Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Intel brengt nieuwe Spectre-microcode uit voor Kaby Lake- en Coffee Lake-cpu's

Intel heeft nieuwe en naar eigen zeggen stabiele microcode uitgebracht die de tweede variant van de Spectre-kwetsbaarheid moet tegengaan. Dat deed de chipmaker voor Kaby Lake en Coffee Lake-cpu's, naast nog aanvullende Skylake-processors.

Intel meldt dat het de microcode onder zijn oem-klanten en partners heeft verspreid en dat de patches voor gebruikers in de meeste gevallen via firmware-updates van oem's zullen plaatsvinden. Er is microcode uitgebracht voor Kaby Lake- en Coffee Lake-cpu's en voor de Core X-cpu's en de Scalable en D-varianten van Xeon-cpu's van de Skylake-generatie. Eerder bracht Intel al microcode uit voor andere Skylake-processors.

De chipmaker heeft bovendien een planning gepubliceerd voor microcode-updates. Daaruit is op te maken dat patches voor bijvoorbeeld Broadwell- en Haswell-cpu's zich in de bètafase bevinden. Tot nu toe waren er steeds alleen periodieke updates vanuit het bedrijf over microcodepatches voor bepaalde processors.

Intel ondervond problemen met eerdere updates die het voor de tweede variant van Spectre had uitgebracht. In eerste instantie leken deze zich alleen voor te doen op Haswell- en Broadwell-chips, maar later bleken ook moderne generaties getroffen door onverwachte reboots. Vervolgens waarschuwde Intel zijn klanten en partners om updates op basis van tot aan dat moment uitgebrachte microcode niet uit te voeren, waarna verschillende fabrikanten hun updates terugtrokken. Datzelfde deed Microsoft later ook.

In zijn huidige publicatie refereert Intel aan een door Google ontwikkelde mitigation voor de tweede variant van Spectre, die de zoekgigant de naam retpoline heeft gegeven. Intel heeft daarover nu een eigen whitepaper uitgebracht. Daarin concludeert het dat de techniek 'resistent is tegen misbruik van het lek en attractieve prestatie-eigenschappen bezit ten opzichte van andere mitigations'.

Intel heeft een speciale pagina in het leven geroepen voor vragen over de Meltdown- en Spectre-kwetsbaarheden, die in januari aan het licht kwam en die het uitlezen van kernelgeheugen mogelijk maken. Meltdown treft vrijwel uitsluitend Intel-processoren, terwijl Spectre ook gevolgen heeft voor onder meer ARM en AMD. Intel heeft ook een pagina specifiek over de tweede variant van Spectre gepubliceerd.

Intel-planning, de gele blokjes geven aan welke patches nieuw zijn

Door Sander van Voorst

Nieuwsredacteur

21-02-2018 • 13:46

48 Linkedin Google+

Lees meer

Reacties (48)

Wijzig sortering
Ik ben benieuwd wanneer we de eerste bios updates gaan zien met deze update erin verwerkt. Hopelijk is het niet hetzelfde fiasco als de vorige keer.
Je moderne O.S. kan deze update ook uitvoeren, daar is dus geen BIOS update voor nodig.
Is dat zo? Ik dacht dat dat alleen was met 1 lek van Spectre (of was het Meltdown).
Ja, zie hier Broadwell met de laatste beta microcode patched door het OS:

Xeon-D (11 was de update met reboots, 0e laatste voor Spectre en huidige in BIOS):
Number of microcode updates:1
Original Revision:0x0700000e
Current Revision:0x07000012

Broadwell-EP (25 was de update met reboots, 22 laatste voor Spectre echter geen BIOS met 22):
Number of microcode updates:1
Original Revision:0x0b000021
Current Revision:0x0b00002a

Speculation control settings for CVE-2017-5715 [branch target injection]
Hardware support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is present: True
Windows OS support for branch target injection mitigation is enabled: True

Speculation control settings for CVE-2017-5754 [rogue data cache load]
Hardware requires kernel VA shadowing: True
Windows OS support for kernel VA shadow is present: True
Windows OS support for kernel VA shadow is enabled: True
Windows OS support for PCID performance optimization is enabled: True [not required for security]

[Reactie gewijzigd door |sWORDs| op 21 februari 2018 14:16]

Nu, dat ligt iets genuanceerder dan hoe u dat zegt. Bij het laden van het OS kan deze inderdaad de CPU voorzien van nieuwe microcode. Dit kan omdat de microcode eigenlijk niet "vast" in de CPU zit.

Bij het opstarten laadt de BIOS de daarin bekende microcode in de CPU. Dat betreft volatiel geheugen (RAM op de chip).

