Windows 10 Microcode-Updates (13.9.2018) und WSUS-Chaos

[English]Microsoft hat erneut einen Satz an Microcode-Updates für diverse Windows 10-Builds freigegeben. Diese Updates sollen verschiedene Prozessoren gegen die Spectre V2-Schwachstelle absichern. Hier einige Informationen zu den Updates, sowie Chaos bei den KB-Beschreibungen. Zudem gibt es noch einen Nachtrag zum Thema WSUS und (revidierte) Microcode-Updates, die eigentlich nicht ausgeliefert worden sein dürften, jetzt aber wieder einschlagen.


Anzeige

Microcode-Updates für Windows 10

Es ist hier im Blog bereits als Kommentar und auch hier als Kommentar zu WSUS von Blog-Lesern eingetragen worden, und ich habe den Hinweis per Mail erhalten – (danke dafür). Es geht um folgende Updates (die Links zeigen auf den Microsoft Update Catalog, wo dann auch die KB-Artikel verlinkt werden).

Windows 10 V1511 fehlt in obiger Liste, da dieses Betriebssystem keine Updates mehr bekommt. Gemäß diesem KB-Artikel wurden die Microcode-Updates für die folgenden Intel-Prozessoren einer Revision unterzogen.

  • Broadwell Server E, EP, EP4S
  • Broadwell Server EX
  • Skylake Server SP (H0, M0, U0)
  • Skylake D (Bakerville)
  • Skylake X (Basin Falls)

Details zu den einzelnen Prozessorvarianten lassen sich in den KB-Artikeln nachlesen (wobei zu hoffen bleibt, dass die Infos akkurat sind). Mit den Microcode-Updates soll die Spectre Variant 2 (CVE 2017-5715 [“Branch Target Injection”])-Schwachstelle abgedichtet werden.

Laut KB-Artikel wird das Standalone-Update über Windows Update und über WSUS bereitgestellt, lässt sich aber auch über den Microsoft Update Catalog herunterladen und dann manuell zu installieren.

Widersprüchliche Aussagen in den KB-Artikeln

Beim Überfliegen der Microsoft KB-Artikel hatte ich bei KB4090007 den Hinweis gelesen, dass die Microcode-Updates ‘Standalone’ seien und nur per Microsoft Update Catalog bereitstünden.

KB4090007


Werbung

Einige Zeilen unterhalb gibt es dann die Information, dass das Update auch per WSUS und per Windows Update erhältlich sei. Bei KB4091664 steht beispielsweise das Gleiche, der Hinweis fehlt bei KB4100347 aber – alles verwirrend.

Und noch eine ganz wichtige Information für die Server-Welt bzw. deren Administratoren. Während die Microcode-Updates für die Clients sofort aktiv werden, gibt Microsoft in den KB-Artikeln an, dass auf Windows Server bestimmte Registrierungsschlüssel zu setzen seien. Blog-Leser Karl wies vor einiger Zeit in diesem Kommentar drauf hin, dass die Microsoft-Angaben falsch seien. Ich hatte das auf Twitter aufgegriffen – hier und hier sind entsprechende Tweets.

Nachtrag: Nach der Installation des Microcode-Updates KB4100347 erscheint mit die Maschine wesentlich zäher. Es dauerte bestimmt 10 – 20 Sekunden, nachdem ich Einstellungen – Update & Sicherheit – Update angewählt hatte, bis die rechte Spalte der Einstellungen-Seite mit Inhalt gefüllt war. Hat sich danach zwar gebessert, aber irgendwas wurde verschlimmbessert.

Verteilung auch für AMD

Zudem scheint das Update auch wieder an AMD-Systeme ausgeliefert zu werden (lese ich hier). Es gibt zwar die Aussage, dass auf diesen Maschinen das Microcode-Update nicht geladen wird (siehe nachfolgender Kommentar von Ingo). Aber im Grunde ist es Mist, dass ein Update, welches nicht gebraucht wird, da auf die Maschine gespült wird. Sonst will Microsoft doch auch alles und jedes berücksichtigen und telemetrieren. Bei Microcode-Updates für Intel wird dann mit der ‘Mistgabel verteilt’. Nun ja, muss ich nicht wirklich verstehen.

Zudem möchte ich auf die zwei Artikel Intel Microcode Updates KB4100347, KB4090007 (Juli 2018) sowie im Beitrag Microsoft: Probleme mit Updates KB4456688/KB4100347? hinweisen, wo die letzten Varianten der Updates für Ärger (Boot-Probleme sorgten).

Microsofts virtueller Agent schlägt zu

An dieser Stelle was lustiges – Microsoft macht ja in KI und hetzt an allen Stellen Bots und Agenten auf die Leute los. Hier die Antwort des Bots (Virtual Agent).

Sinnfreier Microsoft Virtual Agent

Ich konnte dann Nein auswählen und wurde mit weiteren Fragen (ob ich Installationsprobleme habe, ob ich einen anderes Update suche etc.) konfrontiert, die alle weiter vom Thema weg führten. Dann schlug mir der Bot weitgehend sinnfreie KB-Beiträge vor. So geht Kundenpflege 4.0 a la KI – aber ich bin ja kein Kunde ;-).

Updates gegen Spectre V2 für Windows Server 2008 SP2

Auf dieser Microsoft-Webseite erfährt man, dass Microsoft das Update KB4458010 (Windows Server 2008 SP2 Monthly Rollup) oder (KB4457984, Security-only) zum 11. September 2018 mit dem Schutz gegen L1TF (VE-2018-3620 and CVE-2018-3646) freigegeben habe. Ich hatte die Updates im Beitrag Microsoft Patchday: Weitere Updates zum 11. September 2018 erwähnt. Zudem wurden Updates für ARM-Geräte gegen CVE-2017-5715 – Branch target injection (Spectre, Variant 2) freigegeben.

Nachtrag zum WSUS und Microcode-Updates

Ende August 2018 hatte ich ja im Blog-Beitrag Chaos-Tage: Microsoft Microcode-Updates zurückgezogen? auf diverse Probleme mit Microcode-Updates hingewiesen. Zwei Blog-Leser, unter anderem Markus B., hatten mich auf Merkwürdigkeiten hingewiesen. Und in obigem Texte hatte ich auf die Unstimmigkeiten in den KB-Artikels bezüglich der Update-Verteilung per WSUS hingewiesen. Von Blog-Leser Markus B. liegt mir noch eine interessante (ergänzende) Information vor, die ich einfach mal hier einstelle.

Am letzten Mittwoch war der der Webcast von Microsoft zum Patchday. Dabei wurde wieder erwähnt, dass keine Microcodeupdates über den WSUS kommen dürften. Ich habe dann nachgehackt und die Antwort im Chat und auf dem Webcast war, dass es ein Fehler war, dass dieses Update so über den WSUS verteilt wird.

Heute in der Nacht wurden auf dem WSUS aber diese Microcodeupdates wieder angeboten und reingenommen. Keine neue Revision:

Microcode-Updates auf WSUS
(Zum Vergrößern klicken)

Nachfolgendes Bild zeigt Details eines der letzten Updates, ohne Revision.

Microcode-Updates auf WSUS
(Zum Vergrößern klicken)

Dem Protokoll zufolge, welches mir von Markus vorliegt, kann das Update (im Beispiel war das KB4090007) nach der Installation nicht mehr entfernt werden.  Mir liegt das Webcast-Protokoll, welches ich aus Gründen der Vertraulichkeit nicht veröffentliche, vor. Da ist also bei Microsoft nach wie vor einiges im Argen. Markus fragt daher: Vielleicht wichtig auch für andere. Haben andere auch wieder Meldungen erhalten? Habe es auf 2 WSUS gesehen.

Windows 10-Nutzer als Versuchskaninchen?

