[English]Windows 10-Systeme mit AMD-CPU und Chipsatz sollen mit einem Update gegenüber der Spectre V2-Schwachstelle geschützt werden. Allerdings tun sich eine Menge Klippen auf, die es zu überwinden gilt, um in den Genuss des Spectre V2-Schutzes zu gelangen. Hier ein paar Informationen.
Anzeige
Blog-Leser Karl hat mich vorgestern Abend auf diesen Sachverhalt hingewiesen, wegen des Patchdays kam ich noch nicht dazu, das Thema aufzubereiten.
Update KB4093112 für Windows 10 V1709
Karl war aufgefallen, dass das im Blog-Beitrag Patchday: Windows 10-Updates 10. April 2018 beschriebene kumulative Update KB4093112 für Windows 10 Version 1709 (Fall Creators Update) auch einen Fix für die Spectre V2-Lücke bei AMD-CPUs aufweist:
Provides support to control usage of Indirect Branch Prediction Barrier (IBPB) within some AMD processors (CPUs) for mitigating CVE-2017-5715, Spectre Variant 2 when switching from user context to kernel context (See AMD Architecture Guidelines around Indirect Branch Control and for more details). Follow instructions outlined in KB4073119 for Windows Client (IT Pro) guidance to enable usage of IBPB within some AMD processors (CPUs) for mitigating Spectre Variant 2 when switching from user context to kernel context.
Bei heise.de findet man in diesem Artikel die Aufbereitung des Ganzen. Benötigt werden Microcode-Updates für AMD-Prozessoren, die als BIOS-Update für die jeweiligen Mainboards einfließen müssen. Diese von AMD bereitgestellten Microcode-Updates reichen bis zur 2011 eingeführten AMD-Bulldozer CPU-Generation zurück. Findet sich in den oben verlinkten Dokumenten als Information.
Mit der Kombination BIOS-Update mit neuem Microcode und dem oben genannten Update KB4093112 sind also Systeme für Windows 10 Version 1709 (Fall Creators Update) gegen die Spectre V2-Lücke gehärtet.
Anzeige
Die Krux: Theorie und Praxis sind zwei Schuhe
Um in den Genuss des Spectre V2-Schutzes zu kommen, bräuchte es erstens das Microcode-Update für das betreffende Mainboard. Karl schreibt mir dazu:
So langsam wirft dieses Thema nur [noch] Stilblüten auf. Von 57 Systemen die ich betreue sind erst 11 effektiv gegen Spectre / Meltdown geschützt, für 4 weitere gibt es noch BIOS Updates. 26 Systeme sind noch nicht überprüft. Somit noch bekannterweise 16 ohne Patch.
In Offiziellen Whitepapers stehen bei HP zum Beispiel viele Systeme noch als „pending", das HP Tool Support Assist findet keine BIOS Updates, effektiv gibt es aber eines aus Ende März für 2 Laptop Systeme. Also nicht etwa ein vormals zurückgezogenes.
Sprich die Whitepapers werden nicht mehr gepflegt die Updater Produkte schon gar nicht.
Ein anderes Spiel bei Medion. Dort findet man in der DL des Supports Sektion keine BIOS Updates, aber über die offizielle Themenseite (sogar gepflegt, anders als bei HP).
Bei DELL ist es etwas besser. Dort kommen die BIOS Updates auch im Dell Command Update und Support Assist an.
Asus schreibt mir, dass Mainboards mit Intel B,H,Z 6x / 7x / 8x Chipsets „laut Taiwan" wohl bis Ende Mai Updates bekommen sollen.
Das wäre die Hürde Nummer 1, die der Benutzer nehmen muss – und dabei von den Board-Herstellern im Regen stehen gelassen wird. Die Hürde Nummer 2 besteht darin, dass er nur bestimmte Betriebssysteme nutzen kann.
