Windows 10 1803 ohne Microcode-Updates gegen Spectre V2
Get-SpeculationControlSettings auf Windows 10 1803, wo zuvor bei 1709 KB4090007 für Schutz sorgte.
Die Installation des Windows 10 April 2018 Update verdrängt Microcode-Updates für Intel-Prozessoren aus dem Update KB4090007, die vor der Sicherheitslücke Spectre V2 schützen - man braucht also wieder BIOS-Updates.
Als die Spectre-Lücken Anfang Januar bekannt wurden, verwies Microsoft zunächst auf BIOS-Updates: Nur damit ließen sich jene CPU-Microcode-Updates ins System bringen, die Windows für die Schutzfunktion Indirect Branch Control (IBC) als Schutz gegen Spectre V2 alias Branch Target Injection (BTI, CVE-2017-5715) benötigt.
Im März lenkte Microsoft dann ein und brachte mit dem optionalen Update KB4090007 aus dem Microsoft Update Catalog erste Microcode-Updates für Intel-Prozessoren, sodass man auf ein BIOS-Update verzichten konnte. Am 24. April erschien dann eine neue Version des Update KB409007, das alle Core-i-Prozessoren seit der Generation Haswell (Core i-4000) versorgt [1].
Wenn man jedoch ein solches Windows-10-System jetzt mit dem April 2018 Update auf die Version 1803 bringt, ist die Spectre-V2-Lücke wieder offen. Anscheinend verschwinden die Microcode-Updates wieder vom System. Das Update KB4090007 [2] lässt sich dann auch nicht mehr installieren, weil es ausdrücklich nur unter Windows 10 1709 funktioniert.
Ob die Windows-Schutzfunktionen gegen Spectre V2 (BTI) und Meltdown (CVE-2017-5754, Rogue Data Cache Load) aktiv sind, verrät das PowerShell-Skript Get-SpeculationControlISettings [3]. Man sollte es nach dem Funktions-Update auf Windows 10 1803 ausführen.
Warten auf den 8. Mai?
Unter KB4093836 stellt Microsoft Informationen zu den Microcode-Updates für Intel-Prozessoren für verschiedene Versionen von Windows 10 und Windows Server 2016 bereit [10], etwa für RTM, 1607, 1703 und 1709. Hinweise zu Windows 10 1803 fehlen hier aber.
Am kommenden Dienstag, 8. Mai, steht allerdings der nächste Windows-Patchday an; möglicherweise erscheint dann ein neues Windows Update mit CPU-Microcode-Updates für BTI.
Microcode-Updates gegen Spectre V2 für AMD-Prozessoren gibt es derzeit nicht per Windows-Update; AMD verteilt aber Microcode-Updates an PC- und Mainboard-Hersteller [11], die diese in BIOS-Updates einarbeiten. (ciw [12])
URL dieses Artikels:
https://www.heise.de/-4039062
Links in diesem Artikel:
[1] https://www.heise.de/news/CPU-Sicherheitsluecken-unter-Windows-Spectre-Schutz-auch-fuer-Haswell-4035547.html
[2] https://www.catalog.update.microsoft.com/Search.aspx?q=KB4090007
[3] https://www.heise.de/news/Meltdown-und-Spectre-Microsoft-veroeffentlicht-Pruefwerkzeug-fuer-Prozessor-Sicherheitsluecken-3936310.html
[4] https://www.heise.de/news/FAQ-zu-Meltdown-und-Spectre-Was-ist-passiert-bin-ich-betroffen-wie-kann-ich-mich-schuetzen-3938146.html
[5] https://www.heise.de/news/Meltdown-Spectre-verstehen-Was-Unternehmen-jetzt-wissen-muessen-3954159.html
[6] https://www.heise.de/news/Meltdown-und-Spectre-im-Ueberblick-Grundlagen-Auswirkungen-und-Praxistipps-3944915.html
[7] https://www.heise.de/news/Meltdown-und-Spectre-Die-Sicherheitshinweise-und-Updates-von-Hardware-und-Software-Herstellern-3936141.html
[8] https://www.heise.de/news/Analyse-zur-Prozessorluecke-Meltdown-und-Spectre-sind-ein-Security-Supergau-3935124.html
[9] https://www.heise.de/thema/Meltdown-und-Spectre
[10] https://support.microsoft.com/de-de/help/4093836/summary-of-intel-microcode-updates
[11] https://www.heise.de/news/AMD-Prozessoren-bekommen-Windows-10-Update-gegen-Spectre-V2-Luecke-4016546.html
[12] mailto:ciw@ct.de
Copyright © 2018 Heise Medien