Windows: Die 2019er Microcode-Updates gegen Spectre 2, 3a, 4 und L1TF
Meldung von doelf, Dienstag der 12.02.2019, 15:43:28 UhrSpectre, Spectre? Da war doch was... Vor gut einem Jahr wurden zahlreiche Angriffe auf Schwachstellen in CPU-Designs vorgestellt und das ganze Jahr 2018 war von neuen Varianten und Updates für Betriebssysteme, UEFI-Firmware und CPU-Microcode geprägt. Zuletzt hätte man den Eindruck gewinnen können, dass dieses Thema so langsam durch sei, doch Microsoft hat 2019 bereits zweimal neue Microcode-Updates für Intel-Prozessoren veröffentlicht - erstmals auch für CPUs aus den Jahren 2009 und 2010!
Spectre 2
Für Windows 10 RTM bis Windows 10 Version 1803 gibt es seit Januar 2019 neue Microcode-Updates, welche Angriffe der Spectre-Variante 2 (CVE 2017-5715 - "Branch Target Injection") unterbinden sollen. Wie bisher handelt es sich um optionale Updates, welche der Benutzer selbst installieren und auf dem aktuellen Stand halten muss. Hatte Microsoft zuvor nur die CPU-Generationen Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake, Knights Landing und Knights Mill bedient, liegen ein Jahr nach Bekanntwerden der Sicherheitslücken auch Updates für die älteren Architekturen Nehalem (Nehalem EP/WS, Lynnfield) und Westmere (Arrandale, Clarkdale, Westmere EP/WS) vor.
- KB4100347 für Windows 10 Version 1803 und Windows Server 2016 Version 1803 (Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake, Knights Landing und Knights Mill)
- KB4090007 für Windows 10 Version 1709 und Windows Server 2016 Version 1709 (Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake, Knights Landing und Knights Mill)
- KB4091663 für Windows 10 Version 1703 (Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Skylake, Kaby Lake und Coffee Lake)
- KB4091664 für Windows 10 Version 1607 und Windows Server 2016 Version 1607 (Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake, Knights Landing und Knights Mill)
- KB4091666 für Windows 10 (Nehalem, Westmere, Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Skylake, Knights Landing und Knights Mill)
Spectre 3a, 4 und L1TF
Am 5. Februar 2019 folgten frische Microcode-Updates zum Schutz vor den Spectre-Varianten 3a (CVE-2018-3640 - "Rogue System Register Read") und 4 (CVE-2018-3639 - "Speculative Store Bypass"). Mit abgedeckt wird auch die L1TF-Schwachstelle (CVE-2018-3620, CVE-2018-3646 - "L1 Terminal Fault"). Microsoft bietet dieses Update für Windows 10 RTM bis Windows 10 Version 1809 an. Nachdem die erste Version nur die CPU-Generationen Broadwell (nur Server), Skylake, Kaby Lake und Coffee Lake abgesichert hatte, schützt die neue auch Nehalem, Westmere, Sandy Bridge und Gladden, Ivy Bridge, Haswell, die übrigen Broadwell-Varianten sowie die Atom-Baureihen Apollo Lake, Broxton und Denverton.
- KB4465065 für Windows 10 Version 1809 und Windows Server 2019 (Nehalem, Westmere, Sandy Bridge/Gladden, Ivy Bridge, Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake)
- KB4346084 für Windows 10 Version 1803 und Windows Server 2016 Version 1803 (Nehalem, Westmere, Sandy Bridge/Gladden, Ivy Bridge, Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake)
- KB4346085 für Windows 10 Version 1709 und Windows Server 2016 Version 1709 (Nehalem, Westmere, Sandy Bridge/Gladden, Ivy Bridge, Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake)
- KB4346086 für Windows 10 Version 1703 (Nehalem, Westmere, Sandy Bridge/Gladden, Ivy Bridge, Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake)
- KB4346087 für Windows 10 Version 1607 und Windows Server 2016 Version 1607 (Nehalem, Westmere, Sandy Bridge/Gladden, Ivy Bridge, Haswell, Broadwell, Skylake, Kaby Lake, Coffee Lake)
- KB4346088 für Windows 10 RTM (nur Skylake)
Warum das Update für Windows 10 RTM auf Skylake beschränkt ist, bleibt Microsofts Geheimnis. Dass auch dieses Microcode-Paket nur optional erhältlich ist, begründen die Redmonder mit Leistungsdefiziten. Diese sind allerdings stark von der Art der Last, die auf dem betroffenen Rechner gefahren wird, abhängig. Letztendlich muss jeder für sich selbst entscheiden, ob man Sicherheit oder Geschwindigkeit priorisiert.