Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

[bender79]

Hallo,

da rollt vermutlich schon das nächste Intel Überraschungspaket (nach den ganzen Management Engine vulnerabilities) an:

https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/

Bleibt spannend!
grüße


//edit moronoxyd: Titel noch weiter angepasst. Betrifft nicht nur Intel.

 

[vlooe]

Mehr fällt mir dazu nicht ein :thumbsup:
https://www.youtube.com/watch?v=vp9hw9tRSpM

 

[Schwartz]

Und der Spaß geht weiter... dieses Mal ohne Softwarelösung in Aussicht. Glaube, Intel hat für mich ausgedient.

https://www.guru3d.com/news-story/intel-procs-again-hit-by-massive-vulnerability-called-spoler.html

 

[mcb]

Ab Windows 10 1809 verwendet MS auch Retpoline:

https://support.microsoft.com/de-de/help/4482887

Kann da mal bitte einer die Ausgabe von:

powershell "Get-SpeculationControlSettings"

posten?
Möchte nicht extra zum testen gl. von 1803 auf 1809 umsteigen....

Danke

- - - Beitrag zusammengeführt - - -

Und der Spaß geht weiter... dieses Mal ohne Softwarelösung in Aussicht. Glaube, Intel hat für mich ausgedient.

https://www.guru3d.com/news-story/intel-procs-again-hit-by-massive-vulnerability-called-spoler.html

Passt sich ja gut das die AMD Thinkpads grade reduziert sind!

- - - Beitrag zusammengeführt - - -

Follow up:

ver

Microsoft Windows [Version 10.0.17763.348]

BTIHardwarePresent                  : True
BTIWindowsSupportPresent            : True
BTIWindowsSupportEnabled            : True
BTIDisabledBySystemPolicy           : False
BTIDisabledByNoHardwareSupport      : False
[COLOR=#ff0000][B]BTIKernelRetpolineEnabled           : True[/B][/COLOR]
BTIKernelImportOptimizationEnabled  : True
KVAShadowRequired                   : True
KVAShadowWindowsSupportPresent      : True
KVAShadowWindowsSupportEnabled      : True
KVAShadowPcidEnabled                : True
SSBDWindowsSupportPresent           : True
SSBDHardwareVulnerable              : True
SSBDHardwarePresent                 : True
SSBDWindowsSupportEnabledSystemWide : False
L1TFHardwareVulnerable              : True
L1TFWindowsSupportPresent           : True
L1TFWindowsSupportEnabled           : True
L1TFInvalidPteBit                   : 45
L1DFlushSupported                   : True

Was ein Aufwand dieses s.... Upgrade jedes mal ... diesmal gingen die Touchpad Tasten nicht mehr.

 

[mcb]

Hier Benchmarks mit dem Trampolien :thumbsup:

https://browser.geekbench.com/v4/cpu/compare/12334308?baseline=12334549

2 x das gl. System ohne Softwareänderungen - weis jemand einen geeigneteren Benchmark ? Die schwankungen sind ja doch beachtlich :facepalm:

 

[mcb]

ZombieLoad: Neue Sicherheitslücken in Intel-Prozessoren:

https://www.heise.de/newsticker/mel...-in-Intel-Prozessoren-ZombieLoad-4421217.html

Unter Linux bereits gefixt. Microsoft und Lenovo trödeln noch ...

Mein nächstes Thinkpad wird ein AMD!

model		: 69
model name	: Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz
stepping	: 1
microcode	: 0x25
model		: 69
model name	: Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz
stepping	: 1
microcode	: 0x25
model		: 69
model name	: Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz
stepping	: 1
microcode	: 0x25
model		: 69
model name	: Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz
stepping	: 1
microcode	: 0x25
[    0.000000] kernel: microcode: microcode updated early to revision 0x25, date = 2019-02-26
[    0.000000] kernel: smpboot: Allowing 8 CPUs, 4 hotplug CPUs
[    0.042670] kernel: smpboot: CPU0: Intel(R) Core(TM) i5-4210U CPU @ 1.70GHz (family: 0x6, model: 0x45, stepping: 0x1)
[    0.044000] kernel: smp: Bringing up secondary CPUs ...
[    0.047034] kernel: smp: Brought up 1 node, 4 CPUs
[    0.047034] kernel: smpboot: Max logical packages: 2
[    0.047034] kernel: smpboot: Total of 4 processors activated (19156.64 BogoMIPS)
[    1.389699] kernel: microcode: sig=0x40651, pf=0x40, revision=0x25
[    1.389740] kernel: microcode: Microcode Update Driver: v2.2.

