05.01.2018 11:15 - modifié 05.01.2018 11:18
05.01.2018 11:15 - modifié 05.01.2018 11:18
Weitere Übersichtliche Darstellung des Problems auf folgenden Seiten:
https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/
Für Spectre#2 wird ab Skylake auch ein Microcode-Update benötigt, um den Bug zu umgehen:
The patches and firmware available now for Intel processors are:
Operating system updates for Linux, Windows and macOS, that separate kernel and user spaces,
and kill the Meltdown vulnerability. On Linux, this fix is known as Kernel Page Table Isolation, aka KPTI.
On pre-Skylake CPUs, kernel countermeasures – and on Skylake and later, a combination of a microcode
updates and kernel countermeasures known as Indirect Branch Restricted Speculation,
aka IBRS – to kill Spectre Variant 2 attacks that steal data from kernels and hypervisors.
That leaves Spectre Variant 1 attacks, in which rogue software can spy on applications, unpatched.
It's a good thing this variant is difficult to exploit in practice.
siehe: https://www.theregister.co.uk/2018/01/05/spectre_flaws_explained/
Dh. es wird wohl wieder eine ganze Reihe von BIOS-Updates, und wohl auch Betriebssystem- und Treiber-Patches geben müssen!
Und das nachdem wir gerade erst die Intel-Systeme wegen dem Hyper-Threading Bug und sogar schon 2x wegen einem Intel ME Bug gepatcht haben.
Sind Intel denn nicht scheinbar die unsichersten Prozessoren zurzeit?
MfG.
K.B.
06.03.2018 17:19 - modifié 06.03.2018 17:24
06.03.2018 17:19 - modifié 06.03.2018 17:24
Und was ist mit dem neuen Bios für das P7644 V.222? Und der Microsoft Patch KB4090007 fixed auch nur Spectre 2.
Und könntet Ihr bitte den hässlichen Schreibfehler im Titel der Tabelle abändern von Sprectre zu Spectre.
Danke.
daddle
le 06.03.2018 17:39
le 06.03.2018 17:39
Hallo @daddle
@daddle schrieb:
.... die Frage stellte sich mir ob für die Funktionsfähigkeit des Microcode-Updates das neuere Bios Voraussetzung ist, was der User aber bisher nicht hat. Daher war meine Frage an Rex, Wo und Wie das Microcode-Update seine segensreiche Wirkung entfaltet.
....
Wie bereits in #69 beschrieben: Für das Microcode-Update ist kein BIOS-Update erforderlich.
Microsoft hat inzwischen eine Möglichkeit gefunden Skylakes (6er serie) direkt zu patchen, ohne dass wir ein Biosupdate für Spectre 2 benötigen:
https://support.microsoft.com/de-de/help/4090007/intel-microcode-updates
Wir werden allerdings trotzdem BIOS Updates zur Verfügung stellen!
Spectre 1 und Meltdown wurden schon vorher via KB4056568 gepatcht.
06.03.2018 17:50 - modifié 06.03.2018 19:03
06.03.2018 17:50 - modifié 06.03.2018 19:03
Ja vielen Dank für die diesmal ergiebigere Antwort.
Allerdings ist glaube ich die Voraussetzung zum Einspielen der Security-Patches KB4056568 und KB4090007 ist
dass der Rechner bereits auf Win 1709 upgedatet wurde, was ich bisher zu vermeiden versuchte. Aber dann wohl
jetzt machen werde.
Allerdings schreibt Heise nach wie vor dass MIcrocode-Beeinflussung im Proc über ein Bios-Update gemacht werden müsste, was ich im Edit unten etwas näher erläutere warum; so dass die Vermutung bleibt dass die MS-Updates nur eine verdeckende und evtl abschirmende Funktion in der Win-10 Software haben können, aber nicht das Problem im Mikroprogrammsteuerwerk des Processors angehen, und damit die Ausführung der kritischen Pro-Befehle verhindern.
Und in einem anderen Artikel schreibt Heise zum Up KB4090007, dass WU doch den Microcode mitbringt, zweifelt aber auch etwas daran wie es denn funktionieren solle.
Gruss,daddle
Edit:
Die erneute Nachfrage resultierte daraus, dass bisher von einem Update des Mirocodes durch ein Bios-Update erfolgen sollte. So wird es auch bei Wikipedia:beschrieben:
"Der Mikrocode kann als „Maschinensprache“ des Mikroprogrammsteuerwerks zum Steuern des Rechenwerks in einem Prozessor angesehen werden. In der Realität erlauben einige Prozessoren zum Zeitpunkt der Initialisierung das Überschreiben des bei der Fertigung festgelegten und in einem Festwertspeicher (Mikroprogrammspeicher) abgelegten Mikrocodes. Üblicherweise erfolgt dies durch Nachladen eines im BIOS gespeicherten Mikrocodes"
Nun wundere ich mich, dass wenn Windows geladen wird ist die Initialiserung des Proc längt abgeschlossen, d.h. das temporäre Überschreiben des Festwertspeichers im Proc kann Windows dann gar nicht mehr machen. Das könnte nur irgendwo in UEFI geschriebene Microcodes. (Kann Windows dass??)
Das legt den Verdacht nahe, dass MS eine Software-Tünche über die Vulnerability klatscht, die das Auslesen der out of order execution-Ergebnisse blockt. Man muss sich aber bewusst sein, dass der Processoer nach wie vor die bemängelten Rechenschritte ausführt. Dann wird es auch nicht so lange dauern, bis das Ganze wieder durchsichtig und abgreifbar werden kann.
