Intel legt mit Microcode-Updates vor – AMD beginnt mit Epyc
In den letzten Tagen hat Intel sein Versprechen wahr gemacht und eine ganze Palette an Microcode-Updates für seine Prozessoren veröffentlicht. Das Update rüstet drei Befehle nach, die insbesondere für den von Microsoft gewählten Weg benötigt werden, die Spectre-v2-Lücke zu lindern. Die Microcode-Updates umfassen bisher sämtliche Prozessoren der letzten 7 Jahre, also alles ab Sandy Bridge; ausgenommen jene Atom-Prozessoren, wie wegen In-Order-Architektur von den Lücken nicht betroffen sind (Bonnell-Familie). Um das gegebene Versprechen, zu 100 % alle CPUs der letzten 10 Jahre zu patchen, zu erfüllen fehlen also nur noch Nehalem (Bloomfield, Lynnfield, etc.) und Penryn (Wolfdale, etc.). Insofern kommt Intel gut voran.
Zudem hat Intel-CEO Brian Krzanich mitgeteilt, dass bereits der für Herbst 2018 erwartete Xeon der Cascade Lake Familie, sowie nicht näher benannte “8th Generation Intel® Core™ processors” einen Hardware-Fix erhalten sollen gegen Meltdown und Spectre:
While Variant 1 will continue to be addressed via software mitigations, we are making changes to our hardware design to further address the other two. We have redesigned parts of the processor to introduce new levels of protection through partitioning that will protect against both Variants 2 and 3. Think of this partitioning as additional “protective walls” between applications and user privilege levels to create an obstacle for bad actors.
Bei AMD dagegen ist bisher noch nichts zu sehen von Microcode-Updates, zumindest nicht bei den Desktop-Prozessoren. Allerdings ist die Ausgangslage bei AMD auch eine andere. Von Meltdown sind AMD-Prozessoren bekanntlich gar nicht betroffen, Spectre v1 wird per Software “gelindert” und bei Spectre v2 besteht laut AMD nur ein “near zero risk”, dass die Lücke ausgenutzt werden kann. Zudem hat AMD bereits mehrfach mitgeteilt, dass man diesem Restrisiko durch Spectre v2 gerne mit der Retpoline-Technik begegnen würde, wie es in der Linux-Welt umgesetzt wird, da man so ohne Microcode-Updates auskäme.
Ohne großes Aufsehen hat AMD aber anscheinend bereits erste Microcode-Updates an die Mainboard-Hersteller ausgeliefert. Eine gesonderte Mitteilung gab es dazu nicht und uns ist es auch nur aufgefallen, da wir – unsere Leser wissen es – momentan an einem Webserver-Upgrade auf Epyc arbeiten. Unser auserwähltes Mainboard ist das Supermicro H11SSL‑i, und was lesen unsere Augen da in den Release-Notes zum neuesten BIOS-Update?
“Applied security patch to address Spectre variant 2” ist dort zu lesen. Das macht einerseits Sinn, denn Server – insbesondere wenn sie als Cloud- oder vServer laufen – sind besonders bedroht von den neuen Angriffszenarien über die CPU-Features. Andererseits arbeiten die meisten Server mit Linux, wo es bei einem Epyc-System dieses Microcode-Updates gar nicht bedürfte. Da Epyc allerdings auch in der Microsoft Azure-Cloud unter Windows Server eingesetzt wird, dürfte hier der Grund liegen, warum AMD die Mitigation zuerst bei Epyc bringt.
Es gibt also dieses Microcode-Update von AMD, zumindest für die Zen-Architektur. Warum es AMD für Ryzen aktuell noch zurückhält, muss daher ein Geheimnis bleiben. Allerdings haben wir bereits letzte Woche gezeigt, dass mit der übernächsten Windows 10 Version Redstone 5 plötzlich alle verfügbaren Tools einen aktiven Schutz bei Ryzen gegen Spectre v2 melden, obwohl augenscheinlich kein Microcode-Update nachgeladen wurde. Es könnte also sein, dass Microsoft für Redstone 5, das final im Herbst erwartet wird, an einer Art “Retpoline for Windows” arbeitet und AMD sich deswegen aufwändige Microcode-Updates für bestehende Plattformen komplett sparen möchte. Andererseits ist zu hören, dass Zen+ alias Pinnacle Ridge bereits ab Werk mit einem Microcode-Fix kommen soll. Das hieß es bei Raven Ridge im Vorfeld jedoch auch, und geworden ist daraus bisher nichts. Es bleibt also spannend.
Links zum Thema:
- AMD Epyc verliert kaum Leistung durch Spectre-v2-Fix Retpoline ()
- Testet AMD Microcode-Updates gegen Spectre im Insider-Programm? ()
- Spectre Firmware-Updates: Mainboard-Hersteller warten auf AMD ()
- AMD Epyc nun auch im Sortiment von Dell EMC ()
- AMD gibt Programmierleitfaden gegen Spectre heraus ()
- Massive Sicherheitslücke in Intel-CPUs (Update: AMD, ARM, Bugfixes) ()
- Microsoft startet Azure Lv2-Cloudserie mit AMD Epyc ()