Update KB4093112 bezieht sich auf Systeme mit Windows 10 Version 1709 (Fall Creators Update). Wer eine andere Windows 10-Version verwendet, steht momentan ebenfalls im Regen, selbst wenn ein BIOS-Update verfügbar ist. Wie schaut es bei Windows Server 2016 aus? Karl hat mir folgenden Auszug zukommen lassen ):
Operating System Updates for GPZ Variant 2/Spectre
Microsoft is releasing an operating system update containing Variant 2 (Spectre) mitigations for AMD users running Windows 10 (version 1709) today. Support for these mitigations for AMD processors in Windows Server 2016 is expected to be available following final validation and testing.AMD Microcode Updates for GPZ Variant 2/Spectre
In addition, microcode updates with our recommended mitigations addressing Variant 2 (Spectre) have been released to our customers and ecosystem partners for AMD processors dating back to the first "Bulldozer" core products introduced in 2011. AMD customers will be able to install the microcode by downloading BIOS updates provided by PC and server manufacturers and motherboard providers. Please check with your provider for the latest updates.We will provide further updates as appropriate on this site as AMD and the industry continue our collaborative work to develop solutions to protect users from security threats.
Da ist alles auf warten gesetzt – also warten, bis OEMs BIOS-Updates und Microsoft Windows-Updates liefern.
Spezieller Registrierungseintrag muss manuell gesetzt werden
Aber es kommt noch besser, denn es gibt eine dritte Hürde. Im Microsofts Dokument Windows Client Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities findet sich die Information, dass die folgenden Schlüssel (zumindest bei Windows Server manuell) zu setzen sind, um den per Microcode-Update und Patch eingeführten Befehl Enable usage of Indirect Branch Prediction Barrier (IBPB) zum Schutz vor Spectre V2 auf AMD-CPUs überhaupt zu aktivieren:
To enable usage of Indirect Branch Prediction Barrier (IBPB) when switching from user context to kernel context:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 64 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Diese Werte weichen von den Intel-Registrierungseinstellungen zur Aktivierung des Schutzes gegen CVE 2017-5715 "Branch Target Injection" ab. Jan-Frederik Timm, den Blog-Leser Karl ebenfalls informierte, hat das Ganze auf computerbase.de in diesem Artikel ebenfalls aufbereitet.
Das Ganze kann man nur noch als 'surreal' oder Alibi-Veranstaltung betrachten. Es gibt potentiell die weiße Salbe, die aber nur wirkt, wenn man diese im Mondschein aufstreicht, sofern eine schwarze Katze von links nach rechts über das Garagendach läuft. Gut, Katzen kommen in der IT nicht vor, ersetzt daher den Mondschein und die Katze durch die oben genannten Bedingungen 1 bis 3, und ihr habt die Fälle, wo das Update gegen Spectre V2 bei AMD wirkt. Danke an Karl für den Hinweis.
Ähnliche Artikel:
Microsoft Patchday Summary 10. April 2018
Patchday: Windows 10-Updates 10. April 2018
Patchday: Updates für Windows 7/8.1/Server April 2018
Neue Intel Spectre CPU-Lücke: Angriffe mit BranchScope
VMware: Updates für ESX-Server mit Spectre/Meltdown Patch
März 2018-Update (Spectre v2) für Surface Pro (2017)
Ubuntu 14.04 LTS erhält Kernel mit Spectre V2-Schutz
Neue Intel Spectre V2-Microcode-Updates (20.02.2018)
Intel gibt Spectre-Patches für Skylake-CPUs erneut frei
Meltdown-/Spectre: Testtool-Übersicht
Anzeige
Da ist dann bei meinem "Samsung"-Laptop nix zu erwarten. Prozessor A4.
Auf der Herstellerseite ist nichts außer alten Treibern. Für Intel gibt es wohl was.
Die Supportnummer ist: 06196 77 555 77
Mit inSpectre #8 vom 2018-04-11 überprüfen!
https://www.grc.com/inspectre.htm
Für mein alten AMD Phenom II X4 965 wird also kein Update mehr erscheinen. Markteinführung 2009.
Alle CPUs die nach 2011 eingeführt wurden sollten Updates erhalten. Für manche Low cost modelle steht es noch nicht fest.
Jetzt liegt es an den Systemanbietern die Updates einzubinden und Bios Versionen zum download anzubieten.
Des weiteren muss der Durchschnittsnutzer die auch noch einspielen. Und da sehe ich das größere Problem. Wer beschäftigt sich schon freiwillig mit dem Bios/Uefi oder Treiber Updates wenn das System ohne Probleme läuft?
Microsoft wird die Sache mit ihren häufigen Updatefelern auch nicht besser machen. Viele haben die Update Funktion schon lahmgelegt da sie merken das, dass System ohne Updates "stabiler" läuft.