![](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2015\/01\/Schutz.jpg\")
Von Intel gibt es einen Microcode Boot Loader, der einen bootf\u00e4higen USB-Stick\u00a0 erstellt. Dieser wendet automatisch die neuesten Intel-Mikrocodes auf der identifizierten CPU an. So soll das System vor Spectre gesch\u00fctzt werden.<\/p>\nVon Intel gibt es einen Microcode Boot Loader, der einen bootf\u00e4higen USB-Stick\u00a0 erstellt. Dieser wendet automatisch die neuesten Intel-Mikrocodes auf der identifizierten CPU an. So soll das System vor Spectre gesch\u00fctzt werden.<\/p>\n
<\/p>\n
Diese m\u00fcssten aber \u00fcber UEFI-\/BIOS-Updates installiert werden. Hier patzen aber die Board-Hersteller. Ein anderer Ansatz besteht darin, die Microcode-Updates beim Booten des Betriebssystems zu laden. F\u00fcr Benutzer von Windows 10 und Windows Server 2016 hat Microsoft diese aktualisierten Mikrocodes automatisch als Windows Update verteilt. Dort kommt genau dieser Ansatz zum Tragen.<\/p>\n Bleeping Computer schreibt, dass \u00e4ltere Betriebssysteme und damit die CPUs, die sie ausf\u00fchren, nicht mit diesem Updates versorgt wurden. So ganz stimmt das in meinen Augen aber nicht \u2013 zumindest habe ich im Blog-Beitrag Patchday: Updates f\u00fcr Windows 7\/8.1\/Server 14. August 2018<\/a> Updates f\u00fcr Windows 7 SP1\/Windows 8.1 und die Server Pendants diverse Updates mit Patches gegen Spectre-Varianten beschrieben. Allerdings werden nur bestimmte CPU-Typen unterst\u00fctzt.<\/p>\n Falls jemand bei abweichenden CPUs aber auf Nummero sicher gehen will: Da kommt der Intel Microcode Boot Loader<\/a> von Eran \"Regeneration\" Badit ins Spiel. Das Tool verwendet die Intel BIOS Implementation Test Suite (BITS) und den Syslinux Bootloader, um automatisch die aktuellsten Mikrocodes f\u00fcr einen Intel-Prozessor zu erkennen und anzuwenden. Dazu bringt das Tool alle bekannten Microcode-Updates f\u00fcr diverse CPU-Modelle mit. Dies erm\u00f6glicht es, Computer mit alten Prozessoren vor Spectre-Angriffen zu sch\u00fctzen.<\/p>\n Mit dem Tool muss ein USB-Stick erstellt werden. Dieser wird bei jedem Rechnerstart gebootet und l\u00e4dt die zur CPU passenden Microcode-Updates. Anschlie\u00dfend wird das eigentliche Betriebssystem gebootet, welches dann gegen Spectre gesch\u00fctzt ist. heise.de hat das Ganze vor einigen Tagen in diesem Artikel<\/a> aufgegriffen. Dort finden sich einige Hinweise zur Vorgehensweise.<\/p>\n Der Ansatz klingt auf den ersten Blick wie der 'Stein der Weisen' \u2013 ein USB-Stick und schon ist man gesch\u00fctzt. Die Diskussion auf administrator.de<\/a> zeigt sehr sch\u00f6n die Problematik auf. Es muss quasi ein USB-Medium immer beim Booten der Maschine mit geladen werden. Die Boot-Sequenz ist so umzustellen, dass das syslinux vom Stick booten kann, um die Mikrocode-Updates einzuspielen und das eigentliche Betriebssystem zu starten.<\/p>\n Das er\u00f6ffnet aber einen weiteren Angriffsvektor. Steckt ein Anwender versehentlich einen anderen USB-Stick an die Maschine, wird diese u.U. von diesem Medium booten. Ist der USB-Stick 'mit einem Boot-Virus verseucht', kommt eine Infektion zustande. Zugegeben: Etwas unwahrscheinlich, aber nie ausgeschlossen. Zudem ist es wohl so, dass wir bez\u00fcglich Meltdown und Spectre auf 'hohem Niveau' \u00fcber theoretische Bedrohungsszenarien diskutieren, w\u00e4hrend die eigentlichen Angriffe \u00fcber 'typischerweise seit 100 Tagen ungepatchte Flash- und sonstigen Schwachstellen' oder social Engineering erfolgen. Von daher tue ich mich schwer, das obige Konzept jetzt als 'Stein der Weisen' zu sehen. Oder was meint ihr zu diesem Thema?<\/p>\n \u00c4hnliche Artikel: Von Intel gibt es einen Microcode Boot Loader, der einen bootf\u00e4higen USB-Stick\u00a0 erstellt. Dieser wendet automatisch die neuesten Intel-Mikrocodes auf der identifizierten CPU an. So soll das System vor Spectre gesch\u00fctzt werden.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-211847","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211847","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=211847"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/211847\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=211847"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=211847"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=211847"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}Ich bin vor einigen Tagen bei Bleeping-Computer in diesem Artikel<\/a> auf den entsprechenden Hinweis gesto\u00dfen. Spectre ist eine Technik f\u00fcr Seitenkanalangriffe, mit der man \u00fcber die CPUs von Intel, AMD etc. Daten abfischen k\u00f6nnen soll. Intel hat aktualisierte Mikrocodes ver\u00f6ffentlicht, die Intel-CPUs patchen.<\/p>\n
Microcode-Update da, wie anwenden?<\/h2>\n
Der Intel Microcode Boot Loader soll es richten<\/h2>\n
Meine zwei Cent<\/h2>\n
\n<\/strong>Sieben neue Spectre-L\u00fccken in CPUs<\/a>
\nWindows 10 19H1: Spectre V2-Schutz per Retpoline<\/a>
\nForeshadow (L1TF), neue (Spectre-\u00e4hnliche) CPU-Schwachstellen<\/a>
\nNetSpectre: Zugriff auf den Arbeitsspeicher per Netzwerk<\/a>
\nDetails zu CPU-Sicherheitsl\u00fccken Spectre V1.1 und V1.2<\/a>
\nHP: Infos zu Derivative Side-Channel-Angriffen (Spectre V4)<\/a>
\nGoogle und Microsoft enth\u00fcllen Spectre V4 CPU-Schwachstelle<\/p>\n","protected":false},"excerpt":{"rendered":"