Intel Management Engine - Kritische Sicherheitslücke (Intel-SA-00086)

PuppetMaster

Admiral
Registriert
Sep. 2001
Beiträge
8.234
Hallo!

Ist es seitens XMG/Schenker geplant, das von Intel erstellte Sicherheitsupdate für die Management Engine an die Bestandskunden weiterzureichen?

Ich prüfe schon seit Wochen, ob für das XMG P505 ein Update vorliegt, aber außer altem Schrott (BIOS- und Treiberupdates mit Stand 2015) kann ich leider nichts finden.

Intel selbst schreibt dazu:
Intel schrieb:
Intel has provided system and motherboard manufacturers with the necessary firmware and software updates to resolve the vulnerabilities identified in Security Advisory Intel-SA-00086.

Contact your system or motherboard manufacturer regarding their plans for making the updates available to end users.

Betroffene Lenovo-Notebooks, die ich betreue, haben dieses Update bereits erhalten. Bei XMG/Schenker, die ich bisher eher als Qualitätshersteller wahrgenommen habe, gibts bislang nur tote Hose. Schade!
 
Hallo PuppetMaster,

ich zitiere mal die Antwort eines Kollegen zum Thema:

"Wir haben das Intel Security Advisory “Intel SA-00086” zur Kenntnis genommen und planen für betroffene Geräte derzeit BIOS-Updates, mit welchen die Lücke geschlossen wird.

Darüberhinaus wurde von einem Mitglied aus der Community (PremaMod) inzwischen ein Windows-Tool veröffentlicht, welches die ME-Firmware direkt aktualisiert ohne dass ein komplettes BIOS-Update nötig ist.
Nach erfolgreichen, internen Tests haben wir beschlossen, das Tool auf unserer Website selbst zu hosten: https://www.mysn.de/driver/5_Sonstiges/Tools/ME_11_TOOL.zip

Das Tool prüft selbstständig, ob die Vorrausetzungen für ein Update der ME-Firmware vorliegen. Falls diese nicht vorliegen, werden keine Änderung durchgeführt.
Weitere Hinweise sind der beigefügten README.TXT zu entnehmen."



Falls du weitere Fragen hast stheen wir dir natürlich zur Verfügung.

Grüße,
XMG|Thomas
 
@mysn ich wollte die Frage auch schon stellen danke für den Link hat bei meinem B516 geklappt. Aber andere Frage funktioniert das auch bei anderen Boards oder ausschließlich bei Clevo Geräten?
 
xxxx schrieb:
@mysn ich wollte die Frage auch schon stellen danke für den Link hat bei meinem B516 geklappt. Aber andere Frage funktioniert das auch bei anderen Boards oder ausschließlich bei Clevo Geräten?

Moin xxxx,

haben wir nicht probiert, wenn das Gerät aber nicht unterstützt wird, bricht es mit einer Fehlermeldung ab, es flasht also nicht blind drauf los.

Alternativ haben wir auch die offiziellen Clevo Update Tools.
Wichtig, diese nur für die entsprechend richtige CPU verwenden, auch nur auf Clevo Geräten.

https://www.mysn.de/driver/5_Sonstiges/Tools/
14.12.2017 KBL_SKL_H_S_ME_Update
14.12.2017 KBL_SKL_ULV_ME_Update

XMG|Alexander
 
@mysn wie sieht den das jetzt mit den Meltdown und Spectre Lücken aus ist da wenigstens ein Bios Update mit dem Mikrocode Update von Intel zu erwarten?
 
Die Sicherheitslücken MELTDOWN und SPECTRE werden gemeinsam von Intel und Microsoft per Windows Update behoben. Dies umfasst sowohl Gegenmaßnahmen im Windows-Kernel selbst, als auch Microcode-Updates für Intel-Prozessoren. Ein Microcode-Update per Firmware-Update (BIOS-Update) ist zwar ebenfalls möglich, bietet aber für Windows-Anwender keinen zusätzlichen Schutz gegenüber der Verteilung per Windows Update.

