Microsoft hat Microcode-Updates für Windows 10 V1607 bis 1809 freigegeben. Es handelt sich um überarbeitete Varianten von Intel Microcode Updates, die im Februar 2019 ausgerollt werden.
Anzeige
Eine Übersicht der Intel Microcode-Updates (für Windows Server 2016 und Windows 10 Version 1607) findet sich hier, Details gibt es in den nachfolgend aufgeführten KB-Beiträgen.
- Windows 10 1809: KB4465065 – Microsoft Update Catalog KB4465065
- Windows 10 1803: KB4346084 – Microsoft Update Catalog KB4346084
- Windows 10 1709: KB4346085 – Microsoft Update Catalog KB4346085
- Windows 10 1703: KB4346086 – Microsoft Update Catalog KB4346086
- Windows 10 1607: KB4346087 – Microsoft Update Catalog KB4346087
Die Intel Microcode-Updates adressieren folgende Seitenkanalangriffe.
- Spectre Variant 3a (CVE-2018-3640: "Rogue System Register Read (RSRE)")
- Spectre Variant 4 (CVE-2018-3639: "Speculative Store Bypass (SSB)")
- L1TF (CVE-2018-3620, CVE-2018-3646: "L1 Terminal Fault")
Die Intel Microcode-Updates stehen im Microsoft Update Catalog zum Download bereit. (via)
Anzeige
Werden solche microcode Updates eigentlich irgendwie in die Biosebene oder in speziell dafür vorhandene Prozessorregister reingeschrieben, so dass sie quasi permanent sind, oder muss ich die nach jeder windows Neuinstallation wieder einspielen? Sprich: ist es eine Softwarelösung auf Betriebssystemebene, oder auf quasi-Hardwareebene (Bios/CPU)?
Sehe solche microcode Updates ja auch manchmal für Linux und Frage mich jedes mal genau dasselbe, wie hier bei Windows. Also auch folglich bspw. den Fall eines Windows + Linux dualboot-systems. Müssen diese Updates dann auf demselben Rechner jeweils gleichzeitig für Linux und für Windows installiert werden, oder schreibt das Microcode-update für Windows das ganze in die CPU, so dass ich beim nächsten booten in Linux diese Updates nicht nochmal dort mit dem entsprechenden Linux microcode Update wiederholen muss?
Die Microcode-Updates, die Microsoft ausliefert, werden m.W. beim Betriebssystemstart geladen. Die Variante, die ins BIOS/UEFI geschrieben werden muss, dafür ist der Board-Hersteller zuständig. Damit sollten sich deine restlichen Fragen auch beantworten. Da Linux neu startet, wird auch dort das Update separat geladen.
Vielen lieben Dank für die Erklärung und Beantwortung meiner Fragen :)
und bei diesem neustart wird ein eintrag ins bios/cmos/uefi geschrieben der angibt, was von wo beim nächsten booten geladen werden soll. die hersteller sind verpflichtet die uefi spezifikation die genau das beinhaltet, einzuhalten. "extensible (= erweiterbares) firmware interface" maßgeblich stammt die, inkl. secure boot ™, von microsoft. sind diese "updates" fehlerhaft kann genau wie bei herkömmlichen bios-updates hardwaredefekt die folge sein, wie wir zu beginn letzten jahres, für manche evtl. sehr einprägsam, erleben durften.
Leider habe ich für meinen etwas älteren Dell E7440 und E6440 noch keine neuen Bios Updates gefunden, daher habe ich dieses Update installiert.
Bisher ohne Probleme. Die SSD Sata Evo ist gleich schnell geblieben.
Für die ersten Spectre Meltdown und Melton Lücken gabs doch etliche Testprogramme.
Gibt es für die neuen Microcode-Updates vergleichbares?
Vielen Dank für den Beitrag
Dieter
Für die genanneten Dell Notebooks existieren definitiv bereits BIOS-Upgrades mit den Microcode Patches gemäß CVE-2018-3639 und CVE-2018-3640.
E7440 (BIOS A27 vom 31.08.2018):
https://www.dell.com/support/home/de/de/dedhs1/drivers/driversdetails?driverId=KDFY1&osCode=W764&productCode=latitude-e7440-ultrabook
E6440 (BIOS A23 vom 31.10.2018):
https://www.dell.com/support/home/de/de/dedhs1/drivers/driversdetails?driverId=5NFD3&osCode=W764&productCode=latitude-e6440-laptop
Prüfen des Schutzstatus kannst Du mit der aktuellen Version 1.0.12 des SpeculationControl Powershell Commandlets:
https://www.powershellgallery.com/packages/SpeculationControl/1.0.12
Vielen Dank
Diese Bios habe ich damals schon installiert.
Spectre Variant 3a (CVE-2018-3640: "Rogue System Register Read (RSRE)")
Spectre Variant 4 (CVE-2018-3639: "Speculative Store Bypass (SSB)")
wird damit auch behoben aber:
L1TF (CVE-2018-3620, CVE-2018-3646: "L1 Terminal Fault")
leider nicht.
Installiert ihr die Updates?
Ich stehe langsam auf dem Standpunkt, dass die Nachteile die Vorteile überwiegen.
BIOS-Updates ok, aber bei diesem Softgefrickel fehlt mir das Vertrauen.
Wenn das eine klare und sichere Sache wäre, würde MS die Updates ohne Wenn und Aber ausrollen.
Außerdem sehe ich auf PC-Ebene (Win10) nicht gerade den Angriffs-Schwerpunkt für Spectre?
Hallo,
zumindest KB4346086 wurde heute Nacht im WSUS bei mir revisioniert.
Grüsse aus dem sonnigen Stuttgart
Laut WSUS bei uns auch am 16.05