Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

[bender79]

Hallo,

da rollt vermutlich schon das nächste Intel Überraschungspaket (nach den ganzen Management Engine vulnerabilities) an:

https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/

Bleibt spannend!
grüße


//edit moronoxyd: Titel noch weiter angepasst. Betrifft nicht nur Intel.

 

[Harry_W]

Lenovo hat vor zwei Tagen alle Sandy-Bridge-Modelle wieder von der Liste genommen.

Ist ja nicht so, dass ich mir letztes Jahr 6 Stück davon zugelegt hätte, neue Original Akkus dafür gekauft hätte, sie alle (bis auf das X220) auf Quadcores aufgerüstet und mit 16GB RAM bestückt hätte. Nur um sie jetzt auf den Müll zu werfen, weil Lenovo es wohl doch nicht für nötig hält, EOL Geräte mit kritischen Sicherheitslücken zu patchen. Knapp 2000 EUR für ein sehr kurzes Vergnügen ...
Wenn Lenovo einfach mehr Zeit dafür benötigt, weil neuere Geräte Priorität haben - fein. Damit kann ich leben. Wenn es aber dabei bleibt, dass es keine Bios Updates für die Sandy Bridge Modelle gibt, waren das nicht nur meine letzten Thinkpads, sondern die letzten Lenovo Produkte überhaupt. Dann werden in Zukunft im Bekanntenkreis eben auch andere Smartphones empfohlen.

 

[harpo]

ich war bei meinem P70 zu schnell und habe vergessen, vor dem Patchen und BIOS Update einen Benchmark laufen zu lassen...

@XStoneX: Was für eine CPU hast Du in Deinem Gerät? Einen i7-HQ oder einen Xeon? Und könntest Du mal bitte die aktuelle Microcode-Version checken? Das geht mit diversen Tools, wie z.B. HWInfo. Oder man kann auch in der Registry nachsehen im Schlüssel:
HKEY_LOCAL_MACHINE\HARDWARE\DESCRIPTION\System\CentralProcessor\0

Dort sollte es Punkte wie "Revision", "Update Revision" oder "Previous Update Revision" geben.

Unter Linux kann man es im Terminal mit dem Befehl dmesg | grep 'microcode' checken.

Die Version nach dem BIOS-Update müsste c2 sein (bzw. 0xc2, je nachdem, wie es angezeigt wird...) Wäre sehr nett!

 

[XStoneX]

Klar Harpo. Mein P70 habe ich auch in der Signatur (Kurzfassung):

P70, Xeon E3-1505 v5, 4K IPS, 2x512 SSD, 32GB, M5000M

Nach dem letzten BIOS Update ist es die Microcodeversion C2:

 

[harpo]

Besten Dank XStoneX! :thumbup:

Mein P70 habe ich auch in der Signatur

Habe ich doch glatt übersehen...

Aber wie es zu erwarten war, da es in der cpumanifest.xml zum Update drinsteht, c2. Also hat es Lenovo beim T460p tatsächlich verpeilt, bis heute übersehen und bietet es dennoch auf der Seite bis dato als Lösung an!

Nachdem ich bereits alle erdenklichen Kanäle probiert habe, um den Fehler zu melden - Lenovo-Forum, Feedback-Funktion der Support-Seite und sogar Eröffnung eines Tickests beim technischen Support, nachdem die ersten beiden nichts brachten, kam von letzterem zurück: "Wir sind hier nur der Hardware-Support (immer noch von IBM) und für BIOS-Reklamationen nicht zuständig. Bitte wenden Sie sich an folgende Adresse:..."

