Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

[SandManTR]

das Problem trifft halt jeden anders. Für einzelne Privatpersonen ist es nur ein Bios Update und ein Windows Patch.
In einem Rechenzentrum werden Leistungseinbußen durchaus sich in $ Scheinen bemerkbar machen. Ich betreue eine Handvoll Kanzleien, d.h. ich müsste kommende Woche mehr als 50 Bios Updates einspielen. Für einige ältere PCs wird es keine Updates geben, was macht man dann damit? Mit ein wenig Glück sind Core2Duos nicht betroffen, aber davon sind auch nur noch eine Handvoll im Einsatz.
Dann die große Frage was macht man mit den Servern? Bios Updates sind ja immer ein Risiko...

 

[harpo]

Ich für meinen Teil hab das entsprechende Windows eingespielt (Win7 Home-PC und Win10 Arbeits-Notebook). Bisher merke ich keinen Unterscheid zum vorherigen Status. Für mich ist das Thema also durch.

Was Meltdown betrifft, wohl erstmal ja. Gegen Spectre helfen bei Vaariant 2 jedoch nur BIOS-Update (Wenn es keines mehr gibt, dann is doof) und gegen Variant 1 ist nur Kraut gewachsen, wenn die Anwendungen, bei denen es ausgenutzt werden kann, dagegen abgesichert sind. Bei den gängigen Browsern dürfte das inzwischen mehr oder weniger der Fall sein, aber welche anderen Programme noch diesbezüglich gefährdet sind, kann der gemeine Endanwender kaum erraten.

Und heute bei Computerbase zu lesen:

[h=2]Ehemaliger Intel-Mitarbeiter dämpft Hoffnung auf kurzfristige Hardware-Fixes[/h] Unterdessen hat der ehemalige Intel-Mitarbeiter Joe Fitz in einer Tweet-Serie dargelegt, weshalb man nicht damit rechnen solle, dass schon in den nächsten Monaten neue CPUs ohne die Hardware-Bugs veröffentlicht würden. Jeder „Build“ (bei Hardware „Stepping“ genannt) koste mehrere Millionen Dollar, dauere mehrere Monate und die machbaren Änderungen sind aufgrund möglicher Nebenwirkungen – auch physikalischer Natur – stark eingeschränkt.

Ist natürlich eine doofe Situation, wenn man jetzt noch CPUs auf den Markt wirft, wo man schon vorab sagen muss "Tut uns leid, die laufen halt nur mit diesen Notfall-Lösungen und dadurch nicht mehr so wie eigentlich mal geplant. Aber mit der übernächsten Generation wird's besser!" Aber Intel kennt sich ja anscheinend dabei aus, sowas schön zu relativieren...

 

[Helios]

Artikel: Microsoft - Windows Server guidance to protect against speculative execution side-channel vulnerabilities

Microsoft empfiehlt bei Windows Server folgende beiden Registratureinträge zu setzen:

reg add   "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session   Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0   /f
reg add  "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session   Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD   /d 3 /f

reg add "HKLM\SOFTWARE\Microsoft\Windows  NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations  /t REG_SZ /d "1.0" /

Wenn es sich um ein Hyper-V-Host handelt, alle virtuellen Maschinen vollständig beenden.

Das System muss danach neu gestartet werden.


Um den Fix zu deaktivieren, müssen folgende beiden Befehle ausgeführt werden:

reg add   "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session   Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 3   /f
reg add  "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session   Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD   /d 3 /f

Das System muss danach neu gestartet werden.



Weiter sollte folgender Artikel gelesen werden:

Windows Client Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities
-> How to get the January monthly update for Windows Update and Windows Update for Business with Group or MDM policy configurations set to disable preview builds

 

[harpo]

Microsoft empfiehlt bei Windows und Windows Server folgende beiden Registratureinträge zu setzen:

Vielleicht solltest Du den Satz dahingehend abändern, dass der erste Teil mit den RegKeys nur für Server gilt. Auf der verlinkten Seite stehen diese auch unter dem Punkt "Enabling protections on the server".

Der untere Link verweist auf die Empfehlungen für Client-Rechner. Wobei da auch die Frage ist, ob dies eher für Clients in Unternehmensstrukturen (bei disabled preview builds) gilt statt für den schnöden Endanwender.

 

[Ede_123]

Tolle Sache auch:
Ist der Registry Key SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat (welcher anzeigt ob die Antiviren Software kompatible ist) nicht vorhanden, so lässt sich das Update nicht installieren - selbst wenn gar kein Virenscanner installiert ist. :facepalm:

 

[harpo]

Ist der Registry Key SOFTWARE\Microsoft\Windows\CurrentVersion\QualityC ompat (welcher anzeigt ob die Antiviren Software kompatible ist) nicht vorhanden, so lässt sich das Update nicht installieren - selbst wenn gar kein Virenscanner installiert ist.

