Sicherheitslücke Spectre: BIOS-Updates von ASRock, Asus, MSI, Gigabyte & EVGA

Jan-Frederik Timm 270 Kommentare
Sicherheitslücke Spectre: BIOS-Updates von ASRock, Asus, MSI, Gigabyte & EVGA

Die Sicherheitslücke Meltdown, von der fast ausschließlich Intel betroffen ist, lässt sich per Update im Betriebssystem schließen. Für Spectre 2 bedarf es hingegen auch eines aktuellen Microcodes, der unter Windows nur per BIOS-Update eingespielt werden kann. Ein Überblick zu Updates von ASRock, Asus, Gigabyte und MSI.

BIOS-Updates von Asus

Asus hat bereits am 5. Januar, als die Sicherheitslücken Meltdown und Spectre vorab publik wurden, eine ausführliche Liste an Mainboards mit Intel-Chipsätzen veröffentlicht, die laut Hersteller auch weiterhin Bestand hat. Sie umfasst die Chipsätze Z370, Z270, Z170, X299, X99, B150, B250, H270, H170, H110, Q270 und Q170. Und in der Tat haben viele auch ältere Platinen bereits ein Update erhalten.

Plattformen für Intels Architekturen Broadwell (Core iX-5xxx) und Haswell (Core iX-4xxx) sind in Asus' Aufstellung vorerst nicht aufgeführt, auf Nachfrage teilte Asus der Redaktion aber mittlerweile mit, sich nach Abarbeitung dieser Liste auch „mit X79- und 9er-Serien-Chipsatz“ zu befassen – damit würden neben Haswell und Broadwell auch noch Sandy Bridge-E und Ivy Bridge-E einen Patch gegen Spectre 2 erhalten. Einen Zeitplan gibt es aber noch nicht, Details müssten erst noch mit Intel geklärt werden. Die öffentliche Liste soll hingegen bis „allerspätestens Ende Januar“ abgearbeitet worden sein. Zu BIOS-Updates mit neuem Microcode für CPUs von AMD hat sich Asus noch nicht geäußert.

BIOS-Updates von ASRock

Auch ASRock hat Platinen mit X299, Z370, Z270, Z170, B250 und H110 bereits mit neuen BIOS-Versionen versorgt. Welche Serien noch folgen werden, darüber gibt der Hersteller hingegen noch keine Auskunft. Das hänge schließlich von Intel ab, und der CPU-Hersteller habe bisher nur knapp betont, zuerst CPUs der letzten fünf Jahre patchen zu wollen. Ebenfalls am 12. Januar veröffentlichte Updates für ältere Platinen adressieren bei ASRock vorerst nur die Sicherheitslücke in Intels Management Engine.

BIOS-Updates von MSI

MSI hat bisher ausschließlich Updates für Z370-Platinen veröffentlicht, analog der von Asus gepflegten Liste aber auch Aktualisierungen für Z270, Z170, X299, X99, B150, B250, H270, H170, H110, Q270 und Q170 in Aussicht gestellt. Zu noch älteren Modellen äußerte sich der Hersteller auch auf Nachfrage bisher noch nicht. Dafür dürfte es bei AMD nicht mehr lange dauern.

BIOS-Updates bei Gigabyte

Weiter ist schon Gigabyte. Wie Asus bietet der Hersteller auch für viele ältere Platinen bereits Updates an und fasst den aktuellen Status übersichtlich zusammen. Im Vergleich zu Asus fehlt hier noch der X99-Chipsatz, und Aussagen zu älteren Plattformen gibt es auch auf direkte Nachfrage nicht.

BIOS-Updates bei EVGA

EVGA hat mittlerweile BIOS-Updates mit neuem Microcode gegen Spectre für alle Platinen mit den Chipsätzen X299, Z370, Z270, Z170 und X99 veröffentlicht. Die Download-Links finden sich im Forum des Herstellers (X299, Z370, Z270, Z170, X99). Informationen zu älteren Platinen liegen noch nicht vor. Eine entsprechende Anfrage von Besitzern hat der Hersteller bisher mit der Aussage, „bisher keine entsprechenden Ankündigungen gemacht zu haben“, vertröstet.

