Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

Sard Verbinnen und Co sorgt dafür, dass Intel sich den Ruf nicht noch weiter ruiniert und keine Eigentore schiesst, für die sie dann verklagt werden können.
Für die Administratoren/Techniker/Anwender macht es die Situation nicht besser.
 
Intel hat die Microcode-Updates vom 08.01.2018 von der eigenen Downloadseite entfernt.
Als aktuell wird nur noch gelistet die Version: 20171117 (Latest) Date: 11/17/2017
https://downloadcenter.intel.com/download/27337/Linux-Processor-Microcode-Data-File

Wer die Microcode-Updates 20180108 braucht, hier sind diese zu finden:
http://www7.zippyshare.com/v/Uxh2Li3k/file.html

microcode-20180108.tgz
CRC32: 062A9173
MD5: 871DF55F0AB010EE384DABFC424F2C12
SHA-1: 2392DCF585A9D6313CD00D8B21CB2F54AE1D8CE3
 
wenn ich mein Handbuch richtig verstehe, ist auf dem Mainboard bei meinem Gerät x220 4290 die i5-2520M-CPU drauf. die steht in der Liste noch drin. Leider ist das File nur für Linux-maschinen gedacht, oder?
 
wenn ich mein Handbuch richtig verstehe, ist auf dem Mainboard bei meinem Gerät x220 4290 die i5-2520M-CPU drauf. die steht in der Liste noch drin. Leider ist das File nur für Linux-maschinen gedacht, oder?

Natürlich steht die in der Liste noch drin. Auch in dem zurückgezogenen Update stand sie in der Liste. Hatte da auch nur kein Update bekommen, sondern war mit dem alten Microcode in dem Download enthalten. Da sind nämlich die Microcodes für so ziemlich ALLE Prozessoren bis sogar alte Pentium I-CPUs aus Mitte der 90er drin. Nur werden die meisten davon (sicher vor der Core-i-Reihe, unkt meine Glaskugel) kein Update mehr gegen Spectre bekommen.

Also: Für Deine CPU war und ist der gleiche alte Microcode in dem File vom November wie auch in dem zurückgezogenen vom Januar enthalten. Es bleibt also nach wie vor abzuwarten, ob und wann Intel für die 2nd Gen oder gar noch davor Updates veröffentlicht.

Und ja, diese Files sind eigentlich nur für Linux gedacht. Dort auch sehr simpel einzubinden, funktionieren aber eben nur unter gebootetem Linux. Da es sich aber im Grunde nur um Files mit einfachem Textcode handelt, könnten die theoretisch auch in Windows funktionieren, wenn man dort eine ähnliche Funktion, die den Code beim Booten auch rechtzeitig lädt, implementiert.
 
Theoretisch ist das in Windows implementiert. Die Frage ist nur, warum es bisher nicht genutzt wird.
mcupdate_GenuineIntel.dll und mcupdate_AuthenticAMD.dll liegen in System32.
 
Theoretisch ist das in Windows implementiert. Die Frage ist nur, warum es bisher nicht genutzt wird.
mcupdate_GenuineIntel.dll und mcupdate_AuthenticAMD.dll liegen in System32.

Ja das habe ich auch vor kurzem gesehen. Ist es wirklich das gleiche Prinzip? Die Suchmaschine hat mir auch einen Treffer mit einem älteren (mind. 5 Jahre? Find die Seite nicht mehr...) Windowsupdate für die Intel-MCU-Datei mit eben auch "Update für Mcirocode" in der Beschreibung ausgespuckt. Muss es also geben. Aber die Frage ist, ob es vielleicht nicht rechtzeitig geladen wird, ähnlich wie mit der hier schon erwähnte VMWare-Methode?

Edit: Eben auf die Schnelle das hier gefunden: https://social.technet.microsoft.co...ndows-update-as-well?forum=win10itprosecurity
Hab ich jetzt nur kurz überflogen, aber da gehen die Meinungen anscheinend auch auseinander, ob das im Falle Spectre-Abwehr so funktioniert.

