在Windows系统上修复Meltdown(熔断)和Specture(幽灵)CPU漏洞
自从我们推送了先前的文章,提到微软发布了修复Meltdown(熔断)和Specture(幽灵)CPU漏洞的带外补丁,我们不断受到请求,希望我们能介绍如何使用这些补丁。
对于安全事件,一篇资讯类型的文章并不足以提供充分的建议。因此我们通过本文,将逐步展示如何获取更新,和如何浏览微软复杂的安全公告。
为了编写本文,我们参考了四个微软的帮助文档,或许你也会对它们有兴趣:
- Windows桌面用户指南
- Windows服务器用户指南
- 安全建议ADV180002(包含更新软件包的KB编号)
- 更新第三方防病毒软件用户的兼容性警告
这几篇文档中最值得关注,也是被反复强调的一句话是:
为了防止不兼容的杀软导致系统崩溃,微软在1月3日提供的补丁,仅支持部分兼容本次安全更新的杀软厂商。
这意味着什么
这意味着,如果你打开Windows Update并点击“检查更新”的按钮,如果有安装提示出现,那么你可以安全的安装它;如果什么的没有出现,说明Widnows检查到你的系统上存在不兼容的防病毒(AV)程序。
Windows的更新软件包(KB编号)可以在这里获取外的更新。
杀毒软件导致的混乱
微软表示,在测试补丁的过程中,它检测到一些反病毒程序导致BSOD崩溃,从而在安装Meltdown和Spectre补丁后计算机无法启动。微软已经指示反病毒厂商修改它们的产品,并在客户的计算机上创建一个注册表项,已确保Windows不会在安装补丁后崩溃。
无论用户何时想安装Meltdown和Spectre的补丁,Windwos Update都会在用户的电脑上检查该注册表项。如果表项存在,Windows Update就认为防病毒软件已经收到兼容Meltdown和Spectre补丁的更新,并着手安装补丁。
但事情没有那么简单。一些AV公司表示,它们不打算创建该注册表项,还有一些AV厂商,表示不能在“技术上”创建该键,而另一些则会在接下来几天发布更新。这份Google Doc中包含一个AV厂商的回复列表。
简单来说,大多数AV产品的用户不得不等待,因为大多数AV公司已经承诺在近期更新它们的产品并自动添加注册表项。如果你是所用AV产品不打算添加该注册表项的不幸躺枪的无辜群众。这个.reg文件是Bleeping Computer为你准备,用以自动创建以下注册表项的:
Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
这段文字以红色显示,以便突出。不要轻易运行.reg文件,除非你已经和你的AV供应商确认它们的产品与Meltdown和Spectre补丁兼容。
一旦你运行了这个文件或手动添加了注册表项,你将会收到Meltdown和Spectre漏洞的补丁。
如何检查补丁的状态
微软还发布了一套例程,可以用于检查更新是否被正确安装,或者是否需要额外的更新。
在Powershell启动之前,确保你使用管理员权限启动程序,保证你有足够的权限安装所需的模块。
下面的Powershell指令将安装一个Powershell模块,用于测试Meltdown和Spectre漏洞
Install-Module SpeculationControl
如果你运行上述命令后,得到一个执行错误,则可能需要调整Powershell的执行策略。运行以下命令:
Set-ExecutionPolicy Bypass
现在你可以运行第二个实际检查系统的Powershelli年命令:
Get-SpeculationControlSettings
Google表示,大部分的CPU都容易受到Metldown和Spectre漏洞的攻击。如果上述命令的输出结果中有很多红色的文字,说明你的系统受到威胁。
下一步是打开Windows Update并按下“检查更新”按钮,直到你收到Meltdown/Spectre补丁。根据上文所述,对于使用了“有问题”的AV程序的用户,可能需要等待几天时间。
更新之后,您需要再次运行Get-SpeculationControlSettings。有两种可能的情况。常见的情况是以下结果:
上图意味着你的系统已经修复了Meltdown漏洞,但未能完全修复Spectre程序。正如Google所说,这是意料之中的,Spectre很难利用,但也很难修补。
红色文本意味着你需要额外的芯片组固件更新。微软和谷歌表示,OEM厂商将需要为用户提供这些额外的更新,来完成Windows系统级别Spectre漏洞的完整修复。由于计算机的使用年限,某些OEM厂商可能无法提供这些固件更新,这意味着你将无法完整修复Spectre漏洞。
如果一些正常,所有的检查结果将显示为绿色文本,如下所示:
完成之后,请注意将Powershell的执行策略修改为限制模式,这可以缓解Powershell执行恶意命令。
Set-ExecutionPolicy Restricted
来源:bleepingcomputer
本文由看雪翻译小组ljcnaix编译