Intel muss seine Firmware-Fixes (Microcode-Updates) für einige Prozessoren stoppen. Der Grund: Die Updates enthalten kritische Bugs – die OEMs dürfen die Updates nicht mehr ausrollen. Nachträge: Bugs nachträglich präzisiert; zudem gibt es Microcode-Updates für Linux.
Anzeige
Verharmlosen und dann schnell updaten?
Nix dazu gelernt, möchte man rufen. Erst hat Intel die Schwachstelle in den CPUs, die per Meltdown-Angriff ausnutzbar ist, verharmlost 'works as designed'. Dann hatte Intel letzte Woche damit begonnen, eilig zusammen geschusterte Flicken rauszugeben – wobei der Bug Intel seit Sommer 2017 bekannt war.
Nun muss Intel die Updates zurückrufen und hat das Rollout über die OEMs (Hardware-Hersteller, denke ich mal) gestoppt. Diese sind angewiesen, die Updates zurückzuziehen, bis einer korrigierte Fassung vorliegt. Zumindest berichtet neowin.net dies in diesem Artikel (Martin Geuß hat inzwischen diesen deutschsprachigen Beitrag dazu).
Wo hakt es genau?
Der Grund: Auf den betroffenen Boards kann es nach Installation des Updates zu spontanen Neustarts kommen. Das kommt insbesondere bei Servern ganz gut. Das Problem mit der fehlerhaften Firmware betrifft vor allem ältere Chipsätze aus der Broadwell- und Haswell-Serie.
Anzeige
Ergänzung: Dank diverser Kommentare hier im Blog noch einige Details. Von Intel gibt es eine Pressemitteilung mit folgenden Aussagen zum Problem:
We have received reports from a few customers of higher system reboots after applying firmware updates. Specifically, these systems are running Intel Broadwell and Haswell CPUs for both client and data center.
Zu Deutsch: Intel hat Hinweise von Kunden erhalten, dass Systeme öfters neu starten, nachdem die Firmware-Updates installiert wurden. Das betrifft Intel Broadwell and Haswell CPUs, sowohl auf Client- und Data-Center-Systemen. Intel untersucht das Problem, um die Ursache herauszufinden.
Falls das Ganze eine überarbeitete Firmware erfordert, will Intel diese über die 'normalen Kanäle' verteilen – was immer das heißt. Um zu verhindern, dass Endkunden jetzt alle Updates abdrehen, schreibt Intel:
End-users should continue to apply updates recommended by their system and operating system providers.
Also alles installieren, was Betriebssystemhersteller wie Microsoft, Apple etc. sowie die OEMs der Rechner oder Mainboards bereitstellen, installieren.
Weitere Probleme (Lenovo)
Blog-Leser Trillian hat diesen Kommentar gepostet (danke dafür), der auf das Lenovo-Dokument für Client Systeme hinweist. Dort geht es um Microcode-Updates für die CPUs zum Schließen der Meltdown- und Spectre-Schwachstellen und die zurückgezogenen Intel-Microcode-Updates.
Dort heißt es: Intel stellt Lenovo die erforderlichen CPU-Mikrocode-Updates für die Adressierung der Variante 2 (es geht um die Branch target injection-Spectre-Lücke, CVE-2017-5715). Lenovo integriert den Mikrocode dann in die BIOS/UEFI-Firmware. Intel hat Lenovo vor kurzem über Qualitätsprobleme in zwei dieser Mikrocode-Updates informiert, und über ein weiteres Problem. Diese sind in den Produkttabellen mit "Frühere Aktualisierung X von Intel zurückgezogen" und einem Fußnotenverweis auf eine der folgenden Angaben gekennzeichnet:
*1 – (Kaby Lake U/Y, U23e, H/S/X) Symptom: Intermittierende Systemhänger während des Ruhemodus (S3). Wenn Sie das Firmware-Update bereits durchgeführt haben und das Syste, während des Ruhemodus oder Aufwachens hängenbleibt, gehen Sie bitte zum vorherigen BIOS/UEFI-Level zurück oder deaktivieren Sie den Modus S3 auf Ihrem System. Warten Sie auf das verbesserte Update und wenden Sie dieses an, sobald es verfügbar ist. Wenn Sie das Update noch nicht durchgeführt haben, warten Sie bitte, bis die verbesserte Firmware verfügbar ist.
