Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

[bender79]

Hallo,

da rollt vermutlich schon das nächste Intel Überraschungspaket (nach den ganzen Management Engine vulnerabilities) an:

https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/

Bleibt spannend!
grüße


//edit moronoxyd: Titel noch weiter angepasst. Betrifft nicht nur Intel.

 

[mcb]

Braucht das T400 diese Updates überhaipt? In der Auflistung von Intel taucht die Core2Duo-Generation ja nicht auf, und zumindest der Spectre-Checker für Variante 1 deutet an, dass diese CPUs davon nicht betroffen sind. Da die Core2Duo aber eh keine IOMMU haben, weiß ich nicht ob dort die Speichersegmentierung für die Virtualisierung überhaupt funktioniert...

BTW: Bits ist schön und gut, doch leider ist das letzte Release von 2016 und enthält somit keine aktuellen Microcodes. Die müsste man sich dort dann wohl manuell reinbasteln.

Weiß man schon, ob es mit dem Update vom 8.1. für weitere CPUs die neuen Microcodes gab, oder wurden nur die bereits reparierten nochmal optimiert?

...
[/INDENT]

Ja laut Testprogramm braucht der R500 hier den Windowspatch

 

[JohnD]

Bei Datenbankanwendungen z.B. Dokumenten Management (Eco-DMS), bei großen PDF-Dateien (laden; betrachten; bearbeiten) ist der Geschwindigkeitsverlust zu spüren.

Bei großen Sqlite DBs ist der Unterschied bei mir auf einer Samsung 960 Evo leider deutlich zu spüren (allerdings Linux).

Bios auf den T440s ist das aktuellste von Lenovo derzeit.

 

[schmatzler]

Also ich denke, wenn Lenovo BIOS-Updates für die Ivy-Bridge-Generation in Aussicht stellt, sollte man zumindest auch für diese solche erwarten können.

Ich hoffe es. Mein X230T ist täglich auf Arbeit im Einsatz und ich habe schon ein leicht mulmiges Gefühl, das Gerät aktuell so zu benutzen.

Wäre schade, wenn es bald ausrangiert werden müsste. Der i7 reicht selbst für exzessive Bildbearbeitung mit Photoshop noch aus.

 

[der_ingo]

Läuft den dein 540er mit dem älteren Bios und Windowsupdate stabil ?

Ja, seitdem ich zurück geflasht habe, bisher noch keine Probleme wieder.

- - - Beitrag zusammengeführt - - -

Und mal noch andere Frage, für wie relevant haltet ihr die Lücke?
Denn eigentlich heißt dass ja, für die CPUs, wo die Lücke nicht geschlossen wird (älter als 2013) am besten nicht mehr mit ins Internet zu gehen
Oder ist es jetzt noch zu früh, eine solche Frage zu stellen, weil zur Zeit noch alle wie ein aufgescheuchter Hühnerhaufen umherrennen?

Ich denke, dazu ist es noch zu früh. Am Ende wird sich zeigen, wie diese Lücken praktisch ausgenutzt werden.
Da die Lücken ja softwareseitig teils geschlossen, teils zumindest abgemildert werden können, wird es am Ende vermutlich schon recht aufwändig, sowas beim Normalnutzer auszunutzen. Ich denke, der normale Anwender hat nicht so die Probleme, denn auf andere Wege kann man ihn viel leicht dazu bekommen, selber Schadsoftware zu installieren, die dann administrativ tätig wird.

Die Lücke ist eher für Cloud-Anbieter oder Betreiber von Rechenzentren problematisch. Denn wenn dort ganz offiziell "fremder" Code ausgeführt wird, kann natürlich auch jemand relativ einfach Unfug damit machen.

Wegen dieser Lücken jetzt als normaler Anwender seinen PC zu entsorgen halte ich zum aktuellen Zeitpunkt und mit jetzigem Wissensstand für völlig übertrieben.
Ich würde allerdings einen anstehenden PC Neukauf momentan auch erst einmal so lange verschieben, bis die aktuelle Problematik mit neuer Hardware gefixt wird.

