Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

Lenovo hat zwar sein Security Advisory noch nicht aktualisiert, gestern aber bereits einige BIOS-Updates mit Fixes gegeg CVE-2018-3639 und CVE-2018-3640 (also vermutlich neuem Microcode) für einige Geräte veröffentlicht. Zumindest für das T470 und das T480s ist dies der Fall, deren Treiber-Support-Seiten ich als Stichprobe mal getestet hatte. Wer möglichst schnell das Update möchte, sollte wohl eher die jeweilige Treiber-Seite für sein Gerät im Auge behalten, als das Security Advisory. War in der Vergangenheit auch öfter so, dass Lenovo da mit der Aktualisierung etwas lahmt.

- - - Beitrag zusammengeführt - - -

So, nun ist vor ca. 2 Stunden auch das BIOS-Update für mein Skylake-Maschinchen online gestellt worden und die Zeile
Important updates]
- Security fix addresses LEN-22133 Speculative Execution Side Channel Variants 4 and 3a (CVE-2018-3639, CVE-2018-3640).
bedeutet wie geahnt neuen CPU-Microcode. Die Ausgabe des MS-Scripts lautet dann auch:
Code:
Speculation control settings for CVE-2017-5715 [branch target injection]
For more information about the output below, please refer to https://support.microsoft.com/en-in/help/4074629

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: False [not required for security]

Speculation control settings for CVE-2018-3639 [speculative store bypass]

Hardware is vulnerable to speculative store bypass: True
Hardware support for speculative store bypass mitigation is present: True
Windows OS support for speculative store bypass mitigation is present: True
Windows OS support for speculative store bypass mitigation is enabled system-wide: True


BTIHardwarePresent                  : True
BTIWindowsSupportPresent            : True
BTIWindowsSupportEnabled            : True
BTIDisabledBySystemPolicy           : False
BTIDisabledByNoHardwareSupport      : False
KVAShadowRequired                   : True
KVAShadowWindowsSupportPresent      : True
KVAShadowWindowsSupportEnabled      : True
KVAShadowPcidEnabled                : False
SSBDWindowsSupportPresent           : True
SSBDHardwareVulnerable              : True
SSBDHardwarePresent                 : True
SSBDWindowsSupportEnabledSystemWide : True

Natürlich nur, wenn wie in der Anleitung von Microsoft besagter Registry-Eintrag von 0 auf 8 geändert wird. Belässt man ihn auf 0, gibt die Zeile "Windows OS support for speculative store bypass mitigation is enabled system-wide:" als Ergebnis "False" aus.

- - - Beitrag zusammengeführt - - -

Nun hat Intel auch die dritte der 8 Spectre-NG-Lücken veröffentlicht: https://www.heise.de/security/meldung/CPU-Bug-Spectre-NG-Nr-3-Lazy-FP-State-Restore-4078222.html

Sie wird Lazy FP State Restore genannt und läuft unter CVE-2018-3665 und soll Sidechannel-Angriffe auf FPU-Register erlauben, wird aber nur als "mittlere" Bedrohung eingestuft. Patches sollen Microcode-unabhängig nur OS-basiert kommen.

Na, da waren es nur noch 5. :rolleyes:
 
Zuletzt bearbeitet:
Nach den ganzen Bios Updates ist die Leistung meiner NVMe SSD schon teils deutlich runtergegangen (P 51) - auch was das Seq Lesen angeht.
 

Anhänge

  • as-ssd-bench SAMSUNG MZVKW512 24.10.2017 16-58-47.png
    as-ssd-bench SAMSUNG MZVKW512 24.10.2017 16-58-47.png
    33,4 KB · Aufrufe: 46
  • as-ssd-bench SAMSUNG MZVKW512 25.06.2018 18-20-40.png
    as-ssd-bench SAMSUNG MZVKW512 25.06.2018 18-20-40.png
    33,5 KB · Aufrufe: 47
Und, macht sich das im normalen Gebrauch bemerksam ? Denke mal kaum, vielleicht braucht der 1-2 Sekunden länger zum starten, bist aber immer noch zügiger als mit einer herkömlichen HDD.
 
Für das ThinkPad W520 und vermutlich auch für ein paar seiner "Kollegen" steht bereits eine aktualisierte BIOS-Version zum Bezug bereit (offizielles Erscheinungsdatum wäre der 2. Juli 2018), welche Gegenmassnahmen hinsichtlich Spectre 3a sowie 4 beinhaltet.

BIOS Update Utility for Windows 8 (32-bit, 64-bit), 7 (32-bit, 64-bit), Vista (32-bit, 64-bit), XP - ThinkPad W520 ---- P.S.: Windows 10 wird gleichermassen unterstützt


CHANGES IN THIS RELEASE Version 1.46

[Important updates]
- Security fix addresses LEN-22133 Speculative Execution Side Channel Variants 4
and 3a (CVE-2018-3639, CVE-2018-3640). Refer to Lenovo�'s Security Advisory page
for additional information. (https://support.lenovo.com/product_security/home)

[New functions or enhancements]
- Nothing.

[Problem fixes]
- Nothing.


Bemerkung: Das Update unter Windows 10 Pro x64 (17134.112) schlug fehl (keine Angst, das Notebook macht einen Neustart und funktioniert weiterhin). Backup des aktuellen Windows 10-Systems erstellt, danach kurz Windows 8.1 Pro x64 installiert und das BIOS-Update auf Version 1.46 funktionierte problemlos. Danach wieder das Backup der Windows 10-Version zurück gespielt. Alles tipptopp. Ob das BIOS-Upgrade unter Windows 10 (32Bit) funktioniert, habe ich nicht getestet.
 
