Updates für AMD / Intel CPUs notwendig?

  • Das bedeutet, er ist im BIOS gespeichert und wird beim Rechnerstart in die CPU geladen?

    Ja. So hab ich es verstanden, als ich mich darüber vor ein paar Tagen informiert hatte. Ich will halt selbst nichts an BIOS/Microcode verändern, das irreversibel ist.


  • Bei Downloads, selbst aus vertrauenswürdigen Quellen, vielleicht auch mal die Checksumme prüfen. Nicht nur bei ausführbaren Programmen. Auch bei Erweiterungen, Office-Vorlagen, Scripten, Spiele-Add-Ons usw. . Das ist lästig. Deshalb wird das wohl auch kaum jemand machen.

    Ich habe mir eben alle BIOS-Versionen für mein Board heruntergeladen. Dabei war mir die um ein paar MB abweichende Dateigröße aufgefallen. Also habe ich sie sicherheitshalber nochmal heruntergeladen. Und dieses Mal wichen die Dateigrößen kaum voneinander ab. Da wäre es schon schön gewesen, überhaupt eine Checksumme zum Abgleich zu haben. Aber die gibt Intel nicht an. Das hätte möglicherweise ins Auge gehen können, wenn ich mit einem BIOS, das beim Download beschädigt wurde, einen Update-Versuch unternommen hätte. In Firefox waren die Downloads als "completed" markiert. Der Dateityp ist ".BIO". Intel bietet auch Express-Updates an. Damit kann man die Update-Prozedur unter Windows starten. Diese Exe-Dateien sind nicht einmal digital signiert. Man kann also auch die digitale Signatur nicht überprüfen. Aber bei einem fehlgeschlagenen Download würde die Exe wahrscheinlich nicht starten. Und ein beschädigtes Archiv ließe sich wahrscheinlich nicht entpacken, zumindest nicht ohne Fehlermeldung.

  • Ich weiss nicht einmal wie ich was ich mit der Check prüfen müsste, wie ich das mache. ASUS hat zum Teil eine Checksumme mit dabei. Was fange ich damit an?

    Firefox 106.0 Standardbrowser & Portabler.
    Windows 10/64 Pro 22H2, 19045.2193, Malwarebytes Premium, Adwcleaner, Thunderbird, Windows Firewall. Keine Tuningsoftware.

  • Ja. So hab ich es verstanden, als ich mich darüber vor ein paar Tagen informiert hatte. Ich will halt selbst nichts an BIOS/Microcode verändern, das irreversibel ist.

    Um mal die Begriffe zu klären, soweit mein Wissen dazu reicht.

    Um den Fehler zu korrigieren, wird ein neuer Microcode benötigt. Das ist nicht dasselbe wie das BIOS (hier als Überbegriff für BIOS, EFI und UEFI gemeint).
    Der Microcode ist im EEPROM gespeichert, was bei den heutigen Boards ein Flash-Speicher ist. Dieser Speicher ist nicht flüchtig und bleibt auch nach dem Ausschalten erhalten.
    Will man nun dauerhaft einen neuen Microcode installieren, muss man den EEPROM flashen (früher erst noch mit UV-Licht löschen). Es gibt nun mehrere Methoden, das zu tun. Eine davon ist die, das über das BIOS zu erledigen. Man installiert ein BIOS-Update, welches wiederum den Microcode updatet. Intel hat den Boardherstellern einen neuen Microcode zur Verfügung gestellt. Einige haben damit bereits ein neues BIOS erstellt und bieten es zum Download an.
    Um das BIOS-Update einzuspielen, gibt es wiederum mehrere Möglichkeiten. Bei einem neueren BIOS kann man das direkt aus dem Set-Up durchführen. Es gibt aber den Weg über Installer-Dateien, Boot-Images, uva. .
    Es gibt auch Boards, die bieten eine Art Wiederherstellungsfunktion, falls beim Flashen etwas daneben geht. Die greift aber nicht immer!

    Man muss aber nicht unbedingt das BIOS updaten, um den Microcode zu erneuern. Auch das geht über Installer-Dateien und sogar über das Windows-Update. Hier bin ich mir nicht sicher, ob diese Updates direkt in den EEPROM schreiben oder ob sie flüchtig sind.

