Sandy Bridge Spectre Update: Handlung notwendig?

[IceTe]

Bin verwirrt bezüglich der Spectre/Meltdown Lücken. Habe einen Sandy Bridge Prozessor (i5-2500) und betreibe Win 10.

SOllte ich hier jetzt aktiv werden zum Patchen und wie würde ich das machen?

Auf der Intel Seite habe ich nur ein Mikrocode Update für Linux gefunden: https://downloadcenter.intel.com/de/download/27776/?product=52209

Dank im Voraus!

 

[inge70]

Wenn du selbst dein Bios patchen KANNST und den richtigen Microcode für deine CPU aus der Microcode.dat heraus findest, kannst es ja selbst machen. (gibt einige Anleitungen im Netz dazu und auch hier im Forum gab es den einen oder anderen, der es selbst machte)

Aber die Vorgehensweise wie bei Linux, wo man den Code entsprechend einbinden kann, funktioniert bei Windows nicht.

Microsoft hat noch kein Update des Microcode für Sandy oder Ivy-Bridge heraus gegeben. Lediglich für jüngere CPU's und hier auch nur bis Windows 10 Build 1709. Für das aktuelle April Update 1803 gibt es da noch nichts.

Ob du es als NOTWENDIG erachtest, kannst aber nur Du entscheiden. Ich selbst hab noch einen Laptop mit Ivy-Bridge und da fehlt auch der Schutz derzeit. Hab das damals versucht wie unter Linux das einzubinden, aber funktionierte nicht. Bios selbst patchen ist mir persönlich zu riskant, denn wenn das Bios einmal hin ist, wird es schwer es wieder gerade zu bügeln, da viele ältere Systeme kein Crash vor Free Bios oder sowas haben.

 

[Mega-Bryte]

Bevor einer auf deinem PC versucht, sich mittels dieser Lücken deiner Daten zu bemächtigen, finden die noch ganz andere Lücken. Daher ist außer im Servereinsatz oder im Produktiven Bereich kaum mit Attacken aus dieser Richtung zu rechnen, zumindest hat das in ner Internetpräsenz so gestanden.

 

[Trefoil80]

Du kannst Deinen Rechner mit einem Tool von VMWare (CPU Microcode Update Driver) unter Windows absichern.

https://labs.vmware.com/flings/vmware-cpu-microcode-update-driver

Genau die Anweisungen beachten (unter anderem die aktuelle microcode.dat von Intel einbinden).
Damit wird bei jedem Start von Windows der neue Microcode nachgeladen.

Kannst Du vorher und nachher gern mit InSpectre testen. Nach der Installation mit Admin-Rechten muss der Rechner neu gestartet werden.

 

[inge70]

@ Trefoil80,

läuft das bei Dir damit?

Bei mir funktionierte es nicht. Windows hat beim Boot immer den "alten" Microcode aktiviert. Somit war die Aktualisierung laut Ereignis-protokoll zwar als erfolgt verbucht (durch das VMWare-Tool) aber nicht aktiv. Zudem muss der neuere Microcode bei JEDEM Systemstart neu geladen werden (was das VMWare-Tool ja sicherstellen soll). Windows ist aber zu fix.

Zitat aus dem Comments deines Links:

Laut anderen Kommentaren wird der Treiber nicht früh genug geladen, damit Windows erkennt, dass die Mitigation für den Spectre-Variante-2-CPU-Fehler verfügbar ist.

Daher wird das so nicht zweifelsfrei funktionieren. Daher brachte ja MS schon ein Update, das aber noch nicht alle CPU's bis Sandy beinhaltete.

 

[valnar77]

So sieht's aus @ Mega-Bryte.

Spectre V1 mit der Side-Channel-Attack konnte und wurde nur Softwareseitig (überwiegend in Browsern) "behoben". Dort konnte man sich über eine manipulierte Website was einfangen.
Die anderen Lücken sind für den heimgebrauch nicht zwingend als kritisch anzusehen. Dies betrifft eher Cloud- und Virtualisierungsanbieter.

 

[Grimba]

@Mega-Bryte: Wenn man sich vorstellt, dass da eine Person sitzt, die das versucht, ja vielleicht. Aber i.d.R. ist es eher so, dass man entweder auf manipulierte gelangt (auf welchem Weg auch immer, da gibt's mehr als man denkt ohne viel eigenes Zutun), oder das gar keine Personen sind, sondern Skripte, die das Netz nach manipulierbaren Rechnern absuchen. Und wenn es nicht um deine Daten geht, dann vielleicht darum, dass dein Rechner Teil eines Botnetzwerkes werden kann. Daher, im Zweifelsfall IMMER dichtmachen was geht, sofern der Rechner im Netz hängt. Eventualitäten helfen dir im konkreten Zweifelsfall halt nichts.

@TE: Der Meltdown Patch kam per Windows Update, wenn du die regelmäßig anwendest. Bei Spectre gibt es Microcode Updates von Intel. Diese können auf 2 Weisen eingespielt werden: 1. Über ein BIOS Update deines Mainboardherstellers und 2. über ein Update des Betriebsystems.
Im Linuxfall kann man das händisch machen, daher auch der Download, den du gefunden hast. Im Windowsfall machst du das nicht selbst, sondern, wenn nicht per BIOS, dann per Windows-Update. Da ist aber Sandybridge noch nicht dabei. Ggf. kommt das noch, siehe hier https://support.microsoft.com/de-de/help/4090007/intel-microcode-updates

edit: Sorry, vielleicht verwirrend ausgedrückt: Das genannte Windows Update müsstest du trotzdem selbst herunterladen und installieren, sobald Sandybridge unterstützt wird. Das wird noch nicht automatisch verteilt.

 

[Trefoil80]

@inge

Bei mir unter 8.1 und deaktiviertem Fastboot (muss ich machen wg. Dualboot mit Linux) funktioniert es wunderbar.
Am besten kurze Verzeichnisnamen nehmen (z.B. c:\ucode) und die Batchdatei mit Rechtsklick --> Als Admin ausführen starten.
Natürlich erst, wenn die aktuelle microcode.dat von Intel in dem Verzeichnis liegt.

 

[drckeberger]

Bevor einer auf deinem PC versucht, sich mittels dieser Lücken deiner Daten zu bemächtigen, finden die noch ganz andere Lücken. Daher ist außer im Servereinsatz oder im Produktiven Bereich kaum mit Attacken aus dieser Richtung zu rechnen, zumindest hat das in ner Internetpräsenz so gestanden.

Kann man so unterschreiben.

 

[Nickel]

Bei meiner Sandy Bridge ist die Spectre Lücke nun gestopft seit 2 Tagen.
Bios Update mit entsprechendem Microcode von ASRock.

 

[Trefoil80]

Für mein Z77 Pro3 gab es kürzlich auch ein neues Beta-BIOS mit dem aktualisieren Microcode.

Hätte ich, ehrlich gesagt, nicht mit gerechnet und bin positiv überrascht.