Intel® Xeon® 处理器(CVE-2018-3620 和 CVE-2018-3646)。
此版本通过 Windows 更新完成了对所有受支持的 Windows 系统版本的额外保护。 有关更多信息和受影响产品的列表,请参阅 ADV180018 | Microsoft 缓解 L1TF 变体指导。
注意: Windows Server 2008 SP2 现在遵循标准的 Windows 服务汇总模型。 有关这些更改的更多信息,请参阅我们的博客Windows Server 2008 SP2 服务更改。 除了安全更新 4341832(于 2018 年 8 月 14 日发布)之外,运行 Windows Server 2008 的客户还应安装 4458010 或 4457984。 客户还应确保使用 Windows 客户端和 Windows 服务器指南知识库文章中概述的注册表设置启用针对 Spectre 变体 2 和 Meltdown 漏洞的先前操作系统保护。 Windows 客户端操作系统版本默认启用这些注册表设置,但 Windows 服务器操作系统版本默认禁用这些注册表设置。
Microsoft 已为使用 64 位 ARM 处理器的客户发布了额外的操作系统保护。 请与设备 OEM 制造商联系以获取固件支持,因为缓解 CVE-2017-5715 - “分支目标注入”(Spectre 变体 2)的 ARM64 操作系统保护需要设备 OEM 提供的最新固件更新才能生效。
2018 年 8 月 Windows 操作系统更新
2018 年 8 月 14 日,我们宣布了 L1 终端故障 (L1TF) 并指定为多个 CVE。 这些新的推理执行侧信道漏洞可用于读取跨越受信任边界的内存内容,如果被利用,可能会导致信息泄漏。 攻击者可以利用多个途径根据配置的环境触发漏洞。 L1TF 会影响 Intel® Core® 处理器和 Intel® Xeon® 处理器。
有关 L1TF 的更多信息以及受影响场景的详细视图,包括 Microsoft 缓解 L1TF 的方法,请参阅以下资料:
2018 年 7 月 Windows 操作系统更新
我们很高兴地宣布,Microsoft 已通过 Windows 更新针对以下漏洞发布了对所有受支持 Windows 操作系统版本的额外保护:
-
针对 AMD 处理器的 Spectre 变体 2
-
针对 Intel 处理器的推理存储绕过
2018 年 6 月 13 日,我们宣布了另外一个涉及侧信道推测执行的漏洞(称为“Lazy FP 状态还原”)并指定为 CVE-2018-3665。 Lazy 还原 FP 还原不需要任何配置(注册表)设置。
有关此漏洞、受影响的产品和建议操作的更多信息,请参阅以下安全通报:
6 月 12 日,Microsoft 宣布了对 Intel 处理器中推理存储绕过禁用 (SSBD) 的 Windows 支持。 这些更新需要对应的固件(微码)和注册表更新才能实现功能。 有关开启 SSBD 要应用的更新和步骤的信息,请参阅 ADV180012 | Microsoft 推测存储绕过指南中的“推荐的操作”部分。
2018 年 5 月 Windows 操作系统更新
2018 年 1 月,Microsoft 发布了有关一类新发现的硬件漏洞(称为 Spectre 和 Meltdown)的信息,其中涉及不同程度影响 AMD、ARM 和 Intel CPU 的推理执行侧信道漏洞。 2018 年 5 月 21 日,Google Project Zero (GPZ)、Microsoft 和 Intel 披露了两个与 Spectre 和 Meltdown 问题(称为“推测存储绕过 (SSB)”和“恶意系统注册读取”)有关的新芯片漏洞。
这两种披露的客户风险都很低。
有关这些漏洞的更多信息,请参阅以下资源:
-
推测存储绕 过Microsoft 安全通报: MSRC ADV180012 和 CVE-2018-3639
-
针对恶意系统注册读取的 Microsoft 安全通报:MSRC ADV180013和 CVE-2018-3640
-
安全研究和防御: 分析和缓解推测存储绕过 (CVE-2018-3639)
适用于: Windows 10 版本 1607、Windows Server 2016、Windows Server 2016(服务器内核安装)和 Windows Server 版本 1709(服务器内核安装)
