Spectre 4 variantą ir 3a ištirpimo variantą patvirtino „Google“ ir „Microsoft“

Išsami informacija apie naujus procesoriaus pažeidžiamumus

„Spectre And Meltdown“ buvo pirmieji ir su kiekviena savaite sulaukia naujų pažeidžiamumų patvirtinimų. Naujausius iš jų patvirtino „Google“ ir „Microsoft“ - „Spectre 4“ ir „Meltdown 3“ variantai. „Spectre Variant 4“ dar vadinamas „Spekuliacinio parduotuvės aplinkkeliu“. Šis išnaudojimas leidžia hakeriui gauti prieigą prie informacijos naudojant spekuliacinį procesoriaus vykdymo mechanizmą.

Informacija apie „Meltdown 3a“ variantą gaunama iš „Google“ projekto „Zero Project“ ir „Microsoft Security Response Center“. Ši problema paveikė Cortex-A15, -A57 ir -A72 ARM šerdis. Kalbant apie „Spectre 4“ variantą, yra daugybė procesorių, kurie buvo paveikti. Pagal išleistą „Intel“ dokumentą:

CVE-2018-3639 - spekuliacinis parduotuvės apėjimas (SSB) - taip pat žinomas kaip 4 variantas

Sistemos su mikroprocesoriais, naudojančiomis spekuliacinį ir spekuliacinį atminties nuskaitymą prieš žinant visų ankstesnių atminties įrašų adresus, gali leisti neteisėtai atskleisti informaciją užpuolikui, turinčiam vietinę vartotojo prieigą, atliekant šoninio kanalo analizę.

Pasak „Intel“, „Spectre Variant 4“ yra vidutinė saugumo rizika, nes jau buvo pasirūpinta daugeliu jo naudojamų išnaudojimų. „Intel“ taip pat nurodė:

Šis švelninimas bus nustatytas pagal numatytuosius nustatymus, suteikiant klientams galimybę pasirinkti, ar jį įjungti. Tikimės, kad dauguma pramonės programinės įrangos partnerių taip pat naudos numatytąją išjungimo parinktį. Šioje konfigūracijoje mes nepastebėjome jokio našumo. Jei tai įgalinta, pastebėjome apytiksliai 2–8 proc. Našumo poveikį, remdamiesi bendrais etalonų, tokių kaip „SYSmark (R) 2014 SE“ ir „SPEC“ sveikojo skaičiaus, rezultatais kliento1 ir serverio2 bandymo sistemose.

„Spectre Variant 4“ veikia ne tik „Intel“ procesorius, bet ir AMD, ARM bei IBM. AMD patvirtino, kad procesoriai visoje aplinkoje buvo paveikti iki pat pirmosios buldozerio kartos, tai nėra geras ženklas, tačiau, laimei, šias problemas galima pataisyti. Visa tai pasakius, vis dar yra dar 6 pažeidžiamumai, apie kuriuos mums nebuvo pasakyta, bet kurie turėtų būti paviešinti artimiausią savaitę.

Praneškite mums, ką manote apie „Spectre Variant 4“ ir „Meltdown“ 3a variantą ir ką, jūsų manymu, reikėtų padaryti, norint apsaugoti vartotojus, naudojančius lustus, paveiktus šių pažeidžiamumų.