Er is dus geen sprake van een "update", eerder van een "patch". Het nadeel van deze methode is dan ook dat het OS dit elke keer moet doen dat deze opstart. Daarbij komt dus dat, zelfs al patcht je OS de microcode, wanneer je daarna een OS draait die niet over up-to-date microcode beschikt, je weer onveilig bent.

Het updaten van de microcode die vanuit de BIOS geladen wordt is de enige permanente "globale" oplossing.

[Reactie gewijzigd door CykoByte op 21 februari 2018 14:17]

Hoe voorkom je dat malware de microcode gewoon weer terug zet om zijn malafide zaken uit te voeren?
De CPU staat alleen toe om nieuwere microcodes in te laden dan de microcode die al ingeladen is.

Daarbij komt ook nog dat de malware dan zéér vroeg in het opstartproces zijn ding al moet kunnen doen. In Linux wordt het bijvoorbeeld technisch gezien niet door het OS, maar al door de bootloader gedaan.
Daarbij komt dus dat, zelfs al patcht je OS de microcode, wanneer je daarna een OS draait die niet over up-to-date microcode beschikt, je weer onveilig bent.

Het updaten van de microcode die vanuit de BIOS geladen wordt is de enige permanente "globale" oplossing.
Klopt, echter is dit geen groot probleem. Bij het installeren van een systeem wordt geaccepteerd dat deze nog onveilig is totdat alle updates zijn uitgevoerd, en moet die in een afgezonderd netwerk staan. Qua dat is een microcode update niet anders dan een andere software update.

En dat hij tijdens het booten even kwetsbaar is... Ach... dan heb je toch geen user-mode processen die andere user-mode processen uit kunnen lezen. ;)
>Daarbij komt dus dat, zelfs al patcht je OS de microcode, wanneer je daarna een OS >draait die niet over up-to-date microcode beschikt, je weer onveilig bent.

Als je een O.S. draait wat niet up-to-date is qua security patches op wat voor gebied dan ook, dan ben je sowieso onveilig. Dus dit lijkt mij een non-issue.

Liever deze microcode op een niet-permanente manier door het O.S. laden, zodat je er evt voor kan kiezen om ze niet in te laden (om performance redenen op een airgapped machine bv).
Dank je voor de aanvulling.
Dit is wat linus denkt van Intel microcode en paches:
https://lkml.org/lkml/2018/1/21/192
Zacht gezegd Afval . Intel paches s zijn geen paches maar work arounds en ze hoopt dat iedereen nieuwe cpus koopt zo dat het probleem dan binnen 2 generaties oplost en van zelf weg gaat i.p.v. het probleem goed aanpakken en de microcode herschrijven en deze bugs er uit halen.
De performance hits die cpus nu krijgen hoeft er helemaal niet te zijn ..... volgens linus . En dat is wel iemand die weet waar die het over heeft zijn visie op Intel paches .Garbage
Die post is al weer een maand oud, en zegt natuurlijk niks over de huidige patches.

Neemt niet weg dat Intel inderdaad wel een hoop goed moet doen om hier geloofwaardig uit te komen.
Dat gaat om de patches die Intel had aangedragen voor de kernel.
En dus niet om de microcode update van Intel zelf. Zijn 2 verschillende zaken.
Intel is een beursgenoteerd bedrijf, ik denk niet dat Intel moedwillig slechte microcode uit brengt en daarmee de kans op rechtszaken verhoogd.

Ze hebben inmiddels al 30 consumenten rechtszaken lopen, over bedrijven is nog niks gezegd:
nieuws: Intel: er zijn dertig consumentenrechtszaken aangespannen om Meltdown...
Linus torval is een van die hele slimme hard school coders. Van die mensen in de opensource communitie die alles onder de loop nemen . Die dagen lang code uitpluizen zo dat jij en ik niet worden geconfronteerd met bulshit die programmas en drivers en andere dingen doen dan ze eigenlijk zouden moeten . Wordt even een tracker mee geïnstalleerd , of on terecht een rootkit er bij gezet .Tevens is dit de vader van Linux . Geloof me hij heeft de patch bekeken en zegt het rammeld van alle kanten dit is geen langdurige fix maar een tijdelijke pleister die het probleem niet structureel op lost volgende week kan zo maar versie 3 van specter uit komen omdat niks wordt opgelost . En dat er dingen gefixt worden die niet gefix hadden moeten worden dat had Google al gedaan
https://www.google.nl/amp...te-and-utter-garbage/amp/
Linus Torvalds is een bully die graag schermt met hyperbolen en zelden tot nooit van zijn vooringenomen mening afwijkt in een discussie. Het is ongetwijfeld een intelligent persoon met veel verstand van zaken, maar dat wil niet zeggen dat hij onfeilbaar is, of dat zijn visie de enige juiste is. En uiteindelijk moet het gaan om de argumenten, niet om wie die argumenten geeft. Stellen dat het vast wel zo zal zijn omdat Linus het zegt is niet een bijzonder sterk punt.