Diese war dann die, die auch bei "Allgemeine Fragen" auf der Supporrtseite steht. Gefolgt war das dann von einer Postadresse in Zagreb(??). Gut, E-Mail geschrieben, das Problem detailliert beschrieben, damit man auch ja versteht, wo der Hase im Pfeffer liegt. Antwort kam dann nach einigen Tagen von Info-Lenovo-DE@medion.com facepalm: "Jaja, Lenovo hat die fehlerhaften Updates zurückgezogen, weiß Bescheid um die Probleme mit den neuen Updates..." :cursing:

Diese Flitzpiepen bei Medion! Entweder waren sie sich zu fein, die Mail überhaupt zu lesen oder haben die Worte zwar gelesen, aber deren Inhalt einfach nicht verarbeitet! Von denen habe ich schon früher schon höchst kompetente Antworten auf meine Anfragen bekommen! Ich habe darauf wieder geantwortet und versucht, verbal ein Bild zu malen, in der Hoffnung, dann eventuell verstanden zu werden...

Das entsprechende Update ist ja eines der wenigen (wie alle Skylake-BIOS-Updates), die eben NICHT zurückgezogen wurden. Mit dem fürs T460p kann es auch gar keine Probleme geben, weil ja erst gar nicht der neue Microcode rein gepackt wurde, der eigentlich das Problem angehen soll, wie es auch in den Releasnotes und auf der Patchseite angepriesen wird, sei es aus Versehen oder aus Schlamperei! Ein schönes Beispiel auch dafür, wie Lenovo seine BIOS-Updates vor veröffentlichung testet, nämlich gar nicht! Noch nicht mal, ob überhaupt die Funktionen, Dateien etc. überhaupt abgeändert werden, wie vorgesehen!

Dabei wäre es für die für die Erstellung des Updates zuständige/n Person/en ein leichtes, diese Angelegenheit zu korrigieren, wahrscheinlich eine Sache von gerade mal 5 Minuten! Das ganze muss ihr/ihnen nur mal verklickert werden. Das scheint aber nicht möglich, weil man von allen Stellen, die man bei Lenovo erreicht, entweder mit Ignoranz oder mit Inkompetenz gestraft wird! :brech:

 

[Trulex]

So, hier mal der Selbstversuch mit meinem P51 (Xeon E3-1505M v6, Samsung SM951 + Samsung PM961 mit je 512 GB):

Ohne Patches:

Anhang anzeigen 137327 Anhang anzeigen 137328

Mit Patches:

Anhang anzeigen 137329 Anhang anzeigen 137330

Ich würde sagen, ein verschmerzbarer Leistungsverlust

Ich habe auch den P51. Hast du die Samsung SM961 oder die PM961?, hier jedenfalls meine Werte mit den Patches. Ich hatte auch mal die Bios Vers. 1.17 (mit Microcode), nachdem dieser zurückgezogen wurde, habe ich jedoch wieder das Bios 1.16 zurückgespielt. Allerdings hatte ich auch einen Test mit AS SSD vor und nach dem Patchen gemacht und da schon einen Unterschied festgestellt, vor allem bei 4K (Score von 3728 nach Patch).

 

[ThinkX]

@Harry_W: Die Frage ist halt, ob Intel die Microcode-Updates für diese Modelle bereitstellen wird oder eben nicht. Falls ja, sollte sich ein anderer Weg finden die Updates einzuspielen. Bedenke bitte, dass die *20-Modelle eine seit längerer Zeit bekannte kritische Lücke in der Intel-ME haben, für die es wohl auch keinen Patch geben wird:

https://www.intel.com/content/www/us.../software.html

Ohne Update von Lenovo wird man das wohl nur mit ME_Cleaner schließen können - eine ziemlich aufwändige Aktion.