我们提供了一些支持来控制在某些 AMD 处理器 (CPU) 内间接分支预测屏障 (IBPB) 的使用,用于在从用户上下文切换到内核上下文时缓解 CVE-2017-5715(Spectre 变体 2)。 (有关更多信息,请参阅围绕间接分支控制的 AMD 体系结构指南和 AMD 安全更新)。
运行 Windows 10 版本 1607、Windows Server 2016、Windows Server 2016(服务器内核安装)和 Windows Server 版本 1709(服务器内核安装)的客户必须安装安全更新 4103723,以获取针对 CVE-2017-5715(分支目标注入),适用于 AMD 处理器的其他缓解措施。 可以通过 Windows 更新获取此更新。
按照 Windows 客户端 (IT Pro) 指南的 KB 4073119 和 Windows Server 指南的 KB 4072698 中所述的说明,启用某些 AMD 处理器 (CPU) 内 IBPB 的使用,用于在从用户上下文切换到内核上下文时缓解“Spectre 变体 2”。
Microsoft 正在围绕 Spectre 变体 2 (CVE-2017-5715“分支目标注入”)提供 Intel 验证的微码更新。 要通过 Windows 更新获取最新的 Intel 微码更新,客户必须在升级到 Windows 10 的 2018 年 4 月更新(版本 1803)之前,在运行 Windows 10 操作系统的设备上安装 Intel 微码。
如果在升级操作系统之前未在设备上安装微码更新,也可以直接从目录中获取微码更新。 可以通过 Windows 更新、WSUS 或 Microsoft 更新目录获取 Intel 微码。 有关更多信息和下载说明,请参阅 KB 4100347。
我们会将来自 Intel 的适用于 Windows 操作系统的其他微码更新提供给 Microsoft。
适用于: Windows 10 版本 1709
我们提供了一些支持来控制在某些 AMD 处理器 (CPU) 内间接分支预测屏障 (IBPB) 的使用,用于在从用户上下文切换到内核上下文时缓解 CVE-2017-5715(Spectre 变体 2)。 (有关更多信息,请参阅围绕间接分支控制的 AMD 体系结构指南和 AMD 安全更新)。 按照 Windows 客户端 (IT Pro) 指南的 KB 4073119 中所述的说明,启用某些 AMD 处理器 (CPU) 内 IBPB 的使用,用于在从用户上下文切换到内核上下文时缓解“Spectre 变体 2”。
Microsoft 正在围绕 Spectre 变体 2(CVE -2017-5715“分支目标注入”)提供 Intel 验证的微码更新。 KB4093836 按 Windows 版本列出了特定知识库文章。 每个特定的 KB 包含 CPU 最新的可用 Intel 微码更新。
我们会将来自 Intel 的适用于 Windows 操作系统的其他微码更新提供给 Microsoft。
2018 年 3 月及更高版本的 Windows 操作系统更新
3 月 23 日,TechNet 安全研究和防御:KVA 阴影:缓解 Windows 上的 Meltdown
3 月 14 日,安全技术中心:推测执行端通道赏金计划条款
3 月 13 日,博客:2018 年 3 月 Windows 安全更新–扩展了保护客户的工作
3 月 1 日,博客: Windows 设备的 Spectre 和 Meltdown 安全更新更新
从 2018 年 3 月开始,Microsoft 发布了安全更新,为运行以下基于 x86 的 Windows 操作系统的设备提供缓解措施。 客户应该安装最新的 Windows 操作系统安全更新,以利用可用的保护。 我们努力为其它受支持的 Windows 版本提供保护,但目前还没有发布计划。 请在这里查看更新。 有关更多信息,请参阅相关知识库文章以获取技术详细信息以及“常见问题解答”部分。
已发布的产品更新 |
状态 |
发布日期 |
发布通道 |
KB |
Windows 8.1 和 Windows Server 2012 R2 - 仅安全更新 |
发行版 |
3 月 13 日 |
WSUS、目录 |
|
Windows 7 SP1 和 Windows Server 2008 R2 SP1 - 仅安全更新 |
发行版 |
3 月 13 日 |
WSUS、目录 |
|
Windows Server 2012 - 仅安全更新 Windows 8嵌入式标准版本 - 仅安全更新 |
发行版 |
3 月 13 日 |
WSUS、目录 |
|
Windows 8.1 和 Windows Server 2012 R2 - 月度汇总 |
