abbrechen
Suchergebnisse werden angezeigt für 
Stattdessen suchen nach 
Meintest du 

Alle aktuellen Intel CPUs sind unsicher, Meltdown und Spectre heißen die möglichen Angriffe

175 ANTWORTEN 175
Kill_Bill
Professor
Nachricht 1 von 176
79.247 Aufrufe
Nachricht 1 von 176
79.247 Aufrufe

Alle aktuellen Intel CPUs sind unsicher, Meltdown und Spectre heißen die möglichen Angriffe

https://meltdownattack.com/

 

Weitere Übersichtliche Darstellung des Problems auf folgenden Seiten:

https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/

http://www.planet3dnow.de/cms/35759-massive-sicherheitsluecke-in-intel-cpus-update-amd-arm-bugfixes-...

 

Für Spectre#2 wird ab Skylake auch ein Microcode-Update benötigt, um den Bug zu umgehen:

The patches and firmware available now for Intel processors are:

Operating system updates for Linux, Windows and macOS, that separate kernel and user spaces,
and kill the Meltdown vulnerability. On Linux, this fix is known as Kernel Page Table Isolation, aka KPTI.
On pre-Skylake CPUs, kernel countermeasures – and on Skylake and later, a combination of a microcode
updates and kernel countermeasures known as Indirect Branch Restricted Speculation,
aka IBRS – to kill Spectre Variant 2 attacks that steal data from kernels and hypervisors.
That leaves Spectre Variant 1 attacks, in which rogue software can spy on applications, unpatched.
It's a good thing this variant is difficult to exploit in practice.

siehe: https://www.theregister.co.uk/2018/01/05/spectre_flaws_explained/

 

Dh. es wird wohl wieder eine ganze Reihe von BIOS-Updates, und wohl auch Betriebssystem- und Treiber-Patches geben müssen!

Und das nachdem wir gerade erst die Intel-Systeme wegen dem Hyper-Threading Bug und sogar schon 2x wegen einem Intel ME Bug gepatcht haben.

Sind Intel denn nicht scheinbar die unsichersten Prozessoren zurzeit?Smiley (überrascht)

 

MfG.

K.B.

Tags (1)
175 ANTWORTEN 175
r_alf
Explorer
Nachricht 121 von 176
7.374 Aufrufe
Nachricht 121 von 176
7.374 Aufrufe

die von microsoft angebotenen intel-microcode-updates gegen "spectre variant 2" wurden um weitere cpus ergaenzt. xeon-phi-prozessoren der typen "knights landing" und "knights mill" sind laut deskmodder neu hinzugekommen - die info wird daher fuer medion-kunden kaum relevant sein.


GÜNTER BORN:
"Microsoft hat am 24. Juli 2018 noch zwei Intel Microcode-Updates KB4100347 und KB4090007 freigegeben... Microsoft rät: Erkundigen Sie sich bei Ihrem Gerätehersteller und bei Intel über deren Websites nach deren Mikrocode-Empfehlung für Ihr Gerät, bevor Sie dieses Update auf Ihr Gerät anwenden."


KB4100347 fuer win10 1803:
https://support.microsoft.com/en-us/help/4100347/intel-microcode-updates-for-windows-10-version-1803...


KB4090007 fuer win10 1709:
https://support.microsoft.com/en-us/help/4090007/intel-microcode-updates

r_alf
Explorer
Nachricht 122 von 176
7.342 Aufrufe
Nachricht 122 von 176
7.342 Aufrufe

spectre v1 hat nachwuchs bekommen: netspectre.

netspectre nutzt die methoden von spectre v1 indirekt ueber netzwerkverbindungen. dazu missbraucht netspectre die auf dem zielsystem bereits vorhandene netzwerk-infrastruktur aus der ferne. massnahmen und updates gegen spectre v1 schuetzen auch gegen netspectre. netspectre soll nur wenige bytes pro stunde auslesen koennen, kann dabei aber jede ram-adresse erreichen.

