Am 27. Januar 2018 hat Microsoft das Update KB4078130 für Windows 7 Service Pack 1, Windows 8.1 und Windows 10 bereitgestellt. Das Update deaktiviert die früheren Patches gegen Spectre 2.
Anzeige
Mit dem Update KB4078130 hat Microsoft wohl die Reißleine gezogen, da die vorher zum Schließen von Spectre 2 ausgerollten Windows-Updates argen Ärger bereiteten.
Hintergrund: Intels verunglückte Microcode-Patches
Intel hat ja vorherige Woche seine Spectre Microcode-Updates zurückgezogen und fordert seine Nutzer auf, diese nicht weiter zu installieren. Ich hatte im Blog-Beitrag Intel zieht Microcode-Patches zurück, Updates sollen kommen darüber berichtet.
Auch Microsoft hat mit früheren Patches die Intel Microcode-Updates in Windows-Update-Pakete eingebunden. Das Microcode-Update sollte die Spectre-Variante 2 (CVE 2017-5715 Branch Target Injection) adressieren. Das ging aber ziemlich in die Hose und auf Windows-Systemen Ärger bereitet. Intel musste feststellen, dass dieser Mikrocode "höhere als erwartete Neustarts und anderes unvorhersehbares Systemverhalten" verursachen kann. In Folge kann es zu "Datenverlust oder Korruption" kommen.
Microsoft schreibt, dass es durch frühere Updates zur Systeminstabilität und unter Umständen zu Datenverlust oder -beschädigung in Windows kommen kann.
Anzeige
Nachdem Intel den Kunden am 22. Januar empfahl, die Implementierung der aktuellen Microcode-Version auf betroffenen Prozessoren einzustellen, musste auch Microsoft handeln. Mit dem Sonderupdate sollen diese Patches jetzt wieder deaktiviert werden. Das Update ist nur im Microsoft Update Catalog erhältlich und setzt die hier dokumentierten Registrierungseinträge, um die Patches gegen CVE 2017-5715 zu deaktivieren. Hier die Befehle, um die Registrierungseinträge manuell zu setzen (beachtet auch die Kommentare weiter unten):
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 1 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 1 /f
Nach der Änderung des Registrierungseintrags ist ein Neustart des Systems erforderlich, damit die Spectre 2-Patches deaktiviert werden.
Statt in der Registrierung herum zu fummeln oder mit dem Update zu experimentieren, kann man auch das im Artikel Vorsicht vor Spectre/Meltdown-Test InSpectre vorgestellte Programm InSpectre (das Tool ist inzwischen als unbedenklich anzusehen) zum Deaktivieren des Patches verwenden.
(Quelle: Gibson Research Corporation)
Anzeige
Unter Linux ist das Chaos auch nicht geringer. Ich habe ein System, das ein BIOS-Update mit Stand 8.1. bekommen hat und seit zwei Wochen sauber und problemfrei läuft. Jetzt wird aber der Microcode-Stand vom November 2017 ausgerollt. Also erst einmal dieses Update blockieren. (Warum sollte ich auf einem sauber funktionierenden System jetzt einen alten Stand einsetzen und mir vielleicht erst dadurch Probleme einfangen.)
Da kann man nur hoffen, dass die Spectre 2 – Lücke tatsächlich nur sehr schwer auszunutzen geht. Für einen Normalanwender ist das ganze Hin und Her doch gar nicht mehr durchschaubar – und alle Infos natürlich nur auf Englisch.
Im Moment sehe ich die Plattform PC eher dem Ende entgegen gehen. Aber vielleicht ist ja genau das auch im Sinne Microsoft, um endlich ein geschlossenes System durchzusetzen und wie Apple und Google horrende Gewinne im App-Store einzufahren (ohne letztlich irgendetwas für die Sicherheit gewonnen zu haben, wie man an den nicht abreißenden Meldungen über kompromittierte Apps in den Stores sieht.)
"um endlich ein geschlossenes System durchzusetzen"
Genau darauf soll es letztendlich hinauslaufen.
Ein Update, das ein Update deaktiviert.
Ganz großes Microsoft-Kino.
Nicht für alle, siehe hier:
Issue added to January 18, 2018—KB4073291 (OS Build 16299.201): "Because of compatibility issues with some versions of antivirus software, this update causes stop errors or abrupt reboots." Speculation: The issue occurs only in x86 version because "This update provides additional protections for 32-Bit (x86) version of Windows 10 1709."
Issue added to January 3, 2018—KB4056890 (OS Build 14393.2007): 'Editing some group policies using GPMC or AGPM 4.0 may fail with error "The data present in the reparse point buffer is invalid. (Exception from HRESULT: 0x80071128)" after installing this update on a domain controller.'
https://www.askwoody.com/forums/topic/january-patch-tuesday-overview/#post-162602
Bedeutet das, wenn bisher kein BIOS Update, so eins verfügbar ist oder war, eingespielt wurde, es uninteressant ist ?
Diese Update ist nur relevant für Systeme mit BIOS Updates ?
Das haut mich jetzt nun echt nicht mehr vom Hocker, ist doch bei Microsoft Gang und gebe das ein Patch eine größere Lücke reist als das Loch was sie damit versucht haben zu Stopfen.
Ich hab das Gefühl die sind momentan alle Total Planlos und Rennen wie aufgescheuchte Hühner herum und legen die ganze zeit nur Faule Eier.
Hallo zusammen,
der ganze Vorgang fördert ein Krisenmanagement zu Tage, was mit einem Satz recht gut zu beschreiben ist; "Thema verfehlt, sechs – setzen."
Okay, als Aussehen stehender hat man immer gut Reden, aber von Mitarbeitern mit 6 oder 7 stelligen Jahresgehalt sollte man soviel Kompetenz erwarten, daß so ein Problem entsprechend kommuniziert und gelöst wird.
Übrigens, bis auf Office 10 habe ich keine Januar Patche von Microsoft eingespielt.
Aber mit Polaris wird sowie so alles besser.
Persönlich bin ich der Meinung, daß nach Windows NT 3.51 die Weichen bei Microsoft völlig falsch gestellt wurden. Software die nicht mehr rückstandslos entfernt werden kann, untermauert meine Meinung.
Gruß
Rainer
Ich verstehe das ganze Microsoft-Bashing hier im Moment überhaupt nicht. Sie ziehen ein Update zurück, für dessen Inhalt eine Drittfirma verantwortlich ist. Der wahre Übeltäter in dieser Sache ist Intel. Intel hat es in 6 Monaten nicht geschafft, ein Microcode-Update zu programmieren, welches fehlerfrei läuft – das ist nicht peinlich, das ist eine Bankrott-Erklärung. Schlimmer gehts nimmer…
Dem kann ich nur zustimmen. Man hat das Gefühl, dass Intel in dem halben Jahr rein gar nichts gemacht hat und nun schleunigst versucht, irgendwas zusammenzuflicken. Das passt auch zu den ersten Intel-Statements vom Anfang dieses Jahres, als man die ganze Sache noch gar nicht richtig für voll genommen hat.
Endlich schreibt es mal einer. Schlussendlich ist das Krisenmanagement bei Intel einfach unfähig.
M.a.W. Linus Torvalds hat recht, wenn er das Krisenmanagement von Intel SCHEISSE findet.
Microsoft war nach derzeitigem Kenntnisstand eine der Firmen, die Intel bereits frühzeitiger informiert hat. Man hätte demnach nicht nur die Patches (im Rahmen der Insider-Builds) entwicklen und testen können. Sondern auch Intel unter Druck setzen, die Microcode-Änderungen rechtzeitiger zum Testen freizugeben und dann auf den Servern der eigenen Datacenter zu testen.
Es kommt schon der Eindruck auf, dass man im Hintergrund die Windows-Anpassungen entwickelt und sich insgeheim darüber gefreut hat, dass es den Mitbewerbern im Markt noch schlechter ergeht (wie Linux als Konkurrent im Servermarkt).
Um Missverständnissen vorzubeugen: Welche Updates genau werden denn damit wieder rückgängig gemacht? z.B. auch das "2018-01 – Monatliches Sicherheitsqualitätsrollup für Windows 8.1 für x86-basierte Systeme (KB4056895)" vom 8.1.18 oder nur die Patches mit dem Microcode?
Wirklich rückgängig gemacht wird damit gar kein Update. Es wird nur EIN Fix deaktiviert, der mit den 2018-01-Patches (Rollup und auch Security Only) eingeführt wurde. Die anderen ebenfalls mit diesen Sammelupdates eingeführten Fixes sind davon nicht betroffen und bleiben aktiv.
Danke für die Klarstellung. Ist denn das Update auch empfehlenswert, wenn man keine Probleme mit dem Patch hat? Ich habe kein Microcode-/BIOS-Update eingespielt.
Ich würde ja eigentlich erwarten, dass die Updatesuche den Fix anbietet…
Genau dafür wird das Paket m.W. nicht von WU ausgerollt, sondern steht für Betroffene im Microsoft Update Catalog bereit.
Das hätte es nicht gebraucht, wenn es Einzelpatches gäbe, wie sie vor der Zeit der Rollups üblich waren. Da hat man einfach den fehlerhaften Patch nicht installiert, bzw. wieder deinstalliert.
So, wie es im Moment läuft, ist es stümperhaft, wenn man einen Patch braucht, um eine Funktion eines Rollups zu deaktivieren, damit man wenigstens auf die nicht fehlerhaften Patches nicht auch verzichten muss.
Moin @ All!
Das Deaktivieren der Meltdown / Spectre Patches mit dem Tool InSpectre funktioniert unter Windows 7 Pro 64x einwandfrei. Nach dem Betätigen der Disable Buttons nicht das Rebooten der Maschine vergessen…
a)
In deiner Registry ist ein Fehler.
FeatureSettingsOverrideMask muss 3 sein, sowohl bei enable als auch bei disable identisch.
Bei dir steht aber 1.
b)
Für Enable gibt es einen zusätzliche n dritten Registry-Eintrag:
reg add "HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Virtualization" /v MinVmVersionForCpuBasedMitigations /t REG_SZ /d "1.0" /f
https://support.microsoft.com/en-us/help/4072698/windows-server-guidance-to-protect-against-the-speculative-execution#switch
c)
Nach Update KB4078130 steht in meiner Registry
FeatureSettingsOverride=1
FeatureSettingsOverrideMask=3
Also weder 0 noch 3.
Also ist der Meltdown-Fix weiterhin aktiv, nur der Fix für Spectre Variation 2 (Branch target injection vulnerability) wurde abgeschaltet.
ist denn der Meltdown Patch auch nicht mehr empfohlen?
Ich dachte es gehe nur darum den Intel Spectre Patch zurückzunehmen.
In den Microsoft-Artikeln stecken ebenfalls Fehler.
Die Registry-Anweisungen in den grauen Feldern sind korrekt (FeatureSettingsOverrideMask=3).
Die Registry-Anweisungen etwas weiter unten sind teilweise falsch (FeatureSettingsOverrideMask=1).
Der Patch KB4078130 macht es richtig (FeatureSettingsOverrideMask=3).
FeatureSettingsOverride=
0 = Both Meltdown and Spectre Mitigations Enabled
1 = Meltdown Enabled and Spectre Disabled
2 = Meltdown Disabled and Spectre Enabled
3 = Both Meltdown and Spectre Mitigations Disabled
immer FeatureSettingsOverrideMask=3
Ist diese Maske ungleich 3, dann wird FeatureSettingsOverride vermutlich gar nicht beachtet.
OK, danke für die Rückmeldung.
Im geänderten Artikel steht jetzt FeatureSettingsOverride=3.
Also Meltdown-Fix und Spectre-Fix aus.
Der Meltdown-Fix kann aber an bleiben, nur Spectre muss ausgeschaltet werden, also
FeatureSettingsOverride=1
(so wie es der Patch macht).
@ Bolko
Kann ich so für meine Windows 7 Maschinen bestätigen. DWORD-Wert von FeatureSettingsOverrideMask immer 3. Die DWORD-Werte von FeatureSettingsOverride je nach Enable/Disabled Konstellation wie von Dir angegeben.
Nach neuen Tests ist es egal, ob FeatureSettingsOverrideMask=3 oder FeatureSettingsOverrideMask=1 gesetzt ist.
KB4078130 setzt den Wert nicht auf einen festen Wert, sondern wendet eine Bit-Maske an.
Das entsprechende Bit ist dann sowohl bei Wert 1 als auch bei Wert 3 gesetzt.
War der Wert vorher gar nicht vorhanden, steht er hinterher auf 1.
Stand der Wert vorher auf 1, dann bleibt er auf 1
Stand der Wert vorher auf 3, dann bleibt er auf 3.
Stand der Wert vorher auf 2, dann wird er zu 3.
Ich finde, Microsoft sollte das besser dokumentieren.
1=10bin Spectre2 aus
2=01 Meltdown aus
3=11 alles aus
du aktivierst die Bits der Maske mit Einsen,
1=10bin, 2=01bin, 3=11bin
Für Windows 7:
KB4056897 : security-only Patch gegen Meltdown.
Kernel Version 6.1.7601.24000
Nebenwirkungen:
a) Abstürze und Bootschleifen auf AMD K8 und K9
b) Abstürze auf Intel mit fehlerhaften Microcodes
Fix für a)
KB4073578 – Kernel Version 6.1.7601.24009
Fix für b)
KB4078130 – schaltet Spectre-Fix ab.
Bei mir (Win7 x64Pro) ist Enabled Spectre Protection ausgegraut, sicher deshalb, da ich keine Intel-Microcodes für BIOS bisher erhalten habe.
