Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

[Nitroglow]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Auf welchen Beitrag bezieht sich das denn jetzt? Off Topic? Bashing?

??? Auf keinen Beitrag im Forum ich habe das Kontakt Formular benutzt von Asus.Und das schon gelesen? "AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar " << da lese ich Asus !!!!
Und was ich Asus gefragt?

 

[Gast1748380205]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Mal schauen. Eigentlich, also meiner Meinung nach, sollten alle Beteiligten in gesetzliche Haftung genommen werden, Sicherheitslücken prinzipiell unbegrenzt nachträglich zu fixen. Gerade Core-i-2000- und -3000-Modelle sind ja noch weitverbreitet. Ansonsten wäre sowas ja die perfekte Möglichkeit, um eine geplante Obsoleszenz durchs Hintertürchen einzuschmuggeln.

Jetzt ist es auch an den Mainboard-Herstellern, Vertrauen von Kunden zu rechtfertigen. Ich werde mir jedenfalls keine Boards oder Notebooks mehr kaufen, wenn ich jetzt Hersteller sehe, die nicht zumindest bis zu der von Intel vorgegebenen Grenze UEFI-/BIOS-Updates herausgeben.

Ich gehe davon aus, dass man das per Windows-Update einspielen wird. BIOs updates erreichen viel zu wenige Nutzer und unter 10 kann man sicher Microcode-Updates einspielen.

 

[The_Zodiak]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Ich gehe davon aus, dass man das per Windows-Update einspielen wird. BIOs updates erreichen viel zu wenige Nutzer und unter 10 kann man sicher Microcode-Updates einspielen.

Das wurde ja auch schon zum großen Teil gemacht:

To get all available protections for your device(s) against the three vulnerabilities described in this advisory, you must install the security updates for Windows and apply microcode updates provided by your hardware OEM.

If your OEM does not provide a microcode update, or if you are unable to apply it, the Windows security updates released on January 3, 2018 alone address:

CVE-2017-5753 - Bounds check bypass
CVE-2017-5754 - Rogue data cache load
To address CVE-2017-5715 - Branch target injection, you must apply a microcode update in conjunction with the Windows security update. Any questions regarding microcode updates must be directed to your OEM. Systems without updated microcode remain vulnerable to information disclosure as described in ...

Quelle: https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

Spectre Variante 2 wird derzeit mit Windows Update und Firmware Update verhindert, nicht oder.

 

[Marcellus5000]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Das Windows Microcode Updates ab Windows 7 einspielen kann ist bekannt. Nur bin ich mir (nach den Erfahrungen mit dem VMwaretool und etwas googlen) gerade aktuell nicht mehr sicher, ob das bei Spectre etwas bringt.
Bei Linux lädt imo der Grub (Bootloader) die Microcodes vor dem OS Start/Kernel in die CPU. Ich bin mir nicht mehr sicher, ob Windows das überhaupt kann.

 

[HudsonTheReal]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Alle reden was von längeren Ladezeiten, Abstürzen und langsamen SSDs. Komisch..... ich merk davon nix....

 

[Nitroglow]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Das Windows Microcode Updates ab Windows 7 einspielen kann ist bekannt. Nur bin ich mir (nach den Erfahrungen mit dem VMwaretool und etwas googlen) gerade aktuell nicht mehr sicher, ob das bei Spectre etwas bringt.
Bei Linux lädt imo der Grub (Bootloader) die Microcodes vor dem OS Start/Kernel in die CPU. Ich bin mir nicht mehr sicher, ob Windows das überhaupt kann.

Ne Frage dazu ist das unabhängig vom Alter der CPU was Linux da macht? mit dem Mircocode? Dann wäre das so gesehen ein Lösung für +5Jahre CPU's von Intel

@orka113
Intel hat die große Schuld an dem ganzen mich hat nur aufgeregt eine Antwort zu bekommen "wonach" ich so gesehen nicht gefragt hatte war ne 08/15 Maschinellen Antwort ohne meine Frage zu beantworten.


*Edit*

Was müsste passieren damit man Spectre ausnutzen kann? Das geht doch nur wenn ein Schadenscode den Weg auf den PC findet.

 

[DARPA]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Hab gestern das Bios für mein Z170 Board gepatcht.