 

[schdrag]

Ich denke, dazu ist es noch zu früh. Am Ende wird sich zeigen, wie diese Lücken praktisch ausgenutzt werden.

Eine fahrlässige Einstellung, denn das Üble ist, dass die Lücken ausgenutzt werden können, ohne dass jemand etwas merkt. Und dieses Risiko kann man ja eingrenzen (Bios-Updates, Windows-Updates, Browser-updates, no script und eine gute Portion Vorsicht bezüglich emails und links).

 

[Schwartz]

Eine fahrlässige Einstellung, denn das Üble ist, dass die Lücken ausgenutzt werden können, ohne dass jemand etwas merkt. Und dieses Risiko kann man ja eingrenzen (Bios-Updates, Windows-Updates, Browser-updates, no script und eine gute Portion Vorsicht bezüglich emails und links).

Nur war das vorher auch schon so. Seit Meltdown und Spectre haben wir alle das 'Worst Case' vor Augen, aber Schadsoftware gibt es schon seit Jahrzehnten. Meines Wissens nach sind die großen Browser alle mittlerweile gepatcht. Somit sind wir quasi auf dem selben Stand wie noch vor der 'Großen Offenbarung': Sei nicht dumm und lade nicht die Porn.exe runter. Ob die Malware jetzt auf Kernel-RAM zugreifen kann, als Keylogger die Tasten abgreift, dir alle Partitionen verschlüsselt oder nur das System zerschießt... ich sehe praktisch wenig Unterschied. Ein ferngelenktes System schert sich nicht darum welche Sicherheitslücke jetzt ausgenutzt wurde. Der schlimmste Fall wäre meiner Einschätzung nach für den Privatanwender Online Banking, aber das kann der Keylogger eben auch. Und dann hat der böse Spectre ja auch keinen TAN-Generator inkl. Kartenkloner gleich mit integriert.

Es ist m.M. schlicht die Realität, dass wir alle im Moment auf 110 fahren ohne zu wissen wie diese Hardwarelücken in der Praxis ausgenutzt werden. Heisst ja nicht, dass man nicht nebenher fixen soll.

 

[mcb]

Gut ich teste jetzt nochmal Biosversion 2.44 mit dem kompletten Windowspatch auf dem t440(s)

c:\tools>"e:\tools\get biosversion.cmd"

c:\tools>cmd.exe /k "wmic bios get smbiosbiosversion"
SMBIOSBIOSVersion
GJET94WW (2.44 )


c:\tools>e:\tools\SpecuCheck\Get-SpeculationControlSettings.cmd

c:\tools>powershell "Get-SpeculationControlSettings"
Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID optimization is enabled: True


BTIHardwarePresent : True
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : True
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : True

-----------------------------------------------------------------------------

c:\tools>cmd.exe /k "wmic bios get smbiosbiosversion"
SMBIOSBIOSVersion
GJET94WW (2.44 )


c:\tools>e:\tools\SpecuCheck\SpecuCheck.exe
SpecuCheck v1.0.5 -- Copyright(c) 2018 Alex Ionescu
https://ionescu007.github.io/SpecuCheck/ -- @aionescu
-------------------------------------------------------

Mitigations for CVE-2017-5754 [rogue data cache load]
-------------------------------------------------------
[-] Kernel VA Shadowing Enabled: yes
├───> with User Pages Marked Global: no
└───> with PCID Flushing Optimization (INVPCID): yes

Mitigations for CVE-2017-5715 [branch target injection]
-------------------------------------------------------
[-] Branch Prediction Mitigations Enabled: yes
├───> Disabled due to System Policy (Registry): no
└───> Disabled due to Lack of Microcode Update: no
[-] CPU Microcode Supports SPEC_CTRL MSR (048h): yes
└───> Windows will use IBRS (01h): yes
└───> Windows will use STIPB (02h): yes
[-] CPU Microcode Supports PRED_CMD MSR (049h): yes
└───> Windows will use IBPB (01h): yes

c:\tools>

----------------------------------------------------------------------------

Sieht ja alles super aus, nur der Eventviewer läuft jetzt mit folgendem voll:

A corrected hardware error has occurred.

