Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

[Cyrix]

Zur Info, die Microcodes bleiben beim Downgrade erhalten!

Advanced-Menu nicht ohne weiteres wieder aktivierbar...

Ich habe soeben X220, T420 und W520 auf das aktuelle Bios mit dem neuen Microcode geupdatet. Im Anschluss Downgrade zurück auf ältere originale Bios-Version.

Geprüft habe ich die Microcodeversion jeweils mit dem RW-Utility. InSpectre zeigt zudem an, dass Schutz bezüglich Meltdown und Spectre besteht.

Dann die passende Mod-Version mit Advanced-Menu drüber gebügelt und im Anschluss war wieder die alte Microcodeversion drauf...

EDIT:

Zum erfolgreichen beibehalten der Microcodeversion beachte man den WinFlash Parameter:

/vcpu[:MCUfile]

Update variable size CPU microcode. The ROM, BIOS image, and MCUfile (if defined) will be compared. The most recent MCU will be flashed to ROM.

Das Mod-Bios Downgrade mit Beibehaltung des neueren Microcode habe ich dann wie folgt bewerkstelligt!

WinFlash.exe /v /cs /sd /sv /svs /vcpu $01CB000.FL1

Läuft also doch wie es soll. :thumbup:

PS: Noch als Tip, vor dem Upgrade auf neue Version ggf. mPCIe-Karten ohne FRU entfernen. Bei Verwendung von Bitlocker beachten, dass der Schutz jedes mal angehalten werden muss, wenn man bspw. die Wifi-Karte entfernt/einsteckt, da sonst Wiederhersstellungsschlüssel eingegeben werden muss.

Grüße
Cyrix

 

[schmatzler]

Hat hier schon jemand das neue BIOS-Update auf sein X230(t) gepackt und kann mir sagen, ob es gravierende Performanceeinbrüche gibt?

Ich habe ein X230 Tablet mit i7 und habe das Update bisher nicht gemacht, weil ich keine Lust darauf habe, dass Photoshop hinterher gruselig lahm wird.
Das Gerät wird täglich zum Arbeiten eingesetzt.

 

[Harry_W]

@Cyrix:
Ich bin an einer aktuellen Bios Version für das T420 dran. Ich versuche nur noch zu klären, wie es damit mit OEM Akkus aussieht. Advanced Menu, Whitelist und RAM Speed sollen darin schon gemodded sein. Habe aber noch keine Antwort vom Modder. Vielleicht bekomme ich ihn auch dazu, die aktuellen Bios Versionen für die übrigen Sandy Bridge TPs zu modden.

Ansonsten schonmal danke für deine Info. Wie sieht es jetzt in Sachen Advanced Menu aus, wenn man nach dem aktuellen Original Bios wieder ein gemoddetes mit
WinFlash.exe /v /cs /sd /sv /svs /vcpu $01CB000.FL1
darüber flasht. Funktioniert das alte Bios dann wieder inclusive Advanced Menu oder besteht das Problem weiter? Auf das Advanced Menu würde ich nur ungern verzichten.

 

[Cyrix]

Anbei mal die Versionen (Advanced-Menu, NWL, Speedo, VBIOS usw..) die ich zum Flashen verwendet habe. Alle Einstellungen im Bios blieben erhalten...

X220:
- bisher gelaufen mit 1.43 (8duj28us) Advanced-Menu / MCU 0x29
- update auf original 1.44 (8duj29us) / MCU: 0x2D
- downgrade auf 1.43 Advanced-Menu: WinFlash.exe /v /cs /sd /sv /svs /vcpu $01CB000.FL1
- Success: MCU: 0x2D Microcode bleibt erhalten

T420:
- bisher gelaufen mit 1.46 (83uj28us) Advanced-Menu / MCU 0x29
- update auf original 1.50 (83uj31us) / MCU: 0x2D
- downgrade auf 1.46 Advanced-Menu: WinFlash.exe /v /cs /sd /sv /svs /vcpu $01C8000.FL1
- Success: MCU: 0x2D Microcode bleibt erhalten

W520:
- bisher gelaufen mit 1.43 (8buj22us) Advanced-Menu / MCU 0x29
- update auf original 1.44 (8buj23us) / MCU: 0x2D
- downgrade auf 1.43 Advanced-Menu: WinFlash.exe /v /cs /sd /sv /svs /vcpu $01C9200.FL1
- Success: MCU: 0x2D Microcode bleibt erhalten

Verwendet wurde: Phoenix UEFI WinFlash 1.5.63.0
Ausgeführt auf: Windows 10 #1709

Grüße
Cyrix

 

[ixi]

Hat hier schon jemand das neue BIOS-Update auf sein X230(t) gepackt und kann mir sagen, ob es gravierende Performanceeinbrüche gibt?