[Reactie gewijzigd door .oisyn op 21 februari 2018 23:34]

Ik ken linus persoonlijk niet , kan geen uitspraken over doen . Zie hem eigenlijk zelden in het nieuws voorbij komen dus komt ook niet een Bully over. Any wat Hoe gaat Intel met specter om? Branch prediction uit zetten . Tevens i.p.v. dat ze de fix goed uit rollen zo dat het bij default aan staat is het opt In. Dus jij moet na de patch nog zelf aan zetten....(onder Linux)
Dus ik vind wel dat die hier wel gelijk heeft . Dat Intel dus helemaal niks doet fixen i.p.v. het probleem oplossen .
Je belt de loodgieter voor een lekkende kraan , hij komt kijkt naar de kraan draait de warme knop van de kraan met een tang heel hard dicht . De kraan stopt met druppen En zegt het probleem zit in het warme gedeelte van de kraan dus alleen de koude gebruiken en gaat weg . 1 de kraan werkt dus maar half en 2 je moet zelf opletten dat je de warme knop van de kraan niet meer gebruikt want anders kan die weer gaan lekken ... i.p.v. het leertje/ rubbertje van de kraan knop te vervangen .
Het is maar een voorbeeld , Intel had de programmatuur ook kunnen herschrijven zodat de branch predictor niet zo maar uit te lezen was

[Reactie gewijzigd door j1b2c3 op 22 februari 2018 00:41]

Misschien zit ik verkeerd want ben een leek in dit soort dingen, maar een OS kan het Bios toch niet updaten? Als ik Windows zal wissen, dan zit de moederbord toch nog zonder die patch?
UEFI ;-) tegenwoordig kan dat wel. Voor ons “oudjes” (ik stam uit de BIOS-tijd...” kon dat inderdaad niet en was dat ondenkbaar. Vond het al bijzonder dat je op een gegeven moment je bios vanuit Windows zelf kon flashen...
Gelukkig is de EPROM programmer niet meer nodig :)
UV-lampje erbij, alles kwijt 😶
Hmm die update tooltjes deden niet veel anders dan wat een floppy ook deed..

Die pasten de boot volgorde aan, starten een eigen mini osje dat dan weer de bios update.. Einde van de update paste de mini os ook weer de boot volgorde aan en starte deze netjes windows weer op..

Dat maakte het voor de normale man het update van de bios een stuk eenvoudiger.
Vroeger, moest je een floppy maken waar DOS op starten om je BIOS te updaten. Dus ook pas na dat je O.S. gestart was.

Wat de update doet, is een image schrijven naar de BIOS, zelfde als met de microcode voor je CPU. Zit niet op je disk, maar op hun eigen stukje storage in de chip zelf.
Was niet zozeer het opstarten met floppy maar eerder in "protected" mode booten. Dat kon niet vanuit Windows (3.11/95) namelijk. Omdat je natuurlijk niet je HDD verwisseld om in protected modus te raken was de meest gebruikelijke via Floppy booten. :)
Als ik me goed herinner wordt de microcode ergens aan het begin van het boot-proces bijgewerkt. Dat moet dus inderdaad bij elke boot opnieuw gebeuren.
Je moderne O.S. kan deze update ook uitvoeren, daar is dus geen BIOS update voor nodig.
Die update is puur voor het OS als het OS gestart wordt, bij het uitzetten van je computer is de nieuwe microcode ook weer verdwenen en bij het opstarten wordt dan weer eerst de microcode uit je bios geladen. Wil je een pertinente update voor je computer dat voor elk OS geladen wordt dan zal je toch je bios moeten updaten.

Voor ouderen systemen waar je waarschijnlijk geen bios-update van de fabrikant kan verwachten is het wel een uitkomst als het OS de update kan laden.
Ik weet niet meer of het voor Spectre of Meltdown betrof maar een van de twee heeft wel een bios update nodig. En als het een VDI omgeving betreft dient de Hypervisor ook een update te krijgen.
Bij mijn Dell Inspiron 15 Gaming 7567 heb ik hem al geïnstalleerd. Merk op dit moment geen performance verlies. Sterker nog ik had voor de grap een benchmark gedaan ervoor en na de update. En de laatste was sneller.
.

