Menü
Security

CPU-Sicherheitslücken unter Windows: Spectre-Schutz auch für Haswell

Das optionale Update KB4090007 bringt neuen Microcode nun auch für Systeme mit Intel Core i-4000 und Core i-5000, deren Hersteller keine BIOS-Updates liefern; derweil erschien der Exploit-Code für "Total Meltdown".

Von
vorlesen Drucken Kommentare lesen 51 Beiträge
CPU-Sicherheitslücken unter Windows: Spectre-Schutz auch für Haswell

KB4090007 bringt Schutz für Spectre V2 auch auf Haswell-Rechner ohne BIOS-Update.

Wer einen älteren PC oder ein Notebook mit Windows 10 und Intel-Prozessoren aus den Jahren 2013 und 2014 hat, braucht nun nicht mehr auf BIOS-Updates zu hoffen, sondern kann die neue Version des optionalen Windows-Updates KB4090007 einspielen.

Das Update enthält in der aktuellen Version vom 24.04.2018 nun außer Microcode-Updates für Coffee Lake (Core i-8000), Kaby Lake (i-7000) und Skylake (i-6000) nun auch Microcode-Updates für Broadwell (i-5000) und Haswell (i-4000).

Das Update – Downloads stehen für 64- und 32-Bit-Versionen von Windows 10 bereit – lässt sich aber nach wie vor leider nur über eine ungesicherte http-Verbindung aus dem Windows Update Catalog herunterladen.

CPU-Sicherheitslücken Meltdown und Spectre

Für so manchen erst drei bis vier Jahre alten PC gibt es bisher kein BIOS-Update, welches der CPU die IBC-Funktionen bringt, die Windows 10 zum Schutz gegen Spectre V2 alias Branch Target Injection (BTI, CVE-2017-5715) benötigt. Und für manche Systeme sind seit Dezember 2017 zwar BIOS-Updates mit angeblich neuen Microcode-Updates erschienen, aber das PowerShell-Skript Get-SpeculationControl meldet dann trotzdem keinen BTI-Schutz. Das Windows-Update KB4090007 löst solche Probleme.

Auch für viele AMD-Prozessoren gibt es mittlerweile Microcode-Updates per Windows Update – leider nicht für alle, zu den sparsamen Bobcat-/Jaguar-Typen äußert sich AMD bisher nicht.

Für Windows-10-Rechner mit Intel-Prozessoren mit Atom-Technik sind weiterhin BIOS-Updates nötig. Besitzer von Computern mit alten Intel-Prozessoren aus den Jahren bis 2011 – Core 2 Duo und älter – stehen aber im Regen, weil Intel dafür keine Microcode-Update mehr liefert.

Für Windows 7 liefert Microsoft keine Microcode-Updates per Windows Update. Hier sind weiterhin BIOS-Updates nötig.

Mit den ersten Patches für die 64-Bit-Versionen von Windows 7 und Windows Server 2008 R2 gegen die Meltdown-Lücke der Intel-Prozessoren (Rogue Data Cache Load, CVE-2017-5754) hatte es schwere Probleme gegeben, die Ende März unter dem Namen "Total Meltdown" bekannt wurden (CVE-2018-1038). Wer die Patches von Anfang März eingespielt hat, ist vor Total Meltdown allerdings geschützt.

Falls nicht, sollte man das jetzt unbedingt sicherstellen, weil mittlerweile ein Proof-of-Concept (PoC) für Total Meltdown veröffentlicht wurde.

Microcode-Updates mit IBC gegen Spectre V2 für Intel-Prozessoren (Auswahl, Stand 26.4.2018)
Prozessor-Familie Core-i-Generation Codename Einführungs-
Jahr
Version des Microcode-Update
Core i3/i5/i7-8000 8. Generation Coffee Lake 2017 0x84
Xeon E-2000 -- Coffee Lake 2018 0x84
Core i3/i5/i7-7000 7. Generation Kaby Lake 2016 0x84
Xeon-SP -- Skylake-SP 2017 0x2000043
Core i3/i5/i7-6000 6. Generation Skylake 2015 0xC2
Xeon E5-2000 v4 -- Broadwell-EP 2015 0xB00002A
Core i3/i5/i7-5000 5. Generation Broadwell-H 2014 0x1D
Core i3/i5/i7-5000U/Y 5. Generation Broadwell-U/Y 2014 0x2A
Xeon E5-2000 v3 -- Haswell-EP 2014 0x3C
Core i3/i5/i7-4000 4. Generation Haswell 2013 0x24
Core i3/i5/i7-3000 3. Generation Ivy Bridge 2012 0x1F
Core i3/i5/i7-2000 2. Generation Sandy Bridge 2011 0x2D
Core i3-300/i5-500/i7-600 1. Generation Arrandale, Clarkdale 0x6, 0x10
Core 2 Duo, Quad -- Penryn, Wolfdale, Arrandale kein Update
Pentium Silver N/J5000 -- Gemini Lake 2018 00000022
Celeron N/J4000 -- Gemini Lake 2018 00000022
Atom x5-E3900 -- Apollo Lake 2017 00000008, 000002E
Pentium N/J4200 -- Apollo Lake 2017 000002E
Celeron N/J3300 -- Apollo Lake 2017 000002E
Pentium N/J3000 -- Braswell 2015 00000410
Celeron N/J3000 -- Braswell 2015 00000410

(ciw)