Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

Sicherheitslücken: OpenBSD warnt massiv vor Intels Hyper-Threading (SMT)

Bereits vor zwei Monaten hatte OpenBSD zur Deaktivierung von Intels SMT alias Hyper-Threading aufgerufen, da dieses in Zusammenhang mit den Sicherheitslücken stehe. Jetzt wiederholen die Entwickler diese Aussage aufs Deutlichste, denn sie rechnen mit vielen weiteren Problemen, die genau „an der Stelle“ zu finden sind.

DISABLE HYPERTHREADING ON ALL YOUR INTEL MACHINES IN THE BIOS.
Klarer konnte sich Theo de Raadt als einer der Mitbegründer von OpenBSD auch am gestrigen Tage kaum ausdrücken. In seinen Ausführungen, die er in einer Mailing-Liste niederschrieb, geht er noch ein wenig weiter ins Detail. Laut seiner Erkenntnis ist die Technik des Simultaneous Multithreading (SMT), oder laut Intels Marketing-Bezeichnung Hyper-Threading, „grundlegend defekt“. Denn die Teilung der Ressourcen in den zwei Threads aus einem Kern, lassen viele Sicherheitsvorkehrungen, die eigentlich für die Prozessorkerne in Betrieb sind, nicht greifen und deshalb leicht umgehen.
Der komplette Artikel findet sich auf ComputerBase.de - Sicherheitslücken: OpenBSD warnt massiv vor Intels Hyper-Threading (SMT)
 
Für Windows 10 stehen aktualisierte uCU (13.9.2018) zum Download bereit. Diese können ebenso über Windows Update bezogen werden.

VersionPatchMicrocode für
Windows 10 1507KB4091666 (Download)Sandy Bridge, Ivy Bridge, Haswell, Broadwell,
Skylake
Windows 10 1511nicht verfügbar
Windows 10 1607KB4091664 (Download)Sandy Bridge, Ivy Bridge, Haswell, Broadwell,
Skylake, Kaby Lake, Coffee Lake
Windows 10 1703KB4091663 (Download)Sandy Bridge, Ivy Bridge, Haswell, Broadwell,
Skylake, Kaby Lake, Coffee Lake
Windows 10 1709KB4090007 (Download)Sandy Bridge, Ivy Bridge, Haswell, Broadwell,
Skylake, Kaby Lake, Coffee Lake
Windows 10 1803KB4100347 (Download)Sandy Bridge, Ivy Bridge, Haswell, Broadwell,
Skylake, Kaby Lake, Coffee Lake
 
Zuletzt bearbeitet:
Da rollt wohl die nächste Welle Biosupdates heran (hier am Beispiel T450)

" Revision : 01
--------------------------------------------------------------------------------
Software name BIOS Update Utility

Support model ThinkPad T450
ThinkPad T450s

Operating Systems Microsoft Windows 10 64-bit
Microsoft Windows 8.1 32-bit, 64-bit
Microsoft Windows 7 32-bit, 64-bit

Refer to marketing materials to find out what computer models
support which Operating Systems.

Version 1.35 BIOS ID: (JBET71WW)


--------------------------------------------------------------------------------
WHAT THIS PACKAGE DOES

This package updates the UEFI BIOS (including system program and Embedded
Controller program) stored in the Lenovo computer to fix problems, add new
functions, or expand functions as noted below.

This program is language independent and can be used with any language system.


--------------------------------------------------------------------------------
CHANGES IN THIS RELEASE
Version 1.35

[Important updates]
- Update includes a security fix.
- Added Hyper Threading enable/disable option to ThinkPad Setup for virtualized
system users in order to address LEN-24163 L1 Terminal Fault Side Channel
Vulnerabilities (CVE-2018-3646) Refer to Lenovo's Security Advisory page for
additional information.(https://support.lenovo.com/us/en/solutions/LEN-24163)
(NOTE) Disabling Hyper Threading may increase system power consumption during sleep.
"

10 Prozent hier 20 Prozent dort ...
 
Ich gehe mal davon aus, dass das größere Änderungen am Kernel notwendig macht. Daher wird man sowas wohl eher nicht mal eben mit einem Update für ältere Systeme ausrollen.
Ärgerlich ist allerdings, dass es erst mit 1903 kommen wird und nicht schon in 1809, und somit im Server 2019 nicht mit drin ist. Sprich die normalen Server bekommen die Änderungen dann vermutlich erst in drei Jahren mit. :-/
 
Bei neueren Modellen wurde diese Option erst mit dem letzten UEFI-Update hinzugefügt. Vielleicht kommt für dein X1C5 auch noch eines.
 
Hallo,

so ist es, mit BIOS 1.35 kann man das auch beim X1 der 5. Generation.

Grüße, pepun.
 
Ist aber jetzt nicht wirklich notwendig. Die entsprechenden Angriffe beziehen sich auf Server-Systeme mit vielen VMs. Bei einem Client dürfte es einfachere Methoden geben, Unfug anzustellen.
 
Als patch kann man das wohl nicht bezeichnen.

Höchstens als automatisierten Workaround der bei jedem start den Microcode erneut lädt bevor Windows gestartet wird.
 
Zitat aus dem Fazit:
"Allerdings scheinen die Angriffe recht speziell zu sein.

Zudem sind bisher noch keine praktischen Angriffe über die Meltdown- und Spectre-Lücken bekannt geworden, sodass wohl weiterhin die Einschätzung gelten kann, dass diese vor allem für Cloud-Dienstleister problematisch sind. Bei typisch genutzten Client-PCs, insbesondere mit Windows als Betriebssystem, spielen andere Sicherheitslücken eine größere Rolle."

Zwar nicht schön, aber eher nicht für den üblichen Windows-Nutzer gefährlich.
 
Windows 10, 1809 - Microcode Update via Updatecatalog von MS -> [FONT=Verdana,Arial,Tahoma,Calibri,Geneva,sans-serif]https://support.microsoft.com/de-de/help/4465065/kb4465065-intel-microcode-updates

[FONT=Verdana,Arial,Tahoma,Calibri,Geneva,sans-serif]"(…) Zusammenfassung[/FONT]


Intel Software-Prüfung abgeschlossen haben und neuen Microcode für aktuelle CPU-Plattformen in Reaktion auf die folgenden Risiken freigegeben haben angekündigt :

  • Absorptionsspektrum Variante 3a (CVE 2018 3640: "Rogue System Register lesen (RSRE)")
  • Absorptionsspektrum Variant 4 (CVE 2018 3639: "Spekulativen Speicher umgehen (SSB)")
  • L1TF (CVE 2018 3620, CVE 2018 3646: "L1 Terminal Fehler")
Diese neue Version enthält ein Microcode-Update von Intel für die folgenden CPUs.(…)"



[/FONT]
 
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben