[English]Microsoft hat zum 24. April 2018 wohl die Updates KB4090007, KB4091663, KB4091664 und KB4091666 herausgegeben. Es handelt sich um Microcode-Updates, die Windows 10 gegen Spectre Variante 2 (und ggf. Meltdown) absichern sollen. Ergänzung: Es wurde auch das Update KB078407 freigegeben.
Anzeige
Den Kollegen bei deskmodder.de ist aufgefallen, dass Microsoft die KB-Artikel für diverse Microcode-Updates zum 24. April 2018 aktualisiert habt. Hier sind die Links zu den KB-Artikeln, die ich gefunden habe.
- KB4090007 für Windows 10 Version 1709 und Windows Server 2016 Version 1709
- KB4091663 für Windows 10 Version 1703
- KB4091664 für Windows 10 Version 1607 und Windows Server 2016
- KB4091666 für Windows 10 Version 1507 (RTM)
Microsoft hat nun Microcode-Updates für Broadwell DE A1, Broadwell DE V1, Broadwell DE V2,V3, Broadwell DE Y0, Broadwell H 43e, Broadwell U/Y, Broadwell Xeon E3 hinzugefügt.
Product Names (CPU) | Public Name | CPUID | Intel Microcode Update Revision | Microsoft Update Standalone Package Version |
Skylake H/S | 6th Generation Intel Core Processor Family | 506E3 | 0xC2 | V2.001 |
Skylake U/Y & Skylake U23e | 6th Generation Intel Core m Processors | 406E3 | 0xC2 | V2.001 |
Skylake Server SP (H0, M0, U0) | Intel® Xeon® Bronze Processor 3104, 3106
Intel® Xeon® Gold Processor 5115, 5118, 5119T, 5120, 5120T, 5122, 6126, 6126F, 6126T, 6128, 6130, 6130F, 6130T, 6132, 6134, 6134M, 6136, 6138, 6138F, 6138T, 6140, 6140M, 6142, 6142F, 6142M, 6144, 6146, 6148, 6148F, 6150, 6152, 6154 Intel® Xeon® Platinum Processor 8153, 8156, 8158, 8160, 8160F, 8160M, 8160T, 8164, 8168, 8170, 8170M, 8176, 8176F, 8176M, 8180, 8180M Intel® Xeon® Silver Processor 4108, 4109T, 4110, 4112, 4114, 4114T, 4116, 4116T |
00050654 | 0x2000043 | V2.001 |
Skylake D (Bakerville) | Intel® Xeon® Processor D-2123IT, D-2141I, D-2142IT, D2143IT, D-2145NT, D-2146NT, D-2161I, D-2163IT, D2166NT, D-2173IT, D-2177NT, D-2183IT, D-2187NT | 00050654 | 0x2000043 | V2.001 |
Skylake X (Basin Falls) | Intel® Core™ i9 79xxX, 78xxX | 00050654 | 0x2000043 | V2.001 |
Broadwell DE A1 | Intel® Xeon® Processor D-1513N, D-1523N, D-1533N, D-1543N, D1553N | 50665 | 0xE000009 | V2.001 |
Broadwell DE V1 | Intel® Xeon® Processor D-1520, D-1540 | 50662 | 0x15 | V2.001 |
Broadwell DE V2,V3 | Intel® Xeon® Processor D-1518, D-1519, D-1521, D-1527, D-1528, D-1531, D-1533, D-1537, D-1541, D-1548
Intel® Pentium® Processor D1507, D1508, D1509, D1517, D1519 |
50663 | 0x7000012 | V2.001 |
Broadwell DE Y0 | Intel® Xeon® Processor D-1557, D-1559, D-1567, D-1571, D-1577, D-1581, D-1587 | 50664 | 0xF000011 | V2.001 |
Broadwell H 43e | Intel® Core™ Processor i7-5950HQ, i7-5850HQ, i7-5750HQ, i7-5700HQ
Intel® Core™ Processor i5-5575R, i5-5675C, i5-5675R, i7-5775C, i7-5775R Intel® Core™ Processor i7-5700EQ, i7-5850EQ |
40671 | 0x1D | V2.001 |
Broadwell U/Y | Intel® Core™ Processor i7-5650U,i7-5600U, i7-5557U, i7-5550U, i7-5500U
Intel® Core™ Processor i5-5350U, i5-5350,i5-5300U, i5-5287U,i5-5257U, i5-5250U, i5-5200U Intel® Core™ Processor i3-5157U, i3-5020U, i3-5015U, i3-5010U, i3-5006U, i3-5005U, i3-5010U, i5-5350U, i7-5650U Intel® Core™ Processor M-5Y71, M-5Y70, M-5Y51, M-5Y3, M-5Y10c, M -5Y10a, M-5Y10 Intel® Pentium® Processor 3805U, 3825U, 3765U, 3755U, 3215U, 3205U Intel® Celeron® 3765U |
306D4 | 0x2A | V2.001 |
Broadwell Xeon E3 | Intel® Xeon® Processor v4 E3-1258L, E3-1265L, E3-1278L, E3-1285, E3-1285 | 40671 | 0x1D | V2.001 |
Haswell (including H, S), Xeon E3 | 4th Generation Intel® Core™ Mobile Processor Family,
Intel® Pentium® Mobile Processor Family, Intel® Celeron® Mobile Processor Family |
306C3 | 0x24 | V2.001 |
Haswell Perf Halo | Intel® Core™ Extreme Processor (5960x, 5930x, 5820x) | 40661 | 0x19 | V2.001 |
Haswell Server E, EP, EP4S | Intel® Xeon® Processor v3 E5-1428L, E5-1603, E5-1607, E5-1620, E5-1630, E5-1650, E5-1660, E5-1680, E5-2408L, E5-2418L, E5-2428L, E5-2438L, E5-2603, E5-2608L, E5-2608L, E5-2609, E5-2618L, E5-2620, E5-2623, E5-2628L, E5-2630, E5-2630L, E5-2637, E5-2640, E5-2643, E5-2648L, E5-2650, E5-2650L, E5-2658, E5-2660, E5-2667, E5-2670, E5-2680, E5-2683, E5-2685, E5-2687W,E5-2690, E5-2695, E5-2697, E5-2698, E5-2699, E5-4610, E5-4620, E5-4627, E5-4640, E5-4648, E5-4650, E5-4655, E5-4660, E5-4667, E5-4669 | 306F2 | 0x3C | V2.001 |
Haswell ULT | 4th Generation Intel® Core™ Mobile Processor Family,
Intel® Pentium® Mobile Processor Family, Intel® Celeron® Mobile Processor Family |
40651 | 0x23 | V2.001 |
Hier noch die Downloads aus dem Microsoft Update Catalog:
- KB4090007 für Windows 10 Version 1709
- KB4091663 für Windows 10 1703
- KB4091664 für Windows 10 1607
- KB4091666 für Windows 10 1507
Ein Update für Windows 10 Version 1511 habe ich nicht gefunden. Wer die Microcode-Updates noch nicht installiert hat, kann dies für die genannten Windows 10-Versionen nachholen.
Anmerkungen: Den Stand der Microcode-Updates für Intel CPUs habe ich im Blog-Beitrag Intel Microcode-Updates Stand 11. März 2018 gegeben. Der Unterschied zwischen BIOS-Updates und Windows-Updates für Microcodes ist im Artikel Microsoft Updates KB4091290/KB4090007 (1. März 2018) beschrieben. Nachtrag: Ergänzende Informationen finden sich inzwischen auch bei heise.de.
Anzeige
Spectre V2-Update KB4078407
Ergänzung: Zudem hat Microsoft das Spectre V2 Update KB4078407 freigegeben. Dazu schreibt Microsoft: Update to enable mitigation against Spectre. Variant 2. Das gilt für Windows 10 version 1709, Windows Server 2016 Version 1709 and Windows 10 Version 1703. Die Installation dieses Updates schwächt die Spectre V2-Sicherheitslücke CVE-2017-5715 – "Branch target injection vulnerability" ab.
Das Update lässt sich im Microsoft Update Catalog beziehen. Konsultieren Sie die Websites Ihres Geräteherstellers und von Intel bezüglich ihrer Mikrocode-Empfehlung für Ihr Gerät, bevor Sie dieses Update auf Ihr Gerät anwenden.
Ähnliche Artikel:
Ausgepatcht: Keine Microcode-Updates für ältere Intel-CPUs
Intel Microcode-Updates Stand 11. März 2018
Neue Intel Spectre V2-Microcode-Updates (20.02.2018)
Intel gibt erste Microcode-Updates wieder frei
AMD: Spectre-Microcode-Fix nur für Windows erforderlich?
Microsoft Updates KB4091290/KB4090007 (1. März 2018)
Anzeige
Leider nichts am WSUS.
Ich hoffe, dass Microcode-Updates im nächsten Kommulativen Update eingebaut werden.
Aus irgendeinem Grund bauen sie es extra und eben nicht in die kumulativen Updates. Das wird sich mutmaßlich nicht ändern.
In den WSUS kannst du es ja ganz easy importieren.
Dass Microsoft die Microcode-Updates nicht in die kumulativen Updates einbaut, könnte ein Hinweis darauf sein, dass sie nicht unproblematisch sind und ggf. das Potenzial haben, Kollateralschäden zu produzieren. Vor so einem Hintergrund macht es Sinn, sie separat auszurollen.
Schade das nur Windows 10 unterstützt wird. Wenigstens Server 2012 und Windows 8.1 sollten auch diese Updates erhalten
Muss man abwarten. Es ist irgendwie mühsam, das Zeugs herauszufinden. Wenn ich nicht die (Teil-)Info bei deskmodder.de gesehen hätte, wäre es an mir vorbeigegangen. Im Microsoft Update Catalog habe ich es nur gefunden, wenn ich gezielt nach den KBs gesucht habe. In der Windows 10 Update-History ist es überhaupt nicht drin. Hab dann gestern Nacht über diverse Ecken die Infos herausgezogen.
So fehlt z.B. ein Microcode-Upate für die Win 10 V1511 (wäre dann KB 4091665), was aber wohl nicht kommt, weil es keine LTSC-Variante gibt (?).
Mal wieder ein großes Dankeschön an Sie notwendig Herr Born!
Wenn ich der Laie dieses Namenswirrwar sehe, da bleibt mir die Spucke weg. Also was tut man, wenn man die Liste sieht und möchte wissen ob sein Prozessor dabei ist? Man sieht in den Einstellungen Info nach. Da steht dann i5 4690. Kein Wort von Broadwell, Skylake oder Haswell oder was weiß ich. Und in der Liste oben gibt's meinen auch nicht. Heißt das jetzt für den gibt es kein Update oder was?
Gruß von
Kolonius
P.S. Ich habe Win10 1709, bis 10.4. alles voll gepatcht
In der obigen Tabelle gibt es eine CPU ID – mit einem Tool wie InSpectre (CPU-Z liefert die Daten nur eingeschränkt) lässt sich die CPU ID ermitteln. Wenn die oben nicht aufgeführt ist, wird es kein Microcode-Update von Microsoft geben (imho).
Vielleicht schreibe ich mal einen kleinen Artikel, in dem ich nochmals zusammenfasse, was man wissen sollte.
Es gibt von Intel auch das Programm für Prozessorerkennung. Weiteres etc gibt es hier von Intel:
https://www.intel.de/content/www/de/de/support/articles/000005651/processors.html?wapkw=prozessorerkennung
Damit wird auch die CPU-IP angezeigt.
Hallo,
der 4690 ist ein Desktop aus der Haswell Serie.
https://ark.intel.com/de/products/80810/Intel-Core-i5-4690-Processor-6M-Cache-up-to-3_90-GHz
Die Haswells als Desktopversion haben laut der Tabelle noch kein Update bekommen.
MfG
@Günter, AlTa
vielen Dank
Man installiert einfach das Update. Wird die Hardware unterstützt, kann man hinterher mit Tools wie Inspectre den Erfolg sehen. Ansonsten ändert sich schlichtweg nichts.
Wieso wird der Microcode über Microsoft verteilt und nicht über ein angepasstes BIOS von Seiten des Mainboard-Herstellers?
