Intel legt mit Microcode-Updates vor – AMD beginnt mit Epyc

In den letz­ten Tagen hat Intel sein Ver­spre­chen wahr gemacht und eine gan­ze Palet­te an Micro­code-Updates für sei­ne Pro­zes­so­ren ver­öf­fent­licht. Das Update rüs­tet drei Befeh­le nach, die ins­be­son­de­re für den von Micro­soft gewähl­ten Weg benö­tigt wer­den, die Spect­re-v2-Lücke zu lin­dern. Die Micro­code-Updates umfas­sen bis­her sämt­li­che Pro­zes­so­ren der letz­ten 7 Jah­re, also alles ab San­dy Bridge; aus­ge­nom­men jene Atom-Pro­zes­so­ren, wie wegen In-Order-Archi­tek­tur von den Lücken nicht betrof­fen sind (Bon­nell-Fami­lie). Um das gege­be­ne Ver­spre­chen, zu 100 % alle CPUs der letz­ten 10 Jah­re zu patchen, zu erfül­len feh­len also nur noch Neha­lem (Bloom­field, Lynn­field, etc.) und Pen­ryn (Wolf­da­le, etc.). Inso­fern kommt Intel gut voran.

Zudem hat Intel-CEO Bri­an Krza­nich mit­ge­teilt, dass bereits der für Herbst 2018 erwar­te­te Xeon der Cas­ca­de Lake Fami­lie, sowie nicht näher benann­te “8th Gene­ra­ti­on Intel® Core™ pro­ces­sors” einen Hard­ware-Fix erhal­ten sol­len gegen Melt­down und Spectre:

While Vari­ant 1 will con­ti­nue to be addres­sed via soft­ware miti­ga­ti­ons, we are making chan­ges to our hard­ware design to fur­ther address the other two. We have rede­si­gned parts of the pro­ces­sor to intro­du­ce new levels of pro­tec­tion through par­ti­tio­ning that will pro­tect against both Vari­ants 2 and 3. Think of this par­ti­tio­ning as addi­tio­nal “pro­tec­ti­ve walls” bet­ween appli­ca­ti­ons and user pri­vi­le­ge levels to crea­te an obs­ta­cle for bad actors.

Bei AMD dage­gen ist bis­her noch nichts zu sehen von Micro­code-Updates, zumin­dest nicht bei den Desk­top-Pro­zes­so­ren. Aller­dings ist die Aus­gangs­la­ge bei AMD auch eine ande­re. Von Melt­down sind AMD-Pro­zes­so­ren bekannt­lich gar nicht betrof­fen, Spect­re v1 wird per Soft­ware “gelin­dert” und bei Spect­re v2 besteht laut AMD nur ein “near zero risk”, dass die Lücke aus­ge­nutzt wer­den kann. Zudem hat AMD bereits mehr­fach mit­ge­teilt, dass man die­sem Rest­ri­si­ko durch Spect­re v2 ger­ne mit der Ret­po­li­ne-Tech­nik begeg­nen wür­de, wie es in der Linux-Welt umge­setzt wird, da man so ohne Micro­code-Updates auskäme.

Ohne gro­ßes Auf­se­hen hat AMD aber anschei­nend bereits ers­te Micro­code-Updates an die Main­board-Her­stel­ler aus­ge­lie­fert. Eine geson­der­te Mit­tei­lung gab es dazu nicht und uns ist es auch nur auf­ge­fal­len, da wir – unse­re Leser wis­sen es – momen­tan an einem Web­ser­ver-Upgrade auf Epyc arbei­ten. Unser aus­er­wähl­tes Main­board ist das Super­mi­cro H11SSL‑i, und was lesen unse­re Augen da in den Release-Notes zum neu­es­ten BIOS-Update?

“Appli­ed secu­ri­ty patch to address Spect­re vari­ant 2” ist dort zu lesen. Das macht einer­seits Sinn, denn Ser­ver – ins­be­son­de­re wenn sie als Cloud- oder vSer­ver lau­fen – sind beson­ders bedroht von den neu­en Angriff­sze­na­ri­en über die CPU-Fea­tures. Ande­rer­seits arbei­ten die meis­ten Ser­ver mit Linux, wo es bei einem Epyc-Sys­tem die­ses Micro­code-Updates gar nicht bedürf­te. Da Epyc aller­dings auch in der Micro­soft Azu­re-Cloud unter Win­dows Ser­ver ein­ge­setzt wird, dürf­te hier der Grund lie­gen, war­um AMD die Miti­ga­ti­on zuerst bei Epyc bringt.

Es gibt also die­ses Micro­code-Update von AMD, zumin­dest für die Zen-Archi­tek­tur. War­um es AMD für Ryzen aktu­ell noch zurück­hält, muss daher ein Geheim­nis blei­ben. Aller­dings haben wir bereits letz­te Woche gezeigt, dass mit der über­nächs­ten Win­dows 10 Ver­si­on Reds­tone 5 plötz­lich alle ver­füg­ba­ren Tools einen akti­ven Schutz bei Ryzen gegen Spect­re v2 mel­den, obwohl augen­schein­lich kein Micro­code-Update nach­ge­la­den wur­de. Es könn­te also sein, dass Micro­soft für Reds­tone 5, das final im Herbst erwar­tet wird, an einer Art “Ret­po­li­ne for Win­dows” arbei­tet und AMD sich des­we­gen auf­wän­di­ge Micro­code-Updates für bestehen­de Platt­for­men kom­plett spa­ren möch­te. Ande­rer­seits ist zu hören, dass Zen+ ali­as Pin­na­cle Ridge bereits ab Werk mit einem Micro­code-Fix kom­men soll. Das hieß es bei Raven Ridge im Vor­feld jedoch auch, und gewor­den ist dar­aus bis­her nichts. Es bleibt also spannend.