Microsoft 安全公告 3108638
解决 CPU 漏洞的 Windows Hyper-V
更新发布日期: 2015 年 11 月 10 日
版本: 1.0
执行摘要
Microsoft 宣布推出 Windows Hyper-V 的安全更新,以防止某些中央处理器单元 (CPU) 芯片集触发拒绝服务的情况。 尽管该漏洞位于芯片集内,但 Microsoft 发布此安全更新来保护客户。 此更新阻止 Hyper-V 系统上的来宾触发 CPU 中的漏洞,该漏洞可能允许 Hyper-V 来宾指示将其 Hyper-V 主机的 CPU 置于无响应状态,导致在受影响主机上运行的来宾操作系统发生拒绝服务的情况。 要成功利用此 CPU 漏洞,需要获得来宾操作系统上的内核模式代码执行权限。
此更新通过阻止来宾操作系统触发主机系统 CPU 中的无响应状态来避开此 CPU 漏洞。
建议。有关对 Microsoft Windows 特定版本应用更新的说明,请参阅此公告的建议措施部分.
受影响的软件
以下软件版本都受到影响。 未列出的版本的支持生命周期已结束或者不受影响。 要确定软件版本的技术支持生命周期,请参阅 Microsoft 技术支持生命周期。
操作系统 安全影响 严重级别 替代的更新Windows Server 2008Windows Server 2008(用于基于 x64 的系统)Service Pack 2 (3108604)拒绝服务重要无Windows Server 2008 R2Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1 (3108604)拒绝服务重要无Windows 8 和 Windows 8.1Windows 8(用于基于 x64 的系统) (仅限专业版和企业版)(3108604)拒绝服务重要无Windows 8.1(用于基于 x64 的系统) (仅限专业版和企业版)(3108604)拒绝服务重要无Windows Server 2012 和 Windows Server 2012 R2Windows Server 2012 (3108604)拒绝服务重要无Windows Server 2012 R2 (3108604)拒绝服务重要无Windows 10Windows 10(用于基于 x64 的系统) [1] (包括家庭版)(3105213)拒绝服务重要无Windows 10 版本 1511(用于基于 x64 的系统) [1] (包括家庭版)(3105211)拒绝服务重要无服务器核心安装选项Windows Server 2008(用于基于 x64 的系统)Service Pack 2(服务器核心安装)(3108604)拒绝服务重要无Windows Server 2008 R2(用于基于 x64 的系统)Service Pack 1(服务器核心安装)(3108604)拒绝服务重要无Windows Server 2012(服务器核心安装)(3108604)拒绝服务重要无Windows Server 2012 R2(服务器核心安装)(3108604)拒绝服务重要无
[1]Windows 10 更新程序是累积的。 除了包含非安全更新外,其中还包括适用于本月安全发布附带的所有受 Windows 10 影响的漏洞的全部安全修补程序。 更新通过Microsoft 更新目录提供。
注意 Windows Server Technical Preview 3 受到影响。 鼓励运行该操作系统的客户应用此更新,此更新通过 Windows 更新提供。
公告常见问题
此公告的适用范围有多大?
此公告的目的是通知客户推出了 Windows Hyper-V 的安全更新,以防止通过某些 CPU 芯片集触发拒绝服务的情况。
此更新有什么作用?
此安全更新通过阻止来宾操作系统触发 CPU 中的无响应状态来绕过 CPU 漏洞。
建议措施
应用适用于您的 Microsoft Windows 版本的更新大部分客户已启用“自动更新”,且不需要执行任何操作,因为系统将自动下载并安装此更新。 尚未启用“自动更新”的客户必须检查更新,并手动安装此更新。 有关自动更新中特定配置选项的信息,请参阅 Microsoft 知识库文章 3097966。对于管理员、企业安装或者想要手动安装此更新的最终用户,Microsoft 建议客户使用更新管理软件立即应用此更新或者利用 Microsoft 更新服务检查更新。 有关如何手动应用更新的信息,请参阅 Microsoft 知识库文章 3108638。
其他建议措施
保护您的 PC
我们仍鼓励客户按照“保护您的计算机”指导启用防火墙、获取软件更新并安装防病毒软件。 有关详细信息,请参阅 Microsoft 安全中心。
及时更新 Microsoft 软件
运行 Windows 软件的用户应该应用最新的 Microsoft 安全更新,以帮助确保其计算机尽可能受到最好的保护。 如果不确定您的软件是否最新,请访问 Microsoft 更新,扫描您的计算机以获取可用更新,并安装向您提供的任何高优先级更新。 如果“自动更新”已启用并配置为向 Microsoft 产品提供更新,则此更新将在发布后自动传输给您,但您应验证它们是否已安装。