Sicherheitslücke Spectre: BIOS-Updates von Acer über Apple, Dell, HP bis Lenovo

Jan-Frederik Timm 100 Kommentare
Sicherheitslücke Spectre: BIOS-Updates von Acer über Apple, Dell, HP bis Lenovo

Um Desktop-PCs, Notebooks, 2-in-1 oder Server unter Windows gegen die Sicherheitslücke Spectre 2 abzusichern, müssen auch OEMs neuen CPU-Microcode von Intel als BIOS- oder Firmware-Update bereitstellen. ComputerBase gibt einen Überblick zum Stand bei Herstellern wie Apple, Dell, HP oder Lenovo. Aktuell warten alle auf Intel.

Neuer Microcode verzögert sich

Grundsätzlich haben die Hersteller auf denselben aktualisierten Microcode von Intel Zugriff wie die Hersteller von Desktop-Mainboards, aber alle zusammen stehen Mitte Februar vor einem Problem: Intel hatte die ersten neuen Microcodes für die Plattformen Coffee Lake, Kaby Lake (Refresh), Skylake, Haswell, Broadwell und deren Derivate sowie Gemini Lake und Ivy-Bridge-EX im Januar zurückgezogen und OEMs gebeten, deren Verteilung einzustellen. Hintergrund waren Stabilitätsprobleme, wie der Konzern nach ersten Problemberichten bestätigen musste. Gegenüber der ersten Version um den Fehler bereinigten Code gibt es bisher aber nur für Skylake. Darüber hinaus werden mittlerweile viele SoCs, darunter Apollo Lake, Moorefield, Cherry Trail, Braswell aber auch Gemini Lake sowie Knights Mill und Knights Landing (Xeon Phi) mit neuem Microcode versorgt.

Updates bis zurück zu Intels ersten 45-nm-CPUs

Mit der aktuellen Microcode Revision Guidance (PDF) hat Intel allerdings erstmals bestätigt, dass es Updates bis zurück zu den ersten 45-nm-CPUs geben wird. Das älteste Modell, der Intel Core 2 Extreme QX9650 (Test) auf Basis von Penryn, stammt aus dem Jahr 2007. Bisher hatte der Hersteller immer nur angedeutet, dass es auch Updates für CPUs vor Haswell geben wird, das neue Dokument nennt Updates für Ivy Bridge, Sandy Bridge, Penryn, Wolfdale und Yorkfield jetzt eindeutig – wenn auch noch keine Daten. Fraglich bleibt auch, welcher Hersteller für diese Plattformen überhaupt noch Updates mit dem neuen Microcode anbieten wird. Anders lässt sich der neue Microcode unter Windows aber nicht einspielen.

Nachdem Hersteller wie HP, Dell oder Lenovo nach der Freigabe der ersten Generation neuer Microcodes schnell viele Updates bereitgestellt und Termine für die restlichen Produkte genannt hatten, haben Intels Rückruf und die zögerliche Freigabe neuen Codes dieses Bild mittlerweile gravierend geändert. Viele große OEMs haben alle Updates zurückgezogen, nicht jeder bietet schon den neuen Microcode für Skylake an.

Nicht alle Hersteller sind dem Ruf von Intel allerdings gefolgt. Asus zum Beispiel bietet weiterhin alle ersten Updates für die Chipsätze Z370, Z270, Z170, X299, X99, B150, B250, H270, H170, H110, Q270 und Q170 mit altem Microcode an, weil der Hersteller nach eigenen Angaben von den potentiellen Stabilitätsproblemen mit dem neuen Microcode nicht betroffen sei. Dasselbe gilt offensichtlich für Gigabyte, denn auch dort gibt es noch die alten Updates, neue hingegen auch für die Skylake-Platinen noch nicht. Und MSI hat weiterhin unverändert die Z370-Updates online. Nur ASRock hat die ersten Updates wieder offline genommen und bisher nur für den H110-Chipsatz (Skylake) neue BIOS-Updates bereitgestellt.

Alle BIOS- und Firmware-Updates im Überblick

Die nachfolgende Tabelle enthält die verfügbaren Übersichtsseiten relevanter Hersteller und wesentliche Hinweise zum aktuellen Stand in Stichpunkten. Weitere Hersteller sind angefragt, darunter auch weitere kleine Anbieter von Notebooks auf Basis der Produkte von ODMs wie Clevo, MSI oder Quantas. Keine klare Linie gibt es darin, was die Hersteller auf ihren Übersichtsseiten zeigen: Einige listen alle betroffenen Produkte, andere nur die, für die bisher ein Update geplant worden ist.

Der aktuelle Stand zur Patches gegen Spectre 2
OEM Hinweise
Acer Aktuell keine Updates verfügbar
Apple Bisher keine konkrete Aussage zur Spectre-2-Gegenmaßnahmen
ASRock (Mainboards) Erster neuer Microcode für H110 (Skylake)
Asus (Mainboards) Alter Microcode für viele Chipsätze
Asus (Notebooks, AiOs) Aktuell keine Updates verfügbar
Dell (Endanwender) Neuer Microcode für Skylake-Systeme
Dell (Server) Neuer Microcode für Xeon Phi
EVGA (Mainboards) Aktuell keine Updates verfügbar
Fujitsu (PDF) Aktuell keine Updates verfügbar
Gigabyte (Mainboards) Alter Microcode für viele Chipsätze
HP Neuer Microcode für Skylake-Systeme
IBM Updates für Power7, -7+, -8 und -9, keine weiteren geplant
Intel (Endanwender) Neuer Microcode für erste Skylake-NUC
Intel (Server) Aktuell keine Updates verfügbar
Lenovo Neuer Microcode für Skylake-Systeme
Medion Aktuell keine Updates verfügbar
Microsoft Updates für Surface ab Pro 3 mit altem Microcode
MSI (Mainboards) Updates mit altem Microcode für Z370
MSI (Notebooks) Aktuell keine Updates verfügbar
MYSN Abhängig vom ODM (Clevo, Quantas, MSI)
Super Micro Aktuell keine Updates verfügbar
Toshiba Aktuell keine Updates verfügbar
Zotac (Zbox) Aktuell keine Updates verfügbar

Wie die Updates eingespielt werden können, hängt vom Anbieter und dem System ab. Microsoft verteilt neue Firmware für Surface beispielsweise über Windows Update, andere Hersteller bieten dedizierte Tools.

OEMs beziehen sich alle auf Spectre 2

Alle Angaben in der Tabelle beziehen sich auf Spectre 2 (CVE-2017-5715 [Branch Target Injection]). Diese Lücke benötigt neben einem Patch im Betriebssystem auch zwingend neuen Microcode von Intel. AMD wiederum spricht aktuell nur von optionalen Updates, weil das Risiko, Spectre 2 auf CPUs des Herstellers auszunutzen, „gegen Null geht“. Sofern Microsoft bei der aktuell in Windows umgesetzten Gegenmaßnahme bleibt, benötigen aber auch AMD-CPUs ein Microcode-Update, um das Restrisiko auszuschließen.

Spectre 1 (CVE-2017-5753 [Bounds Check Bypass]) muss hingegen in Anwendungen (insbesondere Browsern) abgesichert werden. Meltdown (CVE-2017-5754 [Rogue Data Cache Load]) auf Intel-CPUs kann hingegen allein durch ein Update im Betriebssystem behoben werden.

Update 19.01.2018 13:36 Uhr

Der Artikel wurde um Informationen zum Stand bei Notebooks von MSI, Zbox von Zotac und Intels Bestätigung, dass aktuelle Updates unter Umständen vermehrt zu Reboots führen können, ergänzt. Außerdem wurde die Übersicht zu BIOS-Updates von ASRock, Asus, MSI, Gigabyte & EVGA integriert, um in diesem Artikel beide Produktkategorien zu vereinen.

Update 14.02.2018 13:20 Uhr

Die Übersicht wurde auf den aktuellen Stand gebracht, der seit Ende Januar von Intels Rückruf der ersten neuen Microcodes geprägt ist. Viele OEMs bieten seitdem gar keine BIOS-Updates mehr an, nur Dell, HP und Lenovo verteilen bereits neue Updates mit dem fehlerbereinigten finalen Microcode für Skylake. Die Hersteller von Mainboards für Endkunden haben mit Ausnahme von ASRock Intels Rückruf hingegen geschlossen ignoriert, hier stehen weiterhin die Updates mit dem ersten und offiziell instabilen Microcode zum Download bereit.

Insgesamt ist das Bild aber eindeutig: Von einer raschen Verteilung des neuen Microcodes kann keine Rede sein. Neuen Code ohne Probleme bereitzustellen ist offensichtlich schwerer als anfangs gedacht, oder Intel und die OEMs gehen mittlerweile absolut kein Risiko mehr ein, um einen neuen Rückruf zu vermeiden.

Ob Hersteller den von Intel in Aussicht gestellten neuen Microcode für Prozessoren bis zurück zur Penryn-Achitektur aus dem Jahr 2007 auch tatsächlich anbieten werden, bleibt indes abzuwarten. Zumindest für Systeme mit Sandy-Bridge hatten erste Hersteller Updates schon vor Wochen in Aussicht gestellt – und damals war nicht einmal final bestätigt, dass Intel hier an einer Lösung arbeitet. In jedem Fall würden die Updates auf den älteren Plattformen aber überdurchschnittlich viel Leistung kosten.

Downloads

  • inSpectre Download

    3,7 Sterne

    Der inSpectre prüft Windows-PCs auf die CPU-Sicherheitslücken Spectre und Meltdown.

    • Version #6b