Menü
Security

Spectre-Lücke: Intels Microcode-Updates für Linux und Windows

Endlich hat es Intel geschafft, die zum Stopfen der Spectre-V2-Lücke nötigen Updates für Core-i-Prozessoren seit 2011 (Sandy Bridge) zu veröffentlichen - vor allem für Linux-Distributionen.

Von
vorlesen Drucken Kommentare lesen 56 Beiträge
Sicherheitslücke Spectre

Die angekündigten Microcode-Updates für Intel-Prozessoren, die drei Funktionen für Indirect Branch Control (IBC) nachrüsten, stehen nun im Linux Processor Microcode Data File Version 20180312 bereit. Darin stecken Microcode-Updates mit IBC für Core-i-Generationen seit 2011, also seit "Sandy Bridge" (Core i-2000).

CPU-Sicherheitslücken Meltdown und Spectre

Für Linux-Systeme mit den betroffenen Prozessoren, die das Linux Processor Microcode Data File einbinden, ist somit kein BIOS-Update als Schutz gegen Spectre V2 nötig.

Nach Canonical (Ubuntu) und Suse schwenkt nun auch Red Hat auf Retpoline als Spectre-V2-Schutz um, zumindest für ältere Intel-Prozessoren. Bei Skylake kommt aber weiterhin IBRS zum Einsatz.

Auch das optionale Windows-Update KB4090007 aus dem Microsoft Update Catalog enthält nun in einer neuen Version mehr Microcode-Updates als zuvor, nämlich außer für Skylake auch für Kaby Lake und Coffee Lake. Microsoft zielt damit also bisher eher auf jüngere Rechner. Nach wie vor bietet Microsoft aber nur eine unverschlüsselte Download-Verbindung an (http statt https). Besitzer von Windows-Rechnern mit älteren Intel-Prozessoren müssen weiter auf BIOS-Updates hoffen.

Die Tabelle zeigt die wichtigsten Intel-Prozessorfamilien und die Bezeichnung des jeweiligen Microcode-Updates, welches die drei Funktionen Indirect Branch Prediction Barrier (IBPB), Indirect Branch Restricted Speculation (IBRS) und Single Thread Indirect Branch Predictor (STIBP) nachrüstet. Diese nutzt Windows mit den Updates von Anfang Januar für Indirect Branch Control (IBC) als Schutz gegen Branch Target Injection (BTI), also Spectre V2 (CVE-2017-5715).

Microcode-Updates mit IBC gegen Spectre V2 für Intel-Prozessoren (Auswahl, Stand 6.3.2018)
Prozessor-Familie Core-i-Generation Codename Einführungs-
Jahr
Version des Microcode-Update
Core i3/i5/i7-8000 8. Generation Coffee Lake 2017 0x84
Xeon E-2000 -- Coffee Lake 2018 0x84
Core i3/i5/i7-7000 7. Generation Kaby Lake 2016 0x84
Xeon-SP -- Skylake-SP 2017 0x2000043
Core i3/i5/i7-6000 6. Generation Skylake 2015 0xC2
Xeon E5-2000 v4 -- Broadwell-EP 2015 0xB00002A
Core i3/i5/i7-5000 5. Generation Broadwell-H 2014 0x1D
Core i3/i5/i7-5000U/Y 5. Generation Broadwell-U/Y 2014 0x2A
Xeon E5-2000 v3 -- Haswell-EP 2014 0x3C
Core i3/i5/i7-4000 4. Generation Haswell 2013 0x24
Core i3/i5/i7-3000 3. Generation Ivy Bridge 2012 0x1F
Core i3/i5/i7-2000 2. Generation Sandy Bridge 2011 0x2D
Core i3-300/i5-500/i7-600 1. Generation Arrandale, Clarkdale Pre-Beta
Core 2 Duo, Quad -- Penryn, Wolfdale, Arrandale in Planung
Pentium Silver N/J5000 -- Gemini Lake 2018 00000022
Celeron N/J4000 -- Gemini Lake 2018 00000022
Atom x5-E3900 -- Apollo Lake 2017 00000008, 000002E
Pentium N/J4200 -- Apollo Lake 2017 000002E
Celeron N/J3300 -- Apollo Lake 2017 000002E
Pentium N/J3000 -- Braswell 2015 00000410
Celeron N/J3000 -- Braswell 2015 00000410

(ciw)