Windows Update gegen Meltdown geladen aber nicht aktiviert

CED999

Lieutenant
Registriert
Juni 2011
Beiträge
947
Hi all,

ich habe das MS Tool SpeculationControll laufen lassen um zu sehen wie der Stand auf meinem Laptop bezüglich Meltdown ist - mit folgendem Ergebnis:
Report.PNG

Kopfzerbrechen bereiten mir die 2 Einträge:
Windows OS support for speculative store bypass disable is enabled system-wide: False
und
Windows OS support for MDS mitigation is enabled: False
Wie bekomme ich das unter Win7 64-bit, prof, enabled?
Die Artikel auf die am Ende verwiesen wird haben mir jedenfalls nicht weitergeholfen..
Zum System das ist ein Dell Laptop, für das im Okt 2018 ein Bios Update zur Verfügung gestellt wurde, das Bios habe ich auch geflasht, was auch funktioniert hat.
Es muss irgendwas in Windows klemmen..
Grüße!
 

Anhänge

  • Report.PNG
    Report.PNG
    65,8 KB · Aufrufe: 361
unter uns... das ein 1k Trojaner/Inject auf deinen Lappy kommt ist sehr unwahrscheinlich.
Somit würde ich eher alles so lassen.. außer es macht dir nix aus die Anleitung zu befolgen...
 
leipziger1979 schrieb:
Anleitung befolgt?
unter uns... das ein 1k Trojaner/Inject auf deinen Lappy kommt ist sehr unwahrscheinlich.
Somit würde ich eher alles so lassen.. außer es macht dir nix aus die Anleitung zu befolgen...

Nicht diese aber eine längere ausführlichere von Ms, also ja (musste erstmal Powershell aktualisieren das Cmdlet laden etc). Das ist was ich mit dem "Klick-mich-Karussel" meinte in irgendeinem der Artikel kommt dann dass es per default deaktiviert ist. Ohne weitere Erklärung. Da fragt man sich dann halt warum Dell den Aufwand betreibt für 5-6 Jahre alte Geräte für GENAU diesen Fehler (cve-2018-3639) ein Biosupdate bereitzustellen (das einzige das für dieses Gerät jemals mit dem Vermerk"dringend" versehen wurde) wenn es dann per default ausgeschaltet ist :confused_alt: Das scheint nicht so "schmerzfrei zu sein"/risky. Dachte da kann vielleicht jemand was zu sagen hier, hat es schon mal ausprobiert.

Ich muss schon sagen das Chaos um Spectre und Meltdown ist auch nach 25 Jahren Computer schon was besonderes. Irgendwie scheint es als ob da niemand einen Plan hat, Microsoft auch nicht

Edit das Tool SpecuCheck 1.1.1 das nicht das offizielle Tool von MS ist zeigt das an:
SpecuCheck.PNG

dass sehr wohl aktiviert ist nur die System-wide transition nicht - was sehr nach performance optimierung klingt.
Ich blicke da nicht mehr wirklich durch... :confused_alt:
Vielleicht hat hier ja jemand mehr Ahnung..
 

Anhänge

  • 3639.PNG
    3639.PNG
    9,7 KB · Aufrufe: 355
Zuletzt bearbeitet:
Wobei man auch mal überlegen muss wie relevant das für Endverbraucher ist.
Kritisch für Rechenzentren ja, aber für den kleinen Endverbraucher eigentlich so gut wie gar nicht.
 
Wegen "speculative store bypass" (aka Spectre Variant 4):
da hast du "Hardware support for speculative store bypass disable is present: True", d.h. es wären CPU-Firmware-Gegenmaßnahmen in deinem Laptop verfügbar.

Das "Windows OS support for speculative store bypass disable is enabled system-wide: False" besagt aber in der Tat, dass es bei dir nicht eingeschaltet ist.

Das hat einen einfachen Grund, es ist default-off:
https://www.petri.com/intels-spectre-variant-4-microcode-update-off-by-default
Because existing browser patches for Spectre Variant 1 help protect against Variant 4, Intel plans to ship the fixes for Spectre Variant 3a and 4 ‘turned-off’ by default because the risk is deemed to be low.
Intel and AMD are recommending leaving the mitigations for these vulnerabilities disabled. But if an OEM or use chooses to enable them, a performance hit can be expected.

Ergänzung ()

"microarchitectural data sampling" musste ich grad mal googlen, hatte ich schon vergessen, was das war: "Zombie load" (aka schlampige Sicherheit bei intel Hyperthreading).

Die PowerShell-Ausgabe sieht bei meinem i5 8400 genauso aus (der hat allerdings kein Hyperthreading, sprich da ist der Wert nicht relevant).
Danach hab ich jetzt nicht gesucht, ich würde aber stark vermuten, die Zombie-Load-Sicherheitsmaßnahme ist in Windows ebenfalls default-off. Wobei ich spontan ebenfalls nicht weiß, was True in Windows auf intel überhaupt bewirkt, faktisch kann ja nur HT in Windows abgeschaltet werden.
 
Zuletzt bearbeitet von einem Moderator:
  • Gefällt mir
Reaktionen: CED999
Hi alxa,
ich habe in meinen letzten Post nochmals das "Auslese-Ergebnis" von dem Tool SpecuCheck angehängt, das wiederum etwas andere Ergebnisse produziert. Uff.
Zu dem Artikel den Du verlinkt hast: Meinst Du der Typ hat wirklich Ahnung davon? Er nennt nämlich ....cve-2018-3639 und ... 3630 die ganze Zeit "Spectre" das ist aber Meltdown:
Klassifikation.png

Is schon die Verwirrung der Verwirrung das Ganze..
 
  • das andere Tool sagt für speculative store bypass "Enabled for system wide transistion: No", was nur andere Worte sind für "Windows OS support for speculative store bypass disable is enabled system-wide: False"

    Edit: "SSBD Mitigations Enabled" vom anderen Tool sagt vermutlich nur aus, dass der MS Patch installiert ist, mit dem man die Gegenmaßnahme aktivieren kann

  • zu Zombieload sagt das andere Tool gar nichts.
  • Die Tabelle aus #7 sagt nur auf welcher Ebene Gegenmaßnahmen überhaupt verfügbar sind, aber nicht, ob diese Gegenmanahme vom Betriebssystemversion dann auch eingeschaltet sein muss.
 
  • Gefällt mir
Reaktionen: CED999
alxa schrieb:
Edit: "SSBD Mitigations Enabled" vom anderen Tool sagt vermutlich nur aus, dass der MS Patch installiert ist, mit dem man die Gegenmaßnahme aktivieren kann

Ja das war mein Problem damit. Dann würde es mehr Sinn ergeben
Habe den Original Artikel bei Intel gefunden - der erklärt das Top! Danke dafür :daumen:, das ist also eher schon über den Browser gepatched.

  • Die Tabelle aus #7 sagt nur auf welcher Ebene Gegenmaßnahmen überhaupt verfügbar sind, aber nicht, ob diese Gegenmanahme vom Betriebssystemversion dann auch eingeschaltet sein muss
Ja das ist eigentlich auch wurscht das war nur um zu verdeutlichen das "Speculative Store Bypass"=Meltdown ist und der Typ das verwechselt. Is aber wayne.
  • zu Zombieload sagt das andere Tool gar nichts.
Ja Meltdown scheint ja über browser gepatched zu sein. MDS/Zombieload ist jetzt das Problem gerade für mich da weiß ich nicht so recht was ich da machen soll...

Aber schon mal danke für die Erhellung zu Meltdown.

Edit: Formatierungen
Ergänzung ()

@alxa: Mein Core i5-3230m ist langsam schon fast uralt hat aber Hyperthreading und Dein i5 8400 nicht??? Wie kann das sein. Der ist laut intel page im Q4/17 gestartet das kann doch noch keine Reaktion auf Spectre/Meltdown sein, oder doch?
 
Zuletzt bearbeitet:
Hat nicht noch jemand eine Idee wie ich die MDS Mitigation zum Laufen bekommen?
Was auch etwas nervt ist dass ich nirgendwo angezeigt bekomme, ob Spectre V1 (cve-2017-5753) abedichtet ist und zwar in keinem Tool...
so long
 
Zurück
Oben