Sicherheitslücke Spectre: BIOS-Updates von Acer über Apple, Dell, HP bis Lenovo
Um Desktop-PCs, Notebooks, 2-in-1 oder Server unter Windows gegen die Sicherheitslücke Spectre 2 abzusichern, müssen auch OEMs neuen CPU-Microcode von Intel als BIOS- oder Firmware-Update bereitstellen. ComputerBase gibt einen Überblick zum Stand bei Herstellern wie Apple, Dell, HP oder Lenovo. Aktuell warten alle auf Intel.
Neuer Microcode verzögert sich
Grundsätzlich haben die Hersteller auf denselben aktualisierten Microcode von Intel Zugriff wie die Hersteller von Desktop-Mainboards, aber alle zusammen stehen Mitte Februar vor einem Problem: Intel hatte die ersten neuen Microcodes für die Plattformen Coffee Lake, Kaby Lake (Refresh), Skylake, Haswell, Broadwell und deren Derivate sowie Gemini Lake und Ivy-Bridge-EX im Januar zurückgezogen und OEMs gebeten, deren Verteilung einzustellen. Hintergrund waren Stabilitätsprobleme, wie der Konzern nach ersten Problemberichten bestätigen musste. Gegenüber der ersten Version um den Fehler bereinigten Code gibt es bisher aber nur für Skylake. Darüber hinaus werden mittlerweile viele SoCs, darunter Apollo Lake, Moorefield, Cherry Trail, Braswell aber auch Gemini Lake sowie Knights Mill und Knights Landing (Xeon Phi) mit neuem Microcode versorgt.
Updates bis zurück zu Intels ersten 45-nm-CPUs
Mit der aktuellen Microcode Revision Guidance (PDF) hat Intel allerdings erstmals bestätigt, dass es Updates bis zurück zu den ersten 45-nm-CPUs geben wird. Das älteste Modell, der Intel Core 2 Extreme QX9650 (Test) auf Basis von Penryn, stammt aus dem Jahr 2007. Bisher hatte der Hersteller immer nur angedeutet, dass es auch Updates für CPUs vor Haswell geben wird, das neue Dokument nennt Updates für Ivy Bridge, Sandy Bridge, Penryn, Wolfdale und Yorkfield jetzt eindeutig – wenn auch noch keine Daten. Fraglich bleibt auch, welcher Hersteller für diese Plattformen überhaupt noch Updates mit dem neuen Microcode anbieten wird. Anders lässt sich der neue Microcode unter Windows aber nicht einspielen.
Nachdem Hersteller wie HP, Dell oder Lenovo nach der Freigabe der ersten Generation neuer Microcodes schnell viele Updates bereitgestellt und Termine für die restlichen Produkte genannt hatten, haben Intels Rückruf und die zögerliche Freigabe neuen Codes dieses Bild mittlerweile gravierend geändert. Viele große OEMs haben alle Updates zurückgezogen, nicht jeder bietet schon den neuen Microcode für Skylake an.
Nicht alle Hersteller sind dem Ruf von Intel allerdings gefolgt. Asus zum Beispiel bietet weiterhin alle ersten Updates für die Chipsätze Z370, Z270, Z170, X299, X99, B150, B250, H270, H170, H110, Q270 und Q170 mit altem Microcode an, weil der Hersteller nach eigenen Angaben von den potentiellen Stabilitätsproblemen mit dem neuen Microcode nicht betroffen sei. Dasselbe gilt offensichtlich für Gigabyte, denn auch dort gibt es noch die alten Updates, neue hingegen auch für die Skylake-Platinen noch nicht. Und MSI hat weiterhin unverändert die Z370-Updates online. Nur ASRock hat die ersten Updates wieder offline genommen und bisher nur für den H110-Chipsatz (Skylake) neue BIOS-Updates bereitgestellt.
Alle BIOS- und Firmware-Updates im Überblick
Die nachfolgende Tabelle enthält die verfügbaren Übersichtsseiten relevanter Hersteller und wesentliche Hinweise zum aktuellen Stand in Stichpunkten. Weitere Hersteller sind angefragt, darunter auch weitere kleine Anbieter von Notebooks auf Basis der Produkte von ODMs wie Clevo, MSI oder Quantas. Keine klare Linie gibt es darin, was die Hersteller auf ihren Übersichtsseiten zeigen: Einige listen alle betroffenen Produkte, andere nur die, für die bisher ein Update geplant worden ist.
