Spectre Variant 4 i Meltdown Variant 3a zostały potwierdzone przez Google i Microsoft

Szczegóły i poprawki dotyczące nowych luk w zabezpieczeniach procesora

Spectre i Meltdown były pierwszymi, które z każdym mijającym tygodniem otrzymują potwierdzenia nowych luk w zabezpieczeniach. Najnowsze z nich zostały potwierdzone przez Google i Microsoft, Spectre Variant 4 i Meltdown Variant 3a. Wariant Spectre 4 jest również nazywany obejściem spekulacyjnych sklepów. Ten exploit umożliwia hakerowi uzyskanie dostępu do informacji przy użyciu mechanizmu spekulatywnego wykonywania procesora.

Informacje dotyczące Meltdown Variant 3a pochodzą z Google Project Zero i Microsoft Security Response Center. Problem dotyczy rdzeni Cortex-A15, -A57 i -A72 ARM. Mówiąc o Spectre Variant 4, mamy do czynienia z szeroką gamą procesorów, których dotyczy problem. Zgodnie z opublikowanym dokumentem Intela:

CVE-2018-3639 - Speculative Store Bypass (SSB) - znany również jako wariant 4

Systemy z mikroprocesorami wykorzystujące spekulatywne wykonywanie i spekulatywne wykonywanie odczytów pamięci, zanim znane są adresy wszystkich wcześniejszych zapisów w pamięci, mogą umożliwiać nieautoryzowane ujawnienie informacji atakującemu z dostępem użytkownika lokalnego poprzez analizę kanału bocznego.

Według firmy Intel Spectre Variant 4 stanowi umiarkowane zagrożenie bezpieczeństwa, ponieważ wiele wykorzystywanych przez niego exploitów zostało już rozwiązanych. Intel stwierdził ponadto, co następuje:

To ograniczenie zostanie domyślnie wyłączone, dając klientom możliwość wyboru, czy je włączyć. Oczekujemy, że większość dostawców oprogramowania branżowego również będzie korzystać z opcji domyślnego wyłączenia. W tej konfiguracji nie zaobserwowaliśmy wpływu na wydajność. Jeśli jest włączona, zaobserwowaliśmy wpływ na wydajność wynoszący około 2 do 8 procent na podstawie ogólnych wyników testów porównawczych, takich jak SYSmark (R) 2014 SE i współczynnik całkowitoliczbowy SPEC w systemach testowych client1 i server2.

Spectre Variant 4 wpływa nie tylko na procesory Intela, ale także AMD, ARM i IBM. AMD potwierdziło, że procesory na całej płycie zostały dotknięte aż do pierwszej generacji Bulldozera, nie jest to dobry znak, ale na szczęście problemy te można załatać. Powiedziawszy to wszystko, nadal istnieje 6 innych luk w zabezpieczeniach, o których nie powiedziano nam, ale powinny zostać upublicznione w nadchodzącym tygodniu.

Daj nam znać, co myślisz o wariancie Spectre 4 i wariancie Meltdown 3a i co Twoim zdaniem należy zrobić, aby chronić konsumentów używających chipów dotkniętych tymi lukami.