Wenn es aber so gehen sollte, wäre es durchaus begrüßenswert, wenn Microsoft die Microcode-Updates auch OS-seitig bringen würde. Das wäre für eine möglichst breite Versorgung der Nutzer ein erfolgversprechender Weg, da sicher viele gar nicht auf BIOS-Updates achten, selbst wenn sie zur Verfügung gestellt werden. Ganz zu schweigen von den etlichen nicht mehr supporteten Consumer-Modellen der ganzen Hersteller.
 
harpo schrieb es ja schon: vermutlich wird damit der Microcode nicht früh genug geladen, damit der Kernel die Sicherheitsfunktionen aktivieren kann.
 
Reboot-Probleme: Optionales Windows-Update deaktiviert Spectre-Schutz

Microsoft hat außer der Reihe ein optionales Update für Windows 10, 8.1 und 7 veröffentlicht, das die per Patch Anfang Januar integrierten Maßnahmen gegen die Sicherheitslücke Spectre 2 wieder inaktiv schalten kann. Der Schutz gegen Meltdown und erste Maßnahmen in Apps wie Edge gegen Spectre 1 bleiben davon unberührt.
Patch hebelt Spectre-2-Gegenmaßnahmen aus

Die Lösung für Nutzer von Windows scheint Microsoft jetzt mit dem optionalen Update geliefert zu haben. Der Patch steht für Windows 10, Windows 10 LTSB, Windows 7, Windows 8.1, Windows Embedded Standard 7, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012 R2 und Windows Server 2016 bereit und wiegt 24 Kilobyte. Er deaktiviert die Nutzung der drei neuen CPU-Zusatzbefehle, die Intel dem neuen Microcode hinzugefügt hat. Microsoft betont, dass es bisher keinen bekannten Exploit gibt, der Spectre Variante 2 ausnutzt.
Der komplette Artikel findet sich auf ComputerBase.de - Reboot-Probleme: Optionales Windows-Update deaktiviert Spectre-Schutz

Microsoft Update Catalog - KB4078130
 
Hallo, ich habe eine Frage zu dem Thema allgemein, möchte aber kein eigenes Thema aufmachen: Wer verteilt denn die Patches, die den Bug fixen und dann "angeblich" Leistungseinbußen bewirken? Kommen die über Windows Update oder über Lenovo Vantage? Ich habe mich in der letzten Zeit nicht getraut irgendwas zu installieren.
 
Servus


Der Patch gegen Meltdown wurde von Microsoft anfang diesen Monats verteilt. Auf meinem W520 (Sandy Bridge) sind die Leistungseinbussen, insbesondere der RAM-Durchsatz, stark(!) zu spüren. Bei neueren Architekturen ab Broadwell fallen diese Leistungseinbussen wesentlich geringer aus.

Aktualisierte BIOS gegen Spectre werden, sobald diese bereits stehen, von Lenovo angeboten werden.


LG Uwe


P.S.:

Das Tool InSpectre wurde aktualisiert und zeigt nun nicht nur an, ob das System gegen Meltdown und Spectre sicher ist, sondern ob es zu merklichen Leistungseinbussen kommen wird.

Hier ein Screenshot von meinem W520.

InSpectre.PNG
 
Zuletzt bearbeitet:
Dann mache ich auch mal mit:
 

Anhänge

  • T440s_bios2.46.jpg
    T440s_bios2.46.jpg
    128,7 KB · Aufrufe: 42
Bei mir wird das angezeigt

Das optionale Update habe ich noch nicht angezeigt bekommen.
Mein Rechner läuft seit dem 13.01.2018 ohne Probleme, außer mit SSD Geschwindigkeits Verlusten. siehe Beitrag #198
Hier noch der Screenshot von InSpektre:

InSpectre.PNG Updatestatus.PNG
 
Zuletzt bearbeitet:
Ich habe auf meinem W530 noch kein Update installiert. Mit welchem Tool kann man denn den RAM benchmarken? Möchte das mal vorher und nachher machen. SSD Durchsatz habe ich mit AS SSD Benchmark gemacht.
 
Ich habe auf meinem W530 noch kein Update installiert. Mit welchem Tool kann man denn den RAM benchmarken? Möchte das mal vorher und nachher machen. SSD Durchsatz habe ich mit AS SSD Benchmark gemacht.

Du könntest auch Updates machen und später für die Benchmarks mit dem InSpectre-Tool Meltdown- und Spectre-Protection abstellen.
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben