熔毁和幽灵高危漏洞的补丁下载以及与防病毒软件的兼容性

Posted 2020-10-21

Microsoft 已经意识到一类公开披露的新漏洞，这些漏洞称为“推理执行侧信道攻击”，会影响许多新式处理器和操作系统，包括 Intel、AMD 和 ARM 的芯片组。

注意 此问题还会影响其他系统，例如 android、Chrome、ios 和 MacOS。 因此，我们建议客户向这些供应商寻求指导。

Microsoft 已发布了几项更新来帮助缓解这些漏洞。 我们还采取了措施来保护我们的云服务。 有关更多信息，请参阅下列部分。

Microsoft 尚未收到任何信息，指出这些漏洞已被用来攻击客户。 Microsoft 会继续与业内合作伙伴（包括芯片制造商、硬件 OEM 和应用供应商）密切合作以保护客户。 若要获取所有可用保护，需要进行硬件或固件更新以及软件更新。 其中包括来自设备 OEM 的微码，在有些情况下，还包括防病毒软件更新。

此通报修复了以下漏洞：

CVE-2017-5715（分支目标注入）
CVE-2017-5753（边界检查绕过）
CVE-2017-5754（流氓数据缓存加载）

以下是不同系统版本所对应的补丁
https://support.microsoft.com/zh-cn/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution

但是Microsoft 已确定此补丁与少量防病毒软件产品之间存在的兼容性问题。
这里提供防病毒软件供应商与此补丁的兼容性表格：

https://docs.google.com/spreadsheets/d/184wcDt9I9TUNFFbsAVLpzAtckQxYiuirADzf3cL42FQ/htmlview?sle=true#gid=0
当防病毒应用程序对 Windows 内核内存进行不受支持的调用时，会出现该兼容性问题。 这些调用可能会导致停止错误（也称为蓝屏错误），进而使设备无法启动。 为了帮助防止不兼容的防病毒应用程序所导致的停止错误，Microsoft 仅将 2018 年 1 月 3 日发布的 Windows 安全更新提供给正在运行已确认其软件与 2018 年 1 月 Windows 操作系统安全更新兼容的合作伙伴所提供的防病毒软件的设备。
https://support.microsoft.com/zh-cn/help/4072699/january-3-2018-windows-security-updates-and-antivirus-software

Windows 10、Windows 8.1、Windows Server 2012 R2 和 Windows Server 2016 客户

Microsoft 建议所有客户通过运行兼容且受支持的防病毒程序来保护自己的设备。 客户可利用内置防病毒保护、适用于 Windows 8.1 和 Windows 10 设备的 Windows Defender 防病毒或兼容的第三方防病毒应用程序。 防病毒软件必须设置以下所述的注册表项，以便接收 2018 年 1 月安全更新。

Windows 7 SP1 和 Windows Server 2008 R2 SP1 客户

在 Windows 7 SP1 或 Windows Server 2008 R2 SP1 的默认安装中，客户将不会默认安装防病毒应用程序。 在这些情况下，Microsoft 建议安装兼容且受支持的防病毒应用程序，例如 Microsoft Security Essentials 或第三方防病毒应用程序。 防病毒软件必须设置以下所述的注册表项，以便接收 2018 年 1 月安全更新。

没有防病毒软件的客户

在客户无法安装或运行防病毒软件的情况下，Microsoft 建议手动设置以下所述的注册表项，以便接收 2018 年 1 月安全更新。

设置注册表项

警告 注册表编辑器使用不当可造成严重问题，这些问题可能需要重新安装操作系统。 Microsoft 不保证能够解决因为注册表编辑器使用不当而产生的问题。 使用“注册表编辑器”需要你自担风险。 有关如何编辑注册表的信息，请查看“注册表编辑器”(Regedit.exe) 中的“更改项和值”帮助主题，或查看 Regedt32.exe 中的“添加和删除注册表中的信息”和“编辑注册表数据”帮助主题。

注意： 客户将不会收到 2018 年 1 月安全更新（或任何后续安全更新），并且不会防御安全漏洞，除非他们的防病毒软件供应商设置以下注册表项：

Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”

假如你的环境还部署了WSUS服务器，却接受不到此更新。可能是前置补丁没有安装
在下面的case中，有一个Server 2012R2的客户就发生了这样的问题。
手动安装以下两个补丁，并重新启动
Windows8.1-KB2919442-x64.msu程序
（https://www.microsoft.com/en-us/download/details.aspx?id=42162）

Windows8.1-KB2919355-x64.msu程序
（https://www.microsoft.com/en-us/download/details.aspx?id=42334）

详见
https://social.technet.microsoft.com/Forums/windowsserver/en-US/e94e7a3f-3c81-45af-af22-eb31226f84a8/servers-not-being-offered-security-patch-for-meltdownspectre?forum=winserver8gen

     希望这些可以帮到你们。