    Es gibt nämlich noch eine Variante: Das flüchtige Update des Microcodes. Flüchtig heißt hier, dass der neue Code jeweils beim Start des Betriebssystems in die CPU geschrieben wird. Beim Herunterfahren ist der Code wieder weg. Ein solches Update ist reversibel. Das hat natürlich seinen Charme.
    Wie gesagt, ich weiß nicht, wie das in Windows gehandhabt wird. Unter Linux geht es definitiv. Wer wissen möchte, ob diese Funktion aktiv ist, kann das einfach überprüfen:

    Code
    casali@casali:~$ dmesg | grep micro
    [    0.554593] microcode: CPU0 sig=0x20652, pf=0x2, revision=0x9
    [    0.554598] microcode: CPU1 sig=0x20652, pf=0x2, revision=0x9
    [    0.554603] microcode: CPU2 sig=0x20652, pf=0x2, revision=0x9
    [    0.554608] microcode: CPU3 sig=0x20652, pf=0x2, revision=0x9
    [    0.554663] microcode: Microcode Update Driver: v2.00 <tigran@aivazian.fsnet.co.uk>, Peter Oruba


    Bei mir ist es nicht aktiv. Wenn es bei euch aktiv ist, dann findet ihr zusätzlich gleich zum Start Zeilen wie:

    Code
    [    0.000000] CPU0 microcode updated 
    [    0.1] CPU1 microcode updated 
    [    0.25] CPU2 microcode updated 
    [    0.31] CPU3 microcode updated


    mit Angabe von Version und Datum dahinter.

    Noch kurz zur Prüfsumme:


    Ich weiss nicht einmal wie ich was ich mit der Check prüfen müsste, wie ich das mache.


    Man muss zunächst schauen, mit welchen Verfahren die Prüfsummen erstellt wurde. Üblich sind MD5, SHA-1, SHA-256, OpenPGP, ... . Das steht aber stets dabei.
    Dann braucht man ein Tool, mit dem man die tatsächliche Prüfsumme einer Datei ermitteln und vergleichen kann. An dieser Stelle sind Linuxer im Vorteil. Dort sind entsprechend Tools gleich dabei. Für Windows benötigt man zusätzliche Software. Davon gibt es jede Menge, kostenlos. Zum Beispiel das Programm checksum oder das einfachere HashTab, bei dem man die Hashwerte direkt über die Eingenschaften einer Datei abrufen kann. Ich kenne beide Programme nicht aus eigener Erfahrung, daher keine Links.

  • Um den Fehler zu korrigieren, wird ein neuer Microcode benötigt. Das ist nicht dasselbe wie das BIOS (hier als Überbegriff für BIOS, EFI und UEFI gemeint).
    Der Microcode ist im EEPROM gespeichert, was bei den heutigen Boards ein Flash-Speicher ist. Dieser Speicher ist nicht flüchtig und bleibt auch nach dem Ausschalten erhalten.

    Aber der Microcode wird doch beim Start des Rechners vom Speicher des Boards in einen flüchtigen Speicher der CPU geschrieben, also nicht dauerhaft darin gespeichert, oder? D. h. spätestens wenn der Prozessor keinen Strom mehr bekommt, enthält er entweder gar keinen Microcode mehr, falls er keinen Festspeicher hat, sondern nur einen flüchtigen Speicher, oder er enthält den Microcode, der z. B. bei der Produktion des Prozessors in seinem Festspeicher abgelegt wurde. Ich bin jetzt verunsichert.

    Edit: Als ich schrieb, der Microcode werde flüchtig in der CPU gespeichert, bezog ich mich auf den Speicher der CPU, also nicht auf den Speicher des Mainboards. Aber es geht mir auch hauptsächlich um die Reversibilität. Falls man merkt, dass der Rechner nach einem BIOS-Update Probleme macht und man wieder "downdated", bleibt der mit dem Update des Mainboard-BIOS aktualisierte Microcode nicht im Speicher der CPU und auch nicht auf dem Board.


  • gibt es Mainboard, die so etwas nicht haben?


    Ich weiß nicht, wann das eingeführt wurde und für welche Boards. Meines hat diese Option nicht. Mein Rechner ist aber auch schon fast 8 Jahre alt. Der Gaming-PC meines Sohnes ist erst ein Jahr alt, MSI. Der hat diese Option.


    Aber der Microcode wird doch beim Start des Rechners vom Speicher des Boards in einen flüchtigen Speicher der CPU geschrieben, also nicht dauerhaft darin gespeichert, oder?


    Ja, das ist richtig. Aber er stammt ja aus dem EEPROM. Dort ist er dauerhaft gespeichert. Wenn das Betriebssystem den Microcode nicht, wie oben beschrieben, selbst temporär überschreibt, erhältst du also bei jedem Start denselben Code aus dem EEPROM.

  • ich muss sagen, ich blick hier überhaupt nicht durch. Ich habe einen noch relativ neuen Rechner (Notebook) Aspire E5-774G
    Die neueste Bios Version vom Hersteller ist vom 24.7.17 https://www.acer.com/ac/de/DE/conte…roduct/6784?b=1
    Mein Bios heißt InsydeH20 (V1.27) bzw.
    laut Windows Systeminformationen:
    Insyde Corp. V1.27, 26.05.2017

    Ich wüsste echt nicht von wo und was ich ggf. updaten müsste. Ich hab zumindest nirgends was dazu gefunden. Ich habe es zwar absolut nicht eilig, aber ich informiere mich gerne vorher. :-??

