XMG BIOS Updates mit neuem Microcode für Meltdown/Spectre Sicherheitslücken?

[Glzmo]

Hallo @Schenker Notebooks! Sind neue BIOS Versionen mit dem neuen Microcode Update um die Meltdown/Spectre Sicherheitslücken zu schliessen in Arbeit? Wann werden diese in etwa online und downloadbar sein?
Speziell interessiert mich persönlich das BIOS (und vBIOS?) fürs U727 2017 Modell und den Intel Core i7 7700K Prozessor (und GTX 1080 8GB?), aber man sollte wohl so schnell als möglich alle Modelle mit dem Mikrocode Update versorgen um die Sicherheitslücke zu schließen.

[XMG Community]

Die Sicherheitslücken MELTDOWN und SPECTRE werden gemeinsam von Intel und Microsoft per Windows Update behoben. Dies umfasst sowohl Gegenmaßnahmen im Windows-Kernel selbst, als auch Microcode-Updates für Intel-Prozessoren. Ein Microcode-Update per Firmware-Update (BIOS-Update) ist zwar ebenfalls möglich, bietet aber für Windows-Anwender keinen zusätzlichen Schutz gegenüber der Verteilung per Windows Update.

Laut unseren Informationen von Intel wurden Microcode-Updates für sämtliche von uns in den letzten 4 Jahren produzierten PCs und Laptops im Dezember 2017 und in der ersten Januar-Woche 2018 per Windows Update verteilt. Ältere Plattformen wie Sandy Bridge (produziert in 2011) und Nehalem (2010) werden in den folgenen Januar-Wochen aktualisiert.

Wer noch keine Windows Updates erhalten hat, kann manuell nach neuen Updates suchen. Suchen Sie hierzu nach ,,Windows Updates" im Startmenü und klicken Sie auf die Schaltfläche ,,Nach Updates suchen".

Für welche Modelle die Microcode-Updates auch per BIOS-Update erhältlich sein werden, befindet sich noch in Klärung.

[Glzmo]

So wie ich verstehe gibt es Meltdown Varianten V1, V2 und V3 (diese sind für alle Systeme vorhanden). V1 und V3 können per OS behoben werden (patches für Windows 10, vielleicht auch andere OS sind bereits auf Windows Update verfügbar, also ist das kein Problem), V2 benötigt dringend und schleunigst ein Microcode und Intel Management Engine Update per BIOS.

Es könnte auch sein, dass ich die Vs vertauscht habe (es gibt ja auch genauere ID Bezeichnungen CVE-2017-5753 Bounds Check Bypass, CVE-2017-5715 - Branch Target Injection, CVE-2017-5754 Rogue Data Cache Load), jedenfalls soll eine der Varianten das BIOS/Microcode/Management Engine Update benötigen (letzteres auch wegen eines anderen Security flaws mit AMT, siehe hier).
Die OS Patches reichen daher nicht aus, es muss ein rightiges BIOS mit Microcode Update für die CPU und Update für die Intel Management Engine her (bei Spectre ists ähnlich)! Also nicht abwimmeln lassen. Schaut, dass euch Clevo ein neues BIOS für alle Systeme mit Microcode Update und Management Engine Update schickt und stellt es für all eure Systeme online. :)

[IceFire122]

Das Windows-Update ausreichen sollen ist leider inkorrekt. Von Microsoft wurde ein Prüftool veröffentlicht, dass die Schutzmechanismen überprüft. Nach dem Januar-OS-Updates getestet, gibt dieses Tool folgende suggested action aus:

" * Install BIOS/firmware update provided by your device OEM that enables hardware support for the branch target injection mitigation."

Also, lieber Schenker-Support: Wann kommen die BIOS/Firmware-Updates von Euch oder von Clevo?

[manklu]

MS Schreibt in seinem Security Advisory ADV180002 auch dass ein BIOS-Update erforderlich ist. Siehe: portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002

9. Is my device protected after I've applied the Windows security updates Microsoft released on January 3, 2018?

To get all available protections for your device(s) against the three vulnerabilities described in this advisory, you must install the security updates for Windows and apply microcode updates provided by your hardware OEM.

