24.11.2017 16:33
24.11.2017 16:33
Hallo, was hat es mit der neuesten Meldung der C-Bild auf sich, dass fast alle Intel Prozessoren Sicherheitslücken aufweisen? Habe einen Medion Akoya P5378 I/C304 mit Intel(R) Core(TM) i5-6402P CPU @ 2.80GHz. Habe den Test durchgeführt mit der Meldung "Dieses System hat Sicherheitslücken". Was kann ich tun? Danke.
Gruß Ulli
16.11.2019 13:49
16.11.2019 13:49
Danke für die Infos. Aber das ist mir doch etwas zu knifflig.
Gruß lq
16.11.2019 18:37 - edited 16.11.2019 19:21
16.11.2019 18:37 - edited 16.11.2019 19:21
Hallo Kill-Bill,
>> Die korrekte Datei dafür heißt "Intel CSME Firmware v11.8.70.3626 (CON H DA)".
Das ist der Name der Datei bei Mega.nz. Um dahinzukommen, muss man bei dem Link von gandalf2 auf:
Intel CSME 11.8 Consumer PCH-H D,A Firmware v11.8.70.3626
klicken.
Allerdings sehe ich in meinem alten gespeicherten Verzeichnis "H110H4-EM_ME3425" von 12/2017, dass ja beim Update ein Jumper betätigt werden muss. Oder geht das mittlerweile auch anders?
>>Aber inzwischen halt wieder mal up to date gepatcht zu haben sollte ja eigentlich für jeden Pflicht sein.
Ich bin aber immer noch der Meinung, das man als normaler Consumer gefahrlos über die offiziellen Updates gehen kann.
Gruß
Klaus
17.11.2019 10:56 - edited 17.11.2019 11:11
17.11.2019 10:56 - edited 17.11.2019 11:11
Hallo @KlausX
Bei meinem H110H4-CM2 Mainboard war jetzt für das Update der ME-Firmware kein Setzen des Jumpers nötig.
Inzwischen gab es auch mal ein BIOS Update auf Version 1.11, evtl. deshalb.
Und "Windows Capsule Update Support" war im BIOS aktiviert.
MfG.
K.B.
17.11.2019 21:14
17.11.2019 21:14
Hallo Kill_Bill,
aus Neugier habe das doch mal ausprobiert.
Zunächst hatte ich erhebliche Schwierigkeiten mit SA-00018 und der MEUpdate_User.cmd. Die ließ sich zwar öffnen, aber mit "Weiter" stürzte das Tool immer ab, ohne Fehlermeldung oder entsprechenden Error Log. Erst als ich die SA-00018 neu heruntergeladen hatte, klappte das. War wohl so ähnlich wie bei daddle. Ich bin dann durch die entsprechende Umbenennung der BIN Dateien von meiner alten 11.8.50.3425 bis 11.8.70 3460 gekommen. Weiter erst einmal nicht.
Weder mit "Intel CSME Firmware v11.8.70.3626 (CON H DA)" allein oder mit Intel CSME Firmware v11.8.70.3626 (CON LP C)" in Kombination. Mit entsprechender Umbenennung in "MME_11.8_Consumer_D0_H_Production" bzw. "MME_11.8_Consumer_C0_LP_Production".
Das Tool stürzte nach Eingabe von 1 (Weiter) ab. Mache ich hier grundsätzlich etwas falsch?
Gruss
Klaus
17.11.2019 21:57 - edited 18.11.2019 03:39
17.11.2019 21:57 - edited 18.11.2019 03:39
Hallo@KlausX
Ich hatte wie zuvor erwähnt das aktuelle BIOS 1.11 drauf, und "Windows Capsule Update Support" war im BIOS aktiviert.
Noch was, ich hatte zwischenzeitlich schon einmal auf eine höhere ME-Firmware Version nach BIOS 1.11 ge-updated. Steht in dem Thread wohl auch etwas weiter oben dokumentiert.
Ich habe dann also wohl von Version 11.8.55.3510 auf die aktuelle Version gepatcht.
Ich habe das Update-Script gleich mit Rechtsklick mit Administratorrechten gestartet.
Den ME-Jumper am Mainboard hatte ich nicht umgesetzt.