Ich habe ein X230 Tablet mit i7 und habe das Update bisher nicht gemacht, weil ich keine Lust darauf habe, dass Photoshop hinterher gruselig lahm wird.
Das Gerät wird täglich zum Arbeiten eingesetzt.

Habe heute eines meiner beiden X230T i5 geupdated. Windows braucht zum starten ca. das dreifache an Zeit zum booten. Ansonsten sind mir keine Performanceeinbrüche aufgefallen. Benutze aber auch kein PS. Das andere X230T bleibt erst mal unangetastet. Darauf läuft nur Linux Mint/Kali. Da ist das BIOS unwichtig. Ich hoffe ich konnte helfen.

 

[Harry_W]

@Cyrix:
Nur nochmal zur Sicherheit: Nach dem Downgrade auf die alten Mod-Bios Versionen funktioniert also alles incl. Advanced Menu und OEM Batterien wieder problemlos?
Wo findet man den Parameter für den vcpu Wert im WinFlash.exe Befehl? Das T520 fehlt in deiner Liste, also muss ich den Parameter noch selbst suchen.

 

[Cyrix]

Nach dem Downgrade funktionierte bei mir alles wie vorher. Unterschied war, dass der aktuellere MCU beibehalten wurde.

Alle Commandline-Parameter, auch /vcpu, findest du in der Hilfe von WinFlash. Einfach die Datei winflash.chm öffnen.

Grüße
Cyrix

 

[Harry_W]

Danke für die Klarstellung. Das erste T420 ist geflashed. Hat alles bestens funktioniert. Als nächstes folgen dann die anderen 5 Thinkpads. Danach muss auch noch Debian 9 auf alle Geräte, unter Jessie wird es wohl keinen Fix für Meltdown mehr geben. Wird ein langes Wochenende, fürchte ich.

 

[harpo]

unter Jessie wird es wohl keinen Fix für Meltdown mehr geben.

?? Gibt es doch: https://security-tracker.debian.org/tracker/CVE-2017-5754

Gegen Spectre gibt es anscheinend noch keinen Kernelpatch bei Debian:
https://security-tracker.debian.org/tracker/CVE-2017-5715
https://security-tracker.debian.org/tracker/CVE-2017-5753

Aber das gilt offenbar auch für Stretch momentan. Und generell: Solange Jessie noch Support erhält, bekommt es auch die nötigen Updates. Ansonsten müsste Debian als Konsequenz den Support vorzeitig ganz beenden.

 

[samba]

Bin Deiner Anleitung gefolgt. Wie kann ich überprüfen, dass der Microcode beim Downgrade erhalten blieb?

 

[Cyrix]

RW-Utility kann dir den Microcode anzeigen: https://thinkpad-forum.de/threads/2...s-notwendig)?p=2128109&viewfull=1#post2128109

Die Sicherheit auf Spectre erfährst du mit Inspectre: https://www.grc.com/inspectre.htm
Die Sicherheit ist gegeben wenn das Zusammenspiel von Microcode und Betriebssystem funktioniert.

 

[Helios]

Einfacher und insbesondere sicherer geht es mit dem kostenlosen Tool HWiNFO. Auch dort wird der MC angezeigt.




Oder auch mit AIDA64 Extreme/Engineer.

 

[Harry_W]

?? Gibt es doch: https://security-tracker.debian.org/tracker/CVE-2017-5754

Gegen Spectre gibt es anscheinend noch keinen Kernelpatch bei Debian:
https://security-tracker.debian.org/tracker/CVE-2017-5715
https://security-tracker.debian.org/tracker/CVE-2017-5753

Danke für den Hinweis. Mit dem normalen System Update (apt-get dist-upgrade) scheint das aber nicht installiert zu werden. Jedenfalls zeigt spetcre-meltdown-checker unter Jessie mein System als komplett ungeschützt (noch ohne Bios Update) an. Ich installiere gerade das erste T420 (mit neuem Microcode) mit Stretch und werde dann sehen, ob da die Fixes standardmäßig installiert sind.

