{"id":209294,"date":"2018-09-14T17:18:54","date_gmt":"2018-09-14T15:18:54","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=209294"},"modified":"2023-05-27T00:06:06","modified_gmt":"2023-05-26T22:06:06","slug":"windows-10-microcode-updates-13-9-2018-und-wsus-chaos","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2018\/09\/14\/windows-10-microcode-updates-13-9-2018-und-wsus-chaos\/","title":{"rendered":"Windows 10 Microcode-Updates (13.9.2018) und WSUS-Chaos"},"content":{"rendered":"<p><img loading=\"lazy\" decoding=\"async\" style=\"float: left; margin: 0px 10px 0px 0px; display: inline;\" src=\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/win102.jpg\" width=\"58\" height=\"58\" align=\"left\" \/>[<a href=\"https:\/\/borncity.com\/win\/2018\/09\/14\/windows-10-microcode-updates-09-13-2018-wsus-chaos\/\" target=\"_blank\" rel=\"noopener\">English<\/a>]Microsoft hat erneut einen Satz an Microcode-Updates f\u00fcr diverse Windows 10-Builds freigegeben. Diese Updates sollen verschiedene Prozessoren gegen die Spectre V2-Schwachstelle absichern. Hier einige Informationen zu den Updates, sowie Chaos bei den KB-Beschreibungen. Zudem gibt es noch einen Nachtrag zum Thema WSUS und (revidierte) Microcode-Updates, die eigentlich nicht ausgeliefert worden sein d\u00fcrften, jetzt aber wieder einschlagen.<\/p>\n<p><!--more--><\/p>\n<h2>Microcode-Updates f\u00fcr Windows 10<\/h2>\n<p><img loading=\"lazy\" decoding=\"async\" src=\"https:\/\/vg06.met.vgwort.de\/na\/514c2b1213254a2dbc7bbc73a021536b\" alt=\"\" width=\"1\" height=\"1\" \/>Es ist hier im Blog bereits <a href=\"https:\/\/borncity.com\/blog\/2018\/07\/25\/intel-microcode-updates-kb4100347-kb4090007-juli-2018\/#comment-62646\" target=\"_blank\" rel=\"noopener\">als Kommentar<\/a> und auch <a href=\"https:\/\/borncity.com\/blog\/2018\/09\/12\/patchday-windows-10-updates-11-september-2018\/#comment-62632\" target=\"_blank\" rel=\"noopener\">hier<\/a> als Kommentar zu WSUS von Blog-Lesern eingetragen worden, und ich habe den Hinweis per Mail erhalten &#8211; (danke daf\u00fcr). Es geht um folgende Updates (die Links zeigen auf den Microsoft Update Catalog, wo dann auch die KB-Artikel verlinkt werden).<\/p>\n<ul>\n<li><a href=\"https:\/\/www.catalog.update.microsoft.com\/search.aspx?q=kb4100347\" target=\"_blank\" rel=\"noopener\">KB4100347<\/a>: Windows 10 V1803\/ Server 2016 (1803)<\/li>\n<li><a href=\"https:\/\/www.catalog.update.microsoft.com\/search.aspx?q=kb4090007\" target=\"_blank\" rel=\"noopener\">KB4090007<\/a>: Windows 10 V1709\/ Server 2016 (1709)<\/li>\n<li><a href=\"https:\/\/www.catalog.update.microsoft.com\/Search.aspx?q=KB4091663\" target=\"_blank\" rel=\"noopener\">KB4091663<\/a>: Windows 10 V1703<\/li>\n<li><a href=\"https:\/\/www.catalog.update.microsoft.com\/Search.aspx?q=KB4091664\" target=\"_blank\" rel=\"noopener\">KB4091664<\/a>: Windows 10 V1607\/ Server 2016<\/li>\n<li><a href=\"https:\/\/www.catalog.update.microsoft.com\/Search.aspx?q=KB4091666\" target=\"_blank\" rel=\"noopener\">KB4091666<\/a>: Windows 10 V1507 (RTM)<\/li>\n<\/ul>\n<p>Windows 10 V1511 fehlt in obiger Liste, da dieses Betriebssystem keine Updates mehr bekommt. Gem\u00e4\u00df <a href=\"https:\/\/support.microsoft.com\/en-gb\/help\/4100347\/intel-microcode-updates-for-windows-10-version-1803-and-windows-server\" target=\"_blank\" rel=\"noopener\">diesem KB-Artikel<\/a> wurden die Microcode-Updates f\u00fcr die folgenden Intel-Prozessoren einer Revision unterzogen.<\/p>\n<ul>\n<li>Broadwell Server E, EP, EP4S<\/li>\n<li>Broadwell Server EX<\/li>\n<li>Skylake Server SP (H0, M0, U0)<\/li>\n<li>Skylake D (Bakerville)<\/li>\n<li>Skylake X (Basin Falls)<\/li>\n<\/ul>\n<p>Details zu den einzelnen Prozessorvarianten lassen sich in den KB-Artikeln nachlesen (wobei zu hoffen bleibt, dass die Infos akkurat sind). Mit den Microcode-Updates soll die Spectre Variant 2 (CVE 2017-5715 [\"Branch Target Injection\"])-Schwachstelle abgedichtet werden.<\/p>\n<p><img decoding=\"async\" src=\"https:\/\/i.imgur.com\/hxJYZki.jpg\" \/><\/p>\n<p>Laut KB-Artikel wird das Standalone-Update \u00fcber Windows Update und \u00fcber WSUS bereitgestellt, l\u00e4sst sich aber auch \u00fcber den Microsoft Update Catalog herunterladen und dann manuell zu installieren.<\/p>\n<h3>Widerspr\u00fcchliche Aussagen in den KB-Artikeln<\/h3>\n<p>Beim \u00dcberfliegen der Microsoft KB-Artikel hatte ich bei <a href=\"https:\/\/support.microsoft.com\/en-us\/help\/4090007\/intel-microcode-updates\" target=\"_blank\" rel=\"noopener\">KB4090007<\/a> den Hinweis gelesen, dass die Microcode-Updates 'Standalone' seien und nur per Microsoft Update Catalog bereitst\u00fcnden.<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"KB4090007 \" src=\"https:\/\/i.imgur.com\/ycZ37gm.jpg\" alt=\"KB4090007 \" width=\"600\" height=\"74\" \/><\/p>\n<p>Einige Zeilen unterhalb gibt es dann die Information, dass das Update auch per WSUS und per Windows Update erh\u00e4ltlich sei. Bei KB4091664 steht beispielsweise das Gleiche, der Hinweis fehlt bei <a href=\"https:\/\/www.catalog.update.microsoft.com\/search.aspx?q=kb4100347\" target=\"_blank\" rel=\"noopener\">KB4100347<\/a> aber \u2013 alles verwirrend.<\/p>\n<blockquote><p>Und noch eine ganz wichtige Information f\u00fcr die Server-Welt bzw. deren Administratoren. W\u00e4hrend die Microcode-Updates f\u00fcr die Clients sofort aktiv werden, gibt Microsoft in den KB-Artikeln an, dass auf Windows Server bestimmte Registrierungsschl\u00fcssel zu setzen seien. Blog-Leser Karl wies vor einiger Zeit in <a href=\"https:\/\/borncity.com\/blog\/2018\/08\/25\/security-advisory-update-adv180018\/#comment-61774\" target=\"_blank\" rel=\"noopener\">diesem Kommentar<\/a> drauf hin, dass die Microsoft-Angaben falsch seien. Ich hatte das auf Twitter aufgegriffen \u2013 <a href=\"https:\/\/twitter.com\/Karl_F1_Fan\/status\/1035086606703702016\" target=\"_blank\" rel=\"noopener\">hier<\/a> und <a href=\"https:\/\/twitter.com\/Karl_F1_Fan\/status\/1035084327841931264\" target=\"_blank\" rel=\"noopener\">hier<\/a> sind entsprechende Tweets.<\/p>\n<p><strong>Nachtrag:<\/strong> Nach der Installation des Microcode-Updates <a href=\"https:\/\/www.catalog.update.microsoft.com\/search.aspx?q=kb4100347\" target=\"_blank\" rel=\"noopener\">KB4100347<\/a> erscheint mit die Maschine wesentlich z\u00e4her. Es dauerte bestimmt 10 \u2013 20 Sekunden, nachdem ich Einstellungen \u2013 Update &amp; Sicherheit \u2013 Update angew\u00e4hlt hatte, bis die rechte Spalte der Einstellungen-Seite mit Inhalt gef\u00fcllt war. Hat sich danach zwar gebessert, aber irgendwas wurde verschlimmbessert.