HEISE:
"Nach bisherigen Vorstellungen erforderten Spectre-Angriffe das Ausführen von bösartigem Code auf dem Zielsystem. Damit erschienen viele Geräte als sicher, etwa weil dort niemand eigenen Code ausführen darf – und wenn ein Angreifer das doch schafft, ist das System ohnehin geknackt. Diese optimistische Einschätzung haben die Forscher mit ihrer Arbeit zertrümmert."
https://www.heise.de/security/meldung/NetSpectre-liest-RAM-via-Netzwerk-aus-4121831.html

Major_ToM
Professor
Nachricht 123 von 176
7.326 Aufrufe
Nachricht 123 von 176
7.326 Aufrufe

Hallo @r_alf & @Anonymous,

 

vielen Dank für die Informationen, da wird man sich (bzw. wir uns) auf jeden Fall mit beschäftigen. Wir sind gespannt, welche Varianten zu diesem theme zukünftig auf unszukommen werden.

 

Viele Grüße

 

Major ToM


MEDION. LÄUFT BEI MIR.
• Web: www.medion.de • Community: community.medion.com • Facebook: MEDIONDeutschland • Instagram: @medion.de


Bitte belohne hilfreiche Antworten mit Kudos und markiere die beste Antwort/Lösung mit Als Lösung akzeptieren.
Anonymous
None
Nachricht 124 von 176
7.246 Aufrufe
Nachricht 124 von 176
7.246 Aufrufe

Intel verteilt mittlerweile aktuellere Microcode-Versionen.

Zum Beispiel:
Kaby Lake H - Microcode 0x84 (alt) -> 0x8e (neu)
Skylake H - Microcode 0xc2 (alt) -> 0xc6 (neu)

"Intel has released microcode updates to operating system vendors, equipment manufacturers, and other ecosystem partners adding support for Speculative Store Bypass Disable (SSBD). SSBD provides additional protection by providing a means for system software to completely inhibit a Speculative Store Bypass from occurring if desired.
The microcode updates will also address Rogue System Register Read (RSRR) – CVE-2018-3640 by ensuring that RDMSR instructions will not speculatively return data under certain conditions."

Quellen:
https://www.intel.com/content/dam/www/public/us/en/documents/sa00115-microcode-update-guidance.pdf

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html
https://www.zdnet.de/88333879/neue-spectre-sicherheitsluecken-patches-unterwegs/

Achtung, Microsoft verteilt nach wie vor nur die älteren Microcode-Windows-Updates gegen Meltdown und Spectre: https://support.microsoft.com/en-us/help/4093836/summary-of-intel-microcode-updates

Da ich nicht weiß, ob und wann Medion entsprechende Updates bereitstellt, habe ich mich kurzerhand für die naheliegendste Variante entschieden und baue mir mein BIOS-Update selbst ...

Wie immer gilt: Alle Angaben ohne Gewähr und auf eigene Gefahr!

Zuerst einmal lädt man sich das aktuelle BIOS-Update herunter. Bei mir dieses (Mainboard: H110H4-CM2, BIOS: 110H4W0X.111): https://www.medion.com/de/service/_lightbox/treiber_details.php?did=15794

Dann muss man sich das MMTool Aptio von American Megatrends Inc. besorgen (für mein System zumindest, laut CPU-Z). Eine Vollversion findet sich im Netz. Man sollte nach folgenden Kriterien suchen:
Ver. : 5.2.0.24
Date : 01/31/2018
SHA-1: FBA82BD83C603700E6763ED8A9C5633980822C21

Des Weiteren ist es sinnvoll, sich das kleine Tool showmc der Heise-Redaktion zu besorgen: ftp://ftp.heise.de/pub/ct/listings/1607-168.zip

Als letztes benötigt man noch die neuesten Microcode-Dateien von Intel (Version 20180807): https://downloadcenter.intel.com/download/28039/Linux-Processor-Microcode-Data-File
Wer die *.zip-Datei benutzt, muss die Datei "microcode-20180807" noch mal mit einem Archivierer wie z. B. WinRAR öffnen.

Im Ordner "intel-ucode" muss man sich nun die geeignete Microcode-Datei heraussuchen, dabei sollte man unbedingt der Beschreibung der enthaltenen Textdatei "releasenote" folgen. Das showmc-Tool listet hierzu als eine der ersten Ausgaben unter anderem die CPUID (bei mir: 000506E3) sowie die geladene Microcode-Version des BIOS bzw. auch von Windows auf, sofern ein aktuelleres Microcode-Windows-Update installiert wurde. Natürlich ist es immer zu bevorzugen, wenn bereits ab dem BIOS-Level die neueste Microcode-Version geladen wird.

