微軟修補x86版Windows 10以及執行部份Skylake 處理器的Window 10電腦中Meltdown及Spectre漏洞

微軟再釋出新一波Meltdown、Spectre修補程式

微軟周四再釋出兩個更新程式,以修補x86版Windows 10,以及執行部份Skylake 處理器的Window 10電腦中Meltdown及Spectre漏洞。
 
微軟Windows 服務與遞送計畫管理總監John Cable強調,Meltdown以及特別是Spectre的修補,需要軟體及韌體層次的更新。周四的宣佈首先包括2月13日釋出的x86(32-bit)版本Windows 10產品的修補程式,涵括Windows 10 RTM、1511、1607、1703及1709、Windows Server 2016及Windows 10 HoloLens。
 
1月間微軟率先釋出則的是64位元版Windows 10上的Meltdown及Spectre更新程式。微軟表示,未來還會持續釋出其他Windows 版本的更新程式。
 
此外,配合英特爾2月初第一波釋出針對舊版Skylake平台處理器的更新微程式碼而提供的韌體更新。本韌體更新修補的是CVE 2017-5715(分支目標注入),即Specre第2變種。新釋出的 KB4090007是針對Skylake H/S以及Skylake U/Y、Skylake U23e為基礎的第6代Intel Core/Core m處理器的Windows 10 秋季創作者更新(Fall Creators Update),即最新的1709版更新。想在其他Intel處理器及較舊版本的Windows 電腦上安裝這個更新程式會顯示錯誤訊息。
 
微軟同時再重申防毒軟體與Windows更新相容的必要性。微軟一月對和Windows更新不相容及未設正確機碼的防毒採取封鎖。Cable表示,在持續與防毒軟體廠商合作下,大部份Windows裝置上的防毒軟體都是相容的。微軟也會繼續要求防毒廠商,並建議用戶檢查防毒軟體的相容性。
 
最後,由於所有修補都是從最新版Windows 10開始,微軟也藉此鼓勵用戶更新到1709版的Windows 10。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

微軟終於修補所有Windows 版本的Meltdown漏洞

微軟周二發佈,修補所有現行Windows的Meltdown漏洞,同時取消Windows 10更新對第三方防毒軟體的相容性檢查。此外還發佈新版英特爾處理器微程式碼。 

最新更新將把Meltdown修補程式發佈到x86版Windows 7及8.1版。在此之前只有64-bit及32-bit(x86)版Windows 10 PC依序獲得修補。 

針對Windows 10,微軟也公佈一些調整。原本微軟要求第三方防毒軟體必須設定正確機碼,否則用戶PC無法獲得Windows更新。微軟Windows 服務與遞送計畫管理總監John Cable解釋,這是為了防止防毒軟體對Windows核心記憶體發出不被支援的呼叫而做的相容性檢查。 

本周的更新中將移除此類相容性檢查,可望擴大Windows 更新的部署範圍。但他指出,微軟仍然持續要求防毒軟體相容性,如果發現有防毒軟體驅動程式的相容性問題,微軟還是會封鎖Windows PC安裝更新軟體。至於舊版Windows的防毒產品相容性問題,微軟將在未來幾周公佈相關措施。 

此外,因應二月底英特爾發佈Skylake、及Kaby Lake及Coffee Lake平台的微程式碼更新來修補Spectre漏洞,微軟周二也宣佈這批更新將透過Microsoft Catalog發佈給Windows 10 1709版PC。其後也會配合英特爾的進度,將更新微程式碼釋出給用戶。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏

Meltdown及Spectre餘波盪漾,微軟懸賞25萬美元請高手找出類似漏洞

今年一月爆發的Meltdown、Spectre漏洞造成資訊界一陣混亂迄今尚未平息,微軟周四公佈獎金高達25萬美元的限時抓蟲方案,請外部高手找出類似的漏洞。
 
這項今年12月31日截止的抓蟲獎勵方案旨在防範推測執行旁路攻擊漏洞(speculative execution side channel vulnerability)。微軟安全回應中心首席部門安全經理Philip Misner指出,今年初這批新種漏洞的揭露是安全研究界的重要進展。推測執行是前所未見的新型態漏洞,可以預見針對此類漏洞的攻擊手法也會持續推陳出新。
 
這項抓蟲獎勵方案分成4個層級。第一層將尋找出新型態推測執行旁路攻擊漏洞,獎金為25萬美元。第2、3層級目的分別是找出微軟Azure及Windows上可能繞過微軟現有緩解的攻擊漏洞,獎金皆為20萬美元。第4級則是尋找Windows 10、Microsoft Edge中已知的CVE-2017-5753或CVE-2017-5715(兩者皆被稱為Spectre)漏洞,這類漏洞必須要能曝露信賴區域中的敏感資訊,研究人員將能因此獲頒2.5萬美元。

微軟也提醒,依業界的協同漏洞揭露原則,微軟將會公佈此方案下找出的推測執行漏洞,以促使受影響的業者或產品能一同解決。
 
就在昨天,飽受這批漏洞困擾的英特爾也公佈將重新設計未來處理器產品,增加對Spectre及類似漏洞的防護。

🍎たったひとつの真実見抜く、見た目は大人、頭脳は子供、その名は名馬鹿ヒカル!🍏