Liebe Leserinnen, Liebe Leser,
die technologische und nicht techologische Presse war diese Woche laut über zwei, schon berüchtigte Schwachstellen namens Spectre und Meltdown, die sich in den meisten modernen Prozessoren befinden. Weil die Presse darüber schon ganz viel geschrieben hat, werde ich mich in die technischen Einzelheiten jetzt nicht vertiefen. Weitere Einzelheiten sind hier zu finden. Ich werde einige meiner Gedänke und Erkenntnisse aus meinem Gesichtspunkt über diese Sache teilen. Glücklicherweise, ich bezitze sowohl eine ganz alte Sandy Bridge als auch eine Kaby Lake Konfiguration, und auf diese Weise bin ich in der Lage zu melden, wie die Sachen aus einem Usergesichtspunkt bei den beiden Enden der Core Linien von Intel Prozessoren läufen. Also, hier geht’s.
Ich werde mit den nicht so interessanten (aber nicht total uninteressanten) Sachen starten: die Kaby Lake Prozessoren. Wie der Leser es schon längst weiß, werden sowohl diese Gen. 7 Intel Prozessoren, als auch die älteren, heute noch relevanten Intel Prozessoren von diesen Sicherheitsschwachstellen beeinträchtigt. Um dieses Problem zu beheben, CPU Mikroprogramm Updates (unter anderem) wurden veröffentlicht, und sie werden jetzt von Hauptmainboardhersteller auch verbreitet. Das sollte zumindest die Situation sein. Als es sich herausstellte, sind nicht alle Hersteller zügig, auf diese kritischen Sachen (in Bezug auf Komminkation) zu reagieren. Zum Beispiel Gigabyte, Asus, MSI, Dell, Lenovo und solche anderen Firmen haben seine eigene Microsite schon aufgebaut, wo sie die User über die Probleme und Behebungsschritte informieren. Ab Datum des Beitrags, ganz erstaunlich, haben ASRock, EVGA, AOpen und manche andere keine Microsite aufgebaut. Ich bin darüber sicher, dass auch diese Unternehmen aktualisierte BIOS (UEFI)-Abbilder veröffentlichen werden, aber aus dem Gesichtspunkt des Kundes ist dieses Verhalten der obengenannten Firmas nicht so sympatisch.
Die derzeitige Situation ist, dass obwohl die neueren Desktop-Rechner (mit 100, 200, 300 und X99, X299 Chipsatz) BIOS-Aktualisierungen bekommen werden, könnten die älteren Systeme ohne Aktualisierungen bleiben. In dem Bereich des Laptops unterstüzt zum Beispiel Lenovo alle Maschinen bis Ivy Bridge Gen., die deswegen aktualisierte BIOS bekommen werden, aber niemand weiß, was mit den anderen Rechnern unter Ivy Bridge Generation passieren wird. Sollen wir uns jetzt fürchten? Nein und ja. Nein, weil Intel die Sicherheit ganz ernst zu handlen scheint, deswegen gibt es immer Hoffnung. Ja, weil die noch nicht ausgestorbenen Sandy Bridge Prozessoren keine Unterstützung für Windows 10 von Intel bekommen. Das heißt, dass Sandy Bridge die Linie ist, bis die Firma neue Mikroprogramme veröffentlichen wird.
Also, die offensichtliche Frage stellt sich: was wird passieren, wenn Intel neue Mikroprogramme für Sandy Bridge und vielleicht auch für Nehalem veröffentlichen wird, aber Erstausrüster werden keine neue Aktualisierungen erzeugen? Und was wird passieren, falls keine neue Mikroprogramme gibt? Die Antwort für die erste Frage ist einfach: trotz der Tatsache, dass das BIOS-Programm für die Aktualisierung des CPU-Mikroprogramms am meistens verwendet wird, ist das BIOS-Programm nicht die einzige Spur, wenn man die neuste Mikroprogramm haben will. Betriebssysteme sind auch in der Lage, CPU-Mikroprogramme bei jedem Start einzuspielen. Das bedeutet, dass man das neuste Mikroprogramm verwenden kann, ohne das BIOS zu aktualisieren. Das offensichtliche Nachteil ist, dass dieser Ansatz auf die aktuelle Betriebssysteminstanz beschränkt ist, und falls man ein Dual-Boot-System hat, soll man das gewährleisten, dass beide Systeme (ungeachtet des Typs oder der Version) bei jedem Start das neue CPU-Mikroprogramm einspielen und integrieren. Auf der Sonnenseite kann man den Computer mit dieser Methode nicht schrotten, weil das BIOS nie geändert wird.
Wenn man das vermutet, dass eine Mikroprogrammaktualisierung auf der Betriebssystemebene eine stundenlange Tüftelarbeit ist, hat man nicht recht. Um eine Mikroprogrammaktualisierung auf einem Gentoo Linux System zu machen, braucht man nicht etwas Kompliziertes machen, genauso wie es in einem Wiki-Seite diskutiert ist. Bei anderen Linux-Distributionen soll sich das Verfahren zu der dargestellten Methode ähneln. Bei Windows sind die Schritte auch einfach, wie das das folgende Youtube video zeigt. Andere Quellen stellen ähnliche Methoden dar, also diese Methode soll funktionieren.
Alles gut, aber was ist los mit der zweiten Frage, wenn kein neues Mikroprogramm erstellt wird? Das ist eine schwere Frage zu beantworten. Weil es wahrscheinlich (in den Logdateien) keine Spur über einen erfolgreichen Angriff geben wird, ist es sehr schwer festzustellen, ob die Maschine beeinträchtigt ist. Das ist auch unklar, ob Antivirus-Software die Schadesoftware von dieser Art erkennen können. Aufgrund dieser Ungewissheit könnte man daran denken, ob es an der Zeit ist, den Prozessor in den Desktop-Computern durch eine neue Generation (möglicherweise Gen 6 oder 7) zu ersetzen. Weil Laptops am meistens den Einbau eines neuen Prozessores (keine BIOS-Unterstützung) nicht ermöglichen, scheint der Ersatz des ganzen Rechners die einzige Möglichkeit zu sein, aber das ist leider kostspielig.
Die oben zu sehenden Bildschirmaufnahme zeigen die (ab jetzt) neuste (20180108) CPU-Mikroprogrammaktualisierung, die die neuersten Mikroprogramme für Sandy Bridge Prozessoren enthalten. Das Paket ist hier zu finden. Die letzte Fassung des Mikroprogramms ist aus 2013. Die obengenannte Lenovo-Seite listet keine “Target availability” Daten für Computer, die mit älter als Ivy Bridge Prozessoren ausgerüstet sind. Das könnte bedeuten, dass Intel das Mikroprogramm für diese älteren CPUs nicht aktualisieren mag. Auf der Sonnenseite habe ich einen kleinen Leistungstest auf einem Sandy Bridge Rechner vor und nach der Windows-Aktualisierungen gemacht, und die Leistungsabfall war ganz vernachlässigbar. Nur die 2D-Leistung des eingebauten Grafikprozessors hatte einen spürbaren Leistungsabfall (Bildschirmaufnahme ist unten zu sehen). Dieser Patch wird dennoch alle Probleme nicht lösen, also wenn kein neues Mikroprogramm dieses Monat veröffentlicht wird, wird der Ersatz des Computers der einzige vorhandene “Patch” sein.
Zusammenfassend könnte ich sagen, dass die nächsten ein paar Wochen sehr interessant sein werden, besonders wenn man bedenkt, dass Microsoft letztes Jahr das längst verlassene Windows XP Betriebssystem gepatcht hat, um das System gegen WannaCry Schadesoftware zu wehren. Hoffentlich wird Intel eine gleiche Logik folgen, und wird sich dafür entscheiden, die Sandy Bridge und Nehalem Besitzer in der Not nicht zu lassen. Ich hoffe.
Wie immer, vielen Dank fürs Lesen.
UPDATE
Intel hat die obengenannten Mikroprogrammaktualisierungen (20180108) aufgrund Systeminstabilitäten zurückgezogen, also ab 2018-02-17 gibt es auf der CPU-Ebene keine Behebungen für diese Schwachstellen. Die letzte Aktualisierung ist auf Intels Webseite 20170117.
UPDATE2:
Das letzte Mikroprogrammaktualisierung ist 20180807. Interessanterweisde hat Gigabyte seit 20180309 keine BIOS-Aktualisierungen für Z170 basierte Mainboards (Intel Gen. 6 und 7.) veröffentlicht, trotz der Tatsache, dass etliche andere Mikroprogrammaktualisierungen veröffentlicht wurden.
Wenn man es herausfinden will, ob der Computer von den obengenannten Schwachstellen beeinträchtigt ist, empfehle ich das folgende Script herunterzuladen und auf einem Linux oder BSD System auszuführen. Dieses Script wird eine detaillierte Analyse ausführen und umfangreiche Informationen über die Schwachstellen rückgeben. Falls man ein Windows-basiertes System überprüfen will, ist der folgende Artikel zu lesen.