Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

WENN die Sandy Bridge Thinkpads Bios Updates bekommen, hoffe ich doch sehr, dass die Modder sich dieser wieder annehmen werden.
 
Wird der Microcode nicht persisent geupdated? Dachte der wird bei einem Downgrade des Bios nicht wieder mit der alten Microcode Version überschrieben?!

Gruß
Cyrix
 
Wird der Microcode nicht persisent geupdated? Dachte der wird bei einem Downgrade des Bios nicht wieder mit der alten Microcode Version überschrieben?!

Ja, anscheinend geht das nicht so einfach. Aber wie Intel in dem von Helios verlinkten Dokument schreibt, arbeiten sie mit ihren OEM-Partnern wohl an einer Lösung, eben doch das zu realisieren. Als Systemstabilitäts-fördernde Zwischenlösung bis zum Erscheinen neuer, fehlerbereinigter Microcodes.
 
"Noch größeres Chaos bei den Sicherheitslücken in Intel-Prozessoren: Weil Updates im manchen Fällen Probleme verursachen, rät Intel von der Installation ab; unter anderem HPE, Ubuntu, Red Hat und VMware ziehen Updates zurück. "

Jep, sehr kurios: Ubuntu hat gestern das Microcode-Update in seinen Reops ersetzt bzw. wieder auf die Vorgängerversion "upgedatet". Wenige Stunden danach haben sie die neuen Kernel in den offiziellen Repos veröffentlicht, die eigentlich mit Hilfe der kurz zuvor zurück gezogenen Microcodes endlich die Spectre-Lücken angehen sollten! :D

Ich hab den neuen (also eigentlich zurück gezogenen) Microcode erst mal behalten, da ich bisher keine Probleme unter Linux feststellen konnte, auch nicht mit dem neuen Kernel.

Nachtrag: Übrigens ist das anscheinend so problematische Microcode-Paket von Intel auf deren Seite immer noch als aktuelle Version downloadbar.
 
Zuletzt bearbeitet:
Auch interessant:

Spectre: Intels zukünftige CPUs sind nur optional sicher

Von Intel eingereichte Linux-Patches legen nahe, dass zukünftige CPUs nur optional gegen Spectre gesichert sind. Linus Torvalds bringt das auf die Palme. Er wirft dem Konzern vor, den Ernst der Lage zu verkennen. Der Konzern versuche seine Fehler mit Patches voller „Müll“ zu verschleiern statt an einer Lösung zu arbeiten.
Der komplette Artikel findet sich auf ComputerBase.de - Spectre: Intels zukünftige CPUs sind nur optional sicher
 
Wird der Microcode nicht persisent geupdated? Dachte der wird bei einem Downgrade des Bios nicht wieder mit der alten Microcode Version überschrieben?!
Das Microcode Update (bei Intel) wird vom BIOS auf die CPU geladen und ist dann aktiv bis der PC neu gestartet oder abgeschalten wird. So ist der Microcode Stand also direkt abhängig vom BIOS. Bei Linux kann der Microcode vor dem Kernelstart aus einer Datei geladen werden.
 
Das Microcode Update (bei Intel) wird vom BIOS auf die CPU geladen und ist dann aktiv bis der PC neu gestartet oder abgeschalten wird.

Die Frage bezog sich eher auf die diversen hier zuvor geäußerten und auch im Netz (auch bei Lenovo und implizit Intel) zu lesenden Aussagen, dass bei einem Rollback auf eine frühere BIOS-Version der Microcode gerade NICHT ebenso auf eine frühere Version zurück gerollt werden würde, sondern bei der zuletzt geupdateten bleibt.

Allerdings habe ich mich auch schon gefragt, warum dies so ist, da es sich dabei im Grunde nur um einfachen Text-Code handelt, der im UEFI/BIOS hinterlegt wird und dann wie von TheGrey beschrieben beim Start des PC geladen wird. Vielleicht ist das ein abgetrennter Bereich im UEFI/BIOS, der einer anderen Update-Routine unterliegt und immer nur die neueste Version zulässt... Aber selbst dann sollte dies recht einfach mit einem BIOS-Update zu beheben lassen, welches die alte Microcodeversion, nur mit einem neueren Datum versehen enthält.
 
Zuletzt bearbeitet:
Die Frage bezog sich eher auf die diversen hier zuvor geäußerten und auch im Netz (auch bei Lenovo und implizit Intel) zu lesenden Aussagen, dass bei einem Rollback auf eine frühere BIOS-Version der Microcode gerade NICHT ebenso auf eine frühere Version zurück gerollt werden würde, sondern bei der zuletzt geupdateten bleibt.

Allerdings habe ich mich auch schon gefragt, warum dies so ist, da es sich dabei im Grunde nur um einfachen Text-Code handelt, der im UEFI/BIOS hinterlegt wird und dann wie von TheGrey beschrieben beim Start des PC geladen wird. Vielleicht ist das ein abgetrennter Bereich im UEFI/BIOS, der einer anderen Update-Routine unterliegt und immer nur die neueste Version zulässt... Aber selbst dann sollte dies recht einfach mit einem BIOS-Update zu beheben lassen, welches die alte Microcodeversion, nur mit einem neueren Datum versehen enthält.