Mit Microcode C2 und Windows 10 Patch hat der 6700K ca. 4% weniger Leistung in Benchmarks. Als Ausgleich hab ich ihn einfach von 4.5 auf 4.7 GHz getaktet ^^

 

[Marcellus5000]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Ne Frage dazu ist das unabhängig vom Alter der CPU was Linux da macht? mit dem Mircocode? Dann wäre das so gesehen ein Lösung für +5Jahre CPU's von Intel

Linux kann nur machen was Intel bereitstellt. Im Kontext auch nichts anderes als Windows. Das Prinzip ist im Kontext Deiner Frage gleich. Und die kurze Antwort lautet: Nein ist keine Geheimwaffe für ältere CPU.

Lange Antwort:
Intel bringt immer nur eine große Microcode Datei raus =*.dat. Es ist quasi eine Sammlung. Es gibt ein Tool (mircocode.exe) , um die *.dat auszupacken (das brauchst Du für Mod Biose),
dann hast Du viele *.bin Dateien, jede für eine bestimmte CPU.
Wenn man das Microcode Gesammtarchiv runterlädt und auspackt, gibt es (neben der *.dat) eine Release Notes Datei.
In der steht, für welche CPU ein neuer Microcode vorhanden ist. Aktuell geht es nur bis Haswell runter. Mein Q9550 Schlafzimmer PC z.B. ist nicht gefixt.

Was müsste passieren damit man Spectre ausnutzen kann? Das geht doch nur wenn ein Schadenscode den Weg auf den PC findet.

Jeep. Z.B. mit dem Browser auf der falschen Webseite gesurft (in dem Fall z.B. Java Script) oder Datei lokal unter Windows/Linux ausgeführt.

 

[Tekkla]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Was müsste passieren damit man Spectre ausnutzen kann? Das geht doch nur wenn ein Schadenscode den Weg auf den PC findet.

Das ist eigentlich kein Schadcode, weil das bspw. dafür notwendige Javascript super simpel aufgebaut ist. Würde man das seitens eines Antivirenprogramms als unsicher einstufen, würde vermutlich Javascript komplett nicht mehr funktionieren.

Im Prinzip musst du dir den Umfang des Desasters so vorstellen: Jedes von dir aktiv genutzte Programm auf deinem PC kann als Ausgangspunkt für ein Erschleichen von Speicherinhalt sein. Sei es durch den Browser und das beschriebene Javascript oder auch via einer Mod für ein von dir heiß und innig gespieltes Spiel. Du als User hast keinen Einfluss darauf oder die Chance es zu kontrollieren. Du bekommst es nicht mal mit, wenn es passiert. Du kannst den Zugriff lediglich erschweren, in dem du alle Microcode-Updates und artig alle OS Patches installierst. Aber: Du kannst diese Lücke nicht schließen!

ca. 4% weniger Leistung in Benchmarks. Als Ausgleich hab ich ihn einfach von 4.5 auf 4.7 GHz getaktet ^^

Also bezahlst du mehr Geld für gleiche Leistung? Was Intel wohl sagt, wenn man denen einen Anteil an der Stromrechnung in Rechnung stellt?

 

[PCGH_Torsten]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Sehe ich genauso, habe selber auch ein 2600K System am Laufen und einfach nur sie neusten Systeme zu fixen, geht in solch einem Fall ( schwere Sicherheitslücke ) garnicht!

Wie Du schon erwähnt hast, nutzen die Hersteller das am Ende vielleicht noch aus, um die geplante Obsoleszenz voran zu treiben und Ihren Absatz zu steigern.


Was ich mich noch frage, was wird eigentlich bei den ganzen NAS Herstellern gemacht, da lese ich bis jetzt recht wenig drüber?
(z.B QNAP & Synology um mal zwei große in dem Bereich zu nennen, haben ja auch viele Intel CPU`s verbaut. )

Auf NAS läuft normalerweise nicht unkontrolliert Fremdcode, so dass die Sicherheit in Software garantiert werden könnte. Eine Behebung wäre trotzdem schön, aber diese vergleichsweise kleinen Hersteller können sich mit der Implementation etwas mehr Zeit lassen. Umgekehrt leiden sie möglicherweise besonders stark unter den Performanceproblemen.

 

[Nitroglow]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

okay habe 3intel systeme sockel 1366 i7920@4.2ghz 1 haswell und das 3intel system ist auch so vor haswell alle 3 sind 100% funktiostuehtig und was soll man jetzt? wegwerfen und intel bezahlt mir 1 x299 system zum zocken und zwei office systeme?