    Hilfe auch im deutschsprachigen Matrix-Chat möglich oder im IRC-Chat
    Meine Anleitungstexte dürfen gerne "geklaut" und weiter verwendet/kopiert werden ;)

  • Zitronella, die Seite ist schon richtig. Du siehst, dass Acer regelmäßig BIOS-Updates bereitstellt. Da werden sie das neue bestimmt auch demnächst online stellen. Ansonsten, siehe oben, vielleicht kommt ja auch etwas über Windows. Es sieht nicht wirklich danach aus, aber wer weiß. Einfach noch ein bisschen abwarten und Ruhe bewahren.

    Die ersten Verbrecher, anders kann man sie wohl nicht nennen, versuchen schon Nutzen aus der Nervosität mancher Nutzer zu ziehen und versuchen ihnen ein angebliches Update unterzuschieben, das sich aber als Schädling entpuppt. Folgendes wurde heute Nachmittag vom BSI per Newsletter verteilt:

    Als Hinweis dazu empfehle ich, solche Newsletter wenn möglich in digital signierter Variante zu beziehen. Das BSI bietet das selbstverständlich an, sowohl für S/MIME als auch für GnuPG. In Thunderbird erkennt man Fälschungen dann auf den ersten Blick. Selbst einige Webclients, u.a. die von GMX, WEB.DE, unterstützen GnuPG.
    Man muss es natürlich einmal einrichten. Und da hapert es leider schon. Nicht, weil es zu kompliziert wäre, sondern weil es die breite Masse einfach nicht interessiert.

  • Ganz frisch, per Mail vom BSI (natürlich mit Signatur):

    Zitat


    Update:
    12.01.2018:
    Der Prozessorhersteller AMD und Microsoft gleichermaßen informieren darüber, dass Microsoft einen großen Teil der zuvor zurückgehaltenen Sicherheitsupdates für AMD Prozessoren jetzt verteilt. An Problemen die ältere Prozessoren betreffen (AMD Opteron, Athlon und AMD Turion X2 Ultra Familie) wird gearbeitet und AMD geht davon aus, dass die Verteilung der Microsoft Updates für diese Prozessoren nächste Woche (KW 3) erfolgen kann.


  • Als Hinweis dazu empfehle ich, solche Newsletter wenn möglich in digital signierter Variante zu beziehen. Das BSI bietet das selbstverständlich an, sowohl für S/MIME als auch für GnuPG. In Thunderbird erkennt man Fälschungen dann auf den ersten Blick. Selbst einige Webclients, u.a. die von GMX, WEB.DE, unterstützen GnuPG.

    Hallo Casali, ich hätte da eine meiner Ansicht nach bessere Idee gerade beim BSI mit Thunderbird/SeaMonkey:

    Statt der E-Mail einfach den RSS-Feed des BSI abonnieren, dann haben sich solche Fake-News komplett erledigt! Geht natürlich auch mit anderen Feed-Readern und auch mit einigen anderen Mail-Clients, z. B. auf dem Smartphone.


  • Statt der E-Mail einfach den RSS-Feed des BSI abonnieren, dann haben sich solche Fake-News komplett erledigt!


    Das ist etwas zu kurz gesprungen. Über das BSI kann man mehrere Newsletter beziehen. Soweit ich weiß, werden die nicht alle als RSS-Feed angeboten.
    Außerdem bekommt man die Spam-Mail ja auch dann, wenn man gar keinen Newsletter vom BSI bezieht. Gut, dann sollte man sich fragen, weshalb man überhaupt eine Mail von denen bekommt. In einer außergewöhnlichen Situation, wie dieser, erscheint es aber vielleicht gar nicht so ungewöhnlich. Sowohl die E-Mail als auch die Webseite sehen sehr echt aus.

    Mein Hinweis ist auch allgemeiner gemeint. Wann immer man die Möglichkeit hat, E-Mails signiert zu bekommen, sollte man sie nutzen. Dahinter stecken einige der grundsätzlichen Schutzziele der Informationssicherheit:

    https://de.wikipedia.org/wiki/Informationssicherheit

    Meine Bank versendet digital signierte E-Mails, der von meinem Arbeitgeber beauftragte Broker für unsere RSUs ebenfalls. Ich bin da sehr froh darüber.
    Wie kyou schon erwähnt hat: Paypal macht es nicht. Was ich, gelinde gesagt, für eine S... halt. Gerade Paypal hätte es dringend nötig. Sie sind ein bevorzugter "Absender" von Phishern.

    Aber das wird jetzt sehr OT. Wir sollten besser beim eigentlichen Thema bleiben.


