TSX (Transactional Synchronization Extensions) wurde in den Intel CPUs der Haswell, Broadwell, Skylake Reihe integriert damit der Code parallel ausgeführt werden kann. Dadurch können Anwendungen schneller ausgeführt werden. Dies wurde nachträglich aber wieder per UEFI-Update deaktiviert.
Dies steht in Zusammenhang mit den sicherheitsrelevanten Updates stehen, die gestern (12.11) bereitgestellt wurden und dem Intel Sicherheitsbeitrag. Hier wurde eine neue spekulative Schwachstelle gefunden mit dem Namen ZombieLoad 2 die auf die TSX Funktion abzielt.
Die aktuelle Liste von Intel, welche CPUs betroffen sind: intel.com/security-center/advisory/intel-sa-00270.html
Microsoft hat nun einen Supportbeitrag zur Verfügung gestellt, der diese Funktion auch in der Registry deaktiviert oder aktiviert. Diese Änderung in der Registry betrifft Windows 10, Windows 8.1 und 7 sowie die Server Versionen.
„Für Prozessoren, die die notwendige Prozessorunterstützung zum Deaktivieren der Intel® Transactional Synchronization Extensions (Intel® TSX) Funktion bereitstellen, folgen Sie bitte den unten aufgeführten Anweisungen zur Registry-Einstellung, um sie zu deaktivieren.“
- Deaktivieren
- Eingabeaufforderung als Administrator starten und diesen Befehl einfügen und Enter drücken:
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel" /v DisableTsx /t REG_DWORD /d 1 /f
- Wieder aktivieren
reg add "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Session Manager\Kernel" /v DisableTsx /t REG_DWORD /d 0 /f
@moinmoin:
Ganz verstanden habe ich das Thema noch nicht, aber das liegt nicht an dem Artikel. Soll man es jetzt aktivieren, oder deaktivieren? Ich muss mich da erst einlesen in die Thematik.
Ich wollte Dir eigentlich nur eine Typo melden: 2. Absatz, letzte Zeile: „spekulative Shcwachstelle“ –> „spekulative Schwachstelle“
Es soll deaktiviert werden.
Was ist jetzt eigentlich dass genaue Problem damit, ich verstehs nicht ganz? Zumal mein Asus OEM Board seit 2015 kein UEFI Update mehr gesehen hat, heißt es hat noch nicht mal mehr Meltdown und Spectre Updates gekriegt.
Andre45, bitte kein Bullshitbingo hier betreiben…
Microcode Patche müssen nicht zwangsläufig über das UEFI/BIOS eingespielt werden.
Es reicht vollkommen aus, wenn das Betriebssystem ein aktuellen Microcode bei der Bootsequenz nachläd.
Leider gehört Microsoft zu der langsamen Sorte und liefert Microcode Updates von AMD u. Intel erst Monate späte oder gar nicht aus.
Ja gut hab verstanden. Ist aber noch lange kein Grund Wörter wie „Bulls.“ In den Mund zu nehmen. Schönen tag noch.
diese patchens wirken aber nur wirklich…wenn man secureboot benutzt…da sonst andere dinge vor win starten können.
auch ich als hardwareprogrammierer, halte diese patches eh für augenwüscherei…da wenn der benutzer aktiv irgendwas startet (zB per push)…helfen diese patches auch nicht.
wennn es schon beim UEFI-Update deaktiviert wurde (Wahrscheinlich per Microcode oder?), warum dann nochmal in der registry? Verwirrt mich etwas das Ganze.
microcode updates wirken nur im betriebssystem…in der hardware kann man eh nich „patchen“…
man sollte es deaktivieren, weil wieder irgendwer meint …man könnte auch so was ausspionieren…tatsächlich halte ich die chance für sehr gering…und microcodeupdates eh fehl am platz…da sie die systeme um jahre zurücksetzen (in ihrem arbeitstempo, fuktionsumfang etc)…
Zum Teil ist es unglaublich wie viel Rechenleistung man damit schon wieder aufs Spiel setzen muss wegen einer für die meisten Maschinen eher exotisch anmutenden Wahrscheinlichkeit zum Opfer eines Angriffs zu werden. Intel sagte zur Gefahrenlage (Ausschnitt daraus ) „dies könnte einem authentifizierten Benutzer möglicherweise die Offenlegung von Informationen über einen Seitenkanal mit lokalem Zugriff zu ermöglichen“.
