Google hat im Project Zero Blog die vollständigen Details zu den drei Problemen veröffentlicht, die jetzt eine Website sowie ein Logo haben und auf die Namen Meltdown und Spectre getauft wurden – wobei es Spectre in zwei Varianten gibt.
Von Meltdown sind nach jetzigem Kenntnisstand nur Intel-CPUs betroffen – und zwar alle seit 1995 ausgelieferten Intel-CPUs mit Ausnahme von Itanium und den vor 2013 produzierten Atom-CPUs. Meltdown ist die Sicherheitslücke, die unprivilegierten Prozessen das Lesen von Kernel-Memory und das Ausbrechen aus virtuellen Maschinen erlaubt, was wie oben beschrieben mittels Page-Table-Isolation (PTI) behoben werden kann.
Spectre betreffe hingegen praktisch alle relevanten CPUs von Intel (u.a. Ivy Bridge, Haswell und Skylake) über AMD (u.a. Ryzen) bis hin zu ARM (u.a. Samsung und Qualcomm) und sei zwar schwerer auszunutzen aber auch schwerer zu beheben als Meltdown. Page-Table Isolation schafft hier keine Abhilfe. Spectre nutzt aus, dass moderne CPUs aus Performance-Gründen viele Instruktionen spekulativ im Voraus ausführen („Speculative execution“). Stellt sich das im Nachhinein als zu übereifrig heraus, müssen die Auswirkungen rückgängig gemacht werden. Das geschieht offenbar nicht gründlich genug, sodass mittels einer timing-basierten Seitenkanalattacke Speicher abgegriffen werden kann, auf den eigentlich kein Zugriff besteht. Zum Beispiel könne auf diese Weise im Browser ausgeführtes nicht vertrauenswürdiges JavaScript auf den kompletten Speicher des jeweiligen Prozesses zugreifen, der Passwörter anderer Websites oder sonstige Nutzerdaten enthalten kann.
Spectre könne ohne Änderungen an der CPU-Hardware nicht an zentraler Stelle behoben werden, sondern viele Anwendungen müssten einzeln angepasst werden. Beispielsweise wird Chrome 64 eine Gegenmaßnahme namens Site-Isolation enthalten, die für eine striktere Trennung der offenen Tabs in verschiedene Prozesse sorgt. Darüber hinaus wird wie in Firefox die Genauigkeit von Funktionen für Zeitmessungen (z.B. "performance.now()") reduziert, damit die timing-basierte Seitenkanalattacke nicht mehr funktioniert. Die Sicherheitsforscher prophezeien, dass Spectre Entwickler noch einige Zeit beschäftigen werde: „As it is not easy to fix, it will haunt us for quite some time.“