Zur Sicherheit für mich: Dann muss ich das KB4078130 doch nicht installieren oder?
Weiter oben habe ich auf eine ähnliche Frage bisher keine Antwort erhalten.
Die Microcodes gibt es nicht nur für BIOS, sondern auch als Windows-Update.
Microsoft hat keine Kontrolle und kein internes Wissen über diese Microcode-Updates, sondern die hat Intel.
Der Windows-User hat ebenfalls keinen Einblick ob Microcode-Updates funktionieren oder ob sie überhaupt in irgend einem Rollup drin sind.
Intel liefert fehlerhafte Microcodes an Microsoft und Microsoft erfährt von Fehlern erst Tage oder Wochen später.
Bis dahin sind Daten aber evtl. bereits korrupt.
Also sollte man KB4078130 installieren bzw Spectre manuell in der Registry abschalten bis es funktionierende Microcode-Updates gibt.
Man sollte hier nicht beta-Tester für Intel oder Microsoft spielen, sondern die fehlerhaften und potentiell fehlerhaften Updates abschalten und sich perspektivisch von Windows und Intel abwenden.
Intel hat es in jetzt beinahe 7 Monaten nicht geschafft, funktionierende Microcode-Updates zu bringen und Microsoft musste die Patches zwei mal nachbessern und sie funktionieren immer noch nicht. Nur mal nebenbei sei erwähnt, dass der Meltdown-Patch unter 32-Bit Windows nicht funktioniert.
Die Patches waren:
a) inkompatibel mit AMD K8 und K9
b) inkompatibel mit Haswell und Broadwell
c) inkompatibel mit 32-Bit
d) unvollständig, weil Spectre weiterhin offen ist.
Also kann man die Annahme, das Intel und Microsoft Windows Marktführer sind eigentlich abhaken.
Aus technischer Sicht sind sie es nicht.
Seitdem ich mich vor vielen Jahren von Commodore Amiga her kommend (Multitasking Betriebssystem) mit Microsofts "Primitiv-OS" Windows befassen musste, da war mir klar dass die Welt sich einmal mehr von Angebern und Blendern hat verführen lassen.
Was Windows heute kann, dazu hätte Niklaus Wirth damals mit seinem Oberon -OS vielleicht 5 Jahre Entwicklungszeit benötigt, eher weniger -und zwar mit einem Team von nur 7 Programmierern.
Und dann wäre danach aber ein Betriebssystem vorhanden gewesen auf dem dann die Software- Entwickler von Anwendungen auf bereits gebrauchsfertige und leistungsfähige Module hätten zugreifen können. Die Softwareentwickler würden zudem auf einem OS aufsetzen welches infolge durchdachtem logischem modularen Aufbau keine derart massiven Sicherheitslücken hätten entstehen lassen.
Mir ist klar dass MS -Windows inzwischen mehr Arbeitszeit sinnlos vernichtet hat als jede andere mir bekannte Technologie.
Windows gleicht einer Art Cheops Pyramide, Millionen von klugen gut ausgebildeten Arbeitskräften mussten und müssen sich selber für die geheimen Wünsche ihres "Pharao" zerschleissen und ausbluten lassen. Die Chef- Architekten der Microsoft -Pyramide waren allerdings vor allem so genannte Patent Trolle, so wie Nathan Myhrvold. https://en.wikipedia.org/wiki/Nathan_Myhrvold
Windows ist ein Flickenteppich aus Technologie welches von verschiedener Seite hinzugekommen war, es ist in der Folge derart sinnlos abartig kompliziert, so dass man (respektive ich) glauben könnte dass die Entwickler vor allem die Vernichtung von Arbeitszeit im Auge gehabt hatten.
Windows ist auch eine Art Büchse der Pandora, die Softwareentwickler die sie öffnen müssen tun gut daran nicht zu viel ihrer verborgenen Schichten aufzustechen, damit man sich nur ja nicht mit Dingen befassen muss die aus den über Patent Trolling der mathematischen Ökonomen Gates und Myhrhold zusammen geflickten Softwarestrukturen entweichen könnten.
Sorry, dass ich das sagen muss: Das ist wirklich kompletter Nonsens, den du da schreibst. Man kann ja durchaus verärgert sein, aber deshalb unhaltbaren Quatsch in die Welt zu setzen bringt niemandem etwas. Man schaue nur mal in die Linux-Welt, da sieht es auch nicht wirklich besser aus und da programmieren mehr als 7 Leute schon länger als 5 Jahre dran rum.