Beim Schreiben des Blog-Beitrags ging mir so der Gedanke durch den Kopf, ob die Windows 10-Nutzer auf den Clients als Versuchskaninchen herhalten sollten. Warum?

  • Die Microcode-Updates sollen nicht per WSUS verteilt werden, schlagen aber trotzdem durch und werden per Windows Update verteilt und zwangsinstalliert.
  • Windows 7/8.1 bekommen in der Regel diese Microcode-Updates aber nicht.
  • Und auf Windows Server-Systemen muss der Administrator die Microcode-Updates (wegen Performance-Problemen) explizit per Registrierungseintrag aktivieren.

Dann geht mir die Frage nach der Relevanz und Wichtigkeit der Microcode-Updates gegen Spectre und Meltdown durch den Kopf. Einmal ist mir kein Angriffsszenario ‘in the wild’ gegenwärtig, was die Schwachstellen ausnutzt. Zudem gibt es die Microcode-Updates ja äußerst schleppend (für erste Updates hat Intel ein halbes Jahr gebraucht, bis man an die Öffentlichkeit ging, die Linux-Leute werden immer noch behindert) . Weiterhin machten die Microcode-Updates öfters Ärger (die Updates werden dann zurückgezogen). Bei macOS verfolge ich nicht so granular wie bei Windows, aber ich habe den Eindruck, dass da nicht alle Nase lang gepatcht wird. Oder wie seht ihr das so?

Ähnliche Artikel:
Adobe Flash Player: Update Version 30.0.0.154
Microsoft Office-Updates (4.9.2018)
Microsoft Security Update Summary 11. September 2018
Patchday: Updates für Windows 7/8.1/Server 11. Sept. 2018
Patchday Windows 10-Updates (11. September 2018)
Patchday Microsoft Office Updates (11. September 2018)
Microsoft Patchday: Weitere Updates zum 11. September 2018

Patchday-Probleme Updates, WSUS (11. September 2018)


Anzeige

Dieser Beitrag wurde unter Sicherheit, Update, Windows 10 abgelegt und mit , verschlagwortet. Setze ein Lesezeichen auf den Permalink.

20 Kommentare zu Windows 10 Microcode-Updates (13.9.2018) und WSUS-Chaos

  1. Ingenieurs sagt:

    Jo.
    ” Zudem scheint das Update auch wieder an AMD-Systeme ausgeliefert zu werden (lese ich hier). ”
    Bestätige ich. Ryzen 5 1600, X370

    • Henry Barson sagt:

      Das ist ganz normal, auch unter Linux Mint 19 bspw. werden sowohl MC-Pakete für AMD und Intel heruntergeladen. Wieso wird da immer so ein Aufsehen drumherum gemacht?

      • Ingenieurs sagt:

        Zitiert von Herr Born:

        In den vorherigen Varianten haben die Updates ja für diversen Ärger durch nicht bootende AMD-Maschinen gesorgt – obwohl der Microcode gar nicht geladen wird. Bleibt zu hoffen, dass die es dieses Mal im Griff haben.

        Zitat Ende

      • Günter Born sagt:

        Also normal ist das für mich nicht! Es mag einen technischen Grund dafür geben. Aber ein Update für eine Maschine zu ziehen, die erkennbar damit niemals etwas anfangen kann, und dieses zu installieren, geht imho gar nicht. Wenn dass die Erkenntnis und Krönung von 40 Jahren IT-Entwicklung ist, dann gute Nacht.

  2. Gemäss den Tabellen in den o.g. MSKB-Artikeln liefert Microsoft für KabyLake und CoffeeLake NICHT die aktuellen, von Intel am 7.8.2018 freigebenen Revisionen 0x8E aus, sondern die vorherigen, am 12.3. freigegebenen Revisionen 0x84.

