Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

[jal2]

... allerdings immer noch unwahrscheinlich, da die Mehrheit der x30er Generation ja mit Ivy Bridge läuft.

Ja, auch weil die Geraete der 30er Reihe ja die ersten waren und damit sicher aus jeder Garantie heraus sind.

@s-g
Siehe Wiki zum T430, dort sind einige SandyBridge Prozessoren gelistet. Ich kann mich auch dunkel daran erinnern, dass ich im BIOS des T430 Microcode mit der Kennung eines SandyBridge Prozessor gesehen habe.

 

[T43-Laptop]

Was ist eigentlich mit den Serien vor der x30? also die hier noch viel geliebten x4x, x6x, x4xx, x5xx bis zu den x20er Serien?

 

[Picard87]

Ich glaube hier können wir alle Hoffnung auf Updates begraben

 

[Volvo-Berti]

Von Lenovo gibt es mittlerweile ein Security Advisory zu dem Thema inkl. einer Liste mit betroffenen Systemen der neueren Generationen (bis zur Generation Tx30): https://support.lenovo.com/us/en/solutions/LEN-18282

Dort sind auch zugehörige BIOS-Updates verlinkt, die die Lücke CVE-2017-5715 (Spectre 2) beheben - bzw. wenn noch kein Update verfügbar ist, ein Datum zur voraussichtlichen Verfügbarkeit.

hm, mein X220 und auch mein TP Tablet 2nd Gen sind nicht gelistet. im TPT ist ein Atom drin, und hier gabs vor 2 Tagen ein BIOS-update. Und das X220 dürfte doch betroffen sein? hier ist ja ein modifiziertes BIOS drauf.

 

[Helios]

hm, mein X220 und auch mein TP Tablet 2nd Gen sind nicht gelistet. im TPT ist ein Atom drin, und hier gabs vor 2 Tagen ein BIOS-update. Und das X220 dürfte doch betroffen sein? hier ist ja ein modifiziertes BIOS drauf.

Ja, das X220 dürfte betroffen sein. Atoms, welche vor 2013 produziert wurden, sollten frei von den Bugs sein.

Ansonsten führe einfach den von MS zur Verfügung gestellten Script aus, um zu sehen, welche deiner Systeme betroffen sind.

 

[Volvo-Berti]

hm, verstehe ich nicht. ich habe bei MS diese Seite angewählt und die PowerShell als admin gestartet.

als Befehlzeilen stehen da

Install the PowerShell Module

PS> Install-Module SpeculationControl

Run the PowerShell module to validate the protections are enabled

PS> # Save the current execution policy so it can be reset

PS> $SaveExecutionPolicy = Get-ExecutionPolicy

PS> Set-ExecutionPolicy RemoteSigned -Scope Currentuser

PS> Import-Module SpeculationControl

PS> Get-SpeculationControlSettings

PS> # Reset the execution policy to the original state

PS> Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

wenn ich nun die erste Zeile eingebe, kommt

PS C:\WINDOWS\system32> Install-Module SpeculationControl

Der NuGet-Anbieter ist erforderlich, um den Vorgang fortzusetzen.
PowerShellGet erfordert die NuGet-Anbieterversion 2.8.5.201 oder höher für die Interaktion mit NuGet-basierten
Repositorys. Der NuGet-Anbieter muss in "C:\Program Files\PackageManagement\ProviderAssemblies" oder
"C:\Users\detbe\AppData\Local\PackageManagement\ProviderAssemblies" verfügbar sein. Sie können den NuGet-Anbieter auch
durch Ausführen von 'Install-PackageProvider -Name NuGet -MinimumVersion 2.8.5.201 -Force' installieren. Möchten Sie
den NuGet-Anbieter jetzt durch PowerShellGet installieren und importieren lassen?

irgendwie komme ich da schon nicht weiter. was ist das, was da installiert werden soll? mir sagt das alles nix....bin ja kein IT-experte, sondern normaler Anwender.

was mache ich falsch?

Edit: mein TPT 10 2nd ist nach 2013? ich habe keine Idee, wie ich das herausfinden kann. Lt Wiki ist es

Das ThinkPad 10 2nd Generation ist ab Juli 2015 der Nachfolger des ThinkPad 10. Es baut wie sein Vorgängermodell auf der Intel-Baytrail-Prozessorfamilie auf.

....also doch wohl betroffen

 

[Helios]

Schaue dir diese Seite an. Dort lässt sich der Script als Datei SpeculationControl.zip (enthält zwei PowerShell Dateien) herunterladen.

Erstelle, wie auf der Seite empfohlen, einen neuen Ordner und kopiere beide Dateien hinein.

Danach PowerShell öffnen, zum neu erstellten Order wechseln und den Script, welcher auf der Seite zu finden ist, am besten mittels Copy & Paste in die PS kopieren und Enter drücken. Falls ein Dialog mit "Execution Policy Change" erscheint, einfach N (für Nein) drücken. Danach wird der Script ausgeführt und du solltest sehen, inwieweit du betroffen bist.

PowerShell

$SaveExecutionPolicy = Get-ExecutionPolicy 
#  
Set-ExecutionPolicy RemoteSigned -Scope Currentuser 
 
Import-Module .\SpeculationControl.psd1 
Get-SpeculationControlSettings 
 
Set-ExecutionPolicy $SaveExecutionPolicy -Scope Currentuser

 

[schmatzler]

hm, mein X220 und auch mein TP Tablet 2nd Gen sind nicht gelistet.

Das X220 dürfte mittlerweile aus dem Support raus sein und daher keine Updates mehr erhalten. Habe hier noch ein X201 liegen, da kann ich zumindest CoreBoot draufflashen.

 

[fishmac]

Warum den Tag nicht mit einem Lach-Flash beginnen?

"Die NSA wusste nicht von der Schwachstelle, hat sie nicht ausgenutzt und freilich würde die US-Regierung nie ein großes Unternehmen wie Intel einem Risiko aussetzen, um eine Angriffsfläche offenzuhalten"

, sagte der Cybersicherheitskoordinator im Weißen Haus, Rob Joyce, der Washington Post

Quelle: golem.de

 

[Volvo-Berti]

tja, sieht nicht nett aus auf dem X220

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: False
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: False
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: False [not required for security]

Suggested actions

 * Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation.


BTIHardwarePresent             : False
BTIWindowsSupportPresent       : True
BTIWindowsSupportEnabled       : False
BTIDisabledBySystemPolicy      : False
BTIDisabledByNoHardwareSupport : True
KVAShadowRequired              : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled           : False

 

[Helios]

Sieht gleich aus wie auf meinem W520 .

 

[Volvo-Berti]

aber deswegen das Teil nicht mehr nutzen?

 

[Helios]

Ich selbst werde es auch weiterhin wie gewohnt im Einsatz haben.

P.S.: Hoffe, mein W520 hält noch solange durch, bis Lenovo etwas auf Basis von Ice Lake anbietet.

 

[Volvo-Berti]

was soll man auch sonst machen? ein neues Gerät kann und will ich eigentlich nicht kaufen. einen Umstieg auf Linux könnte ich evtl ins Auge fassen, aber das ist mir eigentlich zu unkomfortabel, weil nicht es alles unter Linux gibt, was ich brauche.

 

[ibmthink]

Auch Linux ist nicht sicher ohne Microcode-Update. Schließlich ist es eine Sicherheitslücke, die vom Prozessor ausgeht.

 

[schmatzler]

Auch Linux ist nicht sicher ohne Microcode-Update. Schließlich ist es eine Sicherheitslücke, die vom Prozessor ausgeht.

Bei Linux kann der Microcode allerdings beim Systemstart geladen werden, ohne dass man ein BIOS-Update benötigt.

Wäre schön, wenn das bei Windows auch gehen würde.

 

[ibmthink]

Meines Wissens gibt es das bei Windows auch.

Allerdings braucht man dafür immer noch das Microcode-Update, das es für die Sandy-Bridge Generation bisher nicht gibt.

 

[jal2]

Schaue dir diese Seite an. Dort lässt sich der Script als Datei SpeculationControl.zip (enthält zwei PowerShell Dateien) herunterladen.

Erstelle, wie auf der Seite empfohlen, einen neuen Ordner und kopiere beide Dateien hinein.

Danach PowerShell öffnen, zum neu erstellten Order wechseln und den Script, welcher auf der Seite zu finden ist, am besten mittels Copy & Paste in die PS kopieren und Enter drücken. Falls ein Dialog mit "Execution Policy Change" erscheint, einfach N (für Nein) drücken. Danach wird der Script ausgeführt und du solltest sehen, inwieweit du betroffen bist.

Man braucht dazu anscheinend eine aktuelle Version der Powershell. Ich hatte hier 2.0, die brach beim Import-Module mit dem Fehler ab, dass Root-Module ein unbekanntes Element ist. Ich installiere gerade WMF 5.1, hoffe, dass es dann geht.
BTW, der Link ist kaputt.

UPDATE: mit Powershell 5.1 funktiontierte der Test. Jetzt frage ich mal bei Lenovo nach einem BIOS-Patch fuer das R61 nach :zornig:

 

[Helios]

BTW, der Link ist kaputt.

Der Link läuft anstandslos bei mir.

 

[schdrag]

Bei Linux kann der Microcode allerdings beim Systemstart geladen werden, ohne dass man ein BIOS-Update benötigt.

Wäre schön, wenn das bei Windows auch gehen würde.

Danke für diese Details. Machen den Wechsel auf Linux auch auf dem Hauptrechner immer schmackhafter , nachdem der der olle 2GB Ram Core Duo E6550 mit voidlinux und alter sata 1.5 ssd eh schon massiv schneller als der 4GB i7 sandybridge mit win 10 und 6gb/s ssd ist. Bei Allem: starten von Linux selber, Starten der Programme, Aufruf von webseiten im chromium...