Da siehst Du mal, dass Du immer einen Virenscanner installiert haben solltest! Aber im Ernst: Wie ist das denn dann unter Win 8.1/10 mit aktivem Defender (als alleinigem Antivirus)? Wird der dann durch ein Defender-Update gesetzt bevor man das Win-Update installieren kann?

 

[Helios]

Vielleicht solltest Du den Satz dahingehend abändern, dass der erste Teil mit den RegKeys nur für Server gilt. Auf der verlinkten Seite stehen diese auch unter dem Punkt "Enabling protections on the server".

Die ersten beiden RegKeys (FeatureSettingsOverride und FeatureSettingsOverrideMask) sollten auch bei Windows (nicht nur Windows Server) funktionieren. Gestern hatte ich den entsprechenden MS Artikel noch gelesen, nur finde ich diesen im Moment nicht.


P.S.: Finde den Artikel nicht. Habe den Titel entsprechend angepasst.

 

[der_ingo]

Aber im Ernst: Wie ist das denn dann unter Win 8.1/10 mit aktivem Defender (als alleinigem Antivirus)? Wird der dann durch ein Defender-Update gesetzt bevor man das Win-Update installieren kann?

Ja, wird er.

- - - Beitrag zusammengeführt - - -

Für einige ältere PCs wird es keine Updates geben, was macht man dann damit? Mit ein wenig Glück sind Core2Duos nicht betroffen, aber davon sind auch nur noch eine Handvoll im Einsatz.

Auch diese Serien sind betroffen. Intel nennt sie nur nicht mehr, da zu alt.

​

Dann die große Frage was macht man mit den Servern? Bios Updates sind ja immer ein Risiko...

Patchen und wenn was schief geht, hat man den Hersteller-Support. Im Normalfall sollte das aber ja nicht passieren. Es geht nur um ein reines BIOS Update, weitere Komponenten müssen nicht geflasht werden. Das sollte eigentlich problemlos sein. Problematisch wirds eher, wenn man Server hat, wo man kein BIOS Update remote einspielen kann.

Die Frage ist aber auch, ob auf den Servern überhaupt irgendwas läuft, was entsprechend gefährdet ist. Solange du keine Server betreibst, auf denen externe Nutzer Zugriffe haben, z.B. Terminalserver, sollte die Sache jetzt nicht absolute Prio haben. Da wird halt mal gepatcht, sobald verfügbar und wenn nicht, läuft das System auch weiter.

 

[Helios]

ars Technica - Intel faces class action lawsuits regarding Meltdown and Spectre

Class action lawsuits have been filed in California, Indiana, and Oregon.

Three class action complaints have been filed against Intel over the Meltdown and Spectre CPU security flaws that were discovered by researchers earlier this year and widely publicized earlier this week.

Der komplette Artikel findet sich auf ars Technica.

 

[el-diabolo]

D.h. ich müsste jetzt meinen KC86 aus dem Keller ziehen!


Wer ironie findet darf sie gern behalten

Mein lieber Schieber da war aber einer privilegiert

 

[harpo]

Mein lieber Schieber da war aber einer privilegiert

Vielleicht hat er ihn ja erst nach der Wende billig abgestaubt als den keiner mehr haben wollte...

 

[Picard87]

Bei Lenovo auf der Support Seite gibt es ein ständig aktualisiertes Sichereits-Bulletin.
https://support.lenovo.com/de/de/solutions/len-18282
Unter anderem werden dort auch die "betroffenen" Thinkpads aufgelistet. Es geht runter bis zur T/X 430er/X230er Serie. Nun sind aber auch früherer Intel-CPUs betroffen. Ich gehen nun mal davon aus, dass dies die System sind, die Intel bzw. dann Lenovo mit CPU-Microcode-Updates versorgen werden. Entspricht Intels Ankündigung von 98% der CPUs der letzten 5 Jahre.

Nun geht mein X220 also leer aus. Ich schätze mal nicht, dass man diese Updates ähnlich wie Treiber Updates auch unter anderen Systmen (eben dem X220) auf eigene Gefahr nutzen kann.
Weiß da jemand genaueres? Kann Lenovo hier noch selbst aktiv werden und weiter Generationen patchen? Oder die Community?