    Ffür die Updates vom März siehe https://downloadcenter.intel.com/download/27591/Linux-Processor-Microcode-Data-File
    | KBL B0 6-9e-9:2a 5e->84

    für die Updates vom August siehe https://downloadcenter.intel.com/download/28039/Linux-Processor-Microcode-Data-File
    | KBL-H/S/E3 B0 6-9e-9/2a 00000084->0000008e Core Gen7; Xeon E3 v6

    Andere Prozessorfamilien habe ich nicht abgeglichen.
    Zur Verifikation: mit den Updates vom August hat Intel das von CPUID 0x7 als EDX:28 ausgegebene Flag L1D_FLUSH eingeführt.
    Mein in https://skanthak.homepage.t-online.de/cpuid.html beschriebenes Programm CPUPRINT.EXE listet dieses Flag; fehlt es nach Installation der Microcode-Updates, dann liefert Microsoft NICHT die aktuelle Microcode-Revision.

  3. Windoof-User sagt:

    Windows 10 Nutzer sollten auf keinen Fall manuellen Prüfungen auf neue Updates vornehmen! Anders als bei früheren Windows-Versionen, wird unter Windows 10 nicht nur eine Prüfung vorgenommen, sondern vohandene Updates auch gleich installiert, ohne dass der Nutzer es verhindern kann! Windows 10 wurde als ein Service konzipiert, der keine Interaktion mit dem Windows Update Service mehr vorsieht und nur die wichtigsten Updates installiert — also keine “Previews” und Microcode-Updates.

  4. Herr IngoW sagt:

    Ja ist hier auch da (AMD A4-4300M APU mit Radeon HD-Graphics).
    Sind aber keine Probleme zu merken.

  5. Werbung

  6. Micha sagt:

    Habe das auf einen Laptop mit Windows 10 1709 und AMD A6 5200 APU nicht installiert da es laut Beschreibung nur für Intel gedacht ist.

    Sonst wurde noch das Deltaupdate KB4457142 und Flash Player Update KB4457146 installiert.

    Die beiden .NET Framework 4.7.2 Updates waren angeblich schon auf dem System installiert. (KB4073705 und KB4073120)

    Probleme gab es keine.

  7. Ingo sagt:

    Ich dachte, das Thema “Intel Microcodes auf AMD Systemen” wäre geklärt?

    Die Microcode Dateien für beide Plattformen sind auf allen Rechnern installiert, daher werden sie auch auf allen Rechnern gepatcht. Geladen wird immer nur die zur CPU passende.

    • Günter Born sagt:

      Das war der Plan und so sollte es laut MS laufen. Ich habe es im Beitrag nachgetragen. Doof ist dieser Ansatz ‘Update installieren, welches nutzlos ist’ imho aber schon – aber ich muss es ja nicht verstehen.

      Zudem mein Hinweis: In den vorherigen Varianten haben die Updates ja für diversen Ärger durch nicht bootende AMD-Maschinen gesorgt – obwohl der Microcode gar nicht geladen wird. Bleibt zu hoffen, dass die es dieses Mal im Griff haben.

      • …aber ich muss es ja nicht verstehen

        Es ist GAAAANZ einfach zu verstehen: “component based servicing”!
        Die den Microcode enthaltenden DLLs mcupdate_{AuthenticAMD,GenuineIntel,…}.dll für ALLE von Windows unterstützten Architekturen sind in EINER gemeinsamen Komponente enthalten und werden daher immer zusammen geliefert und installiert.

  8. Bernhard Diener sagt:

    Dass MS diese Updates über den WSUS verteilt, wäre natürlich ein Ding. Aber wer das behauptet, sollte sich erst einmal fragen, ob er diese Updates nicht doch einst in den WSUS importiert hat – dann werden nämlich neue Revisionen automatisch geladen und bewilligt. Ich kann es bei mir nicht prüfen, denn wir haben diese Updates allesamt manuell importiert.

    • Günter Born sagt:

      Vielleicht kommt da ein Feedback von Markus – mal abwarten. Wäre möglicherweise eine Erklärung. Aber wenn die versehentlich rausgegeben wurden, könnten die noch in den WSUS-Datenbanken vermerkt sein – oder?

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht.