Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

[bender79]

Hallo,

da rollt vermutlich schon das nächste Intel Überraschungspaket (nach den ganzen Management Engine vulnerabilities) an:

https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/

Bleibt spannend!
grüße


//edit moronoxyd: Titel noch weiter angepasst. Betrifft nicht nur Intel.

 

[Megalodon]

Da Helios mal nach Benchmark-Werten bezüglich der Maßnahme von Google (retpoline) gefragt hatte, habe ich mir mal die Zeit genommen, wegen Prüfungen, komme ich erst heute dazu.

Zum System:
W520 Im Grund Vollausstallung
FHD
2000M
2960XM
32GB RAM, 1600MHz

Da ich das System nicht all zu oft Nutze , aber mit Linux und Win7 parallel, kann ich hier einige vergleichbare Test drauf laufen lassen.
Allerdings habe ich mich dazu entschieden, Win7 vom internet zu trennen und das W520 bei Nutzung von Windows nur noch offline zu nutzen, mit Außnahme für heute)
Ich wüsste nicht, dass ich auf dem W520 bei Win7 eine Maßnahme gegen Meltdown oder Spectre installiert habe, ein Biosupdate habe ich auch nicht gemacht (Bios 1.43 mit Mod für 1600MHz RAM)

Als Linus nutze ich die Arch-Linux basierte Distro Manjaro.
Bis heute Morgen war hier noch der Kernel 4.14.14-1 installiert, ich habe dann noch versucht, ohne das System zu updaten, einen anderen Kernel zu installieren, welcher noch keine Maßnahme gegen Meltdown hat, was aber nicht klappen wollte.
Alle Versuche einen Kernel zu installieren schlugen fehl. Naja....


Zur Messung der CPU-Leistung habe ich Geekbench 4.2.0 genutzt


Nun zu den Benchmark Ergebnissen.
Den ersten Test habe ich mit Kernel 4.14.14-1 gemacht, welcher laut dem spectre-meltdown-checker tool gegen Meltdown sicher ist, aber nicht gegen Spectre:
Anhang anzeigen 137868
Und hier der Link zu dem Ergebnis von Geekbench


Anschließen mal eben gerade die Updates durchlaufen lassen und weiter geht es mit Kernel 4.14.16-1. Dieser ist gegen Meltdown und Spectre II sicher, gegen Spectre I nicht
Anhang anzeigen 137869
Und noch der Link zu dem Ergebnis von Geekbench


Und noch zu dem Ergebnis von Win7

Was auffällt ist, das bei Win7 das geringste Ergebnis raus kam.
Dazu habe ich eine Vermutung, was aber eigentlich nicht hier in den Thread gehört, aber ich hoffe, dass man dies verzeihen Möge:

Ich habe den Verdacht, dass die CPU unter Linux grundsätzlich mit mehr Strom versorgt wird.
Wenn ich unter Win7 die CPU mittels P95 zu 100% auslaste, wechselt der Lüfte immer zwischen Stufe 7 und 128, aber grundsätzlich ist das System, in Relation zu der erbrachten Leistung relativ kühl.
Zudem liegt der Takt, nach 30 Sekungen bei 2,8GHz

Wenn ich bei Linux das System mittel burnP6 zu 100% auslaste, läuft der Lüfter auf der höchsten Stufe.
Auf beiden Systemen wird der Lüfter mittels Software (Win7 tpfc 0.63; Manjaro thinkfan) geregelt und die Werte bei denen der Lüfter laufen soll, sind in etwa gleich.
Zudem ist es so, dass der CPU Takt unter Linux bei ca 3-3.1GHz liegt.
Dieses Verhalten kenne ich unter Windows nur die ersten 20-25 Sekunden, wenn die CPU mit ca. 20% übertaktet wird

Das war es bis dahin

 

[Helios]

Hi Megalodon


Schaue ich mir am Abend gerne noch genauer an. Habe am Nachmittag noch einige Dinge zu erledigen.

Jedenfalls vielen Dank für deine Tests.


LG Uwe


P.S.: Gemäss Intel soll aktualisierter Mikrocode ohne die Probleme der Reboots bis am 15. Februar bereits stehen.