Das ist auch mein Kenntnisstand, Intel will jetzt updates veröffentlichen, die eben diesen Rollback des Microcodes ermöglichen.

Ob da für Thinkpads was kommt ist natürlich fraglich (Bios fürs temporäre downgrade).

Beim T440 bringt das downgrade auf die ältere Biosversion definitiv nichts.
 
Zuletzt bearbeitet:
Beim T440 bringt das downgrade auf die ältere Biosversion definitiv nichts.

Wäre mal interessant, ob es wirklich so ist bezügl. Microcode. Könnte evtl. mal jemand die Microcode-Version seines Rechners auslesen nach einem BIOS-Rolback? Natürlich nur, wenn er bereits zuvor eines der jetzt zurückgezogenen eingespielt hatte. Auslesen kann man diese recht einfach z.B. mit einem Tool wie HWInfo. Gibt es auch als Portable, die nicht installiert werden muss.

Ich kann das leider nicht testen, da Lenovo beim BIOS-Update für meinen Rechner das Einpflegen des neuen Microcodes verbockt hatte und ich merkwürdigerweise nicht auf die letzte BIOS-Version vor dem letzten Microcode-Update Mitte letzten Jahres zurück rollen kann. Laut Changelog gab es danach keine Security-Fix-bedingte Rollback-Sperre, geht aber trotzdem nicht...

Edit: Gerade nochmal geschaut, laut Changelog doch ein Rollback-verhindernder Security-Fix nach dem letzten MCU. Hatte es bloß übersehen, weil der sonst immer dabei stehende Hinweis fehlt.
 
Zuletzt bearbeitet:
Ich wollte damit nur zum Ausdruck bringen, dass ein neues MOD-Bios mit Advanced Menu nicht erforderlich ist, wenn dem so ist und ein Bios-Downgrade den neueren Microcode nicht wieder überschreibt. Zudem wäre am Ende ein erneuter Bios-MOD unnötig, wenn die einzige Änderung beim Bios-Update der Microcode ist...

Grüße
Cyrix
 
Wäre mal interessant, ob es wirklich so ist bezügl. Microcode. Könnte evtl. mal jemand die Microcode-Version seines Rechners auslesen nach einem BIOS-Rolback? Natürlich nur, wenn er bereits zuvor eines der jetzt zurückgezogenen eingespielt hatte. Auslesen kann man diese recht einfach z.B. mit einem Tool wie HWInfo. Gibt es auch als Portable, die nicht installiert werden muss.

Ich kann das leider nicht testen, da Lenovo beim BIOS-Update für meinen Rechner das Einpflegen des neuen Microcodes verbockt hatte und ich merkwürdigerweise nicht auf die letzte BIOS-Version vor dem letzten Microcode-Update Mitte letzten Jahres zurück rollen kann. Laut Changelog gab es danach keine Security-Fix-bedingte Rollback-Sperre, geht aber trotzdem nicht...

Edit: Gerade nochmal geschaut, laut Changelog doch ein Rollback-verhindernder Security-Fix nach dem letzten MCU. Hatte es bloß übersehen, weil der sonst immer dabei stehende Hinweis fehlt.

Mein T440s Intel Core i5-4210U / Haswell ULT - Microcode Update rev. 21

Bios 2.46
zurück auf 2.44
ebenfalls Intel Core i5-4210U / Haswell ULT - Microcode Update rev. 21

Entweder war der Microcode schon im 2.44 Bios oder der bleibt ...

https://thinkpad-forum.de/threads/2...s-notwendig)?p=2129015&viewfull=1#post2129015

- - - Beitrag zusammengeführt - - -

CHANGES IN THIS RELEASE
Version 2.44

[Important updates]
- Update includes a security fix.
(Note)
If the UEFI BIOS has been updated to version 2.44 or higher, it is no longer
able to roll back
to the version before 2.44 for security improvement.

https://download.lenovo.com/pccbbs/mobiles/gjuj31us.txt

CHANGES IN THIS RELEASE
Version 2.46

[Important updates]
- Update includes a security fix.
- Enhancement to address CVE-2017-5715.

https://download.lenovo.com/pccbbs/mobiles/gjuj32us.txt
 
@mcb: Besten Dank!:thumbup:

Entweder war der Microcode schon im 2.44 Bios oder der bleibt ...

Nein, 21 ist der neue Code aus dem Spectre-Update. Auszug aus den Releas Notes des Intel-Pakets für Linux:
HSW-ULT Cx/Dx (06-45-01:72) 20->21

Auch aus dem Update Guidance von Intel ersichtlich. Alte Version vor dem Update war 20. Ist also tatsächlich so, dass ein BIOS-Rollback nicht auch den Microcode zurück rollt.
 
