Top-Themen

Aktuelle Themen (A bis Z)

Administrator.de FeedbackApache ServerAppleAssemblerAudioAusbildungAuslandBackupBasicBatch & ShellBenchmarksBibliotheken & ToolkitsBlogsCloud-DiensteClusterCMSCPU, RAM, MainboardsCSSC und C++DatenbankenDatenschutzDebianDigitiales FernsehenDNSDrucker und ScannerDSL, VDSLE-BooksE-BusinessE-MailEntwicklungErkennung und -AbwehrExchange ServerFestplatten, SSD, RaidFirewallFlatratesGoogle AndroidGrafikGrafikkarten & MonitoreGroupwareHardwareHosting & HousingHTMLHumor (lol)Hyper-VIconsIDE & EditorenInformationsdiensteInstallationInstant MessagingInternetInternet DomäneniOSISDN & AnaloganschlüsseiTunesJavaJavaScriptKiXtartKVMLAN, WAN, WirelessLinuxLinux DesktopLinux NetzwerkLinux ToolsLinux UserverwaltungLizenzierungMac OS XMicrosoftMicrosoft OfficeMikroTik RouterOSMonitoringMultimediaMultimedia & ZubehörNetzwerkeNetzwerkgrundlagenNetzwerkmanagementNetzwerkprotokolleNotebook & ZubehörNovell NetwareOff TopicOpenOffice, LibreOfficeOutlook & MailPapierkorbPascal und DelphiPeripheriegerätePerlPHPPythonRechtliche FragenRedHat, CentOS, FedoraRouter & RoutingSambaSAN, NAS, DASSchriftartenSchulung & TrainingSEOServerServer-HardwareSicherheitSicherheits-ToolsSicherheitsgrundlagenSolarisSonstige SystemeSoziale NetzwerkeSpeicherkartenStudentenjobs & PraktikumSuche ProjektpartnerSuseSwitche und HubsTipps & TricksTK-Netze & GeräteUbuntuUMTS, EDGE & GPRSUtilitiesVB for ApplicationsVerschlüsselung & ZertifikateVideo & StreamingViren und TrojanerVirtualisierungVisual StudioVmwareVoice over IPWebbrowserWebentwicklungWeiterbildungWindows 7Windows 8Windows 10Windows InstallationWindows MobileWindows NetzwerkWindows ServerWindows SystemdateienWindows ToolsWindows UpdateWindows UserverwaltungWindows VistaWindows XPXenserverXMLZusammenarbeit

Meltdown und Spectre How To

Mitglied: sabines

sabines (Level 2) - Jetzt verbinden

10.01.2018, aktualisiert 18.01.2018, 3079 Aufrufe, 6 Kommentare, 5 Danke

Hi,

es sind hierzu schon zahlreiche Hinweise und Tips hier im Forum eingegangen, ich möchte diese hier bündeln und bedanke mich gleichzeitg bei den ganzen Erstellern.

Es handelt sich genau genommen um drei Lücken, die per Software Update geschlossen werden können, wobei bei einer der Lücken (Spectre) jedoch zusätzlich immer ein Firmware/Microcode/BIOS Update nötig ist. Hier sind wir von den Herstellern und deren Bereitschaft ein solches (auch für ältere) PCs bereitzustellen abhängig.

Um die Sicherheitsupates einzuspielen, muss die eingesetzte Fremd AV Lösung diese unterstützen.
Hier muss ein REG Key gesetzt sein.

Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”

https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows- ...

Auf Servern müssen nach der Installation einige REG Keys gesetzt werden. Das ist auf den Clients nicht nötig.
Im Link ist auch ein Powershell Script enthalten, mit dem nach den Updates und dem Setzen der Reg Keys (und Neustarts) der Status geprüft werden kann.

https://support.microsoft.com/en-us/help/4072698/windows-server-guidance ...

Kommt es zur Meldung "Spectre: bti Mitigation disabled by absence of hardware support" dann fehlt noch das passende Firmware Update.
https://www.administrator.de/forum/spectre-bti-mitigation-disabled-by-ab ...