OEM | Hinweise |
---|---|
Acer | Aktuell keine Updates verfügbar |
Apple | Bisher keine konkrete Aussage zur Spectre-2-Gegenmaßnahmen |
ASRock (Mainboards) | Updates für viele Mainboards verfügbar |
Asus (Mainboards) | Alter Microcode für viele Chipsätze |
Asus (Notebooks, AiOs) | Aktuell keine Updates verfügbar |
Dell (Endanwender) | Neuer Microcode für viele Systeme |
Dell (Server) | Neuer Microcode für viele Systeme |
EVGA (Mainboards) | Aktuell keine Updates verfügbar |
Fujitsu (PDF) | Neuer Microcode für einige Systeme |
Gigabyte (Mainboards) | Alter Microcode für viele Chipsätze |
HP | Neuer Microcode für viele Systeme |
IBM | Updates für Power7, -7+, -8 und -9, keine weiteren geplant |
Intel (Endanwender) | Neuer Microcode für erste NUC |
Intel (Server) | Neuer Microcode für erste Mainboards |
Intel (Boardpartner) | Microcodes für Skylake, Skylake-SP, Skylake-D, Kaby Lake, Coffee Lake, diverse Atom |
Lenovo | Neuer Microcode für erste Systeme |
Medion | Erste Updates für ausgewählte Systeme |
Microsoft | Updates für Surface ab Pro 3 mit altem Microcode |
MSI (Mainboards) | Updates mit altem Microcode für Z370 |
MSI (Notebooks) | Aktuell keine Updates verfügbar |
MYSN | Abhängig vom ODM (Clevo, Quantas, MSI) |
Super Micro | Neuer Microcode für viele Systeme |
Toshiba | Erste Update für wenige Systeme |
Zotac (Zbox) | Aktuell keine Updates verfügbar |
Wie die Updates eingespielt werden können, hängt vom Anbieter und dem System ab. Microsoft verteilt neue Firmware für Surface beispielsweise über Windows Update, andere Hersteller bieten dedizierte Tools.
OEMs beziehen sich alle auf Spectre 2
Alle Angaben in der Tabelle beziehen sich auf Spectre 2 (CVE-2017-5715 [Branch Target Injection]). Diese Lücke benötigt neben einem Patch im Betriebssystem auch zwingend neuen Microcode von Intel. AMD wiederum spricht aktuell nur von optionalen Updates, weil das Risiko, Spectre 2 auf CPUs des Herstellers auszunutzen, „gegen Null geht“. Sofern Microsoft bei der aktuell in Windows umgesetzten Gegenmaßnahme bleibt, benötigen aber auch AMD-CPUs ein Microcode-Update, um das Restrisiko auszuschließen.
Spectre 1 (CVE-2017-5753 [Bounds Check Bypass]) muss hingegen in Anwendungen (insbesondere Browsern) abgesichert werden. Meltdown (CVE-2017-5754 [Rogue Data Cache Load]) auf Intel-CPUs kann hingegen allein durch ein Update im Betriebssystem behoben werden.
Der Artikel wurde um Informationen zum Stand bei Notebooks von MSI, Zbox von Zotac und Intels Bestätigung, dass aktuelle Updates unter Umständen vermehrt zu Reboots führen können, ergänzt. Außerdem wurde die Übersicht zu BIOS-Updates von ASRock, Asus, MSI, Gigabyte & EVGA integriert, um in diesem Artikel beide Produktkategorien zu vereinen.
Die Übersicht wurde auf den aktuellen Stand gebracht, der seit Ende Januar von Intels Rückruf der ersten neuen Microcodes geprägt ist. Viele OEMs bieten seitdem gar keine BIOS-Updates mehr an, nur Dell, HP und Lenovo verteilen bereits neue Updates mit dem fehlerbereinigten finalen Microcode für Skylake. Die Hersteller von Mainboards für Endkunden haben mit Ausnahme von ASRock Intels Rückruf hingegen geschlossen ignoriert, hier stehen weiterhin die Updates mit dem ersten und offiziell instabilen Microcode zum Download bereit.