*2 – (Broadwell E) Symptom: Intermittierender blauer Bildschirm während des Systemneustarts. Wenn Sie das Update bereits durchgeführt haben, empfiehlt Intel, den Firmware-Level so lange weiter zu verwenden, bis ein verbessertes Update verfügbar ist. Wenn Sie das Update nicht durchgeführt haben, warten Sie bitte, bis die verbesserte Firmware verfügbar iste.
*3 – (Broadwell E, H, U/Y; Haswell-Standard, Core Extreme, ULT) Symptom: Intel hat Berichte über unerwartete Seitenfehler erhalten, die sie derzeit untersuchen. Als Vorsichtmaßname forderte Intel Lenovo auf, den Vertrieb dieser Firmware einzustellen.
Microcode-Updates für Linux
Noch eine Ergänzung: Gemäß diesem Artikel hat Intel zum 10. Januar 2018 Microcode-Updates für einige CPUs bereitgestellt, um den Spectre-Bug zu beheben. Details finden sich im Artikel.
Ähnliche Artikel
Sicherheitslücke: Bug in Intel CPUs bedroht Betriebssysteme
Meltdown und Spectre: Was Windows-Nutzer wissen müssen
Infos zu Meltdown und Spectre: Was man wissen sollte – Teil 1
Infos zu Meltdown und Spectre: Was man wissen sollte – Teil 2
Meltdown/Spectre: Leistungseinbußen durch Patches
Meltdown/Spectre: Leistungseinbußen durch Patches – Teil 2
Bringen Meltdown/Spectre die Tech-Industrie ans wanken?
Meltdown/Spectre: Warnung vor erstem Schadcode
Meltdown/Spectre: Google patcht Cloud ohne Leistungsverlust
Anzeige
"lol", gibts doch nicht.
Die kochen doch alle nur mit Wasser
Ganz ganz fader Beigeschmack mit den vermeintlichen "Altsystemen" die ja eigentlich nicht alt oder zu wenig Leistungsstark sind…
Wenn man solche "Praktiken" mal auf andere Bereiche im Leben umlegen würde.
Hier sollte die EU mal die Haftungsregeln verschärfen…
GOLEM:
"Intel selbst hat bei einigen der Updates offenbar auch Probleme festgestellt und diese nach Aussage von Lenovo zurückgezogen. Betroffen sind Kaby-Lake- (U/Y, U23e, H/S/X) und Broadwell-Modelle (E). Bei den Kaby-Lake-Chips soll es zu Problemen im Stromsparmodus S3 kommen, die das System anhalten. Bei einigen Broadwell-CPUs hingegen wurden ab und an auftretende Bluescreens während des Startprozesses beobachtet. Wer die Updates bereits installiert hat, soll diese nach Angaben von Intel weiterhin nutzen. Wer dies noch nicht getan hat, soll auf verbesserte Versionen warten."
quelle:
https://www.golem.de/news/updates-wie-man-spectre-und-meltdown-loswird-1801-132125-4.html
Danke für die Ergänzung.
und noch ein statement hierzu auf HEISE:
"Intel hat in einer neuen Sicherheitsmitteilung bekannt gegeben, dass die Probleme mit spontanten Neustarts nach einem Meltdown/Spectre-Firmware-Update doch nicht nur Prozessoren der Haswell- und Broadwell-Generation (Core i-4000/Core i-5000) betreffen. Laut Executive Vice President Navin Shenoy treten diese auch mit den Prozessor-Familien Skylake (Core i-6000) und Kaby Lake (Core i-7000) auf, außerdem mit den älteren Serien Sandy Bridge (Core i-2000) und Ivy Bridge (Core i-3000). Intel habe die Neustart-Probleme bereits intern nachvollziehen können."
quelle:
https://www.heise.de/newsticker/meldung/Meltdown-und-Spectre-Neustart-Probleme-auch-mit-Skylake-und-Kaby-Lake-CPUs-neue-Intel-Benchmarks-3945803.html
…was interessant ist, da Sandy Bridge und Ivy Bridge ja eigentlich gar keine Fixes bekommen sollten.
