Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

[bender79]

Hallo,

da rollt vermutlich schon das nächste Intel Überraschungspaket (nach den ganzen Management Engine vulnerabilities) an:

https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/

Bleibt spannend!
grüße


//edit moronoxyd: Titel noch weiter angepasst. Betrifft nicht nur Intel.

 

[Helios]

Sicherheitslücken: OpenBSD warnt massiv vor Intels Hyper-Threading (SMT)

Bereits vor zwei Monaten hatte OpenBSD zur Deaktivierung von Intels SMT alias Hyper-Threading aufgerufen, da dieses in Zusammenhang mit den Sicherheitslücken stehe. Jetzt wiederholen die Entwickler diese Aussage aufs Deutlichste, denn sie rechnen mit vielen weiteren Problemen, die genau „an der Stelle“ zu finden sind.

DISABLE HYPERTHREADING ON ALL YOUR INTEL MACHINES IN THE BIOS.

​

Klarer konnte sich Theo de Raadt als einer der Mitbegründer von OpenBSD auch am gestrigen Tage kaum ausdrücken. In seinen Ausführungen, die er in einer Mailing-Liste niederschrieb, geht er noch ein wenig weiter ins Detail. Laut seiner Erkenntnis ist die Technik des Simultaneous Multithreading (SMT), oder laut Intels Marketing-Bezeichnung Hyper-Threading, „grundlegend defekt“. Denn die Teilung der Ressourcen in den zwei Threads aus einem Kern, lassen viele Sicherheitsvorkehrungen, die eigentlich für die Prozessorkerne in Betrieb sind, nicht greifen und deshalb leicht umgehen.

Der komplette Artikel findet sich auf ComputerBase.de - Sicherheitslücken: OpenBSD warnt massiv vor Intels Hyper-Threading (SMT)

 

[Helios]

Microsoft hat das Speculation Control Validation PowerShell Script (Updated: 05.09.2018) aktualisiert.

Update history

1.0.11 (Current version)
​

• Fixed an issue where the L1TF OS mitigation was being improperly reported as enabled

 

[Helios]

Für Windows 10 stehen aktualisierte uCU (13.9.2018) zum Download bereit. Diese können ebenso über Windows Update bezogen werden.

[TABLE="class: grid, align: left"]
[TR]
[TD="align: center"]Version[/TD]
[TD="align: center"]Patch[/TD]
[TD="align: center"]Microcode für[/TD]
[/TR]
[TR]
[TD]Windows 10 1507[/TD]
[TD]KB4091666 (Download)[/TD]
[TD]Sandy Bridge, Ivy Bridge, Haswell, Broadwell,
Skylake[/TD]
[/TR]
[TR]
[TD]Windows 10 1511[/TD]
[TD]nicht verfügbar[/TD]
[TD][/TD]
[/TR]
[TR]
[TD]Windows 10 1607[/TD]
[TD]KB4091664 (Download)[/TD]
[TD]Sandy Bridge, Ivy Bridge, Haswell, Broadwell,
Skylake, Kaby Lake, Coffee Lake[/TD]
[/TR]
[TR]
[TD]Windows 10 1703[/TD]
[TD]KB4091663 (Download)[/TD]
[TD]Sandy Bridge, Ivy Bridge, Haswell, Broadwell,
Skylake, Kaby Lake, Coffee Lake[/TD]
[/TR]
[TR]
[TD]Windows 10 1709[/TD]
[TD]KB4090007 (Download)[/TD]
[TD]Sandy Bridge, Ivy Bridge, Haswell, Broadwell,
Skylake, Kaby Lake, Coffee Lake[/TD]
[/TR]
[TR]
[TD]Windows 10 1803[/TD]
[TD]KB4100347 (Download)[/TD]
[TD]Sandy Bridge, Ivy Bridge, Haswell, Broadwell,
Skylake, Kaby Lake, Coffee Lake[/TD]
[/TR]
[/TABLE]

 

[mcb]

Da rollt wohl die nächste Welle Biosupdates heran (hier am Beispiel T450)

" Revision : 01
--------------------------------------------------------------------------------
Software name BIOS Update Utility

Support model ThinkPad T450
ThinkPad T450s

Operating Systems Microsoft Windows 10 64-bit
Microsoft Windows 8.1 32-bit, 64-bit
Microsoft Windows 7 32-bit, 64-bit

Refer to marketing materials to find out what computer models
support which Operating Systems.

Version 1.35 BIOS ID: (JBET71WW)


--------------------------------------------------------------------------------
WHAT THIS PACKAGE DOES

This package updates the UEFI BIOS (including system program and Embedded
Controller program) stored in the Lenovo computer to fix problems, add new
functions, or expand functions as noted below.

This program is language independent and can be used with any language system.


--------------------------------------------------------------------------------
CHANGES IN THIS RELEASE
Version 1.35

[Important updates]
- Update includes a security fix.
- Added Hyper Threading enable/disable option to ThinkPad Setup for virtualized
system users in order to address LEN-24163 L1 Terminal Fault Side Channel
Vulnerabilities (CVE-2018-3646) Refer to Lenovo's Security Advisory page for
additional information.(https://support.lenovo.com/us/en/solutions/LEN-24163)
(NOTE) Disabling Hyper Threading may increase system power consumption during sleep.
"

10 Prozent hier 20 Prozent dort ...

 

[mcb]

Windows 10 19H1 reduziert Spectre-Auswirkungen auf Leistung ...

https://winfuture.de/news,105605.html

Ich bin für einen Backport auf alle Windowsversionen, die noh unterstützt werden ...