Verwirrung um die alten Plattformen

Auffällig ist, dass Asus als einziger Hersteller bereits BIOS-Updates für Plattformen für Haswell, Broadwell und Sandy Bridge-E in Aussicht gestellt hat, die anderen Hersteller hüllen sich hingegen noch in Schweigen oder verweisen auf Intel. Der Hersteller selber hat allerdings bereits am 8. Januar Microcode-Updates auch für ältere CPUs wie Haswell (HSW) und Broadwell (BDW) zur Verfügung gestellt, die Basis ist also gelegt. Die älteste bisher aktualisierte Plattform ist Ivytown („IVT“) a.k.a. Ivy-Bridge-EX. Nur nutzen können Privatanwender sie unter Windows nicht.

-- Updates upon 20171117 release --
IVT C0		(06-3e-04:ed) 428->42a „Ivytown“
SKL-U/Y D0	(06-4e-03:c0) ba->c2 „Skylake“
BDW-U/Y E/F	(06-3d-04:c0) 25->28 „Broadwell“
HSW-ULT Cx/Dx	(06-45-01:72) 20->21 „Haswell“
Crystalwell Cx	(06-46-01:32) 17->18 „Haswell“
BDW-H E/G	(06-47-01:22) 17->1b „Broadwell“
HSX-EX E0	(06-3f-04:80) 0f->10 „Haswell“
SKL-H/S R0	(06-5e-03:36) ba->c2 „Skylake“
HSW Cx/Dx	(06-3c-03:32) 22->23 „Haswell“
HSX C0		(06-3f-02:6f) 3a->3b „Haswell“
BDX-DE V0/V1	(06-56-02:10) 0f->14 „Broadwell“
BDX-DE V2	(06-56-03:10) 700000d->7000011 „Broadwell“
KBL-U/Y H0	(06-8e-09:c0) 62->80 „Kaby Lake“
KBL Y0 / CFL D0	(06-8e-0a:c0) 70->80 „Kaby Lake“
KBL-H/S B0	(06-9e-09:2a) 5e->80 „Kaby Lake“
CFL U0		(06-9e-0a:22) 70->80 „Coffee Lake“
CFL B0		(06-9e-0b:02) 72->80 „Coffee Lake“
SKX H0		(06-55-04:b7) 2000035->200003c „Skylake“
GLK B0		(06-7a-01:01) 1e->22 „Gemini Lake“

Denn unter Windows kann Microcode im Gegensatz zu Linux nicht ohne weiteres separat eingespielt werden. Ein entsprechender Treiber von VMware lädt den neuen Microcode erst nach dem Booten, der Spectre-Patch in Windows ist deshalb nicht aktiv. Und die Nutzung eines Bootloaders wie Grub, der den Microcode noch vor der Auswahl von Windows lädt, ist keine Lösung für den Massenmarkt. Es bedarf also BIOS-Updates, um auch ältere Plattformen gegen Spectre 2 abzusichern. Ob Microsoft zumindest für Windows 10 an einer Alternative arbeitet, auf diese Frage der Redaktion gab es auch nach einer Woche Wartezeit aus den USA noch keine Rückmeldung.

Wichtige Updates für ältere Prozessoren stehen damit aber grundsätzlich auch seitens Intel noch aus, denn die Sicherheitslücke existiert schon länger. In welchen CPUs sie das erste Mal anzutreffen war, dazu gibt es bis dato aber keine verlässliche Aussage von Intel.

Wichtig: Nach dem Update Status prüfen

Nicht nur weil viele BIOS-Updates uneindeutig beschriftet sind, sollten Anwender nach dem Update unbedingt prüfen, ob das System auch wirklich den Patch gegen Spectre 2 erhalten hat. Damit der aktiv ist, bedarf es in jedem Fall auch eines Updates des Betriebssystems. Geprüft werden kann der aktuelle Status beispielsweise mit dem Freeware-Tool inSpectre.

