Die Sicherheitslücken Meltdown und Spectre klangen wie Action-Thriller, markierten jedoch den Beginn einer neuen Ära hardwarebasierter Cyberbedrohungen. Im Gegensatz zu softwarebasierten Schwachstellen greifen sie tief in CPU-Hardware ein.
Als Hardware- und Softwarehersteller Patches ausrollten, warnten Forscher: Das war nur der Anfang. Tatsächlich gibt es nun eine Fortsetzung – Speculative Store Bypass Variant 4 (SSB v4), die Meltdown- und Spectre-Varianten 1 bis 3 ergänzt. Ein codenamewürdig unheimlicher Name fehlt, aber die Gefahr ist real.
Diese Lücke entdeckten Forscher von Microsoft und Googles Project Zero gemeinsam. Die Unternehmen bewerten das Risiko als gering – es gibt keine Hinweise auf Exploits in der Praxis. Betroffen sind jedoch Intel-, AMD- und ARM-Prozessoren, was ein riesiges Netz anfälliger Systeme bedeutet.
Wie Spectre nutzt SSB v4 die spekulative Ausführung moderner CPUs aus: Prozessoren prognostizieren Datenverarbeitungsschritte, um Leistung zu maximieren, schützen dabei aber sensible Informationen unzureichend. Angreifer könnten so Passwörter oder andere Daten abgreifen.
Für eine anschauliche Erklärung hilft das Video von Red Hat: Stellen Sie sich Ihre CPU als Restaurant vor – es verdeutlicht, wie Spekulation zu Lecks führt.
Die gute Nachricht: Browser-Fixes aus der Meltdown-Zeit schützen bereits gegen SSB v4. Intel-Sicherheitschef Leslie Culbertson betont: „Patches für Safari, Edge und Chrome sind anwendbar und für Verbraucher verfügbar.“
Den vollen Schutz bietet ein Firmware-Update mit Nebenwirkung: Leistungsverluste von 2–8 % bei Benchmarks wie SYSmark 2014 SE und SPEC. Intel deaktiviert es standardmäßig, sodass Nutzer zwischen Performance und Sicherheit wählen können.
Microsoft wusste seit November 2017 Bescheid und koordinierte die Offenlegung. Ein Sprecher zu The Verge: „Keine bekannten Fälle auf Windows oder Cloud-Infrastruktur. Abhilfe folgt über unseren Update-Dienstag.“
Zukünftige Prozessoren sind sicher: Intel Xeon (Cascade Lake) und Core der 8. Generation integrieren Hardware-Schutz ab später diesem Jahr.