Reported by component: Processor Core
Error Source: Corrected Machine Check
Error Type: Internal parity error
Processor APIC ID: 2

Hoffe es kommt nicht wieder zu Bluescreens, mal sehen.

Gruß

- - - Beitrag zusammengeführt - - -

https://answers.microsoft.com/en-us...r/897a3ec3-c92f-4b4e-980e-824ade948cf8?auth=1



- - - Beitrag zusammengeführt - - -

An die Profies:

Gibt ess von Intel schon eine neueren Microcode?

Intel Core i5-4210U / Haswell ULT - Microcode Update rev. 21

 

[vbtricks]

Bei großen Sqlite DBs ist der Unterschied bei mir auf einer Samsung 960 Evo leider deutlich zu spüren (allerdings Linux).

Bios auf den T440s ist das aktuellste von Lenovo derzeit.

Hast Du Stabilitätsprobleme unter Linux? Soweit ich recherchiert habe, scheint das neueste BIOS fürs T440s unter Windows nicht stabil zu laufen. Für mich wäre aber gerade Linux interessant.

Bin gerade am Überlegen, was ich mache. Habe ein X220, bei dem ich die Wahrscheinlichkeit gering einschätze, dass da noch was kommt und ein (gebrauchtes) T440s wäre die Wunschalternative.

 

[mcb]

Hier noch Geekbench Ergebnisse:

1x ein Patch aktiv
1x beide


https://browser.geekbench.com/v4/cpu/6401998
https://browser.geekbench.com/v4/cpu/6430734

- - - Beitrag zusammengeführt - - -

https://browser.geekbench.com/v4/cpu/compare/6401998?baseline=6430734

- - - Beitrag zusammengeführt - - -

Hast Du Stabilitätsprobleme unter Linux? Soweit ich recherchiert habe, scheint das neueste BIOS fürs T440s unter Windows nicht stabil zu laufen. Für mich wäre aber gerade Linux interessant.

Bin gerade am Überlegen, was ich mache. Habe ein X220, bei dem ich die Wahrscheinlichkeit gering einschätze, dass da noch was kommt und ein (gebrauchtes) T440s wäre die Wunschalternative.

Unter Windows gibt es zumindest einen "Workaround"

https://thinkpad-forum.de/threads/2...ungsverlust)?p=2128722&viewfull=1#post2128722

 

[harpo]

Gibt ess von Intel schon eine neueren Microcode?

Als offiziellen Download für den Enduser noch nicht. Aber da es wohl von einigen Herstellern bereits Updates für Ivy Bridge-Geräte gab, muss sich da anscheinend schon wieder was getan haben. Einfach abwarten...

 

[mcb]

Als offiziellen Download für den Enduser noch nicht. Aber da es wohl von einigen Herstellern bereits Updates für Ivy Bridge-Geräte gab, muss sich da anscheinend schon wieder was getan haben. Einfach abwarten...

Ja Danke - Geduld ist nicht so meins

 

[joe_sixpack]

Nur war das vorher auch schon so. Seit Meltdown und Spectre haben wir alle das 'Worst Case' vor Augen, aber Schadsoftware gibt es schon seit Jahrzehnten. Meines Wissens nach sind die großen Browser alle mittlerweile gepatcht. Somit sind wir quasi auf dem selben Stand wie noch vor der 'Großen Offenbarung': Sei nicht dumm und lade nicht die Porn.exe runter.

Tja, der Einsatz von brain.exe ist ja leider bei vielen "Normalverbrauchern/Anwendern" nicht sichergestellt, da kannst Du auch als Admin nicht viel machen.

