{"id":203276,"date":"2018-04-12T01:41:46","date_gmt":"2018-04-11T23:41:46","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=203276"},"modified":"2023-03-16T12:56:48","modified_gmt":"2023-03-16T11:56:48","slug":"windows-10-spectre-v2-update-fr-amd-cpus","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/04\/12\/windows-10-spectre-v2-update-fr-amd-cpus\/","title":{"rendered":"Windows 10 Spectre V2-Update KB4093112 für AMD-CPUs"},"content":{"rendered":"

[English<\/a>]Windows 10-Systeme mit AMD-CPU und Chipsatz sollen mit einem Update gegen\u00fcber der Spectre V2-Schwachstelle gesch\u00fctzt werden. Allerdings tun sich eine Menge Klippen auf, die es zu \u00fcberwinden gilt, um in den Genuss des Spectre V2-Schutzes zu gelangen. Hier ein paar Informationen.<\/p>\n

<\/p>\n

\"\"Blog-Leser Karl hat mich vorgestern Abend auf diesen Sachverhalt hingewiesen, wegen des Patchdays kam ich noch nicht dazu, das Thema aufzubereiten.<\/p>\n

Update KB4093112 f\u00fcr Windows 10 V1709<\/h2>\n

Karl war aufgefallen, dass das im Blog-Beitrag Patchday: Windows 10-Updates 10. April 2018<\/a> beschriebene kumulative Update KB4093112<\/a> f\u00fcr Windows 10 Version 1709 (Fall Creators Update) auch einen Fix f\u00fcr die Spectre V2-L\u00fccke bei AMD-CPUs aufweist:<\/p>\n

Provides support to control usage of Indirect Branch Prediction Barrier (IBPB) within some AMD processors (CPUs) for mitigating CVE-2017-5715, Spectre Variant 2 when switching from user context to kernel context (See AMD Architecture Guidelines around Indirect Branch Control<\/a> and for more details). Follow instructions outlined in KB4073119<\/a> for Windows Client (IT Pro) guidance to enable usage of IBPB within some AMD processors (CPUs) for mitigating Spectre Variant 2 when switching from user context to kernel context.<\/p><\/blockquote>\n

Bei heise.de findet man in diesem Artikel<\/a> die Aufbereitung des Ganzen. Ben\u00f6tigt werden Microcode-Updates f\u00fcr AMD-Prozessoren, die als BIOS-Update f\u00fcr die jeweiligen Mainboards einflie\u00dfen m\u00fcssen. Diese von AMD bereitgestellten Microcode-Updates reichen bis zur 2011 eingef\u00fchrten AMD-Bulldozer CPU-Generation zur\u00fcck. Findet sich in den oben verlinkten Dokumenten als Information.<\/p>\n

Mit der Kombination BIOS-Update mit neuem Microcode und dem oben genannten Update KB4093112<\/a> sind also Systeme f\u00fcr Windows 10 Version 1709 (Fall Creators Update) gegen die Spectre V2-L\u00fccke geh\u00e4rtet.<\/p>\n

Die Krux: Theorie und Praxis sind zwei Schuhe<\/h2>\n

Um in den Genuss des Spectre V2-Schutzes zu kommen, br\u00e4uchte es erstens das Microcode-Update f\u00fcr das betreffende Mainboard. Karl schreibt mir dazu:<\/p>\n

So langsam wirft dieses Thema nur [noch] Stilbl\u00fcten auf. Von 57 Systemen die ich betreue sind erst 11 effektiv gegen Spectre \/ Meltdown gesch\u00fctzt, f\u00fcr 4 weitere gibt es noch BIOS Updates.\u00a0 26 Systeme sind noch nicht \u00fcberpr\u00fcft. Somit noch bekannterweise 16 ohne Patch.<\/p>\n

In Offiziellen Whitepapers stehen bei HP<\/b> zum Beispiel viele Systeme noch als \u201epending\"<\/i>, das HP Tool Support Assist findet keine<\/i> BIOS Updates, effektiv gibt es aber eines aus Ende M\u00e4rz f\u00fcr 2 Laptop Systeme. Also nicht etwa ein vormals zur\u00fcckgezogenes.<\/p>\n

Sprich die Whitepapers werden nicht mehr gepflegt die Updater Produkte schon gar nicht.<\/p>\n

Ein anderes Spiel bei Medion<\/b>. Dort findet man in der DL des Supports Sektion keine BIOS Updates, aber \u00fcber die offizielle Themenseite (sogar gepflegt, anders als bei HP).<\/p>\n

Bei DELL<\/b> ist es etwas besser. Dort kommen die BIOS Updates auch im Dell Command Update und Support Assist an.<\/p>\n

Asus<\/b> schreibt mir, dass Mainboards mit Intel B,H,Z 6x \/ 7x \/ 8x Chipsets \u201elaut Taiwan\" wohl bis Ende Mai Updates bekommen sollen.<\/p><\/blockquote>\n

Das w\u00e4re die H\u00fcrde Nummer 1, die der Benutzer nehmen muss \u2013 und dabei von den Board-Herstellern im Regen stehen gelassen wird. Die H\u00fcrde Nummer 2 besteht darin, dass er nur bestimmte Betriebssysteme nutzen kann.<\/p>\n

