如何理解"安全通告——ADV180002"
近日大家都在关注披露的CPU漏洞。微软安全公告 (中文版本请点击这里)提供了全面指导、缓解修复方案和对应官方技术文档链接。为便于广大用户的理解,我们这里试着为大家再深入解读一下。
涉及的安全漏洞
- CVE-2017-5715 - Bounds check bypass
- CVE-2017-5753 - Branch target injection
- CVE-2017-5754 - Rogue data cache load
微软受到影响并已经提供缓解方案的产品
浏览器
Windows
SQL Server
兼容性
请咨询防病毒厂商以便确认您所使用的防病毒系列产品是否兼容修复CPU安全漏洞所需安装的Windows安全更新。企业用户请咨询防病毒厂商,以便了解用于标示 “兼容”的注册表项和对应的键值可以通过哪些方式在大量系统上自动配置部署。详细情况请参考Microsoft Knowledge Base Article 4072699
*微软防病毒软件(Windows 8.1/Windows 10上的Windows Defender)对安全更新兼容的。
*更多与硬件兼容信息请参考我们的安全通告微软安全公告 (中文版本请点击这里)
性能
我们之前的测试显示,安装安全修复不会对桌面系统有明显性能影响。对于服务器系统,我们建议您在生产环境部署应用之前一定要做好测试。每个服务器所提供的服务,由于所处环境千差万别,我们不能随意预测对您服务器的可能影响。
对于SQL服务器,请阅读我们的指南Microsoft Knowledge Base Article 4073225来测试实施。
<北京时间1月10日凌晨> 我们最新关于安全补丁对性能影响方面的建议,请进一步参考Understanding the performance impact of Spectre and Meltdown mitigations on Windows Systems
更新生效开关
仅针对服务器操作系统(Windows Server 2008 R2, Windows Server 2012 R2, Windows Server 2016, Windows Server Version 1709), 需要添加对应的注册表键值才能启用这部分防护。具体请参考Microsoft Knowledge Base Article 4072698
*KB4072698中, 设置开启和关闭功能时有同样一个注册表项FeatureSettingsOverrideMask。这是一个掩码,因此无论开启或关闭,设置的值都是3。
**桌面操作系统(Windows 7/Windows 8.1/Windows 10)默认安装后缓解方法即生效。
修复的完整性
对于相关的三个漏洞,硬件厂商的固件升级是必要的,否则修复并不完整。
虚拟化
除了物理主机,Windows虚拟机通过安装补丁可以修复并防范内核信息泄露。
所有支持的操作系统都对这类漏洞都已经有了安全更新吗?
Windows Server 2008和 Windows Server 2012暂无。因为从软件角度开发缓解修复方案,需要涉及软件架构上的巨大变化。我们仍在与合作伙伴一起研究更好的缓解方法。当前另外一个较快的可能方法是对操作系统版本进行整体升级(请参考我们安全通告的问答部分)。
<北京时间2018年1月10日晨>
为了便于商业用户和普通消费者全面查询对于防病毒软件、OEM和微软安全更新的技术信息,我们又发布了一个新的知识库文章 4073757 ,请参考。
对于KB4072698 中公布的检测是否处于保护状态的PowerShell脚本,我们专门发布了一个官方说明文档, 请参阅KB4074629
<北京时间2018年1月17日晚>