Ob die Malware jetzt auf Kernel-RAM zugreifen kann, als Keylogger die Tasten abgreift, dir alle Partitionen verschlüsselt oder nur das System zerschießt... ich sehe praktisch wenig Unterschied. Ein ferngelenktes System schert sich nicht darum welche Sicherheitslücke jetzt ausgenutzt wurde. Der schlimmste Fall wäre meiner Einschätzung nach für den Privatanwender Online Banking, aber das kann der Keylogger eben auch. Und dann hat der böse Spectre ja auch keinen TAN-Generator inkl. Kartenkloner gleich mit integriert.

Das stimmt - hier zählt nur das Ergebnis. Allerdings ist es wahrscheinlicher, dass der Nutzer seine Daten selbst preis gibt, weil die höheren Denkfunktionen im Internet bei vielen Personen einfach deaktiviert werden. Wie kommt es denn sonst dazu, dass selbst dieser primitive "i love you"-Wurm so viele erwischt hat? Weil bei den Anwendern immer Bequemlichkeit vor Sicherheit kommt.
Meine Frau regt sich z.B. immer auf, wenn sie mit meinen Kisten mal im Netz sucht, weil die "relativ" dicht sind. Daher funktionieren viele Kaufhausseiten nicht, weil Cookies & Scripte nur sehr eingeschränkt akzeptiert werden, diverse Seiten werden bereits beim Verbindungsaufbau abgewürgt (weil ich Comodo & Symantec-Zertifikate auf der Blacklist habe) usw. Das mag vielleicht paranoid erscheinen, aber: Eine Zertifizierungsstelle, die Zertifikate leichtfertig ohne vernünftige Prüfung des Beantragenden herausgibt, ist richtig gefährlich.

Es ist m.M. schlicht die Realität, dass wir alle im Moment auf 110 fahren ohne zu wissen wie diese Hardwarelücken in der Praxis ausgenutzt werden. Heisst ja nicht, dass man nicht nebenher fixen soll.

Das stimmt, jedoch stellt sich hier die Frage, weit weit diese Fixe gehen. Ich bin glücklicher Besitzer eines X220 und frage mich nämlich auch gerade, was ich jetzt mache:
Ein BIOS-Update kommt bei mir nicht in Frage, da ich eine nicht "Lenovo-konforme" Hardwareausstattung habe (statt der Intel Centrino N 6205 werkelt bei mir eine Intel 7260ac) und das mit einem originalen BIOS nicht funktioniert.
Ein Komplett-Umstieg auf Linux geht leider auch nicht, weil die Performance von vmWare auf der Kiste nicht praxistauglich ist (und ich benötige Quark XPress sowie Adobe Audition & Photoshop, Silverfast). Da gibt es keine vernünftige Lösung, allein der viel empfohlene Photoshop-Ersatz Gimp ist eben kein tauglicher Ersatz, wenn du auf Plugins angewiesen bist. Ohne bräuchte ich neue Flachbett- & Dia/Film-Scanner und da hat man heut schon ein Problem - es gibt fast keine vernünftigen Geräte mehr im bezahlbaren Bereich.
Ich kann aber auch nicht einfach mal auf einen neuen Laptop umsteigen, so lange MS den Bluetooth-Stack unter Windows 10 nicht zum Laufen bekommt, denn ich bin nicht bereit, mir wieder eine Krüppel-Maus zu Kaufen, die nur mit'm proprietären USB-Dongle funktioniert. Jetzt habe ich 1 Maus, die auf zwei verschiedenen Rechnern mit 2 unterschiedlichen Betriebssystemen gleich funktioniert und das ist sehr okay! Warum soll ich mir für 2 Laptops (oder auch zwei Betriebssysteme) denn zwei Mäuse kaufen - ich kann doch eh nur an 1 Kiste/OS arbeiten? Von Wechsel-Akkus, Reise-Netzteilen usw. will ich erst gar nicht anfangen, das ist ein Rattenschwanz ohne Ende...
Den Kampf habe ich gerade erst mit'm Handy durch: Finde mal ein vernünftiges und aktuelles Smartphone, welches sich gut rooten lässt, aber noch einen "alten" Micro-USB-Port hat?! Ich will nicht immer noch ein zweites Netzteil oder noch einen zusätzlichen Adapter mit herumschleppen:cursing:

