Intel Xeon 6 SoCs vorgestellt Bild © IntelIntel Xeon 6 SoCs vorgestellt (Bild © Intel)

Was wurde behoben

Die August-Version behebt sechs Sicherheitslücken mit dem Schweregrad HOCH, bei denen es sich hauptsächlich um Vektoren zur Ausweitung von Berechtigungen handelt. Eine Sicherheitslücke ermöglicht außerdem Denial-of-Service-Angriffe:

Während Client-Systeme die gleichen Sicherheitsverbesserungen erhalten, weist Intel darauf hin, dass die Datencenter-Seite angesichts der Breite der betroffenen Xeon-Plattformen und der TDX-Nutzung besonders zeitkritisch ist.

Wer ist betroffen

Der Microcode betrifft unter anderem diese CPU-Familien/Steppings:

  • Arrow Lake Mobile und Desktop (Core Ultra Series 2)
  • Lunar Lake (Core Ultra 200V)
  • Meteor Lake (Core Ultra)
  • Raptor Lake (13. Generation Core H/P/PX und U)
  • Xeon Scalable Gen3 (Ice Lake SP), Gen4 (Sapphire Rapids inkl. Xeon Max/SPR-HBM), Gen5 (Emerald Rapids) und Gen6 (Granite Rapids / Sierra Forest)
  • Xeon D-17xx / D-27xx (Ice Lake-D)
  • Xeon 6700-Serie mit E-Kernen

Ausgewählte Versionsänderungen (alt → neu):

  • Arrow Lake H / S/HX: 0x118 → 0x119
  • Lunar Lake: 0x11F → 0x123
  • Meteor Lake: 0x24 → 0x25
  • Raptor Lake (6+8 / 2+8): 0x4128 → 0x4129
  • Ice Lake-D (Xeon D-17xx/D-27xx): 0x010002D0 → 0x010002E0
  • Ice Lake SP (Xeon Gen3): 0x0D000404 → 0x0D000410
  • Emerald Rapids (Xeon Gen5): 0x210002A9 → 0x210002B3
  • Granite Rapids (Xeon Gen6): 0x010003A2 / 0x0A0000D1 → 0x010003D0 / 0x0A000100
  • Sapphire Rapids SP: 0x2B000639 → 0x2B000643
  • Xeon Max (SPR-HBM): 0x2C0003F7 → 0x2C000401
  • Xeon 6700-Serie (E-Kerne): 0x03000341 → 0x03000362

Enthaltene Funktionskorrekturen

Neben Sicherheitsupdates enthält das Paket Stabilitäts- und Verhaltensaktualisierungen, auf die in den Plattformaktualisierungen von Intel verwiesen wird, und zwar für:

  • 13./14. Core-Generation, Core Ultra (Meteor Lake, Serie 2/Lunar Lake)
  • Xeon Scalable Gen3–Gen6, Xeon 6700-Serie, Xeon D-2700

Diese beheben in der Regel Fehler, Abstürze in Ausnahmefällen, Verbesserungen der Energieverwaltung und die Genauigkeit der Telemetrie.

So bekommst du das Update

  • Linux: Das microcode-20250812-Paket ist jetzt verfügbar. Die meisten Distributionen veröffentlichen es als intel-microcode/microcode_ctl-Updates. Wende es über den normalen Paketmanager an und starte neu, um es zu aktivieren. Du kannst den Ladestatus nach dem Neustart mit journalctl -k | grep microcode überprüfen.
  • Windows: Die Bereitstellung erfolgt über Windows Update und OEM-BIOS/UEFI-Pakete. Unternehmensflotten sollten die Hinweise der Hersteller überprüfen und Wartungsfenster planen, da ein Neustart erforderlich ist.
  • Firmware/BIOS: Server-OEMs liefern den Mikrocode auch über die Plattform-Firmware aus. Überprüfe, ob deine BIOS-Version die neuen Revisionen enthält, wenn keine OS-seitige Injektion verwendet wird.

Aktionsplan für Administratoren

  • 1.Inventarisieren Sie die CPUs in allen Flotten, um Arrow Lake/Lunar Lake/Meteor Lake-Clients und die betroffenen Xeon-Generationen zu identifizieren.
  • 2.Priorisieren Sie Server mit Xeon Scalable Gen4–Gen6, TDX und extern exponierten Management-Stacks.
  • 3.Führen Sie Updates und Neustarts über Wartungsfenster durch und überprüfen Sie die Mikrocode-Revision nach dem Update. 4.Überprüfe die Empfindlichkeit der Workloads (Echtzeit/geringe Latenz)** und führe schnelle Zustandsprüfungen durch. Es ist nicht zu erwarten, dass der Mikrocode zu nennenswerten Leistungseinbußen bei allgemeinen Workloads führt.
  • 5.Verfolge die OEM-Firmware: Wenn BIOS-Updates die OS-Injektion ersetzen, passe dich an die neuesten Hersteller-Images an.

Mit sechs Sicherheitshinweisen mit hoher Schwere und einer breiten Plattformabdeckung ist dies ein Update-Zyklus mit hoher Priorität sowohl für Client-Flotten als auch für Rechenzentrumsbetreiber.