 

[harpo]

Ich wüsste nicht, dass ich auf dem W520 bei Win7 eine Maßnahme gegen Meltdown oder Spectre installiert habe, ein Biosupdate habe ich auch nicht gemacht

Bist Du sicher? Kein Win-Update eingespielt seit Anfang des Jahres? Der Patch war ja in den allgemeinen Rollups des Januar-Patchdays enthalten. Auch kein automatisches Update eingestellt? Du meintest ja, heute hättest Du Dein Win7 wieder mal ans Internet gehängt. Gibt auch genug Testtools für Windows diesbezüglich.

BIOS-Update ist in dem Fall irrelevant, weil es für Dein Modell noch kein Microcode-Update gab.

Anschließen mal eben gerade die Updates durchlaufen lassen und weiter geht es mit Kernel 4.14.16-1. Dieser ist gegen Meltdown und Spectre II sicher, gegen Spectre I immer nicht

Es gibt also schon Kernel, die die Microcode-unabhängige Lösung nutzen! Ist dies ein allgemeiner Kernel oder ein von/für Arch angepasster?

Ubuntu hat ja bereits vor gut 2 Wochen Kernel geliefert, die gegen Spectre 1 absichern (sollen). Möglicherweise ist das keine Implementierung, die generell in den allgemeinen Kernel eingeflossen ist. Dafür ist in den Ubuntu-Kernel bisher Reptoline nicht implementiert.

 

[Megalodon]

Bist Du sicher? Kein Win-Update eingespielt seit Anfang des Jahres? Der Patch war ja in den allgemeinen Rollups des Januar-Patchdays enthalten. Auch kein automatisches Update eingestellt? Du meintest ja, heute hättest Du Dein Win7 wieder mal ans Internet gehängt. Gibt auch genug Testtools für Windows diesbezüglich.

BIOS-Update ist in dem Fall irrelevant, weil es für Dein Modell noch kein Microcode-Update gab.

Letztes Win-Update 31.12.2017.
Automatische Updates sind zur Zeit deaktiviert.
Und der Rechner war nur für Geekbench am netzt, da das Programm ohne Internetzugang nicht willig ist.

Es gibt also schon Kernel, die die Microcode-unabhängige Lösung nutzen! Ist dies ein allgemeiner Kernel oder ein von/für Arch angepasster?

Ubuntu hat ja bereits vor gut 2 Wochen Kernel geliefert, die gegen Spectre 1 absichern (sollen). Möglicherweise ist das keine Implementierung, die generell in den allgemeinen Kernel eingeflossen ist. Dafür ist in den Ubuntu-Kernel bisher Reptoline nicht implementiert.

Ah, mein Fehler, das Wort "immer" war zu viel in dem Satz, ist im Originalbeitrag inzwischen entfernt.
Dass das W520 gegen Spectre I nicht abgesichert ist, liegt ja eher daran, dass Intel für diese Generation bis jetzt noch keine Updates geliefert hat.



Ob das ein Manajro spezifischer Kernel ist, da bin ich mir nicht zu 100% sicher

 

[harpo]

Dass das W520 gegen Spectre I nicht abgesichert ist, liegt ja eher daran, dass Intel für diese Generation bis jetzt noch keine Updates geliefert hat.

Nope! Spectre 1 hat mit den Microcode-Updates von Intel nix zu tun! Diese Lücke muss Software-seitig gefixt werden und zwar nicht nur in den Kernel der jeweiligen OS, sondern auch in davon betroffenen Programmen, wie z.B. Browser, der Nvidia-Treibersoftware u.a.

Die Microcode-Updates sollen gegen Spectre 2 absichern. Google hat mit Reptoline eine Alternative entwickelt, die auch ohne CPU-Firmwareupdate auskommen soll. Das zeigt auch Dein Screenshot des Checktools beim Punkt Spectre 2: Bei Migitiation 1 ist alles rot - das wäre die Variante in Verbindung mit dem Microcode-Update, bei Migitiation 2 grün - da mittels Reptoline gelöst.

Bei mir zeigt es der Checker genau anders herum: Migitiation 1 grün (da MCU während des Bootvorgangs in Linux geladen wird), Migitiation 2 rot (da bei Ubuntu noch nicht implementiert). Aber dennoch "Not Vulneraable", da eine der beiden Möglichkeiten aktiv ist.

 

[mcb]

Sehr schön was Intel jetzt als Sensation verkauft ...

