Testet AMD Microcode-Updates gegen Spectre im Insider-Programm? (Update 2)

Update vom 05.04.2018
Mit dem Win­dows 10 Release RS4 17133.1 mel­det nun auch der AMD Epyc “Nap­les” einen akti­vier­ten Spect­re-Schutz. Das ist aber auch nach­voll­zieh­bar, denn wie berich­tet hat das Sys­tem via BIOS-Update ein Micro­code-Update erhal­ten. Trotz­dem war der Spect­re-Schutz mit der “alten” Win­dows-10-Ver­si­on 1709 selbst auf neu­es­tem Patch­le­vel nicht aktiv. Mit dem vor­aus­sicht­lich am 10.04.2018 erschei­nen­den “Spring Crea­tors Update” Ver­si­on 1803 nun jedoch schon.

Update vom 22.03.2018
Inzwi­schen, 2 Wochen spä­ter, haben wir von AMD lei­der immer noch kei­ne Info dazu erhal­ten, wes­halb das Ryzen-Sys­tem mit dem Insi­der-Pre­view RS5 von Win­dows 10 plötz­lich einen akti­vier­ten Schutz gegen Spect­re mel­de­te. Sicher ist, dass die Ver­si­on Micro­code-Updates für Intel-CPUs nach­lädt und zwar out-of-the-box, also ohne Ver­bin­dung ins Inter­net. Bei den Ryzen-CPUs dage­gen konn­ten wir wie geschil­dert kei­ne geän­der­te Micro­code-Ver­si­on fest­stel­len. Damit konn­te nicht geklärt wer­den, wo der plötz­lich akti­vier­te Schutz her­kam. Die ande­re mög­li­che Erklä­rung, dass Micro­soft in der Pre­view eine Art Ret­po­li­ne for Win­dows tes­tet, kann auch nur halb erklä­ren was hier pas­siert ist, denn auf älte­ren Sys­te­men wie AMD Phe­nom II X4 gab es trotz der Insi­der-Pre­view Redstone 5 kei­nen Spect­re-Schutz.

Heu­te nun ist für die dem­nächst erschei­nen­de Win­dows-10-Ver­si­on Redstone 4 ein neu­er Release-Can­di­da­te 17127.1 erschie­nen. Und wie unse­rem Forums­be­su­cher Blu­ten­gel auf­ge­fal­len ist, zeigt sein Ryzen-Sys­tem nun auch hier plötz­lich einen akti­vier­ten Spect­re-Schutz an.

Auf­fäl­lig: wie­der ist es die­ses ASRock-Main­board mit BIOS 4.7, das den AGE­SA-Code PinnaclePI-AM4_1.0.0.1a ent­hält. Das allein kann es aber nicht sein, denn noch vor ein paar Tagen zeig­te auch sein Sys­tem noch Spect­re-Schutz “No”, obwohl auch zu die­ser Zeit schon BIOS 4.7 geflasht war. Womög­lich also eine Kom­bi­na­ti­on aus BIOS und neu­er Win­dows-Ver­si­on? Es bleibt span­nend.

Ori­gi­nal­ar­ti­kel vom 08.03.2018
Kurz nach Bekannt­wer­den der Sicher­heits­lü­cken Melt­down und Spect­re in moder­nen Pro­zes­so­ren Anfang Janu­ar 2018 ver­öf­fent­lich­te Intel ers­te Micro­code-Updates für sei­ne Pro­zes­so­ren, um die Gegen­maß­nah­men auf Soft­ware­sei­te mit neu­en Hard­ware-Befeh­len zu unter­stüt­zen. Doch schon weni­ge Tage spä­ter muss­te Intel die Micro­code-Updates wie­der zurück­zie­hen, da es Mel­dun­gen über Insta­bi­li­tä­ten nach den Updates gab. Mitt­ler­wei­le sind die ers­ten, ver­bes­ser­ten Ver­sio­nen für Intel Sky­la­ke wie­der online und wer­den sogar über das Win­dows-Update aus­ge­rollt, müs­sen also nicht zwin­gend von den Main­board-Her­stel­lern in Form neu­er BIOS-Ver­sio­nen ver­öf­fent­licht und von Anwen­dern manu­ell ein­ge­spielt wer­den.

Mit ande­ren Wor­ten: es tut sich etwas bei Intel, was aber auch drin­gend not­wen­dig ist, da Intel von allen drei Vari­an­ten der Lücken betrof­fen ist, mit der Sky­la­ke-Archi­tek­tur sogar in einer Form, die Goo­g­les Ret­po­li­ne-Gegen­maß­nah­me ins Lee­re lau­fen lässt. Daher kon­zen­trier­te sich Intel ver­mut­lich zuerst auf die­se Archi­tek­tur. Ande­re sol­len fol­gen, bis zurück zum Core 2 “Pen­ryn”.

