Meltdown (Sicherheitslücke)

Meltdown
	Meltdown-Logo
Typ	Hardware
CVE-Nummer(n)	CVE-2017-5754
Datum der Entdeckung	28. Juli 2017
Datum der Veröffentlichung	3. Januar 2018
Architektur(en)	ARM, IA-32/x64 (x86), POWER/PowerPC
Betriebssysteme	AIX, Android, iOS, Linux, macOS, System i, Windows uvw.
Hersteller	Apple, ARM, IBM, Intel, Qualcomm
Produkt(e)	ARM-Cortex-A75-, IBM-POWER-, PowerPC-970- und Intel-x86-Prozessoren

Meltdown ist eine Hardware-Sicherheitslücke in Mikroprozessoren, über die ein unautorisierter Zugriff auf den Speicher fremder Prozesse möglich ist. Die Anfälligkeit für diese Sicherheitslücke wurde für x86-Prozessoren des Herstellers Intel (alle Prozessoren seit 1995 mit Ausnahme der Atom-Reihe vor 2013), des Cortex-A75-Prozessor-Designs (im Jan. 2018 noch nicht in Mobiltelefonen eingesetzt) von ARM und der POWER-Architektur von IBM bestätigt. Die x86-Prozessoren von AMD sind hingegen nicht betroffen. Die Meltdown-Sicherheitslücke wird unter der CVE-Nummer CVE-2017-5754 geführt.

Die Sicherheitslücke besteht konkret darin, dass im Rahmen der Out-of-order execution der Prozessor vorläufig den Inhalt einer Speicherzelle ausliest und weiterverarbeitet, obwohl der aufrufende Prozess für diesen Speicherabschnitt keine Rechte hat. Dies verändert das Laufzeitverhalten bei Zugriff auf den Cache und erlaubt mittels einer genauen Zeitmessung unter bestimmten Bedingungen einen eindeutigen Rückschluss auf den Dateninhalt, auch nachdem das Ergebnis der Out-of-order-Ausführung verworfen wurde. Im Prinzip stellt dieses Verfahren ein in der Kryptoanalyse als Seitenkanalattacke bekanntes Verfahren dar.

↑ Cade Metz, Nicole Perlroth: Researchers Discover Two Major Flaws in the World's Computers. In: nytimes.com. 2018, abgerufen am 3. Januar 2018 (amerikanisches Englisch).
↑ Intel’s processors have a security bug and the fix could slow down PCs. In: The Verge. Abgerufen am 3. Januar 2018.
↑ Linux Gaming Performance Doesn't Appear Affected By The x86 PTI Work. In: phoronix.com. Abgerufen am 3. Januar 2018 (englisch).
↑ Meltdown and Spectre. Abgerufen am 15. November 2019.
↑ Arm Processor Security Update. In: developer.arm.com. 3. Januar 2018, abgerufen am 5. Januar 2018.
↑ Potential Impact on Processors in the POWER Family. In: PSIRT Blog. IBM, 14. Mai 2019, abgerufen am 9. August 2019 (englisch).
↑ Thomas Gleixner: x86/cpu, x86/pti: Do not enable PTI on AMD processors. In: git.kernel.org. 3. Januar 2018, abgerufen am 3. Januar 2018.
↑ Tom Lendacky: [tip:x86/pti] x86/cpu, x86/pti: Do not enable PTI on AMD processors. In: lkml.org. Abgerufen am 3. Januar 2018.
↑ cve.mitre.org

[NYT-20180103-1] Cade Metz, Nicole Perlroth: Researchers Discover Two Major Flaws in the World's Computers. In: nytimes.com. 2018, abgerufen am 3. Januar 2018 (amerikanisches Englisch).

[2] Intel’s processors have a security bug and the fix could slow down PCs. In: The Verge. Abgerufen am 3. Januar 2018.

[auto-3] Linux Gaming Performance Doesn't Appear Affected By The x86 PTI Work. In: phoronix.com. Abgerufen am 3. Januar 2018 (englisch).

[4] Meltdown and Spectre. Abgerufen am 15. November 2019.

[5] Arm Processor Security Update. In: developer.arm.com. 3. Januar 2018, abgerufen am 5. Januar 2018.

[IBM_PSIRT_POWERfam_2019-05-14-6] Potential Impact on Processors in the POWER Family. In: PSIRT Blog. IBM, 14. Mai 2019, abgerufen am 9. August 2019 (englisch).

[7] Thomas Gleixner: x86/cpu, x86/pti: Do not enable PTI on AMD processors. In: git.kernel.org. 3. Januar 2018, abgerufen am 3. Januar 2018.

[8] Tom Lendacky: [tip:x86/pti] x86/cpu, x86/pti: Do not enable PTI on AMD processors. In: lkml.org. Abgerufen am 3. Januar 2018.

[9] ve.mitre.org