Laut unseren Informationen von Intel wurden Microcode-Updates für sämtliche von uns in den letzten 4 Jahren produzierten PCs und Laptops im Dezember 2017 und in der ersten Januar-Woche 2018 per Windows Update verteilt. Ältere Plattformen wie Sandy Bridge (produziert in 2011) und Nehalem (2010) werden in den folgenen Januar-Wochen aktualisiert.

Wer noch keine Windows Updates erhalten hat, kann manuell nach neuen Updates suchen. Suchen Sie hierzu nach „Windows Updates“ im Startmenü und klicken Sie auf die Schaltfläche „Nach Updates suchen“.
 
Soll das jetzt heißen das Schenker sich jetzt aus der Affäre zieht in dem es auf die von Microsoft verteilten Microcode Updates verweist?
Mein Laptop ist noch nicht ganz 2 Jahre alt und ich sehe echt nicht ein warum da kein Bios Update dafür bereit gestellt werden soll, den selbst wenn die Lücken von Microsoft per Microcode Update geschlossen werden bleibt das Gerät während des Bootvorgangs anfällig und das ist für mich bei so einem recht neuen Notebook schlicht und einfach inakzeptabel.
 
Guten Morgen xxxx,

vielen Dank für Deinen Kommentar. Natürlich halten wir bereits Rücksprache mit dem Grundgerätehersteller. Dein Vorwurf ist also nicht gerechtfertigt. Bedenke bitte auch, dass es sich um die größte Sicherheitslücke der letzten Jahre handelt. Intel CPUs bis 1995 sind betroffen, Microsoft und Amazon starten bis zum 18.01.2018 ihre Cloud Server neu um zu patchen. Das Problem betrifft alle. Alle schwitzen und arbeiten an einer Lösung, auch wir. Du darfst Deinen Unmut gern auch an Intel richten, die uns den Bug eingebrockt haben.

Beste Grüße

XMG|Daniel
 
Ist die Aussage von Clevo nicht, dass die Reseller das fixen müssen? Die Frage ist ja nun, arbeitet ihr selber an einer Lösung/neuem Bios?

Außerdem hattet ihr ja auch nicht Clevo Barebones im Angebot. Mein P711 ist von MSI und würde sich auch über ein Update freuen :)

Dell hat ja schon einiges abgedeckt, soweit ich mitbekommen hab.
 
Zuletzt bearbeitet:
  • Gefällt mir
Reaktionen: arvan
Hi hallo7,

die BIOS-Entwicklung liegt immer in den Händen der ODM, also bei Clevo, MSI, Quanta und wie sie alle heißen. Weder wir, noch andere Reseller können selbst BIOS anpassen. Auch bei unseren individuellen BIOS-Versionen stammen lediglich die Vorgaben von uns, das "Endprodukt" wurde aber vom jeweiligen ODM nach unseren Vorgaben erstellt.

Das XMG P711 ist vergleichbar mit dem MSI GT70, wofür MSI noch nicht einmal selbst ein BIOS veröffentlicht hat. Somit müssen wir auch hier auf MSI warten.

Grüße,
XMG|Thomas
 
@mysn warum könnt ihr die Biose nicht selber anpassen? Liegt es an den Vertragsbedingungen der Zulieferer oder fehlt euch das entsprechende Personal? Zumal die fertigen Biose liegen ja schon fertig vor es muss ja eigentlich nur der Microcode Teil aktualisiert werden.

