Windows 10 1809: Update gegen Spectre-NG-Lücken
Mit dem Update KB4465065 liefert Microsoft Microcode-Updates für einige Intel-Prozessortypen zum Schutz gegen L1TF sowie Spectre V3a und V4.
Updates für Windows 10 zwingen Nutzer, auch bei den Sicherheits-Patches gegen Spectre-Lücken manuell nachzuhelfen. Für Windows 10 1809, also das Oktober 2018 Update, steht nun mit KB4465065 ein Update bereit, das die vorletzten drei Generationen von Intels Core-i-Prozessoren sowie zwei Xeon-Generationen mit aktuellen Microcode-Updates versorgt. Es ist auch für Windows Server 2019 gedacht.
Die Microcode-Updates sind nötig, um Windows-10-Rechner vor der im August bekannt gewordene Sicherheitslücke L1 Terminal Fault (L1TF, auch Foreshadow genannt) zu schützen sowie auch gegen die Spectre-NG-Lücken Spectre V3a und Spectre V4.
Allerdings ist für ein Update des Prozessor-Microcodes nicht unbedingt ein Windows-10-Update nötig: Diese Microcode-Updates spielt auch das BIOS ein. Wenn der Hersteller des PCs, Notebooks, Servers oder Mainboards also ein BIOS-Update mit aktuellen Microcodes bereitstellt und dieses auch eingespielt wurde, ist KB4465065 überflüssig. Hinweise finden Sie in unserer Link-Sammlung dazu.
Manuelle Installation
Wohl deshalb wird das Update KB4465065 nicht automatisch auf allen betroffenen Rechnern per Windows Update eingespielt. Man muss es vielmehr manuell über den Microsoft Update Catalog herunterladen und installieren.
Microsoft empfiehlt, das Update nur auf Systemen mit einem der in KB4465065 erwähnten Intel-Prozessoren einzuspielen. Das sind seit 2015 verkaufte Systeme mit CPUs ab Core i-6000 (Skylake) sowie Server mit Xeons ab Broadwell (Xeon E5-2000 v4).
Neue Microcode-Updates
Intel hatte bereits im April Microcode-Updates gegen die im Januar bekannt gewordenen Spectre-Lücken angekündigt. Zum Schutz gegen einige Spectre-NG-Varianten sind aber abermals neue Microcode-Updates nötig.
| Microcode-Updates für Intel-Prozessoren gegen Spectre und Meltdown | ||||||
| Prozessor(Beispiele) | Codename | CPUID |
µCode lt. Intel, 2. April 2018 |
µCode lt. Microsoft KB4100347 für 1803 (13. September 2018) |
µCode lt. Intel, 8. August 2018 |
µCode lt. Microsoft KB4465065 für 1809 |
| Core i-2000 | Sandy Bridge | 206A7 | 0x2D | 0x2D | 0x2E | -- |
| Core i-3000 | Ivy Bridge | 306A9 | 0x1F | 0x1F | 0x20 | -- |
| Core i-4000 | Haswell | 306C3 | 0x24 | 0x24 | 0x25 | -- |
| Core i-4000U | Haswell | 40651 | 0x23 | 0x23 | 0x24 | -- |
| Core i-5000U/Y | Broadwell | 306D4 | 0x2A | 0x2A | 0x2B | -- (nur Server) |
| Core i-6000 | Skylake-S | 506E3 | 0xC2 | 0xC2 | 0xC6 | 0xC6 |
| Core i-6000U | Skylake-U | 406E3 | 0xC2 | 0xC2 | 0xC6 | 0xC6 |
| Core i-7000 | Kaby Lake | 906E9 | 0x84 | 0x84 | 0x8E | 0x8E |
| Core i-7000U/Y | Kaby Lake | 806E9 | 0x84 | 0x84 | 0x8E | 0x8E |
| Core i-8000 | Coffee Lake-S | 906EA | 0x84 | 0x84 | 0x96 | 0x96 |
| Core i-8000U | Coffee Lake-U | 806EA | 0x84 | 0x84 | 0x96 | 0x96 |
Schutz vor L1TF und Spectre V3a
Die neuen Microcode-Updates ermöglichen beziehungsweise verstärken den Schutz gegen Angriffe über die Lücken L1TF und Spectre V3a (Rogue System Register Read, RSRE, auch: Rogue System Registry Read).
Bei L1TF sind Microcode-Updates nur für eine der drei Varianten nötig, die Microsoft im "Leitfaden zum Schutz vor „L1 Terminal Fault“ bei Windows-Servern" beschreibt beziehungsweise im Advisory ADV180018. Das ist vor allem bei Windows Server nötig.
Für Spectre V3a hat Microsoft das Advisory ADV180013 veröffentlicht.
SSBD inaktiv
Komplizierter liegt der Fall bei Spectre V4 alias Speculative Storage Bypass (SSB): Hier sind zwar bei Intel-Prozessoren Microcode-Updates für den Schutz nötig, aber die eigentliche Schutzfunktion Speculative Store Bypass Disable (SSBD) ist standardmäßig inaktiv. Sie reduziert nämlich die Performance und die meisten Client-PCs und Server benötigen sie nicht, wie Microsoft im Advisory ADV180012 erklärt: Erstens sind bislang keine praktischen Angriffe bekannt und zweitens haben Browser-Updates den wichtigsten Angriffspfad erschwert.
Deshalb sollten Administratoren und Nutzer SSBD nur aktivieren, falls sie das Risiko für das individuelle System als besonders hoch einschätzen.
Das Einschalten erfolgt über den Registry-Schlüssel "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\FeatureSettingsOverride" mit unterschiedlichen Werten je nach Prozessor.
Was ist mit älteren Prozessoren?
Laut Intels "Microcode Revision Guidance" in der Fassung vom 8. August 2018 sind auch für ältere Prozessoren schon Microcode-Updates fertig. Weshalb Microsoft die nicht ins Update KB4465065 integriert, ist unklar – hinein kamen wohl nur jene Microcode-Updates, die zum RTM-Zeitpunkt vorhanden waren. Weitere sollen folgen.
Die kommenden Xeons der Generation Cascade Lake werden Hardware-Schutz gegen L1TF enthalten.
Links und Informationen zu den erwähnten Spectre-NG-Lücken:
- Spectre V3a, Rogue System Register Read (RSRE), CVE-2018-3640
- Spectre V4, Speculative Storage Bypass (SSB), CVE-2018-3640
- L1 Terminal Fault L1TF-SGX (Foreshadow), CVE-2018-3615
- L1TF-OS, VMM, CVE-2018-3620
- L1TF-VM, CVE-2018-3646
- Microsoft KB4465065: Intel microcode updates
Empfohlener redaktioneller Inhalt
Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.
Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.
(ciw)