Insgesamt ist das Bild aber eindeutig: Von einer raschen Verteilung des neuen Microcodes kann keine Rede sein. Neuen Code ohne Probleme bereitzustellen ist offensichtlich schwerer als anfangs gedacht, oder Intel und die OEMs gehen mittlerweile absolut kein Risiko mehr ein, um einen neuen Rückruf zu vermeiden.
Ob Hersteller den von Intel in Aussicht gestellten neuen Microcode für Prozessoren bis zurück zur Penryn-Architektur aus dem Jahr 2007 auch tatsächlich anbieten werden, bleibt indes abzuwarten. Zumindest für Systeme mit Sandy-Bridge hatten erste Hersteller Updates schon vor Wochen in Aussicht gestellt – und damals war nicht einmal final bestätigt, dass Intel hier an einer Lösung arbeitet. In jedem Fall würden die Updates auf den älteren Plattformen aber überdurchschnittlich viel Leistung kosten.
Intel hat nun finale Microcodes für Skylake, Skylake-X, Kaby Lake und Coffee Lake zur Verfügung gestellt, auch im Server-Bereich ist Skylake-SP und bereits Skylake-D neben vielen Atom-Prozessoren laut Support-Dokument (PDF) nun im finalen Status angelangt. Jetzt können die Boardpartner ihre Umsetzungen angehen, sodass in den kommenden Wochen wieder vermehrt BIOS-Updates zu erwarten sind.
Vier Tage nach der Freigabe finaler Microcodes mit neuen CPU-Befehlen als Gegenmaßnahme auf die Sicherheitslücke Spectre Variante 2 hat Intel auch neuen Microcode für die Architekturen Haswell und Broadwell und fast alle ihre jeweiligen Ableger bereitgestellt. Ausnahmen bilden die High-End-Server-Lösungen Haswell-EX und Broadwell-EX, deren Updates werden noch getestet. Das trifft auch auf die neuen Microcodes für Sandy Bridge und Ivy Bridge zu.
OEMs und Komponentenhersteller können die neuen Microcodes nutzen, um sie in ihrer Firmware oder im BIOS zu integrieren. Zusammen mit Updates der gängigen Betriebssysteme sorgen sie dafür, dass die Sicherheitslücke Spectre in der 2. Variante geschlossen wird. Das kostet allerdings Leistung – auf alten Architekturen mehr als auf neueren.
Intel hat jetzt auch neuen Microcode für Sandy Bridge und Ivy Bridge sowie die großen Chips vom Typ Sandy Bridge-EX, Ivy Bridge-EX, Haswell-EX und Broadwell-EX freigegeben (PDF). Auch Haswell in der 15-Watt-Klasse, also die mobilen CPUs, kann jetzt gegen Spectre Variante 2 abgesichert werden.
Die OEMs hinken allerdings weiterhin hinterher, die oben aufgeführte Tabelle wurde aktualisiert. Weit fortgeschritten sind lediglich Dell und HP, sie liefern mittlerweile für den überwiegenden Anteil der Systeme der letzten fünf Jahre Updates. Andere wiederum bieten auch weiterhin nur Updates für Rechner mit Skylake-Architektur. Bei Herstellern für Mainboards erweist sich aktuell ASRock als Vorreiter: Der Hersteller hat bereits viele Updates mit neuem Microcode online gebracht. Asus, Gigabyte und MSI verbreiten hingegen noch Updates mit der ersten Generation Microcode, der von Intel eigentlich zurück gerufen wurde.
Microsoft hat wiederum noch keinen weiteren Microcode in das vor einer Woche veröffentlichte Microcode-Update für Windows 10 Version 1709 aufgenommen, das neuen Microcode auch ohne BIOS- oder Firmware-Update in Windows 10 lädt. Es sichert damit auch weiterhin nur Systeme mit Skylake-Architektur.
Downloads
-
InSpectre Download [Archiviert]
4,3 SterneInSpectre prüft Windows-PCs auf die CPU-Sicherheitslücken Spectre und Meltdown.
- Version #8