Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

[Helios]

Version	Patch	Microcode für
Windows 10 1507	KB4091666 (Download)	Haswell, Broadwell, Skylake
Windows 10 1511	nicht verfügbar
Windows 10 1607	KB4091664 (Download)	Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake
Windows 10 1703	KB4091663 (Download)	Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake
Windows 10 1709	KB4090007 (Download)	Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake
Windows 10 1803	KB4093297 (Download)	nicht bekannt

Hier noch sämtliche Patches aller verfügbarer Windows 10-Versionen.

Quelle: ComputerBase.de -Windows 10: Microcode-Updates für Intel Haswell bis Coffee Lake

[mcb]

Version	Patch	Microcode für
Windows 10 1507	KB4091666 (Download)	Haswell, Broadwell, Skylake
Windows 10 1511	nicht verfügbar
Windows 10 1607	KB4091664 (Download)	Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake
Windows 10 1703	KB4091663 (Download)	Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake
Windows 10 1709	KB4090007 (Download)	Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake
Windows 10 1803	KB4093297 (Download)	nicht bekannt

Hier noch sämtliche Patches aller verfügbarer Windows 10-Versionen.

Quelle: ComputerBase.de -Windows 10: Microcode-Updates für Intel Haswell bis Coffee Lake

Für Windows 7 und 8.1 kommt wohl leider nichts?

[der_ingo]

KB4093297 ist übrigens nicht der Patch für die fertige Version 1803 (Build 17134), sondern für die Preview Version 17133.

Ich nehme an, dass für 7 und 8.1 auch noch entsprechende Updates kommen werden. Man kümmert sich aber halt zuerst um die aktuellen Systeme.

[Volvo-Berti]

und weiter gehts mit Spectre... https://www.heise.de/ct/artikel/Supe...g-4039134.html und hier http://www.handelsblatt.com/wirtscha.../21238064.html

[StefanW.]

und weiter gehts mit Spectre... https://www.heise.de/ct/artikel/Supe...g-4039134.html und hier http://www.handelsblatt.com/wirtscha.../21238064.html

Deswegen hat Intel den i9 eingeführt. Wenn man alle Patches beim i7 eingespielt hat ist der nur noch schnell genug für Minesweeper.

[mcb]

Windows 10 1803 ohne Microcode-Updates gegen Spectre V2 heise Security:

https://www.heise.de//security/meldu...ary.2018-05-03

Das muß man jetzt aber nicht verstehen oder ?

----------------------------------------------------------

Spectre-NG hat heise das erstmal getauft ...

Hier nochmal der Link:

https://www.heise.de//security/meldu...ary.2018-05-03

[moronoxyd]

Windows 10 1803 ohne Microcode-Updates gegen Spectre V2 heise Security:

https://www.heise.de//security/meldu...ary.2018-05-03

Das muß man jetzt aber nicht verstehen oder ?

Ich glaube, das ist recht einfach erklärt: Das Windows-Update, das die Microcode-Updates verteilt, wurde recht kurzfristig entwickelt, während das Windows Update 1803 schon fast fertig war. Daher konnte es wohl nicht mehr direkt in 1803 integriert werden.
Jetzt heißt es hoffen, daß Microsoft ein entsprechendes Update für die 1803-er Version beim nächsten Patchtag rausbringt.

[harpo]

Intel verschiebt die ersten Patches gegen Spectre-NG um zwei Wochen und hat weiteren Aufschub bis Juli beantragt. Weitere Patches sollen erst im August folgen, so auch die gegen die gefährlichste der 8 Lücken, die auf Cloudsysteme abzielt und Angriffe aus VMs heraus auf deren Hostsysteme erlaubt:
https://www.heise.de/security/meldun...n-4043790.html

Weitere Patches müssen wieder von Software-Herstellern kommen.

Tja, wie Experten schon anfangs prophezeiten, a never ending story!

[Helios]

Für das ThinkPad W520 steht die aktualisierte Firmware 1.45 (10. Mai 2018) zum Download zur Verfügung.

Änderungen: [Important] Security fix addresses LEN-19568 Intel Active Management Technology MEBx Access Control Bypass.


Dürfte wohl auch für andere ThinkPads aktualisierte Firmware geben.


LG Uwe

[harpo]

Nun ist auch das OS-seitige Microcode-Update für Windows 10 1803 erschienen, dass Spectre 2 abwehren soll auch ohne BIOS-Update: https://support.microsoft.com/en-ca/...windows-server

[BerndN100]

Aber wohl nicht für i5-4300M- oder?

[iYassin]

Aber wohl nicht für i5-4300M- oder?

Ich denke schon:

Haswell (including H, S), Xeon E3

4th Generation Intel® Core™ Mobile Processor Family, Intel® Pentium® Mobile Processor Family, Intel® Celeron® Mobile Processor Family

306C3

0x24

[BerndN100]

Oh, danke - hab ich übersehen, bloß nach i5 4.... gesucht.

[harpo]

Updates für zunächst 2 der 6 neuen Lücken (Spectre-NG), namentlich Variant 3a und 4, sind unterwegs: https://www.heise.de/security/meldun...n-4051900.html

Hier das betreffende PSA von Lenovo, wo dann die - wahrscheinlich neuen BIOS-/Microcode-Updates zu finden sein werden: https://support.lenovo.com/de/de/solutions/len-22133

Für Ubuntu gab es heute ein Kernelupdate, das Patches gegen v4 enthält.