[Reactie gewijzigd door TheDeeGee op 21 februari 2018 19:06]

Leuk dat je dit post, maar deze tool is maar voor een beperkt aantal moederborden geschikt.
This tool cannot be used, if you want to modify any other BIOS type (Award/Phoenix, non-UEFI AMI or Intel mainboard BIOSes)
Daarnaast mist je "handleiding" diverse cruciale stappen, zoals het gebruik van "run as administrator" op diverse plekken.

Mijn advies, negeer bovenstaande stappen (negeer alles als je geen AMI UEFI hebt), en lees de gelinkte forumpost goed door...

(Helaas is de post van TheDeeGee nu leeg.... voor de volledigheid, dit was de betreffende tool: https://www.win-raid.com/...IOS-Updater-quot-UBU.html
)

[Reactie gewijzigd door Zer0 op 21 februari 2018 22:53]

Wat slecht advies, niet alleen om de reden die @Zer0 aan haalt.

Maar ook van wegen je punt 2.
2) Download MMTool 5.0.0.7 (google for it)
Download van een random pagina die je in google vind.
Ze hadden op zijn minst een checksum van de tool kunnen geven.

En op SoniX hoef je niet te wachten :)
Kijk ik er 100x overheen of staat er niks in over Ivy Bridge (desktop cpu's)
Ik zie er niks over staan.. Ben zelf ook benieuwd, mijn i5 3470 is nog prima kwa prestaties, en zou er graag nog een tijdje mee door gaan, maar voor Intel is het ding natuurlijk inmiddels 6 jaar oud...

Het is dat DDR4 zo schandalig duur is, anders was ik al naar een Ryzen chip aan het kijken, Ryzen+ belooft toch wel interessant te worden als ik die nieuwe APUs zie.
Ik zit ook nog te wachten op informatie over patches voor mijn Sandy Bridge (I7 2600K). Ik vrees het ergste wat dat betreft.
Hier staat dat het voor desktop SB nog wel eraan komt.
Maar zoals @h4ze zegt, idd zie ik ook niks over desktop IB (maar wel mobiel/server IB), dat moet toch een vergissing zijn lijkt mij.
Bedankt voor de link: nu hopen dat de heren bij Asus nog bereid zijn om een firmware update voor mijn P8P67 Deluxe te maken. De laatste is alweer van 2012.
Hoe zit het trouwens met oudere hardware? Ik heb nog een Sony Vaio laptop die ik dagelijks gebruik...
Ik zie zelfs mijn "stokoude" Yorkfield extreme (QX 9770) ertussen staan. Status: Planning.

Vaio's zijn tot de 3e generatie Core gegaan (correct me if i'm wrong), welke tevens de status planning hebben. (lijstje loopt tot de Core 2 Duo / Core 2 Quad)

De eigenlijke hoofdvraag voor jouw systeem zou moeten zijn: Hoe moeilijk heb je voor een potentiële inbreker gemaakt? 100% veilig kan niemand garanderen namelijk, maar dat is een andere discussie.
Ik zie de processor in status beta staan, maar hoe word dit uiteindelijk afgeleverd als de fabrikant de laptop niet meer ondersteund? Of kan dit gewoon via OS updates worden gedaan?
Wat ik mij afvraag en overigens erg belachelijk vind is dat mijn Gigabyte GA-H97-D3H al 3 jaar geen nieuwe BIOS-update meer heeft gehad :/. Ik dacht dat die bedrijven verplicht werden door Intel om zulke BIOS-updates uit te brengen.

M'n Lenovo E460 daarentegen ontvangt zeer regelmatig BIOS-updates.

[Reactie gewijzigd door AnonymousWP op 21 februari 2018 13:54]

Ik heb hetzelfde euvel met een ander mobo en afgelopen week Gigabyte benaderd. De reactie die ik kreeg is dat Gigabyte mbt deze problemen wacht op Intel die bijbehorende patches moet aanleveren.
Ik zou de changelogs eens bekijken. Wellicht zegt het meer over de kwaliteit van de BIOS van je Lenovo :P
Hoe zit het nou met mijn MacBook? Apple had al heel snel een update voor mij, maar daarna heeft Intel nog (een paar keer?) zijn code ingetrokken. Daarna geen update meer gehad waarbij aangegeven stond dat hij ook Spectre en Meltdown adresseerde. Ik ondervind overigens geen problemen met mijn laptop.
E6800 toevallig ook nog.

Voor de zaak gebruikt me vader mijn oude E6850 nog met een Asus P5N32-E SLI moederbord.

Alleen zie ik Asus daar geen BIOS meer voor uitbrengen.
Ach, na 10 jaar mag "de zaak" ook best wel in wat nieuws investeren.
Want jij weet precies hoe het zit met de financiën en prioriteiten.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True