Sicherheitslücken in CPUs von Intel/AMD/anderen (Microcode+App+OS fixes notwendig)

[bender79]

Hallo,

da rollt vermutlich schon das nächste Intel Überraschungspaket (nach den ganzen Management Engine vulnerabilities) an:

https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/

Bleibt spannend!
grüße


//edit moronoxyd: Titel noch weiter angepasst. Betrifft nicht nur Intel.

 

[harpo]

Dort sind auch zugehörige BIOS-Updates verlinkt, die die Lücke CVE-2017-5715 (Spectre 2) beheben - bzw. wenn noch kein Update verfügbar ist, ein Datum zur voraussichtlichen Verfügbarkeit.

Wobei die Liste leider nicht brandaktuell gehalten ist. Habe zumindest zwei Geräte darin gefunden, bei denen noch "Target availability 1/17/2018" bzw. "...1/9/2018" steht. Dabei gibt es für die seit gestern bzw. schon 27.12. Upadates. Von wegen "Last updated 1/4/2018"! Lenovo mal wieder...

Dennoch würde ich mir an Stelle von fb1996 auch nicht die Mühe machen; seine Ambitionen in allen Ehren! So schwer ist das nun wirklich nicht, das jeweilig Update für sein Gerät selbst zu finden. Die jeweiligen Geräte-spezifischen Driver-Downloadseiten scheinen aktueller zu sein als diese Liste. Und wenn man in der Support-Suche "CVE-2017-5715 Thinkpad" eingibt, werden einem bereits 74 verfügbare BIOS-Updates angezeigt.

 

[StefanW.]

Hier eine Liste von Intel, welche CPUs betroffen sind:
"The following Intel-based platforms are impacted by this issue. Intel may modify this list at a later time. Please check with your system vendor or equipment manufacturer for more information regarding updates for your system."
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

 

[s-g]

(bis zur Generation Tx30)

Für die 20er-Generation gibt es keine Updates mehr? Die Lenovo Seite wirft mir zur Zeit nur nen Server-Error.

Noch was...wenn die OS-Updates kommen, reicht unter Linux das üblich apt-get ... oder müssen Kernel o.ä. manuell installiert werden (im speziellen: Debian)?

 

[harpo]

"The following Intel-based platforms are impacted by this issue. Intel may modify this list at a later time. Please check with your system vendor or equipment manufacturer for more information regarding updates for your system."
https://security-center.intel.com/ad...nguageid=en-fr

Demnach sind's laut Intel doch "nur" CPUs der letzten ca. 10 Jahre. Auf diversen Internetseiten war ja jetzt häufig zu lesen, dass fast alle ab Baujahr 1995 betroffen seien. Oder gilt letzteres evtl. nur für Spectre und haben das einige zusammengeworfen?

 

[moronoxyd]

Hier eine Liste von Intel, welche CPUs betroffen sind:
"The following Intel-based platforms are impacted by this issue. Intel may modify this list at a later time. Please check with your system vendor or equipment manufacturer for more information regarding updates for your system."
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr

Hmm, der Core2Duo in meinen R61 ist nicht aufgelistet. Listet Intel den nicht, weil er zu alt ist, oder soll er tatsächlich nicht betroffen sein (unwahrscheinlich)?

Ansonsten sind natürlich alle meine Geräte betroffen. Überraschung!

 

[Jakobus]

Ab Baujahr 95?
Na, dann gehe ich wohl ab jetzt immer mit meinem 340CSE ins Internet ...

 

[ibmthink]

Für die 20er-Generation gibt es keine Updates mehr?

Ich vermute mal nein. Das letzte BIOS-Update für das T420 gab es zum Beispiel im Jahr 2016. Ich denke, dass diese Generation vermutlich schon ihr "EOL" erreicht hat.

ThinkPads haben üblicherweise ein Support-Fenster von 5 Jahren. Die T430 Generation wurde bis weit ins Jahr 2013 verkauft, daher bekommen diese Modelle noch Updates.

 

[harpo]

Für die 20er-Generation gibt es keine Updates mehr? Die Lenovo Seite wirft mir zur Zeit nur nen Server-Error.

Naja, wie bei den Intel-ME-Updates: Nur was noch in den Rahmen der maximal 5 jährigen Support-/Garantielaufzeit fällt... Aber vielleicht erbarmt sich ja Lenovo noch für ältere Geräte, wenn die Garantie-relevanten Geräte versorgt sind. Bei der ME-Geschichte haben sie sich ja dann teilweise doch noch einiger eine Generation ältere Geräte erbarmt.

Noch was...wenn die OS-Updates kommen, reicht unter Linux das üblich apt-get ... oder müssen Kernel o.ä. manuell installiert werden (im speziellen: Debian)?

Wird wohl ganz von den jeweiligen Distributoren abhängen, ob und wie sie da Kernel-Updates liefern. Von den eigentlichen Linux-Kernel-Entwicklern gibt es ja bisher nur Updates für 4.14 und 4.15-RC.

