cancel
Showing results for 
Search instead for 
Did you mean: 

C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

97 REPLIES 97
Ulli56
Explorer
Message 1 of 98
47,092 Views
Message 1 of 98
47,092 Views

C-Bild meldet: Nahezu alle aktuellen Intel-Prozessoren angreifbar

Hallo, was hat es mit der neuesten Meldung der C-Bild auf sich, dass fast alle Intel Prozessoren Sicherheitslücken aufweisen? Habe einen Medion Akoya P5378 I/C304 mit  Intel(R) Core(TM) i5-6402P CPU @ 2.80GHz. Habe den Test durchgeführt mit der Meldung "Dieses System hat Sicherheitslücken". Was kann ich tun? Danke.

Gruß Ulli

 
97 REPLIES 97
Anonymous
None
Message 61 of 98
8,836 Views
Message 61 of 98
8,836 Views

Es gibt neue Lücken in der Intel Management Engine:

https://www.heise.de/security/meldung/Intel-Prozessoren-Management-Engine-ME-ueber-Netzwerk-angreifb...
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00112.html
https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00118.html

Intel trifft aktuell leider keine klare Aussage, welche ME-Version denn nun genau die entsprechenden Fixes enthält.
Es wird für Skylake und neuer (6. Core Generation) nur 11.8.50 genannt - man sollte aber zumindest 11.8.50.3399 haben, um nicht auch noch die Fehler von letztem Jahr aus dem Intel-SA-00086 mitzuschleppen (siehe: https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00086.html).

Nach etwas Googeln habe ich auf einer Seite von Lenovo Folgendes gefunden:

Version <11.8.50.3460>
- Fixed the following security vulnerabilities: CVE-2018-3628, CVE-2018-3629, CVE-2018-3627, and CVE-2018-3632.

 

Bei Toshiba finden sich ähnliche Informationen (Link weiter unten):

This firmware update is to address the Intel vulnerability documented in following Intel documents. (INTEL-SA-00112 & INTEL-SA-00118).

 

Da Medion bisher keine Updates bereitstellt und das wahrscheinlich auch noch eine Weile dauern wird, folgt nun der schnelle Weg (Natürlich auf eigene Gefahr!😞

- Ihr ladet euch hierzu das ältere "ME Firmware Update Tool" von Medion herunter (IntelME-fix_sa-00086.exe): https://www.medion.com/gb/service/_lightbox/treiber.php?stxt=sa-00086
- Ihr ladet euch von Toshiba das "Intel AMT/ME-FW Update Tool v1.1.4.0" herunter: https://support.toshiba.com/support/viewContentDetail?contentId=4016162
- Die Toshiba-Datei öffnet ihr am besten mit einem Archivierer wie WinRAR, ansonsten entpackt er euch alles ins TEMP-Verzeichnis
- Ihr habt jetzt zwei entpackte Ordner auf eurem Desktop: Einen von Medion und einen von Toshiba
- Im Toshiba-Ordner wechselt ihr in das Verzeichnis .\bin\11.8.50.3460\NoAMT und kopiert dort die zwei Dateien "ME_11.8_Consumer_C0_LP_Production.bin" und "ME_11.8_Consumer_D0_H_Production.bin" in den Medion-Ordner und überschreibt beide
- Dann startet ihr im Medion-Ordner die Datei "MEUpdate_User.cmd"

Bei mir hat das Update der Intel ME von 11.8.50.3425 auf 11.8.50.3460 problemlos geklappt.
Zum Überprüfen der ME-Version könnt ihr entweder das BIOS/UEFI aufrufen oder das ältere "Intel-SA-00086 Detection Tool" benutzen: https://downloadcenter.intel.com/download/27150
Es meldet natürlich nur, ob die Fehler von letztem Jahr behoben wurden und prüft nicht die aktuellen Probleme aus dem Intel-SA-00112/Intel-SA-00118.

PS: Ich bezweifle, dass Microsoft in Zukunft Windows-Updates für die Intel ME bereitstellen wird, so wie sie es mittlerweile wieder bei CPU-Microcode-Updates handhaben (gegen die Prozessor-Schwachstellen Meltdown & Spectre).

 

EDIT: Ich habe festgestellt, dass HP die Version 11.8.50.3470 verteilt, welche ebenfalls die von Intel genannten Probleme beheben soll: https://support.hp.com/my-en/document/c06086178

Welche sonstigen Unterschiede es zwischen 11.8.50.3460 und 11.8.50.3470 gibt, kann ich nicht sagen, habe aber nun letztere Version auf mein System gepackt.

Dazu einfach auf der verlinkten HP-Seite unter "Consumer Desktop and Notebook PCs" folgende Datei herunterladen: https://ftp.hp.com/pub/softpaq/sp87501-88000/sp87520.exe

- Diese ausführen und sobald er zum Drücken einer beliebigen Taste auffordert, das Programm beenden
- Im Ordner C:\SWSetup\SP87520 sollten sich die beiden Dateien "118_C0LP.BIN" und "118_D0H.BIN" befinden
- Beide umbenennen in "ME_11.8_Consumer_C0_LP_Production.bin" und "ME_11.8_Consumer_D0_H_Production.bin"
- Im Medion-Ordner des "ME Firmware Update Tools" (siehe weiter oben) die zwei alten Dateien überschreiben und "MEUpdate_User.cmd" ausführen

daddle
Superuser
Message 62 of 98
8,766 Views
Message 62 of 98
8,766 Views

@Anonymous

 

Ich habe es genau nach deinen Anleitungen gemacht. Vorher war die Version 11.8.50.3399 installiert.

