Menü
Security

Windows 10 1809: Update gegen Spectre-NG-Lücken

Mit dem Update KB4465065 liefert Microsoft Microcode-Updates für einige Intel-Prozessortypen zum Schutz gegen L1TF sowie Spectre V3a und V4.

Von
vorlesen Drucken Kommentare lesen 21 Beiträge
Sicherheitslücke Spectre

Updates für Windows 10 zwingen Nutzer, auch bei den Sicherheits-Patches gegen Spectre-Lücken manuell nachzuhelfen. Für Windows 10 1809, also das Oktober 2018 Update, steht nun mit KB4465065 ein Update bereit, das die vorletzten drei Generationen von Intels Core-i-Prozessoren sowie zwei Xeon-Generationen mit aktuellen Microcode-Updates versorgt. Es ist auch für Windows Server 2019 gedacht.

Die Microcode-Updates sind nötig, um Windows-10-Rechner vor der im August bekannt gewordene Sicherheitslücke L1 Terminal Fault (L1TF, auch Foreshadow genannt) zu schützen sowie auch gegen die Spectre-NG-Lücken Spectre V3a und Spectre V4.

CPU-Sicherheitslücken Spectre-NG

Nach Meltdown und Spectre sind Forscher auf acht weitere Sicherheitslücken in (Intel-) Prozessoren gestoßen – Spectre Next Generation (Spectre-NG). Vier davon werden als hochriskant eingestuft, eine davon hat sogar weitaus höheres Bedrohungspotenzial als die bisher bekannten Spectre-Lücken.

Allerdings ist für ein Update des Prozessor-Microcodes nicht unbedingt ein Windows-10-Update nötig: Diese Microcode-Updates spielt auch das BIOS ein. Wenn der Hersteller des PCs, Notebooks, Servers oder Mainboards also ein BIOS-Update mit aktuellen Microcodes bereitstellt und dieses auch eingespielt wurde, ist KB4465065 überflüssig. Hinweise finden Sie in unserer Link-Sammlung dazu.

Wohl deshalb wird das Update KB4465065 nicht automatisch auf allen betroffenen Rechnern per Windows Update eingespielt. Man muss es vielmehr manuell über den Microsoft Update Catalog herunterladen und installieren.

Microsoft empfiehlt, das Update nur auf Systemen mit einem der in KB4465065 erwähnten Intel-Prozessoren einzuspielen. Das sind seit 2015 verkaufte Systeme mit CPUs ab Core i-6000 (Skylake) sowie Server mit Xeons ab Broadwell (Xeon E5-2000 v4).

Intel hatte bereits im April Microcode-Updates gegen die im Januar bekannt gewordenen Spectre-Lücken angekündigt. Zum Schutz gegen einige Spectre-NG-Varianten sind aber abermals neue Microcode-Updates nötig.

Microcode-Updates für Intel-Prozessoren gegen Spectre und Meltdown
Prozessor(Beispiele) Codename CPUID µCode lt. Intel,
2. April 2018
µCode lt. Microsoft KB4100347 für 1803
(13. September 2018)
µCode lt. Intel,
8. August 2018
µCode lt. Microsoft
KB4465065 für 1809
Core i-2000 Sandy Bridge 206A7 0x2D 0x2D 0x2E --
Core i-3000 Ivy Bridge 306A9 0x1F 0x1F 0x20 --
Core i-4000 Haswell 306C3 0x24 0x24 0x25 --
Core i-4000U Haswell 40651 0x23 0x23 0x24 --
Core i-5000U/Y Broadwell 306D4 0x2A 0x2A 0x2B -- (nur Server)
Core i-6000 Skylake-S 506E3 0xC2 0xC2 0xC6 0xC6
Core i-6000U Skylake-U 406E3 0xC2 0xC2 0xC6 0xC6
Core i-7000 Kaby Lake 906E9 0x84 0x84 0x8E 0x8E
Core i-7000U/Y Kaby Lake 806E9 0x84 0x84 0x8E 0x8E
Core i-8000 Coffee Lake-S 906EA 0x84 0x84 0x96 0x96
Core i-8000U Coffee Lake-U 806EA 0x84 0x84 0x96 0x96

Die neuen Microcode-Updates ermöglichen beziehungsweise verstärken den Schutz gegen Angriffe über die Lücken L1TF und Spectre V3a (Rogue System Register Read, RSRE, auch: Rogue System Registry Read).

Bei L1TF sind Microcode-Updates nur für eine der drei Varianten nötig, die Microsoft im "Leitfaden zum Schutz vor „L1 Terminal Fault“ bei Windows-Servern" beschreibt beziehungsweise im Advisory ADV180018. Das ist vor allem bei Windows Server nötig.

Für Spectre V3a hat Microsoft das Advisory ADV180013 veröffentlicht.

Komplizierter liegt der Fall bei Spectre V4 alias Speculative Storage Bypass (SSB): Hier sind zwar bei Intel-Prozessoren Microcode-Updates für den Schutz nötig, aber die eigentliche Schutzfunktion Speculative Store Bypass Disable (SSBD) ist standardmäßig inaktiv. Sie reduziert nämlich die Performance und die meisten Client-PCs und Server benötigen sie nicht, wie Microsoft im Advisory ADV180012 erklärt: Erstens sind bislang keine praktischen Angriffe bekannt und zweitens haben Browser-Updates den wichtigsten Angriffspfad erschwert.

Übersicht über Spectre, Meltdown und Varianten

Deshalb sollten Administratoren und Nutzer SSBD nur aktivieren, falls sie das Risiko für das individuelle System als besonders hoch einschätzen.

Das Einschalten erfolgt über den Registry-Schlüssel "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management\FeatureSettingsOverride" mit unterschiedlichen Werten je nach Prozessor.

Laut Intels "Microcode Revision Guidance" in der Fassung vom 8. August 2018 sind auch für ältere Prozessoren schon Microcode-Updates fertig. Weshalb Microsoft die nicht ins Update KB4465065 integriert, ist unklar – hinein kamen wohl nur jene Microcode-Updates, die zum RTM-Zeitpunkt vorhanden waren. Weitere sollen folgen.

Die kommenden Xeons der Generation Cascade Lake werden Hardware-Schutz gegen L1TF enthalten.

Links und Informationen zu den erwähnten Spectre-NG-Lücken:

(ciw)