 

[Helios]

Nun geht mein X220 also leer aus. Ich schätze mal nicht, dass man diese Updates ähnlich wie Treiber Updates auch unter anderen Systmen (eben dem X220) auf eigene Gefahr nutzen kann.

Nein, das klappt definitiv nicht. Damit würdest du dein X220 schrotten.

Kann Lenovo hier noch selbst aktiv werden und weiter Generationen patchen? Oder die Community?

Schätze, da wird es weder von Lenovo noch von der Community ein gepatchtes BIOS geben.

 

[ibmthink]

Es ist wohl möglich, Microcode-Updates auch auf andere Art und Weise einzuspielen. Dafür braucht man allerdings erst mal ein Microcode-Update vom Hersteller - ob Intel den für die Sandy-Bridge-Generation bereitstellt ist fraglich.

 

[Picard87]

@helios
@ibmthink
ja, das hatte ich auch befürchtet... Einerseits verständlich von Intel, sie können ja schlecht alles bis hinunter zum Pentium 1 patchen, aber SandyBridge ist v.a. im Desktop immer noch sehr beliebt, das hätte man mMn durchaus noch mit rein nehmen können. Oder generell die core-i Familie komplett.

 

[harpo]

Es ist wohl möglich, Microcode-Updates auch auf andere Art und Weise einzuspielen. Dafür braucht man allerdings erst mal ein Microcode-Update vom Hersteller - ob Intel den für die Sandy-Bridge-Generation bereitstellt ist fraglich.

Wie ich schon mal erwähnte, geht das z.B. unter Linux "Software-seitig", also vereinfacht gesagt, den Microcode im BS quasi wie einen Treiber zu laden. Dabei wird beim Booten geprüft, ob unter dem Linux-System eine aktuellere Version als in der BIOS/UEFI-Firmware vorliegt und wenn ja, diese dann geladen. Siehe z.B. hier:
https://www.pcsuggest.com/update-cpu-microcode-in-linux/

Das geht aber natürlich nur, wie ibmthink schrieb, wenn vom CPU-Hersteller auch Microcode-Updates bereitgestellt wurden, die dann dafür aufbereitet werden können. Für *buntu lassen die entsprechenden Pakete derzeit noch auf sich warten, sollen aber, wenn es planmäßig läuft, spätestens am 09.01. veröffentlicht werden (wie auch die *buntu-Kernelupdates).

Ob sowas ähnliches auch unter Windows möglich ist bzw. es sowas gibt, keine Ahnung.

 

[Helios]

Ja, Sandy Bridge-Plattformen sind noch sehr verbreitet, aber eben auch schon in die Jahre gekommen. Lenovo macht eh einen guten Job, was die BIOS-Pflege anbelangt.

Wäre schon klasse, falls da noch etwas für die x20er käme. Die Chancen sind aber wohl eher klein.

 

[jal2]

Ja, Sandy Bridge-Plattformen sind noch sehr verbreitet, aber eben auch schon in die Jahre gekommen. Lenovo macht eh einen guten Job, was die BIOS-Pflege anbelangt.

Wäre schon klasse, falls da noch etwas für die x20er käme. Die Chancen sind aber wohl eher klein.

AFAIR gibt es T430, die mit Sandy-Bridge Prozessoren ausgeliefert wurden. Also besteht Hoffnung, dass es Microcode-Patches fuer Sandybridge geben wird.

 

[s-g]

AFAIR gibt es T430, die mit Sandy-Bridge Prozessoren ausgeliefert wurden. Also besteht Hoffnung, dass es Microcode-Patches fuer Sandybridge geben wird.

?!?
Die T/W/X...20er kamen mit den Core i3/5/7-2xxx; die T/W/X...30er mit den i#-3xxx das es da Ausnahmen gibt wäre mir neu.
Auch wenn ein Bios- Update noch schöner wäre

Edit:
Bis jetzt stand noch in keinem der Artikel konkret etwas zu dem Risiko von privat genutzten, ungepatchten Systemen. Bei Multi-User Systemen klar, aber gibt es für alle anderen ein Risiko größer dem, der sowieso im Netz verbreiteten Malware? Wenn man sich dazu, wie z.B. bei den ganzen Cryptlockern, erstmal ne Excel mit Macros runterladen muss und die Ausführen…

 

[Picard87]

Die gibt es tatsächlich. Die ersten Chargen X230i gingen mit Sandy Bridge CPUs raus, weil Intel noch nicht liefern konnte. Kannst du im thinkwiki nachlesen.

@jal2: stimmt, daran hatte ich noch gar nicht gedacht... allerdings immer noch unwahrscheinlich, da die Mehrheit der x30er Generation ja mit Ivy Bridge läuft.