 

[moronoxyd]

In diesen Thread geht es um Meltdown/Spectre, nicht um ME-Sicherheitslücken. Bitte nicht den Thread kapern.


da munter weiter über dieses Thema diskutiert wurde, ausgelagert nach: https://thinkpad-forum.de/threads/2...cke-(aus-evtl-Sicherheitslücke-in-Intel-CPUs)

 

[cuco]

Ist ja nicht so, dass ich mir letztes Jahr 6 Stück davon zugelegt hätte, neue Original Akkus dafür gekauft hätte, sie alle (bis auf das X220) auf Quadcores aufgerüstet und mit 16GB RAM bestückt hätte. Nur um sie jetzt auf den Müll zu werfen, weil Lenovo es wohl doch nicht für nötig hält, EOL Geräte mit kritischen Sicherheitslücken zu patchen. Knapp 2000 EUR für ein sehr kurzes Vergnügen ...
Wenn Lenovo einfach mehr Zeit dafür benötigt, weil neuere Geräte Priorität haben - fein. Damit kann ich leben. Wenn es aber dabei bleibt, dass es keine Bios Updates für die Sandy Bridge Modelle gibt, waren das nicht nur meine letzten Thinkpads, sondern die letzten Lenovo Produkte überhaupt. Dann werden in Zukunft im Bekanntenkreis eben auch andere Smartphones empfohlen.

Und Lenovo soll jetzt Updates ausrollen weil du gerade 6 Geräte gekauft hast?

Ich habe gerade 15 Geräte mit Core2 hier. Die sind noch nicht mal in Betrieb genommen. Soll der Hersteller da jetzt auch Updates rausgeben?
Wenn man EOL-Geräte kauft, sind die eben EOL. Bei einem solchen GAU hat man dann Pech gehabt, dafür waren die Geräte deutlich günstiger als Geräte mit Support. Abgesehen davon hat Lenovo halt keine Microcode-Updates für Sandy Bridge veröffentlicht. Da kann Lenovo dann auch kein Update ausrollen, selbst wenn sie wollen. Bei den anderen Herstellern dürfte das nicht anders aussehen.
Und selbst wenn sandy bridge nun noch Updates bekommt - was ist mit der Vorgängergerneration? Warum die nicht mehr? Die ist schließlich auch betroffen. Irgendwo muss man einen Schlussstrich ziehen. Und der wird bei EOL gezogen. Auch, weil Intel den ebenfalls dort gezogen hat.
Ich würde mich auch freuen wenn noch Generationen bis mind Core2 oder Core Updates bekommen würden, weil auch das noch alltagstaugliche Rechner sind und weil ich aktuell ca. 15 Server mit Core2Quad-Xeons betreibe und nochmal 15 mit Dual-Core2Quad-Xeons liegen habe. Aber lässt sich aktuell nicht ändern und hat auch wenig mit Lenovo zu tun.

 

[Harry_W]

Und Lenovo soll jetzt Updates ausrollen weil du gerade 6 Geräte gekauft hast?

Nein, weil es hier um eine der größten Sicherheitslücken geht, die bisher bekannt geworden ist.

Ich habe gerade 15 Geräte mit Core2 hier. Die sind noch nicht mal in Betrieb genommen. Soll der Hersteller da jetzt auch Updates rausgeben?

Wenn Intel dafür gefixten Code zur Verfügung stellen sollte, ja. Ich habe noch weitere betroffene, ältere Hardware und werde genau darauf achten, welche Hersteller in nächster Zeit Fixes (von Intel) für ältere Hardware anbieten. Das wird zukünftige Kaufentscheidungen eindeutig beeinflussen. Dass ich dabei auch ein ganz besonderes Auge auf Intel selbst werfe, versteht sich von selbst.

Wenn man EOL-Geräte kauft, sind die eben EOL. Bei einem solchen GAU hat man dann Pech gehabt, dafür waren die Geräte deutlich günstiger als Geräte mit Support.

Und genau bei solchen Geräten trennt sich die Spreu vom Weizen, was die Hersteller betrifft. Letztes Jahr hat Lenovo mich positiv überrascht, als sie beim Intel ME Problem für die Sandy Bridge Thinkpads Updates ausgerollt haben. Den Bonus verkacken sie jetzt gerade, falls es dabei bleiben sollte, dass die Sandy Bridge Modelle keine Updates mehr bekommen.