Das Powershell Script lässt sich mitunter nicht automatisch installieren (W7) dann einfach per copy paste ausführen und aufrufen.

Unter AMD kommt es bisweilen zu Problemen mit dem Update (BOSD), hier muss das Update dann deinstalliert werden.
Das Update wurde zwischenzeitlich für AMD zurückgezogen.
https://www.borncity.com/blog/2018/01/09/amd-gau-av-rger-neues-zu-window ...

18.01.2018
Für AMD CPU scheint es ein Update zu geben:
https://www.administrator.de/wissen/update-kb4073578-amd-cpu-spectre-mel ...

Hinweise zu Intels Update Politik finden sich hier
https://www.heise.de/newsticker/meldung/Meltdown-und-Spectre-Intel-patch ...

Das Durchführen dieser Maßnahmen kann zu unterschiedlich großen Performance Einbußen führen:
https://www.heise.de/newsticker/meldung/Meltdown-Spectre-unter-Windows-M ...

In virtuellen Umgebungen muss zusätzlich das Host OS gepatched und auch hier die Firmware des Hosts aktualisiert werden.
Bspw für VMware https://www.administrator.de/wissen/vmware-updates-verf%C3%BCgbar-360546 ...

Ich hoffe es fehlt nichts?
Gruss

Hinweis auf Update für AMD hinzugefügt
Mitglied: VGem-e
10.01.2018 um 08:47 Uhr
Moin,

evtl. kann ja ein Forenadmin das Teil oben anpinnen, falls dies geht!!

Gruß
Bitte warten ..
Mitglied: C.R.S.
10.01.2018, aktualisiert um 22:52 Uhr
Zitat von sabines:

Auf Servern müssen nach der Installation einige REG Keys gesetzt werden. Das ist auf den Clients nicht nötig.

Auf Clients mit Hyper-V muss zum Schutz der VMs auch der Wert MinVmVersionForCpuBasedMitigations gesetzt werden.

Die beiden anderen für Server empfohlenen Settings erzwingen nur das Standardverhalten der Clients. Man kann die Werte also einfach auf alle Maschinen ausrollen.

Grüße
Richard
Bitte warten ..
Mitglied: Philipp711
13.01.2018 um 15:23 Uhr
Vielen Dank für die Zusammenfassung!

Eine kurze Frage:


Zitat von sabines:

Um die Sicherheitsupates einzuspielen, muss die eingesetzte Fremd AV Lösung diese unterstützen.
Hier muss ein REG Key gesetzt sein.

Key="HKEY_LOCAL_MACHINE" Subkey="SOFTWARE\Microsoft\Windows\CurrentVersion\QualityCompat" Value="cadca5fe-87d3-4b96-b7fb-a231484277cc" Type="REG_DWORD”
Data="0x00000000”

Auf unseren Hyper-V-Cluster-Nodes ist gar keine AV-Lösung installiert - folglich wurde der Key nicht gesetzt und die Updates stehen nicht zur Verfügung...kann man den Key in diesem Fall händisch setzen?
Bitte warten ..
Mitglied: FA-jka
14.01.2018 um 16:22 Uhr
Hallo,

Zitat von Philipp711:

kann man den Key in diesem Fall händisch setzen?

Genau diese Frage wird doch auf der oben verlinkten Seite https://support.microsoft.com/en-us/help/4072699/january-3-2018-windows- ... beantwortet?

Gruß,
Jörg
Bitte warten ..
Mitglied: Philipp711
14.01.2018 um 18:18 Uhr
Richtig lesen hilft...danke!
Bitte warten ..
Mitglied: viragomann
18.01.2018, aktualisiert um 17:02 Uhr
Hallo,

interessant finde ich, dass ohne diesen Reg-Key es gar kein Sicherheitsupdate des Jänner Patch-Days gibt.
Weder eines für den IE11, noch eines für die Visual C++ Runtime.

