Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

[bender79]

Hallo,

da rollt vermutlich schon das nächste Intel Überraschungspaket (nach den ganzen Management Engine vulnerabilities) an:

https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/

Bleibt spannend!
grüße


//edit moronoxyd: Titel noch weiter angepasst. Betrifft nicht nur Intel.

 

[mcb]

Windows How to get latest CPU microcode without modding the BIOS guru3D Forums.html

https://forums.guru3d.com/threads/w...pu-microcode-without-modding-the-bios.418806/

Kommentar zu Meltdown & Spectre Chaos statt Kundendienst heise online.html

https://www.heise.de/newsticker/mel...Spectre-Chaos-statt-Kundendienst-3938140.html

June 2015 Intel CPU microcode update for Windows.html

https://support.microsoft.com/en-us/help/3064209/june-2015-intel-cpu-microcode-update-for-windows

 

[schdrag]

Was heißen würde, dass Intel den Microcode für Sandy Bridge doch aktualisiert?!

Sieht so aus. Edit: mein i7 2620m ist im intel microcode (Betriebssystemebene) Date: 1/8/2018 eh schon enthalten:
https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File?v=t

Hier geht's aber um den Bios Level.

 

[harpo]

Windows How to get latest CPU microcode without modding the BIOS guru3D Forums.html

https://forums.guru3d.com/threads/wi...e-bios.418806/

Nur leider funktioniert das für die hier thematisierten Lecks nicht: https://thinkpad-forum.de/threads/2...ungsverlust)?p=2128109&viewfull=1#post2128109
https://thinkpad-forum.de/threads/2...ungsverlust)?p=2128119&viewfull=1#post2128119

June 2015 Intel CPU microcode update for Windows.html

https://support.microsoft.com/en-us/...te-for-windows

Wolltest Du mit dem Link darauf hinweisen, dass es prinzipiell Microcode-Updates auf Betriebssystemebene gibt, ähnlich Linux? Denn der verlinkte Download selbst bringt ja nicht viel. Aber auch hier stellt sich die Frage, ob dieser rechtzeitig geladen wird, damit der Windows-Patch greift...

- - - Beitrag zusammengeführt - - -

Sieht so aus. Edit: mein i7 2620m ist im intel microcode (Betriebssystemebene) Date: 1/8/2018 eh schon enthalten:

Da muss ich Dich leider enttäuschen: In dem Download sind auch alte Microcodes enthalten, weil nicht alle ein Update erhalten haben, das Microcode-Paket für Linux aber dennoch vollständig sein muss. Hier der Auszug der Releasenotes, der die upgedateten Microcodes angibt:

Intel Processor Microcode Package for Linux
20180108 Release

-- Updates upon 20171117 release --
IVT C0 (06-3e-04:ed) 428->42a
SKL-U/Y D0 (06-4e-03:c0) ba->c2
BDW-U/Y E/F (06-3d-04:c0) 25->28
HSW-ULT Cx/Dx (06-45-01:72) 20->21
Crystalwell Cx (06-46-01:32) 17->18
BDW-H E/G (06-47-01:22) 17->1b
HSX-EX E0 (06-3f-04:80) 0f->10
SKL-H/S R0 (06-5e-03:36) ba->c2
HSW Cx/Dx (06-3c-03:32) 22->23
HSX C0 (06-3f-02:6f) 3a->3b
BDX-DE V0/V1 (06-56-02:10) 0f->14
BDX-DE V2 (06-56-03:10) 700000d->7000011
KBL-U/Y H0 (06-8e-09:c0) 62->80
KBL Y0 / CFL D0 (06-8e-0a:c0) 70->80
KBL-H/S B0 (06-9e-09:2a) 5e->80
CFL U0 (06-9e-0a:22) 70->80
CFL B0 (06-9e-0b:02) 72->80
SKX H0 (06-55-04:b7) 2000035->200003c
GLK B0 (06-7a-01:01) 1e->22

Die Kennzeichnung für die Prozessor-Generationen dürften ja selbsterklärend sein. IVT steht für Ivytown (früherer Name für bestimmte Ivy Bridge Xeons) und ist die älteste in dem Release enthaltenen Generation, die Updates gegen die Lücken erhalten hat.

