Sicherheitslücke Spectre: BIOS-Update nennt neuen Microcode für AMD Epyc
AMD liefert allem Anschein nach bereits neuen Microcode mit Gegenmaßnahmen gegen die Sicherheitslücke Spectre Variante 2 aus. Darauf deuten BIOS-Updates für Server-Mainboards des Herstellers Supermicro hin, die allerdings nicht AMD Ryzen sondern AMD Epyc unterstützen.
Neuer Microcode für AMD Epyc
Auf den Umstand aufmerksam geworden ist Planet3DNow! beim Einspielen eines BIOS-Updates auf dem Mainboard Supermicro H11SSL-i mit einem Sockel für CPUs der Epyc-7000-Serie. Zur BIOS-Version 1.0a wird in den Release Notes (PDF) als eine von zwei Verbesserung die „Anwendung des Sicherheitspatches gegen die Sicherheitslücke Spectre Variante 2 (CVE 2017- 5715)“ genannt. Dabei kann es sich nach aktuellem Kenntnisstand nur um neuen Microcode handeln.
Den benötigen als Gegenmaßnahme nämlich auch CPUs von AMD, um das vom Hersteller als „Near-Zero Risk“ beschriebene Restrisiko über die drei neuen CPU-Befehle Indirect Branch Restricted Speculation (IBRS), Single Thread Indirect Branch Predictors (STIBP) und Indirect Branch Predictor Barrier (IBPB) auszuschließen, sofern das Betriebssystem nicht auf die Retpoline-Technik setzt. Das ist mittlerweile zwar bei Linux und damit dem für Epyc relevanteren Betriebssystem der Fall, nicht aber bei Windows (Server). Epyc kommt seit Dezember 2017 zum Beispiel auch in Microsofts Cloud Azure zum Einsatz, in der Kunden zwischen Windows und Linux wählen können.
Nach AMDs Ankündigung, an optionalen Microcode-Updates zu arbeiten, und der Bestätigung, dass sie bei Verzicht auf Retpoline notwendig sind, hat es von AMD bisher allerdings nie eine Bestätigung gegeben, dass mit der Auslieferung begonnen wurde. Auf Nachfrage erklärte der Hersteller am Freitag gegenüber ComputerBase, Gerüchte nicht zu kommentieren.
Microcode für Ryzen im Test?
Zuletzt hatte es allerdings Hinweise gegeben, dass AMD zusammen mit Microsoft auch neuen Microcode für Ryzen bereits testet. Der sollte eigentlich schon zum Start von Raven Ridge als Ryzen X 2xxxG verfügbar sein, die APUs bringen aber noch eine Variante ohne die neuen CPU-Befehle mit. Laut ComputerBase vorliegenden Informationen ist das auch bei Ryzen 2 auf Basis von Zen+ der Fall, der für den 19. April erwartet wird. Hier müsste der neue Microcode also ebenfalls noch über das BIOS oder Windows-Updates nachgeladen werden. Erst Zen 2 soll im Jahr 2019 auch „in Hardware“ sicher sein.