Wie Windows-Nutzer mit Bordmitteln überprüfen können, ob erste Maßnahmen zum Schutz vor Meltdown („Variant 3“) und Spectre („Variant 2“) auf dem eigenen Windows-System angekommen sind, beschreibt Microsoft in einem Artikel auf der Support-Website. Man öffnet die PowerShell (unbedingt per Rechtsklick → „Als Administrator ausführen“) und installiert dort mittels PS > Install-Module SpeculationControl das von Microsoft bereitgestellte PowerShell-Script. Anschließend kann dieses PowerShell-Script mittels PS > Get-SpeculationControlSettings ausgeführt werden.

Falls die Installation oder das Ausführen des im vorigen Update erwähnten PowerShell-Scripts Probleme bereiten, dann sollten Windows-Nutzer darauf achten, die PowerShell als Administrator auszuführen (Rechtsklick → „Als Administrator ausführen“). Falls das noch nicht den gewünschten Erfolg bringt, kann der folgende PowerShell-Befehl helfen: PS > Set-ExecutionPolicy -ExecutionPolicy RemoteSigned. Generell muss PowerShell mindestens in Version 3.0 installiert sein.

PowerShell-Script „SpeculationControl“ auf einer Intel-CPU mit Windows-Update aber ohne Microcode-Update
PowerShell-Script „SpeculationControl“ auf einer Intel-CPU mit Windows-Update aber ohne Microcode-Update

Das PowerShell-Script gibt Informationen zu zwei der drei Probleme aus, nämlich zuerst zu Spectre „Variant 2“ aka „CVE-2017-5715 [branch target injection]“ und dann zu Meltdown „Variant 3“ aka „CVE-2017-5754 [rogue data cache load]“ (in dieser Reihenfolge). Nach Installation der Windows-Updates sollte das Script bei Meltdown „Variant 3“ grünes Licht geben. Falls man per BIOS oder Firmware-Update auch schon neuen Microcode für die CPU erhalten hat, dann sollte das Tool auch bei Spectre „Variant 2“ grünes Licht geben. Zu Spectre „Variant 1“ kann das Tool keine Aussage treffen, weil dieses Problem in jeder betroffenen Anwendung einzeln angegangen werden muss. Auf AMD-CPUs gibt das Tool „Hardware requires kernel VA shadowing: False“ aus, das heißt dort ist die Meltdown-Gegenmaßnahme nicht erforderlich und auch nicht aktiv.

Die Meldung wird kontinuierlich um neue Erkenntnisse zu BIOS-Updates ergänzt. Signifikante Anpassungen werden als Update gekennzeichnet und erneut auf die Startseite geholt.

Update 17.01.2018 09:26 Uhr

Die Meldung wurde um Informationen zu Updates von EVGA ergänzt. Zu Mainboards von Biostar liegen aktuell weder Informationen vor, noch stehen nach Recherchen der Redaktion neue BIOS-Versionen zum Download bereit.

Update 22.01.2018 09:37 Uhr

Die Meldung wurde auf den aktuellen Stand gebracht: Insbesondere bei ASRock sind mit Platinen mit Z170- und H110-Chipsatz inzwischen viele weitere Modelle mit einem BIOS-Update versorgt worden. Nur bei MSI stehen auch weiterhin ausschließlich Update für Z370-Mainboards zur Verfügung. Darüber hinaus wurde ein Link zum Download des Freeware-Tools inSpectre hinzugefügt, mit dem sich der Sicherheitsstatus des eigenen PCs einfach überprüfen lässt.

Downloads

  • inSpectre Download

    3,7 Sterne

    Der inSpectre prüft Windows-PCs auf die CPU-Sicherheitslücken Spectre und Meltdown.

    • Version #6b