Intel kämpft mit schwerer Sicherheitslücke (Update: Intel veröffentlicht Server-Benchmarks)

Wenn Du diese Anzeige nicht sehen willst, registriere Dich und/oder logge Dich ein.

Hier ist es nochmal easy erklärt:
Intel kämpft mit schwerer Sicherheitslücke (Update: Intel liefert Microcode aus) - Seite 44

Es reicht aber bei Intel, sich an den Reiter Instructions zu halten VMware CPU Microcode Update Driver
Denn die install.bat (habe mal kurz rein geschau) prüft nur die diese beiden AMD Files aus Punkt 2, die müßen auch bei einem Intel Blech da sein, damit das Script nicht mit einem Fehler aussteigt.

Nach dem die install.bat (mit Adminrechten) gelaufen ist und rebootet wurde, mit den Hinweisen/dem Screenshot aus Summary VMware CPU Microcode Update Driver
schauen, was der Treiber so im System Event Log von Windows erzählt.

"The driver will report its actions in the OS’s event log that can be examined using “Event Viewer”. The driver reports whether it found supported processors and if an update was attempted or successfully performed on a processor"

Mit der uninstall.bat dann wieder zurück bei Problemen (plus Reboot).

edit: --Natürlich noch Überprüfen des Ganzen:

Mit dem Tool HWINFO (HWiNFO - Hardware Information, Analysis and Monitoring Tools) unter dem Punkt Summary schauen, ob sich unter uCPU (rechts neben Cache) der Microcode geändert hat
(Im Nachgang, also wenn alte Nummer nicht bekannt: ggf. mit uinstall.bat/install.bat gegenprüfen/vergleichen)

Mit dem Check von MS prüfen, ob der Punkt "Hardware support for branch target injection mitigation is present" mit dem neuen Microcode nun auf "True" steht.
(siehe hier https://support.microsoft.com/en-us/help/4073119/protect-against-speculative-execution-side-channel-vulnerabilities-in?ranMID=24542&ranEAID=hL3Qp0zRBOc&ranSiteID=hL3Qp0zRBOc-dLUp0HtsD6if1cnT2zQaQA&tduid=(f813c7a6faaab9187ed9da9206929ad7)(256380)(2459594)(hL3Qp0zRBOc-dLUp0HtsD6if1cnT2zQaQA unter "PowerShell Verification using the PowerShell Gallery")
 
Zuletzt bearbeitet:
Womöglich hat Google einen besseren Weg der Implementation gefunden oder aber wirft einfach nur mehr Hardware-Ressourcen auf das Problem.

Ich denke, dass beides der Fall ist. Retpoline scheint den von mir weiter oben verlinkten Linux-Benchmarks zu urteilen, tatsächlich so gut wie keine Einbußen nach sich zubziehen - jedenfalls auf aktuellen AMD-CPUs.

Ob das auch bei Intel-CPUs so aussieht, wird sich zeigen.
Vo allem läuft auf Googles Servern natürlich nicht mit Windows - eventuell ist die Lösung dort auch gar nicht so ohne weiteres anwendbar.

Man muss natürlich auch weniger Hardware dazukaufen, wenn man auch kaum Leistung verloren hat.
 
Ich stimme "rh-ironman" zu. Der File von Intel beinhaltet alle aktuellen Microcodes für die CPUs. Aktuell heisst in dem Fall aber nur, der letzte der für die CPU erstellt wurde. Das heisst nicht, dass dieser schon den Patch für Meltdown/Spectre beinhaltet. Der Code kann auch schon 3 oder 10 Jahre alt sein und trotzdem der aktuellste für eine bestimmte CPU sein. Ausschlaggebend sind nur die in den Release Notes angegebenen Prozessorgenerationen, für die der Fix implementiert wurde.

Cunhell
 
Eine Ansichtssache,
"Die Umsatzzahlen bei Intel bezüglich der CPUs entsprachen nicht den Erwartungen, da passt so eine Sicherheitslücke. User zum Aufrüsten zu bewegen, weil nun die alten CPUs zu langsam werden- nach dem Update. Natürlich mussten die Sicherheitslücke Andere entdecken. Intel selber... ja der wäre der Gutgläubigste misstrauisch geworden. Auch das die älteren Chipsätze der Mainboards erst später versorgt werden - soll davon ablenken, das gerade die Sandy und Ivy Bridge System verschwinden sollen, weil die einfach noch zu gut sind und noch mithalten können-vor allem bei Spielen.

Dan kann es eigentlich nur zwei Varianten geben: Entweder war das alles geplant, oder es hat sich aus der aktuellen Lage (das Entdecken der Sicherheitslücke durch Fremde) als günstig erwiesen hier das Fass auf zu machen, um den Markt auch gleich mit zu bereinigen (alte Hardware los werden). Beispiele für solches Handeln hatte es ja schon gegeben. Nvidia soll im Verdacht gestanden haben bei älteren Grafikkarten per Treiber die Lüfter abzuschalten sobald eine 3 D Anwendung gestartet wurde ..."

