A Spectre 4-es és a 3a-os variánsokat a Google és a Microsoft megerősítette

Részletek és javítások az új CPU biztonsági résekről

A Spectre And Meltdown volt az első, és minden egyes héten megerősítést nyertek az új sebezhetőségekről. Ezek közül a legújabbakat a Google és a Microsoft, a Spectre Variant 4 és a Meltdown 3a változat is megerősítette. A Spectre 4 variánst Spekulatív Store Bypass néven is nevezik. Ez a kihasználás lehetővé teszi a hacker számára, hogy hozzáférjen az információkhoz a CPU spekulatív végrehajtási mechanizmusa segítségével.

A Meltdown 3a változattal kapcsolatos információk a Google Project Zero és a Microsoft Biztonsági Válaszközpontból származnak. A Cortex-A15, -A57 és -A72 ARM magokat érintette ez a probléma. A Spectre Variant 4-ről szólva sokféle processzor érintett. Az Intel kiadott dokumentuma szerint:

CVE-2018-3639 - Spekulatív Store Bypass (SSB) - más néven 4. variáns

Mikroprocesszorokkal rendelkező rendszerek, amelyek spekulatív és spekulatív memóriaolvasásokat hajtanak végre, mielőtt az összes korábbi memóriaírás címe ismeretes, lehetővé tehetik az adatok jogosulatlan közzétételét egy helyi felhasználói hozzáféréssel rendelkező támadó számára oldalsó csatornaelemzés útján.

Az Intel szerint a Spectre Variant 4 mérsékelt biztonsági kockázatot jelent, mivel az általa használt sok kihasználásról már gondoskodtak. Az Intel a következőket állította továbbá:

Ez a mérséklés alapértelmezés szerint off-alapú lesz, így az ügyfelek választhatnak, hogy engedélyezik-e. Arra számítunk, hogy az ipari szoftverpartnerek többsége szintén az alapértelmezett kikapcsolási lehetőséget használja. Ebben a konfigurációban nem figyeltünk meg teljesítményt. Ha engedélyezve van, akkor körülbelül 2-8 százalékos teljesítményhatást figyeltünk meg az olyan benchmarkok összesített pontszáma alapján, mint az SYSmark (R) 2014 SE és a SPEC egész szám a client1 és server2 tesztrendszereken.

A Spectre Variant 4 nemcsak az Intel CPU-kat érinti, hanem az AMD, ARM és az IBM-t is. Az AMD megerősítette, hogy a CPU-kat az egész Bulldozer első generációjáig érinti, ez nem jó jel, de szerencsére ezeket a problémákat ki lehet javítani. Mindezek ellenére még mindig van még 6 sebezhetőség, amelyekről nem mondtak nekünk, de a közelgő héten nyilvánosságra kell hozni őket.

Mondja el nekünk, mit gondol a Spectre Variant 4-ről és a Meltdown 3a változatról, és mit gondol, mit kell tennie annak érdekében, hogy megvédjük azokat a fogyasztókat, akik a sérülékenység által érintett chipeket használják.