Hier ein Auszug aus den release notes vom X270:

"<1.31>
UEFI: 1.31 / ECP: 1.13
- [Important] Enhancement to address CVE-2017-5715.
(Note)
Release to the web again after re-evaluation of the solution.
<1.31>
UEFI: 1.31 / ECP: 1.13
- [Important] Enhancement to address CVE-2017-5715.
- (Fix) Fix an issue where user cannot enter Bitlocker Pin code by using Bloomberg 4 keyboard.
- (Fix) Fix an issue where system cannot boot with USB 3.0 Ethernet adapter or ThinkPad Docks
with USB Ethernet device.
- (Fix) Fix an issue where Operating System cannot recognize custom ACPI Table.
- (Fix) Fixed to preserve TPM state if user canceled the TPM firmware update."

 

[harpo]

Sehr schön was Intel jetzt als Sensation verkauft ...

Jep, hat Lenovo einfach die alten Updates von Dezember/Januar für die Skylakes wieder eingestellt. Auch heute morgen festgestellt. Von Intel gibt's seit gestern ein neues MCU-guidance. Hier steht was von "neuer" Version 0xC2" anstatt der zurück gezogenen 000000C2. Keine Ahnung, was davon zu halten ist - ob die einfach den gleichen Kram mit leicht geändertem Namen veröffentlicht haben oder ob Lenovo einfach meinte, das wäre das gleiche in grün, dann brauchen wir ja keine neuen Updates basteln...

Im übrigen hatte das zur Folge, was ich befürchtet hatte: Diese Napfsülzen haben doch tatsächlich auch für das T460p das haargenau gleiche BIOS mit dem falschen/alten MCU wieder hochgeladen! :cursing: Ich krieg die Krise, ist doch echt zum Mäusemelken! Aber habe zumindest im Lenovoforum eine neue Mailadresse genannt bekommen, an die man sich wenden kann. Ist das "Product Security Office" von Lenovo (wohl in USA?). Hoffentlich findet man da mehr Gehör und Sachverstand als hier bei den Schnarchnasen in Schland!

- - - Beitrag zusammengeführt - - -

Die Edith meint: Es geschehen noch Zeichen und Wunder! Keine 15 Stunden nach der E-Mail an besagtes Product Security Office habe ich zwar noch keine Antwort erhalten, durfte aber heute morgen auf der Supportseite eine korrigierte BIOS-Version entdecken. So schnell kann's gehen, wenn man nur an die richtigen Leute gerät! Shame on you, Medion!

Ob sie tatsächlich aufgrund meiner Nachricht das korrigierte Update gebastelt haben oder es ihnen selbst aufgefallen ist, kann ich nicht sagen. Jedenfalls steht in der Readme als Release Date der 16.01. Aber selbst wenn es das bereits seit drei Wochen geben sollte, ist es doch ein grober Patzer, dass sie wieder vor 1-2 Tagen das alte fehlerhafte stattdessen online gestellt haben.

 

[kristatos]

Scheinbar gibt es jetzt Hoffnung für alle Core-i- und sogar Core2-Nutzer

 

[harpo]

Scheinbar gibt es jetzt Hoffnung für alle Core-i- und sogar Core2-Nutzer

Na, das wär doch mal was! Alternativ könnte Microsoft aber auch darüber nachdenken, die Reptoline-Lösung zu implementieren, wie es viele Linux-Distributionen derzeit machen.

Und wie aus dem Artikel zu lesen, sind die "neuen" Skylake-MCU tatsächlich die gleichen, die kürzlich zurückgezogen und nun wohl doch für gut befunden wurden.

 

[schmatzler]

Laut dem PDF von Intel ist der Microcode für den Ivy Bridge-Prozessor in meinem X230T in "Pre-Beta".

Das dauert wirklich wahnsinnig lange - ich hoffe, die kommen langsam in die Pötte mit dem Zeug.

Interessant ist auch, ob Lenovo noch ältere Notebooks patchen wird - zumindest für mein X201 wird es dann ja wohl auch noch Updates geben.

 

[Harry_W]

Dann mal abwarten, ob Intel auch wirklich liefert und wie Lenovo dann reagiert. Wenn Intel Wort hält, wären ja sogar noch diverse Core2 Thinkpads theoretisch "fixbar".

