am 24.11.2017 16:33
am 24.11.2017 16:33
Hallo, was hat es mit der neuesten Meldung der C-Bild auf sich, dass fast alle Intel Prozessoren Sicherheitslücken aufweisen? Habe einen Medion Akoya P5378 I/C304 mit Intel(R) Core(TM) i5-6402P CPU @ 2.80GHz. Habe den Test durchgeführt mit der Meldung "Dieses System hat Sicherheitslücken". Was kann ich tun? Danke.
Gruß Ulli
21.07.2018 20:14 - bearbeitet 22.07.2018 20:11
21.07.2018 20:14 - bearbeitet 22.07.2018 20:11
Es gibt neue Lücken in der Intel Management Engine:
https://www.heise.de/security/meldung/Intel-Prozessoren-Management-Engine-ME-ueber-Netzwerk-angreifb...
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00112.html
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00118.html
Intel trifft aktuell leider keine klare Aussage, welche ME-Version denn nun genau die entsprechenden Fixes enthält.
Es wird für Skylake und neuer (6. Core Generation) nur 11.8.50 genannt - man sollte aber zumindest 11.8.50.3399 haben, um nicht auch noch die Fehler von letztem Jahr aus dem Intel-SA-00086 mitzuschleppen (siehe: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00086.html).
Nach etwas Googeln habe ich auf einer Seite von Lenovo Folgendes gefunden:
Version <11.8.50.3460> - Fixed the following security vulnerabilities: CVE-2018-3628, CVE-2018-3629, CVE-2018-3627, and CVE-2018-3632.
Bei Toshiba finden sich ähnliche Informationen (Link weiter unten):
This firmware update is to address the Intel vulnerability documented in following Intel documents. (INTEL-SA-00112 & INTEL-SA-00118).
Da Medion bisher keine Updates bereitstellt und das wahrscheinlich auch noch eine Weile dauern wird, folgt nun der schnelle Weg (Natürlich auf eigene Gefahr!😞
- Ihr ladet euch hierzu das ältere "ME Firmware Update Tool" von Medion herunter (IntelME-fix_sa-00086.exe): https://www.medion.com/gb/service/_lightbox/treiber.php?stxt=sa-00086
- Ihr ladet euch von Toshiba das "Intel AMT/ME-FW Update Tool v1.1.4.0" herunter: https://support.toshiba.com/support/viewContentDetail?contentId=4016162
- Die Toshiba-Datei öffnet ihr am besten mit einem Archivierer wie WinRAR, ansonsten entpackt er euch alles ins TEMP-Verzeichnis
- Ihr habt jetzt zwei entpackte Ordner auf eurem Desktop: Einen von Medion und einen von Toshiba
- Im Toshiba-Ordner wechselt ihr in das Verzeichnis .\bin\11.8.50.3460\NoAMT und kopiert dort die zwei Dateien "ME_11.8_Consumer_C0_LP_Production.bin" und "ME_11.8_Consumer_D0_H_Production.bin" in den Medion-Ordner und überschreibt beide
- Dann startet ihr im Medion-Ordner die Datei "MEUpdate_User.cmd"
Bei mir hat das Update der Intel ME von 11.8.50.3425 auf 11.8.50.3460 problemlos geklappt.
Zum Überprüfen der ME-Version könnt ihr entweder das BIOS/UEFI aufrufen oder das ältere "Intel-SA-00086 Detection Tool" benutzen: https://downloadcenter.intel.com/download/27150
Es meldet natürlich nur, ob die Fehler von letztem Jahr behoben wurden und prüft nicht die aktuellen Probleme aus dem Intel-SA-00112/Intel-SA-00118.
PS: Ich bezweifle, dass Microsoft in Zukunft Windows-Updates für die Intel ME bereitstellen wird, so wie sie es mittlerweile wieder bei CPU-Microcode-Updates handhaben (gegen die Prozessor-Schwachstellen Meltdown & Spectre).
EDIT: Ich habe festgestellt, dass HP die Version 11.8.50.3470 verteilt, welche ebenfalls die von Intel genannten Probleme beheben soll: https://support.hp.com/my-en/document/c06086178
Welche sonstigen Unterschiede es zwischen 11.8.50.3460 und 11.8.50.3470 gibt, kann ich nicht sagen, habe aber nun letztere Version auf mein System gepackt.
Dazu einfach auf der verlinkten HP-Seite unter "Consumer Desktop and Notebook PCs" folgende Datei herunterladen: https://ftp.hp.com/pub/softpaq/sp87501-88000/sp87520.exe
- Diese ausführen und sobald er zum Drücken einer beliebigen Taste auffordert, das Programm beenden
- Im Ordner C:\SWSetup\SP87520 sollten sich die beiden Dateien "118_C0LP.BIN" und "118_D0H.BIN" befinden
- Beide umbenennen in "ME_11.8_Consumer_C0_LP_Production.bin" und "ME_11.8_Consumer_D0_H_Production.bin"
- Im Medion-Ordner des "ME Firmware Update Tools" (siehe weiter oben) die zwei alten Dateien überschreiben und "MEUpdate_User.cmd" ausführen
22.07.2018 22:09 - bearbeitet 23.07.2018 10:27
22.07.2018 22:09 - bearbeitet 23.07.2018 10:27
@Anonymous
Ich habe es genau nach deinen Anleitungen gemacht. Vorher war die Version 11.8.50.3399 installiert.
