Windows 10 Update auf 1803 PC gegen Meltdown und Spectre geschützt?

[Arthur]

Habe vorgestern meinen Laptop und gerade meinen Window 10 PC mit dem 1803 Update versorgt. Als ich mal geguckt habe was unter anderem neu ist... stach mir unter anderem dieser Artikel ins Auge.

Da ich vor einigen Monaten mal den Spectre und Meltdown-Scanner von GDATA laufen lassen habe und das Ergebnis nur zur Hälfte positiv war (gegen Meltdown geschützt aber nicht gegen Spectre) habe ich nach dem Update den Test erneut laufen lassen... leider mit dem selben 50/50 Ergebnis. Ich hab auch vor einigen Wochen eine Anfrage an den Support von Gigabyte wegen einem neuen Bios gestellt und die Antwort lautete Sinngemäß: Sobald es von Intel entsprechende MicrocodeUpdates gebe es dann auch ein neues Bios geben wird... ich lasse mich da gerne überraschen.

Quelle: www.gdata.de

Auf einer weiteren Seite erfuhr ich das manchmal die Microcode-Updates nicht mit installiert werden und man sie separat von Microsoft downloaden und installieren kann. Gesagt und getan und das Testergebnis hat sich auch im anschließendem Test entsprechend geändert.

Quelle: www.gdata.de

Ich denke das diese Informationen nur für Systeme mit Intel-CPU's nützlich sind und nicht für AMD-CPU's.

[1ST1]

Zum einen sind diese Infos auch für AMD-User nützlich, weil die genauso aufpassen müssen wie Hölle, zum anderen sollte man sowieso bei Windows dafür sorgen, dass man updatemäßig immer auf dem neuesten Stand ist. Für "Spectre Next Generation" steht demnächst wieder Update an. Was sehr wichtig ist, ist dass Intel nicht für jede betroffene CPU Microcode-Updates herausbringt, z.B. Core2Duo/Quad werden nicht mehr versorgt, obwohl die eigentlich für Win 10 noch gut genug sind. Und zuletzt würde ich dir empfehlen, dein System nicht mit fragwürdigen Tools auf Spectre/Meltdown zu checken, sondern mot dem offiziellen Powershell-Script von Microsoft, das ist viel aussagekräftiger. --> https://www.heise.de/security/meldung/Meltdown-und-Spectre-Microsoft-veroeffentlicht-Pruefwerkzeug-fuer-Prozessor-Sicherheitsluecken-3936310.html

[Arthur]

Zum einen sind diese Infos auch für AMD-User nützlich, weil die genauso aufpassen müssen wie Hölle

Da hat auch niemand das Gegenteil behauptet... allerdings funktionieren meine verlinkten WindowsUpdates mit IntelCPU-Microcodes halt nicht mit AMD-CPU's. 

zum anderen sollte man sowieso bei Windows dafür sorgen, dass man updatemäßig immer auf dem neuesten Stand ist.

Schön das Du so etwas selbstverständliches so betonst als wärs was spektakulär neues.

Für "Spectre Next Generation" steht demnächst wieder Update an. Was sehr wichtig ist, ist dass Intel nicht für jede betroffene CPU Microcode-Updates herausbringt, z.B. Core2Duo/Quad werden nicht mehr versorgt, obwohl die eigentlich für Win 10 noch gut genug sind.

Das ist zwar für Besitzer einer solchen CPU ärgerlich allerdings hätte ich es bei einem gewinnorientierten Unternehmen wie Intel auch nicht erwartet, sich einer Käufergruppe für neue Intel CPU's entgegen zu stellen.

Und zuletzt würde ich dir empfehlen, dein System nicht mit fragwürdigen Tools auf Spectre/Meltdown zu checken,

Was ist an einem Tool von einem deutschen Antivirusunternehmen denn bitte fragwürdig?

sondern mot dem offiziellen Powershell-Script von Microsoft, das ist viel aussagekräftiger. --> https://www.heise.de/security/meldung/Meltdown-und-Spectre-Microsoft-veroeffentlicht-Pruefwerkzeug-fuer-Prozessor-Sicherheitsluecken-3936310.html

Dann stell doch bitte für alle Interessierten gleich den passenden Downloadlink dazu hier rein!

[1ST1]

Gerade als ATARI-User solltest du die Fragwürdikeit von GData kennen.

[Arthur]

sondern mot dem offiziellen Powershell-Script von Microsoft, das ist viel aussagekräftiger. --> https://www.heise.de/security/meldung/Meltdown-und-Spectre-Microsoft-veroeffentlicht-Pruefwerkzeug-fuer-Prozessor-Sicherheitsluecken-3936310.html

Dann stell doch bitte für alle Interessierten gleich den passenden Downloadlink dazu hier rein!

