[English]Microsoft hat am 20./21. August 2018 noch Intel Microcode-Updates (KB4346084, KB4346085, KB4346086, KB4346087, KB4346088) für Windows 10 freigegeben (danke an GeroH für den Hinweis). Hier ein kurzer Überblick, was der Sachstand ist. Nachtrag: Hinweis auf das Summary of Intel microcode updates für Azure und Windows 10 ergänzt.
Anzeige
Update KB4346084 für Windows 10 V1803
Update KB4346084 (Intel Microcode Update) steht für Windows 10 V1803 zur Verfügung. Laut Microsoft schließt es folgende Schwachstellen:
Intel recently announced that they have completed their validations and started to release microcode for recent CPU platforms related to Spectre Variant 3a (CVE-2018-3640: "Rogue System Register Read (RSRE)"), Spectre Variant 4 (CVE-2018-3639: "Speculative Store Bypass (SSB)"), L1TF (CVE-2018-3615, CVE-2018-3620, CVE-2018-3646: "L1 Terminal Fault"). In addition to microcode updates previously released in KB4100347 to address Spectre Variant 2 (CVE 2017-5715: "Branch Target Injection"), this update also includes microcode updates from Intel for the following CPUs.
Das Update gilt für verschiedene Intel Prozessoren, die im KB-Artikel gelistet sind. Es ist ein eigenständiges Update für Windows 10 Version 1803 (Windows 10 April 2018 Update) und Windows Server Version 1803 (Server Core). Dieses Update wird über Windows Update, WSUS und den Microsoft Update Catalog verteilt. Es enthält auch Intel-Microcode-Updates, die zum Zeitpunkt der Freigabe für diese Betriebssysteme (RTM) bereits veröffentlicht wurden.
Microsoft will über den KB-Artikel zusätzliche Mikrocode-Updates von Intel für dieses Betriebssysteme anbieten, sobald diese für Microsoft verfügbar sind. Der Schutz vor den Schwachstellen ist für Windows-Clientsysteme standardmäßig aktiviert, so dass keine Maßnahmen erforderlich sind.
Bitte stellen Sie sicher, dass der Schutz gegen Spectre Variant 2 für Server über die Registry-Einstellungen aktiviert ist, die im Artikel Windows Server guidance to protect against speculative execution side-channel vulnerabilities dokumentiert sind.
Anzeige
Microsoft rät: Erkundigen Sie sich bei Ihrem Gerätehersteller und bei Intel über deren Websites nach deren Mikrocode-Empfehlung für Ihr Gerät, bevor Sie dieses Update auf Ihr Gerät anwenden.
Anmerkung: Benutzern von Windows 10 V1803 wird noch das Intel Microcode Update KB4100347 angeboten. Im Update Catalog ist das Paket mit Datum 21.8.2018 gelistet, der KB-Artikel gibt als letztes Änderungsdatum Juli 2018 an. Das Paket hatte ich im Mai 2018 im Artikel Windows 10: Updates KB4134660/KB413461/KB4100347 (15.5.2018) beschrieben.
Update KB4346085 für Windows 10 V1709
Update KB4346085 ist das gleiche Intel Microcode Update, wie oben beschrieben, steht aber für Windows 10 V1709 zur Verfügung. Die Liste der unterstützten Updates sind im KB-Artikel aufgeführt. Dort finden sich auch weitere Details und der Link zum Microsoft Update Catalog.
Update KB4346086 für Windows 10 V1703
Update KB4346086 ist das gleiche Intel Microcode Update, wie oben beschrieben, steht aber für Windows 10 V1703 zur Verfügung. Die Liste der unterstützten Updates sind im KB-Artikel aufgeführt. Dort finden sich auch weitere Details und der Link zum Microsoft Update Catalog.
Update KB4346087 für Windows 10 V1607
Update KB4346087 ist das gleiche Intel Microcode Update, wie oben beschrieben, steht aber für Windows 10 V1607 zur Verfügung. Die Liste der unterstützten Updates sind im KB-Artikel aufgeführt. Dort finden sich auch weitere Details und der Link zum Microsoft Update Catalog.
Update KB4346088 für Windows 10 V1507
Update KB4346088 ist das gleiche Intel Microcode Update, wie oben beschrieben, steht aber für Windows 10 V1507 (RTM) zur Verfügung. Die Liste der unterstützten Updates sind im KB-Artikel aufgeführt. Dort finden sich auch weitere Details und der Link zum Microsoft Update Catalog.
Die Liste der Updates kann übrigens im Microsoft Update Catalog eingesehen werden (Updates mit Datum 8/20/2018). Unter KB4090007 findet sich eine Übersicht der unterstützten CPUs.
Ergänzung: Übersicht zu Microcode-Updates
So langsam verliere ich den Überblick, wann wo welches Microcode-Update von Microsoft für Windows freigegeben wurde. Unter KB4093836 findet sich ein Summary of Intel microcode updates für Azure und Windows 10. Dort ist auch angegeben, wo die Updates angeboten werden. Vielleicht hilft es weiter:
Anzeige
Mir wurde gerade https://support.microsoft.com/de-de/help/4100347/intel-microcode-updates-for-windows-10-version-1803-and-windows-server installiert. Also eine ganz andere KB-Nummer.
Jo richtig https://www.catalog.update.microsoft.com/search.aspx?q=4100347
Ach so, ist für meinen älteren Xeon.
Der KB4100347 dürfte die ältere Version für Win1803 sein – vom 24.Jul für
die eher frühen Spectre Lücken …für CPUs ab Sandy Bridge
Von dem neuen KB434608 werden neuere Spectre-2 Lücken geschlossen aber (bisher) nicht für ältere CPUs ( z.B. SandyBridge/Haswell )
…wenn ich es richtig überschaue.
Hier wurde heute auch nur KB4100347 Update angeboten und installiert. Sonst nix.
Genauso bei unserem WSUS.
Nur KB4100347 für 1803 und KB4090007 für 1709.
Kein KB434608x
Microsofts Aussage zu KB4346084 ist mal wieder eine DUMMDREISTE LÜGE: auf einem Core i5-7400, d.h. KabyLake mit CPUID-Signatur 906E9, für den Intel laut eigener Aussage neue Microcode-Updates liefert, zeigt CPUID 0x7 in EDX nur 0x0C000000, d.h. die Flags IBRS_IBPB und STIBP.
Es fehlen die von Intel in https://software.intel.com/security-software-guidance/insights/deep-dive-cpuid-enumeration-and-architectural-msrs dokumentierten Flags L1D_FLUSH, IA32_ARCH_CAPABILITIES und SSBD (0xB…….)!
EINMAL MIT PROFIS ARBEITEN!
Eine WSUS Frage zum MS 4346087 (Intel Microcode Update: "Installieren Sie dieses Update nur für die aufgelisteten Prozessoren."
???? Das sollte sich doch von selbst für die jeweilige CPU installieren ?
Wenn ich das Update für 100 User freigebe weiß ich doch nicht was für Prozessoren da verbaut sind.
Kann ich doch nicht bei jedem einzelnen individuell prüfen. ???
https://support.microsoft.com/de-de/help/4346087/kb4346087-intel-microcode-updates. Kann mir da jemand Info geben, bitte.