magicteddy
Goto Top

Spectre-Lücke: Intels Microcode-Updates für Linux und (eingeschränkt) für Windows

Bericht siehe Heise

Darin verlinkt die Downloadseite bei intel: Download Microcode Version 20180312 for Linux mit Anleitung zur Installation.

Wird auch langsam Zeit ...

-teddy

Content-Key: 368005

Url: https://administrator.de/contentid/368005

Ausgedruckt am: 26.09.2022 um 15:09 Uhr

Mitglied: departure69
departure69 14.03.2018 aktualisiert um 14:11:19 Uhr
Goto Top
Hhmmm, ich dachte, das wäre speziell bzgl. Linux alles schon im Januar vollständig über die Bühne gegangen, ich meine sogar, daß @Frank es war, der das geschrieben hat. Und Mac OS X ebenfalls.

Merkwürdig.
Mitglied: magicteddy
magicteddy 14.03.2018 um 16:33:22 Uhr
Goto Top
Richtig,

dann wurden sie aber zurückgezogen: Meltdown und Spectre: Intel zieht Microcode-Updates für Prozessoren zurück

-teddy
Mitglied: departure69
departure69 14.03.2018 um 16:49:12 Uhr
Goto Top
O.K., verstehe. Ich hatte das so in Erinnerung, daß das (der Rückzug) nur die Patches betraf, die Microsoft im Januar schon rausgegeben und dann wieder zurückgerollt hatte und der Rest (Linux und Mac OS X) schon im Januar reibungsfrei über die Bühne gegangen wäre.

Dann sieht's ja für Linux erstmal ganz gut aus.

Bei Microsoft warten wir dann ja "nur noch" auf Patches für alle CPU-Varianten älter als Skylake, und das für alle Systeme niedriger W10_1709.


Viele Grüße

von

departure69
Mitglied: Frank
Frank 14.03.2018 aktualisiert um 20:22:37 Uhr
Goto Top
Hi,

nicht merkwürdig sondern es zeigt, wie dämlich sich die Hersteller in ihrer Informationspolitik aktuell anstellen.

Es gibt drei Varianten der Sicherheitslücke: Spectre V1, V2 und Meltdown.

Linux Status

  • Die Sicherheitslücke Meltdown wurde bereits durch neuere Linux-Kernel geschlossen.

  • Die Sicherheitslücke Spectre V2 wurde bereits in einigen Distributionen durch ein Verfahren das sich "Retpoline" nennt, geschützt. Aktuell sind das u.a Ubuntu, Fedora und Redhat. Bei "Retpoline" braucht man kein BIOS oder UEFI Update und auch kein Microcode-Update.

  • Die Sicherheitslücke Spectre V1 kann durch neue Compiler geschlossen werden. Die Compiler Clang und auch GCC wurden bereits angepasst und die wichtigsten Anwendungen wie Firefox, Chrome und der aktuelle Kernel wurde damit neu kompiliert. Je nach Distribution sind aber noch nicht alle Anwendungen neu kompiliert. Den aktuellen Stand weiß ich gerade nicht, Linux ist aber auf einen guten Weg die beste Absicherung gegen die drei Varianten von Spectre zu haben.

  • Ein weitere Schutz gegen Spectre V2 sind neben "Retpoline" neue Microcodes für die entsprechenden CPUs (die dann neue Befehle zur Absicherung haben). Das Microcode-Update kann einmal in Form eines BIOS/UEFI kommen oder als Datei für den Linux-Kernel. Diese Microcode-Updates hat Intel nun endlich für viele CPUs bis zur i2000 Serie geliefert. Damit hat Linux jetzt sogar eine Wahl zur Absicherung von Spectre-V2. Die Wahl kann man mit Kernel Parametern treffen (Beispiel RedHat).

Windows Status

Die Microcode-Updates für Spectre V2 wurde hauptsächlich für Linux veröffentlicht und sind nur eingeschränkt für Windows verfügbar (aktuell für Skylake, Kaby Lake und Coffee Lake CPUs). Das sind leider nur die neusten CPUs. Windows hat im Gegensatz zu Linux kein "Retpoline" Update bekommen und braucht daher die Kombination aus Software- und Microcode-Updates um gegen Spectre V2 abzusichern.

Bis vor kurzem hatte sich Microsoft geweigert diese Microcode-Updates per Kernel zu laden und brauchte zwingend BIOS/UEFI Updates. Das haben sie wohl nun aufgegeben und mit dem optionalen Update KB4090007 testen sie jetzt auch Microcode-Updates per Windows-Kernel. Die meisten Herstellen von Motherboards haben es leider immer noch nicht geschafft, Updates per BIOS/UEFI zu verteilen, daher ist der neueste Schritt von Microsoft deutlich vernünftiger.

Meldown wurde von Microsoft bereits geschlossen und Spectre V1 hat einen ähnlichen Status wie bei Linux. Die Compiler wurden angepasst und einige wichtige Anwendungen wie Firefox und Chrome wurden damit bereits neu kompiliert.

Das heißt aber leider auch, das unter Windows noch vieles offen ist und Rechner älter als Skylake, Kaby Lake und Coffee Lake immer noch keine Absicherung gegen Spectre V2 haben. Vielleicht verbessert sich die Lage ja, wenn Intel die Microcode-Updates auch für Windows freigibt.

Frank
Mitglied: magicteddy
magicteddy 14.03.2018 um 19:57:32 Uhr
Goto Top
Frank, danke für die informative Zusammenfassung.

-teddy