Spectre Variant 4 in Meltdown Variant 3a sta potrdila Google in Microsoft

Podrobnosti in popravki glede novih ranljivosti CPU

Spectre And Meltdown so bili prvi in ​​z vsakim tednom dobivajo potrditve novih ranljivosti. Zadnjo sta potrdila Google in Microsoft, Spectre Variant 4 in Meltdown Variant 3a. Spectre Variant 4 se imenuje tudi Speculative Store Bypass. Ta podvig omogoča hekerju dostop do informacij z uporabo špekulativnega izvršilnega mehanizma CPU.

Informacije o raztaljevanju različice 3a prihajajo iz Googlovega Project Zero in Microsoftovega centra za odziv na varnost. Ta težava je prizadela jedra ARM Cortex-A15, -A57 in -A72. Ko govorimo o Spectre Variant 4, je prizadet širok spekter procesorjev. Glede na objavljeni dokument podjetja Intel:

CVE-2018-3639 - Špekulativni obvod trgovine (SSB) - znan tudi kot varianta 4

Sistemi z mikroprocesorji, ki uporabljajo špekulativno izvajanje in špekulativno izvajanje branja pomnilnika, preden so znani naslovi vseh predhodnih zapisov v pomnilnik, lahko dovolijo nepooblaščeno razkritje informacij napadalcu z lokalnim uporabniškim dostopom prek analize stranskih kanalov.

Po navedbah Intela je Spectre Variant 4 zmerno varnostno tveganje, saj je bilo za številne podvige, ki jih uporablja, že poskrbljeno. Intel je nadalje navedel naslednje:

To ublažitev bo nastavljeno na privzeto, tako da bo strankam omogočila izbiro, ali jo bodo omogočile. Pričakujemo, da bo večina industrijskih partnerjev uporabljala tudi možnost privzetega izklopa. V tej konfiguraciji nismo opazili vpliva na zmogljivost. Če je omogočeno, smo opazili vpliv uspešnosti približno 2 do 8 odstotkov na podlagi skupnih ocen za merila uspešnosti, kot sta SYSmark (R) 2014 SE in celoštevilska stopnja SPEC na testnih sistemih client1 in server2.

Spectre Variant 4 ne vpliva samo na procesorje Intel, temveč tudi na AMD, ARM in IBM. AMD je potrdil, da so bili CPU vsesplošno prizadeti vse do prve generacije Buldožerja, to ni dober znak, a na srečo je te težave mogoče popraviti. Po vsem tem obstaja še 6 ranljivosti, o katerih nam še niso povedali, bi pa jih morali objaviti v prihodnjem tednu ali tako.

Sporočite nam, kaj mislite o Spectre Variant 4 in Meltdown variant 3a in kaj menite, da je treba storiti, da zaščitite potrošnike, ki uporabljajo čipe, ki jih prizadenejo te ranljivosti.