发行版 |
3 月 13 日 |
WU,WSUS,目录 |
|
Windows 7 SP1 和 Windows Server 2008 R2 SP1 - 月度汇总 |
发行版 |
3 月 13 日 |
WU,WSUS,目录 |
|
Windows Server 2012 - 月度汇总 Windows 8 嵌入式标准版本 - 月度汇总 |
发行版 |
3 月 13 日 |
WU,WSUS,目录 |
|
Windows Server 2008 SP2 |
发行版 |
3 月 13 日 |
WU,WSUS,目录 |
从 2018 年 3 月开始,Microsoft 发布了安全更新,为运行以下基于 x64 的 Windows 操作系统的设备提供缓解措施。 客户应该安装最新的 Windows 操作系统安全更新,以利用可用的保护。 我们努力为其它受支持的 Windows 版本提供保护,但目前还没有发布计划。 请在这里查看更新。 有关更多信息,请参阅相关知识库文章以获取技术详细信息以及“常见问题解答”部分。
已发布的产品更新 |
状态 |
发布日期 |
发布通道 |
KB |
Windows Server 2012 - 仅安全更新 Windows 8嵌入式标准版本 - 仅安全更新 |
发行版 |
3 月 13 日 |
WSUS、目录 |
|
Windows Server 2012 - 月度汇总 Windows 8 嵌入式标准版本 - 月度汇总 |
发行版 |
3 月 13 日 |
WU,WSUS,目录 |
|
Windows Server 2008 SP2 |
发行版 |
3 月 13 日 |
WU,WSUS,目录 |
此更新修复了 Windows 64 位 (x64) 版本的 Windows 内核中的特权提升漏洞。 此漏洞记录在 CVE-2018-1038 中。 如果用户在 2018 年 1 月期间或之后通过应用以下知识库文章中列出的任意更新对计算机进行了更新,则必须应用此更新才能完全防范此漏洞。
此安全更新可修复 Internet Explorer 中报告的多个漏洞。 若要了解有关这些漏洞的更多信息,请参阅 Microsoft 常见漏洞和披露。
已发布的产品更新 |
状态 |
发布日期 |
发布通道 |
KB |
Internet Explorer 10 - Windows 8 Embedded Standard Edition 的累积更新 |
发行版 |
3 月 13 日 |
WU,WSUS,目录 |
2018 年 2 月 Windows 操作系统更新
以下安全更新为运行 32 位(x86) Windows 操作 系统的设备提供额外保护。 Microsoft 建议客户尽快安装更新。 我们继续努力为其它受支持的 Windows 版本提供保护,但目前还没有发布计划。 请在这里查看更新。
注意 Windows 10 每月安全更新按月累计,将从 Windows 更新自动下载并安装。 如果您安装了较早的更新,则只有新的部分将被下载并安装到您的设备上。 有关更多信息,请参阅相关知识库文章以获取技术详细信息以及“常见问题解答”部分。
已发布的产品更新 |
状态 |
发布日期 |
发布通道 |
KB |
Windows 10 - 版本 1709 / Windows Server 2016(1709)/物联网核心 - 质量更新 |
发行版 |
1 月 31 日 |
WU,目录 |
|
Windows Server 2016 (1709) - Server 容器 |
发行版 |
2 月 13 日 |
Docker Hub |
|
Windows 10 - 版本 1703/物联网核心 - 质量更新 |
发行版 |
2 月 13 日 |
WU,WSUS,目录 |
|
Windows 10 - 版本 1607 / Windows Server 2016/物联网核心 - 质量更新 |
发行版 |
2 月 13 日 |
WU,WSUS,目录 |
|
Windows 10 HoloLens - 操作系统和固件更新 |
发行版 |
2 月 13 日 |
WU,目录 |
|
Windows Server 2016(1607) - 容器映像 |
发行版 |
2 月 13 日 |
Docker Hub |
|
Windows 10 - 版本 1511/IoT 核心版 - 质量更新 |
发行版 |
2 月 13 日 |
WU,WSUS,目录 |
|
Windows 10 - 版本RTM - 质量更新 |
发行版 |
2 月 13 日 |
WU,WSUS,目录 |
