April-Patch nutzt Microcode-Updates für AMD-CPUs mit Spectre-Schutz
Gestern Abend unserer Zeit hat Microsoft sein kumulatives Update für April 2018 veröffentlicht. Neben der üblichen kleineren Sicherheitsupdates enthält das Paket nun auch Spectre-Schutz für AMD-Prozessoren bis zurück zu Bulldozer:
Provides support to control usage of Indirect Branch Prediction Barrier (IBPB) within some AMD processors (CPUs) for mitigating CVE-2017–5715, Spectre Variant 2 when switching from user context to kernel context (See AMD Architecture Guidelines around Indirect Branch Control and AMD Security Updates for more details). Follow instructions outlined in KB4073119 for Windows Client (IT Pro) guidance to enable usage of IBPB within some AMD processors (CPUs) for mitigating Spectre Variant 2 when switching from user context to kernel context.
Dazu hat AMD ein Whitepaper veröffentlicht, das die Schutzmaßnahmen gegen die Spectre Variante 2 erläutert. Genau wie Intel setzt AMD unter Windows zwangsweise auch auf neue Befehle, die per Microcode in die CPUs eingebracht werden müssen. Allerdings legt AMD – anders als Intel – nahe, von den drei neuen Befehlen nur die Indirect Branch Prediction Barrier (IBPB) zu nutzen. Die beiden anderen Befehle Indirect Branch Restricted Speculation (IBRS) und Single Thread Indirect Branch Predictor (STIBP) hält AMD in Sachen Performance für nicht zweckmäßig.
Damit Windows den Spectre-Schutz nutzen kann, gibt es zwei Möglichkeiten. Entweder der Mainboard-Hersteller veröffentlicht ein neues BIOS, das den Microcode auf die neueste Version aktualisiert, oder aber man lässt Windows das Microcode-Update nachladen, was insbesondere für ältere Plattformen (Bulldozer, Piledriver, etc.) sinnvoll wäre, wo keine BIOS-Updates mehr zu erwarten sind. Allerdings ist aktuell noch offen ob dies für AMD-CPUs geschehen wird. Anders als bei Intel muss bei AMD der Schutz zudem manuell aktiviert werden. Die detaillierte Vorgehensweise ist unter KB4073119 beschrieben. Zusammengefasst müssen folgende Werte in der Registry gesetzt werden:
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management” /v FeatureSettingsOverride /t REG_DWORD /d 64 /f
reg add “HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management” /v FeatureSettingsOverrideMask /t REG_DWORD /d 3 /f
Derzeit ist der Spectre-Schutz für AMD-Prozessoren nur für Windows 10 v1709 erhältlich, dürfte jedoch auch in v1803 kommen, sobald offiziell erhältlich. Ob ältere Windows-Versionen – auch ältere Windows-10-Versionen – noch versorgt werden, wurde noch nicht kommuniziert. Gegen Spectre Variante 1 waren auch AMD-Prozessoren bisher schon per Software geschützt, für Meltdown waren AMD-Prozessoren im Gegensatz zu Intel-CPUs nie anfällig.
Links zum Thema:
- Testet AMD Microcode-Updates gegen Spectre im Insider-Programm? (Update 2) ()
- Intel legt mit Microcode-Updates vor – AMD beginnt mit Epyc ()
- AMD Epyc verliert kaum Leistung durch Spectre-v2-Fix Retpoline ()
- InSpectre Release #7 mit CPUID veröffentlicht ()
- Klagen gegen AMD wegen Sicherheitslücke Spectre ()
- Spectre Firmware-Updates: Mainboard-Hersteller warten auf AMD ()
- AMD gibt Programmierleitfaden gegen Spectre heraus ()
- Microsoft bringt kumulatives Update KB4073290 mit AMD-Patch ()
- AMD stellt klar: MS-Patch nur gegen Spectre auf AMD-Hardware ()
- Microsoft zieht Meltdown-Patch für AMD-Systeme zurück ()
- Massive Sicherheitslücke in Intel-CPUs (Update: AMD, ARM, Bugfixes) ()