14Jul
Warnung: Selbst wenn Sie Patches von Windows Update installiert haben, ist Ihr PC möglicherweise nicht vollständig vor den Fehlern der Meltdown- und Spectre-CPU geschützt. So überprüfen Sie, ob Sie vollständig geschützt sind und was zu tun ist, wenn Sie nicht geschützt sind.
Zum vollständigen Schutz vor Meltdown und Spectre müssen Sie ein UEFI- oder BIOS-Update vom Hersteller Ihres PCs sowie die verschiedenen Software-Patches installieren. Diese UEFI-Updates enthalten einen neuen Intel- oder AMD-Prozessor-Mikrocode, der zusätzlichen Schutz gegen diese Angriffe bietet. Leider werden sie nicht über Windows Update verteilt, es sei denn, Sie verwenden ein Microsoft Surface-Gerät. Sie müssen daher von der Website Ihres Herstellers heruntergeladen und manuell installiert werden.
Update : Am 22. Januar gab Intel bekannt, dass Benutzer die Bereitstellung der aktuellen UEFI-Firmware-Updates aufgrund von "höher als erwarteten Neustarts und anderem unvorhersehbarem Systemverhalten" einstellen sollten. Intel sagt jetzt, dass Sie auf einen endgültigen UEFI-Firmware-Patch warten sollten, der ordnungsgemäß getestet wurde und keine Systemprobleme verursacht.
Wenn Sie ein UEFI-Firmware-Update von Ihrem Hersteller installiert haben, können Sie einen Patch von Microsoft herunterladen, um Ihren PC wieder stabil zu machen. Dieser Patch ist als KB4078130 verfügbar und deaktiviert den Schutz gegen Spectre Variante 2 in Windows, wodurch verhindert wird, dass das fehlerhafte UEFI-Update Systemprobleme verursacht. Sie müssen diesen Patch nur installieren, wenn Sie ein fehlerhaftes UEFI-Update von Ihrem Hersteller installiert haben, und es wird nicht automatisch über Windows Update angeboten. Microsoft wird diesen Schutz in Zukunft wieder aktivieren, wenn Intel stabile Microcode-Updates veröffentlicht.
Die einfache Methode( Windows): Laden Sie das InSpectre Tool herunter
Um zu überprüfen, ob Sie vollständig geschützt sind, laden Sie das InSpectre-Tool der Gibson Research Corporation herunter und führen es aus. Es ist ein einfach zu bedienendes grafisches Werkzeug, das Ihnen diese Informationen anzeigt, ohne dass Sie PowerShell-Befehle ausführen und die technische Ausgabe dekodieren müssen.
Sobald Sie dieses Tool ausgeführt haben, sehen Sie ein paar wichtige Details:
- Anfällig für : Wenn "YES!" Angezeigt wird, müssen Sie den Patch von Windows Update installieren, um Ihren Computer vor Meltdown zu schützenGeisterangriffe.
- Anfällig für Spectre : Wenn "YES!" Angezeigt wird, müssen Sie die UEFI-Firmware oder das BIOS-Update vom Hersteller Ihres PCs installieren, um Ihren Computer vor bestimmten Spectre-Angriffen zu schützen.
- Performance : Wenn das etwas anderes als "GUT" sagt, haben Sie einen älteren PC, der nicht über die Hardware verfügt, die die Patches gut macht. Sie werden wahrscheinlich eine merkliche Verlangsamung sehen, so Microsoft. Wenn Sie Windows 7 oder 8 verwenden, können Sie die Geschwindigkeit erhöhen, indem Sie auf Windows 10 aktualisieren, aber Sie benötigen neue Hardware für maximale Leistung.
Sie können eine lesbare Erklärung der Vorgänge auf Ihrem PC sehen, indem Sie nach unten scrollen. In den Screenshots haben wir beispielsweise den Windows-Betriebssystem-Patch, aber kein UEFI- oder BIOS-Firmware-Update auf diesem PC installiert. Es ist gegen Meltdown geschützt, aber das UEFI oder BIOS( Hardware) Update muss vollständig gegen Spectre geschützt werden.
Die Befehlszeilenmethode( Windows): Ausführen des Microsoft PowerShell-Skripts
Microsoft stellt ein PowerShell-Skript zur Verfügung, mit dem Sie schnell feststellen können, ob Ihr PC geschützt ist oder nicht. Das Ausführen erfordert die Befehlszeile, aber der Prozess ist einfach zu folgen. Zum Glück bietet Gibson Research Corporation jetzt das grafische Dienstprogramm, das Microsoft haben sollte, so dass Sie dies nicht mehr tun müssen.
Wenn Sie Windows 7 verwenden, müssen Sie zuerst die Windows Management Framework 5.0-Software herunterladen, die eine neuere Version von PowerShell auf Ihrem System installiert. Das folgende Skript wird ohne es nicht ordnungsgemäß ausgeführt. Wenn Sie Windows 10 verwenden, ist bereits die neueste Version von PowerShell installiert.
Unter Windows 10 klicken Sie mit der rechten Maustaste auf die Schaltfläche Start und wählen Sie "Windows PowerShell( Admin)".Suchen Sie unter Windows 7 oder 8.1 im Startmenü nach "PowerShell", klicken Sie mit der rechten Maustaste auf die Verknüpfung "Windows PowerShell", und wählen Sie "Als Administrator ausführen" aus.
Geben Sie den folgenden Befehl in die PowerShell-Eingabeaufforderung ein und drücken Sie die Eingabetaste, um das Skript auf Ihrem System
Install-Module SpeculationControl zu installierenWenn Sie aufgefordert werden, den NuGet-Anbieter zu installieren, geben Sie "y" ein und drücken Sie die Eingabetaste. Möglicherweise müssen Sie auch erneut "y" eingeben und die Eingabetaste drücken, um dem Software-Repository zu vertrauen.
Mit der Standardausführungsrichtlinie können Sie dieses Skript nicht ausführen. Um das Skript auszuführen, speichern Sie zunächst die aktuellen Einstellungen, damit Sie sie später wiederherstellen können. Dann ändern Sie die Ausführungsrichtlinie, damit das Skript ausgeführt werden kann. Führen Sie dazu die folgenden beiden Befehle aus:
$ SaveExecutionPolicy = Get-ExecutionPolicy Set-ExecutionPolicy RemoteSigned -Scope Aktueller BenutzerGeben Sie "y" ein und drücken Sie die Eingabetaste, wenn Sie zur Bestätigung aufgefordert werden.
Führen Sie dann die folgenden Befehle aus, um das Skript tatsächlich auszuführen:
Import-Modul SpeculationControl Get-SpeculationControlSettingsSie erhalten Informationen darüber, ob Ihr PC über die entsprechende Hardwareunterstützung verfügt. Insbesondere sollten Sie nach zwei Dingen Ausschau halten:
- Die "Windows OS-Unterstützung für die Eindämmung von Branch Target Injection" bezieht sich auf das Software-Update von Microsoft. Sie möchten, dass dies vorhanden ist, um sowohl gegen Meltdown- als auch gegen Spectre-Angriffe zu schützen.
- Die "Hardware-Unterstützung für Branch Target Injection Mitigation" bezieht sich auf das UEFI-Firmware / BIOS-Update, das Sie von Ihrem PC-Hersteller benötigen. Sie möchten, dass dies vorhanden ist, um sich vor bestimmten Spectre-Angriffen zu schützen.
- Die "Hardware erfordert Kernel-VA-Shadowing" wird auf Intel-Hardware, die für Meltdown anfällig ist, als "True" und auf AMD-Hardware, die nicht anfällig für Meltdown ist, als "False" angezeigt. Selbst wenn Sie über Intel-Hardware verfügen, sind Sie geschützt, solange der Betriebssystem-Patch installiert ist und "Windows-Betriebssystemunterstützung für Kernel-VA-Schatten aktiviert ist" lautet "True".
Im folgenden Screenshot sagt mir der Befehl, dass ich den Windows-Patch, aber nicht das UEFI / BIOS-Update habe.
Dieser Befehl zeigt auch an, ob Ihre CPU über die Hardwarefunktion "PCID-Leistungsoptimierung" verfügt, mit der die Fehlerbehebung hier schneller durchgeführt werden kann. Intel-Haswell-CPUs und spätere CPUs verfügen über diese Funktion, während ältere Intel-CPUs diese Hardware-Unterstützung nicht bieten und nach der Installation dieser Patches möglicherweise einen größeren Leistungseinbruch aufweisen.
Führen Sie den folgenden Befehl aus, um die Ausführungsrichtlinie auf ihre ursprünglichen Einstellungen zurückzusetzen, nachdem Sie fertig sind:
Set-ExecutionPolicy $ SaveExecutionPolicy -Scope CurrentuserGeben Sie "y" ein und drücken Sie die Eingabetaste, wenn Sie zur Bestätigung aufgefordert werden.
So erhalten Sie den Windows Update-Patch für Ihren PC
Wenn "Windows OS-Unterstützung für Branch Target Injection Mitigation vorhanden ist" ist false, bedeutet dies, dass Ihr PC das Betriebssystem-Update, das vor diesen Angriffen schützt, noch nicht installiert hat.
Um den Patch unter Windows 10 zu erhalten, gehen Sie zu Einstellungen & gt;Aktualisieren &Sicherheit & gt;Windows Update und klicken Sie auf "Nach Updates suchen", um alle verfügbaren Updates zu installieren. Unter Windows 7 wechseln Sie zu Systemsteuerung & gt;System und Sicherheit & gt;Windows Update und klicken Sie auf "Nach Updates suchen".
Wenn keine Updates gefunden werden, kann das Problem durch Ihre Antiviren-Software verursacht werden, da Windows sie nicht installiert, wenn Ihre Antivirus-Software noch nicht kompatibel ist. Wenden Sie sich an Ihren Antivirensoftwareanbieter, und fragen Sie nach weiteren Informationen darüber, wann die Software mit dem Meltdown- und Spectre-Patch in Windows kompatibel ist. In dieser Tabelle wird angezeigt, welche Antivirensoftware aus Gründen der Kompatibilität mit dem Patch aktualisiert wurde.
Andere Geräte: iOS, Android, Mac und Linux
Patches stehen jetzt zum Schutz gegen Meltdown und Spectre auf einer Vielzahl von Geräten zur Verfügung. Es ist unklar, ob Spielkonsolen, Streaming-Boxen und andere spezielle Geräte betroffen sind, aber wir wissen, dass die Xbox One und Raspberry Pi nicht sind. Wie immer empfehlen wir Ihnen, auf allen Ihren Geräten stets auf dem neuesten Stand zu sein. So prüfen Sie, ob Sie den Patch für andere gängige Betriebssysteme bereits installiert haben:
- iPhones und iPads : Gehen Sie zu Einstellungen & gt;Allgemein & gt;Software Update, um die aktuelle Version von iOS zu überprüfen, die Sie installiert haben. Wenn Sie mindestens iOS 11.2 haben, sind Sie gegen Meltdown und Spectre geschützt. Falls nicht, installieren Sie alle verfügbaren Updates, die auf diesem Bildschirm erscheinen.
- Android-Geräte : Kopf zu Einstellungen & gt;Über Phone oder About Tablet und schauen Sie sich das Feld "Android Security Patch Level" an. Wenn Sie mindestens den Sicherheitspatch vom 5. Januar 2018 haben, sind Sie geschützt. Wenn Sie dies nicht tun, tippen Sie in diesem Bildschirm auf die Option "Systemupdates", um nach verfügbaren Updates zu suchen und diese zu installieren. Es werden nicht alle Geräte aktualisiert. Wenden Sie sich an Ihren Hersteller oder lesen Sie in den Supportdokumenten nach, ob und wann Patches für Ihr Gerät verfügbar sind.
- Macs : Klicken Sie auf das Apple-Menü oben auf dem Bildschirm und wählen Sie "Über diesen Mac", um zu sehen, welche Betriebssystemversion Sie installiert haben. Wenn Sie mindestens macOS 10.13.2 haben, sind Sie geschützt. Wenn dies nicht der Fall ist, starten Sie den App Store und installieren Sie alle verfügbaren Updates.
- Chromebooks : Dieses Google-Supportdokument zeigt, welche Chromebooks anfällig für Meltdown sind und ob sie repariert wurden. Ihr Chrome OS-Gerät sucht immer nach Updates. Sie können jedoch ein Update manuell initiieren, indem Sie zu Einstellungen & gt;Über Chrome OS & gt;Suchen Sie nach Aktualisierungen, und wenden Sie sie an.
- Linux-Systeme : Sie können dieses Skript ausführen, um zu prüfen, ob Sie gegen Meltdown und Spectre geschützt sind. Führen Sie die folgenden Befehle in einem Linux-Terminal aus, um das Skript herunterzuladen und auszuführen: wget https: //raw.githubusercontent.com/speed47/ spectre-meltdown-checker /master/ spectre-meltdown-checker.sh sudo sh spectre-meltdown-checker.sh
Linux-Kernel-Entwickler arbeiten noch an Patchesdas wird vollständig gegen Spectre schützen. Weitere Informationen zur Verfügbarkeit von Patches finden Sie in Ihrer Linux-Distribution.
Windows- und Linux-Benutzer müssen jedoch einen weiteren Schritt ausführen, um ihre Geräte zu sichern.
Windows und Linux: So erhalten Sie das UEFI / BIOS-Update für Ihren PC
Wenn "Hardware-Unterstützung für Zweigstellen-Injektionsschutz" falsch ist, müssen Sie die UEFI-Firmware oder das BIOS-Update vom Hersteller Ihres PCs beziehen. Wenn Sie zum Beispiel einen Dell PC haben, besuchen Sie die Dell Support-Seite für Ihr Modell. Wenn Sie einen Lenovo PC haben, besuchen Sie die Lenovo Website und suchen Sie nach Ihrem Modell. Wenn Sie Ihren eigenen PC gebaut haben, suchen Sie auf der Website Ihres Motherboard-Herstellers nach einem Update.
Sobald Sie die Support-Seite für Ihren PC gefunden haben, gehen Sie zum Abschnitt Treiber-Downloads und suchen Sie nach neuen Versionen der UEFI-Firmware oder des BIOS.Wenn Ihr Computer über einen Intel-Prozessor verfügt, benötigen Sie ein Firmware-Update, das den "Dezember / Januar 2018 Microcode" von Intel enthält. Aber auch Systeme mit einem AMD-Prozessor benötigen ein Update. Wenn Sie keine sehen, überprüfen Sie in Zukunft das Update Ihres PCs, falls es noch nicht verfügbar ist. Hersteller müssen für jedes freigegebene PC-Modell ein separates Update veröffentlichen, sodass diese Updates einige Zeit benötigen.
Nachdem Sie das Update heruntergeladen haben, folgen Sie den Anweisungen in der Readme, um es zu installieren. In der Regel wird dazu die Update-Datei auf ein Flash-Laufwerk gelegt und der Update-Vorgang über die UEFI- oder BIOS-Schnittstelle gestartet. Der Vorgang unterscheidet sich jedoch von PC zu PC.
Intel gibt bekannt, dass es bis zum 12. Januar 2018 Updates für 90% der Prozessoren der letzten fünf Jahre veröffentlichen wird. AMD veröffentlicht bereits Updates. Aber nachdem Intel und AMD diese Prozessor-Microcode-Updates veröffentlicht haben, müssen die Hersteller sie noch zusammenpacken und an Sie verteilen. Es ist unklar, was mit älteren CPUs passieren wird.
Nachdem Sie das Update installiert haben, können Sie überprüfen, ob das Update aktiviert ist, indem Sie das installierte Skript erneut ausführen. Es sollte angezeigt werden "Hardware-Unterstützung für Branch Target Injection Mitigation" als "True".
Sie müssen auch Ihren Browser( und möglicherweise andere Anwendungen)
patchenDas Windows-Update und das BIOS-Update sind nicht die einzigen beiden Updates, die Sie benötigen. Sie müssen zum Beispiel auch Ihren Webbrowser patchen. Wenn Sie Microsoft Edge oder Internet Explorer verwenden, ist der Patch in Windows Update enthalten. Bei Google Chrome und Mozilla Firefox müssen Sie sicherstellen, dass Sie über die neueste Version verfügen. Diese Browser aktualisieren sich automatisch selbst, sofern Sie nicht alles getan haben, um dies zu ändern, sodass die meisten Benutzer nicht viel tun müssen. Erste Korrekturen sind in Firefox 57.0.4 verfügbar, der bereits veröffentlicht wurde. Google Chrome erhält Patches beginnend mit Chrome 64, dessen Veröffentlichung für den 23. Januar 2018 geplant ist.
-Browser sind nicht die einzige Software, die aktualisiert werden muss. Einige Hardwaretreiber sind möglicherweise anfällig für Spectre-Angriffe und benötigen ebenfalls Updates. Jede Anwendung, die nicht vertrauenswürdigen Code interpretiert - wie Webbrowser JavaScript-Code auf Webseiten interpretieren - benötigt ein Update zum Schutz vor Spectre-Angriffen. Dies ist nur ein weiterer guter Grund, die gesamte Software immer auf dem neuesten Stand zu halten.
Bildkredit: Virgiliu Obada / Shutterstock.com und cheyennezj / Shutterstock.com