 

[Marcellus5000]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

und was soll man jetzt?

Abwarten, das Intel auf Grund des Drucks der Medien doch noch Microcodes für die älteren Systeme rausbringt und Microsoft diese dann via Windows Update verteilt. (In der Hoffnung, dass die so implementieren, dass der Microcode vor dem Kernel geladen wird).

 

[Tekkla]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

wegwerfen und intel bezahlt mir 1 x299 system zum zocken und zwei office systeme?

Intel wird dir da einen husten. Eigentlich heißt es erst einmal abwarten. Doch mit der Zeit wächst auch das Risiko für real existierende Exploits.

Ich halte es so für mich und rate es so auch den Kunden:
Wenn bis Ende Februar für die Altsysteme kein Update vorliegt, dann werde ich (vorausgesetzt die Ryzen APUs sind dann da) die betroffenen Systeme ohne diskreter GPU austauschen. Für Kundensystem mit potenteren Intel CPU gilt dann entweder weiter auf die neuen Ryzen ohne int. GPU warten oder aber ein moderneres Intels Ökoystem nehmen. Wobei mir letztere Option rein schon vom Verhalten Intels im Umgang mit dem Problem übel aufstößt und auch entsprechend von mir kommuniziert werden wird.

 

[DARPA]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Also bezahlst du mehr Geld für gleiche Leistung? Was Intel wohl sagt, wenn man denen einen Anteil an der Stromrechnung in Rechnung stellt?

LOL, danke für den Schmunzler

 

[Marcellus5000]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Ich habe den 23ger Microcode für meinen Haswell 4970K (Z87 Board) über die USB Stick Methode eingespielt. Losung fur Microcode-Updates auf alteren Win… | Forum - heise online

1.5 Stunden Battlefield 1 ohne Probleme.
SSD Performance (Samsung SSD 840 pro 256 GB:

vorher:

nachher:


MS Powershell Check:

vorher:

nachher:

 

[Gast201808102]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

SSD Performance (Samsung SSD 840 pro 256 GB:

vorher:
Anhang anzeigen 985786
nachher:
Anhang anzeigen 985787

erschreckend.

 

[Marcellus5000]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Bei diesen neuen PCIe SSD solls noch krasser sein. Bei Server Systemen und Storage Türmen bin ich mir jetzt nicht so sicher. Erst hieß es unter Linux ist die IO Performance besonderst betroffen, dann wieder das Gegenteil (Habe es aber aktuell nicht auf dem Schirm).
Aber (gerade kleinere) Server Anwendungen laufen ja auch auf Windows Servern und einige davon noch auf Blech (VMware ESX Server ist ja wieder Linux basiert).

 

[PCGH_Thilo]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Ich poste es hier auch noch mal.

Ganz frisch von Asus: "Stand heute: Unsere bisher veröffentlichten Intel-Updates sind nicht von dem Reboot-Problem betroffen.
Trotzdem arbeiten wir weiter an weiteren Updates, die dann bereits die neue Version des Microcode-Updates beinhalten wird."

Zu AMD gibt es keine Neuigkeiten, weder von AMD selbst, noch von den Partnern.

 

[Nitroglow]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

^^ so wie ausschaut ....... wird Intel neue CPU's raus bringen "Ohne" Meltown&Spectre in zwei Jahren und dann kaufen ich mir wieder <intel wenn AMD nichts dazu zu sagen hat.

Und mit dem Windows 10 Sicherheitsupdate Update wurde heimlich komplett der Hyper V Dienst beendet und jetzt bringt es noch nicht mal den Dienst neu zu starten um den zu Nutzen. Mein Sicherheitssoftware fehlt jetzt ein Wichtiges Feature

 

[Marcellus5000]

AW: Sicherheitslücke Spectre: BIOS-Updates von Asus verfügbar

Und mit dem Windows 10 Sicherheitsupdate Update wurde heimlich komplett der Hyper V Dienst beendet und jetzt bringt es noch nicht mal den Dienst neu zu starten um den zu Nutzen. Mein Sicherheitssoftware fehlt jetzt ein Wichtiges Feature

Welches meinst Du? KB405689? Das habe ich installiert. Mein HyperV funktioniert noch.