 

Die Ausführung  mit der "MEUpdate_User.cmd ", lief ohne Fehlermeldung ab, die beiden neuen .bin aus dem D:\ Intel ME FW Update Tool Version v1.1.4.0 \ bin \11.8.50.3460 \ NoAMT\ waren vorher ins entsprechende Verzeichnis D:\Medion \IntelME-fix_sa-00086\  kopiert, und die originalen .bin gelöscht.

 

Trotzdem, auch nach zweimaligem Flashen und jeweils rebooten sagte das "Intel-SA-00086 Detection Tool" nach wie vor ich hätte die Version  11.8.50.3399 installiert. Ich werde jetzt nochmal im UEFI nachsehen; habe aber gerade einen Download der erst fertig werden muss.

Mein Rechner ist ein Medion Erazer P7644.

 

Gruss, daddle 

 

Edit: Im UEFi steht nach wie vor auch der alte Wert für ME xxxx.3399.

 

Kill_Bill
Professor
Message 63 of 98
8,731 Views
Message 63 of 98
8,731 Views

Da warte ich lieber ab, bevor ich das versuche in Eigenregie hinzubiegen, MEDION wird wohl hoffentlich wieder ein ME-Update bereitstellen.

Bei manchen Mainboards muss man für das ME-Update auch den roten ME-Jumper am Mainboard umstecken.

 

MfG.

K.B.

Major_ToM
Professor
Message 64 of 98
8,706 Views
Message 64 of 98
8,706 Views


@Kill_Bill  schrieb:

Da warte ich lieber ab, bevor ich das versuche in Eigenregie hinzubiegen, MEDION wird wohl hoffentlich wieder ein ME-Update bereitstellen.

 

MfG.

K.B.


Danke @Kill_Bill, soetwas in der Richtung wollte ich gerade schreiben bzw. tu es einfach.
Natürlich ist es richtig, dass die medial beschriebenen Sicherheitslücken da sind und ebenfalls ist das (nicht nur) bei MEDION ein Thema, dessen wir uns bereits angenommen haben.

Schnellschüsse bringen weder uns noch euch in der gänze weiter, deswegen sind wir gerade in der Testphase und werden uns melden, wenn wir ein Update freigegebben haben.

 

Selbst herumbasteln ist natürlich keineswegs verboten, kann aber auch schon mal in die Hose gehen und das sollte es wirklich nicht wert sein, oder?

 

Viele Grüße

 

Major ToM


MEDION. LÄUFT BEI MIR.
• Web: www.medion.de • Community: community.medion.com • Facebook: MEDIONDeutschland • Instagram: @medion.de


Bitte belohne hilfreiche Antworten mit Kudos und markiere die beste Antwort/Lösung mit Als Lösung akzeptieren.
Anonymous
None
Message 65 of 98
8,660 Views
Message 65 of 98
8,660 Views

@daddle

Ich würde ja zuerst mal das unveränderte Medion-Tool benutzen um von 11.8.50.3399 auf 11.8.50.3425 zu aktualisieren. Schlägt hierbei etwas fehl, muss man mal sehen, woran es liegen kann oder eben bei Medion nachfragen. Jeden weiteren Schritt kann man dann auf eigene Gefahr machen.

daddle
Superuser
Message 66 of 98
8,649 Views
Message 66 of 98
8,649 Views

@Anonymous

 

Das Medion Tool hatte ich benutzt; brachte  mich vorgestern aber nicht weiter als bis Version ...3399.  Lol!

War noch die alte Version, trotz vorgestern neu runtergeladen. So víel dazu, Medion hält uns Up to date.

Heute nochmal Medion Intel SA006-ME\ heruntergeladen, war bit zu bit identisch zu dem älterem Download; nochmal die Installation gestartet, brachte mich plötzlich auf die ...3460 ?

Obwohl das gesamte Download IntelME-fix_sa-00086 und die Bin-Dateien von heute und von vor 2 Tagen und vor etlichen Monaten exact bit für bit die gleichen sind, Datum der Bin-Dateien 29.11.2017, blieb es vorgestern trotz von mir initiiertem Reboot auf Ver. 11.8.50.3399; heute nach nochmaligem Flashen mit den neu runtergeladenen "alten" Dateien komme ich nicht auf ...3425; sondern jetzt plötzlich auf Version 11.8.50.3460.

Das Tool bootete auch im Gegensatz zum letzten Mal automatisch neu. Auch im Bios jetzt 11.8.50.3460.

 

Da man aber nicht weiss wie das jetzt rätselhafte Ergebnis letztendlich zustande kam (da war wohl nochwas in irgendeiner Pipeline), würde ich auch nicht empfehlen es nachzumachen; auch wenn ich Glück hatte bzw. Gandalfs Tipp zum Schluss zur Me-Version .3460 führte.