Übrigens: Wenn man ausschließlich Linux nutzt und Lenovo für ältere Geräte kein BIOS-Update liefert, kann man evtl. auf Software-seitige Microcode-Updates hoffen, die dann mit dem BS geladen werden.

 

[Pferdle]

Frage mich wie das mit etwaigen Schadensersatzansprüchen aussieht. Könnte man nicht einfach sagen, man hätte eine fehlerhafte Hardware verkauft bekommen und möchte diese nun ersetzt haben (vor allem, wenn auch noch in der Garantiezeit)?

Was eine blöde Frage
Ein VW-Diesel-Fahrer bekommt auch nur ein Update, und sonst nix:thumbup:

 

[Helios]

ComputerBase.de - Update 05.01.2018 15:50 Uhr

Wie Windows-Nutzer überprüfen können, ob erste Maßnahmen zum Schutz vor Meltdown und Spectre auf dem eigenen Windows-System angekommen sind, beschreibt Microsoft in einem Artikel auf der Support-Website. Man öffnet die PowerShell und installiert dort mittels "PS > Install-Module SpeculationControl" das von Microsoft bereitgestellte PowerShell-Script. Anschließend kann jenes mittels "PS > Get-SpeculationControlSettings" ausgeführt werden.

Das PowerShell-Script gibt Informationen zu zwei der drei Probleme aus, nämlich zuerst zu Spectre „Variant 2“ aka „CVE-2017-5715 [branch target injection]“ und dann zu Meltdown aka „Variant 3“ aka „CVE-2017-5754 [rogue data cache load]“ (in dieser Reihenfolge). Nach Installation des seit gestern zur Verfügung stehenden Windows-Update sollte das Script bei Meltdown aka „Variant 3“ grünes Licht geben. Falls man auch schon das Microcode-Update erhalten hat (z.B. per BIOS- bzw. UEFI-Update), dann sollte das Tool auch bei Spectre „Variant 2“ grünes Licht geben. Zu Spectre „Variant 1“ kann das Tool keine Aussage treffen, weil dieses Problem wie oben erläutert in jeder betroffenen Anwendung einzeln angegangen werden muss.

Unter Windows Server muss der Schutz nach Installation des Updates manuell aktiviert werden. Wie das geschieht steht in einem separaten Artikel für Windows Server.

 

[kristatos]

Wird wohl ganz von den jeweiligen Distributoren abhängen, ob und wie sie da Kernel-Updates liefern. Von den eigentlichen Linux-Kernel-Entwicklern gibt es ja bisher nur Updates für 4.14 und 4.15-RC.

Debian hat heute bereits den Kernel für Stable aktualisiert. Darin ist aber bis jetzt auch erst ein Fix für CVE-2017-5754 (Meltdown).

Ich bin auch mal gespannt welche CPU's bei Intel jetzt wirklich betroffen sind. Wenn's wirklich erst ab Core-i losgeht (was ich aber stark bezweifle) bin ich nicht betroffen. Das neueste was ich habe sind Core2-CPU's

 

[harpo]

Darin ist aber bis jetzt auch erst ein Fix für CVE-2017-5754 (Meltdown).

Das ist auch das einzige von den drei Problemen, das durch Kernel-Updates behoben wird/werden kann. Ist auch bei den anderen BS (Windows, MacOS, iOS, etc.) so. Bei den Spectre-Varianten gibt es für die eine CPU-Microcode-Updates (im Idealfall per BIOS-Update) und für die andere müssen die jeweils betroffenen Endanwendungen Updates veröffentlicht werden. "Software"-Microcode-Updates für Linux werden in extra Updates herausgegeben. Zumindest ist das unter Ubuntu so.

 

[s-g]

ThinkPads haben üblicherweise ein Support-Fenster von 5 Jahren. Die T430 Generation wurde bis weit ins Jahr 2013 verkauft, daher bekommen diese Modelle noch Updates.

Macht (leider) Sinn. Dann wird es wohl in Zukunft ne Menge anfällige Geräte geben...

Übrigens: Wenn man ausschließlich Linux nutzt und Lenovo für ältere Geräte kein BIOS-Update liefert, kann man evtl. auf Software-seitige Microcode-Updates hoffen, die dann mit dem BS geladen werden.

Nur auf dem Homeserver, das W520 läuft unter W10.
Danke für die Infos!

 

[Helios]

Ich bin auch mal gespannt welche CPU's bei Intel jetzt wirklich betroffen sind. Wenn's wirklich erst ab Core-i losgeht (was ich aber stark bezweifle) bin ich nicht betroffen. Das neueste was ich habe sind Core2-CPU's

Öffne unter Windows die PowerShell, kopiere diesen Script hinein (Copy & Paste). Danach "Get-SpeculationControlSettings" eingeben und Enter drücken.

Dann sieht du, inwieweit du abgesichert bist. Überprüft werden die Lücken CVE-2017-5715 - Spectre "Variant 2" - (branch target injection) und CVE-2017-5754 - Meltdown "Variant 3" - (rogue data cache load).