[harpo]

Der spectre-meltdown-checker für Linux hat ein update bekommen und prüft nun auch die Varianten v3a (CVE-2018.3640) und v4 (CVE-2018-3639): https://github.com/speed47/spectre-meltdown-checker

Wird natürlich zunächst bei jedem Alarm schlagen, da bis dato noch keine neuen Microcodes veröffentlicht wurden.

[Helios]

Der heutige Patchday schwächt eine Unterklasse der "Speculative Execution Side Channel Vulnerability", bekannt als "Speculative Store Bypass (SSB)" (CVE-2018-3639).

Der Patch (KB4073119) selbst ist NICHT per Default aktiv geschaltet. Dies muss manuell übernommen werden.

Wie dies erreicht wird, erörtert KB4073119.

Die Mitigation ist auf folgende Betriebssysteme anwendbar: Windows 10 (1607, 1703, 1709, 1803), Windows 8.1, Windows 7 SP1 (x64/x86)


LG Uwe

[harpo]

Der Patch (KB4073119) selbst ist NICHT per Default aktiv geschaltet. Dies muss manuell übernommen werden.

Hm, da kann man vielerorts lesen, dass die neu entdeckten teilweise gefährlicher als die ursprünglichen Spectre und Meltdown sind und dann werden die Updates hierfür standardmäßig inaktiv ausgeliefert?! Da könnte man ja über die Gründe spekulieren und z.B. arge Leistungseinbußen befürchten...

Zudem hatte ich bisher immer gelesen, dass die Updates gegen CVE-2018-3639 nur in Verbindung mit neuen Microcodes funktionieren soll, die bisher noch nicht erschienen sind. Lenovo hatte die ersten BIOS-Updates bereits für gestern anvisiert und in den folgenden Tagen. Aber bisher ist noch nicht einmal eine neues Linux-Microcodeupdate seitens Intel erschienen, was ja meist als erstes passiert.

- - - Beitrag zusammengeführt - - -

Im Leitfaden für SSB merkt MS nochmal an, dass der Patch nur in Verbindung mit neuem - noch nicht erschienenem - Microcode funktioniert und dass es je nach System zu mehr oder weniger Performanceeinbußen kommt: https://portal.msrc.microsoft.com/en...sory/ADV180012

[cuco]

Der Patch (KB4073119) selbst ist NICHT per Default aktiv geschaltet. Dies muss manuell übernommen werden.

Im Link steht folgendes Zitat:

Note By default, this update is enabled. No customer action is required to enable the fixes.

Kommt also wohl doch schon aktiviert und muss nicht manuell aktiviert werden.

[harpo]

Kommt also wohl doch schon aktiviert und muss nicht manuell aktiviert werden.

Doch, muss erst aktiviert werden! Du musst weiter unten lesen bei: "Manage Speculative Store Bypass and mitigations around Spectre Variant 2 and Meltdown":

Enable mitigations around Speculative Store Bypass (CVE-2018-3639) together with mitigations around Spectre Variant 2 (CVE-2017-5715) and Meltdown (CVE-2017-5754) through the following registry settings (because they are not enabled by default).

Dort ist auch zu entnehmen, dass der bereits von den früheren Patches bekannte Registrywert FeatureSettingsOverride unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Contro l\Session Manager\Memory Management von 0 auf 8 gesetzt werden muss, um den zusätzlichen Patch zu aktivieren. Nach Installation des Updates bleibt dieser nämlich nach wie vor bei 0.

Was ich allerdings eigenartig finde, ist, dass man die gesamten Registryschlüssel löschen soll, um den Patch für 3639 wieder zu deaktivieren. Würde das nicht auch die Patches für 3715 und 3754 mit deaktivieren oder bleiben die dann standardmäßig aktiv? Das geht aus der Beschreibung nicht hervor.

[Helios]

Im Leitfaden für SSB merkt MS nochmal an, dass der Patch nur in Verbindung mit neuem - noch nicht erschienenem - Microcode funktioniert und dass es je nach System zu mehr oder weniger Performanceeinbußen kommt: https://portal.msrc.microsoft.com/en...sory/ADV180012

Kann die Sicherheitslücke auf meinem W520 mit BIOS 1.45 bestätigen.

Code:

Speculation control settings for CVE-2017-5715 [branch target injection]
For more information about the output below, please refer to https://support.microsoft.com/en-in/help/4074629

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True

 Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: False [not required for security]

 Speculation control settings for CVE-2018-3639 [speculative store bypass]

 Hardware is vulnerable to speculative store bypass: True
 Hardware support for speculative store bypass mitigation is present: False
Windows OS support for speculative store bypass mitigation is present: True
Windows OS support for speculative store bypass mitigation is enabled system-wide: False


BTIHardwarePresent                  : True
BTIWindowsSupportPresent            : True
BTIWindowsSupportEnabled            : True
BTIDisabledBySystemPolicy           : False
BTIDisabledByNoHardwareSupport      : False
KVAShadowRequired                   : True
KVAShadowWindowsSupportPresent      : True
KVAShadowWindowsSupportEnabled      : True
KVAShadowPcidEnabled                : False
SSBDWindowsSupportPresent           : True
SSBDHardwareVulnerable              : True
SSBDHardwarePresent                 : False
SSBDWindowsSupportEnabledSystemWide : False

Microsoft hat das Speculation Control Validation PowerShell Script (Updated: 13.06.2018) um die Abfrage des Speculative Store Bypass erweitert.


Update history

1.0.8 (Current version)

• Added support for querying Speculative Store Bypass Disable (SSBD) setting