2018 年 1 月 Windows 操作系统更新
从 2018 年 1 月开始,Microsoft 发布了安全更新,为运行以下基于 x64 的 Windows 操作系统的设备提供缓解措施。 客户应该安装最新的 Windows 操作系统安全更新,以利用可用的保护。 我们努力为其它受支持的 Windows 版本提供保护,但目前还没有发布计划。 请在这里查看更新。 有关更多信息,请参阅相关知识库文章以获取技术详细信息以及“常见问题解答”部分。
已发布的产品更新 |
状态 |
发布日期 |
发布通道 |
KB |
Windows 10 - 版本 1709 / Windows Server 2016(1709)/物联网核心 - 质量更新 |
发行版 |
1 月 3 日 |
WU,WSUS,目录,Azure 图片库 |
|
Windows Server 2016 (1709) - Server 容器 |
发行版 |
1 月 5 日 |
Docker Hub |
|
Windows 10 - 版本 1703/物联网核心 - 质量更新 |
发行版 |
1 月 3 日 |
WU,WSUS,目录 |
|
Windows 10 - 版本 1607 / Windows Server 2016/物联网核心 - 质量更新 |
发行版 |
1 月 3 日 |
WU,WSUS,目录 |
|
Windows Server 2016(1607) - 容器映像 |
发行版 |
1 月 4 日 |
Docker Hub |
|
Windows 10 - 版本 1511/IoT 核心版 - 质量更新 |
发行版 |
1 月 3 日 |
WU,WSUS,目录 |
|
Windows 10 - 版本RTM - 质量更新 |
发行版 |
1 月 3 日 |
WU,WSUS,目录 |
|
Windows 10 Mobile(操作系统内部版本 15254.192) - ARM |
发行版 |
1 月 5 日 |
WU,目录 |
|
Windows 10 Mobile(操作系统内部版本 15063.850) |
发行版 |
1 月 5 日 |
WU,目录 |
|
Windows 10 移动版(操作系统内部版本 14393.2007) |
发行版 |
1 月 5 日 |
WU,目录 |
|
Windows 10 HoloLens |
发行版 |
1 月 5 日 |
WU,目录 |
|
Windows 8.1 / Windows Server 2012 R2 - 仅安全更新 |
发行版 |
1 月 3 日 |
WSUS、目录 |
|
Windows Embedded 8.1 Industry Enterprise |
发行版 |
1 月 3 日 |
WSUS、目录 |
|
Windows Embedded 8.1 Industry Pro |
发行版 |
1 月 3 日 |
WSUS、目录 |
|
Windows Embedded 8.1 Pro |
发行版 |
1 月 3 日 |
WSUS、目录 |
|
Windows 8.1 / Windows Server 2012 R2 月度汇总 |
发行版 |
1 月 8 日 |
WU,WSUS,目录 |
|
Windows Embedded 8.1 Industry Enterprise |
发行版 |
1 月 8 日 |
WU,WSUS,目录 |
|
Windows Embedded 8.1 Industry Pro |
发行版 |
1 月 8 日 |
WU,WSUS,目录 |
|
Windows Embedded 8.1 Pro |
发行版 |
1 月 8 日 |
WU,WSUS,目录 |
|
Windows Server 2012 仅安全 |
发行版 |
WSUS、目录 |
||
Windows Server 2008 SP2 |
发行版 |
WU,WSUS,目录 |
||
Windows Server 2012 月度汇总 |
发行版 |
WU,WSUS,目录 |
||
Windows Embedded 8 Standard |
发行版 |
WU,WSUS,目录 |
||
Windows 7 SP1 / Windows Server 2008 R2 SP1 - 仅安全更新 |
发行版 |
1 月 3 日 |
WSUS、目录 |
|
Windows Embedded Standard 7 |
发行版 |
1 月 3 日 |
WSUS、目录 |
|
Windows Embedded POSReady 7 |
发行版 |
1 月 3 日 |
WSUS、目录 |