Wie weit wird die Aufklärung gehen, kann man noch gespannt sein.
 
Bzgl. des Update 22:
Was hat Google denn seitdem gepatched? Android? Chrome?
Zumindest bei Chrome heißt es doch, dass der Patch erst am 23. kommen soll.
 
Zuletzt bearbeitet:
Bzgl. des Update 21:
Was hat Google denn seitdem gepatched? Android? Chrome?
Zumindest bei Chrome heißt es doch, dass der Patch erst am 23. kommen soll.

Die haben hauptsächlich erst mal Ihre Serverfarmen gepatcht und eventuell auch umgerüstet. Das ist da wo es ihnen wehtut wenn was schiefgeht.

Gruß

Blue Max
 
Hab hier noch alte Xeon 5670 laufen," Leistungsverlust " liegt in minimalen Messtoleranzen, 1-2 FPS also unerheblich. mfg
 
Was ist denn mit älteren PC`s oder CPU`s allgemein für die keine Bios-Updates vorgesehen ist? Reicht da der Microsoft Patch?

Sorry vielleicht habt ihr die Frage schon beantwortet, aber habe sie dann leider nicht gefunden :)
 
Was ist denn mit älteren PC`s oder CPU`s allgemein für die keine Bios-Updates vorgesehen ist? Reicht da der Microsoft Patch?

Sorry vielleicht habt ihr die Frage schon beantwortet, aber habe sie dann leider nicht gefunden :)



Nein reicht nicht. Es wird dann nur Meltdown gefixt, Spectre 1 und 2 bleiben bestehen.




Edit:


By the Way:

Hat hier noch jemand den neuen Microcode via VMWare eingespielt OHNE das Bios zu verändern ? Bei mir ist der Hardwaresupport jetzt nämlich auf zwei meiner Systeme aktiviert und der Microcode wird auch korrekt geladen. Allerdings ist "Windows OS support for branch target injection mitigation is enabled: False". Der Schutz wird auch definitiv nicht durch irgendwelche Systemrichtlinien verhindert.
 
Zuletzt bearbeitet:
Das ja interessant, könnte das noch zu einem Problem werden?
Nicht alle Prozessoren weltweit sind von 2015 oder neuer....
 
Ich denke das wird zu einem Problem. Ich kenne selbst noch genug Menschen mit alten Laptops usw (die für die Nutzung auch reichen). Dazu noch die weniger Wohlhabenden Länder, wo alte Hardware noch viel mehr verwendet wird als bei uns.
 
Ja ok, das ist genau Das was ich befürchtet, aber insgeheim natürlich nicht gehofft hatte.
 
@Leonleon1
Der VMware Treiber lädt den Microcode zu spät und der Kernel aktiviert die Unterstützung für Mitigation nicht.

Siehe:
https://forums.guru3d.com/threads/windows-how-to-get-latest-cpu-microcode-without-modding-the-bios.418806/page-2

Posting #24


Cunhell
 
Hat hier noch jemand den neuen Microcode via VMWare eingespielt OHNE das Bios zu verändern ? Bei mir ist der Hardwaresupport jetzt nämlich auf zwei meiner Systeme aktiviert und der Microcode wird auch korrekt geladen. Allerdings ist "Windows OS support for branch target injection mitigation is enabled: False". Der Schutz wird auch definitiv nicht durch irgendwelche Systemrichtlinien verhindert.

War Nonsens was ich schrieb...
 
Zuletzt bearbeitet:
Ich denke das wird zu einem Problem. Ich kenne selbst noch genug Menschen mit alten Laptops usw (die für die Nutzung auch reichen). Dazu noch die weniger Wohlhabenden Länder, wo alte Hardware noch viel mehr verwendet wird als bei uns.

Vermutlich kann man mit sinnvollem Anwenderverhalten in bestimmten Umgebungen (Javascript usw.) auch viel erreichen, Spectre braucht grundsätzlich eine genauere Zeitmessung und vielleicht kann man in Anwendungen die Laufzeit für dergleichen Auflösungen reduzieren, so das eine Messung zu ungenau wäre (siehe Anpassung in Mozilla)

Letztlich braucht Intel Architekturänderungen. Man muss dann um Spectre vollkommen auszuschließen, neue CPUs verbauen. Aber wann und wo war denn der PC vollkommen sicher? Morgen ist es wieder was anderes.

Problematisch ist das Thema auf allen x86 Plattformen die indirect branching unterstützen und das dürften fast alle sein.