Die "MME_11.8_Consumer_C0_LP_Production" braucht man für dieses Mainboard nicht, soweit ich das verstanden habe, ist die nur für Notebooks und dgl. .
Die Bin Datei habe ich natürlich auch umbenannt, damit das Update-Script wie gehabt funktioniert.
Eigentlich aber bräuchte man das Update-Script gar nicht, wenn man das Kommando in die Befehlszeile gleich korrekt eingibt.
Edit:
Kontrolliere auch mal, ob im Gerätemanager, für die ME ein neuer Treiber online gefunden wird.
Soweit ich mich erinnere, hatte ich dafür auch schon einmal ein Update.
Edit:
Das verwendete Update-Tool selbst war von dem Archiv, siehe Prüfsumme:
Name: IntelME-fix_sa-00086.exe
Größe: 3443389 Bytes (3362 KiB)
SHA1: DDBA4741196CA3904D87AECE52CE8FB4C2D474D8
MfG.
K.B.
18.11.2019 12:33
18.11.2019 12:33
Hallo Kill-Bill,
ich bin auch auf BIOS 1.11. gewesen, Windows Capsule Update Support" war auch im BIOS aktiviert und die cmd wurde als Administrator gestartet.
Den Fehler habe ich jetzt gefunden. Ich hatte verschiedene Verzeichnisse für das Ausprobieren angelegt und nicht daran gedacht, dass Leerzeichen im Verzeichnisnamen das Ausführen von cmd Dateien verhindern. So funktionierte es einmal schon und dann wieder nicht.
Jetzt bin ich (nur mit "Intel CSME Firmware v11.8.70.3626 (CON H DA)") auch auf 11.8.70.3626 und habe laut CSME VersionDetectionTool kein Sicherheitsproblem.
Die Intel ME FITC Version bleibt bei mir auch auf 11.8.50.3425, was ja laut gandalf2 kein Problem sein soll.
Vielen Dank für Deine Unterstützung.
Gruß
Klaus
19.11.2019 14:27 - edited 19.11.2019 14:32
19.11.2019 14:27 - edited 19.11.2019 14:32
Nochmal die Frage: Wann wird Medion endlich ein Update bereitstellen, dass die Sicherheitslücken in der Intel Management Engine behebt?
Für die SA-00086 gibt ja es das Tool, was erfolgreich diese Lücke für Medion PCs patcht. Es fehlen aber noch Patches z.B. für SA-00125 und SA-00213 und weitere kritische Sicherheitslücken. Ich habe ein Erazer X7843 (30019704) und die Sicherheitslücken wurden hierfür immer noch nicht gehoben. Ich habe auch schon das Intel ME Interface im Gerätemanager in Windows aktualisiert - ohne Erfolg, mir werden weiterhin Sicherheitslücken mit dem aktuellen Intel CS ME Tool angezeigt.
Die o.g. Lücken bestehen seit mehr als einem Jahr, und zumindest für mein Notebook wurden immer noch keine Sicherheitspatches veröffentlicht. Wie kann das sein?
Ich finde das mehr als ärgerlich!
Hier mal eine Übersicht über alle Intel ME Sicherheitslücken: https://www.intel.de/content/www/de/de/support/articles/000031784/technologies.html
25.11.2019 10:16
25.11.2019 10:16
Hallo @velvet_husky.
Natürlich ist es unser Ziel, die Sicherheitsstandards auf dem höchstmöglichen Niveau zu halten. Hierzu steht unsere Qualitätssicherung in ständigem Austausch mit unseren Partnern und wird in diesem Zusammenhang immer automatisch über den Entwicklungsstatus aktueller Sicherheits-Updates informiert. Dadurch können wir alle durch die Hersteller bereitgestellten Aktualisierungen zeitnah an unseren Kunden weitergeben.
Updates für ältere Komponenten müssen unsererseits separat angefragt werden. Bei Verfügbarkeit werden wir diese natürlich ebenfalls bereitstellen. Ob die Patches für deine schon etwas älterer Hardware verfügbar sind, weiß ich nicht. Wir haben die Sache auf jeden Fall auf dem Schirm und wenn es dazu etwas geben sollte, dann im Downloadbereich oder direkt über das Windowsupdate.
Gruß - Andi