Da keine sinnvolle Antwort auf meine gestellte Anfrage kam oder diese Ignoriert wurde, habe ich hier zwei passende Links dazu herausgesucht.

1. Das notwendige PowerShell-Script
2. Erläuterung der Installation und Nutzung von 1. in der PS.

Ich muss gestehen das mein Erfahrungen mit der PS gering sind und jeder diese Infos auf eigene Verantwortung nutzt. Die Frage "Ausführungsrichtlinie ändern" einfach mit Enter bestätigen, dann wird die Richtlinie nicht geändert (ist so voreingestellt).

Hier noch ein Screenshot.

[1ST1]

Das sieht gut aus.

Dass ich nicht auf den Download-Link geantwortet habe, liegt daran, dass in dem Heise-Artikel alles eigentlich erklärt wird. Man öffnet die Powershell, gibt ein paar Befehle ein, mit denen der Download des Scripts aus einem Microsoft-Repository gestartet wird und startet es dann.

Wer das selbst testen will, folgt dem Heise-Link.

[Arthur]

Ich denke das Thema wird nicht nur Intel und AMD noch länger beschäftigen. Evtl. lernen sie ja etwas daraus und CPU's werden nicht nur auf Geschwindigkeit sondern noch mehr auf Sichererheit getestet. Zum einen finde ich es gut das es Überhaupt eine Möglichkeit gibt per MicroCodeUpdate hier Fehler zu verringer oder zu beseitigen... zum anderen werden die CPU's dadurch auch etwas langsamer... hab ich irgendwo mal gelesen.

Gab es eigentlich einen brisanten Fall wo Meltdown oder Spectre in freier Wildbahn zum Zug gekommen sind?

[1ST1]

Mir ist kein Fall bekannt, aber an die große Glocke wird das niemand hängen. Denn für den Privatmann oder Bürohengst ist Spectre 1-4 / Meltdown eher weniger relevant, da sehr anspruchsvoll in der Umsetzung (nix für Scriptkiddies) und dann liegt die Performance bei maximal 1500 Bytes pro Sekunde, die man auslesen kann. So ein Angriff ist sehr speziell, weil der Angreifer, soweit ich verstanden habe, das genaue CPU-Modell kennen muss, da es sonst nicht funktioniert, und so spezielle Tools wird möglicherweise auch kein Antivirus erkennen. Da gibts leider noch deutlich einfacher ausnutzbare Lücken, die solche Systeme betreffen. Spectre / Meltdown ist eher relevant für Cloudanwendungen, wo du dann von einem virtuellen Server aus alle anderen virtuellen Server auf dem selben Virtualisierungs-Host auslesen kannst, und da hat man mitunter ja auch Zeit, weil Server rund um die Uhr laufen.

Fast problematischer als die Sicherheitslücke selbst sehe ich den Performanceverlust durch die Patches. Da ich selbst meine Brötchen mit VMware Virtualisierung verdiene, hab ich die Gelegenheit genutzt und eigene Bechmarks in so einer Umgebung gemacht und dabei festgestellt, dass insbesondere die IO-Bandbreite, also Festplattenugriffe der VMs um bis zu 30% nach den Updates in die Knie gehen kann, allerdings hab ich das bisher nur mit synthetischen Benchmarks wie IOMetre und Crystal Diskmark in Einzeldisziplinen gehabt. Interessanterweise, um so schneller das Storage, um so höher die möglichen Performance-Einbrüche... Das betrifft übrigens auch, wie ich an diversen Stellen gelesen habe, SSDs in Laptops und PCs. Auch Einbrüche bei grafikintensiven Benchmarks konnte ich in bestimmten Einzeltests auf den VMs sehen. In der Praxis hat das bei den von mir betreuten Umgebungen bisher nicht so massive Auswirkungen gehabt, insbesondere wird Grafik in Server-VMs so gut wie garnicht verwendet. Bei virtuellen CAD-Desktops, sowas kann man mit VMware und Citrix auch "bauen", sogar mit Hardwarebeschleunigung durch physische Grafikkarten in den Hypervisor-HostsAber bei einem hochbelasteten Datenbankserver wird das aber durchaus spürbar sein, wenn Transaktionen plötzlich 30% mehr Zeit brauchen, da ist es dann nötig, der VM noch mehr Rechenleistung und IO zu geben, letzteres läuft insbesondere auf Verbesserung der Storageleistung hinaus, was man im schlechtesten Fall nur durch Austausch des gesamten Storagesystems hinbekommt, so dann schnell mal 6-stellige Anschaffungskosten im Raum stehen. 

[Arthur]

@1ST1, ein interessanter Aspekt mit den enstehenden Kosten durch den Performanceverlust, wo doch gerade an und in der IT bei einigen Unternehmen gespart wird.