|
Windows Thin PC |
发行版 |
1 月 3 日 |
WSUS、目录 |
|
Windows 7 SP1 / Windows Server 2008 R2 SP1 月度汇总 |
发行版 |
1 月 4 日 |
WU,WSUS,目录 |
|
Windows Embedded Standard 7 |
发行版 |
1 月 4 日 |
WU,WSUS,目录 |
|
Windows Embedded POSReady 7 |
发行版 |
1 月 4 日 |
WU,WSUS,目录 |
|
Windows Thin PC |
发行版 |
1 月 4 日 |
WU,WSUS,目录 |
|
Internet Explorer 11 - Windows 7 SP1 和 Windows 8.1 的累积更新 |
发行版 |
1 月 3 日 |
WU,WSUS,目录 |
2024 年 4 月 9 日,我们发布了 CVE-2022-0001 | Intel 分支历史记录注入,用于描述分支历史记录注入 (BHI),它是一种特定形式的模式内 BTI。 当攻击者在从用户模式转换为监督模式(或从 VMX 非根/来宾模式转换为根模式)之前,可能操纵分支历史记录时,会出现此漏洞。 此操作可能导致间接分支预测器为间接分支选择特定的预测器条目,并且预测目标处的泄漏小工具会暂时执行。 这可能是因为相关的分支历史记录可能包含在以前的安全上下文中创建的分支,尤其是其他预测器模式下。
按照适用于 Windows 客户端(IT 专业人员)KB4073119指南和适用于 Windows Server 的 KB4072698 指南中概述的说明进行操作,以缓解 CVE-2022-0001 | Intel 分支历史记录注入 中所述的漏洞。
资源和技术指南
根据你的角色,以下支持文章将帮助你识别并缓解受 Spectre 和 Meltdown 漏洞影响的客户端和服务器环境。
针对 L1 终端故障 (L1TF) 的 Microsoft 安全通报: MSRC ADV180018、CVE-2018-3615、CVE-2018-3620、和 CVE-2018-3646
安全研究和防御: 分析和缓解推测存储绕过 (CVE-2018-3639)
推测存储绕过 Microsoft 安全通报: MSRC ADV180012 和 CVE-2018-3639
针对恶意系统注册读取的 Microsoft 安全通报 | Surface 安全更新指南:MSRC ADV180013 和 CVE-2018-3640
安全研究和防御: 分析和缓解推测存储绕过 (CVE-2018-3639)
TechNet 安全研究和防御: KVA 阴影:缓解 Windows 上的 Meltdown
安全技术中心: 推测执行侧信道赏金计划术语
Microsoft 体验博客: 有关 Windows 设备的 Spectre 和 Meltdown 安全更新的更新
Windows for Business 博客:Windows Analytics 现在有助于评估 Spectre 和 Meltdown 保护
Microsoft 安全博客:了解 Spectre 和 Meltdown 缓解操作对 Windows 系统的性能影响
Edge 开发人员博客:在 Microsoft Edge 和 Internet Explorer 中缓解预测执行旁路攻击
Azure 博客:保护 Azure 客户免受 CPU 漏洞影响
SCCM 指南:缓解预测执行旁路漏洞的附加指南
Microsoft 通报:
Intel:安全公告
ARM:安全公告
AMD:安全公告
NVIDIA: 安全公告
消费者指南:保护设备免受与芯片相关的安全漏洞影响
防病毒指南:Windows 安全更新 2018 年 1 月 3 日版和防病毒软件
AMD Windows 操作系统安全更新块指南:KB4073707:适用于某些基于 AMD 的设备的 Windows 操作系统安全更新块
更新以禁用针对 Spectre 变体 2 的缓解措施:KB4078130:Intel 已发现一些较旧的处理器存在微代码重启问题。
Surface 指南:防范预测执行旁路漏洞的 Surface 指南
验证推测执行侧信道缓解的状态:了解 Get-SpeculativeControlSettings PowerShell 脚本输出
IT 专业人员指南:防范预测执行旁路漏洞的 Windows 客户端 IT 专业人员指南
Server 指南:防范预测执行旁路漏洞的 Windows Server 指南