Ich würde mich jetzt persönlich nicht verrückt machen. Dann muss man die nächste Zeit halt wieder zur Bank gehen um Geld zu überweisen oder ähnliches. Immens betroffen ist doch eher die Cloudindustrie, weil die für eine hohe Datensicherheit bürgen müssen. Ich kann mir ehrlich gesagt nicht vorstellen, dass man aus einem riesigen "Schwarm" an Rechner gezielt einen herauspickt um sich darum genüsslich zu tun, so einfach auszuführen sind derartige Exploits nun auch wieder nicht. Anders herum muss man CPU-Architektur-Informationen besitzen die nicht für die Öffentlichkeit bestimmt sind und simuliert wurden sie in wissenschaftlichen Bereichen. Wenn solche Angriffe dann tatsächlich vollzogen werden, sind sie gezielt (von Leuten die diese Infos besitzen) und das sind sicher nicht nullachtfünfzehn Hacker.

Desto mehr Informationen an die Öfftlichkeit gelangen, desto mehr gefährdet man auch potentiell und fühlt sich unsicher. Es gibt wie überall genug Nachahmer.
 
Zuletzt bearbeitet:
@Leonleon1
Der VMware Treiber lädt den Microcode zu spät und der Kernel aktiviert die Unterstützung für Mitigation nicht.

Siehe:
Windows: How to get latest CPU microcode without modding the BIOS | Page 2 | guru3D Forums

Posting #24


Cunhell

Verstehe ich das richtig, wenn ich diesen Post lese:
Windows: How to get latest CPU microcode without modding the BIOS | Page 4 | guru3D Forums

Bei den Leuten, welche den Microcode via Bios Patch eingespielt haben, sollten die drei roten Meldungen (welche bei meinem Windows 7->VMware Tool) auftauchen nicht da sein?
7.jpg
Kann das jemand bestätigen?

Edit:
Habe mich mal in Thread von guru3d eingelesen. Das VMware Tool scheint in der Tat für Spectre nutzlos zu sein.
Also doch auf eine offizielle Verteilung via MS/Asrock warten oder doch mit diesem UBU Tool etc. flashen. Da warte ich auch erstmal ab, gerade wenns es noch Probleme bei Haswell gibt.
 
Zuletzt bearbeitet:
Die Intel-Ankündigung wird immer verkürzt (und damit verfälscht) wiedergegeben:


Warte selbst auf ein Microcode-Update für Sandy Bridge. Und da sieht es (auch kurzfristig) ganz gut aus:
Intel kündigt Updates für seine eigenen NUC Boards mit Sandy Bridge für Ende Januar an.
HP kündigt ebenfalls für viele Geräte Updates an - z. B. für den HP Compaq 8200 Elite Convertible Minitower-PC mit Sandy Bridge.
Was davon rauskommen wird, wird man sehen. Direkt angekündigt hat Intel jedenfalls nichts. Die Hoffnungen sind da, aber ob und wie umgesetzt steht auf einem anderen Blatt (man erinnere sich nur an Haswell). Ich denke die alten Generationen unter Haswell werden nur das allernötigste bekommen ohne Feinschliff.

Ich möchte bei der Gelegenheit gerne die Intel-Management-Engine-Firmware dauerhaft im BIOS updaten statt sie einfach nur per "FWUpdLcl" separat zu aktualiseren, da der Microcode vermutlich in der kommenden Zeit immer weiter optimiert werden wird und ich nicht jedes Mal wieder mit dem BIOS-Update die aktualisierte ME mit der alten downgraden will.
Hat jemand zufällig mit VirtualFred's Anleitung irgendwelche Erfahrungen gesammelt?
Das stimmt nicht, die ME kann man nicht dauerhaft updaten. Nach dem nächsten BIOS Update hast du wieder die im BIOS enthaltene drauf, auch wenn sie älter ist. Das habe ich bei den Updates für die 11er Reihe bemerkt. MSI hatte kurzfristig ein Tool mit v11.8.3399 zur Verfügung gestellt mit dem ich auch geupdatet habe. Danach habe ich auf die aktuelle 11.8.3426 manuell geupdatet. Kurz darauf hat MSI für das Board ein BIOS Update rausgebracht, welches neben der ME auch andere Fixes enthielt. Und zack war ich wieder auf 3399 und musste wieder manuell updaten.
 
Verstehe ich das richtig, wenn ich diesen Post lese:
Windows: How to get latest CPU microcode without modding the BIOS | Page 4 | guru3D Forums

Bei den Leuten, welche den Microcode via Bios Patch eingespielt haben, sollten die drei roten Meldungen (welche bei meinem Windows 7->VMware Tool) auftauchen nicht da sein?
Anhang anzeigen 424675
Kann das jemand bestätigen?

