Spectre Variant 4 ja Meltdown Variant 3a on Google ja Microsoft kinnitanud

Üksikasjad ja plaastrid uute protsessori turvaaukude kohta

Spectre And Meltdown olid esimesed ja iga nädalaga kinnitatakse uusi haavatavusi. Viimaseid on kinnitanud Google ja Microsoft, Spectre Variant 4 ja Meltdown Variant 3a. Spectre Variant 4 nimetatakse ka spekulatiivseks poe ümbersõiduks. See ärakasutamine võimaldab häkkeril pääseda juurde teabele, kasutades protsessori spekulatiivset täitemehhanismi.

Teave Meltdowni variandi 3a kohta pärineb Google'i projektist Zero ja Microsofti turbekeskusest. See probleem on mõjutanud südamikke Cortex-A15, -A57 ja -A72. Spectre Variant 4-st rääkides on mõjutatud lai valik protsessoreid. Inteli avaldatud dokumendi kohaselt:

CVE-2018-3639 - spekulatiivne poe ümbersõit (SSB) - tuntud ka kui variant 4

Mikroprotsessoritega süsteemid, mis kasutavad mälu lugemise spekulatiivset ja spekulatiivset täitmist enne kõigi varasemate mälu kirjutamiste aadresside teada saamist, võivad lubada teabe lubamatut avalikustamist kohaliku kasutaja juurdepääsuga ründajale külgkanali analüüsi kaudu.

Inteli sõnul on Spectre Variant 4 mõõdukas turvarisk, kuna paljude tema kasutatavate ärakasutuste eest on juba hoolitsetud. Lisaks teatas Intel järgmist:

See leevendus seatakse vaikimisi välja, pakkudes klientidele valikut, kas see lubada. Eeldame, et enamik tööstusharu tarkvarapartnereid kasutab ka vaikevaliku võimalust. Selles konfiguratsioonis ei ole me täheldanud toimimisele mingit mõju. Kui see on lubatud, oleme täheldanud jõudlusmõju umbes 2–8 protsenti, tuginedes selliste võrdlusaluste nagu SYSmark (R) 2014 SE ja SPEC täisarvu kliendi1 ja server2 testimissüsteemide üldskooridele.

Spectre Variant 4 mõjutab lisaks Inteli protsessoritele ka AMD, ARM ja IBM. AMD on kinnitanud, et kogu CPU-sid on mõjutatud kogu buldooseri esimese põlvkonnani, see pole hea märk, kuid õnneks saab neid probleeme lappida. Seda kõike öeldes on endiselt veel 6 haavatavust, millest meile pole räägitud, kuid need tuleks avalikustada umbes eeloleval nädalal.

Andke meile teada, mida arvate Spectre Variant 4 ja Meltdowni variandist 3a ning mida peaksite tegema, et kaitsta neid haavatavustest mõjutatud kiipe kasutavaid tarbijaid.