Die CPUID hat folgendes Format (siehe Textdatei "releasenote"):
0FFM0FMS
000506E3 (meine Prozessor-ID)
(F)amily=0x006, (M)odel=0x5E, (S)tepping=0x3

Entsprechend ist für mein System die Microcode-Datei "06-5e-03" zu verwenden.

Als Nächstes lädt man das Medion-BIOS (bei mir: 110H4W0X.111) in das MMTool von AMI. Dazu gegebenenfalls alle Dateitypen anzeigen lassen. Dann geht man auf den Reiter "CPU Patch". Dort steht bei mir folgender Eintrag: "Vol:03 No:01 MicroCode_ID:0366E3C2 Platform_Type:36 CPU_ID:06E3 Update_Revision:C2 Date(YYYY/MM/DD):2017/11/16 Size:00018400".

Hier muss man zuerst über "Delete a Patch Data", CPU-Microcode-Zeile auswählen und "Apply", den alten Microcode löschen, dann über "Insert a Patch Data", "Browse" und "Apply", den neuen Microcode einfügen. Fügt man zuerst den neuen ein und löscht danach den alten, kommt es zu einem BIOS-ROM-size-Fehler. Nach dem Import der neuen Datei findet sich jetzt der Eintrag: "Vol:03 No:01 MicroCode_ID:0366E3C6 Platform_Type:36 CPU_ID:06E3 Update_Revision:C6 Date(YYYY/MM/DD):2018/04/17 Size:00018400".

Schließlich kann man über "Save Image" die alten BIOS-Daten überschreiben und im Medion-BIOS-Update-Tool führt man noch "Wflash5m.bat" aus. Nach einem Neustart zeigt mir das showmc-Tool nun die Microcode-Version 0xC6 an.

Tipp:
Um noch einmal einige Fehler auszuschließen, kann man über "Extract a Patch Data", "Browse" (neuen Dateinamen eintragen), CPU-Microcode-Zeile auswählen und "Apply", den im BIOS enthaltenen vorherigen Microcode exportieren. Als Nächstes lädt man sich eine ältere Linux-Microcode-Sammlung von Intel herunter, z. B. diese (Version 20180703): https://downloadcenter.intel.com/download/27945/Linux-Processor-Microcode-Data-File
Man extrahiert die für das eigene System relevante Datei und vergleicht beide z. B. in einem Hex-Editor wie WinHex miteinander oder man erzeugt einen SHA-1 Hash und vergleicht diese. Beide Dateien sollten absolut identisch sein.

Das ging soweit eigentlich einfacher als ich dachte.
Vor einigen Tagen habe ich schon meine Intel Management Engine händisch auf Version 11.8.55.3510 gebracht, bei Interesse:
https://community.medion.com/t5/Desktop-PC-All-In-One/C-Bild-meldet-Nahezu-alle-aktuellen-Intel-Proz...
https://community.medion.com/t5/Desktop-PC-All-In-One/C-Bild-meldet-Nahezu-alle-aktuellen-Intel-Proz...

PS:
Das Microsoft-Script SpeculationControl Version 1.0.8 kann benutzt werden, um auf das neue Prozessor-Feature SSBD zu prüfen. Damit kann man auch leicht feststellen, ob man die neueste Microcode-Version einsetzt: https://support.microsoft.com/kn-in/help/4074629/understanding-the-output-of-get-speculationcontrols...

 

c2.jpg

c6.jpg

 

Offenbar muss der systemweite SSBD-Schutz in Windows (im Moment) erst noch aktiviert werden. Siehe hierzu den Abschnitt "Manage Speculative Store Bypass and mitigations around Spectre Variant 2 and Meltdown": https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-...

 

lq89233
Tutor
Nachricht 125 von 176
7.207 Aufrufe
Nachricht 125 von 176
7.207 Aufrufe

Hallo @Anonymous,

 

gute Arbeit. Aber der von Dir unter "Quellen" verlinkte zdnet-Artikel ist etwas veraltet: 22. Mai...