Edit:
Habe mich mal in Thread von guru3d eingelesen. Das VMware Tool scheint in der Tat für Spectre nutzlos zu sein.
Also doch auf eine offizielle Verteilung via MS/Asrock warten oder doch mit diesem UBU Tool etc. flashen. Da warte ich auch erstmal ab, gerade wenns es noch Probleme bei Haswell gibt.

Jo, sehe ich auch so, wird zu spät in den Kernel geladen.
 
Jo, sehe ich auch so, wird zu spät in den Kernel geladen.

Naja immerhin sieht man mit dem VMware Tool, ob der Hardware Support möglich ist, falls man doch flashen will.

Aber bevor ich da Flash Experimente mache, warte mit dem Haswell einfach mal darauf, das Microsoft wie versprochen die Microcode Updates verteilt.
Dann werden die auch richtig geladen. Ggf. kommt Asrock mit dem Z87 Extreme auch bald mit einem Update um die Ecke.
Das letzte Beta Bios ist immerhin von Ende 2017.
 
Die sollten auch für Win7/8.1, zumal Support für win7 bis 2020 gewährleistet wird
Nur sieht man von dem Support in den letzten Jahren nichts, besonders bei 8.1 (siehe Kaby Lake und Ryzen). Es scheint mir also mehr als fraglich ob da mehr kommt.
Auch soll das Januar Update für 7/8.1 deutlich langsamer sein als für Win10. Angeblich wegen Font Rendering und solchen Dingen. Solche Schikanen kennt man ja von MS zur genüge.
 
Hardwareaner

nicht nur das. bei vielen Gerät geht nach dem Update nichts mehr. auch bei windows 10
 
Nur sieht man von dem Support in den letzten Jahren nichts, besonders bei 8.1 (siehe Kaby Lake und Ryzen). Es scheint mir also mehr als fraglich ob da mehr kommt.
Auch soll das Januar Update für 7/8.1 deutlich langsamer sein als für Win10. Angeblich wegen Font Rendering und solchen Dingen. Solche Schikanen kennt man ja von MS zur genüge.

Es gibt bei Mircosoft zwei verschiedene Supportstufen.

Mainstream und Extended. Grob zusammen gefasst= Mainstraim sind Verbesserungen. Extended = Security Updates.
Der Mainstraim Support für 7 und 8.1 ist abgelaufen, der Extended besteht aber noch:
Microsoft Support Lifecycle Mainstream Support im Ãœberblick

Wenn Mircrosoft Microcode Updates für Sicherheitsrelevante Dinge verteilt, dann ist es nicht fraglich, ob die auch für 7 und 8.1 kommen.
Sie werden kommen.
 
Auch soll das Januar Update für 7/8.1 deutlich langsamer sein als für Win10. Angeblich wegen Font Rendering und solchen Dingen. Solche Schikanen kennt man ja von MS zur genüge.
Das Update hilft eh nur gegen Meltdown, an AMD Systeme mit Windows (egal welche Version) wird gar nichts mehr verteilt, bzw. wurde die Auslieferung per Update gestoppt.

Es gibt bei Mircosoft zwei verschiedene Supportstufen.

Mainstream und Extended. Grob zusammen gefasst= Mainstraim sind Verbesserungen. Extended = Security Updates.
Der Mainstraim Support für 7 und 8.1 ist abgelaufen, der Extended besteht aber noch...

Wenn Mircrosoft Microcode Updates für Sicherheitsrelevante Dinge verteilt, dann ist es nicht fraglich, ob die auch für 7 und 8.1 kommen.
Sie werden kommen.
Genau auf das würde ich mich nicht verlassen, wenn man nicht kostenpflichtigen Support buchen will. Vermutlich macht man aber für Desktopplattformen (SB; FPP; ESD; DSP; OEM) eine Ausnahme, weil ja alle betroffen sind. Wäre aber auch für M$ das gefundene Fressen mehr Schäfchen zu Windows 10 zu treiben und vor allem schneller. Normalerweise verteilen OEM selbst oder irre ich mich da. Die liefern ja zuweilen eigene Varianten aus.
 
Zuletzt bearbeitet:
Bei Ausführen des Spectre Meltdown CPU Checker erhalte ich die Meldung "....funktioniert nicht mehr". Noch jemand anderes dieses Problem?
Hab Windows 10 Creators Update, auf dem aktuellsten Stand.
 
Hardwareluxx setzt keine externen Werbe- und Tracking-Cookies ein. Auf unserer Webseite finden Sie nur noch Cookies nach berechtigtem Interesse (Art. 6 Abs. 1 Satz 1 lit. f DSGVO) oder eigene funktionelle Cookies. Durch die Nutzung unserer Webseite erklären Sie sich damit einverstanden, dass wir diese Cookies setzen. Mehr Informationen und Möglichkeiten zur Einstellung unserer Cookies finden Sie in unserer Datenschutzerklärung.


Zurück
Oben Unten refresh