Interessanter Heise-Artikel:

Wenn ich den Artikel richtig verstehe, wird physischer Zugriff auf die auszulesende CPU benötigt.

Was meinst Du mit physischer Zugriff auf die CPU?

Der entsprechende (Schad-) Code muss lokal ausführt werden.

man liest ja gerade viel darüber. Ich hab aber noch nicht verstanden wie das ausgenutzt werden kann.
Weiß da jemand was zu? Wann generiert mein Computer kryptographische Keys und wie kann die jemand auslesen?

Einen Artikel über diese Lücke gab es auch hier:

Das Problem liegt wohl in den Prefetch-Routinen, die die P-Kerne durchführen. In den E-Kernen gibt es das Problem nicht. Wenn man diese Prozesse von den P-Kernen in die E-Kerne verlegt, führt das natürlich zu einem Performanceverlust. Was ist wichtiger? Performance oder Sicherheit?

Hilfreich wäre, wenn das jeder User selbst entscheiden könnte.

Immer wenn etwas verschlüsselt wird. Bspw. wenn du eine Seite über HTTPS aufrufst. Ausgelesen werden können die Keys von einer Software, welche auf dem Mac im Hintergrund läuft und das Verhalten deiner Hardware überwacht und von den Aktionen des Prefetchers der P-Kerne auf den Key schließen kann.

Es ist also notwendig, dass eine entsprechend bösartige Software auf deinem Mac mit den nötigen Zugriffen ausgeführt wird, während solch eine Krypto-Operation läuft.