 

[cuco]

Unter Linux bereits gefixt. Microsoft und Lenovo trödeln noch ...

Unter Windows auch gefixt, siehe:
https://support.microsoft.com/en-us/help/4494441/windows-10-update-kb4494441
und
https://www.golem.de/news/sicherheitsluecken-zombieload-in-intel-prozessoren-1905-141251-2.html
und
https://www.heise.de/ct/artikel/Updates-gegen-die-Intel-Prozessorluecken-ZombieLoad-Co-4422413.html


//EDIT: Und bei Lenovo genau so, z.B. für's T480s kam das BIOS-Update dagegen schon vorgestern:
https://download.lenovo.com/pccbbs/mobiles/n22ur14w.txt
Weitere habe ich jetzt nicht geguckt

 

[zwieblum]

Ui, endlich mal eine Lücke, die meine T61 nicht trifft :thumbup:

 

[mcb]

Unter Windows auch gefixt, siehe:
https://support.microsoft.com/en-us/help/4494441/windows-10-update-kb4494441
und
https://www.golem.de/news/sicherheitsluecken-zombieload-in-intel-prozessoren-1905-141251-2.html
und
https://www.heise.de/ct/artikel/Updates-gegen-die-Intel-Prozessorluecken-ZombieLoad-Co-4422413.html


//EDIT: Und bei Lenovo genau so, z.B. für's T480s kam das BIOS-Update dagegen schon vorgestern:
https://download.lenovo.com/pccbbs/mobiles/n22ur14w.txt
Weitere habe ich jetzt nicht geguckt

For more information about the output below, please refer to https://support.microsoft.com/en-in/help/4074629

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]

Speculation control settings for CVE-2018-3639 [speculative store bypass]

Hardware is vulnerable to speculative store bypass: True
Hardware support for speculative store bypass disable is present: True
Windows OS support for speculative store bypass disable is present: True
Windows OS support for speculative store bypass disable is enabled system-wide: True

Speculation control settings for CVE-2018-3620 [L1 terminal fault]

Hardware is vulnerable to L1 terminal fault: True
Windows OS support for L1 terminal fault mitigation is present: True
Windows OS support for L1 terminal fault mitigation is enabled: True

Speculation control settings for MDS

Windows OS support for MDS mitigation is present: True
Hardware is vulnerable to MDS: True
Windows OS support for MDS mitigation is enabled: False

Suggested actions

 * Follow the guidance for enabling Windows Client support for speculation control mitigations described in https://support.microsoft.com/help/4073119


BTIHardwarePresent                  : True
BTIWindowsSupportPresent            : True
BTIWindowsSupportEnabled            : True
BTIDisabledBySystemPolicy           : False
BTIDisabledByNoHardwareSupport      : False
BTIKernelRetpolineEnabled           : True
BTIKernelImportOptimizationEnabled  : True
KVAShadowRequired                   : True
KVAShadowWindowsSupportPresent      : True
KVAShadowWindowsSupportEnabled      : True
KVAShadowPcidEnabled                : True
SSBDWindowsSupportPresent           : True
SSBDHardwareVulnerable              : True
SSBDHardwarePresent                 : True
SSBDWindowsSupportEnabledSystemWide : True
L1TFHardwareVulnerable              : True
L1TFWindowsSupportPresent           : True
L1TFWindowsSupportEnabled           : True
L1TFInvalidPteBit                   : 45
L1DFlushSupported                   : True
MDSWindowsSupportPresent            : True
MDSHardwareVulnerable               : True
MDSWindowsSupportEnabled            : False

Neue Intel Microcode Updates für Windows 10 1903, 1703, 1607 (15.05.) Deskmodder.de:

https://www.deskmodder.de/blog/2019...updates-fuer-windows-10-1903-1703-1607-15-05/

Microarchitectural Data Sampling (MDS) Side Channel Vulnerabilities:

https://support.lenovo.com/us/en/product_security/len-26696

Da fehlen auf alle Fälle noch die Microcodes (oder bios(e)) ...