<\/p><\/blockquote>\n<h3>Verteilung auch f\u00fcr AMD<\/h3>\n<p>Zudem scheint das Update auch wieder an AMD-Systeme ausgeliefert zu werden (lese ich <a href=\"https:\/\/www.deskmodder.de\/blog\/2018\/09\/14\/intel-microcode-update-september-2018-fuer-alle-windows-10-versionen\/#comment-81283\" target=\"_blank\" rel=\"noopener\">hier<\/a>). Es gibt zwar die Aussage, dass auf diesen Maschinen das Microcode-Update nicht geladen wird (siehe nachfolgender Kommentar von Ingo). Aber im Grunde ist es Mist, dass ein Update, welches nicht gebraucht wird, da auf die Maschine gesp\u00fclt wird.\u00a0Sonst will Microsoft doch auch alles und jedes ber\u00fccksichtigen und telemetrieren. Bei Microcode-Updates f\u00fcr Intel wird dann mit der 'Mistgabel verteilt'.\u00a0Nun ja, muss ich nicht wirklich verstehen.<\/p>\n<p>Zudem m\u00f6chte ich auf die zwei Artikel\u00a0<a href=\"https:\/\/borncity.com\/blog\/2018\/07\/25\/intel-microcode-updates-kb4100347-kb4090007-juli-2018\/\">Intel Microcode Updates KB4100347, KB4090007 (Juli 2018)<\/a>\u00a0sowie im Beitrag\u00a0<a href=\"https:\/\/borncity.com\/blog\/2018\/08\/25\/microsoft-probleme-mit-updates-kb4456688-kb4100347\/\">Microsoft: Probleme mit Updates KB4456688\/KB4100347?<\/a>\u00a0hinweisen, wo die letzten Varianten der Updates f\u00fcr \u00c4rger (Boot-Probleme sorgten).<\/p>\n<h3>Microsofts virtueller Agent schl\u00e4gt zu<\/h3>\n<p>An dieser Stelle was lustiges \u2013 Microsoft macht ja in KI und hetzt an allen Stellen Bots und Agenten auf die Leute los. Hier die Antwort des Bots (Virtual Agent).<\/p>\n<p><img loading=\"lazy\" decoding=\"async\" title=\"Sinnfreier Microsoft Virtual Agent\" src=\"https:\/\/i.imgur.com\/f4wawqh.jpg\" alt=\"Sinnfreier Microsoft Virtual Agent\" width=\"516\" height=\"622\" \/><\/p>\n<p>Ich konnte dann Nein ausw\u00e4hlen und wurde mit weiteren Fragen (ob ich Installationsprobleme habe, ob ich einen anderes Update suche etc.) konfrontiert, die alle weiter vom Thema weg f\u00fchrten. Dann schlug mir der Bot weitgehend sinnfreie KB-Beitr\u00e4ge vor. So geht Kundenpflege 4.0 a la KI \u2013 aber ich bin ja kein Kunde ;-).<\/p>\n<h3>Updates gegen Spectre V2 f\u00fcr Windows Server 2008 SP2<\/h3>\n<p>Auf <a href=\"https:\/\/support.microsoft.com\/en-us\/help\/4073757\/protect-your-windows-devices-against-spectre-meltdown\" target=\"_blank\" rel=\"noopener\">dieser Microsoft-Webseite<\/a> erf\u00e4hrt man, dass Microsoft das Update KB4458010 (Windows Server 2008 SP2 Monthly Rollup) oder (KB4457984, Security-only) zum 11. September 2018 mit dem Schutz gegen L1TF (VE-2018-3620 and CVE-2018-3646) freigegeben habe. Ich hatte die Updates im Beitrag <a href=\"https:\/\/borncity.com\/blog\/2018\/09\/13\/microsoft-patchday-weitere-updates-zum-11-september-2018\/\">Microsoft Patchday: Weitere Updates zum 11. September 2018<\/a> erw\u00e4hnt. Zudem wurden Updates f\u00fcr ARM-Ger\u00e4te gegen <a href=\"https:\/\/msrc.microsoft.com\/update-guide\/vulnerability\/ADV180002\" target=\"_blank\" rel=\"noopener\">CVE-2017-5715<\/a> &#8211; Branch target injection (Spectre, Variant 2) freigegeben.