News Sicherheitslücke Spectre: BIOS-Updates von ASRock, Asus, MSI, Gigabyte & EVGA
- Ersteller Jan
- Erstellt am
- Zur News: Sicherheitslücke Spectre: BIOS-Updates von ASRock, Asus, MSI, Gigabyte & EVGA
wannabe_nerd
Lieutenant
- Registriert
- Mai 2009
- Beiträge
- 725
Schon komisch - ich bin zum Jahreswechsel von meinem alten Nehalem i7-920 auf einen Ryzen 7 1800x gewechselt und nun bricht hinter mir die Meltdown-Hölle bei Intel los... Klar AMD ist auch betroffen, aber Intel hat es ja offensichtlich weitaus schlimmer erwischt.
Da ich mein Asus Sabertooth X58 Mainboard nebst 12GB DDR3 RAM und i7920 noch nicht auf den Müll werfen wollte: Hat man schon irgendwas gehört, ob auch CPUs VOR Sandy Bridge ein Microcode-Update bekommen werden?
Da ich mein Asus Sabertooth X58 Mainboard nebst 12GB DDR3 RAM und i7920 noch nicht auf den Müll werfen wollte: Hat man schon irgendwas gehört, ob auch CPUs VOR Sandy Bridge ein Microcode-Update bekommen werden?
S
Sheltem
Gast
@FUSION5
Das Update hat nichts mit Spectre zu tun, sondern fixt eine Lücke in Intel-ME von letztem Jahr.
Updates für für Spectre werden erst seit Jahresanfang ausgerollt.
Es gibt allerdings schon vereinzelt für die Z270 von MSI Spectre Updates.
Das Update hat nichts mit Spectre zu tun, sondern fixt eine Lücke in Intel-ME von letztem Jahr.
Updates für für Spectre werden erst seit Jahresanfang ausgerollt.
Es gibt allerdings schon vereinzelt für die Z270 von MSI Spectre Updates.
Krautmaster
Fleet Admiral
- Registriert
- Feb. 2007
- Beiträge
- 24.238
wenn das BIOS für X299 ASROCK wenigstens halbwegs laufen würde aber Sachen wie Core Specific OC sind broken und das Board verliert als Furz die OC Settings.
Ich mach wieder 1.4 drauf. da geht das wenigstens. Werden aber alle ASROCK X299 besagte Probleme haben.
Ich mach wieder 1.4 drauf. da geht das wenigstens. Werden aber alle ASROCK X299 besagte Probleme haben.
Zuletzt bearbeitet:
kisser schrieb:
Nein, ich mache nichts falsch. Genau so habe ich es versucht.
Sun_set_1 schrieb:
Ich bin mir ziemlich sicher, dass mein Windows 10 ein Clean Install ist und kein Upgrade. Habe aber auch irgendwie keine Lust die Policy auf Unrestricted zu setzen.
ich bekomme für z97 pro gamer von asus und den 4790k kein update herzlichen glückwunsch damit werde ich nie wieder ein mobo von asus kaufen siehe thread im asus forum win update fixt nir meltdown spectre nicht ! und selbst wenn sie es fixen würden hätte ich mit meinen @4,7ghz so leistungseinbusen das ich wieder leistungstechnisch bei stock wäre ... hammer
Polishdynamite
Captain
- Registriert
- Juni 2009
- Beiträge
- 3.392
Heul nicht rum, noch ist nichts klar!
Hatte gestern den Asus Support angeschrieben und gefragt wann für mein Asus Z97-K ein neues Bios kommt.
Es heißt also abwarten...
Hier die Antwort:
@layen Hast zu zufällig den Link zum Asus Forum?
Es heißt also abwarten...
Hier die Antwort:
@layen Hast zu zufällig den Link zum Asus Forum?
Zuletzt bearbeitet von einem Moderator:
(Klarname entfernt)
Wie sieht denn eigentlich der Exploit zu Spectre 2 aus?
Meltdown ist ja eine Rechteausweitung bei Lesezugriffen spricht wenn man Binärcode auf dem Zielsystem mit Benutzerrechten ausführen kann, dann kann man Kernelspeicher auslesen, was in erster Linie eine Gefährdung für Server in der Cloud ist während bei Desktoprechnern sich der Schaden in Grenzen hält.
Meltdown sollte ja mit reinen Windows Updates gefixed sein unabhängig von der CPU Generation und Microcode Updates.
Spectre 1 ermöglicht es von Skriptsprachen wie Javascript aus der Sandbox auszubrechen und den Browserspeicher auszulesen. Das ist für Desktop PCs die größere Gefahr und ist CPU seitig nicht fixbar, sollte aber im Falle von Javascript verhindert werden, da mit der zusätlichen Ungenauigkeit des Timers ja die Grundlage entzogen wird. Solange man Java und Flash deaktiviert, sollte dies ja ziemlich gelöst sein.
Das Problem ist, dass Meltdown und beide Spectre immer in einen Topf geworfen werden und nie wirklich über die konkreten Angriffsszenarien gesprochen wird. Nachdem all diese Updates sowieso nur Symptombekämpfung sind, die die eigentliche Lücke (die spekulative Ausführung) nicht schließen (bzw. ohne massive Performanceverluste ja gar nicht können) und die Updates noch dazu nicht immer stabil laufen muss man sich ernsthaft die Frage stellen, ob man die Updates überhaupt einspielen will. Mir ist eine theoretisch vorhandene Lücke, die für meine Anwendung nicht ausgenutzt wird lieber als ein Server, der regelmäßig abschmiert und mir dabei vielleicht noch Datensalat hinterlässt. Sicherheit schön und gut aber ohne ein stabiles System hilft mir die ganze Sicherheit nichts.
Meltdown ist ja eine Rechteausweitung bei Lesezugriffen spricht wenn man Binärcode auf dem Zielsystem mit Benutzerrechten ausführen kann, dann kann man Kernelspeicher auslesen, was in erster Linie eine Gefährdung für Server in der Cloud ist während bei Desktoprechnern sich der Schaden in Grenzen hält.
Meltdown sollte ja mit reinen Windows Updates gefixed sein unabhängig von der CPU Generation und Microcode Updates.
Spectre 1 ermöglicht es von Skriptsprachen wie Javascript aus der Sandbox auszubrechen und den Browserspeicher auszulesen. Das ist für Desktop PCs die größere Gefahr und ist CPU seitig nicht fixbar, sollte aber im Falle von Javascript verhindert werden, da mit der zusätlichen Ungenauigkeit des Timers ja die Grundlage entzogen wird. Solange man Java und Flash deaktiviert, sollte dies ja ziemlich gelöst sein.
Das Problem ist, dass Meltdown und beide Spectre immer in einen Topf geworfen werden und nie wirklich über die konkreten Angriffsszenarien gesprochen wird. Nachdem all diese Updates sowieso nur Symptombekämpfung sind, die die eigentliche Lücke (die spekulative Ausführung) nicht schließen (bzw. ohne massive Performanceverluste ja gar nicht können) und die Updates noch dazu nicht immer stabil laufen muss man sich ernsthaft die Frage stellen, ob man die Updates überhaupt einspielen will. Mir ist eine theoretisch vorhandene Lücke, die für meine Anwendung nicht ausgenutzt wird lieber als ein Server, der regelmäßig abschmiert und mir dabei vielleicht noch Datensalat hinterlässt. Sicherheit schön und gut aber ohne ein stabiles System hilft mir die ganze Sicherheit nichts.
N
Nico33985
Gast
Guten Abend,
habe Asus bzgl. des "Asus Z170 Pro Gaming" den Asus Kundensupport angeschrieben und habe folgende Antwort erhalten (Namen wurde von mir unkenntlich gemacht):
------------------------------------------------
Sehr geehrter Herr xxx,
vielen Dank für Ihre Anfrage an unseren Kundendienst.
Die von Ihnen angesprochenen Biosversion ist Version 3601.
Aktuell arbeiten wir mit Hochdruck an der Veröffentlichung neuer Versionen,
welche die aktuellen Sicherheitslücken schließen. Wann genau 3601 für Ihr
Board erscheint, ist nicht bekannt, wird aber zeitnah geschehen.
