Spectre: bti Mitigation disabled by absence of hardware support

altmetaller
Goto Top
Hallo,

hier mal das Testergebnis von einem Lenovo T420 (Windows 7, 64Bit):

t420_spectre

Was mich ein bisschen fuchsig macht ist die Aussage: "disabled by absence of hardware support: True"

Soweit ich das verstanden bzw. offenbar nicht verstanden habe, ist der Windows-Patch ein komplett in Software abgebildeter "Workaround" für das Problem - nicht?

Gehe ich richtig in der Annahme, dass das Betriebssystem 100% "vorbereitet" ist und ich im Grunde genommen nur noch auf das BIOS-Update warten kann?

Mir stellt sich nämlich auch die Frage, ob der G-DATA da reingrätscht und die Installation des Patches verhindert. Aber dann wäre der zweite Punkt unter CVE-2017-5715 ja wohl nicht grün, da der Patch in dem Fall gar nicht erst angeboten wird - oder?

...dass die so etwas nicht mal "in deutsch" schreiben können *grummel*

Gruß,
Jörg

Content-Key: 360429

Url: https://administrator.de/contentid/360429

Ausgedruckt am: 10.08.2022 um 16:08 Uhr

Mitglied: DerWoWusste
Lösung DerWoWusste 09.01.2018 aktualisiert um 11:22:00 Uhr
Goto Top
Moin.

Ja, du brauchst ein Biosupdate. Ohne besteht nur ein verminderter Schutz - genauer kann ich es dir nicht sagen.
Mitglied: altmetaller
altmetaller 09.01.2018 um 11:38:24 Uhr
Goto Top
Hallo,

danke Schnuggi - die Sache mit dem "vermindert" war mir noch nicht geläufig face-smile

Gruß,
Jörg
Mitglied: Looser27
Looser27 09.01.2018 um 11:42:27 Uhr
Goto Top
Moin,

leider hat Lenovo (noch) keine Patches veröffentlicht. Oder hab ich die übersehen?

Gruß

Looser
Mitglied: Looser27
Looser27 09.01.2018 um 11:50:31 Uhr
Goto Top
Mein Fehler: Hier der Link zu den Lenovo Updates:

support.lenovo.com/de/de/solutions/len-18282
Mitglied: VGem-e
VGem-e 09.01.2018 um 11:57:17 Uhr
Goto Top
Moin,

na ja, bei Fujitsu tut sich im Gegensatz zu den Lenovo-Geräten dazu offenbar noch nichts?!

Gruß
VGem-e
Mitglied: DerWoWusste
DerWoWusste 09.01.2018 um 11:59:18 Uhr
Goto Top
Wie man sieht: Lenovo tut so einiges... aber nicht für ältere Geräte. Wie alt sind die ältesten, 4 oder 5 Jahre?
Mitglied: Looser27
Looser27 09.01.2018 um 12:03:06 Uhr
Goto Top
Das L430 ist schon etwa 4 Jahre alt....aber auch bei einem aktuellen V510 ist erst der 16.01. angepeilt...und der ist grad mal 6 Monate alt.
Bei Fujitsu ist "Still-ruht-der-See"......

Bei DELL Servern allerdings auch.....face-sad
Mitglied: sabines
Lösung sabines 09.01.2018 um 14:16:46 Uhr
Goto Top
Moin,

genaus so ist es, für die Spectre Lücke ist zusätzlich ein Bios/Firmware Update nötig.
Auch bei virtuellen Maschinen.
Auf den Servern müssen zusätzlich Reg keys gesetzt werden.

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance ...

Gruss
Mitglied: altmetaller
altmetaller 09.01.2018 aktualisiert um 14:25:49 Uhr
Goto Top
Hallo,

Zitat von @sabines:

Auf den Servern müssen zusätzlich Reg keys gesetzt werden.

"Das ist doch schon wieder alles viel zu kompliziert".