Es werden schon erste Pseudo-Patches verteilt:
https://www.heise.de/security/meldung/Vorsicht-vor-Fake-Mails-vom-BSI-mit-angeblichen-Meltdown-Spectre-Patches-3939783.html
Es bestätigt mich doch dahingehend. Ich hatte in den Blog von Günter zu den Beitrag für Normalos auch darauf hingewiesen, dass das ein gefundenes Fressen für Betrüger ist. Das war auch bspw. mit dem sog. "Windows Vers 7 SP 2" oder das mit den "Flash-Player".
In den anderen neue Blog-Beitag von Günter https://www.borncity.com/blog/2018/01/12/meltdown-spectre-warnung-vor-erstem-schadcode
haben auch ergänzend viele geschrieben, dass man eben abwarten muss. Alte Regel ist immer: nichts aus dem Internet ohne eigene Prüfung herunterladen und installieren. Der Weg der Angriffe kommt immer auf die bekannte Art und Weise. Da kann der Intel-Prozessor noch so viele unentdeckte Lücken haben. Unternehemn mit sicherheitsrelevanten Bereich fahren doch schon ( und sollten) eine Schiene fahren, um Spionage abwehren zu können (es sollte so sein, gilt natürlich nicht für die öffentliche Hand, da Problem anders).
Gibt es eigentlich Stellungnahmen von AMI, Award und Phoenix?
Wozu sollen die denn Stellung nehmen?
Die stellen Werkzeugkästen bereit, aus denen die Hersteller von Mainboards dann das eigentliche BIOS für ihr Gerät zusammenstellen. Sie sind weder von der Lücke betroffen, noch sind sie irgendwie an den nun auftauchenden Problemen beteiligt. Es gibt also wenig Gründe dafür, dass die irgendwie Stellung beziehen müssten.
Kein Kommentar, hoffe aber, das ich hier richtig bin.
Wichtige Frage an Günter Born und Windows 7 User mit älterer Hardware: Ist das Sicherheitsqualitätsrollup für Windows 7 für x64-basierte Systeme KB4056894 inzwischen für ältere Intel Hardware fehlerfrei????
Das System auf den ich dieses Update installieren will (zwangsläufig) ist ein Medion Laptop mit Windows 7 x 64 , mit einem Intel Pentium P6000 Prozessor >Arrendale SV. Ich bin für jede aussagekräftige Antwort dankbar.
>Ein AMD System ist schon beschädigt ein weiteres muß ich momentan NICHT haben.
Vorab Danke
ToBu
Auf Intel Hardware egal welchen Alters gab es damit bisher keine generellen Probleme. Die Probleme tauchten nur spezifischen älteren AMD Athlon Serien auf.
Ich kann mich Ingo nur anschließen: Ich habe hier fast ausschließlich Medion-Geräte aus den Jahren 2008/2009 mit Win 7 als Produktionsgeräte. Die ließen sich problemlos aktualisieren. Bugs sind mir bisher keine aufgefallen.
Genau wissen tust Du es nur nach einer Update-Installation. Ein System-Backup wäre hilfreich.
Ich habe mal eine bescheidene Frage, nachdem ich gefühlt das halbe Internet vergeblich abgegrast habe:
Woher bekommt ein normalsterblicher Windows-Nutzer eigentlich die "issued updates" für die Intel-Produkte (ich habe u.a. zwei Haswell und einen Caby-Lake-S zu versorgen)? Mit 'microcode files' kann ich leider nicht viel anfangen.
Ich würde sagen, Ansprechpartner ist der Gerätehersteller (OEM). Dort ist die Expertise, die entscheiden kann, welches Update für welches Gerät geeignet ist. Beispiel: Dell. – Dell hat einen Knowledge Base-Artikel veröffentlicht, der fortlaufend aktualisiert wird. Dort sind Geräte gelistet, für die Updates bereits verfügbar sind (mit Links zu den Updates) oder bald verfügbar sein werden. Freigegeben werden dieses Updates aber wohl erst dann, wenn sie eine Testphase durchlaufen haben.
