Microsoft为Spectre漏洞发布修补程序

Microsoft本周发布了另一轮软件和微码更新，旨在解决已知为Spectre变体2的CPU漏洞。

自今年1月以来，微软发布了针对幽灵和崩溃漏洞的软件缓解措施，研究人员披露了这些漏洞之后不久。

新的独立安全更新(4078407)默认情况下，可以在Windows10和WindowsServer2016的所有支持版本中默认针对Spectre变体2的缓解措施。或者，高级用户可以通过注册表设置手动启用这些缓解措施。

该公司于3月初宣布，英特尔的微码更新将通过MicrosoftUpdateCatalog交付至Windows10和WindowsServer2016用户。所述的第一轮更新带有英特尔天湖处理器的覆盖设备和列表后来扩展的包括咖啡湖和卡比湖CPU。

布罗德韦尔和Haswell处理器现在也被添加到了清单目前在大约30个微体系结构类别中包括十位英特尔CPU。英特尔宣布可用性布罗德韦尔和HaswellCPU的微码更新2月底。

崩溃和幽灵允许恶意应用程序绕过内存隔离和访问敏感数据。CVE-2017-5754可能导致崩溃攻击，而CVE-2017-5753（变体1）和CVE-2017-5715（变体2）可能发生幽灵攻击。崩溃和幽灵变体1可以用软件更新来解决，但是Spectre变体2也需要微码修补程序。

上个月，Microsoft发布了Windows7和WindowsServer2008R2的带外更新，以解决严重权限提升漏洞.