Die in Prozessoren entdeckten Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel, aber auch ARM und teilweise AMD. Forscher von europäischen Universitäten und von Google haben eine Fülle von Möglichkeiten ausgetüftelt, um Speicher auszulesen, auf den ein User-Prozess gar nicht zugreifen können dürfte. Dafür verwenden sie eine Eigenschaft aller modernen Out-of-Order-Prozessoren.

Es ergeben sich mehr als ein Dutzend Angriffsszenarien, die sich nur schwer verhindern lassen. Ein Security-Supergau.

Kommentare lesen (23)

FAQ zu Meltdown und Spectre: Was ist passiert, bin ich betroffen, wie kann ich mich schützen?

Antworten auf die häufigsten Fragen zu den Prozessorlücken und Angriffsszenarien Meltdown und Spectre.

Analyse zur Prozessorlücke: Meltdown und Spectre sind ein Security-Supergau

Die Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel. Aus den Lücken ergeben sich mehr als ein Dutzend Angriffsmöglichkeiten - ein Security-Supergau. EIne Analyse von Andreas Stiller.

Meltdown und Spectre: Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern

Hersteller von Hard- und Software sind von den Sicherheitslücken Meltdown und Spectre gleichermaßen betroffen. Eine Linkübersicht zu Stellungnahmen, weiterführenden Informationen und Update-Hinweisen.

Dienstag: Spectre-Rückkehr, Preis-Durcheinander und viel Wasserstoff-Anhänger

Sicherheitslücke Spectre lebt wieder + Preise für Hardware geraten durcheinander + Ingenieursverband will mehr Wasserstoff-Förderung + EU gegen Apple-Monopol

Sicherheitslücke Spectre lebt neu auf: AMD- und Intel-Prozessoren betroffen

Ein neuer Seitenkanalangriff zielt auf die Micro-Op-Caches aller modernen CPUs von AMD und Intel ab, Ryzen 5000 und Rocket Lake-S eingeschlossen.

Patch me if you can: Was wir aus Spectre, Meltdown und Foreshadow lernen können

Dass IT-Sicherheit nur noch schwer beherrschbar ist, hängt mit der Komplexität der IT zusammen, denken viele. Doch so einfach ist es nicht – zum Glück.

Prozessorlücke Spectre: Exploit für Windows & Linux öffentlich verfügbar

Funktionierende Spectre-Exploits (V1, CVE-2017-5753) aus einer kommerziellen Pentesting-Software wurden geleakt, aktive Angriffe bislang aber nicht beobachtet.

HP Spectre x360 14: Convertible-Notebook mit 3:2-OLED-Bildschirm

Beim neuen Spectre x360 14 gibt es einen OLED-Bildschirm im Seitenverhältnis 3:2. Auch andere Spectre- und Envy-Notebooks bekommen Tiger-Lake-CPUs.

Weitere CPU-Sicherheitslücke Load Value Injection (LVI)

Der Angriff zielt vor allem auf SGX-Enklaven im RAM von Intel-Prozessoren, lässt sich aber etwa auch zum Schwächen von AES-Verschlüsselung nutzen.

Neue CPU-Sicherheitslücke in AMD-Prozessoren laut AMD gar nicht neu

Sicherheitsforscher haben laut eigenen Angaben neue Sicherheitslücken in AMDs Prozessoren gefunden – unter anderem Ryzen und Epyc sollen betroffen sein.

Sicherheitslücken in Intel-CPUs: Modifizierte Angriffe erfordern BIOS-Updates

CacheOut beziehungsweise L1D Eviction Sampling (L1DES) umgehen bisherige Sicherheits-Updates für Intel-Prozessoren.

Intel flickt "Plundervolt" und zahlreiche weitere Sicherheitslücken

Durch bösartiges Prozessor-"Undervolting" lassen sich SGX-verschlüsselten RAM-Enklaven Geheimnisse entlocken; Intel patcht auch 10 weitere Sicherheitslücken.

Linux-Entwickler optimieren weiter um Prozessor-Bugs herum

Durch "Core Scheduling" soll sich Hyper-Threading bald auch sicher mit CPUs nutzen lassen, die bekannte Schwachstellen aufweisen.

SWAPGS: Details und Updates zur neuen Spectre-Lücke in Intel-Prozessoren

Für eine neue, SWAPGS getaufte Intel-Lücke stehen Windows-Software-Updates bereit. Microcode-Updates sind diesmal nicht erforderlich.

Bundesregierung sieht Behördenrechner gegen Meltdown und Spectre gewappnet

Der Bund hat angeblich sämtliche mit Spectre und Meltdown bekannt gewordenen Schwachstellen auf potenziell gefährdeten IT-Systemen ganz gut im Griff.

Wieder neue Spectre-Lücke in Intel-Prozessoren entdeckt

Noch hat man Spectre und Meltdown nicht im Griff, da droht neues Ungemach: Bei der Black Hat wurden neue Prozessorschwachstellen vorgestellt.

Side-Channel Attacks: OpenSSH erhält Schutz vor Spectre, RAMBleed und Co.

Die temporäre Verschlüsselung im RAM soll mit OpenSSH genutzte Keys künftig vor Seitenkanalangriffen schützen.

Weshalb Rowhammer-Angriffe auf den Arbeitsspeicher funktionieren können

Die Angriffstechnik Rowhammer überwindet stärkste Software-Schutzmaßnahmen, indem sie Hardware-Schwächen ausnutzt. Das funktioniert teils sogar aus der Ferne.

Wie man sich vor Spectre, Meltdown und Co. schützt

Seit dem Aufkommen von Spectre und Co sind Sicherheitsverantwortliche damit beschäftigt, die Bedrohungen einzudämmen beziehungsweise zu vermindern.

Updates gegen die Intel-Prozessorlücken ZombieLoad & Co.

Für alle aktuellen Windows-Versionen, viele Linux-Distributionen und Hypervisoren wie VMware ESXi kommen Patches gegen ZombieLoad & Co.

ZombieLoad: Neue Sicherheitslücken in Intel-Prozessoren

Bei vielen bisherigen Core-i- und Xeon-Prozessoren kann Malware Daten laufender Prozesse belauschen, wenn sie auf demselben Kern läuft.

Windows 10: Performance-Frust statt -Lust nach Retpoline-Patch gegen Spectre V2

Das letzte Woche für Windows 10 1809 erschienene kumulative Update mit Retpoline-Schutz gegen Spectre V2 beschert vor allem Gamern massive Performance-Verluste.

Bit-Rauschen: Kritik am Spectre-Schutz und 4-Gigahertz-Pentium

Experten forschen weiter an Spectre-Lücken und haben Intels SGX im Visier. 13 Jahre nach dem letzten Pentium 4 steht ein Pentium mit 4 GHz an und im Juli ist angeblich Ryzen-Zeit.

Forscher entdecken Informationsleck "SPOILER" in Intel-CPUs

Eine neue Angriffstechnik auf die spekulative Ausführung von Intel-CPUs kann Folgeangriffe wie Rowhammer erleichtern.

Mit Retpoline gegen Spectre V2: Windows-10-Update bringt mehr Geschwindigkeit

Das Update KB4482887 für Windows 10 1809 und Windows Server 2019 bringt unter anderem Googles "Retpoline"-Schutz gegen Spectre V2 mit.

Software-Schutz vor Spectre-Angriffen ist weitestgehend nutzlos

Programme, die fremden Code empfangen und ausführen, können sich nicht auf Software-Schutz für Spectre-Lücken verlassen, sagen Google-Forscher.

#heiseshow: DSGVO, Spectre, Cebit-Aus – Das war 2018, was kommt 2019?

Die letzte #heiseshow im Jahr 2018 steht an und deswegen wollen wir noch einmal zurückblicken, bevor wir überlegen, was uns kommendes Jahr erwarten dürfte.

Linux: Besserer Spectre-V2-Schutz jetzt im Kernel, kaum Geschwindigkeitsverlust

Nach einem abgelehnten Patch haben die Linux-Entwickler den Schutz gegen die CPU-Lücke Spectre V2 in den Kerneln 4.14.86 und 4.19.7 verbessert.

SplitSpectre: Neue Methode macht Prozessor-Angriffe einfacher

Eine neue Abwandlung des Spectre-V1-Angriffs macht solche Attacken auf CPUs realistischer. Sie lässt sich über die JavaScript-Engine eines Browsers ausführen.