Die in Prozessoren entdeckten Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel, aber auch ARM und teilweise AMD. Forscher von europäischen Universitäten und von Google haben eine Fülle von Möglichkeiten ausgetüftelt, um Speicher auszulesen, auf den ein User-Prozess gar nicht zugreifen können dürfte. Dafür verwenden sie eine Eigenschaft aller modernen Out-of-Order-Prozessoren.

Es ergeben sich mehr als ein Dutzend Angriffsszenarien, die sich nur schwer verhindern lassen. Ein Security-Supergau.

Kommentare lesen (23)

FAQ zu Meltdown und Spectre: Was ist passiert, bin ich betroffen, wie kann ich mich schützen?

Antworten auf die häufigsten Fragen zu den Prozessorlücken und Angriffsszenarien Meltdown und Spectre.

Analyse zur Prozessorlücke: Meltdown und Spectre sind ein Security-Supergau

Die Sicherheitslücken Meltdown und Spectre treffen die Prozessorhersteller ins Mark - vor allem Intel. Aus den Lücken ergeben sich mehr als ein Dutzend Angriffsmöglichkeiten - ein Security-Supergau. EIne Analyse von Andreas Stiller.

Meltdown und Spectre: Die Sicherheitshinweise und Updates von Hardware- und Software-Herstellern

Hersteller von Hard- und Software sind von den Sicherheitslücken Meltdown und Spectre gleichermaßen betroffen. Eine Linkübersicht zu Stellungnahmen, weiterführenden Informationen und Update-Hinweisen.

Weitere CPU-Sicherheitslücke Load Value Injection (LVI)

Der Angriff zielt vor allem auf SGX-Enklaven im RAM von Intel-Prozessoren, lässt sich aber etwa auch zum Schwächen von AES-Verschlüsselung nutzen.

Neue CPU-Sicherheitslücke in AMD-Prozessoren laut AMD gar nicht neu

Sicherheitsforscher haben laut eigenen Angaben neue Sicherheitslücken in AMDs Prozessoren gefunden – unter anderem Ryzen und Epyc sollen betroffen sein.

Sicherheitslücken in Intel-CPUs: Modifizierte Angriffe erfordern BIOS-Updates

CacheOut beziehungsweise L1D Eviction Sampling (L1DES) umgehen bisherige Sicherheits-Updates für Intel-Prozessoren.

Intel flickt "Plundervolt" und zahlreiche weitere Sicherheitslücken

Durch bösartiges Prozessor-"Undervolting" lassen sich SGX-verschlüsselten RAM-Enklaven Geheimnisse entlocken; Intel patcht auch 10 weitere Sicherheitslücken.

Linux-Entwickler optimieren weiter um Prozessor-Bugs herum

Durch "Core Scheduling" soll sich Hyper-Threading bald auch sicher mit CPUs nutzen lassen, die bekannte Schwachstellen aufweisen.

SWAPGS: Details und Updates zur neuen Spectre-Lücke in Intel-Prozessoren

Für eine neue, SWAPGS getaufte Intel-Lücke stehen Windows-Software-Updates bereit. Microcode-Updates sind diesmal nicht erforderlich.

Bundesregierung sieht Behördenrechner gegen Meltdown und Spectre gewappnet

Der Bund hat angeblich sämtliche mit Spectre und Meltdown bekannt gewordenen Schwachstellen auf potenziell gefährdeten IT-Systemen ganz gut im Griff.

Wieder neue Spectre-Lücke in Intel-Prozessoren entdeckt

Noch hat man Spectre und Meltdown nicht im Griff, da droht neues Ungemach: Bei der Black Hat wurden neue Prozessorschwachstellen vorgestellt.

Side-Channel Attacks: OpenSSH erhält Schutz vor Spectre, RAMBleed und Co.

Die temporäre Verschlüsselung im RAM soll mit OpenSSH genutzte Keys künftig vor Seitenkanalangriffen schützen.

Weshalb Rowhammer-Angriffe auf den Arbeitsspeicher funktionieren können

Die Angriffstechnik Rowhammer überwindet stärkste Software-Schutzmaßnahmen, indem sie Hardware-Schwächen ausnutzt. Das funktioniert teils sogar aus der Ferne.

Wie man sich vor Spectre, Meltdown und Co. schützt

Seit dem Aufkommen von Spectre und Co sind Sicherheitsverantwortliche damit beschäftigt, die Bedrohungen einzudämmen beziehungsweise zu vermindern.

Updates gegen die Intel-Prozessorlücken ZombieLoad & Co.

Für alle aktuellen Windows-Versionen, viele Linux-Distributionen und Hypervisoren wie VMware ESXi kommen Patches gegen ZombieLoad & Co.

ZombieLoad: Neue Sicherheitslücken in Intel-Prozessoren

Bei vielen bisherigen Core-i- und Xeon-Prozessoren kann Malware Daten laufender Prozesse belauschen, wenn sie auf demselben Kern läuft.

Windows 10: Performance-Frust statt -Lust nach Retpoline-Patch gegen Spectre V2

Das letzte Woche für Windows 10 1809 erschienene kumulative Update mit Retpoline-Schutz gegen Spectre V2 beschert vor allem Gamern massive Performance-Verluste.

Bit-Rauschen: Kritik am Spectre-Schutz und 4-Gigahertz-Pentium

Experten forschen weiter an Spectre-Lücken und haben Intels SGX im Visier. 13 Jahre nach dem letzten Pentium 4 steht ein Pentium mit 4 GHz an und im Juli ist angeblich Ryzen-Zeit.

Forscher entdecken Informationsleck "SPOILER" in Intel-CPUs

Eine neue Angriffstechnik auf die spekulative Ausführung von Intel-CPUs kann Folgeangriffe wie Rowhammer erleichtern.

Mit Retpoline gegen Spectre V2: Windows-10-Update bringt mehr Geschwindigkeit

Das Update KB4482887 für Windows 10 1809 und Windows Server 2019 bringt unter anderem Googles "Retpoline"-Schutz gegen Spectre V2 mit.

Software-Schutz vor Spectre-Angriffen ist weitestgehend nutzlos

Programme, die fremden Code empfangen und ausführen, können sich nicht auf Software-Schutz für Spectre-Lücken verlassen, sagen Google-Forscher.

#heiseshow: DSGVO, Spectre, Cebit-Aus – Das war 2018, was kommt 2019?

Die letzte #heiseshow im Jahr 2018 steht an und deswegen wollen wir noch einmal zurückblicken, bevor wir überlegen, was uns kommendes Jahr erwarten dürfte.

Linux: Besserer Spectre-V2-Schutz jetzt im Kernel, kaum Geschwindigkeitsverlust

Nach einem abgelehnten Patch haben die Linux-Entwickler den Schutz gegen die CPU-Lücke Spectre V2 in den Kerneln 4.14.86 und 4.19.7 verbessert.

SplitSpectre: Neue Methode macht Prozessor-Angriffe einfacher

Eine neue Abwandlung des Spectre-V1-Angriffs macht solche Attacken auf CPUs realistischer. Sie lässt sich über die JavaScript-Engine eines Browsers ausführen.

IBM Power System gegen Spectre & Co. absichern

Performanceeinbußen, Downtimes und unkalkulierbarer Arbeitsaufwand – nicht nur in der Intel-Welt kosten Sicherheitslücken wie Spectre Zeit.

Windows 10 1809: Update gegen Spectre-NG-Lücken

Mit dem Update KB4465065 liefert Microsoft Microcode-Updates für einige Intel-Prozessortypen zum Schutz gegen L1TF sowie Spectre V3a und V4.

Schlechte Performance: Linux-Entwickler entscheiden sich gegen Spectre-Schutz

Eine Schutzfunktion sollte vor der Hardware-Lücke Spectre-V2 schützen, hat wohl aber mitunter starken Einfluss auf die Rechengeschwindigkeit.

Prozessor-Sicherheit: Sieben neue Varianten von Spectre-Lücken

Die Spectre-Sicherheitslücken in Prozessoren lassen sich angeblich noch anders nutzen, als bisher bekannt; Intel gibt allerdings Entwarnung.

Spectre: Update-Tool patcht ältere (Windows-)Rechner

Der "Intel Microcode Boot Loader" spielt Microcode-Updates vor dem (Windows-)Start ein, um auch ältere Rechner gegen Spectre-Angriffe zu schützen.

OpenBSD 6.4: Sicherer ohne Hyper-Threading

Theo de Raadt kann es nicht lassen: OpenBSD 6.4 ist wieder zwei Wochen früher fertig. Mit an Bord sind neue Sicherheitsfunktionen für Intel-Prozessoren.

Ärger über Intels Lizenzbedingungen für Sicherheits-Updates

Debian-Entwickler sind über eine Lizenzbedingung gestolpert, die die Verbreitung von Microcode-Updates mit Patches gegen CPU-Sicherheitslücken untersagt.