Bitte prüfen Sie regelmäßig unter https://www.asus.com/de/Motherboards/Z170-PRO-GAMING/HelpDesk_BIOS/
ob bereits besagte Version released wurde.
Ich hoffe, die Antwort war für Sie hilfreich.
Sind allerdings noch Fragen offen, freue ich mich auf Ihre Rückmeldung.
Sie erhalten in den kommenden Tagen per E-Mail einen LINK zu einer finalen Zufriedenheitsumfrage.
Ich würde mich sehr freuen wenn Sie an dieser Umfrage teilnehmen und meinen Support positiv bewerten.
Bitte fügen Sie einer Antwort immer den gesamten Schriftverkehr bei!
Mit freundlichen Grüßen
Technical Support Division ASUS Germany
i.A. xxx
ASUS Computer GmbH
Harkortstrasse. 21-23
D-40880 Ratingen
Germany
------------------------------------------------
habe Asus bzgl. des "Asus Z170 Pro Gaming" den Asus Kundensupport angeschrieben und habe folgende Antwort erhalten (Namen wurde von mir unkenntlich gemacht):
------------------------------------------------
Sehr geehrter Herr xxx,
vielen Dank für Ihre Anfrage an unseren Kundendienst.
Die von Ihnen angesprochenen Biosversion ist Version 3601.
Aktuell arbeiten wir mit Hochdruck an der Veröffentlichung neuer Versionen,
welche die aktuellen Sicherheitslücken schließen. Wann genau 3601 für Ihr
Board erscheint, ist nicht bekannt, wird aber zeitnah geschehen.
Bitte prüfen Sie regelmäßig unter https://www.asus.com/de/Motherboards/Z170-PRO-GAMING/HelpDesk_BIOS/
ob bereits besagte Version released wurde.
Ich hoffe, die Antwort war für Sie hilfreich.
Sind allerdings noch Fragen offen, freue ich mich auf Ihre Rückmeldung.
Sie erhalten in den kommenden Tagen per E-Mail einen LINK zu einer finalen Zufriedenheitsumfrage.
Ich würde mich sehr freuen wenn Sie an dieser Umfrage teilnehmen und meinen Support positiv bewerten.
Bitte fügen Sie einer Antwort immer den gesamten Schriftverkehr bei!
Mit freundlichen Grüßen
Technical Support Division ASUS Germany
i.A. xxx
ASUS Computer GmbH
Harkortstrasse. 21-23
D-40880 Ratingen
Germany
------------------------------------------------
dB-Freak
Commander
- Registriert
- Mai 2008
- Beiträge
- 2.967
Hier mal meine Anfrage an ASRock bezüglich des ASRock Z97 Pro4.
Es wird ein Update geben
Hat jemand Erfahrungen bei Laptops?
Ich habe doch noch einen Lenovo M30-70 mit i3 4030U. Die Anfrage an Lenovo ist raus, aber leider kam noch keine Antwort.
Es wird ein Update geben
Hat jemand Erfahrungen bei Laptops?
Ich habe doch noch einen Lenovo M30-70 mit i3 4030U. Die Anfrage an Lenovo ist raus, aber leider kam noch keine Antwort.
Schackeline
Banned
- Registriert
- Juli 2014
- Beiträge
- 609
andr_gin schrieb:
Genau das scheint der springende Punkt zu sein. Für mich sieht es danach aus, als ob die Entwickler dieser neuartigen Exploits es weniger auf Datenklau abgesehen haben, sondern ein generelles Interesse daran haben Unsicherheit im Netz zu verbreiten und das über einen möglichst langen Zeitraum.
Diese Exploits, waren für die Hacker eine Art "Heilige Kuh", die nur im absoluten Notfall geschlachtet werden dürfen, da die Art und Weise wie CPUs arbeiten, bzw. gehackt werden können schon lange bekannt sind.
Warum man sich gerade jetzt dazu entschlossen hat die Heilige Kuh zu schlachten, weiß ich auch nicht. Ich habe jedenfalls ein ziemlich mieses Gefühl bei der ganzen Sache.
