Spectre V2: Retpoline-Schutz wird in Windows 10 V1809 automatisch aktiviert

Mit dem kumulativen Update KB4494441 für Windows 10 Version 1809 (Oktober-2018-Update) und Windows Server 2019 hat Microsoft auch die Retpoline-Schutztechnik in Clients automatisch freigeschaltet. Diese von Google entwickelte Compilertechnik soll vor Spectre-V2-Angriffen (CVE-2017-571) schützen – ohne die durch entsprechende Microcode-Updates der Prozessorhersteller einhergehenden Leistungseinbußen.

CPU-Sicherheitslücken Spectre-NG

Nach Meltdown und Spectre sind Forscher auf acht weitere Sicherheitslücken in (Intel-) Prozessoren gestoßen – Spectre Next Generation (Spectre-NG). Vier davon werden als hochriskant eingestuft, eine davon hat sogar weitaus höheres Bedrohungspotenzial als die bisher bekannten Spectre-Lücken.

• Super-GAU für Intel: Weitere Spectre-Lücken im Anflug
• Exclusive: Spectre-NG - Multiple new Intel CPU flaws revealed, several serious
• Spectre-NG: Updates und Info-Links
• Kommentar: Hallo Intel, mein Vertrauen schwindet!

Dieser Schritt war länger erwartet worden, denn bereits Ende 2018 hatte Microsoft die Übernahme von Googles Retpoline-Technologie in Windows 10 Version 1903 angekündigt. Später wurde bekannt gegeben, dass ein Backport für Windows 10 V1809 erfolgen werde. Im März 2019 wurde die Retpoline-Technik zwar mit dem kumulativen Update KB4489899 für Windows 10 V1809 nachgerüstet. Allerding aktivierte Microsoft diesen Schutz noch nicht. Administratoren konnten Retpoline aber versuchsweise über einen Registrierungswert aktivieren. Gleichzeitig gab Microsoft bekannt, Retpoline zu einem späteren Zeitpunkt für Windows 10 Version 1809 automatisch zu aktivieren.

Mehr Infos

Das jüngst für Windows 10 1809 erschienene kumulative Update mit Retpoline-Schutz gegen Spectre V2 beschert vor allem Gamern massive Performance-Verluste.

• Windows 10: Performance-Frust statt -Lust nach Retpoline-Patch gegen Spectre V2

Dies ist nun durch das kumulativen Update KB4494441 geschehen. Allerdings sind die Feinheiten zu beachten: Mit KB4494441 vom Mai 2019 werden die zur Retpoline-Aktivierung erforderlichen Registrierungseinträge nur in den Client-Versionen automatisch gesetzt. In den Server-Versionen des Betriebssystems bleibt Retpoline dagegen standardmäßig abgeschaltet. Administratoren haben also weiterhin die Wahlfreiheit und können über entsprechende Registrierungseinträge den Retpoline-Schutz aktivieren oder deaktivieren. Alles Wissenswerte, einschließlich der Beschreibung der Registrierungswerte, findet sich im Microsoft-Dokument ADV180002.

Zudem hat Microsoft den Techcommunity-Beitrag "Mitigating Spectre variant 2 with Retpoline on Windows" um weitere Angaben ergänzt. Neben dem Hinweis, dass Retpoline nur für Clients automatisch aktiviert werde, muss die Maschine auch den Spectre-V2-Schutz unterstützen.

Weiterhin hat Microsoft auch den Support-Beitrag 4073119 aktualisiert. Dort findet sich ein Überblick über alle Microsoft-Schutzmaßnahmen gegen spekulative Seitenkanalangriffe mit Verlinkungen zu den Supportartikeln mit den benötigten Details zur Aktivierung bzw. Deaktivierung der jeweiligen Schutzmaßnahmen. (tiw)