<\/p>\n<h2>Nachtrag zum WSUS und Microcode-Updates<\/h2>\n<p>Ende August 2018 hatte ich ja im Blog-Beitrag <a href=\"https:\/\/borncity.com\/blog\/2018\/08\/28\/chaos-tage-microsoft-microcode-updates-zurckgezogen\/\">Chaos-Tage: Microsoft Microcode-Updates zur\u00fcckgezogen?<\/a> auf diverse Probleme mit Microcode-Updates hingewiesen. Zwei Blog-Leser, unter anderem Markus B., hatten mich auf Merkw\u00fcrdigkeiten hingewiesen. Und in obigem Texte hatte ich auf die Unstimmigkeiten in den KB-Artikels bez\u00fcglich der Update-Verteilung per WSUS hingewiesen. Von Blog-Leser Markus B. liegt mir noch eine interessante (erg\u00e4nzende) Information vor, die ich einfach mal hier einstelle.<\/p>\n<blockquote><p>Am letzten Mittwoch war der der Webcast von Microsoft zum Patchday. Dabei wurde wieder erw\u00e4hnt, dass keine Microcodeupdates \u00fcber den WSUS kommen d\u00fcrften. Ich habe dann nachgehackt und die Antwort im Chat und auf dem Webcast war, dass es ein Fehler war, dass dieses Update so \u00fcber den WSUS verteilt wird.<\/p>\n<p>Heute in der Nacht wurden auf dem WSUS aber diese Microcodeupdates wieder angeboten und reingenommen. Keine neue Revision:<\/p><\/blockquote>\n<p><a href=\"https:\/\/i.imgur.com\/JmwtYFa.jpg\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\"Microcode-Updates auf WSUS\" src=\"https:\/\/i.imgur.com\/JmwtYFa.jpg\" alt=\"Microcode-Updates auf WSUS \" width=\"612\" height=\"162\" \/><\/a><br \/>\n(Zum <a href=\"https:\/\/i.imgur.com\/JmwtYFa.jpg\" target=\"_blank\" rel=\"noopener\">Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<p>Nachfolgendes Bild zeigt Details eines der letzten Updates, ohne Revision.<\/p>\n<p><a href=\"https:\/\/i.imgur.com\/nUwkzRR.jpg\" target=\"_blank\" rel=\"noopener\"><img loading=\"lazy\" decoding=\"async\" title=\"Microcode-Updates auf WSUS \" src=\"https:\/\/i.imgur.com\/nUwkzRR.jpg\" alt=\"Microcode-Updates auf WSUS \" width=\"601\" height=\"338\" \/><\/a><br \/>\n(Zum <a href=\"https:\/\/i.imgur.com\/nUwkzRR.jpg\" target=\"_blank\" rel=\"noopener\">Vergr\u00f6\u00dfern klicken<\/a>)<\/p>\n<p>Dem Protokoll zufolge, welches mir von Markus vorliegt, kann das Update (im Beispiel war das KB4090007) nach der Installation nicht mehr entfernt werden.\u00a0 Mir liegt das Webcast-Protokoll, welches ich aus Gr\u00fcnden der Vertraulichkeit nicht ver\u00f6ffentliche, vor. Da ist also bei Microsoft nach wie vor einiges im Argen. Markus fragt daher: <em>Vielleicht wichtig auch f\u00fcr andere. Haben andere auch wieder Meldungen erhalten? Habe es auf 2 WSUS gesehen<\/em>.<\/p>\n<h3>Windows 10-Nutzer als Versuchskaninchen?<\/h3>\n<p>Beim Schreiben des Blog-Beitrags ging mir so der Gedanke durch den Kopf, ob die Windows 10-Nutzer auf den Clients als Versuchskaninchen herhalten sollten. Warum?<\/p>\n<ul>\n<li>Die Microcode-Updates sollen nicht per WSUS verteilt werden, schlagen aber trotzdem durch und werden per Windows Update verteilt und zwangsinstalliert.<\/li>\n<li>Windows 7\/8.1 bekommen in der Regel diese Microcode-Updates aber nicht.