Windows 10: Neuer Intel-Microcode gegen Spectre V3a, V4 & L1TF

Microsoft hat damit begonnen, Intels neuen Microcode mit Gegenmaßnahmen für die Sicherheitslücken Spectre V3a, Spectre V4 und L1TF über Windows Update zu verteilen. Den Anfang macht ein Patch für die aktuellste Version von Windows 10, Version 1809 Oktober 2018 Update, sowie Windows Server 2019.

Patch für Broadwell-E bis Coffee Lake-S

Der Patch mit der Kennung KB4465065 adressiert vorerst nur CPUs auf Basis von Skylake (-Y, -U, -H, -S, -D, -SP), Kaby Lake (-Y, -U), Coffee Lake (-H, -S) und Broadwell (-E, -EP, -EX). Auch für andere Versionen von Windows 10 oder ältere Generationen von Windows ist das Update noch nicht verfügbar.

Nach der Installation sind Gegenmaßnahmen für die Sicherheitslücken Spectre V3a und L1TF automatisch aktiv, die gegen Spectre V4 hingegen nicht – hier müssen Anwender per manuellem Eingriff in die Registry aktiv werden, um auch diesen Schutz zu aktivieren. Anlass für diese Entscheidung dürfte der zu erwartende Leistungsverlust sein: Zwei bis acht Prozent weniger Performance in SYSmark 2014 SE und dem Integer-Test von SPEC nennt Intel.

Neuer Microcode via Windows Update statt BIOS

In Folge der gravierenden Sicherheitslücken in CPUs hatte Microsoft erstmals im April Updates mit neuem Microcode gegen die Sicherheitslücke Spectre V2 für Windows 10 verteilt. Auch Inhaber von Mainboards, für die die Hersteller bisher kein BIOS-Update mit neuem Microcode zur Verfügung gestellt hatten, waren so in der Lage ihr System abzusichern. Zuvor unternommene manuelle Versuche, den von Intel bereits veröffentlichten neuen Microcode manuell in Windows 10 einzuspielen, waren hingegen fehlgeschlagen.

Details zu Spectre V3a, V4 und L1TF

Spectre Variante 3a als neue Version von „Meltdown“ (Variante 3) wurde unabhängig von Googles Project Zero und Microsoft Security Response Center entdeckt und im Mai von ARM im Detail öffentlich gemacht (Whitepaper als PDF). Betroffen sind ARM-Kerne der Typen Cortex-A15, -A57 und -A72, wobei ARM die Gefahr, dass Angreifer sich die Lücke zu nutzen machen, als so gering einstuft, dass Gegenmaßnahmen derzeit als nicht notwendig erachtet werden. Dieser Einschätzung schließt sich Intel an, liefert aber trotzdem neuen Microcode. Wie bei Meltdown sind von diesem Hersteller alle CPU-Architekturen von Intel seit der 1. Generation Core betroffen. AMD ist bei diesem Problem erneut außen vor.

Spectre Variante 4 (Whitepaper) hat wiederum abermals Googles Project Zero entdeckt. Wie Spectre Variante 1 lässt sich auch diese Sicherheitslücke über Anpassungen in Anwendungen stopfen, wobei die bereits vorgenommenen Maßnahmen für Spectre V1 auch Spectre V4 zugutekommen. Um zu verhindern, dass die Lücke aber auch über andere Wege ausgenutzt wird, haben sich Intel und Partner allerdings dazu entschlossen, auch den CPU-Microcode erneut anzupassen. Er enthält auch Gegenmaßnahmen gegen Variante 3a, die keine Leistung kosten. Variante 4 betrifft AMD, ARM, IBM und Intel.

L1 Terminal Fault (L1TF) umfasst wiederum drei Sicherheitslücken, die insbesondere für Virtuelle Maschinen und damit Cloud-Dienste ein hohes Risiko darstellen, weil sie es Angreifern ermöglichen die eigene Instanz zu verlassen und auf Daten einer anderen virtuellen Maschine zuzugreifen.