    Und schon gibt es die ersten Probleme:


    Genau, das habe ich vorhin auch gelesen. Mit so etwas ist zu rechnen. Wegen der heißen Nadel, aber auch weil Intel und Co beim besten Willen nicht alle Scenarien da draußen vorab testen können.


  • Das ist etwas zu kurz gesprungen. Über das BSI kann man mehrere Newsletter beziehen. Soweit ich weiß, werden die nicht alle als RSS-Feed angeboten.

    Jain! Beim BSI gibt es 6 verschiedene Feeds:

    BSI - RSS-Newsfeed

    Damit sollte eigentlich alles von denen abgedeckt sein.


    Außerdem bekommt man die Spam-Mail ja auch dann, wenn man gar keinen Newsletter vom BSI bezieht. Gut, dann sollte man sich fragen, weshalb man überhaupt eine Mail von denen bekommt. In einer außergewöhnlichen Situation, wie dieser, erscheint es aber vielleicht gar nicht so ungewöhnlich. Sowohl die E-Mail als auch die Webseite sehen sehr echt aus.

    Wenn ich irgendwo keinen Newsletter abonniert habe, dann ist für mich ein solcher Newsletter automatisch Spam! Die haben ja dann meine Mail-Adresse gar nicht, folglich können sie mir gar keine E-Mail schicken. Wer das nicht begreift, der sollte die Finger von der Tastatur lassen!


    Mein Hinweis ist auch allgemeiner gemeint. Wann immer man die Möglichkeit hat, E-Mails signiert zu bekommen, sollte man sie nutzen.

    Das ist mir klar und halte ich auch so, wenn es denn die Möglichkeit überhaupt gibt. Allerdings ist das selbst in der heutigen Zeit nach Snowden immer noch eine Seltenheit, aber dazu sage ich jetzt nichts!


    Meine Bank versendet digital signierte E-Mails ...

    Meine Bank (Stadtsparkasse Augsburg) schickt mir gar keine E-Mails, das wurde so ausgemacht. Alles nur schriftlich, Spam unmöglich! :mrgreen: Dafür bekomme ich Mails von Banken, die ich teilweise gar nicht kenne. Daß die im Spam landen ist ja klar, wobei da einige aus meinem Bekanntenkreis selbst darauf hereinfallen. :traurig:


    Wie kyou schon erwähnt hat: Paypal macht es nicht. Was ich, gelinde gesagt, für eine S... halt. Gerade Paypal hätte es dringend nötig. Sie sind ein bevorzugter "Absender" von Phishern.

    Volle Zustimmung, da ich ja auch Kunde bei PayPal bin!


    Aber das wird jetzt sehr OT. Wir sollten besser beim eigentlichen Thema bleiben.

    Auch hier meine Zustimmung.


    Genau, das habe ich vorhin auch gelesen. Mit so etwas ist zu rechnen. Wegen der heißen Nadel, aber auch weil Intel und Co beim besten Willen nicht alle Scenarien da draußen vorab testen können.

    Hier ebenfalls meine Zustimmung, das geht ja auch gar nicht! Selbst Microsoft oder Google können das nicht, sonst würde jedes noch so kleine Update wohl Jahrzehnte dauern. Ich wundere mich hier mit meinem Kubuntu 14.04 LTS eh schon seit langem, daß trotz der ganzen PPAs immer noch alles fast ohne Probleme läuft. Aber manche Programme bekommt man ja nur so und viele von mir verwendeten Programme werden auch nur über ein entsprechendes PPA vom Hersteller auf dem neuesten Stand gehalten.

    Für die betroffenen Prozessoren habe ich aber keine wirkliche Hoffnung, einen Hardwarefehler durch ein Software-Update zu schließen ist meiner Ansicht nach immer nur eine Krücke! Die einzig richtige Lösung wäre ein neuer Prozessor, aber die müßen derzeit ja erst entwickelt werden.

    Ich nehme deshalb an, daß hier noch einiges an Ärger auch auf uns als private Nutzer zukommen wird. Am stärksten betroffen werden dann wohl wieder Ließchen Müller und Max Mustermann sein, bei denen der Rechner über den Nachbarsjungen, der da jemanden kennt, welcher einen Onkel hat, dessen Arbeitskollege einen Sohn hat, der wiederum einen Schulkameraden weiß, wo die Mutter durch die Kaffeekränzchen ...

    Ne, also Spectre 1, Spectre 2 und Meltdown werden uns wohl noch sehr lange begleiten! :cry:

    Grüße nun aus Augsburg

    Mike

  • // Man sollte Paypal und auch alle anderen Finanzseiten grundsätzlich über ein selbst definiertes Lesezeichen aufrufen und nie über einen Link in einer zugegangenen Mail... Ich persönlich mache dies auch für Webseiten, bei denen ich als Kunde angemeldet bin.. z.B. Amazon etc.