Andi07 schrieb:
Meinst Du mit Betriebssystem-Treiber den Kernel?
Nein.
Ein Microcode-Update bedeutet das die in der CPU enthaltene Software aktualisiert wird.
Eine CPU besteht nicht nur aus Hardware, sondern enthält auch Software, quasi die "Firmware".
In der CPU ist ein Befehlssatz (Microcode)
unveränderlich einprogrammiert.
Es gibt aber seit dem Intel Pentium Pro (von 1995) einen zusätzlichen Flash-Speicher in den CPUs, in den ein aktuellerer Befehlssatz geladen werden kann, der den fest eingespeicherten dann vollständig ersetzt.
Ein aktuellerer Befehlssatz
kann also während der Initialisierung der CPU in selbige geladen werden.
Er ersetzt temporär (solange der Rechner eingeschaltet ist) und flüchtig (die CPU "vergisst" das Update nach jedem Ausschalten) den ursprünglich bei der Fertigung einprogrammierten.
Nun kann man dieses Microcode-Update auf zwei verschiedene Arten einspielen. Entweder liegt es im BIOS vor und wird bei der Initialisierung des Rechners in die CPU geladen
oder es liegt im Betriebssystem (als eine Art "CPU-Treiber") vor und muss dann aber sehr früh im Boot-Prozess eingespielt werden.
Mit dem eigentlichen Betriebssystem hat das nichts zu tun.
Eine Liste mit Patches kenne ich nicht. Das heißt natürlich nicht das es keine gibt.
Erschwerend kommt hinzu das durch den Patch einer Lücke auch das Ausnutzen einer anderen Lücke zumindest erschwert werden könnte.
Da die meisten dieser Lücken lediglich Seitenkanalattacken zulassen, sind sie allgemein recht umständlich und nicht unmittelbar zielführend.
Natürlich kann man mit geeignetem Code z.B. die Sprungvorhersage so beeinflussen das sie z.B. einen bestimmten Speicherbereich liest,
aber welche Daten am Ende tatsächlich abgegriffen werden, ist mehr Glückspiel als zielgenau.
Andi07 schrieb:
Ist bzgl. der CPU-Hardware hier ein aktueller Microcode die aktuell bestmögliche Maßnahme gegen diese zig Lücken?
Ein aktueller Microcode, der bestimmte Patches enthält, ist nur eine Möglichkeit.
Auf Seiten des Betriebssystems, also des Kernels wenn du so willst, gibt es auch Möglichkeiten. Google z.B. mal nach "Retpoline" (gegen Spectre V2).
Allen diesen Software-Patches ist aber gemeinsam das man die Sicherheitslücken damit nicht vollständig schließen kann.
Dazu wäre eine Änderung/Anpassung der Hardware nötig. Denn dort sitzt ja letztlich das Problem.
Wenn du Einschlafprobleme hast, hier eine Liste mit bestätigten Sicherheitslücken:
https://cve.mitre.org/data/downloads/allitems.txt (Achtung, sehr groß, über 140.000 Einträge!)