 

Gruß lq89233

Anonymous
None
Nachricht 126 von 176
7.199 Aufrufe
Nachricht 126 von 176
7.199 Aufrufe

Veraltet würde ich nicht sagen, denn im Artikel wird ja gesagt, dass Intel eine Beta-Microcode-Version zum Testen verteilt hat und die finale, jetzt veröffentlichte Version (siehe Linux-Microcode-Dateien) ist, zumindest bei Skylake H, auch schon etwas älter, nämlich vom 17.04.2018

r_alf
Explorer
Nachricht 127 von 176
7.091 Aufrufe
Nachricht 127 von 176
7.091 Aufrufe

HEISE:
"Forscher veröffentlichen drei weitere Spectre-NG-Sicherheitslücken, darunter eine besonders gravierende: Malware, die Foreshadow alias L1 Terminal Fault ausnutzt, kann aus einer virtuellen Maschine (VM) heraus den vermeintlich geschützten Speicher einer anderen VM lesen, die parallel auf demselben Computer läuft... Zu den drei Varianten von L1 Terminal Fault (L1TF) hat Intel den Security Alert INTEL-SA-00161 veröffentlicht. Das Risiko wird als 'hoch' eingestuft."
https://www.heise.de/security/meldung/Spectre-NG-Foreshadow-gefaehrdet-Intel-Prozessoren-4137209.htm...

 

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html

Anonymous
None
Nachricht 128 von 176
7.017 Aufrufe
Nachricht 128 von 176
7.017 Aufrufe

"Intel has released new microcode for many processors affected by L1TF. This modifies some operations to implicitly remove data from the L1D during certain privilege transitions. It also provides a method by which software can explicitly flush the L1D by writing 1 to bit 0 of a new model specific register, IA32_FLUSH_CMD (MSR 0x10B). System manufacturers and system software vendors provide these microcode changes via BIOS updates.
While these microcode updates provide important mitigation during enclave entry and exit, updated microcode by itself is not sufficient to protect against L1TF. Deploying OS and VMM updates is also required to mitigate L1TF."

 

Quelle: https://software.intel.com/security-software-guidance/software-guidance/l1-terminal-fault

 

Bei den Microcode-Updates handelt es sich um dieselben Versionen, welche bereits das Prozessor-Feature Speculative Store Bypass Disable (SSBD) nachrüsten und welche Microsoft bisher leider nicht als optionales Windows-Update verteilt. Auch Medion bietet hier bisher keine entsprechenden BIOS-Updates an. Außerdem war bis vor kurzem nicht bekannt, dass auch eine Funktion zum effizienten Leeren des L1D-Caches von Intel integriert wurde. Das dürfte einige Leistungseinbußen in virtualisierten Umgebungen wieder wettmachen.

 

Für einen vollständigen Schutz wird zusätzlich das jüngste Windows 10 Update vom 14. August benötigt:
"Provides protections against a new speculative execution side-channel vulnerability known as L1 Terminal Fault (L1TF) that affects Intel® Core® processors and Intel® Xeon® processors (CVE-2018-3620 and CVE-2018-3646)."

 

Ebenfalls hat Microsoft das SpeculationControl-Script aktualisiert und in Version 1.0.10 veröffentlicht:

Release Notes

## 1.0.10

* Replaced usage of Get-WmiObject with Get-CimInstance

## 1.0.9

* Added support for querying CVE-2018-3620 (L1TF OS mitigation) setting

## 1.0.8

* Added support for querying Speculative Store Bypass Disable (SSBD) setting

sklh_c2.jpg

sklh_c6.jpg

Kill_Bill
Professor
Nachricht 129 von 176
6.952 Aufrufe
Nachricht 129 von 176
6.952 Aufrufe

Das BIOS-Update mit eingetztem µCode für H110H4-CM2 hat bei mir wie oben von gandalf2 beschrieben auch geklappt.

....

 

MfG.

K.B.

r_alf
Explorer
Nachricht 130 von 176
6.842 Aufrufe
Nachricht 130 von 176
6.842 Aufrufe

was intel unter "transparenz" versteht.

 

HANDELSBLATT (12.01.2018):
"Nach der Kritik im Zusammenhang mit der jahrelangen Schwachstelle in Computer-Chips hat Intel-Chef Brian Krzanich mehr Transparenz zugesagt."

 

GOLEM (23.08.2018):
"Im Kleingedruckten der aktualisierten Lizenz des von Intel verteilten Microcodes gegen Attacken wie L1TF untersagt der Hersteller seinen Partnern, öffentlich zu machen, wie viel langsamer die Server-CPUs werden... Daher gibt es nur Messwerte von Intel selbst, die bis auf sehr wenige Ausnahmen kaum einen Rückgang bei der Geschwindigkeit zeigen."
https://www.golem.de/news/side-channel-angriffe-intel-untersagt-benchmarks-und-haertet-naechste-gene...

175 ANTWORTEN 175