L1 终端故障的服务器指南:用于防范 L1 终端故障的 Windows Server 指南
开发人员指南: 推测存储绕过开发人员指南
(服务器)Hyper-V 指南
Azure 知识库:KB4073235:防范预测执行旁路漏洞的 Microsoft 云保护
Azure Stack 指南:KB4073418:防范预测执行旁路漏洞的 Azure Stack 指南
Azure 可靠性: Azure 可靠性门户
SQL Server 指南:KB4073225:防范预测执行旁路漏洞的 SQL Server 指南
指向 OEM 和服务器设备制造商获取防御 Spectre 和 Meltdown 漏洞的更新的链接
为了帮助修复这些漏洞,必须同时更新硬件和软件。 使用以下链接与设备制造商确认适用的固件(微码)更新。
使用以下链接与设备制造商确认固件(微码)更新。 你需要安装操作系统和固件(微码)更新以获得所有可用的保护。
OEM 设备制造商 |
链接到微码可用 |
Acer |
|
Asus |
|
Dell |
|
Epson |
|
Fujitsu |
|
HP |
|
Lenovo |
|
LG |
|
NEC |
|
Panasonic |
|
Samsung |
|
Surface |
|
Toshiba |
|
Vaio |
Server OEM 制造商 |
链接到微码可用 |
Dell |
|
Fujitsu |
|
HPE |
|
Huawei |
|
Lenovo |
常见问题
你将需要与你的设备制造商确认固件(微码)更新。 如果您的设备制造商未在表格中列出,请直接联系您的 OEM。
通过 Windows 更新,客户可以使用 Microsoft Surface 设备的更新。 有关可用 Surface 设备固件(微码)更新的列表,请参阅 KB 4073065。
如果你的设备不是来自 Microsoft,请应用设备制造商提供的固件更新。 有关更多信息,请与您的设备制造商联系。
通过使用软件更新修复硬件漏洞存在重大挑战,而且适用于较早操作系统的缓解措施需要大量的体系结构更改。 我们会继续与受影响的芯片制造商合作,以研究提供缓解措施的最佳方式。 这可能会在将来的更新中提供。 替换运行这些较早操作系统的较旧设备以及更新防病毒软件应该能解决剩余的风险。
注意:
-
目前不支持主流和扩展支持的产品将不会收到这些系统更新。 我们建议客户更新到受支持的系统版本。
-
推理执行侧信道攻击利用 CPU 行为和功能。 CPU 制造商必须首先确定哪些处理器可能存在风险,然后通知 Microsoft。 在许多情况下,还需要相应的操作系统更新,以便为客户提供更全面的保护。 我们建议具有安全意识的 Windows CE 供应商与其芯片制造商合作,以了解这些漏洞和适用的缓解措施。
-
我们不会为以下平台发布更新:
-
目前不受支持或者在 2018 年进入服务终止 (EOS) 的 Windows 操作系统
-
包括 WES 2009 和 POSReady 2009 在内的基于 Windows XP 的系统
-
虽然基于 Windows XP 的系统是受影响的产品,但 Microsoft 不会为其发布更新,因为所需的全面体系结构更改会危及系统稳定性并导致应用程序兼容性问题。 我们建议具有安全意识的客户升级到更新的受支持的操作系统,以跟上不断变化的安全威胁格局,并从更新的操作系统提供的更强大的保护中受益。
HoloLens 客户可通过 Windows 更新获取适用于 HoloLens 的 Windows 10 更新。
应用 2018 年 2 月 Windows 安全更新之后,HoloLens 客户不必采取任何其他措施来更新设备固件。 这些缓解措施应包含在适用于 HoloLens 的 Windows 10 的未来版本中。
有关更多信息,请与您的 OEM 联系。
为了让你的设备得到全面保护,你应该为设备安装最新的 Windows 操作系统安全更新和设备制造商提供的适用固件(微码)更新。 这些更新应在您的设备制造商的网站上提供。 应首先安装防病毒软件更新。 操作系统和固件更新可以按任意顺序安装。
必须更新硬件和软件才能修复此漏洞。 你还必须安装设备制造商的可用固件(微码)更新才能受到更全面的保护。 我们鼓励你通过每月安装 Windows 安全更新使你的设备保持更新到最新状态。
在每个 Windows 10 功能更新中,我们都将最新的安全技术深入到操作系统中,提供纵深防御功能,可防止整个类别的恶意软件影响您的设备。 功能更新版本每年定位两次。 在每月质量更新中,我们增加了另一层安全性,可以跟踪恶意软件中新出现的和不断变化的趋势,以便面对不断变化和不断变化的威胁,使最新的系统更安全。
