Spectre Variant 4 a Meltdown Variant 3a boli potvrdené spoločnosťami Google a Microsoft

Podrobnosti a opravy týkajúce sa nových zraniteľností procesora

Spectre And Meltdown boli prví a každý ďalší týždeň dostávali potvrdenia o nových zraniteľnostiach. Posledné z nich potvrdili spoločnosti Google a Microsoft, Spectre Variant 4 a Meltdown Variant 3a. Spectre Variant 4 sa tiež nazýva Speculative Store Bypass. Toto zneužitie umožňuje hackerovi získať prístup k informáciám pomocou špekulatívneho mechanizmu vykonávania procesora.

Informácie týkajúce sa Meltdown Variant 3a pochádzajú z aplikácie Project Zero spoločnosti Google a centra zabezpečenia spoločnosti Microsoft. Tento problém ovplyvnil jadrá ARM Cortex-A15, -A57 a -A72. Keď hovoríme o Spectre Variant 4, je ovplyvnená široká škála procesorov. Podľa zverejneného dokumentu od spoločnosti Intel:

CVE-2018-3639 - Speculative Store Bypass (SSB) - tiež známy ako variant 4

Systémy s mikroprocesormi využívajúcimi špekulatívne vykonávanie a špekulatívne vykonávanie čítania pamäte skôr, ako sú známe adresy všetkých predchádzajúcich zápisov do pamäte, môžu umožniť neoprávnené prezradenie informácií útočníkovi s prístupom miestneho používateľa prostredníctvom analýzy bočného kanála.

Podľa Intelu je Spectre Variant 4 miernym bezpečnostným rizikom, pretože o mnohé zneužitia, ktoré využíva, už bolo postarané. Intel ďalej uviedol nasledovné:

Toto zmiernenie bude predvolene vypnuté a zákazníkom poskytne možnosť zvoliť si, či ho majú povoliť. Očakávame, že väčšina priemyselných softvérových partnerov rovnako použije možnosť predvoleného vypnutia. V tejto konfigurácii sme nezaznamenali žiadny vplyv na výkon. Ak je táto možnosť povolená, na testovacích systémoch client1 a server2 sme pozorovali vplyv na výkon približne 2 až 8 percent na základe celkového skóre pre porovnávacie hodnoty, ako je SYSmark® 2014 SE a SPEC integer rate.

Spectre Variant 4 ovplyvňuje nielen procesory Intel, ale aj AMD, ARM a IBM. Spoločnosť AMD potvrdila, že celkové CPU boli ovplyvnené až do prvej generácie Bulldozeru, čo nie je dobré znamenie, ale tieto problémy sa dajú našťastie opraviť. Keď už sme to povedali, stále existuje ďalších 6 zraniteľností, o ktorých nám nebolo povedané, ale mali by sme ich zverejniť asi v nasledujúcom týždni.

Dajte nám vedieť, čo si myslíte o Spectre Variant 4 a Meltdown variante 3a a čo si myslíte, že by ste mali urobiť v záujme ochrany spotrebiteľov, ktorí používajú čipy ovplyvnené týmito chybami zabezpečenia.