https://software.intel.com/security-software-guidance/insights/deep-dive-intel-transactional-synchronization-extensions-intel-tsx-asynchronous-abort
Es wird bis zu 40% Leistung aufgegeben wenn man TSX abschaltet, bei Datenbankanwendungen theoretisch noch mehr: Quelle Wikipedia Artikel mit mehreren Verweislinks über die TSX Technologie „TSX can provide around 40% faster applications execution in specific workloads, and 4–5 times more database transactions per second (TPS).“
https://en.wikipedia.org/wiki/Transactional_Synchronization_Extensions
Die Registry Patches wurden publiziert um spezifische Maschinen mit nicht Sicherheit kritischer Software und Hardware-anbindung von dieser Leistung kostenden TSX -Deaktivierung auszunehmen.
wie es scheint hat Intel gestern auch ein Microcode-Update ( https://github.com/intel/Intel-Linux-Processor-Microcode-Data-Files/releases ) rausgebracht, welches das mit fixt. Bin gespannt wann das dann in die Runde geht. Im aktuellen MS-Update ist das noch nicht drin. Zumindest ist noch der alte Microcode bei mir drauf. Daher wohl nun diese Regeinträge, wenn man es deaktivieren will.
Also ich habe das so verstanden, dass die TSX ausschließlich per BIOS-Update, aber NICHT per Microcode-Update deaktiviert werden können. Der Artikel soll sich wohl an diejenigen richten, die bei älteren Systemen kein BIOS-Update mehr erhalten und es dann per Registry-Key abstellen müssen.
Ist das so korrekt, @moinmoin ?
MS ist da sehr knauserig mit den Infos.
Aber es wird wie bei den Spectre und Melton Updates sein.
Schutz durch Biosupdate und / oder zusätzlich der Schutz durch Deaktivierung in der Registry.
Ok, dann werde ich diese Keys mal setzen. Habe nämlich eine Haswell-Architektur und es ist kein BIOS-Update seit 2016 mehr verfügbar.
Diese „diese“
Nur den zum Deaktivieren.
Ja genau. Wäre sonst auch etwas kontraproduktiv. LOL
Das würde ich an deiner Stelle nicht tun, denn Haswell ist nicht betroffen. Siehe (unter Affected Products): https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00270.html
@moinmoin, bitte berichtige die Liste der betroffenen Prozessoren im ersten Satz oder lass diese ganz weg. Denn es sind nur ganz spezielle Prozessor-Serien betroffen (siehe den Artikel).
Danke Andre, die Liste hatte ich vorhin gesucht. Ist oben eingefügt.
Der Eingangsabsatz zielt nur darauf ab, was TSX eigentlich macht.
Hey @Andre, da bin ich Dir aber voll dankbar. Total aufmerksam von Dir.
Hatte mich schon etwas gewundert, weil für meine CPU gar keine TSX-Funktion aufgelistet ist.
MS ist nicht knauserig mit Informationen, sondern häufig arrogant und abgehoben! Warum ist die von André
genannte Liste der betroffenen CPUs offensichtlich so schwer auffindbar? Stutzig wurde ich, als der entsprechende Registry-Eintrag bei mir überhaupt nicht vorhanden war. Danach habe ich das Intel-Tool zur Prozessorerkennung benutzt: Es wurde überhaupt keine TSX-Funktionalität aufgeführt (als Beispiel meine Prozessoren: Celeron N3160, Core i7-4500U) – siehe auch Carsten. Und wer möchte hier im Forum „bestätigen“, daß derartige Probleme automatisch per Windows-Update erkennbar(!) gelöst werden?? Mal so nebenbei: Seit langem installiere ich (erfolgreich) die Updates manuell (mit den hier im Forum angegebenen Quellen). Resultat: Installation erfolgreich – (alte) Systemsteuerung zeigt dies unter „Installierte Updates“ auch an – MS-Update (bewußt zur „Kontrolle“ angestoßen) behauptet, die (gerade installierten) Updates stünden zum Download bzw. zur Installation bereit!? (Warum? Weil offensichtlich manuell installierte Updates überhaupt nicht im sog. „Updateverlauf“ erfaßt werden und sich allein dort der „Tempel der Wahrheit“ befindet.)
Bei Linux Mint kam heute Microcode-Update.
Mal sehen wie lange Microsoft braucht.
Habe einen i7 9700K. Bin ich betroffen nun oder nicht?
Laut der hier von Andre verlinken Intel-Liste https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00270.html ist deine CPU auch betroffen.