Microsoft 已通过 Windows 更新提升了受支持版本的 Windows 10、Windows 8.1 和 Windows 7 SP1 设备的 Windows 安全更新的 AV 兼容性检查。
建议:-
确保你的设备通过安装 Microsoft 和硬件制造商提供的最新安全更新保持最新状态。 有关如何使你的设备保持最新状态的更多信息,请参阅 Windows 更新:。
-
访问来历不明的网站时请继续采取合理的谨慎措施,并且不要停留在你不信任的网站上。 Microsoft 建议所有客户通过运行受支持的防病毒程序来保护自己的设备。 用户也可以充分利用内置的防病毒保护:Windows 10 设备的 Windows Defender 或 Windows 7 设备的 Microsoft Security Essentials。 在客户无法安装或运行防病毒软件的情况下,这些解决方案适用。
为了帮助避免对客户设备产生负面影响,1 月和 2 月发布的 Windows 安全更新尚未提供给所有客户。 有关详细信息,请参阅 Microsoft 知识库文章 4072699。
Intel 已报告了影响最近发布的旨在解决 Spectre 变体 2(CVE -2017-5715“分支目标注入”)的微码问题。 具体而言,Intel 已注意到此微码可能会导致“重启次数多于预期以及其他意外系统行为”,并且还注意到此类情况可能会导致“数据丢失或损坏”。 我们自己的经验是:系统不稳定在某些情况下会导致数据丢失或损坏。 1 月 22 日,Intel 建议客户在对更新的解决方案执行额外测试时,在受影响的处理器上停止部署当前微码版本。 我们了解 Intel 在不断调查当前微码版本的潜在影响,并鼓励客户持续查看指南以告知其决策。
在 Intel 测试、更新和部署新微码的同时,我们将提供一个带外 (OOB) 更新 KB 4078130,专门用于仅禁用针对 CVE-2017-5715“分支目标注入”的缓解措施。 在我们的测试中,发现此更新可防止上述行为。 有关设备的完整列表,请参阅 Intel 微码修订指南。 此更新适用于客户端和服务器的 Windows 7 (SP1)、Windows 8.1 和所有版本的 Windows 10。 如果你运行的设备受到影响,可以从 Microsoft 更新目录网站下载并应用此更新。 应用此有效负载可专门仅禁用针对 CVE-2017-5715“分支目标注入”的缓解措施。
截至 1 月 25 日,尚没有已知的报告表明此 Spectre 变体 2 (CVE-2017-5715) 被用于攻击客户。 当 Intel 报告已为你的设备解决此意外系统行为时,我们建议 Windows 客户适当时重新启用针对 CVE-2017-5715 的缓解措施。
不可以。 仅安全更新不是累积的。 根据你正在运行的操作系统版本,将必须安装所有发布的仅安全更新,以免受这些漏洞的影响。 例如,如果你在受影响的 Intel CPU 上运行 Windows 7(用于 32 位系统),则必须安装从 2018 年 1 月开始的每个仅安全更新。 我们建议按照发布顺序安装这些仅安全更新。
注意 此常见问题解答的较早版本错误地指出,2 月仅安全更新包含 1 月发布的安全修补程序。 事实上,并不包含。不可以。 安全更新 4078130 是一个特定的修复程序,可用于防止在安装微码后出现不可预知的系统行为、性能问题和意外重启。 在 Windows 客户端操作系统上应用 2 月份安全更新可启用所有三种缓解措施。 在 Windows 服务器操作系统上,执行适当的测试后仍必须启用缓解措施。 有关更多信息,请参阅 Microsoft 知识库文章 4072698。
AMD 最近宣布他们已经开始发布围绕 Specter 变体 2(CVE -2017-5715“分支目标注入”)的较新 CPU 平台的微码。 有关详细信息,请参阅 AMD 安全更新 和 AMD 白皮书:有关间接分支控制的体系结构准则。 这些内容可从 OEM 固件频道获得。
Intel 最近宣布他们已经完成了验证,并开始针对较新的 CPU 平台发布微码。 Microsoft 正在围绕 Spectre 变体 2(CVE-2017-5715“分支目标注入”)提供 Intel 验证的微码更新。 KB 4093836 按 Windows 版本列出了特定的知识库文章。 每个特定的 KB 包含 CPU 可用的 Intel 微码更新。