 

[mcb]

Update zum t440s - läuft leider mit Bios 2.44 nach dem zurüchflashen genauso instabil inch:

Unter Windows hilft nur die softwareseitige Deaktivierung des Patches:

REM CVE-2017-5754 [rogue data cache load] only
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 1 /f


Kann man sich dann als cmd-Datei abspeichern.

https://support.lenovo.com/de/en/solutions/len-18282

"Removed issue *1 BIOS/UEFI back-flash recommendation. MCU microcode updates cannot be reversed."

"Earlier update GJET96WW withdrawn by Intel *3;
Target availability 3/31/2018"

Super werde mich jetzt doch an den Lenovosupport wenden müssen ?
Möchte nicht 10 Wochen auf den Patch warten ...

 

[Helios]

Hoppla. Das W520 wurde in Liste ausgenommen.

[TABLE="class: grid, width: 927, align: left"]
[TR]
[TD="width: 220, align: left"]Product
[/TD]
[TD="width: 71"]Machine Types[/TD]
[TD="width: 163"]Firmware/BIOS/UEFI
Minimum Fix
Version[/TD]
[TD="width: 115"]Firmware/BIOS/UEFI Status Last Updated[/TD]
[TD="width: 197"]NVIDIA Driver
Minimum Fix
Version[/TD]
[TD="width: 161"]NVIDIA Driver
Status Last Updated[/TD]
[/TR]
[TR]
[TD="width: 220, align: left"]ThinkPad W520
[/TD]
[TD="width: 71"]4249, 4260, 4270, 4276[/TD]
[TD="width: 163"]Target availability 2/28/2018[/TD]
[TD="width: 115"]1/14/2018[/TD]
[TD="width: 197"]Researching[/TD]
[TD="width: 161"]1/14/2018[/TD]
[/TR]
[/TABLE]

 

[bender79]

Es sind jetzt wirklich Sandy Bridge Geräte wie X220 mit anvisierter Patch-Verfügbarkeit Ende Februar in der Lenovo Liste.
Sehr gut!

https://support.lenovo.com/de/de/solutions/len-18282

 

[mcb]

Es sind jetzt wirklich Sandy Bridge Geräte wie X220 mit anvisierter Patch-Verfügbarkeit Ende Februar in der Lenovo Liste.
Sehr gut!

https://support.lenovo.com/de/de/solutions/len-18282

Ja, das ist schon super. Muß man aber abwarten wie stabil das dann läuft
https://thinkpad-forum.de/threads/2...ungsverlust)?p=2129111&viewfull=1#post2129111

 

[JohnD]

Hast Du Stabilitätsprobleme unter Linux? Soweit ich recherchiert habe, scheint das neueste BIOS fürs T440s unter Windows nicht stabil zu laufen. Für mich wäre aber gerade Linux interessant.

Bin gerade am Überlegen, was ich mache. Habe ein X220, bei dem ich die Wahrscheinlichkeit gering einschätze, dass da noch was kommt und ein (gebrauchtes) T440s wäre die Wunschalternative.

Ne stabil ist es bisher. Hab unter Linux aber auch ein T470 und kein T440s.

Aber der Einbruch bei der I/O Leistung schneller SSDs ist echt recht heftig. Ich hab mir die ja extra gekauft weil ich die Leistung brauche (im Regelfall ist ne lahme Sata SSD ja bereits mehr als schnell genug) und nun bin ich leistungsmäßig gefühlt wieder auf dem Stand vor der Samsung Evo .

 

[Megalodon]

-> browser updaten und java-Blocker einsetzen. Und noch vorsichtiger dabei sein, links anzuklicken.
Oder nur mit dem pi in's Internet...

Einen Pi habe ich nicht, aber Skript ist bei mir sowieso als Standard deaktiviert, µMatrix macht es möglich...