Die Ausführung mit der "MEUpdate_User.cmd ", lief ohne Fehlermeldung ab, die beiden neuen .bin aus dem D:\ Intel ME FW Update Tool Version v1.1.4.0 \ bin \11.8.50.3460 \ NoAMT\ waren vorher ins entsprechende Verzeichnis D:\Medion \IntelME-fix_sa-00086\ kopiert, und die originalen .bin gelöscht.
Trotzdem, auch nach zweimaligem Flashen und jeweils rebooten sagte das "Intel-SA-00086 Detection Tool" nach wie vor ich hätte die Version 11.8.50.3399 installiert. Ich werde jetzt nochmal im UEFI nachsehen; habe aber gerade einen Download der erst fertig werden muss.
Mein Rechner ist ein Medion Erazer P7644.
Gruss, daddle
Edit: Im UEFi steht nach wie vor auch der alte Wert für ME xxxx.3399.
am 23.07.2018 09:13
am 23.07.2018 09:13
Da warte ich lieber ab, bevor ich das versuche in Eigenregie hinzubiegen, MEDION wird wohl hoffentlich wieder ein ME-Update bereitstellen.
Bei manchen Mainboards muss man für das ME-Update auch den roten ME-Jumper am Mainboard umstecken.
MfG.
K.B.
am 23.07.2018 12:15
am 23.07.2018 12:15
@Kill_Bill schrieb:
Da warte ich lieber ab, bevor ich das versuche in Eigenregie hinzubiegen, MEDION wird wohl hoffentlich wieder ein ME-Update bereitstellen.
MfG.
K.B.
Danke @Kill_Bill, soetwas in der Richtung wollte ich gerade schreiben bzw. tu es einfach.
Natürlich ist es richtig, dass die medial beschriebenen Sicherheitslücken da sind und ebenfalls ist das (nicht nur) bei MEDION ein Thema, dessen wir uns bereits angenommen haben.
Schnellschüsse bringen weder uns noch euch in der gänze weiter, deswegen sind wir gerade in der Testphase und werden uns melden, wenn wir ein Update freigegebben haben.
Selbst herumbasteln ist natürlich keineswegs verboten, kann aber auch schon mal in die Hose gehen und das sollte es wirklich nicht wert sein, oder?
Viele Grüße
Major ToM
am 24.07.2018 19:10
am 24.07.2018 19:10
@daddle
Ich würde ja zuerst mal das unveränderte Medion-Tool benutzen um von 11.8.50.3399 auf 11.8.50.3425 zu aktualisieren. Schlägt hierbei etwas fehl, muss man mal sehen, woran es liegen kann oder eben bei Medion nachfragen. Jeden weiteren Schritt kann man dann auf eigene Gefahr machen.
24.07.2018 20:03 - bearbeitet 25.07.2018 17:10
24.07.2018 20:03 - bearbeitet 25.07.2018 17:10
@Anonymous
Das Medion Tool hatte ich benutzt; brachte mich vorgestern aber nicht weiter als bis Version ...3399. Lol!
War noch die alte Version, trotz vorgestern neu runtergeladen. So víel dazu, Medion hält uns Up to date.
Heute nochmal Medion Intel SA006-ME\ heruntergeladen, war bit zu bit identisch zu dem älterem Download; nochmal die Installation gestartet, brachte mich plötzlich auf die ...3460 ?
Obwohl das gesamte Download IntelME-fix_sa-00086 und die Bin-Dateien von heute und von vor 2 Tagen und vor etlichen Monaten exact bit für bit die gleichen sind, Datum der Bin-Dateien 29.11.2017, blieb es vorgestern trotz von mir initiiertem Reboot auf Ver. 11.8.50.3399; heute nach nochmaligem Flashen mit den neu runtergeladenen "alten" Dateien komme ich nicht auf ...3425; sondern jetzt plötzlich auf Version 11.8.50.3460.
Das Tool bootete auch im Gegensatz zum letzten Mal automatisch neu. Auch im Bios jetzt 11.8.50.3460.
Da man aber nicht weiss wie das jetzt rätselhafte Ergebnis letztendlich zustande kam (da war wohl nochwas in irgendeiner Pipeline), würde ich auch nicht empfehlen es nachzumachen; auch wenn ich Glück hatte bzw. Gandalfs Tipp zum Schluss zur Me-Version .3460 führte.