Verstehe ich wirklich nicht. inch:

- - - Beitrag zusammengeführt - - -

Edit das t480s scheint einre rühmliche Ausnahme zu seien wenn man sich die Liste von Lenovo betrachtet.

 

[cuco]

For more information about the output below, please refer to https://support.microsoft.com/en-in/help/4074629

Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]

Speculation control settings for CVE-2018-3639 [speculative store bypass]

Hardware is vulnerable to speculative store bypass: True
Hardware support for speculative store bypass disable is present: True
Windows OS support for speculative store bypass disable is present: True
Windows OS support for speculative store bypass disable is enabled system-wide: False

Speculation control settings for CVE-2018-3620 [L1 terminal fault]

Hardware is vulnerable to L1 terminal fault: True
Windows OS support for L1 terminal fault mitigation is present: True
Windows OS support for L1 terminal fault mitigation is enabled: True

Speculation control settings for MDS

Windows OS support for MDS mitigation is present: True
Hardware is vulnerable to MDS: True
Windows OS support for MDS mitigation is enabled: True


BTIHardwarePresent                  : True
BTIWindowsSupportPresent            : True
BTIWindowsSupportEnabled            : True
BTIDisabledBySystemPolicy           : False
BTIDisabledByNoHardwareSupport      : False
BTIKernelRetpolineEnabled           : False
BTIKernelImportOptimizationEnabled  : True
KVAShadowRequired                   : True
KVAShadowWindowsSupportPresent      : True
KVAShadowWindowsSupportEnabled      : True
KVAShadowPcidEnabled                : True
SSBDWindowsSupportPresent           : True
SSBDHardwareVulnerable              : True
SSBDHardwarePresent                 : True
SSBDWindowsSupportEnabledSystemWide : False
L1TFHardwareVulnerable              : True
L1TFWindowsSupportPresent           : True
L1TFWindowsSupportEnabled           : True
L1TFInvalidPteBit                   : 45
L1DFlushSupported                   : True
MDSWindowsSupportPresent            : True
MDSHardwareVulnerable               : True
MDSWindowsSupportEnabled            : True

So sieht es jetzt bei mir aus

 

[mcb]

Noch mehr Spaß!

Wieder neue Spectre-Lücke in Intel-Prozessoren entdeckt heise online:

https://www.heise.de/ix/meldung/Wie...ke-in-Intel-Prozessoren-entdeckt-4489559.html

Bundesregierung sieht Behördenrechner gegen Meltdown und Spectre gewappnet heise online:

https://www.heise.de/newsticker/mel...n-Meltdown-und-Spectre-gewappnet-4489912.html

Weiß noch gar nicht was lustiger ist.

 

[mcb]

Schon wieder Spaß! :thumbup:

Intel fixt Sicherheitslücken und enthüllt nebenbei eine neue ZombieLoad-Variante:

https://www.heise.de/security/meldu...red.security.security-nl.2019-11-14.link.link

Microsofts Meltdown-Patch erzeugt BlueKeep BSODs Borns IT- und Windows-Blog:

https://www.borncity.com/blog/2019/11/12/microsofts-meltdown-patch-erzeugt-bluekeep-bsods/

...

 

[Gurow]

So sieht es bei mir aus (sorry für die Formatierung, irgendwie wird die nicht richtig übernommen):

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: False

Speculation control settings for CVE-2018-3639 [speculative store bypass]

Hardware is vulnerable to speculative store bypass: True
Hardware support for speculative store bypass disable is present: True
Windows OS support for speculative store bypass disable is present: True
Windows OS support for speculative store bypass disable is enabled system-wide: False

Speculation control settings for CVE-2018-3620 [L1 terminal fault]

Hardware is vulnerable to L1 terminal fault: False

Speculation control settings for MDS [microarchitectural data sampling]

Windows OS support for MDS mitigation is present: True
Hardware is vulnerable to MDS: False


