Spectre Firmware-Updates: Mainboard-Hersteller warten auf AMD

Seit Bekanntwerden der Sicherheitslücken Meltdown und Spectre (wir berichteten) herrscht hektische Betriebsamkeit sowohl bei Hardware‑, als auch bei den Software-Herstellern. Das ist einerseits löblich, kann andererseits aber verheerend sein, wenn Patches und Updates nicht sauber getestet werden. So geschehen beim Windows-Update, als auch bei den ersten Microcode-Updates für Intel-Prozessoren, die wieder zurückgezogen werden mussten. Allerdings ist Intel auch gezwungen rasch zu liefern, da ihre Prozessoren besonders stark betroffen sind: von Spectre in beiden Varianten, zudem von Meltdown. Obendrein sollen die Skylake-Prozessoren im Speziellen zusätzlich anfällig sein, da die von Google vorgeschlagenen Retpoline-Gegenmaßnahmen bei diesem CPU-Typ nicht ausreichen.

AMD dagegen hat es vergleichsweise glimpflich erwischt. Von Meltdown ist man aufgrund von Architektur-Unterschieden zu Intel gar nicht betroffen. Über Spectre hingegen muss AMD sich ebenfalls Gedanken machen, wie im Grunde jeder CPU-Hersteller, der Out-of-Order Execution, Speculative Execution und Branch Prediction in seinen Produkten einsetzt. Nun hat AMD kürzlich klargestellt, dass man Spectre gerne auf eine bestimmte Art und Weise begegnen würde (wir berichteten). Mit den beschriebenen Maßnahmen könnte bei AMD-Prozessoren auf ein Microcode-Update verzichtet werden. Die Linux-Welt scheint auch tatsächlich diesen Weg zu beschreiten.

Das Problem ist: Microsoft scheint sich hinsichtlich Windows für einen anderen Weg entschieden zu haben. Damit das funktioniert, sind aber auch für AMD-Prozessoren Microcode-Updates erforderlich. So sollen Raven Ridge und Pinnacle Ridge die Microcode-Updates bereits ab Werk erhalten und die Zen-2-CPUs, die für 2019 erwartet werden, Anpassungen in Hardware erfahren.

Für die bereits ausgelieferten Prozessoren hingegen hat AMD noch keine Microcode-Updates veröffentlicht. Man könnte natürlich sagen “lieber anständig validieren” statt einen Schnellschuß zu fabrizieren, den man anschließend wieder zurückholen muss. Andererseits scheint es aber auch keinen fixen Fahrplan zu geben, zumindest keinen, der mit den Mainboard-Herstellern abgesprochen ist, die das Update letzendlich in Form eines BIOS-Updates veröffentlichen müssen, denn folgende Info hat User RedBaron von einem Mainboard-Hersteller erhalten, der angefragt hatte, wann mit entsprechenden Sicherheitsupdates zu rechnen ist:

Sofern wir von AMD mit den entsprechenden Microcodes versorgt werden, können wir auch beginnen auch auf AMD Seite gegen Spectre und Meltdown [sic] vorzugehen. Ich bitte Sie aber in der Hinsicht zu verstehen, dass wir hier seitens der großen CPU Hersteller massiv auf deren Zuarbeit angewiesen sind, da **** weder Prozessoren herstellt, noch selbst die Microcodes entwickelt.

Solange in der Hinsicht seitens AMD nichts kommt, können wir leider auch keine eventuellen Biosupdates für unsere Kunden bereitstellen. Daher kann ich Ihnen auch keinen genauen Termin für eventuell kommende Updates nennen, tut mir leid.

Intel hingegen hat mittlerweile bekanntgegeben, Microcode-Updates bis zurück zu den Core-2-Prozessoren in 45 nm entwickeln zu wollen; das wäre der Penryn von Ende 2007. Was AMD mit seinen zurückliegenden Prozessoren plant, die noch nicht auf Zen basieren – Bulldozer, Cats, K10, K8 – wurde noch nicht kommuniziert.

Links zum Thema:

AMD gibt Programmierleitfaden gegen Spectre heraus (26.01.2018)
Bootfehler nach Windows-Update auch bei neuen Systemen (24.01.2018)
Microsoft bringt kumulatives Update KB4073290 mit AMD-Patch (18.01.2018)
AMD stellt klar: MS-Patch nur gegen Spectre auf AMD-Hardware (10.01.2018)
Microsoft zieht Meltdown-Patch für AMD-Systeme zurück (09.01.2018)
Massive Sicherheitslücke in Intel-CPUs (Update: AMD, ARM, Bugfixes) (05.01.2018)