Gruss, daddle
09.08.2018 19:11 - bearbeitet 09.08.2018 19:36
09.08.2018 19:11 - bearbeitet 09.08.2018 19:36
Es gibt mittlerweile die Version 11.8.55.3510 der Intel ME.
Diese behebt folgende Sicherheitslücken (laut Lenovo):
CVE-2018-3655, CVE-2018-3657, CVE-2018-3658, CVE-2018-3659, CVE-2018-3616, CVE-2018-3643, CVE-2018-3644
"Intel CSME 11.8.55.3510 fixes the currently reserved CVE-2018-3655, CVE-2018-3657, CVE-2018-3658, CVE-2018-3659, CVE-2018-3616, CVE-2018-3643 & CVE-2018-3644. CSME 12 and ME 9 - 10 also affected and fixed at 12.0.6.1120, 10.0.60.3000, 9.5.65.3000 & 9.1.45.3000. ME <= 8 are EOL."
@platomaniac: https://twitter.com/platomaniac/status/1019545152711471110
Bisher gibt es also noch keine näheren Beschreibungen zu den Problemen (auch nicht von Intel) und Lenovo bietet nur die Low-Power-Profile der ME zum Download an: https://support.lenovo.com/de/en/downloads/ds502278
Man besorgt sich daher im Netz am besten gleich "11.8.55.3510_CON_H_D0_PRD_RGN.bin" (High Power, Consumer Desktop) bzw. "11.8.55.3510_CON_LP_C0_NPDM_PRD_RGN.bin" (Low Power, Consumer Laptop); z. B. von:
https://www.win-raid.com/t596f39-Intel-Management-Engine-Drivers-Firmware-amp-System-Tools.html
https://www.win-raid.com/t832f39-Intel-Engine-Firmware-Repositories.html
11.8.55.3510 läuft bei mir ohne Probleme.
Mainboard: H110H4-CM2, BIOS: 110H4W0X.111
19.08.2018 09:48 - bearbeitet 19.08.2018 10:35
19.08.2018 09:48 - bearbeitet 19.08.2018 10:35
Hallo @Anonymous
Habe das ME-Update und Microcode-Update wie von dir beschrieben jetzt doch auch ausgeführt, und hat scheinbar auch geklappt,
aber eine Komponente der ME ist anscheinend noch auf einem alten Stand verblieben.
Siehe:
http://666kb.com/i/dw7p6frafsnjotv4j.png
Hat jemand eine Idee, wie man diese Komponente auch noch aktualisieren kann?
MfG.
K.B.
19.08.2018 10:44 - bearbeitet 19.08.2018 12:07
19.08.2018 10:44 - bearbeitet 19.08.2018 12:07
Der FITC-Eintrag muss nicht aktualisiert werden und kann sogar noch älter sein:
"Now, FITC is a tool. Flash Image Tool is used to create an SPI image. The information of which FITC version was used to create the SPI/BIOS image is left at the ME Firmware. That's what MEA reads as FITC. If ASUS or you, used for example FITC v8.1.52 to create the SPI/BIOS image then MEA would report FITC 8.1.52. It has nothing to do with the actual ME Firmware."
Quelle: https://www.win-raid.com/t596f39-Intel-Management-Engine-Drivers-Firmware-amp-System-Tools-103.html#...
Außerdem kündigt sich weiter der ME-Sicherheits-Super-GAU an:
https://www.dell.com.mx/support/home/ed/en/eddhs1/drivers/driversdetails?driverid=vtnpc&lwp=rt
https://www.dell.ca/support/home/gt/es/gtdhs1/Drivers/DriversDetails?driverId=F973Y
"Updated Intel ME Firmware to address security advisories INTEL-SA-00125 (CVE-2018-3655), INTEL-SA-00131 (CVE-2018-3643 CVE-2018-3644) & INTEL-SA-00141 (CVE-2018-3657 CVE-2018-3658 CVE-2018-3616)."
"Update Intel TXE Firmware to address security advisories INTEL-SA-00142 (CVE-2018-3659) & INTEL-SA-00125 (CVE-2018-3655)."
Vier Security Advisories sind nicht gerade wenig. Leider weiterhin keine Details öffentlich.
am 21.08.2018 19:37
am 21.08.2018 19:37
Der Linux Kernel von Fedora 28 x64 gibt nun seit dem Update des Microcode und der ME-Firmware diese Fehlermeldung aus:
[ 0.598861] tpm_crb MSFT0101:00: [Firmware Bug]: ACPI region does not cover the entire command/response buffer. [mem 0xfed40000-0xfed4087f flags 0x200] vs fed40080 f80
[ 0.598905] tpm_crb MSFT0101:00: [Firmware Bug]: ACPI region does not cover the entire command/response buffer. [mem 0xfed40000-0xfed4087f flags 0x200] vs fed40080 f80
Allerdings ohne weitere merkbare Auswirkungen, System startet normal, und läuft soweit stabil.
Scheint das selbe wie in dem Thread zu sein:
https://forums.linuxmint.com/viewtopic.php?t=263918