 

[Picard87]

Dann mal abwarten, ob Intel auch wirklich liefert und wie Lenovo dann reagiert. Wenn Intel Wort hält, wären ja sogar noch diverse Core2 Thinkpads theoretisch "fixbar".

Ja, laut den Intel Support Dokument vom 8.2.18 entwickeln sie ja jetzt patches für viel mehr Generationen (bis runter zu den Core2).

Immerhin bekommen jetzt alle "new generation" Thinkpads (ab x20) die Updates. Für mein X220 steht nun auch pre-beta. Hier wird Lenovo sicher liefern.

Für ältere TPs. Intel ja, Lenovo nein.

 

[harpo]

Wenn Intel Wort hält, wären ja sogar noch diverse Core2 Thinkpads theoretisch "fixbar".

"Theoretisch fixbar" wären im Prinzip sämtliche Modelle, sofern Googles Reptoline-Lösung eine mindestens genauso wirksame ist.

Für ältere TPs. Intel ja, Lenovo nein.

Dann bliebe den älteren zumindest noch die Verwendung mit Linux (abgesehen von besagtem Reptoline). Denn wenn Intel liefert, gibt es hier auch Microcode.

 

[Helios]

@Megalodon

Habe Geekbench 4.2.0 jetzt auch mal mit und ohne Meltdown-Schutz laufen lassen.

Mein W520:
Windows 10 Pro (1709)
FHD
NVIDIA Quadro 2000M
Intel i7-2860QM
32GB RAM, 1333MHz



Ebenfalls ist mir aufgefallen, dass die CPU meist überhaupt nicht ausgelastet war, bis auf ein paar kurze Augenblicke.

 

[mcb]

@Megalodon

Habe Geekbench 4.2.0 jetzt auch mal mit und ohne Meltdown-Schutz laufen lassen.

Mein W520:
Windows 10 Pro (1709)
FHD
NVIDIA Quadro 2000M
Intel i7-2860QM
32GB RAM, 1333MHz

Anhang anzeigen 137956 Anhang anzeigen 137957

Ebenfalls ist mir aufgefallen, dass die CPU meist überhaupt nicht ausgelastet war, bis auf ein paar kurze Augenblicke.

Auf dem T440(s) ist der Bremseffekt auch erst MIT Microcodeupdate richtig deutlich

Mit und ohne Spectre2 Patch:

https://browser.geekbench.com/v4/cpu/compare/6401998?baseline=6430734

Nicht schön ...

Abgesehen von den dauernden Bluescreens die im Intel Marketingsprech jetzt Neustarts heißen :thumbsup:

 

[Thomi]

Gibt es eigentlich schon irgendwelche Infos zu "fehlerfreien" Coffee-Lake CPUs?
Intel hat ja korrigierte Chips angekündigt (http://www.zdnet.de/88324467/intel-ceo-verspricht-prozessoren-ohne-meltdown-problem/).
Für mich steht in absehbarer Zeit eine Neuanschaffung an und ich frage mich, ob ich das noch etwas rauszögern sollte, um in den Genuss eines "fehlerfreien" Prozessors zu kommen.

 

[Helios]

Ankündigungen finde ich keine.

Intel wird jedoch einige neue Coffee Lakes bringen (u.a. die H-Modelle mit 45W für High End Notebooks). Sieht aber nicht so aus, als wären diese bereits fehlerfrei (siehe Tabelle: MCU).



Quelle: ComputerBase.de - 10-nm-CPU: Intel bestätigt Cannon Lake auch ohne Grafikeinheit

 

[cuco]

Da ich hier gerade mindestens dreimal (falsch) "reptoline" gelesen habe:
Hier wird der Assembler-Befehl RET (return) über eine Art Trampolin verwirklicht. So ein "return trampoline " heißt dann in Kurzform retpoline.
Das schließt Spectre aber wohl auch nicht vollständig, ist also auch kein Allheilmittel für Geräte ohne Microcode-Updates.

 

[woleska]

Da bist Du nicht alleine, ich habe das auch erst mehrfach falsch gelesen und mich gewundert, was das bedeuten soll.

 

[xsid]

Service für ThinkPad T440p User

https://thinkpad-forum.de/threads/212524-Bios-Version-2-47?p=2134236#post2134236