Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Microsoft gaat Spectre-microcode via Windows-update verspreiden

Microsoft gaat microcode van Intel die de tweede variant van de Spectre-kwetsbaarheid moet tegengaan, verspreiden naar systemen met de Windows 10 Fall Creators Update. In eerste instantie is de code gericht op systemen met enkele Skylake-processors.

Update KB4090007 voor Windows 10 Fall Creators Update, bevat microcode voor Skylake S-, H-, Y- en U-processors. Microsoft belooft microcode voor andere processors beschikbaar te maken zodra Intel deze verstrekt. Intel zelf bracht de eerste patches voor Skylake begin februari uit, gevolgd door stabiele updates voor Kaby Lake, Coffee Lake en overige Skylake-processors vorige week.

Die microcode dienden gebruikers aanvankelijk handmatig te installeren, via firmware-updates die fabrikanten van computers en moederborden beschikbaar zouden moeten maken. Dankzij de stap van Microsoft krijgen veel gebruikers die nu via Windows Update.

Microsoft waarschuwt wel dat Windows Update een compatibiliteitscheck voor de antivirussuite uitvoert voordat updates tegen Meltdown en Spectre ge´nstalleerd worden. De veranderingen aan het OS om de kwetsbaarheden op te lossen, hebben tot problemen met av-suites geleid. Microsoft heeft samengewerkt met leveranciers van beveiligingssoftware om deze op te lossen, wat vereist dat gebruikers hun antivirussoftware up-to-date moeten brengen om de patches te kunnen krijgen.

Door Olaf van Miltenburg

Nieuwsco÷rdinator

01-03-2018 • 22:03

73 Linkedin Google+

Lees meer

Reacties (73)

Wijzig sortering
Ik heb de volgende vragen:

1) Wordt deze patch straks ook automatisch ge´nstalleerd bij de volgende grote feature update van Windows 10? Zodat, indien je de patch niet wilt installeren, je altijd op FCU moet blijven zitten?
2) Hoe groot is de performance impact? Is er ook merkbare performance impact bij games die zwaar voor de CPU zijn? Denk aan AC: Origins bijv.


Ik hoop dat iemand de antwoorden weet!
In tegenstelling van de kop van het artikel, zie ik nog niet vermeld dat de patch via Windows Update verspreid wordt, al verwacht ik dat dat uiteindelijk wel zal gebeuren.
Er staat nu "This update is a standalone update available through the Microsoft Update Catalog and targeted for Windows 10 version 1709". Dat klinkt alsof het (voorlopig) handmatig gedaan moet worden.
De naam "Cumulative Update for Windows 10 (KB4090007)" doet vermoeden dat het de bedoeling is om deze tzt. ook automatisch uit te rollen.
Heb even gezocht op die Microsoft Update Catalog en volgens mij moet dat inderdaad handmatig worden ge´nstalleerd, je kunt het hier vinden (maar welke van de twee?) : https://www.catalog.updat...m/Search.aspx?q=KB4090007
Is het dan een kwestie van downloaden en installeren van dit kleine bestandje, en in welke map dan? Of moet je dit op een andere manier aanpakken? Of verwacht je dat het binnenkort automatisch zal worden aangeboden via de reguliere, automatische Windows 10 updates?

[Reactie gewijzigd door choogen op 2 maart 2018 17:52]

(maar welke van de twee?) : https://www.catalog.updat...m/Search.aspx?q=KB4090007
Is het dan een kwestie van downloaden en installeren van dit kleine bestandje, en in welke map dan? Of moet je dit op een andere manier aanpakken? Of verwacht je dat het binnenkort automatisch zal worden aangeboden via de reguliere, automatische Windows 10 updates?
Er is een 32 en 64 bit versie, dus afhankelijk van of je Windows installatie 32 of 64 bit is.
Dit bestand is een windows update bestand, geen installatieprogramma, de map maakt dus niet uit.
Als je het bestand opent wordt het door windows update ge´nstalleerd.
Ik denk dat ze met Cumulative update bedoelen dat deze update in de toekomst alle spectre mitigation microcode updates van intel cpu's zal omvatten omdat er in het artikel staat: We will offer additional microcode updates from Intel thru this KB Article for these Operating Systems as they become available to Microsoft.