Zuletzt bearbeitet:
Intel hat eine neue Version seines Linux-Microcode Pakets zum Download veröffentlicht. Allerdings enthält es im Vergleich zum April-Paket lediglich einige Xeon-Updates. Für alle anderen sind bisher immer noch die PC-Hersteller-(BIOS-)Updates die einzige Quelle.
 
Hallo Cyrix,


Weißt Du, ob es möglich den Befehl so zu modifzieren, dass ein Custom Boot Logo erhalten bleibt?

WinFlash.exe /v /cs /sd /sv /svs /vcpu /logo:LOGO.JPG $01CB000.FL1

Bezüglich Auflösung und Größe des JPGs siehe BIOS_LOGO.TXT

Grüße
Cyrix
 
Zuletzt bearbeitet:

Klingt erst einmal schlimmer als es ist. RAM via Netzwerk auslesen klingt gefährlich, aber Schutz gegen Spectre V1 hilft auch gegen NetSpectre und es fließen selbst bei Gigabit-Verbindungen nur wenige Bytes pro Stunde. Da braucht man selbst für einen "normalen" AES-Key schon über 28 Stunden - vorausgesetzt, dieser steht dann auch immer noch an der gleichen Speicheradresse, so dass man nicht plötzlich was ganz anderes ausliest.

Auch wenn das besondere an dieser Lücke ist, dass man - im Gegensatz zu bisherigen Spectre-Lücken - keinen Code auf dem Zielsystem braucht, finde ich die Lücke eher theoretischer Natur als praktisch wirklich angreifbar...
 
MS hat jetzt einen 3ten Softwarepatch in Windows integriert:
Code:
E:\tools>powershell "Get-SpeculationControlSettings"
Speculation control settings for CVE-2017-5715 [branch target injection]
For more information about the output below, please refer to https://support.mic
rosoft.com/en-in/help/4074629

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not requi
red for security]

Speculation control settings for CVE-2018-3639 [speculative store bypass]

Hardware is vulnerable to speculative store bypass: True
Hardware support for speculative store bypass mitigation is present: True
Windows OS support for speculative store bypass mitigation is present: True
Windows OS support for speculative store bypass mitigation is enabled system-wid
e: True


BTIHardwarePresent                  : True
BTIWindowsSupportPresent            : True
BTIWindowsSupportEnabled            : True
BTIDisabledBySystemPolicy           : False
BTIDisabledByNoHardwareSupport      : False
KVAShadowRequired                   : True
KVAShadowWindowsSupportPresent      : True
KVAShadowWindowsSupportEnabled      : True
KVAShadowPcidEnabled                : True
SSBDWindowsSupportPresent           : True
SSBDHardwareVulnerable              : True
SSBDHardwarePresent                 : True
SSBDWindowsSupportEnabledSystemWide : True

Ich mußte ihn in der registry erst aktivieren.

Code:
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management]
"FeatureSettingsOverride"=dword:00000008
"FeatureSettingsOverrideMask"=dword:00000003

Die Leistung stimmt soweit auch noch laut Geekbench:

https://browser.geekbench.com/v4/cpu/9271800

Der Spectre2 Patch ist wohl auch verbessert worden !?!

Gruß
 
Zuletzt bearbeitet:
Der Patch wurde bereits am 24. Juli 2018 veröffentlicht. Und soweit ich sehe, hat sich zwischenzeitlich auch nichts mehr getan. (siehe Post #509)
 
Den mußte ich aber erst aktivieren. (CVE-2018-3639)
Alles klar, danke. Ich übrigens auch. :)

Sehe jetzt gerade, dass das uCU für Sandy Bridge auf 0x2E gehievt wurde (BIOS 1.46 hat 0x2D). Muss mal den PS Script ausführen, ob sich da ansonsten etwas getan hat.


Nachtrag: Alles i.O. :)

ADV-180002.PNG
 
Zuletzt bearbeitet:
Foreshadow/L1TF: Intels Albtraum-Jahr der Sicherheitslücken geht weiter

Die drei neuen Probleme adressieren jeweils andere Bereiche.

  • CVE-2018-3615 for attacking SGX.
  • CVE-2018-3620 for attacking the OS Kernel and SMM mode.
  • CVE-2018-3646 for attacking virtual machines.
ComputerBase.de - Foreshadow/L1TF: Intels Albtraum-Jahr der Sicherheitslücken geht weiter



Summary:

Security researchers have identified a speculative execution side-channel method called L1 Terminal Fault (L1TF). This method impacts select microprocessor products supporting Intel® Software Guard Extensions (Intel® SGX). Further investigation by Intel has identified two related applications of L1TF with the potential to impact additional microprocessors, operating systems, system management mode, and virtualization software. If used for malicious purposes, this class of vulnerability has the potential to improperly infer data values from multiple types of computing devices.

INTEL-SA-00161: Q3 2018 Speculative Execution Side Channel Update



Intel: Microcode Revision Guidance - August 8, 2018


Addendum: Und damit haben wir nun auch die Erklärung, weshalb auf den Sandy Bridge-CPUs das uCU 0x2E läuft :thumbup:.

- - - Beitrag zusammengeführt - - -

Microsoft hat das Speculation Control Validation PowerShell Script (Updated: 14.08.2018) um die Abfrage des L1 Terminals erweitert.

Update history

1.0.9 (Current version)

  • Added support for querying the L1 terminal fault settings
 
Zuletzt bearbeitet:
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben