Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

Version
Patch
Microcode für
Windows 10 1507KB4091666 (Download)Haswell, Broadwell, Skylake
Windows 10 1511nicht verfügbar
Windows 10 1607KB4091664 (Download)Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake
Windows 10 1703KB4091663 (Download)Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake
Windows 10 1709KB4090007 (Download)Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake
Windows 10 1803KB4093297 (Download)nicht bekannt

Hier noch sämtliche Patches aller verfügbarer Windows 10-Versionen.

Quelle: ComputerBase.de -Windows 10: Microcode-Updates für Intel Haswell bis Coffee Lake
 
VersionPatchMicrocode für
Windows 10 1507KB4091666 (Download)Haswell, Broadwell, Skylake
Windows 10 1511nicht verfügbar
Windows 10 1607KB4091664 (Download)Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake
Windows 10 1703KB4091663 (Download)Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake
Windows 10 1709KB4090007 (Download)Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake
Windows 10 1803KB4093297 (Download)nicht bekannt

Hier noch sämtliche Patches aller verfügbarer Windows 10-Versionen.

Quelle: ComputerBase.de -Windows 10: Microcode-Updates für Intel Haswell bis Coffee Lake

Für Windows 7 und 8.1 kommt wohl leider nichts?
 
KB4093297 ist übrigens nicht der Patch für die fertige Version 1803 (Build 17134), sondern für die Preview Version 17133.

Ich nehme an, dass für 7 und 8.1 auch noch entsprechende Updates kommen werden. Man kümmert sich aber halt zuerst um die aktuellen Systeme.
 
Windows 10 1803 ohne Microcode-Updates gegen Spectre V2 heise Security:

https://www.heise.de//security/meld...39062.html?wt_mc=nl.heisec-summary.2018-05-03

Das muß man jetzt aber nicht verstehen oder ?
Ich glaube, das ist recht einfach erklärt: Das Windows-Update, das die Microcode-Updates verteilt, wurde recht kurzfristig entwickelt, während das Windows Update 1803 schon fast fertig war. Daher konnte es wohl nicht mehr direkt in 1803 integriert werden.
Jetzt heißt es hoffen, daß Microsoft ein entsprechendes Update für die 1803-er Version beim nächsten Patchtag rausbringt.
 
Intel verschiebt die ersten Patches gegen Spectre-NG um zwei Wochen und hat weiteren Aufschub bis Juli beantragt. Weitere Patches sollen erst im August folgen, so auch die gegen die gefährlichste der 8 Lücken, die auf Cloudsysteme abzielt und Angriffe aus VMs heraus auf deren Hostsysteme erlaubt:
https://www.heise.de/security/meldu...e-Veroeffentlichung-aufgeschoben-4043790.html

Weitere Patches müssen wieder von Software-Herstellern kommen.

Tja, wie Experten schon anfangs prophezeiten, a never ending story!
 
ThinkPad W520 - BIOS 1.45

Für das ThinkPad W520 steht die aktualisierte Firmware 1.45 (10. Mai 2018) zum Download zur Verfügung.

Änderungen: [Important] Security fix addresses LEN-19568 Intel Active Management Technology MEBx Access Control Bypass.


Dürfte wohl auch für andere ThinkPads aktualisierte Firmware geben.


LG Uwe
 
Der heutige Patchday schwächt eine Unterklasse der "Speculative Execution Side Channel Vulnerability", bekannt als "Speculative Store Bypass (SSB)" (CVE-2018-3639).

Der Patch (KB4073119) selbst ist NICHT per Default aktiv geschaltet. Dies muss manuell übernommen werden.

Wie dies erreicht wird, erörtert KB4073119.

Die Mitigation ist auf folgende Betriebssysteme anwendbar: Windows 10 (1607, 1703, 1709, 1803), Windows 8.1, Windows 7 SP1 (x64/x86)


LG Uwe
 
Der Patch (KB4073119) selbst ist NICHT per Default aktiv geschaltet. Dies muss manuell übernommen werden.

Hm, da kann man vielerorts lesen, dass die neu entdeckten teilweise gefährlicher als die ursprünglichen Spectre und Meltdown sind und dann werden die Updates hierfür standardmäßig inaktiv ausgeliefert?! Da könnte man ja über die Gründe spekulieren und z.B. arge Leistungseinbußen befürchten...

Zudem hatte ich bisher immer gelesen, dass die Updates gegen CVE-2018-3639 nur in Verbindung mit neuen Microcodes funktionieren soll, die bisher noch nicht erschienen sind. Lenovo hatte die ersten BIOS-Updates bereits für gestern anvisiert und in den folgenden Tagen. Aber bisher ist noch nicht einmal eine neues Linux-Microcodeupdate seitens Intel erschienen, was ja meist als erstes passiert.

- - - Beitrag zusammengeführt - - -

Im Leitfaden für SSB merkt MS nochmal an, dass der Patch nur in Verbindung mit neuem - noch nicht erschienenem - Microcode funktioniert und dass es je nach System zu mehr oder weniger Performanceeinbußen kommt: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
 
Kommt also wohl doch schon aktiviert und muss nicht manuell aktiviert werden.

Doch, muss erst aktiviert werden! Du musst weiter unten lesen bei: "Manage Speculative Store Bypass and mitigations around Spectre Variant 2 and Meltdown":
Enable mitigations around Speculative Store Bypass (CVE-2018-3639) together with mitigations around Spectre Variant 2 (CVE-2017-5715) and Meltdown (CVE-2017-5754) through the following registry settings (because they are not enabled by default).

Dort ist auch zu entnehmen, dass der bereits von den früheren Patches bekannte Registrywert FeatureSettingsOverride unter HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management von 0 auf 8 gesetzt werden muss, um den zusätzlichen Patch zu aktivieren. Nach Installation des Updates bleibt dieser nämlich nach wie vor bei 0.

Was ich allerdings eigenartig finde, ist, dass man die gesamten Registryschlüssel löschen soll, um den Patch für 3639 wieder zu deaktivieren. Würde das nicht auch die Patches für 3715 und 3754 mit deaktivieren oder bleiben die dann standardmäßig aktiv? Das geht aus der Beschreibung nicht hervor.
 
Zuletzt bearbeitet:
Im Leitfaden für SSB merkt MS nochmal an, dass der Patch nur in Verbindung mit neuem - noch nicht erschienenem - Microcode funktioniert und dass es je nach System zu mehr oder weniger Performanceeinbußen kommt: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
Kann die Sicherheitslücke auf meinem W520 mit BIOS 1.45 bestätigen.

Code:
[U]Speculation control settings for CVE-2017-5715 [branch target injection][/U]
For more information about the output below, please refer to https://support.microsoft.com/en-in/help/4074629

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True

[U] Speculation control settings for CVE-2017-5754 [rogue data cache load][/U]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: False [not required for security]

[U] Speculation control settings for CVE-2018-3639 [speculative store bypass][/U]

[B] Hardware is vulnerable to speculative store bypass: True[/B]
[B][COLOR=#ff0000] Hardware support for speculative store bypass mitigation is present: False[/COLOR][/B]
Windows OS support for speculative store bypass mitigation is present: True
Windows OS support for speculative store bypass mitigation is enabled system-wide: False


BTIHardwarePresent                  : True
BTIWindowsSupportPresent            : True
BTIWindowsSupportEnabled            : True
BTIDisabledBySystemPolicy           : False
BTIDisabledByNoHardwareSupport      : False
KVAShadowRequired                   : True
KVAShadowWindowsSupportPresent      : True
KVAShadowWindowsSupportEnabled      : True
KVAShadowPcidEnabled                : False
SSBDWindowsSupportPresent           : True
SSBDHardwareVulnerable              : True
SSBDHardwarePresent                 : False
SSBDWindowsSupportEnabledSystemWide : False

Microsoft hat das Speculation Control Validation PowerShell Script (Updated: 13.06.2018) um die Abfrage des Speculative Store Bypass erweitert.


Update history

1.0.8 (Current version)

  • Added support for querying Speculative Store Bypass Disable (SSBD) setting
 
Zuletzt bearbeitet:
  • ok1.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen
Zurück
Oben