[Reactie gewijzigd door bwolke op 2 maart 2018 14:05]

1) schone ISOs van de nieuwste OS versies hebben vaak recente updates, dus verwacht van wel. Updates komen tegenwoordig in Packs, dus zonder update A ook geen update B, C, D, etc.

2) Volgens mij was de conclusie dat gamen het minst beinvloed wordt. Ik heb benches gezien waar er maar enkele FPS verloren gingen (1-3) op een hele reeks nieuwe games. Games leunen ook meer op graka/RAM/SSD. Maar weinig games die een degelijke CPU 100% load geven.

Zie ook:
http://www.tomshardware.c...tel-amd,review-34195.html

[Reactie gewijzigd door ItsNotRudy op 2 maart 2018 02:30]

Na het installeren van enkel de microcode is er nog geen bescherming tegen Spectre. Hiervoor zijn Windows Updates nodig die in combinatie met registerinstellingen bescherming bieden. Het is mogelijk via registerinstellingen de bescherming tegen Meltdown & Spectre uit te schakelen en zo te testen wat de performance impact is.

Zie: https://support.microsoft...hannel-vulnerabilities-in
Ik kan geen antwoord op je eerste vraag geven. Maar ik kan wel mijn oordeel geven over je tweede vraag.
Ongeveer een maand geleden kreeg ikzelf (I7-3770K, 4,4Ghz) de Spectre/Meltdown update via Windows update zonder dat ik het wist. De eerste keer dat ik na, voor zo ver ik dacht, reguliere Windows updates mijn PC aanzette merkte ik direct dat mijn PC trager was. Dit uitte zich in zaken als het openen van een browser, het openen van een verkenner etc. etc. Het daadwerkelijk gamen heb ik niet getest omdat ik direct ben gaan kijken of de Spectre/Meltdown updates bij mij ge´nstalleerd waren, en dit was inderdaad het geval. Heb ze direct uitgezet.
We hebben duizenden systemen gepatched en bij een paar uitzonderingen was een kleine performance impact meetbaar. Bij desktops en laptops was het verschil te klein om te meten.

Er zijn gevallen bekend van uitzonderingen met toch merkbare performance impact en random reboots. het geval hierboven lijkt er ook 1 te zijn, maar het is dus zeldzaam. De reboots zijn inmiddels opgelost en een clean install zou alle performance problemen op moeten lossen.

Gezien er nog geen exploits bekend zijn lijkt het disabelen van de patches een prima optie als je performance impact hebt.

Ik raad sterk aan altijd Windows updates uit te voeren en pas in te grijpen als je problemen ondervindt.
Naar mijn weten, gaat dit vooral om context switches van de CPU, die de performance degradatie veroozaakt.

Games proberen op alle gebied, om context switches te voorkomen tijdens run-time. De grootse impact dat je hebt, met deze patches, is als je veel schrijft naar HDD. Dus grote bestand operaties doet. Dat is iets wat niet gebeurd tijdens gamen.

Dus maak je geen zorgen.
Zeer bruikbaar voor enterprise omgevingen. Het bijwerken van bios/firmware van duizenden werkplekken is op z’n zachtst gezegd bewerkelijk en disruptive voor eindgebruikers.
Neemt niet weg dat het nodig blijft maar met een Windows update als deze is de druk er wel wat vanaf.
Dat valt op zich wel mee. De meeste enterprise vendors kunnen online bios fw flashen. Met een management systeem of via gpo’s kan je dit vervolgens naar de clients pushen.
Klopt, al wil dit nog wel eens een issue zijn wanneer er een bios password ingesteld is (wat toch best practise zou moeten zijn). HP heeft bijvoorbeeld in de HP bios updates die je via bijv. SCCM kan uitrollen altijd staan deze niet uit te rollen wanneer er een bios password aanwezig is. Nu is dit wel te scripten met de HP bios configuration tool (password remote verwijderen, bios updaten, password terugzetten) maar als je daar even geen rekening mee houdt kan je best tegen wat boze gebruikers aanlopen ;)
Volgens mij is het toch echt de systeembeheerder die eventuele bios passwords instelt en niet eindgebruikers. Als die systeembeheerder geen rekening houd met hoe hij zelf die systemen geconfigureerd heeft.. tja dan is het wellicht tijd om een nieuwe systeembeheerder te zoeken. :+
Volgens mij is het toch echt de systeembeheerder die eventuele bios passwords instelt en niet eindgebruikers.
Bios wachtwoord instellen lijkt me wel handig om hackers die van usb willen booten buiten te houden.
Al is bitlocker daarbij ook wel handig.

[Reactie gewijzigd door Soldaatje op 2 maart 2018 02:00]

Bitlocker is pas na de boot device sequence.
Maar het voorkomt dat de data gelezen kan worden, dus in die zin ben je dan ook veilig.
Uiteraard, maar kijk er niet vreemd van op dat er redelijk wat sysadmins zijn die zaken deployen zonder de documentatie te lezen. Ik zal ze in ieder geval de kost niet geven :P Daarnaast hoeft natuurlijk afhankelijk van de bedrijfsgrootte de afdeling of degene die de initiŰle uitrol doet niet degene te zijn die ook de updates uitrolt. Nu zouden dat soort zaken goed gedocumenteerd moeten zijn, maar ook dat kennen we allemaal vast wel als je eens ergens komt in een omgeving waar je nog nooit geweest bent bij een nieuwe klant of iets dergelijks :P
Leuk voor middelgrote organisaties met ÚÚn device. Niet leuk voor MSP's, enterprises en kleinbedrijf.
Klopt, maar wel moeten laptops aan de AC adapter in veel gevallen en bitlocker moet suspended worden. Oftewel, bewerkelijk.
Is dit een vervanging voor een nieuwe microcode op BIOS niveau of wordt dit pas bij de boot van Windows ingeladen?
Dat laatste. Net zoals Linux distributies doen (en vermoedelijk MacOSx). Is een stuk veilig, kun je iig. altijd booten en de aanval is niet zo zinnig als het systeem nog niet up-and-running is.
Het enige wat MS kan pushen is een softwarematige update met daarin een fix. Als je technisch het systeem reboot (dus ook de microcode) dan is die patch verloren weer.

Het systeem blijft gewoon onveilig in dat opzicht. Je zal zo'n patch altijd moeten hebben. En het is geen pleister; want er zullen meerdere varianten op deze basis gaan komen.

De echte flaw zit gewoon in de CPU, hardwarematig. Dat is er alleen uit te krijgen door terug te gaan naar het ontwerp van de chip. En dat kost dik een jaar tot 2 jaar aan R&D eerdat de eerste chip in de winkel ligt.
De firmwareupdates van de fabrikanten zijn wel veel definitiever aangezien het BIOS of UEFI moet bijwerken. Zo'n microcode-patch moet je bij iedere installatie van Windows opnieuw uitvoeren, waardoor deze per definitie minder veilig is dan een Úchte firmware update.
Patch zit waarschijnlijk al ingebakken in 1803 en 1809. Herinstallatie is dus niet per definitie een probleem.
elke update van windows bevat alle security patches van de voorgaande versies. daarom worden dit soort updates ook wel cumulatief genoemd. dus ook bij de eerst volgende grote versie van windows zal ook deze microcode update er in zitten.

maar goed ik neem aan dat je zometeen direct build 18XX zal installeren als deze uit is en niet start bij 1507 oid en vervolgens gaat updaten ;)

[Reactie gewijzigd door Laurens-R op 2 maart 2018 07:19]

Wordt deze microcode dan ook geflashed in de processor, of blijft dit op Windows niveau?
De microcode wordt ingeladen tijdens het opstarten en is vanaf dat moment actief. Dit gebeurt iedere keer opnieuw, omdat het niet mogelijk is om deze permanent in de CPU weg te schrijven.
Ja, het wordt in de CPU 'geflashed'. Im feite update Windows dus de CPU 'firmware'.
Als je niet weet waarover je het hebt, kun je beter stil zijn in plaats van mensen opzadelen met foutieve informatie.
Dit is een stukje microcode die wordt ingeladen voordat windows zelf opstart. En dat steeds weer.