 

[mcb]

Hallo,

da rollt vermutlich schon das nächste Intel Überraschungspaket (nach den ganzen Management Engine vulnerabilities) an:

https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/

Bleibt spannend!
grüße

Da sagste was - heute die erst Bluescreen unter Windows seit langem

Microsoft Windows [Version 10.0.16299.192] / ThinkPad T440s Bios 2.46

Loading User Symbols
................................................................
..................................................
Loading unloaded module list
............
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

Use !analyze -v to get detailed debugging information.

BugCheck A, {ffffbf00af2f47dc, 2, 1, fffff8035dacacc2}

Probably caused by : memory_corruption ( nt!MiWalkPageTablesRecursively+a2 )

Followup: MachineOwner
---------

1: kd> !analyze -v
*******************************************************************************
* *
* Bugcheck Analysis *
* *
*******************************************************************************

IRQL_NOT_LESS_OR_EQUAL (a)


...

Hoffe das war ein einmaliger Verschlucker ...

- - - Beitrag zusammengeführt - - -

Von Lenovo gibt es mittlerweile ein Security Advisory zu dem Thema inkl. einer Liste mit betroffenen Systemen der neueren Generationen (bis zur Generation Tx30): https://support.lenovo.com/us/en/solutions/LEN-18282

Dort sind auch zugehörige BIOS-Updates verlinkt, die die Lücke CVE-2017-5715 (Spectre 2) beheben - bzw. wenn noch kein Update verfügbar ist, ein Datum zur voraussichtlichen Verfügbarkeit.

Danke für den Link !

- - - Beitrag zusammengeführt - - -

ComputerBase.de - Update 05.01.2018 15:50 Uhr

c:\tools>powershell "Get-SpeculationControlSettings"
Speculation control settings for CVE-2017-5715 [branch target injection]

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]

Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID optimization is enabled: True


BTIHardwarePresent : True
BTIWindowsSupportPresent : True
BTIWindowsSupportEnabled : True
BTIDisabledBySystemPolicy : False
BTIDisabledByNoHardwareSupport : False
KVAShadowRequired : True
KVAShadowWindowsSupportPresent : True
KVAShadowWindowsSupportEnabled : True
KVAShadowPcidEnabled : True

Ist das jetzt richtig ? Bios und Windows sind gepatcht -
Jetzt fehlen noch Updates für die Programme ?!? Oder

 

[der_ingo]

Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True
[...]
Ist das jetzt richtig ? Bios und Windows sind gepatcht -

Das ist sogar ziemlich verwunderlich richtig, denn an der Stelle ist sogar schon ein Microcode Update drauf. Hat Lenovo fürs T440s tatsächlich schon Microcode Updates draußen? Ansonsten sollte von den ersten Punkten ("Spectre") nämlich noch einiges rot sein. Das lässt sich ja nur mit Software eben nicht patchen.

Edit: Ich seh grad, im BIOS Update für mein T540p wird das auch schon genannt. Da hat man also schon etwas vorgearbeitet...

 

[linrunner]

Andreas Stiller von der c't erklärt jetzt endlich die Lücken halbwegs verständlich. Echt schade, dass er seit kurzem im Ruhestand ist ...

 

[Kiwie]

Hier mal eine von Google gepflegte Liste, die zeigt, wie es sich mit der Kompatibilität der einzelnen AV-Softwares zum neuesten kumulativen Windows-Update verhält:

https://docs.google.com/spreadsheets/d/184wcDt9I9TUNFFbsAVLpzAtckQxYiuirADzf3cL42FQ/htmlview?sle=true#gid=0

Aber selbst bei AV-Softwares, die unumstritten kompatibel sind und bei denen der entsprechende Registrywert nachweislich gesetzt ist, heißt das noch lange nicht, dass über Windows Update etwas angeboten wird. Bleibt bei diesen kompatiblen Produkten der Weg über den Microsoft Update Catalog. Oder aber warten und die Hoffnung aufrecht erhalten, dass über Windows Update irgendwann doch noch etwas eintrudelt ... die Hoffnung stirbt bekanntlich zuletzt.

 

[Ede_123]

Zum Thema:

New zero-day vulnerability: In addition to rowhammer, it turns out lots of servers are vulnerable to regular hammers, too.

 

[mectst]

Wieder ein schönes Thema, wo man sich so richtig im Forum austoben kann. Mittlerweile steht wohl fest, dass es nicht nur "evtl. eine Sicherheitslücke" und auch nicht nur Intel betroffen ist. Man sollte den Titel also mal anpassen.
Zum Thema Einbußen bei der Geschwindigkeit scheiden sich auch die Geister, mittlerweile grassieren ja diverse Tests dazu durch das Netzt. Letztlich spielt das auch kaum eine Rolle, da patchen eh die einzig sinnvolle Option ist. Ich für meinen Teil hab das entsprechende Windows eingespielt (Win7 Home-PC und Win10 Arbeits-Notebook). Bisher merke ich keinen Unterscheid zum vorherigen Status. Für mich ist das Thema also durch.

Grüße Thomas