Heißt also, bei Windows doch nur ein über Bios-Update.
Nun, da schaut es aber eher nach einer längeren Wartephase aus, wenn überhaupt mit etwas gerechnet werden kann. Wenn ich das hier
http://www.pcgameshardware.de/Mainboard-Hardware-154107/News/Spectre-BIOS-Updates-1247555/"
richtig lese, könnte ich mit meinen 4 Jahre alten Haswells, Sockel 1150, mit PCH H97 auch bis zum Nimmerleinstag warten (von wegen "alle Prozessoren der letzten fünf Jahre sollen Sicherheits-Updates für Meltdown und Spectre erhalten") – oder gleich was Neueres kaufen.
Wer weiß, vielleicht ist das ganze Theater ja auch nur eine gut getarnte Marketingkampagne für Prozessorhersteller ;o).
habe mir auch schon überlegt aus welcher Richtung die Schadensmeldung genau gekommen ist. Universität Graz heisst es da allenthalben. Na dann wird da ja mit öffentlichen Geldern Forschung betrieben um unsere Sicherheit zu überprüfen?
Auf der "0ffiziellen" spectre/meltdown Seite welche die lustigen Ikonen vertreibt ist ganz unten allerdings folgendes vermerkt https://spectreattack.com/ :
"This work was supported in part by NSF awards #1514261 and #1652259, financial assistance award 70NANB15H328 from the U.S. Department of Commerce, National Institute of Standards and Technology, the 2017-2018 Rothschild Postdoctoral Fellowship, and the Defense Advanced Research Project Agency (DARPA) under Contract #FA8650-16-C-7622."
Da tauchen illustre Sponsoren auf, zum Beispiel ist DARPA vom US Verteidigungministerium finanziert und vergibt nicht nur harmloses Sponsoring, wie z.B. dieser Artikel bereits im Jahr 2011 behauptete:
"Es handelt sich um eine Software zur automatischen Generierung gefälschter Geheimdokumente, die als Köder dienen und zur Identifikation von Whistleblowern dienen sollen."
http://forum.finanzen.net/forum/Darpa-t452964
Da die Meltdown/Spectre -Forscher von einer grösseren Zahl solcher Sponsoren bezahlt wird von denen man auch sehr merkwürdige Dinge hört (hier die automatisierte Produktion von gefährlichen Fake News), so könnte man tatsächlich vermuten das hinter der Publikation der Lücken noch andere Interessen stecken -von denen man besser nichts wissen sollte….
Alles binär, auch das Vertrauen. – Wäre Intel jetzt chinesisch oder gar … russisch (oh Graus!) wie Huawei und Kaspersky, dann wäre medial längst die Hölle los.
Aber ich bin auch kein Paranoiker: Das meiste vom Murks in der Turbo-Wirtschaft reduziert sich auf Pfusch und Profitgier. Plus natürlich, wenn's rauskommt, der Flucht vor der Verantwortung. (Übrigens, gibt's schon was Neues vom Aktienverkäufer?)
Moin Andreas B.!
"(Übrigens, gibt's schon was Neues vom Aktienverkäufer?)"
Bei dem Aktienverkäufer handelt es sich um keinen Geringeren als Intel CEO Brian Krzanich himself. Krzanich hat am 29. November 2017 644.135 Aktienoptionen ausgeübt und verkauft und zusätzlich weitere 245.743 Aktien über die Börse veräußert, die bereits in seinem Besitz waren. Erlös summa summarum ca. 24 Millionen USD.
Ob die amerikanische Börsenaufsichtsbehörde SEC sich der Sache annimmt ist noch nicht geklärt.
Quelle: http://www.businessinsider.de/intel-ceo-krzanich-sold-shares-after-company-was-informed-of-chip-flaw-2018-1
Für alle Medionisten!
http://community.medion.com/t5/FAQs/BIOS-updates-concerning-the-Meltdown-Sprectre-vulnerability-for/ta-p/53702
http://community.medion.com/t5/FAQs/BIOS-updates-concerning-the-Meltdown-Sprectre-vulnerability-for/ta-p/53702
Gruß
Danke für die Ergänzungen.