 

[der_ingo]

Ich gehe mal davon aus, dass das größere Änderungen am Kernel notwendig macht. Daher wird man sowas wohl eher nicht mal eben mit einem Update für ältere Systeme ausrollen.
Ärgerlich ist allerdings, dass es erst mit 1903 kommen wird und nicht schon in 1809, und somit im Server 2019 nicht mit drin ist. Sprich die normalen Server bekommen die Änderungen dann vermutlich erst in drei Jahren mit. :-/

 

[mcb]

Neue Schwachstelle in Intel-CPUs Hyper-Threading anfällig für Datenleck heise Security:

https://www.heise.de/security/meldu...reading-anfaellig-fuer-Datenleck-4210282.html

 

[pepun]

Neue Schwachstelle in Intel-CPUs Hyper-Threading anfällig für Datenleck heise Security:

https://www.heise.de/security/meldu...reading-anfaellig-fuer-Datenleck-4210282.html

Tja - Empfehlung: "Ausschalten" - geht im BIOS meines X1 Carbon der 5. Generation aber nicht - und nun ?

Grüße, pepun.

 

[cuco]

Bei neueren Modellen wurde diese Option erst mit dem letzten UEFI-Update hinzugefügt. Vielleicht kommt für dein X1C5 auch noch eines.

 

[mcb]

Tja - Empfehlung: "Ausschalten" - geht im BIOS meines X1 Carbon der 5. Generation aber nicht - und nun ?

Grüße, pepun.

Das kommt bestimmt ...

https://thinkpad-forum.de/threads/2...s-notwendig)?p=2163709&viewfull=1#post2163709

 

[pepun]

Hallo,

so ist es, mit BIOS 1.35 kann man das auch beim X1 der 5. Generation.

Grüße, pepun.

 

[der_ingo]

Ist aber jetzt nicht wirklich notwendig. Die entsprechenden Angriffe beziehen sich auf Server-Systeme mit vielen VMs. Bei einem Client dürfte es einfachere Methoden geben, Unfug anzustellen.

 

[mcb]

Spectre Update-Tool patcht ältere (Windows-)Rechner:

https://www.heise.de/security/meldu...l-patcht-aeltere-Windows-Rechner-4220178.html

Habe hier momentan keinen älteren Rechner aber ich finde das top :thumbup:

https://www.ngohq.com/intel-microcode-boot-loader.html

 

[vlooe]

Als patch kann man das wohl nicht bezeichnen.

Höchstens als automatisierten Workaround der bei jedem start den Microcode erneut lädt bevor Windows gestartet wird.

 

[mcb]

Als patch kann man das wohl nicht bezeichnen.

Höchstens als automatisierten Workaround der bei jedem start den Microcode erneut lädt bevor Windows gestartet wird.

Ist aber im Endefekt das gl. wie es MS für Win10 anbietet ...

Mal wieder gute Nachrichten:

Prozessor-Sicherheit: Sieben neue Varianten von Spectre-Lücken | heise online:

https://www.heise.de/newsticker/mel...ue-Varianten-von-Spectre-Luecken-4220854.html

 

[gatasa]

Zitat aus dem Fazit:
"Allerdings scheinen die Angriffe recht speziell zu sein.

Zudem sind bisher noch keine praktischen Angriffe über die Meltdown- und Spectre-Lücken bekannt geworden, sodass wohl weiterhin die Einschätzung gelten kann, dass diese vor allem für Cloud-Dienstleister problematisch sind. Bei typisch genutzten Client-PCs, insbesondere mit Windows als Betriebssystem, spielen andere Sicherheitslücken eine größere Rolle."

Zwar nicht schön, aber eher nicht für den üblichen Windows-Nutzer gefährlich.

 

[mcb]

Schlechte Performance Linux-Entwickler entscheiden sich gegen Spectre-Schutz heise Security:

https://www.heise.de/security/meldu...heiden-sich-gegen-Spectre-Schutz-4230222.html

"Eine Schutzfunktion sollte vor der Hardware-Lücke Spectre-V2 schützen, hat wohl aber mitunter starken Einfluss auf die Rechengeschwindigkeit."

Mal abwarten ...

10 Prozent hier 20 Prozent dort ...

 

[mcb]

SplitSpectre Neue Methode macht Prozessor-Angriffe einfacher heise Security:

https://www.heise.de/security/meldu...cht-Prozessor-Angriffe-einfacher-4241478.html

Sehr schön.

 

[tp_murmeltier]

Windows 10, 1809 - Microcode Update via Updatecatalog von MS -> [FONT=Verdana,Arial,Tahoma,Calibri,Geneva,sans-serif]https://support.microsoft.com/de-de/help/4465065/kb4465065-intel-microcode-updates

[FONT=Verdana,Arial,Tahoma,Calibri,Geneva,sans-serif]"(…) Zusammenfassung[/FONT]

---

Intel Software-Prüfung abgeschlossen haben und neuen Microcode für aktuelle CPU-Plattformen in Reaktion auf die folgenden Risiken freigegeben haben angekündigt :

• Absorptionsspektrum Variante 3a (CVE 2018 3640: "Rogue System Register lesen (RSRE)")
• Absorptionsspektrum Variant 4 (CVE 2018 3639: "Spekulativen Speicher umgehen (SSB)")
• L1TF (CVE 2018 3620, CVE 2018 3646: "L1 Terminal Fehler")

Diese neue Version enthält ein Microcode-Update von Intel für die folgenden CPUs.(…)"


​

[/FONT]

 

[StefanW.]

18.02.2019 13:51 Uhr
Software-Schutz vor Spectre-Angriffen ist weitestgehend nutzlos

Programme, die fremden Code empfangen und ausführen, können sich nicht auf Software-Schutz für Spectre-Lücken verlassen, sagen Google-Forscher.
Quelle: https://www.heise.de/security/meldu...riffen-ist-weitestgehend-nutzlos-4311666.html