If your OEM does not provide a microcode update, or if you are unable to apply it, the Windows security updates released on January 3, 2018 alone address:

CVE-2017-5753 - Bounds check bypass
CVE-2017-5754 - Rogue data cache load

To address CVE-2017-5715 - Branch target injection, you must apply a microcode update in conjunction with the Windows security update. Any questions regarding microcode updates must be directed to your OEM. Systems without updated microcode remain vulnerable to information disclosure as described in FAQ 8: What is the scope of the vulnerabilities?

[Katharsas]

Das Windows-Update ausreichen sollen ist leider inkorrekt.

Joa, für CVE-2017-5715 ist wohl ein Update vom OEM nötig, da liefert Windows Update nix für.

[MonsieurD]

Für Meltdown wurde der Patch durch Windows verteilt aber für Spectre MUSS ein Microcode Update per BIOS Patch erfolgen. Da kann man von OS Seite nix machen.

[falkio]

Ich bin da sehr zwiegespalten! Am liebsten würde ich weiter mit dem überschaubaren Risiko leben, denn wenn die Berichte nur Ansatzweise stimmen ist der Leistungsverlust nach den Patches enorm. Es wird von bis zu 10% gesprochen, bei manchen Spielen noch deutlich mehr. Und was das Schlimmste ist, Systeme mit Samsung SSDs verlieren bis zu 50% an Schreibleistung!!!!!!!

[manklu]

Da kann man von OS Seite nix machen.

Man kann schon, die Frage ist nur ob MS will. Die Auslieferung von Microcode wurde schon vor einiger Zeit eingestellt.

[MonsieurD]

Und was das Schlimmste ist, Systeme mit Samsung SSDs verlieren bis zu 50% an Schreibleistung!!!!!!!

Da muss man mal ganz stark relativieren. Die übrigens 41% waren NUR in der Disziplin 4k Random mit Q32T1 und das auch nur bei einer 960 pro. Bei den SATA Samsungs deutlich weniger Einbruch. Und Beides ist zwar extrem messbar aber in der Praxis kaum spürbar.
Bei mir auf der Arbeit mussten wir eine Verschlüsselung einsetzen die in genau der Disziplin den Durchsatz auf nur noch 15%-25% gesetzt hat. Nämlich auf den Wert von 4k Random (Q1T1).
Gemessen eine Katastrophe, gefühlt beim Arbeiten kein Unterschied.

[Glzmo]

Zu einem verwandten Thema: Übrigens gibts von @Prema ein Update für die Intel Management Engine Firmware. Das kann man wohl einspielen um sich vor einer schlimmen Intel Management Engine Sicherheitslücke zu schützen bis XMG/Schenker/Clevo den Hintern hochbekommt und selbst ein Update bereit stellt.

@Schenker Notebooks kann man sich das beruhigt raufspielen ohne die Garantie zu riskieren oder muss man auf einen Fix von euch warten, und wie lange dauert es noch, bis dieser offiziell fürs U727 2017 (und andere Geräte) verfügbar ist (und am besten gleich zusammen mit Meltdown/Spectre Microcode fixes)?
Ich möchte meine Garantie nicht riskieren, jedoch möchte ich auch nicht weiter mit einem "unsicheren" System arbeiten müssen.

[XMG Community]

Guten Morgen Glzmo,

vielen Dank für deinen harschen Ton.
Wir bieten Bereits das Update für die ME an, sowohl von Prema, sowie das Offizielle Tool von Clevo.

https://www.mysn.de/driver/5_Sonstiges/Tools/

Manuelles Microcode-Update per BIOS-Update

Unser Zeitplan bzgl. BIOS-Updates mit den entsprechenden Microcode-Updates wird noch erstellt. Derzeit ist absehbar, dass es BIOS-Updates für alle aktuelle Geräte in den nächsten Wochen und Monaten geben wird.

Wir bitten noch um etwas Geduld. Jedes Update für jedes Modell unterliegt einer strengen Qualitätssicherung, welche Zeit in Anspruch nimmt.

Sobald die genauen Zeitpläne vorliegen, finden Sie sie hier an dieser Stelle.


Manuelles Microcode-Update per Drittanbieter-Tool

Für den Fall, dass Sie trotz aktivierter Windows Updates kein aktuelles Microcode-Update erhalten haben und für den Fall, dass für Ihr System (noch) kein BIOS-Update erhältlich ist, bietet sich die folgende Methode an:

Benötigte Downloads:

-   VMware CPU Microcode Update Driver
https://labs.vmware.com/flings/vmware-cpu-microcode-update-driver

-   Intel Microcode-Paket
https://downloadcenter.intel.com/download/25512/Linux-Processor-Microcode-Data-File

-   AMD Microcode-Paket
http://www.amd64.org/microcode.html

Aufgrund des hohen Interesse sind die Seiten von Intel und AMD teilweise nicht erreichbar. Wir haben alle drei Downloads neu gepackt und auf unserem Server gespiegelt:
https://www.mysn.de/driver/5_Sonstiges/Tools/Meltdown-Spectre/Intel-Microcode-Update/

Bitte beachten Sie:
-   Für die Nutzung des ,,VMware CPU Microcode Update Driver" benötigen Sie sowohl AMD- als auch Intel-Microcode-Dateien, anderenfalls bricht das Installations-Script mit einer Fehlermeldung ab.
-   Die AMD-Microcode-Update-Dateien auf unserem Server sind nicht aktuell – dies spielt aber für Intel-Benutzer keine Rolle.
-   Die Intel-Microcode-Update-Datei ist vom 8. Januar 2018 und enthält somit bereits die Fehlerbehebung für Meltdown und Spectre
-   Das Intel-Microcode-Update wurde von Intel mit ,,Linux" beschriftet, dies spielt aber keine Rolle. Der Microcode arbeitet unabhängig vom Betriebssystem auf Prozessorebene. Eine abweichende Version für Windows existiert nicht.
-   Das Intel-Microcode-Update enthält die die Code-Bestandteile für sämtliche betroffenen Prozessoren – es muss also nicht gesondert je nach CPU ausgewählt werden.

Anleitung:
1.   Entpacken Sie alle drei ZIP-Archive in denselben Ordner, so dass ,,microcode.dat" und ,,microcode_amd.bin" im selben Ordner liegen wie ,,install.bat"
2.   Klicken Sie mit der rechten Maustaste auf die Stapelverarbeitungsdatei ,,install.bat" und führen Sie die Datei mit Administrator-Rechten aus
3.   Folgen Sie den Anweisungen auf dem Bildschirm

Nach erfolgreicher Installation starten Sie Windows neu und überprüfen Sie die nun installierte Microcode-Version mit einer der beiden o.g. Methoden.

XMG|Alexander

[Sterlinger]

ein Problem könnte sein, und so ist es mir ergangen, dass man als Nutzer immer nur in "seinem" Ordner nachguckt, also zB https://www.mysn.de/driver/1_XMG/XMG_CORE_15/ und dann sieht, dass nix passiert, also kein neues BIOS Update oder ähnlich. Erst wenn man hier im Forum liest, dann bekommt man mit, dass es ja auch noch sowas wie https://www.mysn.de/driver/5_Sonstiges/Tools/ gibt und dort auch wichtige Dateien, eben für alle, zu finden sind.

[CrushedIce]

Danke für die Informationen! Ich werde das manuelle Update bei meinem P702 (i7-3740QM) demnächst testen. Ein BIOS Update wird es dafür ja wohl nicht mehr geben  ;D

Kleine Anmerkung: Der Link zum Intel microcode package führt zu einer veralteten Version. Der richtige Link wäre https://downloadcenter.intel.com/download/27431/Linux-Processor-Microcode-Data-File
Auf eurem Server ist aber die richtige Version.

Edit: Für die (älteren) Ivy-Bridge Prozessoren scheint es noch gar keinen neuen Microcode zu geben. Das Update enthält laut release notes nur Patches für Prozessoren ab Haswell und für einige 2013er Ivy bridge Modelle.
Mal schauen ob Intel da noch nachliefert.

[als_Gast]

Für welche Schenker Notebooks soll den das Update überhaupt sein ?