Spectre Variant 4 и Meltdown Variant 3a са потвърдени от Google и Microsoft

Подробности и кръпки относно новите уязвимости на процесора

Spectre And Meltdown бяха първите и с всяка изминала седмица получават потвърждения за нови уязвимости. Последните от които са потвърдени от Google и Microsoft, Spectre Variant 4 и Meltdown Variant 3a. Spectre Variant 4 се нарича още Speculative Store Bypass. Този експлойт позволява на хакера да получи достъп до информация, използвайки спекулативния механизъм за изпълнение на процесора.

Информация относно Meltdown Variant 3a идва от Google Project Project Zero и Центъра за отговор на Microsoft Security. Cortex-A15, -A57 и -A72 ARM ядра са засегнати от този проблем. Говорейки за Spectre Variant 4, има голям брой процесори, които са били засегнати. Според публикувания документ от Intel:

CVE-2018-3639 - Speculative Store Bypass (SSB) - известен също като вариант 4

Системи с микропроцесори, използващи спекулативно изпълнение и спекулативно изпълнение на четения на паметта, преди да са известни адресите на всички предишни записи в паметта, могат да позволят неразрешено разкриване на информация на нападател с локален потребителски достъп чрез анализ на страничен канал.

Според Intel, Spectre Variant 4 е умерен риск за сигурността, тъй като много от експлоатите, които той използва, вече са полагани. Освен това Intel заяви следното:

Това смекчаване ще бъде настроено по подразбиране, като предоставя на клиентите избор дали да го активират. Очакваме, че повечето партньори в индустриалния софтуер също ще използват опцията за изключване по подразбиране. В тази конфигурация не сме забелязали влияние върху производителността. Ако е активирано, наблюдаваме въздействие върху производителността от приблизително 2 до 8 процента въз основа на общите резултати за бенчмаркове като SYSmark (R) 2014 SE и целочислен процент на SPEC в тестови системи client1 и server2.

Spectre Variant 4 засяга не само процесорите на Intel, но и AMD, ARM и IBM. AMD потвърди, че централните процесори са били засегнати чак до първото поколение Bulldozer, това не е добър знак, но за щастие тези проблеми могат да бъдат отстранени. След като казахме всичко това, има още 6 уязвимости, за които не ни е казано, но трябва да бъдат оповестени през следващата седмица или нещо подобно.

Кажете ни какво мислите за Spectre Variant 4 и Meltdown вариант 3a и какво смятате, че трябва да се направи, за да се защитят потребителите, които използват чипове, засегнати от тези уязвимости.