derwowusste
Goto Top

Wer hat Erfahrungen mit CPU Microcode Updating zur Laufzeit von Windows

Moin.

Kann jemand hier Erfahrungen damit vorweisen?

Ziel ist Schutz gegen Spectre 2 auch auf Systemen zu erlangen, deren Mainboards kein herstellerseitiges Update bekommen haben, wohl aber eines von Intel für die CPU.
Die Angebote von Microsoft sind bekannt, aber noch nicht verfügbar für CPUs aus z.B. der Generation Haswell.

Ebenso ist https://labs.vmware.com/flings/vmware-cpu-microcode-update-driver bekannt, führt auch nachweisbar zu einem upgedateten Microcode zur Laufzeit, jedoch meldet get-speculationcontrolsettings trotzdem "Hardware support for branch target injection mitigation is not present" - obwohl Intel angibt, dass der verfügbare Microcode diese CPU gegen Spectre 2 schützen kann.

Content-Key: 371916

Url: https://administrator.de/contentid/371916

Ausgedruckt am: 19.03.2024 um 04:03 Uhr

Mitglied: anteNope
anteNope 22.04.2018 aktualisiert um 14:20:54 Uhr
Goto Top
Erfahrungen womit? Microcode Updates zur Laufzeit?
Ist prinzipiell nichts neues, gab es schon häufiger, meist optional. Siehe:
https://support.microsoft.com/en-za/help/2493989/microcode-update-for-in ...

"Hardware support for branch target injection mitigation is not present"
Das Verwenden von Microcode Updates zur Laufzeit ist ja auch kein "Hardware-Fix"? Die Aussage ist also soweit korrekt?

Nur weil du einen Sticker über den Rost klebst, ist der Rost dennoch da ;)
Mitglied: DerWoWusste
DerWoWusste 22.04.2018 aktualisiert um 19:39:50 Uhr
Goto Top
Hi.

Ist prinzipiell nichts neues...
Dass es schon welche gab, ist klar - ich schreibe ja selbst davon - nur eben nicht zu älteren Prozessoren (pre-Skylake) in Bezug auf Spectre 2.
Wenn Du mal in die Diskussion schaust, findest Du einen Kommentar von akarkkai, welches mein Interesse geweckt hat - er behauptet, der Output von get-speculationcontrolsettings wäre
BTIHardwarePresent : True
nachdem er dieses vmware-Tool nutzt. Aber vielleicht stimmt das nicht einmal und der Herr akarkkai ist verwirrt.

Wenn Du keine Erfahrungen mit diesem oder ähnlichen Tools hast, dann lass uns mal warten, was noch kommt.
Mitglied: sabines
sabines 24.04.2018 um 14:28:02 Uhr
Goto Top
Moin,

ich habe das soeben durchgetestet:
BTIHardwarePresent : False

System W7/64 durchgepatched, reg keys gesetzt, microcode-20180312 mit dem Fling installiert
ESXi mit einem Xeon E5 für den der Hersteller noch kein BIOS Update verfügbar hat.

Hilft das?

Gruss
Mitglied: DerWoWusste
DerWoWusste 24.04.2018 aktualisiert um 15:53:57 Uhr
Goto Top
Hi.

Das bestätigt nur, was ich selbst erlebt habe. Aber der User akarkkai in der Kommentarsektion vom fling meint ja, bei Ihm wäre danach BTIHardwarePresent : True
erschienen (aber auch bei Ihm wurde diese Hardwareeigenschaft danach nicht ausgenutzt).

Man sollt sich mal fragen, wie Microsoft denn seine Updates (z.B. kb4090007) zur Laufzeit einspielt - die machen es ja auch nicht dauerhaft.
Mitglied: sabines
sabines 25.04.2018 um 06:57:53 Uhr
Goto Top
Moin,

das würde mich auch interessieren.
Für mich bedeutet das: an einem klassischen BIOS Update komme ich nicht vorbei, zumindest wenn das Powershell Skript BTIHardwarePresent : True liefern soll face-wink

Es ist auch fraglich wie sicher so ein Microcode gegen weitere Szenarien ist, immerhin ist das ja nur ein bißchen Software, die wieder deaktiviert werden kann und nicht "fest geflasht" ist.
Mitglied: sabines
sabines 30.08.2018 um 10:21:04 Uhr
Goto Top
Kleiner Nachtrag:
Eventuell muss die Hardwareversion der VM aktuell sein (>= 9), damit das greifft.
Mitglied: DerWoWusste
DerWoWusste 30.08.2018 um 10:43:44 Uhr
Goto Top
Ja, du sprichst nun von virtuellen Maschinen. Mir ging es simpler um normale Rechner. Aber da hat MS mittlerweile bereits für viele Modelle Schutz zu bieten: https://support.microsoft.com/en-us/help/4100347/intel-microcode-updates ... - Im April sah das noch ganz anders aus.