//edit/ Übrigens das Microcode Update über Windows Update funktioniert nicht entweder hat Microsoft es noch nicht ausgerollt oder es gibt da ein generelles Problem erst ein Versuch nach dieser Anleitung brachte ein Erfolg https://www.youtube.com/watch?v=nEYqw5tvZHs jetzt meint specucheck das hier: Image1a.jpg

//edit/ Links zu dem Video:
https://labs.vmware.com/flings/vmware-cpu-microcode-update-driver
https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File
http://cdn-fastly.deb.debian.org/debian/pool/non-free/a/amd64-microcode/

Immer nur die neuste Datei nehmen bei den Microcodes

Anzumerken wäre da noch das die install.bat nicht alle AMD Microcodes erfasst die 2 zusätzlichen bin Dateien müssen im Abschnitt für die Microcode Dateien in der install.bat mit eingetragen werden aber nach jetzigen Stand liegt da bei Ryzen sowieso kein Update für Spectre vor.
 
Zuletzt bearbeitet:
Das bringt nix...

ComputerBase schrieb:
Neuer Microcode per Treiber ist keine Lösung

Kreative ComputerBase-Leser sind auf die Idee gekommen, in Ermangelung eines vom Mainboard- bzw. Notebook-Hersteller bereitgestellten BIOS- bzw. Firmware-Update die Angelegenheit selbst in die Hand zu nehmen und den neuen Microcode mit dem VMware CPU Microcode Update Driver einzuspielen. Intel bietet aktuellen Microcode seit Dienstag zum Download an. Das VMware-Tool installiert den Microcode allerdings nicht dauerhaft, sondern lädt ihn bei jedem Betriebssystemstart. Und das passiert im Test von ComputerBase zu spät: Windows hat den Microcode schon vorher angeschaut und für zu alt befunden und lässt die Maßnahmen gegen Spectre „Variant 2“ somit deaktiviert.
[...]

https://www.computerbase.de/2018-01/intel-cpu-pti-sicherheitsluecke/#update14
 
@PuppetMaster soweit ich weiß wird die eine Spectre Lücke direkt mit dem Microcode Update gefixt und Windows hat nichts damit zu tun. Schau mal das gibt specucheck ohne das Update des Microcodes per Treiber aus Image1b.jpg
 
Hallo! Ich habe eine Frage zu intel-sa-00086.

Ich habe ein Notebook von Schenker Modell XIRIOS B502 BUSINESS ohne Betriebssystem gekauft. Installiert hatte ich immer linux. Derzeit habe ich debian 9.7 (4.9.0-8-amd64) drauf.

Ich habe mir das Intel-SA-00086 Erkennungstool zur Diagnose heruntergeladen. Es zeigt an:

Code:
INTEL-SA-00086 Detection Tool
Copyright(C) 2017-2018, Intel Corporation, All rights reserved.

Application Version: 1.2.7.0
Scan date: 2019-02-03 08:02:28 GMT

*** Host Computer Information ***
Name: debian
Manufacturer: CLEVO CO.
Model: W55xEU
Processor Name: Intel(R) Core(TM) i5-3210M CPU @ 2.50GHz
OS Version: debian 9.7  (4.9.0-8-amd64)

*** Intel(R) ME Information ***
Engine: Intel(R) Management Engine
Version: 8.1.0.1265
SVN: 0

*** Risk Assessment ***
Based on the analysis performed by this tool: This system is vulnerable.
Explanation:
The detected version of the Intel(R) Management Engine firmware
  is considered vulnerable for INTEL-SA-00086.

  Contact your system manufacturer for support and remediation of this system.

For more information refer to the INTEL-SA-00086 Detection Tool Guide or the
  Intel Security Advisory Intel-SA-00086 at the following link:
  https://www.intel.com/sa-00086-support

Das Tool ME-Update-Tool funktioniert leider nur unter Windows, welches ich nicht installiert habe.

Bei den Tools KBL_SKL_H_S_ME_Update.zip und KBL_SKL_ULV_ME_Update.zip wird angezeigt, dass es nicht die richtige Version ist für den CPU.

Gibt es für mein o.g. Notebook unter linux doch noch eine Möglichkeit, wie ich die Intel ME aktualisieren kann?
 
Zurück
Oben