Werbung
Im Rahmen der üblichen Dienstag-Updates haben Microsoft und AMD ein Windows-Update veröffentlicht, welches die entsprechende Mitigation gegen Spectre Variante 2 enthält. Das Update trägt die Nummer KB4093112 und bietet die Möglichkeit, einen neuen CPU-Befehl namens Indirect Branch Prediction Barrier (IBPB) auszuführen. Damit der Prozessor diesen aber versteht, muss er in den Microcode der CPU eingepflegt werden. AMD hat bereits damit begonnen, diesen an die Hersteller zu verteilen, so dass in Kürze Firmware- und BIOS-Updates bereitstehen sollten.
Microsoft beschreibt das Update wie folgt:
"Provides support to control usage of Indirect Branch Prediction Barrier (IBPB) within some AMD processors (CPUs) for mitigating CVE-2017-5715, Spectre Variant 2 when switching from user context to kernel context (See AMD Architecture Guidelines around Indirect Branch Control and AMD Security Updates for more details). Follow instructions outlined in KB4073119 for Windows Client (IT Pro) guidance to enable usage of IBPB within some AMD processors (CPUs) for mitigating Spectre Variant 2 when switching from user context to kernel context."
AMD folgt nun dem allgemeinen Pfad für eine Mitigation durch IBPB. Andere Methoden wie die Indirect Branch Restricted Spectulation (IBRS) und Single Thread Indirect Branch Predictor (STIBP) will man nicht umsetzen, da diese die Leistung des Systems beeinflussen könnten. Durch IBPB sei das Restrisiko von "Near-Zero Risk" aber als Null anzusehen. In einem Whitepaper (PDF) führt AMD die Details dazu genauer aus.
Ohne die dazugehörigen Microcode-Updates ist das nun aktuelle Windows-Update bzw. die Absicherung aber noch nicht aktiv. Wann die Firmware-Updates für Hardware wie Notebooks und BIOS-Updates für die einzelnen Mainboards erscheinen, ist derzeit nicht abzusehen. Bei der Umsetzung von Intel zeigte sich, dass es hier bei einigen Herstellern zu erheblichen Verzögerungen kommen kann, während andere Hersteller sehr schnell reagierten.
Eine weitere Möglichkeit der Verteilung des Microcodes wäre über ein Windows-Update - so geschehen für die aktuellen Coffee Lake-, Skylake- und Kaby Lake-Prozessoren unter Windows 10. Nutzer eines Prozessors auf Basis einer älteren Architektur sowie solche die kein Windows 10 verwenden gingen aber zunächst auch leer aus.
Abgesichert werden sollen alle Prozessoren bis zurück zu den ersten Bulldozer-Prozessoren aus dem Jahre 2011. Die in Kürze erwartete zweite Ryzen-Generation sollte damit vom Starttag entsprechend abgesichert sein.