Bei AMD dage­gen ist es immer noch ver­däch­tig ruhig was Micro­code-Updates betrifft. Zwar hat AMD ein­ge­räumt, auch von Spect­re v2 betrof­fen zu sein, jedoch nur mit einem Risi­ko “nahe Null”. Zudem sähe man Spect­re v2 ger­ne mit jener Gegen­maß­nah­me bekämpft, die unter Linux gewählt wur­de, da AMD so völ­lig ohne Micro­code-Updates aus­kä­me. Micro­soft jedoch hat sich für den ande­ren Weg über Indi­rect Branch Restric­ted Spe­cu­la­ti­on (IBRS), Sin­gle Thread Indi­rect Branch Pre­dic­tors (STIBP) und Indi­rect Branch Pre­dic­tor Bar­ri­er (IBPB) ent­schie­den, wodurch auch für AMD-Pro­zes­so­ren Micro­code-Updates not­wen­dig wer­den. Wann die kom­men wer­den und für wel­che Archi­tek­tu­ren, hat AMD noch nicht kom­mu­ni­ziert.

Heu­te jedoch haben Besu­cher unse­res Forums eine inter­es­san­te Ent­de­ckung im Rah­men unse­rer Mel­dung zum Tool InSpect­re gemacht. Das Tool wer­tet unter Win­dows Hard- und Soft­ware aus und mel­det, ob das ver­bau­te Sys­tem gegen Melt­down und Spect­re geschützt ist oder nicht. Bei einem AMD Ryzen “Sum­mit Ridge” sieht das unter Win­dows 10 v1709 nor­ma­ler­wei­se so aus:

Geschützt vor Melt­down (da AMD-Pro­zes­so­ren nicht betrof­fen sind), nicht geschützt vor Spect­re, da es noch kein Micro­code-Update von AMD gibt, und folg­lich auch kei­ne Per­for­mance-Ein­bu­ßen. So weit, so nor­mal.

User The­Power­Of­Dream hat bei sei­nem Ryzen-Sys­tem jedoch fol­gen­den Sta­tus:

Ryzen Spectre Microcode Update

Hier mel­det InSpect­re völ­lig über­ra­schend, dass das Sys­tem gegen Spect­re gepatcht sei:

This system’s AMD pro­ces­sor is not affec­ted by the Melt­down vul­nera­bi­li­ty and it has been updated with new fea­tures requi­red to allow its ope­ra­ting sys­tem to eli­mi­na­te the Spect­re vul­nera­bi­li­ties and/or to mini­mi­ze their impact upon the system’s per­for­mance.

Zunächst ein­mal fiel der Ver­dacht auf das Main­board-BIOS. Der User hat die neu­es­te Ver­si­on 4.70 des ASRock AB350M-Pro4 instal­liert, das bereits AGESA PinnaclePI-AM4_1.0.0.1a ent­hält. Aller­dings zeig­te ein Gegen­test im Forum, dass ein ande­rer User mit dem glei­chen AGE­SA-Code und glei­cher BIOS-Ver­si­on beim Spect­re-Fix den Wert No! ste­hen hat. Oder auf einen Blick:

User The­Power­Of­Dream:

User Lord­Nord:

Glei­cher Main­board-Her­stel­ler, glei­cher Chip­satz, glei­che BIOS-Ver­si­on, glei­cher AGE­SA-Code, glei­che Pro­zes­sor-Fami­lie. Der ein­zi­ge Unter­schied: Lord­Nord ist ganz nor­mal mit Win­dows 10 v1709 und aktu­el­lem Main­stream Build 16299.251 unter­wegs, wohin­ge­gen User The­Power­Of­Dream am Insi­der-Pro­gramm teil­nimmt und sich der­zeit auf Stand Win­dows 10 “Redstone 5” Build 17618.1000 befin­det. Es sieht dem­nach so aus, als wür­de AMD hier sei­ne Micro­code-Updates fern­ab der brei­ten Mas­se tes­ten. Inter­es­sant ist ledig­lich, dass HWiNFO64 für bei­de Sys­te­me die glei­che Micro­code-Ver­si­on aus­liest; µCU 8001136. Falls Win­dows hier aktu­el­le­ren Micro­code nach­lädt, kriegt es HWiNFO64 jeden­falls nicht mit.

Die ande­re mög­li­che Erklä­rung wäre, dass Micro­soft in Redstone 5 – immer­hin erst die über­nächs­te Win­dows-10-Ver­si­on – soet­was wie “Ret­po­li­ne for Win­dows” tes­tet, wodurch die AMD-Pro­zes­so­ren auch ohne Micro­code-Update geschützt wären, und die Tools des­we­gen dar­auf ansprin­gen.

Ein zunächst ver­mu­te­ter Aus­le­se­feh­ler des Tools InSpect­re scheint unwahr­schein­lich, denn das Micro­soft-eige­ne Powers­hell-Skript kenn­zeich­net den Ryzen “Sum­mit Ridge” unter der Win­dows 10 RS5-Pre­view eben­falls als gepatcht und geschützt vor Spect­re. Müss­ten sich dann schon zwei Tools irren. Wir blei­ben dies­be­züg­lich am Ball…
Dan­ke The­Power­Of­Dream und Lord­Nord für’s gegen­tes­ten!