07.03.2018 07:14 - modifié 07.03.2018 07:15
07.03.2018 07:14 - modifié 07.03.2018 07:15
-------
------ und damit die Ausführung der kritischen Pro-Befehle verhindern.
Gruss,daddle
---- "und damit die Ausführung der kritischen Processor-Befehle verhindern." sollte es heissen.
daddle
le 07.03.2018 07:35
le 07.03.2018 07:35
Allerdings ist glaube ich die Voraussetzung zum Einspielen der Security-Patches KB4056568 und KB4090007 ist
dass der Rechner bereits auf Win 1709 upgedatet wurde,
Guten Morgen Daddle,
Das ist natürlich die logische Grundvoraussetzung, wir waren davon ausgegangenen, dass dir das als erfahrener Windows Nutzer bewusst ist.
@daddle schrieb:
Allerdings schreibt Heise nach wie vor dass MIcrocode-Beeinflussung im Proc über ein Bios-Update gemacht werden
"Es steht bei Heise, also muss es folglich zu 100% stimmen" Manche würden die Argumentation als angreifbar bezeichnen...
Auch Wikipedia ist durchaus als Quelle des Wissens mitunter nützlich, doch würde ich vermuten, dass Microsoft respektive Intel ein kleinwenig besser über ihre Produkte und Abhandlungen (u.a. die Bedingungen, unter denen wir Bios Updates als Download ajuf unserer Servicehomepage anbieten können/dürfen) informiert sind, als es die Jünger von Jimmy Wales sind.
==> Also einfach so wie @lq89233 machen: Windows aktualisieren, Firmware aktualisieren, Microcodes einspielen und schauen, was dabei herauskommt.
Viele Grüße
Major ToM
07.03.2018 08:30 - modifié 07.03.2018 09:39
07.03.2018 08:30 - modifié 07.03.2018 09:39
Warum immer dieser Beissreflex und diese Häme? Ich habe Euch (Medion) weder Vorwürfe gemacht noch angegriffen.
@Major_ToMschrieb:@daddle schrieb
Allerdings ist glaube ich die Voraussetzung zum Einspielen der Security-Patches KB4056568 und KB4090007 ist
dass der Rechner bereits auf Win 1709 upgedatet wurde,
Guten Morgen Daddle,
- Das ist natürlich die logische Grundvoraussetzung, wir waren davon ausgegangenen, dass dir das als erfahrener Windows Nutzer bewusst ist.
- .
- "Es steht bei Heise, also muss es folglich zu 100% stimmen" Manche würden die Argumentation als angreifbar bezeichnen..
- ..
- Auch Wikipedia ist durchaus als Quelle des Wissens mitunter nützlich....
Viele Grüße
Major ToM
Dass die Updates zu den Meltdown- und Spectre-Vulnerabilities erst mit Win 1709 funktionieren, war kein Vorwurf oder Frage an Euch, sondern eine mitgeteilte selbstreflektive Überlegung, mehr nicht.
Ausserdem frage ich mich, wie nach der Bauart der bisherigen Processoren eine physikalische Unmöglichkeit, noch nach der Initialisierung den Festwertspeicher mit neuem Microcode zu überschreiben (jeweils temporär bis zum nächsten Boot), plötzlich wundersamerweise doch über ein gebootetes Windows bei gestartetem und voll initialisiertem Processor (mit all seinen Fehlern) funktionieren soll.
Alles andere bezeichnete ich als kaschierende Software-Tünche, eine eher leicht zu überwindende Barriere, aber nicht als causale Lösung, soweit diese technisch ohne Proc-Tausch möglich ist.
Im Übrigen hattet Ihr selber anfangs argumentiert, es müssten erst vom Hersteller mit dem korrigiertem Intel-Microcode angepasste Bios zur Verfügung gestellt und diese noch getestet werden.
Gruss, daddle
le 07.03.2018 09:38
le 07.03.2018 09:45
le 07.03.2018 11:11
le 08.03.2018 15:55
le 08.03.2018 15:55
Hallo,
ihr schreibt ja,dass die Updates von Microsoft die Spectre und Meltdown Lücken geschlossen haben.Wenn ich den Check über Powershell ausführe werden bei mir immer noch 3 False stellen gezeigt und mir immer noch ein BIOS Update empfohlen,obwohl ich alle aktuellen Windowsupdates drauf habe.
Ich besitze das H81H3-EM2 Mainboard und in der Liste ist der Status "testing".WIe kann es überhaupt sein,dass in der Beschreibung die derzeitige Version 4.03 ist aber ich seit Jahren nur die Version 3.09 habe.Zudem kommt dazu wenn ich in den Treiberseiten bei Medion nach meiner MSN "10020098" suche das BIOS Update garnicht mehr drauf ist.Ich bin mir aber sicher,dass es nie eine höhere Version als 3.09 auf eurer Seite existiert hat.Upt bitte dieses BIOS Update,da ich wie gesagt immer noch 3 Lücken im Rechner habe und gerne endlich meinen Rechner wieder geschützt haben will auch wenn hier geschrieben wird,dass MS Updates ausreichend sind möchte ich aber ein gesichertes BIOS.
P.S. Wann ist mit dem BIOS überhaupt zu rechnen?Wird das noch Wochen/Monate dauern?
Danke für die Antworten.