MS heeft geen toegang tot de microcode in de CPU, en zal dat van zowel Intel als ook AMD nooit krijgen.
MS heeft geen toegang tot de microcode in de CPU, en zal dat van zowel Intel als ook AMD nooit krijgen.

Microsoft heeft wel degelijk toegang tot de microcode. Al jaaaaren zelfs. Net zoals talloze andere moderne OS'en zoals Linux. Al die OS'en hebben de mogelijkheid om microcode aan te passen tijdens het opstarten van het OS.

Dat het meestal niet door Microsoft gedaan wordt - anders dan bij de eigen Surface lijn - is omdat het altijd en risico op incompatibilteit geeft, en daarom normaal uitbesteed wordt aan de OEM/hardware fabrikant.

Dus wie weet nu niet waar die over spreekt? O-)
Waarschijnlijk bedoelt @jqv dat niemand toegang heeft tot de broncode van microcode van Intel (of andere chipbakkers over het algemeen) op Intel zelf na.

[Reactie gewijzigd door Soldaatje op 2 maart 2018 01:21]

Nee, het is code die elke keer voor/tijdens het opstarten geladen wordt. Dat is juist het probleem van deze kwetsbaarheid.
Daarom had ik graag een Bios update gezien van ASRock (ik heb een Z97 MB van ASRock) en al die andere, maar nee die zal er denk ik ook nooit komen, aangezien ik nog nergens er over gelezen heb, erg triest.
Of het een BIOS/UEFI update is, maakt 'geen bal' uit. In beide gevallen wordt de code ingeschoten tijdens boot. Of het nu het OS is of de bootloader maakt niet uit.
Ja Ún nee. Voor de grote meerderheid maakt het inderdaad geen bal uit. Het voordeel van een injectie vanuit de UEFI/BIOS is natuurlijk dat je OS- en update-onafhankelijk bent. Welk OS je ook start of installeert, de microcode is dan gepatcht.
Raar dat ik -1 krijg. Zelfs al zou wat ik schreef 100% onjuist zijn, het is niet ongewenst.

Maar microcode wordt wel degelijk door het OS 'geupdate'. Kennelijk weten mensen niet hoe het werkt, en modden dan maar iemand -1.

Elke moderne CPU sinds de Intel Pentium heeft een programeerbaar deel (een soort firmware zeg maar), hetgeen aangepast kan woren. Dat kan door de EUFI/BIOS, maar ook een driver. Dat laatste is wat Microsoft Windows doet.

De kritiek is kennelijk dat ik suggereer dat dit permanent is. Maar dat schrijf ik helemaal niet, al erken ikd at in context het inderdaad zo opgevat kan worden. Het wordt echter daadwerkelijk *in* de processor geschoten. Dat het bij elke reboot weer weg is, is waar, maar dat is bij veel moderne firmware in Windows zo. In Windows (en Linux) zijn er tal van hardware onderdelen waar de/een driver bij elke reboot opnieuwe firmware laadt.

Msischien is dat niet bekend is en het idee bestaat dat firmware altijd in een flash chip permanent moet zijn, en ik daarom -1 krijg?
Het is een tijdelijke storage in de CPU zelf dat gewoon verloren gaat weer bij een reboot of aan/uit.
Dat schrijf ik toch in de reactie waar je op reageert? O-)

Maar zo werkt veel hardware. Immers dat bespaart een "dure" ROM, plus maakt updates makkelijker. Al jaren is het - zeker in de embedded wereld - gebruikelijk om drivers de firmware 'in te schieten' tijdens boot van het apparaat ipv permanent te flashen.