BTIHardwarePresent                          : True
BTIWindowsSupportPresent                    : True
BTIWindowsSupportEnabled                   : True
BTIDisabledBySystemPolicy                   : False
BTIDisabledByNoHardwareSupport          : False
BTIKernelRetpolineEnabled                   : False
BTIKernelImportOptimizationEnabled      : False
KVAShadowRequired                           : False
KVAShadowWindowsSupportPresent          : True
KVAShadowWindowsSupportEnabled          : False
KVAShadowPcidEnabled                        : False
SSBDWindowsSupportPresent               : True
SSBDHardwareVulnerable                      : True
SSBDHardwarePresent                         : True
SSBDWindowsSupportEnabledSystemWide : False
L1TFHardwareVulnerable                      : False
L1TFWindowsSupportPresent                   : True
L1TFWindowsSupportEnabled               : False
L1TFInvalidPteBit                           : 0
L1DFlushSupported                           : False
MDSWindowsSupportPresent                : True
MDSHardwareVulnerable                       : False
MDSWindowsSupportEnabled                : False

 

[mcb]

Ach ... ich habe inzwischen den Überblick verloren ...

Ist Meltdown bein i5-8265u schon in "Hardware" "behoben" ?

Danke.

 

[Gurow]

Ich habe auch den Überblick verloren und bin auf AMD umgestiegen. Da sieht es in dieser Hinsicht zumindest etwas besser aus. Den Power-Shell-Eintrag habe ich in einer Win7VM aufgerufen. Unter Linux sieht die Ausgabe bei mir so aus:

$ cat /sys/devices/system/cpu/vulnerabilities/* 
Not affected 
Not affected 
Not affected 
Mitigation: Speculative Store Bypass disabled via prctl and seccomp 
Mitigation: usercopy/swapgs barriers and __user pointer sanitization 
Mitigation: Full AMD retpoline, IBPB: conditional, STIBP: disabled, RSB filling

 

[mcb]

Ja auf AMD wollte ich ursprünglich auch. "Bereuhe" ich schon ein wenig, aber ich wollte gute Linuxunterstützung.

Na ja beim nächsten Mal.

 

[Avathar]

Ja auf AMD wollte ich ursprünglich auch. "Bereuhe" ich schon ein wenig, aber ich wollte gute Linuxunterstützung. Na ja beim nächsten Mal.

Vielleicht ein wenig OT, aber wo siehst du die Probleme mit der Linuxunterstützugn von z.B. T495(s)?

 

[mcb]

Vielleicht ein wenig OT, aber wo siehst du die Probleme mit der Linuxunterstützugn von z.B. T495(s)?

Ich habe es selbst nicht getestet, aber die 90er mit Intel-Chip laufen absolut perfekt unter Debian.

- Akkulaufzetit
- Treiber (ev auch unter Win)
- Lüfter ist wohl lauter (ich wollte das mit s)

Und das T490s war grade günstiger :thumbsup:

 

[Gurow]

Also ich kann mich überhaupt nicht beschweren, alle bisher getesteten Linux-Distributionen laufen sehr gut, gerade auch Debian. Gleiches gilt für Fedora, Arch und Ubuntu. Akkulaufzeit und Lüfter kann ich nur bedingt beurteilen, da es da unter Umständen ein paar Einbußen geben könnte, weil ich das BIOS durch Coreboot ersetzt habe. Im Vergleich zu vorher ist es aber eher ruhiger geworden.

Ich nutze auch noch Laptops mit Intel-Chips, allerdings sind die jetzt eher in den Hintergrund gerückt.

 

[mcb]

Also ich kann mich überhaupt nicht beschweren, alle bisher getesteten Linux-Distributionen laufen sehr gut, gerade auch Debian. Gleiches gilt für Fedora, Arch und Ubuntu. Akkulaufzeit und Lüfter kann ich nur bedingt beurteilen, da es da unter Umständen ein paar Einbußen geben könnte, weil ich das BIOS durch Coreboot ersetzt habe. Im Vergleich zu vorher ist es aber eher ruhiger geworden.

Ich nutze auch noch Laptops mit Intel-Chips, allerdings sind die jetzt eher in den Hintergrund gerückt.

Coreboot läuft auf den T495 und T495s ?

 

[Gurow]

Coreboot läuft auf den T495 und T495s ?

Ich glaube noch nicht.

Ich habe ein altes Modell, kein Thinkpad, sondern ein G505s. Die Tastatur ist nicht so der Hit, aber ansonsten ist das Teil nicht schlecht. Die niedrige Auflösung kommt mir eher entgegen, da mich mit dem T420 (vorher mein Hauptgerät) bei längerer Nutzung die Augen doch mehr angestrengt haben.