Weiss jemand etwas zur Frage, ob Microcode- oder BIOS-Update zwingend notwendig sind? Mir wäre es sehr recht, wenn es nur ein aktualisiertes Betriebssystem ausreichen würden ... . Ansonsten sehe ich Probleme bei Rechnern auf mich zukommen, die schon ein paar Jahre alt sind.
Soweit ich die diversen Berichte verstanden habe, kann Meltdown komplett durch Maßnahmen auf OS-Ebene verhindert werden. Spectre (hier gibt es 2 Varianten) ist schwieriger, hier müssen neben OS und ggfs. auch Applikationen (z.B. die verschlechterten Timings der Browser) wohl auch der Microcode angepasst werden.
Aktualisierter Microcode wird, wenn für Deine CPU vorhanden, aber auch durch die Linux-Distributoren ausgeliefert und zur Laufzeit des Kernels geladen, somit sind BIOS-Updates nicht zwingend notwendig (anders als unter Windows, das wohl aktualisierten Microcode nicht automatisch mitliefert). Wenn vorhanden, sollten BIOS-Updates natürlich trotzdem eingespielt werden.
Übrigens kann man den Status der Verwundbarkeit des eigenen Systems mittels Shell-Script testen: Spectre-Meltdown-Checker
Microsoft liefert auch unter Windows Microcode-Updates aus. Die letzten Updates mussten sie nur wieder zurückziehen weil Windows daran keine Freude hatte.
Das klang hier etwas anders, bzw. ich hatte es anders verstanden.
Nur wenige PC- und Mainboard-Hersteller verteilen bereits BIOS-Updates mit jenen CPU-Microcode-Updates, die zum Schutz von Spectre Variante 2 (BTI) nötig sind. Microsoft wiederum verrät nicht, weshalb man die nötigen Microcode-Updates nicht wie manche Linux-Distributionen per Betriebssystem einspielt, was durchaus möglich wäre.
Klang für mich, als ob MS Microcode-Updates eher nicht über Windows Updates ausliefert und man das BIOS bemühen muss.
Aber so oder so, wenn man (wie bei Lesern von pro-linux.de zu vermuten) eine aktuelle Linux-Distribution im Einsatz hat und Security-Updates installiert, bekommt die verfügbaren Microcode-Updates auf jeden Fall.
Auf Heise gab es einen Artikel in dem berichtet wurde das Microsoft ein Microcode-Update für CPU's von AMD zurückziehen mussten weil diese angeblich wegen "mangelhafter Dokumentation" zu unerwünschtem Fehlverhalten geführt hätten. Von daher würde ich sagen das es auch unter Windows Microcode-Updates geben kann wenn Microsoft gerade lust hat.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 19. Jan 2018 um 11:50.
Von Microsoft will nicht... am Fr, 19. Januar 2018 um 11:21 #
Microsoft könnte ein Microcode-Update machen, aber sie wollen nicht und schieben es auf die Mainboardhersteller ab. Die interessieren ihre alten Produkte einen feuchten Kehricht. Am Ende ist der Kunde (mit Windows) der Dumme, weil Intel zwar vielleicht ein Microcode-Update bereitstellt, aber weder Mainboardhersteller noch Microsoft ihn installieren.
Das letzte Microcode-Update für Windows ist von 2015, seitdem gibt es keines mehr.
Von Verfluchtnochmal am Sa, 20. Januar 2018 um 12:02 #
Unter Linux ist es völlig normal dass im Bootprozess microcode updates eingespielt werden und seit Haswell wo TSX damit nachträglich deaktiviert wurde erfolgt das in der initrd noch vor dem Kernel
Deiner CPU ist es scheissegal ob sie das per BIOS oder im Bootprozess bekommt weil es ohnehin bei jedem Reset neu eingespielt werden muss
Der Kernel hat nun auch ein paar schicke Warnlampen:
rootf@linuxbox:~> ls /sys/devices/system/cpu/vulnerabilities/*
/sys/devices/system/cpu/vulnerabilities/meltdown
/sys/devices/system/cpu/vulnerabilities/spectre_v1
/sys/devices/system/cpu/vulnerabilities/spectre_v2
Leider leuchten die Warnlampen beim 32bit-Kernel 4.4.112 alle noch:
root@linuxbox:~> cat /sys/devices/system/cpu/vulnerabilities/*
Vulnerable
Vulnerable
Vulnerable
root@linuxbox:~>
Also: nicht zu früh in Sicherheit wiegen.
Weiss jemand etwas zur Frage, ob Microcode- oder BIOS-Update zwingend notwendig sind?
Mir wäre es sehr recht, wenn es nur ein aktualisiertes Betriebssystem ausreichen würden ... . Ansonsten sehe ich Probleme bei Rechnern auf mich zukommen, die schon ein paar Jahre alt sind.
Soweit ich die diversen Berichte verstanden habe, kann Meltdown komplett durch Maßnahmen auf OS-Ebene verhindert werden.
Spectre (hier gibt es 2 Varianten) ist schwieriger, hier müssen neben OS und ggfs. auch Applikationen (z.B. die verschlechterten Timings der Browser) wohl auch der Microcode angepasst werden.
Aktualisierter Microcode wird, wenn für Deine CPU vorhanden, aber auch durch die Linux-Distributoren ausgeliefert und zur Laufzeit des Kernels geladen, somit sind BIOS-Updates nicht zwingend notwendig (anders als unter Windows, das wohl aktualisierten Microcode nicht automatisch mitliefert).
Wenn vorhanden, sollten BIOS-Updates natürlich trotzdem eingespielt werden.
Übrigens kann man den Status der Verwundbarkeit des eigenen Systems mittels Shell-Script testen:
Spectre-Meltdown-Checker
Microsoft liefert auch unter Windows Microcode-Updates aus. Die letzten Updates mussten sie nur wieder zurückziehen weil Windows daran keine Freude hatte.
OK, danke für den Hinweis.
Das klang hier etwas anders, bzw. ich hatte es anders verstanden.
Klang für mich, als ob MS Microcode-Updates eher nicht über Windows Updates ausliefert und man das BIOS bemühen muss.Aber so oder so, wenn man (wie bei Lesern von pro-linux.de zu vermuten) eine aktuelle Linux-Distribution im Einsatz hat und Security-Updates installiert, bekommt die verfügbaren Microcode-Updates auf jeden Fall.
Auf Heise gab es einen Artikel in dem berichtet wurde das Microsoft ein Microcode-Update für CPU's von AMD zurückziehen mussten weil diese angeblich wegen "mangelhafter Dokumentation" zu unerwünschtem Fehlverhalten geführt hätten. Von daher würde ich sagen das es auch unter Windows Microcode-Updates geben kann wenn Microsoft gerade lust hat.
Dieser Beitrag wurde 1 mal editiert. Zuletzt am 19. Jan 2018 um 11:50.Microsoft könnte ein Microcode-Update machen, aber sie wollen nicht und schieben es auf die Mainboardhersteller ab. Die interessieren ihre alten Produkte einen feuchten Kehricht. Am Ende ist der Kunde (mit Windows) der Dumme, weil Intel zwar vielleicht ein Microcode-Update bereitstellt, aber weder Mainboardhersteller noch Microsoft ihn installieren.
Das letzte Microcode-Update für Windows ist von 2015, seitdem gibt es keines mehr.
Unter Linux ist es völlig normal dass im Bootprozess microcode updates eingespielt werden und seit Haswell wo TSX damit nachträglich deaktiviert wurde erfolgt das in der initrd noch vor dem Kernel
Deiner CPU ist es scheissegal ob sie das per BIOS oder im Bootprozess bekommt weil es ohnehin bei jedem Reset neu eingespielt werden muss