| 21 мая 2018 г. — 18:54 PT
Google Project Zero и Microsoft сегодня раскрыли последний вариант уязвимостей безопасности Spectre и Meltdown, впервые обнаруженных в январе. Intel называет его «Вариант 4» и указывает, что он использует некоторые из тех же уязвимостей безопасности, что и первоначальное открытие…
Как сообщает CNET, Intel классифицирует новый вариант как уязвимость «среднего риска», поскольку «многие» эксплойты, которые он мог бы использовать, были исправлены браузерами во время первоначального набора исправлений.
Вариант 4, как и его предшественник, использует спекулятивные возможности процессора, позволяя хакерам получать доступ к конфиденциальной информации. Компания пишет в своем блоге:
Как и другие варианты GPZ, Вариант 4 использует спекулятивное выполнение — функцию, общую для большинства современных архитектур процессоров — чтобы потенциально раскрывать определенные типы данных через побочный канал. В данном случае исследователи продемонстрировали Вариант 4 в языковой среде выполнения. Хотя нам неизвестны успешные эксплойты в браузерах, наиболее распространенное использование сред выполнения, таких как JavaScript, приходится на веб-браузеры.
Тем не менее, Intel заявляет, что предоставила обновления микрокода производителям и ожидает их выпуска в ближайшие недели.
Мы уже предоставили обновление микрокода для Варианта 4 в бета-версии производителям системных OEM-производителей и поставщикам системного ПО, и ожидаем, что оно будет выпущено в виде обновлений BIOS и ПО в течение ближайших недель.
Что касается производительности, Intel утверждает, что не ожидает влияния исправлений на нее, и предполагает, что большинство OEM-производителей оставят средства защиты отключенными, чтобы обеспечить сохранение прежней производительности. Хотя компания отмечает, что при включении наблюдается «влияние на производительность примерно на 2–8 %».
Первоначальные уязвимости Spectre и Meltdown были обнаружены в январе, при этом Apple заявила, что «все устройства Mac и iOS» были затронуты этой уязвимостью.
Более подробную информацию о последнем баге Spectre & Meltdown от Intel можно прочитать на сайте Intel.
Подпишитесь на 9to5Mac на YouTube, чтобы получать больше новостей об Apple: