Mir ist bekannt, dass Mikrocode- / Bios-Updates erforderlich sind, um die Abmilderung für diese Sicherheitsanfälligkeit vollständig zu implementieren. Dies ist jedoch heute nicht mein Anliegen. Mein Problem ist, dass die Windows-Updates, die diese CVE adressieren sollen, dies offenbar nicht tun.
Es sollte wirklich kein Anliegen sein. Der von Intel gezogene Mikrocode muss die Specter-Variante 2 abschwächen, ohne dass die von Microsoft veröffentlichten Patches auf Ihrem System nicht installiert werden können.
Nach unserer eigenen Erfahrung kann die Instabilität des Systems unter Umständen zu Datenverlust oder -korruption führen. Am 22. Januar empfahl Intel den Kunden, die Bereitstellung der aktuellen Mikrocode-Version auf betroffenen Prozessoren einzustellen, während sie zusätzliche Tests mit der aktualisierten Lösung durchführen. Wir sind uns bewusst, dass Intel die potenziellen Auswirkungen der aktuellen Mikrocode-Version weiter untersucht und die Kunden dazu ermutigt, ihre Richtlinien laufend zu überprüfen, um ihre Entscheidungen mitzuteilen. "
An diesem Punkt möchten Sie wirklich nicht die Fixes, die Intel geschrieben hat, wenn Sie den aktuellen Fix installiert haben, würden Sie es bereuen. Microsoft gibt ein Notfall-Wochenendupdate heraus, um den fehlerhaften Intel-Patch zu entfernen
In beiden Fällen ist das Ausführen des neuen Cmdlets SpeculationControl für PowerShell etwas besorgniserregend.
Es sollte nicht besorgniserregend sein. Es ist das, was Sie von einem System erwarten sollten, das nicht den erforderlichen Mikrocode erhalten hat, um die Abhilfemaßnahmen zu implementieren, die im Kernel mit einer bestimmten Anweisung ausgeführt werden.
Ich verstehe, dass diese Zeilen unabhängig vom Status des CPU-Mikrocodes 'true' lesen sollten, sobald der OS-Patch angewendet wurde. Warum kann diese vollständig gepatchte und aktualisierte Version von Windows 10 immer noch nicht die Abschwächung von CVE-2017-5715 unterstützen?
Du liegst falsch. 2017-5715 erfordert einen Mikrocode. Ohne den Mikrocode können die Kernel-Änderungen, die durch die betreffenden Updates vorgenommen wurden, nicht verwendet werden und werden ignoriert.
Was kann ich tun, um diese Abhilfemaßnahmen zu unterstützen?
Installieren Sie die aktualisierte Firmware nach der Veröffentlichung. Stellen Sie jedoch sicher, dass Sie sie erst ausführen, nachdem Intel die aktualisierten Fixes veröffentlicht hat.
Ich habe auch versucht, die Registrierungsschlüssel, die in diesem Artikel erwähnt werden, unter der Überschrift "Deaktivieren der Abschwächung von Specter Variant 2 unabhängig voneinander" einzustellen, und dies ohne Wirkung.
Dieser Schlüssel wird ignoriert, wenn Sie Ihre Firmware nicht gepatcht haben, sodass die erforderliche Firmware verwendet werden kann. Es würde auch verwendet, wenn Sie ein AMD-System hätten, das Sie nicht haben.
Warum kann diese vollständig gepatchte und aktualisierte Version von Windows 10 immer noch nicht die Abschwächung von CVE-2017-5715 unterstützen?
Intel hat den erforderlichen Mikrocode gezogen und Microsoft hat einen optionalen Patch veröffentlicht, der den aktuellen instabilen Mikrocode-Code deaktiviert. Variante 2 kann nicht mit Kerneländerungen gemindert werden. Für die Specter-Variante 2 ist eine von Dell aktualisierte Firmware erforderlich, um den Mikrocode zu erhalten. Intel hat den festen / korrigierten Mikrocode zu diesem Zeitpunkt noch nicht freigegeben.