Die in Prozessoren entdeckten Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel, aber auch ARM und teilweise AMD. Forscher von europäischen Universitäten und von Google haben eine Fülle von Möglichkeiten ausgetüftelt, um Speicher auszulesen, auf den ein User-Prozess gar nicht zugreifen können dürfte. Dafür verwenden sie eine Eigenschaft aller modernen Out-of-Order-Prozessoren.

Es ergeben sich mehr als ein Dutzend Angriffsszenarien, die sich nur schwer verhindern lassen. Ein Security-Supergau.

Kommentare lesen (23)

FAQ: Prozessor-Sicherheitslücken Meltdown und Spectre

FAQ zu Meltdown und Spectre: Was ist passiert, bin ich betroffen, wie kann ich mich schützen?

Antworten auf die häufigsten Fragen zu den Prozessorlücken und Angriffsszenarien Meltdown und Spectre.

Prozessorlücke, Meltdown, Spectre, Hardare, Motherboard, Intel, Prozessor, CPU

Analyse zur Prozessorlücke: Meltdown und Spectre sind ein Security-Supergau

Die Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel. Aus den Lücken ergeben sich mehr als ein Dutzend Angriffsmöglichkeiten - ein Security-Supergau. EIne Analyse von Andreas Stiller.

Meltdown und Spectre: Link-Übersicht zu Informationen von Hardware- und Software-Herstellern

Meltdown und Spectre: Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern

Hersteller von Hard- und Software sind von den Sicherheitslücken Meltdown und Spectre gleichermaßen betroffen. Eine Linkübersicht zu Stellungnahmen, weiterführenden Informationen und Update-Hinweisen.

CPU-Sicherheitslücke: Spectre V2 ist auch bei Intel und ARM zurück

Bisherige Schutzmechanismen von Intel-Prozessoren und ARM-Kernen gegen Seitenkanalangriffe vom Typ Spectre V2 reichen nicht aus.

CPU-Sicherheitslücke Spectre V2: Neuer Dreh betrifft AMDs Ryzen und Epyc

Viele AMD-Prozessoren mit Zen-Architektur zeigen ein ungewolltes Verhalten bei verzweigten Instruktionen, was zu auslesbaren Bytes führt.

CPU-Sicherheitslücke: AMD Ryzen und Epyc per Seitenkanal verwundbar

Sicherheitsforscher der TU Dresden beweisen, dass komplizierte Angriffe der Meltdown-Klasse grundsätzlich auch bei AMDs Ryzen-Prozessoren funktionieren.

JavaScript-Engine: V8 9.3 erhöht Sicherheit und Performance auf Android

Google reduziert in V8 9.3 die Compile-Zeit durch Batch-Kompilierung und widmet sich dem Spectre-Schutz auf Android.

Bit-Rauschen, der Prozessor-Podcast: Aktuelle CPU-Sicherheitslücken

Immer wieder tauchen Sicherheitslücken in Prozessoren auf. Müssen wirklich alle geschlossen werden? Der Audio-Podcast Bit-Rauschen, Folge 2021/13.

Mainboard-BIOS-Updates einspielen oder nicht?

Ist es notwendig, jedes BIOS-Update sofort zu installieren oder sollte man das besser erst bei Problemen tun?

Meltdown und Spectre: Sicherheitslücke in Intel-Prozessoren

Sicherheitsupdate bremst einige Intel-Prozessoren leicht

Der Performance-Experte Travis Downs zeigt die Bremswirkung von Microcode-Updates und hinterfragt, ob jeder Patch nötig ist.

Dienstag: Spectre-Rückkehr, Preis-Durcheinander und viel Wasserstoff-Anhänger

Sicherheitslücke Spectre lebt wieder + Preise für Hardware geraten durcheinander + Ingenieursverband will mehr Wasserstoff-Förderung + EU gegen Apple-Monopol

Sicherheitslücke Spectre lebt neu auf: AMD- und Intel-Prozessoren betroffen

Ein neuer Seitenkanalangriff zielt auf die Micro-Op-Caches aller modernen CPUs von AMD und Intel ab, Ryzen 5000 und Rocket Lake-S eingeschlossen.

Patch me if you can: Was wir aus Spectre, Meltdown und Foreshadow lernen können

Dass IT-Sicherheit nur noch schwer beherrschbar ist, hängt mit der Komplexität der IT zusammen, denken viele. Doch so einfach ist es nicht – zum Glück.

Prozessorlücke Spectre: Exploit für Windows & Linux öffentlich verfügbar

Funktionierende Spectre-Exploits (V1, CVE-2017-5753) aus einer kommerziellen Pentesting-Software wurden geleakt, aktive Angriffe bislang aber nicht beobachtet.

HP Spectre x360 14: Convertible-Notebook mit 3:2-OLED-Bildschirm

Beim neuen Spectre x360 14 gibt es einen OLED-Bildschirm im Seitenverhältnis 3:2. Auch andere Spectre- und Envy-Notebooks bekommen Tiger-Lake-CPUs.

Weitere CPU-Sicherheitslücke Load Value Injection (LVI)

Der Angriff zielt vor allem auf SGX-Enklaven im RAM von Intel-Prozessoren, lässt sich aber etwa auch zum Schwächen von AES-Verschlüsselung nutzen.

Neue CPU-Sicherheitslücke in AMD-Prozessoren laut AMD gar nicht neu

Sicherheitsforscher haben laut eigenen Angaben neue Sicherheitslücken in AMDs Prozessoren gefunden – unter anderem Ryzen und Epyc sollen betroffen sein.

Sicherheitslücken in Intel-Prozessoren: Modifizierte Angriffe erfordern neue BIOS-Updates

Sicherheitslücken in Intel-CPUs: Modifizierte Angriffe erfordern BIOS-Updates

CacheOut beziehungsweise L1D Eviction Sampling (L1DES) umgehen bisherige Sicherheits-Updates für Intel-Prozessoren.

Intel flickt "Plundervolt" und zahlreiche weitere Prozessor-Sicherheitslücken

Intel flickt "Plundervolt" und zahlreiche weitere Sicherheitslücken

Durch bösartiges Prozessor-"Undervolting" lassen sich SGX-verschlüsselten RAM-Enklaven Geheimnisse entlocken; Intel patcht auch 10 weitere Sicherheitslücken.

Linux-Entwicklern optimieren weiter um Prozessor-Bugs herum

Linux-Entwickler optimieren weiter um Prozessor-Bugs herum

Durch "Core Scheduling" soll sich Hyper-Threading bald auch sicher mit CPUs nutzen lassen, die bekannte Schwachstellen aufweisen.

SWAPGS: Details und Updates zur neuen Spectre-Lücke in Intel-Prozessoren

Für eine neue, SWAPGS getaufte Intel-Lücke stehen Windows-Software-Updates bereit. Microcode-Updates sind diesmal nicht erforderlich.

Bundesregierung sieht Behördenrechner gegen Meltdown und Spectre gewappnet

Der Bund hat angeblich sämtliche mit Spectre und Meltdown bekannt gewordenen Schwachstellen auf potenziell gefährdeten IT-Systemen ganz gut im Griff.

Wieder neue Spectre-Lücke in Intel-Prozessoren entdeckt

Noch hat man Spectre und Meltdown nicht im Griff, da droht neues Ungemach: Bei der Black Hat wurden neue Prozessorschwachstellen vorgestellt.

OpenSSH erhält Schutzmechanismus gegen Spectre, RAMBleed und Co.

Side-Channel Attacks: OpenSSH erhält Schutz vor Spectre, RAMBleed und Co.

Die temporäre Verschlüsselung im RAM soll mit OpenSSH genutzte Keys künftig vor Seitenkanalangriffen schützen.

Weshalb Rowhammer-Angriffe auf den Arbeitsspeicher funktionieren können

Die Angriffstechnik Rowhammer überwindet stärkste Software-Schutzmaßnahmen, indem sie Hardware-Schwächen ausnutzt. Das funktioniert teils sogar aus der Ferne.

Wie man sich vor Spectre, Meltdown und Co. schützt

Seit dem Aufkommen von Spectre und Co sind Sicherheitsverantwortliche damit beschäftigt, die Bedrohungen einzudämmen beziehungsweise zu vermindern.

Updates gegen die Intel-Prozessorlücken ZombieLoad & Co.

Für alle aktuellen Windows-Versionen, viele Linux-Distributionen und Hypervisoren wie VMware ESXi kommen Patches gegen ZombieLoad & Co.

ZombieLoad: Neue Sicherheitslücken in Intel-Prozessoren

Bei vielen bisherigen Core-i- und Xeon-Prozessoren kann Malware Daten laufender Prozesse belauschen, wenn sie auf demselben Kern läuft.

Microsoft bestätigt Performance-Probleme mit dem Windows-10-Update KB4482887

Windows 10: Performance-Frust statt -Lust nach Retpoline-Patch gegen Spectre V2

Das letzte Woche für Windows 10 1809 erschienene kumulative Update mit Retpoline-Schutz gegen Spectre V2 beschert vor allem Gamern massive Performance-Verluste.

Bit-Rauschen: Kritik am Spectre-Schutz und 4-Gigahertz-Pentium

Experten forschen weiter an Spectre-Lücken und haben Intels SGX im Visier. 13 Jahre nach dem letzten Pentium 4 steht ein Pentium mit 4 GHz an und im Juli ist angeblich Ryzen-Zeit.