Retpoline (Return + Trampoline) als Gegenmaßnahme gegen Spectre Variation 2 (Branch target injection vulnerability) könnte Microsoft ebenfalls in den Kernel einbauen. Dazu müsste nur der Pass2 im Compiler leicht angepasst werden und der Kernel neu kompiliert werden.
Bei Linux wurde das so gemacht und es funktioniert.
Apple konnte Retpoline ebenfalls einbauen, weil MacOS und iOS geschlossene Systeme sind und Apple alle Quellcodes hat.
Bei Windows aber würde das nicht vollständig funktionieren, weil der Kernel die Treiber lädt und Microsoft nicht sämtliche Quellcodes der Treiber hat.
Alle Treiber müssten ebenfalls neu kompiliert werden, damit Retpoline eingebaut wird und das kann Microsoft nicht, sondern das können nur die jeweiligen Hersteller machen.
Da offenbart sich ein immanenter Konstruktionsfehler von Windows, nämlich die Fremd-Treiber, die Microsoft nicht unter Kontrolle hat, weil sie closed source sind.
Dieses Problem kann Microsoft nicht fixen, ohne Windows ebenfalls entweder zu einem geschlossenen System zu machen oder aber alle Hardwarehersteller müssten den Quellcode der Treiber veröffentlichen.
Auch bei Linux sind z.B. die NVidia-Treiber closed source.
So wie ich das erkennen kann ist Server 2012 Standard nicht davon betroffen…
Liegt das daran das vorne rein keine Server 2012
Spectre Updates ausgeliefert wurden?!
Das bedeutet doch aber auch, dass eine Schadsoftware die Patches außer Kraft setzen kann. Wenn es gelingt, die Registry-Keys zu setzen und einen Reboot zu provozieren, dann ist der (bisherige, unvollständige) Spectre-2-Schutz ausgehebelt. Da kann man nur hoffen, dass diese Methodik später wieder ausgebaut wird. Ansonsten kann man sich die ganze Patcherei ja auch gleich sparen. Powershell-Scripte, die RegKeys setzen, sind im Malware-Bereich doch heute schon üblich …
Man das etwas entschärfen, indem man die UAC Stufe hoch setzt.
Bei Vista war das Standard, ab Windows 7 wurde die Stufe niedriger gesetzt, um den Komfort zu steigern. Das gibt dann allerdings den Leuten, die die Stufe wieder hoch setzen, einen besseren Schutz, da der Standard niedriger ist, den Malware in der Regel nutzt.
Die UAC nützt einem aber nichts, wenn sich die Schadsoftware hinter oder in einem legalen Programm versteckt. Oder die PowerShell selbst von Sicherheitslücken betroffen ist. So wie die neue PowerShell Core 6 gerade erst in diesem Monat gegen Lücken des .NET Core abgedichtet werden musste.
Dass mit den RegKeys ist sicher eine verständliche Lösung in dieser Anfangszeit. Aber entweder man kann sich auf darauf verlassen, dass Patches auch wirken, oder eben ausgehebelt werden können. So kann man nie sicher sein. Wüsste auch nicht, dass der Defender oder eine andere Schutzsoftware diese Keys überwacht. So ist das nur ein Ausdruck davon, dass im Moment relativ ungerichtet umhergemurkst wird, weil keiner weiß, was man wirklich tun kann und wie verheerend sich Änderungen auswirken.
Jetzt ist das Chaos perfekt : Microsoft bringt ein
Update gegen seine Updates. Nachdem die Updates
von Patchday Januar 2018 bei mir Kolatoralschäden
verursacht haben, so daß ich Format C und eine
Neuinstallation von Windows 7 machen mußte, habe
ich danach keine Updates vom Januar 2018 installiert.
KB4056894 – KB4056897 – KB4056568 sind also bei
mir nicht installiert.
Der Status meines PC ist der Stand nach dem Patchday
vom Dezember 2017. Meine Fragen an die User hier :
Muß ich das Update KB4078130 installieren ?
Gibt es Updates und Patches gegen Sicherheitslücken
in den Prozessoren, welche keine Kolatoralschäden auf
dem PC verursachen ?
Windows 7 Home Premium 32 Bit SP1 INTEL.
Du benötigst das Update nicht. Das Kumulative Sicherheitsupdate für Internet Explorer KB4056568 ist wichtig und unproblematisch.
Hallo Frank !
Das Update KB4056568 ist schon installiert.
Vielen Dank für Deine Hilfe.
Viele Grüße aus Bangkok / Thailand
von Hans
Hallo Frank !
Auch 8 Tage nach der Installation von KB4056568
läuft mein PC immer noch total normal. Dein Tipp
zur Installation dieses Updates war goldrichtig.
Nochmal vielen Dank dafür.