 

[Volvo-Berti]

ich habe den aktuellen Kernel 14.5.2 laufen, der deckt sowohl Spectre als auch Meltdown ab.
so kommt man da ran: https://sparkylinux.org/linux-kernel-4-15-2/

 

[Harry_W]

Mein frisch installiertes Debian 9.4 ist mit Microcode Update vom neuesten Bios (1.50) laut spectre-meltdown-checker gegen alle drei Varianten geschützt. Bei Jessie und aktuellsten Updates per apt-get dist-upgrade war das nicht der Fall. Da muss man wohl ggf. selbst Hand anlegen.

 

[Helios]

W520:
- bisher gelaufen mit 1.43 (8buj22us) Advanced-Menu / MCU 0x29
- update auf original 1.44 (8buj23us) / MCU: 0x2D
- downgrade auf 1.43 Advanced-Menu: WinFlash.exe /v /cs /sd /sv /svs /vcpu $01C9200.FL1
- Success: MCU: 0x2D Microcode bleibt erhalten

Verwendet wurde: Phoenix UEFI WinFlash 1.5.63.0
Ausgeführt auf: Windows 10 #1709

Hmmm... bei mir erscheint da jeweils ein EFI-Parameterfehler, wenn ich "WinFlash.exe /v /cs /sd /sv /svs /vcpu $01C9200.FL1" ausführe. Was mache ich falsch? Auch "WinFlash.exe /v /cs /sd /sv /svs /vcpu:MCUfile $01C9200.FL1" frisst der Flasher nicht, wobei MCUfile das neue Microcode-File aus dem aktuellen BIOS 1.44 ist.


LG Uwe

 

[Harry_W]

Sind die *.FL1 Dateien im gleichen Ordner wie winflash.exe? Bei meinem Mod-Bios sind sie in einem Unterordner. In dem Fall muss man den Pfad in der Befehlszeile eintragen oder einfach den Inhalt des Ordners mit den *.FL1 Dateien in den gleichen Ordner wie die winflash.exe verschieben.

 

[Volvo-Berti]

Mein frisch installiertes Debian 9.4 ist mit Microcode Update vom neuesten Bios (1.50) laut spectre-meltdown-checker gegen alle drei Varianten geschützt. Bei Jessie und aktuellsten Updates per apt-get dist-upgrade war das nicht der Fall. Da muss man wohl ggf. selbst Hand anlegen.

ja, scheint so. kannst du nicht einen neueren Kernel installieren? bei Sparky gabs in der neuesten Version 5.3 den Kernel mit dem Schutz...oder halt aus der Paketquelle "unstable", wenn man 5.2 installiert hat so wie ich

 

[Helios]

Sind die *.FL1 Dateien im gleichen Ordner wie winflash.exe? Bei meinem Mod-Bios sind sie in einem Unterordner. In dem Fall muss man den Pfad in der Befehlszeile eintragen oder einfach den Inhalt des Ordners mit den *.FL1 Dateien in den gleichen Ordner wie die winflash.exe verschieben.

Ja, ist komplett alles im gleichen Ordner.

 

[Harry_W]

kannst du nicht einen neueren Kernel installieren?

Können sicher schon (mit etwas Hilfe von Google). Aber bei 6 Thinkpads mit Linux möchte ich möglichst wenig von Hand "basteln" müssen. Da Debian 9.4 die Fixes schon out of the box enthält, habe ich endlich mal einen Grund, Jessie in den Ruhestand zu schicken.

- - - Beitrag zusammengeführt - - -

Ja, ist komplett alles im gleichen Ordner.

Dann bin ich überfragt. Habe allerdings bisher erst eines meiner T420 geflashed und bastle momentan an Debian 9.4 herum. Erst wenn da alles läuft, flashe ich die anderen 5 Thinkpads, incl. dem T520, und bügle dann überall Debian Stretch drauf.

edit:
Ach ja ... dein cmd läuft mit Admin Rechten?