 

Gruss, daddle

Anonymous
None
Message 67 of 98
8,538 Views
Message 67 of 98
8,538 Views

Es gibt mittlerweile die Version 11.8.55.3510 der Intel ME.

Diese behebt folgende Sicherheitslücken (laut Lenovo):
CVE-2018-3655, CVE-2018-3657, CVE-2018-3658, CVE-2018-3659, CVE-2018-3616, CVE-2018-3643, CVE-2018-3644

"Intel CSME 11.8.55.3510 fixes the currently reserved CVE-2018-3655, CVE-2018-3657, CVE-2018-3658, CVE-2018-3659, CVE-2018-3616, CVE-2018-3643 & CVE-2018-3644. CSME 12 and ME 9 - 10 also affected and fixed at 12.0.6.1120, 10.0.60.3000, 9.5.65.3000 & 9.1.45.3000. ME <= 8 are EOL."
@platomaniac: https://twitter.com/platomaniac/status/1019545152711471110

Bisher gibt es also noch keine näheren Beschreibungen zu den Problemen (auch nicht von Intel) und Lenovo bietet nur die Low-Power-Profile der ME zum Download an: https://support.lenovo.com/de/en/downloads/ds502278

Man besorgt sich daher im Netz am besten gleich "11.8.55.3510_CON_H_D0_PRD_RGN.bin" (High Power, Consumer Desktop) bzw. "11.8.55.3510_CON_LP_C0_NPDM_PRD_RGN.bin" (Low Power, Consumer Laptop); z. B. von:
https://www.win-raid.com/t596f39-Intel-Management-Engine-Drivers-Firmware-amp-System-Tools.html
https://www.win-raid.com/t832f39-Intel-Engine-Firmware-Repositories.html

11.8.55.3510 läuft bei mir ohne Probleme.

Mainboard: H110H4-CM2, BIOS: 110H4W0X.111

Kill_Bill
Professor
Message 68 of 98
8,380 Views
Message 68 of 98
8,380 Views

Hallo @Anonymous

Habe das ME-Update und Microcode-Update wie von dir beschrieben jetzt doch auch ausgeführt, und hat scheinbar auch geklappt,

aber eine Komponente der ME ist anscheinend noch auf einem alten Stand verblieben.

Siehe:

http://666kb.com/i/dw7p6frafsnjotv4j.png

Hat jemand eine Idee, wie man diese Komponente auch noch aktualisieren kann?

 

MfG.

K.B.

Anonymous
None
Message 69 of 98
8,368 Views
Message 69 of 98
8,368 Views

Der FITC-Eintrag muss nicht aktualisiert werden und kann sogar noch älter sein:

"Now, FITC is a tool. Flash Image Tool is used to create an SPI image. The information of which FITC version was used to create the SPI/BIOS image is left at the ME Firmware. That's what MEA reads as FITC. If ASUS or you, used for example FITC v8.1.52 to create the SPI/BIOS image then MEA would report FITC 8.1.52. It has nothing to do with the actual ME Firmware."

Quelle: https://www.win-raid.com/t596f39-Intel-Management-Engine-Drivers-Firmware-amp-System-Tools-103.html#...

Außerdem kündigt sich weiter der ME-Sicherheits-Super-GAU an:
https://www.dell.com.mx/support/home/ed/en/eddhs1/drivers/driversdetails?driverid=vtnpc&lwp=rt
https://www.dell.ca/support/home/gt/es/gtdhs1/Drivers/DriversDetails?driverId=F973Y

"Updated Intel ME Firmware to address security advisories INTEL-SA-00125 (CVE-2018-3655), INTEL-SA-00131 (CVE-2018-3643 CVE-2018-3644) & INTEL-SA-00141 (CVE-2018-3657 CVE-2018-3658 CVE-2018-3616)."

 

"Update Intel TXE Firmware to address security advisories INTEL-SA-00142 (CVE-2018-3659) & INTEL-SA-00125 (CVE-2018-3655)."

Vier Security Advisories sind nicht gerade wenig. Leider weiterhin keine Details öffentlich.

Kill_Bill
Professor
Message 70 of 98
8,272 Views
Message 70 of 98
8,272 Views

Der Linux Kernel von Fedora 28 x64 gibt nun seit dem Update des Microcode und der ME-Firmware diese Fehlermeldung aus:

 

[    0.598861] tpm_crb MSFT0101:00: [Firmware Bug]: ACPI region does not cover the entire command/response buffer. [mem 0xfed40000-0xfed4087f flags 0x200] vs fed40080 f80
[    0.598905] tpm_crb MSFT0101:00: [Firmware Bug]: ACPI region does not cover the entire command/response buffer. [mem 0xfed40000-0xfed4087f flags 0x200] vs fed40080 f80

 

Allerdings ohne weitere merkbare Auswirkungen, System startet normal, und läuft soweit stabil.

Scheint das selbe wie in dem Thread zu sein:

https://forums.linuxmint.com/viewtopic.php?t=263918

 

 

97 REPLIES 97