Es gab allerdings ein .NET-Update, das nicht als "Sicherheitsupdate" deklariert war.

Was macht das für einen Sinn?

Grüße


Edit:

Schönen Dank noch an sabines für die übersichtlich, kompakte Zusammenstellung.
Bitte warten ..
Ähnliche Inhalte
Sicherheit

Meltdown und Spectre: Die machen uns alle was vor

Information von FrankSicherheit36 Kommentare

Aktuell sieht es in den Medien so aus, als hätten die Hersteller wie Intel, Microsoft und Co den aktuellen ...

Linux

Meltdown und Spectre: Linux Update

Information von FrankLinux

Meltdown (Variante 3 des Prozessorfehlers) Der Kernel 4.14.13 mit den Page-Table-Isolation-Code (PTI) ist nun für Fedora freigegeben worden. Er ...

Sicherheit

Meltdown und Spectre: Der Damm wird brechen

Information von FrankSicherheit33 Kommentare

Der aktuelle Verlauf beim Thema Meltdown und Spectre ist aus IT-Sicht besorgniserregend. Auch wenn viele User denken, dass Meltdown ...

Erkennung und -Abwehr

Sicherheitslücke Spectre und Meltdown: Status prüfen

Anleitung von FrankErkennung und -Abwehr3 Kommentare

Nach all den Updates der letzten Woche sollte man unbedingt auch den Status prüfen, ob die Sicherheitslücken Spectre, Meltdown ...

Neue Wissensbeiträge
CMS
Erneut kritische Zero-Day-Lücke in Drupal
Tipp von Reini82 vor 7 StundenCMS

Laut einem Bericht auf t3n gibt es eine Schwere Sicherheitslücke in Drupal die auch schon ausgenutzt wird. Betroffen sind ...

Sicherheit

MikroTik-Router patchen, Schwachstelle wird ausgenutzt

Information von kgborn vor 1 TagSicherheit

Am 23. April 2018 wurde von Mikrotik ein Security Advisory herausgegeben, welches auf eine Schwachstelle im RouterOS hinwies. Mikrotik ...

Windows 10

Microcode-Updates KB4090007, KB4091663, KB4091664, KB4091666 für Windows 10

Information von kgborn vor 1 TagWindows 101 Kommentar

Kurze Information für Administratoren von Windows 10-Systemen, die mit neueren Intel CPUs laufen. Microsoft hat zum 23. April 2018 ...

iOS
Updates für Iphone und Co
Information von sabines vor 1 TagiOS

Gestern abend ist iOS 11.3.1 erschienen, ein kleineres Update, dass einige Lücken schließt und "Lahmlegen" nach einem Display Tausch ...

Heiß diskutierte Inhalte
Windows Server
Alten DC entfernen
gelöst Frage von smartinoWindows Server27 Kommentare

Hallo zusammen, ich habe hier eine Umgebung übernommen und erstmal einen DCDIAG gemacht. Dabei fällt auf, daß eine ganze ...

Ausbildung
Wie gelingt ein guter Einstieg in die FiSi-Ausbildung? (Umschulung)
Frage von SiAnKoAusbildung26 Kommentare

Schönen guten Tag, ich bin SiAnKo und habe seit dem 1.04.2018 eine Umschulung als FiSi angefangen. Ich möchte natürlich ...

Batch & Shell
Mit Powershell den Inhalt einer Excel mit einer Text Datei abgleichen
gelöst Frage von Bommi1961Batch & Shell21 Kommentare

Hallo zusammen, ich muss den Inhalt einer Excel Datei (Mappe1) mit dem Daten einer Text Datei abgleichen. Die Daten ...

Windows 10
Unter Windows 10 Home 64Bit (1709) kommt Fehler beim Aufruf von verschiedenen Systemprogrammen wie z.B. Gerätemanager
Frage von bitshopWindows 1017 Kommentare

Hallo, beim meinem Onkel haben wir seit längerem das Problem, dass z.B. beim Aufruf des Gerätemanagers eine Fehlermeldung kommt ...