Abgesehen davon hat Lenovo halt keine Microcode-Updates für Sandy Bridge veröffentlicht. Da kann Lenovo dann auch kein Update ausrollen, selbst wenn sie wollen. Bei den anderen Herstellern dürfte das nicht anders aussehen.

Absolut richtig. In dem Fall kann Lenovo nichts dafür und natürlich wird das meine zukünftigen Kaufentscheidungen bei CPUs beeinflussen.

Und selbst wenn sandy bridge nun noch Updates bekommt - was ist mit der Vorgängergerneration? Warum die nicht mehr? Die ist schließlich auch betroffen. Irgendwo muss man einen Schlussstrich ziehen. Und der wird bei EOL gezogen. Auch, weil Intel den ebenfalls dort gezogen hat.

Es gibt Aussagen von Intel, dass auch Prozessoren vor Gen. 4 zukünftig Updates bekommen könnten, wenn genug "Nachfrage" besteht. Wenn die Serien bis Gen. 4 gefixed sind, wird man weiter sehen. Fakt ist aber, dass gerade Hardware Hersteller wie Lenovo genau diejenigen sind, die die erwähnte "Nachfrage" bei Intel mit Nachdruck kommunizieren könnten. Tausende eMails von wütenden Endkunden würden sicher weit weniger Eindruck hinterlassen als eine Nachricht vom CEO eines Großkunden wie Lenovo.
Sollte Intel Code für Sandy Bridge (und gerne auch ältere) Prozessoren anbieten, wird sich zeigen, welche Hersteller daraus Updates "basteln". Und die stehen eben zukünftig auf meiner Liste ganz oben, wenn der Kauf neuer (oder auch gebrauchter) Hardware ansteht. Wie schon erwähnt hatte Lenovo sich bei der ME Geschichte meinen Respekt verdient und ich habe die Marke (nicht erst seitdem) im Bekanntenkreis gerne empfohlen. Sollte Lenovo trotz Microcode seitens Intel tatsächlich keine Updates mehr anbieten, wird sich das ändern.

Ich würde mich auch freuen wenn noch Generationen bis mind Core2 oder Core Updates bekommen würden, weil auch das noch alltagstaugliche Rechner sind und weil ich aktuell ca. 15 Server mit Core2Quad-Xeons betreibe und nochmal 15 mit Dual-Core2Quad-Xeons liegen habe. Aber lässt sich aktuell nicht ändern und hat auch wenig mit Lenovo zu tun.

Ich würde auch nur ungern mein T400 ausmustern und es laufen auch noch diverse ältere Rechner hier. Und wie schon erwähnt ist jetzt erst einmal Intel am Zug. Aber wenn sie Fixes bringen, wird es spannend, welche Hersteller sie für EOL Produkte für Updates nutzen und welche nicht.

 

[Volvo-Berti]

kann mir das hier mit dem TBD jemand übersetzen?

• Product: ThinkPad X220, X220i, X220 Tablet
• Machine Types:
• Firmware/BIOS/UEFI
• Minimum Fix Version: Target availability TBD
• Firmware/BIOS/UEFI:
• Status Last Updated: 1/21/2018
• NVIDIA Driver Minimum Fix Version:
• NVIDIA Driver Status Last Updated:

kommt da nun noch was oder nicht? *rätsel*

 

[Helios]

kann mir das hier mit dem TBD jemand übersetzen?

TBD heisst "to be determined", also ist noch offen und wird erst noch entschieden.

 

[harpo]

TBD heisst "to be determined", also ist noch offen und wird erst noch entschieden.

Nur, dass es keine Missverständnisse gibt: Der genaue Termin ist noch offen und wird später bekannt gegeben, dass etwas kommt, ist sicher. Dass Lenovo sich gerade bei den Nvidia-Treibern so Zeit lässt, ist eigenartig, hat doch Nvidia selbst bereits die gefixten schon vor über einer Woche bereit gestellt.

Letztes Jahr hat Lenovo mich positiv überrascht, als sie beim Intel ME Problem für die Sandy Bridge Thinkpads Updates ausgerollt haben.

Da waren die auch noch nicht EOL, sondern noch innerhalb des 5-Jahres-Support-Zeitraums. Aber wenn ich mich recht erinnere, gab es damals noch Updates für die xx10er Generation? Da hatte Lenovo tatsächlich noch eine Generation, die bereits EOL war, beglückt. Aber ich denke, Lenovo macht es hier abhängig von dem, was Intel jetzt liefert. Updates für einige xx20er Modelle waren ja bereits angekündigt und erst zurück gezogen, nachdem die Masse der bereits veröffentlichten und problematischen Updates auch wieder zurück gezogen wurde

 

[Helios]

Nur, dass es keine Missverständnisse gibt: Der genaue Termin ist noch offen und wird später bekannt gegeben, dass etwas kommt, ist sicher.

Ja, so ist es. Und gemäss Support-Liste für alle *20-Modelle.

 

[harpo]

Und gemäss Support-Liste für alle *20-Modelle.

Jupp, seit heute stehen die wieder drin!

 

[Derriell]

Es möge jemand so gut sein und den Titel anpassen. Das eventuell kann man streichen und die Behebung per Software ist eine Symptombekämpfung und nicht bei der Ursache (Hardware). Für mich klingt der Titel zu vage und harmlos, für das, was man bereits weiss.

Danke

 

[moronoxyd]

Die Sicherheitslücken (sind ja mehrere) betreffen auch nicht nur Intel-CPUs.

 

[Helios]

Update 22.01.2018 18:58 Uhr

Am Abend hat Intel in einem Update bestätigt, dass die Ursache für den Fehler auf Broadwell- und Haswell-Plattformen gefunden wurde und seit dem Wochenende die ersten Beta-Updates an Partner in der Industrie ausgeliefert werden. Damit soll zeitnah eine finale Lösung möglich gemacht werden. Wann dies allerdings soweit ist, sagt Intel heute noch nicht.

ComputerBase.de - Sicherheitslücke Spectre: Intel bestätigt Reboot-Problem nach BIOS-

Intel Newsroom - Root Cause of Reboot Issue Identified; Updated Guidance for Customers and Partners

- - - Beitrag zusammengeführt - - -

Hmmm... gemäss dem Intel Microcode Revision Guidance wird Sandy Bridge kein Microcode-Update erhalten.

 

[harpo]

Hmmm... gemäss dem Intel Microcode Revision Guidance wird Sandy Bridge kein Microcode-Update erhalten.

Das muss ja noch nichts heißen. In dem Dokument steht ja im Prinzip nur, dass für Ivy Bridge und Sandy Bridge bisher noch keine Microcode-Updates bereit gestellt wurden. Das sagt ja noch nicht, dass es überhaupt keine geben wird.

Auch ist das Dokument recht eigenartig, was die genannten Vorgängerversionen der MCU betrifft, die jetzt vorübergehend wieder verwendet werden sollen. Bei den meisten stehen diese korrekt da, bei einigen wieder nicht. Z.B. lautet die Für Skylake-U und -H nich "BE" sondern "BA" und auch die für Skylake-X müsste eine andere gewesen sein...

 

[Helios]

Ja, da hast du allerdings recht. Und soweit ich weiss, gibt es von Intel für Sandy Bridge ein Beta-MCU, welches derzeit getestet wird.

 

[gaku]

falls für die X220/Tx20/W520 doch noch hoffentlich ein BIOS-Fix rauskommt ... dann "brauch" aber gefühlt die Hälfte von uns hier im Forum dann aber auch ein neues MOD-BIOS auf Basis dieses Fixes (zwecks Highspeed-RAM, White-List, AES-Fix und/und/und ...)

ich drück uns allein einfach mal die Daumen, dass zumindest alles ab Core-i* vollständig mit kompletten BIOS-Fixes versehen wird!!