 

[martina]

Lenovo hat jetzt die wegen von Intel zurückgezogenen Microcode Updates zurückgezogenen Bios-Updates auf https://pcsupport.lenovo.com/us/en/product_security/ps500151 aufgeführt.

Withdrawn CPU Microcode Updates: Intel provides to Lenovo the CPU microcode updates required to address Variant 2, which Lenovo then incorporates into BIOS/UEFI firmware. Intel recently notified Lenovo of quality issues in two of these microcode updates, and concerns about one more. These are marked in the product tables with “Earlier update X withdrawn by Intel” and a footnote reference to one of the following:

*1 – (Kaby Lake U/Y, U23e, H/S/X) Symptom: Intermittent system hang during system sleep (S3) cycling. If you have already applied the firmware update and experience hangs during sleep/wake, please flash back to the previous BIOS/UEFI level, or disable sleep (S3) mode on your system; and then apply the improved update when it becomes available. If you have not already applied the update, please wait until the improved firmware level is available.

*2 – (Broadwell E) Symptom: Intermittent blue screen during system restart. If you have already applied the update, Intel suggests continuing to use the firmware level until an improved one is available. If you have not applied the update, please wait until the improved firmware level is available.

*3 – (Broadwell E, H, U/Y; Haswell standard, Core Extreme, ULT) Symptom: Intel has received reports of unexpected page faults, which they are currently investigating. Out of an abundance of caution, Intel requested Lenovo to stop distributing this firmware.

 

[Helios]

@harpo


Stimmt. Habe es eben getestet und bringt zumindest auf meinem W520 (Intel i7-2860HQ) gar nichts. Lücke eben noch stets vorhanden.

Das einzig Gescheite wäre nun mal ein aktualisiertes BIOS.

 

[schdrag]

In dem Download sind auch alte Microcodes enthalten, weil nicht alle ein Update erhalten haben, das Microcode-Paket für Linux aber dennoch vollständig sein muss. Hier der Auszug der Releasenotes, der die upgedateten Microcodes angibt:

Danke für den Hinweis.

 

[der_ingo]

Lenovo hat jetzt die wegen von Intel zurückgezogenen Microcode Updates zurückgezogenen Bios-Updates auf https://pcsupport.lenovo.com/us/en/product_security/ps500151 aufgeführt.

Und das Problem taucht nicht nur theoretisch, sondern auch praktisch auf. Das T540p hier lief bisher immer völlig stabil. Ich hab noch nie einen BSOD darauf gesehen. Seit BIOS 2.30 mit dem Microcode Update schon zwei BSODs in zwei Tagen bei normaler Nutzung.
Hab dann heute wieder zurück geflasht. So wird das nichts, Intel! :-(

 

[deckel]

pragmatische, von Betriebssystemupdates und Microcodeaktualisierungen unabhängige Lösung: Vor und vor allem nach der Benutzung von Programmen mit "Passwort-Eingabe" (Email-Programm, Online-Bestellungen per Browser usw.) PC neu starten. Dann sind keine sensiblen Daten mehr da, welche auslesbar wären ... ;-)

Wenigstens ne Ausrede mich nicht mit Full Disk Encryption beschäftigen zu müssen und auch viele Onlinedienste kann ich mir dann sparen

 

[mcb]

Und das Problem taucht nicht nur theoretisch, sondern auch praktisch auf. Das T540p hier lief bisher immer völlig stabil. Ich hab noch nie einen BSOD darauf gesehen. Seit BIOS 2.30 mit dem Microcode Update schon zwei BSODs in zwei Tagen bei normaler Nutzung.
Hab dann heute wieder zurück geflasht. So wird das nichts, Intel! :-(

Moin auf meinem T440s

half gegen die Bluescreens den Patch per registry auszuschalten.

Jetzt teste ich folgende settings:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 1 /f

Quelle:
https://forums.lenovo.com/t5/ThinkPad-T400-T500-and-newer-T/KB4056892-multiple-problems-on-T440s/m-p/3938695#M121761


Wie kontaktiert man eigentlich Lenovo und MS, um solche Fehler zu melden?