Es wurde hier ja nicht Schadcode entwickelt. Es wurden anscheinend von mehreren Teams parallel die Sicherheitslücken gefunden. Wie es für seriöse Sicherheitsforscher üblich ist wurde das dann nicht groß veröffentlicht, sondern die betroffenen Unternehmen wie Intel, AMD, Google, Amazon etc. informiert. Die haben dann an Fixes gearbeitet. Nur die Linux Community war das Problem, weil sich Open Source und Geheimnisse einfachfach nicht vertragen und deshalb ist das Ganze an die Öffentlichkeit gelangt bevor es entsprechende Patches gegeben hat und jetzt sind alle im Stress.
aldaric
Admiral
- Registriert
- Juli 2010
- Beiträge
- 8.119
Naja, geplante Veröffentlichung der Sicherheitslücken war der 9. Januar (welch Wunder, kurz nach dem Weihnachtsgeschäft für Intel *hust hust*).
Es waren ja 6 Monate Zeit, entweder wurde nicht korrekt mit der Situation umgegangen oder das Problem wurde zu spät angegangen. Das jetzt auch noch fehlerhafte Microcodes dabei rausgekommen sind, die zur Instabilität der Systeme führen setzt dem ganzen nur die Krone auf.
Die Sicherheitslücken/Sicherheitsbedenken gab es wohl schon seit 6 Jahren, lediglich gab es keinen bekannten Exploit dies auszunutzen. Intel wollte das wohl einfach aussitzen, wie so oft.
Es waren ja 6 Monate Zeit, entweder wurde nicht korrekt mit der Situation umgegangen oder das Problem wurde zu spät angegangen. Das jetzt auch noch fehlerhafte Microcodes dabei rausgekommen sind, die zur Instabilität der Systeme führen setzt dem ganzen nur die Krone auf.
Die Sicherheitslücken/Sicherheitsbedenken gab es wohl schon seit 6 Jahren, lediglich gab es keinen bekannten Exploit dies auszunutzen. Intel wollte das wohl einfach aussitzen, wie so oft.
Bolko
Commander
- Registriert
- Sep. 2012
- Beiträge
- 2.082
Intel hat sämtliche Microcode-Updates zurückgezogen, weil sie zu unerwarteten Neustarts führten.
https://newsroom.intel.com/news/roo...-updated-guidance-for-customers-and-partners/
https://newsroom.intel.com/news/roo...-updated-guidance-for-customers-and-partners/
Was ist denn da los?
Ich konnte bis jetzt kein negatives Verhalten auf einem Debian feststellen. Jetzt habe ich das neuste BIOS-Update für mein ASRock installiert und nun ist es auch schon wieder widerrufen. Was mache ich nun, altes BIOS aufspielen?
Steckt der Fehler wohl tief in der Managment Engine drin oder?
Ich habe mir das Video vom CCC, Inside Intel Management Engine angeschaut. Es ist wirklich erschreckend, was da drin abgeht.
Ich konnte bis jetzt kein negatives Verhalten auf einem Debian feststellen. Jetzt habe ich das neuste BIOS-Update für mein ASRock installiert und nun ist es auch schon wieder widerrufen. Was mache ich nun, altes BIOS aufspielen?
Steckt der Fehler wohl tief in der Managment Engine drin oder?
Ich habe mir das Video vom CCC, Inside Intel Management Engine angeschaut. Es ist wirklich erschreckend, was da drin abgeht.
Asrock hat die gerade aktuallisierten Biose gegen die Sicherheitslücken
wieder raus genommen.
Ich habe zwar keine Probleme
werde aber wohl auch erst mal
zum vorigen Bios zurück gehen.
2018/1/24 [Press Release]
Updated : ASRock New BIOS Update For Speculated System Vulnerability - Reboot Issue Identified.
ASRock was just informed by Intel® that they disclosed the reboot issue on the former microcode released earlier.
wieder raus genommen.
Ich habe zwar keine Probleme
werde aber wohl auch erst mal
zum vorigen Bios zurück gehen.
2018/1/24 [Press Release]
Updated : ASRock New BIOS Update For Speculated System Vulnerability - Reboot Issue Identified.
ASRock was just informed by Intel® that they disclosed the reboot issue on the former microcode released earlier.
Zuletzt bearbeitet:
Ähnliche Themen
