tuxnix Dir erst einmal vielen Dank dafür, dass du so aufmerksam bist und ja ich war mir nicht 100% sicher. Jetzt hab ich aber doch noch mal nachgeschlagen und ich denke einmal ich muss dich hier korrigieren
Da muß ich dir recht geben - Ja und Nein ;-)
Meine Einschätzung bzgl. der CPU-Vendor-ucodes rührt vornehmlich aus der Zeit her, als die ersten Angriffe auf Systeme via CPU-Verwundbarkeit auftraten. Deshalb gibt es ja diese ucode-Pakete (MCU wie Intel sie benennt) überhaupt.
Was ich nicht wußte: Ja, MCUs können wohl die gesamte Firmware zur Laufzeit verändern - zumindest bei Dingen die sich in der Laufzeit noch korrigieren lassen.
Aber auch Intel schreibt, das Korrekturen/Updates via BIOS dem Weg über MCUs vorzuziehen ist.
Und: Sowohl Intel als auch AMD werden in ihren MCU-Paketen vornehmlich Dinge korrigieren, die ihre jeweilige CPU betreffen - sie bügeln nicht zwangsweise Firmware-Fehler der OEM-Lizenznehmer (Motherboard-Hersteller) aus.
MCUs are best loaded from the BIOS. Certain MCUs must only be applied from the BIOS. Such MCUs are never packaged in this package since they are not appropriate for OS distribution. An OEM may receive microcode update packages that are a superset of what is contained in this package for inclusion in a BIOS.
Aus: https://github.com/intel/Intel-Linux-Processor-Microcode-Data-Files
Wenn als fiktives Beispiel Asrock für sein Motherboard U666-Gamestar eine fehlerbehaftete ACPI-Implementierung in der Firmware hat, da wird sich Intel oder AMD einen Sche**ss drum kümmern solange es nicht "ihre" CPUs beeinflußt. Bestenfalls kriegt der OEM einen Hinweis und könnte nun eigene MCUs für sein Produkt bereitstellen. Oder eben eine komplett neue Firmware (aka BIOS-Update).
Intel sagt auch: "The preferred method to apply MCUs is using the system BIOS."
Weshalb die intel/amd-ucode Pakete IMHO weiterhin ein reguläres Update der Firmware im BIOS nicht ersetzen:
- Es ist nicht persistent
- Es gibt mit Sicherheit (ich bin allerdings kein Experte dbzgl,) etliche Dinge, die in der Laufzeit eben nicht mehr veränderbar sind
- Henne/Ei-Problem: Um MCUs anwenden zu können müssen die Dateien des MCU lebar sein. Oder ein Firmware-Update ist nötig um neuere CPU-Modelle lauffähig zu machen.
- Firmware-Funktionalität ist vornehmlich Sache der OEMs(Motherboard-Firmware). Das ist bei den meisten Herstellern immer noch absolut ein "geschlossener Bereich". Weder Intel noch AMD haben da wohl Zugriff drauf.
Also:
GerBra Microcode-Patches(für die CPU) haben nichts mit BIOS/UEFI-Updates zu tun.
ist so gesagt eher falsch.
Theoretisch könnte wohl wirklich die komplette Firmware durch MCUs ersetzt werden.
Aber:
Ich bleibe dabei, daß aktuell immer noch die Firmware über den jeweiligen Mechanismus des Board-Herstellers aktualisiert werden sollte. Und das sind eben BIOS-Updates.
Ich würde nun sagen: Microcode-Patches ergänzen BIOS-Updates, ersetzen sie aber dauerhaft und in speziellen Fällen nicht.
Die MCUs von Intel/AMD sollten immer installiert sein, und wenn nur um die Verwundbarkeit für CPU-Angriffe zu minimieren. Im besten Fall beheben sie auch andere Probleme.
Ein MCU vom OEM-Hersteller ist aber für viele OEM-spezifische Probleme weiterhin nötig, aber der aktuelle Weg der OEMs ist eben BIOS-Upgrades.