Sard Verbinnen & Co: Intel heuert Krisenmanager für Spectre/Meltdown an

Die Sicherheitslücken Meltdown und Spectre und der daraus resultierenden Fallout haben Intel fest im Griff. Doch allein sieht sich Intel offensichtlich nicht mehr Herr der Lage werden. Berichte besagen, dass der Chipriese dafür jetzt eine der renommiertesten Firmen mit dem Krisenmanagement betraut hat: Sard Verbinnen & Co.

Intel wird der Lage nicht Herr

Nicht nur der Kleinkrieg mit Linux-Chefentwickler Linus Torwalds stößt das Unternehmen immer tiefer in negative Schlagzeilen, sondern auch die eigene Handhabung der Probleme. So gibt es beispielsweise auch weiterhin keine klare Aussage dazu, welche Prozessor-Generationen letztendlich von Intel mit neuem Microcode versorgt werden.
Der komplette Artikel findet sich auf ComputerBase.de - Sard Verbinnen & Co: Intel heuert Krisenmanager für Spectre/Meltdown an

- - - Beitrag zusammengeführt - - -

Sicherheitslücke Spectre: Intel empfiehlt OEMs die ersten Updates einzustellen

Nach Dell haben jetzt auch HP und Lenovo alle bereits veröffentlichten BIOS- und Firmware-Updates mit Gegenmaßnahmen gegen die Sicherheitslücke Spectre zurückgezogen. Sie verweisen auf Intel. In der aktuellsten Variante der Microcode Revision Guidance bestätigt Intel diese Empfehlung und gleichzeitig Updates für Sandy Bridge.
Der komplette Artikel findet sich auf ComputerBase.de - Sicherheitslücke Spectre: Intel empfiehlt OEMs die ersten Updates einzustellen
 
Zuletzt bearbeitet:
Neuigkeiten:

"Intel has changed their guidance for customers who have already deployed these microcode updates: If you are not experiencing system stability difficulties, you may decide to remain on the BIOS/UEFI level you have installed currently. For others, Lenovo is currently working with Intel to make available BIOS/UEFI updates to revert to an earlier, known stable microcode level."

https://support.lenovo.com/de/en/solutions/len-18282

Hoffe das bekommen die schnell auf die Reihe ...
 
Habe gerade mal geschaut: Nachdem ich letzte Woche noch das BIOS-Update in der Version A19 für mein Arbeitslaptop (Dell Latitude E5440) eingespielt habe (Stand: Anfang Januar 2018), findet man in den Downloads nun nur noch Version A18 vom Mai 2017. Mal schauen, ob sie auch noch eine Version A20 mit zurückgerolltem Microcode rausbringen, oder A20 mit dann irgendwann aktuellem Microcode. Oder ob es noch eine Empfehlung geben wird, auf A18 downzugraden.
Aktuell habe ich weiterhin A19 drauf und bisher keinerlei Stabilitätsprobleme, daher lasse ich sie erstmal so. Allerdings läuft die Kiste gefühlt wirklich langsamer als vor den BIOS- und System-Updates. Andererseits kann das auch Einbildung sein, dank i3-4010U mit 2x1,7 GHz (und keinem Turbo) war sie noch nie wirklich schnell... Benchmarks habe ich keine durchgeführt.
 
Habe gerade mal geschaut: Nachdem ich letzte Woche noch das BIOS-Update in der Version A19 für mein Arbeitslaptop (Dell Latitude E5440) eingespielt habe (Stand: Anfang Januar 2018), findet man in den Downloads nun nur noch Version A18 vom Mai 2017. Mal schauen, ob sie auch noch eine Version A20 mit zurückgerolltem Microcode rausbringen, oder A20 mit dann irgendwann aktuellem Microcode. Oder ob es noch eine Empfehlung geben wird, auf A18 downzugraden.
Aktuell habe ich weiterhin A19 drauf und bisher keinerlei Stabilitätsprobleme, daher lasse ich sie erstmal so. Allerdings läuft die Kiste gefühlt wirklich langsamer als vor den BIOS- und System-Updates. Andererseits kann das auch Einbildung sein, dank i3-4010U mit 2x1,7 GHz (und keinem Turbo) war sie noch nie wirklich schnell... Benchmarks habe ich keine durchgeführt.

Ja mit Geekbench kann man schön testen ;-)

REM CVE-2017-5754 [rogue data cache load] only
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 1 /f

REM CVE-2017-5754 [rogue data cache load] & CVE-2017-5715 [branch target injection]
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f

Dein Grfühl täuscht dich überings nicht:

T440:
einmal beide Patches & nur Meltdown wenn ich mich richtig erinnere ...
https://browser.geekbench.com/v4/cpu/compare/6401998?baseline=6430734
 
  • ok1.de
  • ok2.de
  • thinkstore24.de
  • Preiswerte-IT - Gebrauchte Lenovo Notebooks kaufen

Werbung

Zurück
Oben