Es ist schon ein komplexes Thema, welches seit März 2022 besteht. Es geht um die Sicherheitslücken in Intel-CPUs, die jetzt unter der CVE-2022-0001 von Intel aktualisiert wurden. Es geht immer noch um Spectre Variant 2, Spectre Variant 3a, Spectre Variant 4 oder L1TF.
Wie Microsoft schreibt: “Die Abhilfemaßnahmen für diese Schwachstelle sind standardmäßig deaktiviert, und Kunden müssen manuell eingreifen, um geschützt zu sein.” Microsoft stellt dafür die Registry-Keys zur Verfügung. Aber dazu später mehr.
Die Fehlermeldung selber besagt: “Die intransparente gemeinsame Nutzung von Branch-Predictor-Selektoren zwischen verschiedenen Umgebungen in einigen Intel(R)-Prozessoren kann es einem autorisierten Benutzer ermöglichen, Informationen durch lokalen Zugriff offenzulegen.”
Welche CPUs betroffen sind, wurde auf der nvd.nist.gov/CVE-2022-0001 beschrieben. Einfach nach unten scrollen und dort findet ihr dann die einzelnen Atom, Celeron oder Core CPUs von Intel. Diese Einträge sind dann weiter verlinkt. Auf der Intel-Seite selber sind dann die CPU-IDs und jeweiligen Microcodes etc. aufgelistet.
Falls es euch bekannt vorkommt, wir hatten es schon im Juni 2022 hier in einem Blogbeitrag.
Wie schon erwähnt, hat Microsoft einen Registry-Eintrag veröffentlicht, der den manuellen Eingriff ermöglicht. Wichtig ist aber, dass ihr vorher ein Backup erstellt. Denn in einigen Fällen, kann es dazu kommen, dass der Rechner langsamer wird. Betroffen sind Windows Server ab 2008, Windows 10 und Windows 11.
So aktivierst du die Abschwächung für CVE-2022-0001 auf Windows-Geräten und -Clients mit Intel-Prozessoren:
- Terminal mit Eingabeaufforderung oder PowerShell als Admin öffnen und diese beiden Befehle hineinkopieren und Enter drücken
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverride /t REG_DWORD /d 0x00800000 /f
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Memory Management" /v FeatureSettingsOverrideMask /t REG_DWORD /d 0x00000003 /f
Unter Linux wäre es in der Kernel-Befehlszeile spectre_bhi=on
Für weitere Informationen:
- msrc.microsoft.com/vulnerability/CVE-2022-0001
- support.microsoft.com
- github.com/intel/Intel-affected-processor-list
- intel.com/branch-history-injection
Windows 11 Tutorials und Hilfe
- In unserem Windows 11 Wiki findet ihr sehr viele hilfreiche Tipps und Tricks.
- Falls ihr Fragen habt, dann stellt diese ganz einfach bei uns im Forum.
- Installationsmedien: Aktuelle Windows 11 ISOs findet ihr hier: 23H2 22631. Ansonsten immer in der rechten Sidebar.
- Windows 11 neu clean installieren Tipps und Tricks.
- Windows 11 mit lokalem Konto auch Offline installieren.
- Windows 11 Inplace Upgrade Reparatur oder Feature Update.
- Automatisch anmelden Pin entfernen Windows 11.
- Alle Beiträge zu Windows 11 im Blog findet ihr über diese Seite. Wobei auch alle anderen Artikel interessant sein können.
Es soll sicher heissen “Enter” (statt ener) drücken.
Ganz oben rechts ist der Button “Hinweise einsenden”…
Hallo!
Meine Laptop CPU ist leider dabei!
Intel Core i7-11800H
Doch was nun?
Einfach die beiden Registry Einträge zu machen wird ja wohl nichts nützen,
da müsste ja wohl noch ein Patch oder ähnliches her… (den kann ich nicht finden)
Oder liege ich da gedanklich völlig falsch?
Warten, bis es ein BIOS/UEFI Update gibt.
Das Blöde ist das viele Hersteller keine Bioupdate mehr zur Verfügung stellen.
Wenn man eine Anfrage stellt, wird man nur auf das letzte veraltete Bioupdate verwiesen.
Also ein 11th Intel Prozessor sollte noch gut über BIOS Updates gepflegt werden. Anders siehts bei meinem 4th Gen i7 aus. Aber Dell hat auch zuletzt den BIOS aktualisiert. Da muss man beim Support etwas hartnäckig sein. Aber wie gesagt überdenke ob du wirklich mit deinem Privatrechner ein Ziel bist bevor du Panik schiebst
Spectre & Co. stellt eine Gefahr dar für Server, die sich unterschiedliche Benutzer teilen. Insbesondere also in Rechenzentren. Weil es möglich macht, dass ein (bösartiger oder gehackter) Benutzer mit einem sehr umständlichen und einen hohen Zeitaufwand bei der Auswertung erfordernden Verfahren auf die Daten eines *anderen* Benutzers zugreifen kann.
Für persönlich genutzte Geräte ist dieses Spectre-Zeugs uninteressant. Ein Hacker, der Zugriff auf Deinen Laptop und seinen Verstand halbwegs zusammen hat, wird garantiert nicht das, sondern etwas installieren, das ihm die gewünschte Information schnell und direkt auf dem silbernen Tablett serviert.
Einfach mal keine Panik haben! Wenn du dich vernünftig im Internet bewegst und auch sonst nicht jeden Quatsch und Käse runterlädst und ausführst ist das mehr kirremacherei. Erstmal muss irgendwas schädliches den Weg durch den Router auf deinen Rechner finden! Von alleine passiert das nicht und ein Defender ist auch noch da der dich unterstützt. Bevor ich irgendwas tweake nur weil einem “Sicherheitsforscher” langweilig war und er die komplette Entwicklungsabteilung von Intel von hinten nehmen will, denke ich lieber drüber nach ob ich überhaupt im Fokus bin.
ansonsten sagt dir auch das Tool hier ob du irgendwas absichern MUSST: https://www.grc.com/inspectre.htm
Das Tool ist seit langer Zeit veraltet und sollte nicht mehr angewandt werden.
Kann ich nicht bestätigen! Aus welcher Quelle sind deine Infos?
Das Tool ist gepflegt… Anders als die Intel Scripte die noch von 2021 sind ist das hier 02/2024 geuodatet und unterstützt alle neuen CPU ids
Borncity hat es auch noch nicht aus der Liste der Check Tools geworfen. Ich finde solche Aussagen fatal gerade wenn Leute sich darauf verlassen. Immer nur quer Quackern hilft niemandem
Besser ist, das Microsoft-eigene PS-Skript zu benützen. Für dies ist wurde es geschrieben. Und das Skript scannt wesentlich mehr potentielle Sicherheitslücken. Und von wegen “quakern”. Informiere dich erst einmal profund mit der Thematik.
https://www.powershellgallery.com/packages/SpeculationControl/1.0.18
edit moinmoin
Beleidigen musst du hier niemanden.
Danke Jürgen – sind wieder die Gemüter … aber ich muss mir nicht sagen lassen das ich keine Ahnung habe, wenn das Script vom Herrn Kollegen 1 Jahr älter ist als der Vorschlag, den ich poste. Da hat nämlich einer seine Hausaufgaben nicht gemacht und stellt sich als Superhirn dar, obwohl seine Aussagen nicht stimmen
Nutzte das Tool vor etwa 5 Jahren in der angegebenen Versionsnummer 8 bereits. Seitdem wurde nichts mehr an dem Tool geändert.
Des Weiteren wird L1TF nicht geprüft, was der PS-Skipt sehr wohl durchführt.
Sind es deine Gemüter oder ggf. dein Ego?
Das letzte Update stammt vom 27.02.24 (Ohne erkenntliche Änderungen). Beim Script ist es der 19.04.2023
Aber damit soll jetzt gut sein. Wer will, kann beide Tools /Scripte drüberlaufen lassen.
Nun, das sollte man immer wissen. Die Angriffsfläche jedes Nutzers ist immer unterschiedlich. Natürlich kann ich auch Graphene OS auf meinem Pixel 7 installieren und mich so abhärten, als wäre ich jemand, der NSA-Dateien veröffentlicht hat und jetzt von allen staatlichen Hackern der Welt im Fokus steht.
Aber muss man nicht machen. Es gibt Sicherheitsfunktionen, die sind einfach zu spezifisch