Verstehe ich nicht.
Dann sollte man auch ältere Systeme, die (noch) nicht unter Windows 10 laufen, sondern unter 7 oder 8.1, ebenfalls absichern können.
Kennt jedmand den Grund?
Ist zwar spekulativ, aber ein Grund dürfte naheliegend sein: Gerätehersteller werden wenig Interesse haben, ältere Hardware zu unterstützen, für die längst alle Gewährleistungsfristen abgelaufen sind. Die werden (hinter vorgehaltener Hand) auf dem Standpunkt stehen: „Die Leute sollen was Neues kaufen."
Nicht nur "hinter vorgehaltener Hand", sondern durchaus auch ganz offiziell.
Gewährleistung und ähnliches sind ja schliesslich längst off.
von daher…
Ich habe einige ältere Semester von HP im Einsatz, z. B. Elitebook 8560p, Elitebook 8570p, Desktop 8300 SFF, alle mit Windows 10 1709 64.
Für diese Senioren gibt es von HP Bios Updates vom Februar 2018 wegen Meltdown/Spectre. Gibt es Erfahrungswerte mit diesen Updates, ist es empfehlenswert, diese zu installieren?
Jetzt gibt es das WU 4090007, das noch auf keinem dieser Rechner angeboten wird, kann ja aber noch kommen, kann sich da mit den o. a. BIOS-Updates etwas in die Quere kommen?
Ich habe leider den Überblick verloren, obwohl ich hier täglich mitlese …
P.S.: Wie hoch ist die Gefahr, tatsächlich Opfer von Meltdown/Spectre zu werden?
Bei meinen Elitebook 8560w gab es kein Update, er hat einen Intel Core i7 IvyBrige.
Es gab aber eines zu HP Compaq 8300 CMT mit Intel Core i7 Ivy Bridge. Dort habe ich das BIOS-Update installiert und es funktioniert.
HP hat einen ominösen Stichtag für seine BIOS-Updates festgelegt, so dass kurz vorher nicht versorgt, kurz nachher versorgt. Ich hatte das hier mal im Blog auch geschrieben. Man kommt aber mit den ganzen Un-Sicherheits-Szenarien von Intel und MS und anderen und dann die Entdecker völlig durcheinander. Am besten Stift und Zettel. Da aber dise Land ja IT-meister werden will, wird von den Behörden den Leuten Internet und PC aufgezwungen (!) bei Strafe der Feststellung der Nichtexistenz der Bürger.
Für die neuen 7. Generation kam dann ab Januar 2018 3 BIOS-Updates von HP.
Das Ganze bei HP kann man auch hier nachlesen und sich da bei den Geräten durchwursteln:
https://support.hp.com/de-de/document/c05869091
Ach so, die HP-BIOS-Updates sind mE unabhängig von Win7/Win10. Für den Prozessor mit 7.Gen nur Win10, da nur
Win10 dort funktioniert. Das steht alles auf HP-Seiten.
Das was jetzt hier MS gemacht hat, ist für Win10.
MS hat wohl auch angekündigt für Win7 was anzubieten. Aber das wird wohl dauern und dann ggf. kritisch zu sehen sein.
Die aktuellen Updates werden halt bisher nicht generell verteilt. Insofern werden sie dir deswegen auch nicht angeboten.
Wenn es Updates von HP gibt, sollten sie auch installiert werden. Die Installation der Microcodes über Windows ist dann nicht mehr notwendig.
Meltdown lässt sich relativ einfach ausnutzen. Allerdings sind auch andere Softwarekomponenten dazu notwendig wie z.B. der Browser. Das sollte eigentlich überall gepatcht sein. Bei Spectre ist das etwas aufwändiger. Die Gefahr ist da momentan wohl eher theoretisch.
Sind lauter Ivy Bridge Prozessoren (i5 Core 3360M, i5 Core 3470=Senioren), kriegen also lt. der o. a. Tabelle das WU nicht.
Es handelt sich um Ivy Bridge (i5 3360 M, i5 3470), die kriegen das o. a. WU lt. Tabelle nicht, zu alt …
Hallo,
das kann so nicht stimmen.
Die i5 3470 ist eine Ivy Bridge CPU, und laut
a) InSpectre hat sie eine CPUID 306A9 und ein Microcode Update ist verfügbar sowie
b) in der Intel-Liste steht diese CPU mit "grün" und mit "Production".
Warum sollte es diese Updates also nicht geben?
Ausser, natürlich, Microsoft WILL nicht. Aber trifft das in diesem Fall zu?
Microsoft verteilt nicht für Sandy Bridge und Ivy Bridge. Dort ist auch der Performance impact höher als bei Haswell oder neuer.
Also CPU-Z zeigt mir die CPI-ID nicht an. Oder ich bin blind…. :-)
Aber das Tool InSpectre schon:
https://www.grc.com/inspectre.htm
Stimmt – da hast Du mich erwischt. Ich hätte Stein & Bein geschworen, dass CPU-Z, welches von CPUID stammt, das kann. Aber es zeigt wohl den Codenamen wie Yorkfield an. Und man kann aus Family, Model und Stepping einen Teil der CPU-ID bestimmen. Aktuell muckt CPU-Z aber auf meinen Systemen, warum auch immer.
Ich habe jetzt nochmal geschaut und Intel-Programm für Prozessorerkennung zeigt es auch nicht direkt an. Bei den CUID-Daten muss man sich das dann zusammen basteln. Es gibt da von Intel noch ein Diagnostic Tool. Das macht es aber auch nicht.
Es ist schon nervig, wenn Intel und MS mit CPU-ID Nummern was veröffentlichen und die Tools dann nur mit weiteren Kenntnissen es dann hergeben. InSpectre bringt es dann. Muss mal wieder das Tool updaten.
@dekre: "Es gab aber eines zu HP Compaq 8300 CMT mit Intel Core i7 Ivy Bridge. Dort habe ich das BIOS-Update installiert und es funktioniert."
Lt. HP sollte das dann BIOS Version 3.06 sein, kannst Du eine Verlangsamung des Rechners feststellen? Das wird nämlich fallweise, nach Aufspielen des BIOS-Updates, behauptet.
InSpectre zeigt eine Verlangsamung an, aber alles voller Sicherheit nach BIOS-Update.
Aber was da verlangsamt wird, weiß ich nicht. Sicherlich ist es ab Januar alles etwas zögerlicher. Aber es wird an den MS- Updates liegen. Denn bei Elitebook 8560w gab es kein BIOS-Update und da ist es auch gefühlt langsamer.
Unter welchem Szenario kann man Opfer von Spectre/Meltdown werden?
Bitte beachten das bei Server Versionen noch Registry keys notwendig sind. Bei Clients mit Intel nicht. Mit AMD jedoch wieder bei beiden.
Günter Born: "Microsoft hat nun Microcode-Updates für Broadwell DE A1, Broadwell DE V1, Broadwell DE V2,V3, Broadwell DE Y0, Broadwell H 43e, Broadwell U/Y, Broadwell Xeon E3 hinzugefügt."
hervorhebende ergaenzung:
neu ist auch die unterstuetzung fuer prozessoren mit intel-haswell-mikroarchitektur. steht zwar in der tabelle mit drin, wird aber im fliesstext nicht erwaehnt.
ps:
in die tabelle hat sich ein dreher eingeschlichen (betrifft aber nur die kuenstlerische b-note): in der spalte "microsoft update standalone package version" steht durchgaengig "v1.002" statt "v2.001".
KB4091664 hat auf unserem W2k16 das AAD Connect zerstört.
Unser Server konnte nicht mehr mit dem Azure Syncen obwohl alle HealthChecks positiv waren.
Lediglich der HealthCheck im Azure zeigte das Problem auf da wir keine Daten mehr geliefert haben.
Nach der Deinstallation des Updates lief wieder alles ohne Probleme.
Auf anderen W2k16 Servern auf welchen kein AAD Connect läuft hat das Update keine Probleme verursacht.
Das Update habt ihr aber eingespielt – sieht Microsoft Azure Active Directory Connect V1.1.880.0