Edit sieht dann so aus:
c:\tools>powershell "Get-SpeculationControlSettings"
Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: False
Windows OS support for branch target injection mitigation is disabled by system policy: True
Windows OS support for branch target injection mitigation is disabled by absence of hardware support: False

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID optimization is enabled: True


BTIHardwarePresent : True
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : False
BTIDisabledBySystemPolicy : True
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : True

Gruß

 

[JohnD]

Ich hab hier 16 t440s im Betrieb und seit ein paar Tagen stehen die Mitarbeiter bei mir Schlange weil die Dinger ständig mit Bluescreens Abschmieren.

Testen die bei Lenovo / MS eigentlich Updates bevor die die raushauen?
Das hat uns die letzten Tage so viel Geld gekostet, dass ich große Lust hätte das von irgendwem einzuklagen.

 

[der_ingo]

Wie kontaktiert man eigentlich Lenovo und MS, um solche Fehler zu melden?

Lenovo weiß es, deswegen weisen sie ja auf ihrer Webseite schon drauf hin. Die entsprechenden BIOS Updates wurden von Lenovo ja auch zurückgezogen. Und Microsoft hat nichts damit zu tun, wenn Intel neue Microcodes rausbringt, die dann Bluescreens verursachen.

- - - Beitrag zusammengeführt - - -

Testen die bei Lenovo / MS eigentlich Updates bevor die die raushauen?
Das hat uns die letzten Tage so viel Geld gekostet, dass ich große Lust hätte das von irgendwem einzuklagen.

Auch hier interessant, dass der Zorn wieder nicht gegen denjenigen geht, der das Problem verursacht. Intel hat das Problem verursacht. Intel hat versucht, es mit Microcode Updates zu stopfen, die noch mehr Probleme verursachen.
Wenn, dann verklag also Intel oder frag Intel, ob die ihre Microcode Updates nicht testen.

 

[moronoxyd]

Auch hier interessant, dass der Zorn wieder nicht gegen denjenigen geht, der das Problem verursacht. Intel hat das Problem verursacht. Intel hat versucht, es mit Microcode Updates zu stopfen, die noch mehr Probleme verursachen.
Wenn, dann verklag also Intel oder frag Intel, ob die ihre Microcode Updates nicht testen.

Naja, die Kritik an Lenovo ist schon berechtigt. Lenovo sollte BIOS-Updates schon ordentlich testen, und sich nicht darauf verlassen, daß Intel schon saubere Daten liefert.
Jedes Glied in der Kette sollte sorgsam arbeiten.

 

[der_ingo]

Sicher, aber in den Posts wurden Microsoft und Lenovo genannt. Ausschließlich. Als hätten die die ganze Problematik verursacht. Und das ist Unsinn, denn die können nun gerade gar nichts dafür.
Die tatsächlichen Probleme mit den Microcode Updates tauchen ja wohl auch erst auf, seitdem die Software gefixt ist. Insofern ist die Frage, wie viel Lenovo dort selber hätte vorher testen können. Dass die Updates schnell an den Nutzer raus mussten, dürfte wohl niemand anzweifeln.

 

[Megalodon]

Die Kennzeichnung für die Prozessor-Generationen dürften ja selbsterklärend sein. IVT steht für Ivytown (früherer Name für bestimmte Ivy Bridge Xeons) und ist die älteste in dem Release enthaltenen Generation, die Updates gegen die Lücken erhalten hat.

Mal eine Frage dazu:
Wenn ich den ganzen Kram richtig interpretiere, gibt Intel Microcode updates nur für die CPUs, die jünger als 2013 sind, für "normal User" Interessant dürfte das also ab Haswell sein, weil Ivy ja noch 2012 vom Band lief und nicht unter die von Intel aufgeführte Bezeichnung fällt: IVT C0 (06-3e-04:ed) 428->42a" (halt abgesehen von Ivy Brige Xeon etc.)

Aber was für ein Nutzen hat dann das Biosupdate, welches Lenovo für die *30 Generation bereit stellt?
Ist das Update dann nur gegen Meltdown, oder hat das auch noch einen anderen Nutzen (auf Spectra und Meltdown beziehend)?

Und mal noch andere Frage, für wie relevant haltet ihr die Lücke?
Denn eigentlich heißt dass ja, für die CPUs, wo die Lücke nicht geschlossen wird (älter als 2013) am besten nicht mehr mit ins Internet zu gehen
Oder ist es jetzt noch zu früh, eine solche Frage zu stellen, weil zur Zeit noch alle wie ein aufgescheuchter Hühnerhaufen umherrennen?

 

[mcb]

Lenovo weiß es, deswegen weisen sie ja auf ihrer Webseite schon drauf hin. Die entsprechenden BIOS Updates wurden von Lenovo ja auch zurückgezogen. Und Microsoft hat nichts damit zu tun, wenn Intel neue Microcodes rausbringt, die dann Bluescreens verursachen.

- - - Beitrag zusammengeführt - - -


Auch hier interessant, dass der Zorn wieder nicht gegen denjenigen geht, der das Problem verursacht. Intel hat das Problem verursacht. Intel hat versucht, es mit Microcode Updates zu stopfen, die noch mehr Probleme verursachen.
Wenn, dann verklag also Intel oder frag Intel, ob die ihre Microcode Updates nicht testen.

Ja Lenovo hat das Biosupdate für das T440(s) aber noch nicht zurückgezogen - würde das denen gerne nochmal mitteilen....
Konnte auch nur eine Biosversion downgraden und habe jetzt erstmal nur einen der Fixes aktiviert. Fürs Tagelange testen fehlen mir die Nerven.
Ob nun der Biospatch, der Windowspatch oder ev. auch beide die Bluescreens verursachen kann ich beim besten willen nicht beurteilen.

Hier mal das ergebnis eines älteren Desktops mit 32bit Windows 1703 mit allen Updates:

Microsoft Windows [Version 10.0.15063]
(c) 2017 Microsoft Corporation. Alle Rechte vorbehalten.

C:\Users\xxx\Downloads>SpecuCheck.exe
SpecuCheck v1.0.4 -- Copyright(c) 2018 Alex Ionescu
https://ionescu007.github.io/SpecuCheck/ -- @aionescu
-------------------------------------------------------

Mitigations for CVE-2017-5754 [rogue data cache load]
-------------------------------------------------------
[-] Kernel VA Shadowing Enabled: no
+---> with User Pages Marked Global: no
+---> with PCID Flushing Optimization (INVPCID): no

Mitigations for CVE-2017-5715 [branch target injection]
-------------------------------------------------------
[-] Branch Prediction Mitigations Enabled: no
+---> Disabled due to System Policy (Registry): no
+---> Disabled due to Lack of Microcode Update: yes
[-] CPU Microcode Supports SPEC_CTRL MSR (048h): no
+---> Windows will use IBRS (01h): no
+---> Windows will use STIPB (02h): no
[-] CPU Microcode Supports PRED_CMD MSR (049h): no
+---> Windows will use IBPB (01h): no

Auch nicht schlecht da hat MS echt ganze Arbeit geleistet und zusätzlich gut informiert :thumbup: Ist ein Core2Duo.

Auf einem R500 mit 64bit Windows (auch Core2Duo) ist CVE-2017-5754 Softwareseitig gepatcht ...

Naja ein riesen Durcheinander.

- - - Beitrag zusammengeführt - - -

Sicher, aber in den Posts wurden Microsoft und Lenovo genannt. Ausschließlich. Als hätten die die ganze Problematik verursacht. Und das ist Unsinn, denn die können nun gerade gar nichts dafür.
Die tatsächlichen Probleme mit den Microcode Updates tauchen ja wohl auch erst auf, seitdem die Software gefixt ist. Insofern ist die Frage, wie viel Lenovo dort selber hätte vorher testen können. Dass die Updates schnell an den Nutzer raus mussten, dürfte wohl niemand anzweifeln.

Ja das stimmt natürlich auch. Bekleckern sich aber alle nicht mit Ruhm (intern wurde angeblich 6 Monate getestet)

Läuft den dein 540er mit dem älteren Bios und Windowsupdate stabil ?


- - - Beitrag zusammengeführt - - -

- - - Beitrag zusammengeführt - - -

Ich hab hier 16 t440s im Betrieb und seit ein paar Tagen stehen die Mitarbeiter bei mir Schlange weil die Dinger ständig mit Bluescreens Abschmieren.

....

Welche Biosversion würde mich mal interessieren, dann könnte man mal vergleichen.

Schönes WE an alle

 

[schdrag]

Aber was für ein Nutzen hat dann das Biosupdate, welches Lenovo für die *30 Generation bereit stellt?

Das frage ich mich auch, wenn es kein microcode update z.B. für sandy-bridge gibt.

Und mal noch andere Frage, für wie relevant haltet ihr die Lücke?
Denn eigentlich heißt dass ja, für die CPUs, wo die Lücke nicht geschlossen wird (älter als 2013) am besten nicht mehr mit ins Internet zu gehen

Die größte Gefahr ist im Moment ein Spektre Angriff über den Browser (Javascript)

-> browser updaten und java-Blocker einsetzen. Und noch vorsichtiger dabei sein, links anzuklicken.
Oder nur mit dem pi in's Internet...

 

[harpo]

Wenn ich den ganzen Kram richtig interpretiere, gibt Intel Microcode updates nur für die CPUs, die jünger als 2013 sind, für "normal User" Interessant dürfte das also ab Haswell sein, weil Ivy ja noch 2012 vom Band lief und nicht unter die von Intel aufgeführte Bezeichnung fällt: IVT C0 (06-3e-04:ed) 428->42a" (halt abgesehen von Ivy Brige Xeon etc.)

Dass IVT für Ivytown stehen soll habe ich in einem anderen Forum gelesen, vorher hatte ich auch noch nie davon gehört. Vielleicht steht diese Kennung ja Intel-intern doch für die gesamte Ivy-Familie, weil sie in der Entwicklung ursprünglich mal so geheißen haben könnte? Keine Ahnung...
Und dass in dem Release keine Updates für ältere Modelle enthalten sind, muss ja nicht zwangsweise heißen, dass da definitiv keine mehr kommen werden. Also ich denke, wenn Lenovo BIOS-Updates für die Ivy-Bridge-Generation in Aussicht stellt, sollte man zumindest auch für diese solche erwarten können. Ich kann mir kaum vorstellen, dass damit andere Lösungen als Microcode-Updates gemeint sind.

Oder ist es jetzt noch zu früh, eine solche Frage zu stellen, weil zur Zeit noch alle wie ein aufgescheuchter Hühnerhaufen umherrennen?

Ich denke, damit triffst Du den Nagel auf den Kopf. Es kursieren zig Aussagen und Meinungen dazu im Netz und anderen Medien, von ziemlicher Relativierung bis zu Ansichten, dass es sich um die schlimmste sicherheitstechnische Katastrophe seit Erfindung des Computers handelt. Was es in der Realität tatsächlich bedeutet, bleibt wohl erstmal abzuwarten.

 

[JETfritz]

Hier mal die Auswirkungen:

ThinkPad Yoga 370 Windows 10 Version 1709 mit Biosupdate R0HET42W (wurde von Lenovo wieder zurückgezogen) läuft aber bei mir aber ohne Probleme.
Hier mal die Auswirkungen vom Windows Update KB4056892 auf die SSD.SAMSUNG MZVLW512HMJP-000L7.
Seq: Lesen- und Schreiben einer 1GB großen Datei lesen: 96,9% schreiben: 93,3%
4K: zufällige Lese- und Schreibleistung von 4K großen Blöcken lesen: 78,8% schreiben: 64,2%
4K-64Thrd siehe (2) nur werden die Vorgänge auf 64 Prozessorthreads verteilt lesen: 89% schreiben: 79,1%
Zugriffszeit: Test der Zugriffszeit beim Lesen bzw. Schreiben lesen: 135,6% schreiben:171,8%

Browser (Opera 50) und CPU (Intel(R) Core(TM) i5-7200U CPU @ 2.50GHz) sind nun sicher, aber.den Geschwindigkeitsverlust merkt man.

siehe Bilder:

 

[s-g]

-> browser updaten und java-Blocker einsetzen. Und noch vorsichtiger dabei sein, links anzuklicken.

Also eigentlich alles wie immer .

Hier mal die Auswirkungen:

Fällt das im Alltag auf?

 

[JETfritz]

Fällt das im Alltag auf?

Bei Datenbankanwendungen z.B. Dokumenten Management (Eco-DMS), bei großen PDF-Dateien (laden; betrachten; bearbeiten) ist der Geschwindigkeitsverlust zu spüren.