Microsoft 正在围绕 Spectre 变体 2 (CVE-2017-5715“分支目标注入”)提供 Intel 验证的微码更新。 要通过 Windows 更新获取最新的 Intel 微码更新,客户必须在升级到 Windows 10 的 2018 年 4 月更新(版本 1803)之前,在运行 Windows 10 操作系统的设备上安装 Intel 微码。
如果在升级系统之前未在设备上安装微码更新,也可以直接从更新目录中获取微码更新。 可以通过 Windows 更新、WSUS 或 Microsoft 更新目录获取 Intel 微码。 有关更多信息和下载说明,请参阅 KB 4100347。
有关更多信息,请参阅以下资源:
-
ADV180012 | Microsoft 推测性存储绕过指南(适用于 CVE-2018-3639)
-
ADV180013 | Microsoft 恶意系统寄存器读取指南(适用于 CVE-2018-3640)和KB 4073065 | Surface 客户指南
为了验证 SSBD 的状态,已更新 Get-SpeculationControlSettings PowerShell 脚本,从而检测受影响的处理器、SSBD 操作系统更新的状态以及处理器微码的状态(如果适用)。 要获取详细信息和 PowerShell 脚本,请参阅 KB4074629。
2018 年 6 月 13 日,我们宣布了另外一个涉及侧信道推测执行的漏洞(称为“Lazy FP 状态还原”)并指定为 CVE-2018-3665。 Lazy 还原 FP 还原不需要任何配置(注册表)设置。
有关此漏洞和建议操作的更多信息,请参阅安全通报:ADV180016 | Microsoft Lazy FP 状态还原指南。
备注 Lazy 还原 FP 还原不需要任何配置(注册表)设置。
边界检查绕过存储 (BCBS) 于 2018 年 7 月 10 日披露,并指定为 CVE-2018-3693。 我们认为 BCBS 与边界检查绕过(变体 1)属于同一类漏洞。 我们目前尚未发现我们的软件中存在任何 BCBS 实例,但我们正在继续研究此漏洞类别,并将与行业合作伙伴合作以发布所需的缓解措施。 我们将继续鼓励研究人员向 Microsoft 的推理执行侧信道奖励计划提交任何相关研究结果,包括任何可利用的 BCBS 实例。 软件开发人员应查看已为 BCBS 更新的开发人员指南,网址为 https://aka.ms/sescdevguide。
2018 年 8 月 14 日,我们宣布了 L1 终端故障 (L1TF) 并指定为多个 CVE。 这些新的推理执行侧信道漏洞可用于读取跨越受信任边界的内存内容,如果被利用,可能会导致信息泄漏。 攻击者可以利用多个途径根据配置的环境触发漏洞。 L1TF 会影响 Intel® Core® 处理器和 Intel® Xeon® 处理器。
有关此漏洞的更多信息以及受影响场景的详细视图,包括 Microsoft 缓解 L1TF 的方法,请参阅以下资料:
Microsoft Surface 客户:使用 Microsoft Surface 和 Surface Book 产品的客户需要遵循安全通报中概述的 Windows 客户端指南:ADV180018 |用于缓解 L1TF 变体的 Microsoft 指南。 有关受影响的 Surface 产品和微码更新可用性的更多信息,另请参阅 Microsoft 知识库文章 4073065。
Microsoft HoloLens 客户:Microsoft HoloLens 不受 L1TF 的影响,因为它不使用受影响的 Intel 处理器。
禁用超线程所需的步骤因 OEM 不同而异,但通常都是 BIOS 或固件设置和配置工具的一部分。
使用 64 位 ARM 处理器的客户应与设备 OEM 联系以获取固件支持,因为缓解 CVE-2017-5715 - “分支目标注入”(Spectre 变体 2)的 ARM64 操作系统保护需要设备 OEM 提供的最新固件更新才能生效。
有关此漏洞的详细信息,请参阅 Microsoft 安全指南: CVE-2019-1125 | Windows 内核信息泄漏漏洞。
我们未发现影响云服务基础设施的此信息泄漏漏洞的任何实例。
我们一经发现此问题,就会迅速进行解决并发布更新。 我们坚信与研究人员和行业合作伙伴建立密切的合作伙伴关系,以使客户更加安全,并且在 8 月 6 日星期二之前不发布详细信息,与协调漏洞披露做法一致。
参考
Microsoft 提供了第三方联系信息,以帮助你查找有关此主题的其他信息。 该联系信息如有更改,恕不另行通知。 Microsoft 不保证第三方联系信息的准确性。