Dass IVT für Ivytown stehen soll habe ich in einem anderen Forum gelesen, vorher hatte ich auch noch nie davon gehört. Vielleicht steht diese Kennung ja Intel-intern doch für die gesamte Ivy-Familie, weil sie in der Entwicklung ursprünglich mal so geheißen haben könnte? Keine Ahnung...
Und dass in dem Release keine Updates für ältere Modelle enthalten sind, muss ja nicht zwangsweise heißen, dass da definitiv keine mehr kommen werden. Also ich denke, wenn Lenovo BIOS-Updates für die Ivy-Bridge-Generation in Aussicht stellt, sollte man zumindest auch für diese solche erwarten können. Ich kann mir kaum vorstellen, dass damit andere Lösungen als Microcode-Updates gemeint sind.

Darüber habe ich auch etwas im Heise-Forum gelesen, dass sich das halt auf Ivy Xeon bezieht.
Doch abseits davon ist das Problem, das Intel laut der Heise Meldung erst die CPUs ab 2013 patcht, zumindest für Spectre.
Nach meinen INformationen, gibt es den Patch für Meltdown auch für ältere CPUs, aber halt nicht für Spectre.
Das weitere Problem ist, das Ivy bereits 2012 auf dem Markt kam und somit klar nicht unter die CPUs fällt, welche ab 2013 auf den Markt kamen, somit wird nach aktuellen Informationen erst ab Haswell auch Spectre gepacht und alles davor nur Meltdown


Auch verhält es sich so, dass ich hier gerade mit Linux unterwegs bin (manjaro, Kernel 4.14.13-1) und laut dem spectre-meltdown-checker.sh für Linux, ist mein T520 für Spectre anfällig, für Meltdown aber nicht → ergo wurde Meltdown gepacht und Spectre nicht, was sich mit den Informationen decken würde, das Intel den Patch gegen Spectre nur für CPUs ab 2013 anbietet


@ Zur aktuellen Lage,
ich vermute ganz stark, dass das Bios update von Lenovo, für die *20 Serie aber auch nur wieder Meltdown betrifft, und nicht Spectre, Weil eben Intel für Spectre wohl nichts liefert.....

Also noch weiter abwarten und hoffen!



Vielen Dank für die Antworten!

 

[harpo]

Nach meinen INformationen, gibt es den Patch für Meltdown auch für ältere CPUs, aber halt nicht für Spectre.

Also soweit das einhellig im Internet zu lesen ist, lässt sich Meltdown ausschließlich über Betriebssystem-/Kernelupdates patchen und nicht über Hardware-/CPU-Patches. Wenn also BIOS-Updates für Sandy Bridge in Aussicht gestellt wird, werden die sich mit ziemlicher Sicherheit auf Spectre beziehen.

Auch verhält es sich so, dass ich hier gerade mit Linux unterwegs bin (manjaro, Kernel 4.14.13-1) und laut dem spectre-meltdown-checker.sh für Linux, ist mein T520 für Spectre anfällig, für Meltdown aber nicht → ergo wurde Meltdown gepacht und Spectre nicht, was sich mit den Informationen decken würde, das Intel den Patch gegen Spectre nur für CPUs ab 2013 anbietet

Der Patch gegen Meltdown wurde Kernelseitig mit 4.14.11 veröffentlicht, daher ist Dein System durch das Kernelupdate gegen Meltdown abgesichert worden und nicht Hardwareseitig!


- - - Beitrag zusammengeführt - - -

@ Zur aktuellen Lage,
ich vermute ganz stark, dass das Bios update von Lenovo, für die *20 Serie aber auch nur wieder Meltdown betrifft, und nicht Spectre, Weil eben Intel für Spectre wohl nichts liefert.....

Siehe oben: Wohl eben doch eher Spectre!

 

[Helios]

Das ist korrekt. Meltdown braucht kein Microcode-Update. Spectre hingegen doch.

Mein W520 ist gegen Meltdown sicher.