April-Patch nutzt Microcode-Updates f체r AMD-CPUs mit Spectre-Schutz

Gestern Abend unse짯rer Zeit hat Micro짯soft sein kumu짯la짯ti짯ves Update f체r April 2018 ver짯철f짯fent짯licht. Neben der 체bli짯chen klei짯ne짯ren Sicher짯heits짯up짯dates ent짯h채lt das Paket nun auch Spect짯re-Schutz f체r AMD-Pro짯zes짯so짯ren bis zur체ck zu Bulldozer:

Pro짯vi짯des sup짯port to con짯trol usa짯ge of Indi짯rect Branch Pre짯dic짯tion Bar짯ri짯er (IBPB) within some AMD pro짯ces짯sors (CPUs) for miti짯ga짯ting CVE-20175715, Spect짯re Vari짯ant 2 when swit짯ching from user con짯text to ker짯nel con짯text (See AMD Archi짯tec짯tu짯re Gui짯de짯lines around Indi짯rect Branch Con짯trol and AMD Secu짯ri짯ty Updates for more details). Fol짯low ins짯truc짯tions out짯lined in KB4073119 for Win짯dows Cli짯ent (IT Pro) gui짯dance to enable usa짯ge of IBPB within some AMD pro짯ces짯sors (CPUs) for miti짯ga짯ting Spect짯re Vari짯ant 2 when swit짯ching from user con짯text to ker짯nel context.

Dazu hat AMD ein White짯pa짯per ver짯철f짯fent짯licht, das die Schutz짯ma횩짯nah짯men gegen die Spect짯re Vari짯an짯te 2 erl채u짯tert. Genau wie Intel setzt AMD unter Win짯dows zwangs짯wei짯se auch auf neue Befeh짯le, die per Micro짯code in die CPUs ein짯ge짯bracht wer짯den m체s짯sen. Aller짯dings legt AMD anders als Intel nahe, von den drei neu짯en Befeh짯len nur die Indi짯rect Branch Pre짯dic짯tion Bar짯ri짯er (IBPB) zu nut짯zen. Die bei짯den ande짯ren Befeh짯le Indi짯rect Branch Rest짯ric짯ted Spe짯cu짯la짯ti짯on (IBRS) und Sin짯gle Thread Indi짯rect Branch Pre짯dic짯tor (STIBP) h채lt AMD in Sachen Per짯for짯mance f체r nicht zweckm채횩ig.

Damit Win짯dows den Spect짯re-Schutz nut짯zen kann, gibt es zwei M철g짯lich짯kei짯ten. Ent짯we짯der der Main짯board-Her짯stel짯ler ver짯철f짯fent짯licht ein neu짯es BIOS, das den Micro짯code auf die neu짯es짯te Ver짯si짯on aktua짯li짯siert, oder aber man l채sst Win짯dows das Micro짯code-Update nach짯la짯den, was ins짯be짯son짯de짯re f체r 채lte짯re Platt짯for짯men (Bull짯do짯zer, Piledri짯ver, etc.) sinn짯voll w채re, wo kei짯ne BIOS-Updates mehr zu erwar짯ten sind. Aller짯dings ist aktu짯ell noch offen ob dies f체r AMD-CPUs gesche짯hen wird. Anders als bei Intel muss bei AMD der Schutz zudem manu짯ell akti짯viert wer짯den. Die detail짯lier짯te Vor짯ge짯hens짯wei짯se ist unter KB4073119 beschrie짯ben. Zusam짯men짯ge짯fasst m체s짯sen fol짯gen짯de Wer짯te in der Regis짯try gesetzt werden:

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Manage짯ment /v Fea짯ture짯Set짯tings짯Over짯ri짯de /t REG_DWORD /d 64 /f

reg add HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Manage짯ment /v Fea짯ture짯Set짯tings짯Over짯ri짯de짯Mask /t REG_DWORD /d 3 /f

Der짯zeit ist der Spect짯re-Schutz f체r AMD-Pro짯zes짯so짯ren nur f체r Win짯dows 10 v1709 erh채lt짯lich, d체rf짯te jedoch auch in v1803 kom짯men, sobald offi짯zi짯ell erh채lt짯lich. Ob 채lte짯re Win짯dows-Ver짯sio짯nen auch 채lte짯re Win짯dows-10-Ver짯sio짯nen noch ver짯sorgt wer짯den, wur짯de noch nicht kom짯mu짯ni짯ziert. Gegen Spect짯re Vari짯an짯te 1 waren auch AMD-Pro짯zes짯so짯ren bis짯her schon per Soft짯ware gesch체tzt, f체r Melt짯down waren AMD-Pro짯zes짯so짯ren im Gegen짯satz zu Intel-CPUs nie anf채llig.