Windows 10 1809: Update gegen Spectre-NG-Lücken

Inhaltsverzeichnis

Updates für Windows 10 zwingen Nutzer, auch bei den Sicherheits-Patches gegen Spectre-Lücken manuell nachzuhelfen. Für Windows 10 1809, also das Oktober 2018 Update, steht nun mit KB4465065 ein Update bereit, das die vorletzten drei Generationen von Intels Core-i-Prozessoren sowie zwei Xeon-Generationen mit aktuellen Microcode-Updates versorgt. Es ist auch für Windows Server 2019 gedacht.

Die Microcode-Updates sind nötig, um Windows-10-Rechner vor der im August bekannt gewordene Sicherheitslücke L1 Terminal Fault (L1TF, auch Foreshadow genannt) zu schützen sowie auch gegen die Spectre-NG-Lücken Spectre V3a und Spectre V4.

CPU-Sicherheitslücken Spectre-NG

Nach Meltdown und Spectre sind Forscher auf acht weitere Sicherheitslücken in (Intel-) Prozessoren gestoßen – Spectre Next Generation (Spectre-NG). Vier davon werden als hochriskant eingestuft, eine davon hat sogar weitaus höheres Bedrohungspotenzial als die bisher bekannten Spectre-Lücken.

• Super-GAU für Intel: Weitere Spectre-Lücken im Anflug
• Exclusive: Spectre-NG - Multiple new Intel CPU flaws revealed, several serious
• Spectre-NG: Updates und Info-Links
• Kommentar: Hallo Intel, mein Vertrauen schwindet!

Allerdings ist für ein Update des Prozessor-Microcodes nicht unbedingt ein Windows-10-Update nötig: Diese Microcode-Updates spielt auch das BIOS ein. Wenn der Hersteller des PCs, Notebooks, Servers oder Mainboards also ein BIOS-Update mit aktuellen Microcodes bereitstellt und dieses auch eingespielt wurde, ist KB4465065 überflüssig. Hinweise finden Sie in unserer Link-Sammlung dazu.

Manuelle Installation

Wohl deshalb wird das Update KB4465065 nicht automatisch auf allen betroffenen Rechnern per Windows Update eingespielt. Man muss es vielmehr manuell über den Microsoft Update Catalog herunterladen und installieren.

Microsoft empfiehlt, das Update nur auf Systemen mit einem der in KB4465065 erwähnten Intel-Prozessoren einzuspielen. Das sind seit 2015 verkaufte Systeme mit CPUs ab Core i-6000 (Skylake) sowie Server mit Xeons ab Broadwell (Xeon E5-2000 v4).

Neue Microcode-Updates

Intel hatte bereits im April Microcode-Updates gegen die im Januar bekannt gewordenen Spectre-Lücken angekündigt. Zum Schutz gegen einige Spectre-NG-Varianten sind aber abermals neue Microcode-Updates nötig.

Microcode-Updates für Intel-Prozessoren gegen Spectre und Meltdown
Prozessor(Beispiele)	Codename	CPUID	µCode lt. Intel, 2. April 2018	µCode lt. Microsoft KB4100347 für 1803 (13. September 2018)	µCode lt. Intel, 8. August 2018	µCode lt. Microsoft KB4465065 für 1809
Core i-2000	Sandy Bridge	206A7	0x2D	0x2D	0x2E	--
Core i-3000	Ivy Bridge	306A9	0x1F	0x1F	0x20	--
Core i-4000	Haswell	306C3	0x24	0x24	0x25	--
Core i-4000U	Haswell	40651	0x23	0x23	0x24	--
Core i-5000U/Y	Broadwell	306D4	0x2A	0x2A	0x2B	-- (nur Server)
Core i-6000	Skylake-S	506E3	0xC2	0xC2	0xC6	0xC6
Core i-6000U	Skylake-U	406E3	0xC2	0xC2	0xC6	0xC6
Core i-7000	Kaby Lake	906E9	0x84	0x84	0x8E	0x8E
Core i-7000U/Y	Kaby Lake	806E9	0x84	0x84	0x8E	0x8E
Core i-8000	Coffee Lake-S	906EA	0x84	0x84	0x96	0x96
Core i-8000U	Coffee Lake-U	806EA	0x84	0x84	0x96	0x96

Schutz vor L1TF und Spectre V3a

Die neuen Microcode-Updates ermöglichen beziehungsweise verstärken den Schutz gegen Angriffe über die Lücken L1TF und Spectre V3a (Rogue System Register Read, RSRE, auch: Rogue System Registry Read).

Bei L1TF sind Microcode-Updates nur für eine der drei Varianten nötig, die Microsoft im "Leitfaden zum Schutz vor „L1 Terminal Fault“ bei Windows-Servern" beschreibt beziehungsweise im Advisory ADV180018. Das ist vor allem bei Windows Server nötig.

Für Spectre V3a hat Microsoft das Advisory ADV180013 veröffentlicht.

SSBD inaktiv

Komplizierter liegt der Fall bei Spectre V4 alias Speculative Storage Bypass (SSB): Hier sind zwar bei Intel-Prozessoren Microcode-Updates für den Schutz nötig, aber die eigentliche Schutzfunktion Speculative Store Bypass Disable (SSBD) ist standardmäßig inaktiv. Sie reduziert nämlich die Performance und die meisten Client-PCs und Server benötigen sie nicht, wie Microsoft im Advisory ADV180012 erklärt: Erstens sind bislang keine praktischen Angriffe bekannt und zweitens haben Browser-Updates den wichtigsten Angriffspfad erschwert.

Deshalb sollten Administratoren und Nutzer SSBD nur aktivieren, falls sie das Risiko für das individuelle System als besonders hoch einschätzen.

Das Einschalten erfolgt über den Registry-Schlüssel "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\FeatureSettingsOverride" mit unterschiedlichen Werten je nach Prozessor.

Was ist mit älteren Prozessoren?

Laut Intels "Microcode Revision Guidance" in der Fassung vom 8. August 2018 sind auch für ältere Prozessoren schon Microcode-Updates fertig. Weshalb Microsoft die nicht ins Update KB4465065 integriert, ist unklar – hinein kamen wohl nur jene Microcode-Updates, die zum RTM-Zeitpunkt vorhanden waren. Weitere sollen folgen.

Die kommenden Xeons der Generation Cascade Lake werden Hardware-Schutz gegen L1TF enthalten.

Links und Informationen zu den erwähnten Spectre-NG-Lücken:

• Spectre V3a, Rogue System Register Read (RSRE), CVE-2018-3640
• Spectre V4, Speculative Storage Bypass (SSB), CVE-2018-3640
• L1 Terminal Fault L1TF-SGX (Foreshadow), CVE-2018-3615
• L1TF-OS, VMM, CVE-2018-3620
• L1TF-VM, CVE-2018-3646
• Microsoft KB4465065: Intel microcode updates
  

Empfohlener redaktioneller Inhalt

Mit Ihrer Zustimmmung wird hier ein externes Video (Kaltura Inc.) geladen.

Videos immer laden Video jetzt laden

Ich bin damit einverstanden, dass mir externe Inhalte angezeigt werden. Damit können personenbezogene Daten an Drittplattformen (Kaltura Inc.) übermittelt werden. Mehr dazu in unserer Datenschutzerklärung.

(ciw)