Zo ook in dit geval. Men schiet de microcode update in bij elke boot vanuit UEFI of OS driver.
Laat ze eerst eens zorgen dat die verdomde update Řberhaupt installeert :+ Ik ben al een hand vol klanten tegen gekomen waar dit simpelweg niet gebeurt, en ook bij mijzelf krijg ik het niet voor elkaar.
Al gecontroleerd of je AV de juiste registry key zet? Als je geen updates meer krijgt is dat momenteel de meest voorkomende oorzaak. Meer informatie hier: https://support.microsoft...es-and-antivirus-software
Ik gebruik alleen Defender :)
Een correct geupdate en niet uitgeschakelde defender zou de registry key moeten zetten, controleer dus even of je die registry key daadwerkelijk hebt. Heb je hem zal dit niet het issue zijn, heb je de echter key niet, en weet je zeker dat je alleen defender gebruikt. Ik heb bijv gezien dat installaties van bijv. malware bytes die niet correct alle ge´nstalleerde bestanden en registry key's verwijderen bij deinstallatie er voor kunnen zorgen dat de key alsnog niet gezet zal worden, dan kun je de key zelf zetten in het registry en zou dit het issue op moeten lossen.
En hoe zit het met de performance impact? net zo dramatisch als de andere spectre/meltdown update/patch? (die, in het geval van skylake processoren gewoon >20% performance hit betekent)

[Reactie gewijzigd door mschol op 2 maart 2018 00:02]

Ik weet dat MSI iig Spectre & Meltdown zullen patchen via een UEFI update voor alle Z170+ borden. Z370's zijn nu uit, Z270 daarna en als laatste nog Z170. Hoe lang het gaat duren weet ik niet, maar het komt wel!

Hier kan je kijken of jouw model er tussen staat: https://www.msi.com/news/...sBeYjNfGz221AA2yAjPZIzXKw~~ hotlinken gaat om een of andere manier niet. https://www.google.nl/sea.....0.1.34....0.PzPaM-JUYpo
Edit: Dat komt omdat je bij de eerste link de twee ~'s moet toevoegen, die worden door Tweakers weggehaald uit de link. Lijkt me een bug.
Edit 2: Ah gewoon zelf de hyperlink manueel maken werkt wel:
Klik. :)

[Reactie gewijzigd door NotCYF op 2 maart 2018 15:04]

Is dit de eerste stap voor het probleem? Moet er nog iets worden gedaan aan de code die uitgevoerd word? (Retpoline e.d.)
Op Reddit kwam een vervelend bericht langs wat aangaf dat de Microsoft firwmware push ervoor gaat zorgen dat alle bedrijfsmachines die deze update krijgen problemen zullen gaan ondervinden met de update.

De topicposter van desbetreffende site heeft een powershell script gemaakt, wat gedistribueerd wordt via een GPO. Met dat script kun je ervoor zorgen dat de MS update het juist wel gaat doen, of dat je de update onderdrukt (en zelf dus aan de slag zal moeten gaan om de update te publishen in je netwerk).
The purpose of this script is to help with the installation of the HP Firmware Updates which were distributed from Microsoft Update on 2/23/2018 in the event that the system's firmware is locked down with a password.
Een van de redenen die wordt genoemd voor het stuklopen van de update is dat de MS update geen biosww gebruikt, wat de update zal doen laten falen voor gebruikers. Zelfs al zou je als beheerde het goede biosww intikken bij machines met dit probleem, dan is het inloggen niet mogelijk. De issue zal om de reboot plaatsvinden (alsof MS update de patch na falen opnieuw probeert te toepassen).

[Reactie gewijzigd door .je op 2 maart 2018 10:11]

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS Red Dead Redemption 2 LG W7 Google Pixel 3 XL OnePlus 6T (6GB ram) FIFA 19 Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True