Testet AMD Microcode-Updates gegen Spectre im Insider-Programm?

Kurz nach Bekannt­wer­den der Sicher­heits­lü­cken Melt­down und Spect­re in moder­nen Pro­zes­so­ren Anfang Janu­ar 2018 ver­öf­fent­lich­te Intel ers­te Micro­code-Updates für sei­ne Pro­zes­so­ren, um die Gegen­maß­nah­men auf Soft­ware­sei­te mit neu­en Hard­ware-Befeh­len zu unter­stüt­zen. Doch schon weni­ge Tage spä­ter muss­te Intel die Micro­code-Updates wie­der zurück­zie­hen, da es Mel­dun­gen über Insta­bi­li­tä­ten nach den Updates gab. Mitt­ler­wei­le sind die ers­ten, ver­bes­ser­ten Ver­sio­nen für Intel Sky­la­ke wie­der online und wer­den sogar über das Win­dows-Update aus­ge­rollt, müs­sen also nicht zwin­gend von den Main­board-Her­stel­lern in Form neu­er BIOS-Ver­sio­nen ver­öf­fent­licht und von Anwen­dern manu­ell ein­ge­spielt wer­den.

Mit ande­ren Wor­ten: es tut sich etwas bei Intel, was aber auch drin­gend not­wen­dig ist, da Intel von allen drei Vari­an­ten der Lücken betrof­fen ist, mit der Sky­la­ke-Archi­tek­tur sogar in einer Form, die Goo­g­les Ret­po­li­ne-Gegen­maß­nah­me ins Lee­re lau­fen lässt. Daher kon­zen­trier­te sich Intel ver­mut­lich zuerst auf die­se Archi­tek­tur. Ande­re sol­len fol­gen, bis zurück zum Core 2 “Pen­ryn”.

Bei AMD dage­gen ist es immer noch ver­däch­tig ruhig was Micro­code-Updates betrifft. Zwar hat AMD ein­ge­räumt, auch von Spect­re v2 betrof­fen zu sein, jedoch nur mit einem Risi­ko “nahe Null”. Zudem sähe man Spect­re v2 ger­ne mit jener Gegen­maß­nah­me bekämpft, die unter Linux gewählt wur­de, da AMD so völ­lig ohne Micro­code-Updates aus­kä­me. Micro­soft jedoch hat sich für den ande­ren Weg über Indi­rect Branch Restric­ted Spe­cu­la­ti­on (IBRS), Sin­gle Thread Indi­rect Branch Pre­dic­tors (STIBP) und Indi­rect Branch Pre­dic­tor Bar­ri­er (IBPB) ent­schie­den, wodurch auch für AMD-Pro­zes­so­ren Micro­code-Updates not­wen­dig wer­den. Wann die kom­men wer­den und für wel­che Archi­tek­tu­ren, hat AMD noch nicht kom­mu­ni­ziert.

Heu­te jedoch haben Besu­cher unse­res Forums eine inter­es­san­te Ent­de­ckung im Rah­men unse­rer Mel­dung zum Tool InSpect­re gemacht. Das Tool wer­tet unter Win­dows Hard- und Soft­ware aus und mel­det, ob das ver­bau­te Sys­tem gegen Melt­down und Spect­re geschützt ist oder nicht. Bei einem AMD Ryzen “Sum­mit Ridge” sieht das unter Win­dows 10 v1709 nor­ma­ler­wei­se so aus:

Geschützt vor Melt­down (da AMD-Pro­zes­so­ren nicht betrof­fen sind), nicht geschützt vor Spect­re, da es noch kein Micro­code-Update von AMD gibt, und folg­lich auch kei­ne Per­for­mance-Ein­bu­ßen. So weit, so nor­mal.

User The­Power­Of­Dream hat bei sei­nem Ryzen-Sys­tem jedoch fol­gen­den Sta­tus:

Ryzen Spectre Microcode Update

Hier mel­det InSpect­re völ­lig über­ra­schend, dass das Sys­tem gegen Spect­re gepatcht sei:

This system’s AMD pro­ces­sor is not affec­ted by the Melt­down vul­nera­bi­li­ty and it has been updated with new fea­tures requi­red to allow its ope­ra­ting sys­tem to eli­mi­na­te the Spect­re vul­nera­bi­li­ties and/or to mini­mi­ze their impact upon the system’s per­for­mance.

Zunächst ein­mal fiel der Ver­dacht auf das Main­board-BIOS. Der User hat die neu­es­te Ver­si­on 4.70 des ASRock AB350M-Pro4 instal­liert, das bereits AGESA PinnaclePI-AM4_1.0.0.1a ent­hält. Aller­dings zeig­te ein Gegen­test im Forum, dass ein ande­rer User mit dem glei­chen AGE­SA-Code und glei­cher BIOS-Ver­si­on beim Spect­re-Fix den Wert No! ste­hen hat. Oder auf einen Blick:

User The­Power­Of­Dream:

User Lord­Nord:

Glei­cher Main­board-Her­stel­ler, glei­cher Chip­satz, glei­che BIOS-Ver­si­on, glei­cher AGE­SA-Code, glei­che Pro­zes­sor-Fami­lie. Der ein­zi­ge Unter­schied: Lord­Nord ist ganz nor­mal mit Win­dows 10 v1709 und aktu­el­lem Main­stream Build 16299.251 unter­wegs, wohin­ge­gen User The­Power­Of­Dream am Insi­der-Pro­gramm teil­nimmt und sich der­zeit auf Stand Win­dows 10 “Redstone 5” Build 17618.1000 befin­det. Es sieht dem­nach so aus, als wür­de AMD hier sei­ne Micro­code-Updates fern­ab der brei­ten Mas­se tes­ten. Inter­es­sant ist ledig­lich, dass HWiNFO64 für bei­de Sys­te­me die glei­che Micro­code-Ver­si­on aus­liest; µCU 8001136. Falls Win­dows hier aktu­el­le­ren Micro­code nach­lädt, kriegt es HWiNFO64 jeden­falls nicht mit.

Die ande­re mög­li­che Erklä­rung wäre, dass Micro­soft in Redstone 5 – immer­hin erst die über­nächs­te Win­dows-10-Ver­si­on – soet­was wie “Ret­po­li­ne for Win­dows” tes­tet, wodurch die AMD-Pro­zes­so­ren auch ohne Micro­code-Update geschützt wären, und die Tools des­we­gen dar­auf ansprin­gen.

Ein zunächst ver­mu­te­ter Aus­le­se­feh­ler des Tools InSpect­re scheint unwahr­schein­lich, denn das Micro­soft-eige­ne Powers­hell-Skript kenn­zeich­net den Ryzen “Sum­mit Ridge” unter der Win­dows 10 RS5-Pre­view eben­falls als gepatcht und geschützt vor Spect­re. Müss­ten sich dann schon zwei Tools irren. Wir blei­ben dies­be­züg­lich am Ball…
Dan­ke The­Power­Of­Dream und Lord­Nord für’s gegen­tes­ten!