CPU-Sicherheitslücken unter Windows: Spectre-Schutz auch für Haswell
Das optionale Update KB4090007 bringt neuen Microcode nun auch für Systeme mit Intel Core i-4000 und Core i-5000, deren Hersteller keine BIOS-Updates liefern; derweil erschien der Exploit-Code für "Total Meltdown".
KB4090007 bringt Schutz für Spectre V2 auch auf Haswell-Rechner ohne BIOS-Update.
Wer einen älteren PC oder ein Notebook mit Windows 10 und Intel-Prozessoren aus den Jahren 2013 und 2014 hat, braucht nun nicht mehr auf BIOS-Updates zu hoffen, sondern kann die neue Version des optionalen Windows-Updates KB4090007 einspielen.
Das Update enthält in der aktuellen Version vom 24.04.2018 nun außer Microcode-Updates für Coffee Lake (Core i-8000), Kaby Lake (i-7000) und Skylake (i-6000) nun auch Microcode-Updates für Broadwell (i-5000) und Haswell (i-4000).
Das Update – Downloads stehen für 64- und 32-Bit-Versionen von Windows 10 bereit – lässt sich aber nach wie vor leider nur über eine ungesicherte http-Verbindung aus dem Windows Update Catalog herunterladen.
Patch-Verweigerung bei PC-Firmen
Für so manchen erst drei bis vier Jahre alten PC gibt es bisher kein BIOS-Update, welches der CPU die IBC-Funktionen bringt, die Windows 10 zum Schutz gegen Spectre V2 alias Branch Target Injection (BTI, CVE-2017-5715) benötigt. Und für manche Systeme sind seit Dezember 2017 zwar BIOS-Updates mit angeblich neuen Microcode-Updates erschienen, aber das PowerShell-Skript Get-SpeculationControl meldet dann trotzdem keinen BTI-Schutz. Das Windows-Update KB4090007 löst solche Probleme.
Auch für viele AMD-Prozessoren gibt es mittlerweile Microcode-Updates per Windows Update – leider nicht für alle, zu den sparsamen Bobcat-/Jaguar-Typen äußert sich AMD bisher nicht.
Für Windows-10-Rechner mit Intel-Prozessoren mit Atom-Technik sind weiterhin BIOS-Updates nötig. Besitzer von Computern mit alten Intel-Prozessoren aus den Jahren bis 2011 – Core 2 Duo und älter – stehen aber im Regen, weil Intel dafür keine Microcode-Update mehr liefert.
Meltdown-Patches für Windows 7 und Windows Server 2008 wichtig
Für Windows 7 liefert Microsoft keine Microcode-Updates per Windows Update. Hier sind weiterhin BIOS-Updates nötig.
Mit den ersten Patches für die 64-Bit-Versionen von Windows 7 und Windows Server 2008 R2 gegen die Meltdown-Lücke der Intel-Prozessoren (Rogue Data Cache Load, CVE-2017-5754) hatte es schwere Probleme gegeben, die Ende März unter dem Namen "Total Meltdown" bekannt wurden (CVE-2018-1038). Wer die Patches von Anfang März eingespielt hat, ist vor Total Meltdown allerdings geschützt.
Falls nicht, sollte man das jetzt unbedingt sicherstellen, weil mittlerweile ein Proof-of-Concept (PoC) für Total Meltdown veröffentlicht wurde.
| Microcode-Updates mit IBC gegen Spectre V2 für Intel-Prozessoren (Auswahl, Stand 26.4.2018) | ||||
| Prozessor-Familie | Core-i-Generation | Codename |
Einführungs- Jahr |
Version des Microcode-Update |
| Core i3/i5/i7-8000 | 8. Generation | Coffee Lake | 2017 | 0x84 |
| Xeon E-2000 | -- | Coffee Lake | 2018 | 0x84 |
| Core i3/i5/i7-7000 | 7. Generation | Kaby Lake | 2016 | 0x84 |
| Xeon-SP | -- | Skylake-SP | 2017 | 0x2000043 |
| Core i3/i5/i7-6000 | 6. Generation | Skylake | 2015 | 0xC2 |
| Xeon E5-2000 v4 | -- | Broadwell-EP | 2015 | 0xB00002A |
| Core i3/i5/i7-5000 | 5. Generation | Broadwell-H | 2014 | 0x1D |
| Core i3/i5/i7-5000U/Y | 5. Generation | Broadwell-U/Y | 2014 | 0x2A |
| Xeon E5-2000 v3 | -- | Haswell-EP | 2014 | 0x3C |
| Core i3/i5/i7-4000 | 4. Generation | Haswell | 2013 | 0x24 |
| Core i3/i5/i7-3000 | 3. Generation | Ivy Bridge | 2012 | 0x1F |
| Core i3/i5/i7-2000 | 2. Generation | Sandy Bridge | 2011 | 0x2D |
| Core i3-300/i5-500/i7-600 | 1. Generation | Arrandale, Clarkdale | 0x6, 0x10 | |
| Core 2 Duo, Quad | -- | Penryn, Wolfdale, Arrandale | kein Update | |
| Pentium Silver N/J5000 | -- | Gemini Lake | 2018 | 00000022 |
| Celeron N/J4000 | -- | Gemini Lake | 2018 | 00000022 |
| Atom x5-E3900 | -- | Apollo Lake | 2017 | 00000008, 000002E |
| Pentium N/J4200 | -- | Apollo Lake | 2017 | 000002E |
| Celeron N/J3300 | -- | Apollo Lake | 2017 | 000002E |
| Pentium N/J3000 | -- | Braswell | 2015 | 00000410 |
| Celeron N/J3000 | -- | Braswell | 2015 | 00000410 |
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(ciw)