<\/li>\n<li>Und auf Windows Server-Systemen muss der Administrator die Microcode-Updates (wegen Performance-Problemen) explizit per Registrierungseintrag aktivieren.<\/li>\n<\/ul>\n<p>Dann geht mir die Frage nach der Relevanz und Wichtigkeit der Microcode-Updates gegen Spectre und Meltdown durch den Kopf. Einmal ist mir kein Angriffsszenario 'in the wild' gegenw\u00e4rtig, was die Schwachstellen ausnutzt. Zudem gibt es die Microcode-Updates ja \u00e4u\u00dferst schleppend (f\u00fcr erste Updates hat Intel ein halbes Jahr gebraucht, bis man an die \u00d6ffentlichkeit ging, die Linux-Leute werden immer noch behindert) . Weiterhin machten die Microcode-Updates \u00f6fters \u00c4rger (die Updates werden dann zur\u00fcckgezogen). Bei macOS verfolge ich nicht so granular wie bei Windows, aber ich habe den Eindruck, dass da nicht alle Nase lang gepatcht wird. Oder wie seht ihr das so?<\/p>\n<p><strong>\u00c4hnliche Artikel:<br \/>\n<\/strong>Adobe Flash Player: Update Version 30.0.0.154<br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/09\/05\/microsoft-office-updates-3-9-2018\/\">Microsoft Office-Updates (4.9.2018)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/09\/11\/microsoft-security-update-summary-11-september-2018\/\">Microsoft Security Update Summary 11. September 2018<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/?p=209147\">Patchday: Updates f\u00fcr Windows 7\/8.1\/Server 11. Sept. 2018<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/?p=209151\">Patchday Windows 10-Updates (11. September 2018)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/?p=209214\">Patchday Microsoft Office Updates (11. September 2018)<\/a><br \/>\n<a href=\"https:\/\/borncity.com\/blog\/2018\/09\/13\/microsoft-patchday-weitere-updates-zum-11-september-2018\/\">Microsoft Patchday: Weitere Updates zum 11. September 2018<\/a><\/p>\n<p><a href=\"https:\/\/borncity.com\/blog\/2018\/09\/12\/patchday-probleme-updates-wsus-11-september-2018\/\">Patchday-Probleme Updates, WSUS (11. September 2018)<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>[English]Microsoft hat erneut einen Satz an Microcode-Updates f\u00fcr diverse Windows 10-Builds freigegeben. Diese Updates sollen verschiedene Prozessoren gegen die Spectre V2-Schwachstelle absichern. Hier einige Informationen zu den Updates, sowie Chaos bei den KB-Beschreibungen. Zudem gibt es noch einen Nachtrag zum &hellip; <a href=\"https:\/\/borncity.com\/blog\/2018\/09\/14\/windows-10-microcode-updates-13-9-2018-und-wsus-chaos\/\">Weiterlesen <span class=\"meta-nav\">&rarr;<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426,185,3694],"tags":[4315,4378],"class_list":["post-209294","post","type-post","status-publish","format-standard","hentry","category-sicherheit","category-update","category-windows-10","tag-update","tag-windows-10"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/209294","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=209294"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/209294\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=209294"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=209294"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=209294"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}