Update KB4093112<\/a> bezieht sich auf Systeme mit Windows 10 Version 1709 (Fall Creators Update). Wer eine andere Windows 10-Version verwendet, steht momentan ebenfalls im Regen, selbst wenn ein BIOS-Update verf\u00fcgbar ist.\u00a0 Wie schaut es bei Windows Server 2016 aus? Karl hat mir folgenden Auszug zukommen lassen ):<\/p>\n

Operating System Updates for GPZ Variant 2\/Spectre<\/strong>
\n<\/b>Microsoft is releasing an operating system update containing Variant 2 (Spectre) mitigations for AMD users running Windows 10 (version 1709) today. Support for these mitigations for AMD processors in Windows Server 2016 is expected to be available following final validation and testing.<\/p>\n

AMD Microcode Updates for GPZ Variant 2\/Spectre<\/strong>
\n<\/b>In addition, microcode updates with our recommended mitigations addressing Variant 2 (Spectre) have been released to our customers and ecosystem partners for AMD processors dating back to the first \"Bulldozer\" core products introduced in 2011. AMD customers will be able to install the microcode by downloading BIOS updates provided by PC and server manufacturers and motherboard providers.\u00a0 Please check with your provider for the latest updates.<\/p>\n

We will provide further updates as appropriate on this site as AMD and the industry continue our collaborative work to develop solutions to protect users from security threats.<\/p><\/blockquote>\n

Da ist alles auf warten gesetzt \u2013 also warten, bis OEMs BIOS-Updates und Microsoft Windows-Updates liefern.<\/p>\n

Spezieller Registrierungseintrag muss manuell gesetzt werden<\/h3>\n

Aber es kommt noch besser, denn es gibt eine dritte H\u00fcrde. Im Microsofts Dokument Windows Client Guidance for IT Pros to protect against speculative execution side-channel vulnerabilities<\/a> findet sich die Information, dass die folgenden Schl\u00fcssel (zumindest bei Windows Server manuell) zu setzen sind, um den per Microcode-Update und Patch eingef\u00fchrten Befehl Enable usage of Indirect Branch Prediction Barrier <\/em>(IBPB) zum Schutz vor Spectre V2 auf AMD-CPUs \u00fcberhaupt zu aktivieren:<\/p>\n

To enable usage of Indirect Branch Prediction Barrier (IBPB) when switching from user context to kernel context:<\/strong><\/p>\n

reg add \"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Memory Management\" \/v FeatureSettingsOverride \/t REG_DWORD \/d 64 \/f<\/code><\/p>\n

reg add \"HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Control\\Session Manager\\Memory Management\" \/v FeatureSettingsOverrideMask \/t REG_DWORD \/d 3 \/f<\/code><\/p>\n

Diese Werte weichen von den Intel-Registrierungseinstellungen zur Aktivierung des Schutzes gegen CVE 2017-5715 \"Branch Target Injection\" ab. Jan-Frederik Timm, den Blog-Leser Karl ebenfalls informierte, hat das Ganze auf computerbase.de in diesem Artikel<\/a> ebenfalls aufbereitet.<\/p>\n

Das Ganze kann man nur noch als 'surreal' oder Alibi-Veranstaltung betrachten. Es gibt potentiell die wei\u00dfe Salbe, die aber nur wirkt, wenn man diese im Mondschein aufstreicht, sofern eine schwarze Katze von links nach rechts \u00fcber das Garagendach l\u00e4uft. Gut, Katzen kommen in der IT nicht vor, ersetzt daher den Mondschein und die Katze durch die oben genannten Bedingungen 1 bis 3, und ihr habt die F\u00e4lle, wo das Update gegen Spectre V2 bei AMD wirkt. Danke an Karl f\u00fcr den Hinweis.<\/p>\n

\u00c4hnliche Artikel:
\n<\/strong>Microsoft Patchday Summary 10. April 2018<\/a>
\nPatchday: Windows 10-Updates 10. April 2018<\/a>
\nPatchday: Updates f\u00fcr Windows 7\/8.1\/Server April 2018<\/a>
\nNeue Intel Spectre CPU-L\u00fccke: Angriffe mit BranchScope<\/a>
\nVMware: Updates f\u00fcr ESX-Server mit Spectre\/Meltdown Patch<\/a>
\nM\u00e4rz 2018-Update (Spectre v2) f\u00fcr Surface Pro (2017)<\/a>
\nUbuntu 14.04 LTS erh\u00e4lt Kernel mit Spectre V2-Schutz<\/a>
\nNeue Intel Spectre V2-Microcode-Updates (20.02.2018)<\/a>
\nIntel gibt Spectre-Patches f\u00fcr Skylake-CPUs erneut frei<\/a>
\nMeltdown-\/Spectre: Testtool-\u00dcbersicht<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Windows 10-Systeme mit AMD-CPU und Chipsatz sollen mit einem Update gegen\u00fcber der Spectre V2-Schwachstelle gesch\u00fctzt werden. Allerdings tun sich eine Menge Klippen auf, die es zu \u00fcberwinden gilt, um in den Genuss des Spectre V2-Schutzes zu gelangen. Hier ein paar … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,3694],"tags":[6942,4328,6873,4315,4378],"class_list":["post-203276","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-10","tag-kb4093112","tag-sicherheit","tag-spectre-v2","tag-update","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/203276","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=203276"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/203276\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=203276"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=203276"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=203276"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}