Wir haben in erster Linie SoHo-Kunden ohne großartige Software- und Patchverteilung mit gewachsenen Strukturen quer über 10 Hardwarehersteller.

Wenn ich da jetzt jedem PC - sagen wir mal - 30 Minuten Turnschuharbeit widme und abrechne, springen die mir mit dem nackten Hintern ins Gesicht. Zumal ich ja nicht mal weiß, ob diese "Widmung" überhaupt zielführend ist (und der Hersteller des verbauten Mainboards BIOS-Updates anbietet).

Wie handhabt Ihr so etwas denn?

Gruß,
Jörg
Mitglied: sabines
sabines 09.01.2018 um 14:31:56 Uhr
Goto Top
Mich fuchst das auch massiv, vor allem das es wahrscheinlich keine Firmwareupdates für > 5 Jahre alte Systeme geben wird.
Mal warten.

PS:
Die keys benötigst Du nur bei Servern, nicht den Clients.
Mitglied: Looser27
Looser27 09.01.2018 um 14:44:02 Uhr
Goto Top
Zitat von @altmetaller:

Hallo,

Zitat von @sabines:

Auf den Servern müssen zusätzlich Reg keys gesetzt werden.

"Das ist doch schon wieder alles viel zu kompliziert".

Wir haben in erster Linie SoHo-Kunden ohne großartige Software- und Patchverteilung mit gewachsenen Strukturen quer über 10 Hardwarehersteller.

Wenn ich da jetzt jedem PC - sagen wir mal - 30 Minuten Turnschuharbeit widme und abrechne, springen die mir mit dem nackten Hintern ins Gesicht. Zumal ich ja nicht mal weiß, ob diese "Widmung" überhaupt zielführend ist (und der Hersteller des verbauten Mainboards BIOS-Updates anbietet).

Wie handhabt Ihr so etwas denn?

Gruß,
Jörg

Also ich bin heute unsere 20 PCs durchgegangen und habe dafür in Summe keine Stunde gebraucht. Liegt aber auch daran, dass die Systeme identisch sind (alle von DELL). Geht auch wunderbar per Remotedesktop auf den Client, wenn man die Dateien auf ein Share legt. Damit ginge das dann alles auch per Fernwartung.
Die Registry Keys habe ich per GPO ausgerollt. Ein händisches Eintragen dauert aber auch nur ein paar Minuten.
Natürlich in Summe viel Arbeit, aber mit entsprechender Vorbereitung gebündelt gut zu machen.

Gruß

Looser
Mitglied: Looser27
Looser27 09.01.2018 um 14:45:21 Uhr
Goto Top
Zitat von @sabines:

Mich fuchst das auch massiv, vor allem das es wahrscheinlich keine Firmwareupdates für > 5 Jahre alte Systeme geben wird.

Zumindest bei Dell scheint das nicht zu gelten. Unser 6 Jahre alter R310 wird noch ein Patch erhalten, nur das Datum steht noch nicht fest (lt. Dell HP).
Mitglied: C.R.S.
C.R.S. 09.01.2018 um 19:26:55 Uhr
Goto Top
Zitat von @Looser27:

Zumindest bei Dell scheint das nicht zu gelten. Unser 6 Jahre alter R310 wird noch ein Patch erhalten, nur das Datum steht noch nicht fest (lt. Dell HP).

Hallo,

das nutzt aber auch nur etwas, wenn die konkrete CPU darauf von Intel gepatcht wird. Für den OEM/Boardhersteller ist es kein großes Ding, die Microcodeupdates in ältere BIOS zu integrieren, um neuere Prozessoren zu unterstützen (wenn es daran scheitern würde, kann man das mit etwas Fummelei und dem typischen Verlustrisiko des BIOS-Moddings auch selbst tun).
Nur scheint Intel bislang nicht besonders engagiert, was ältere Prozessoren angeht.

Grüße
Richard