Никогда такого не было, и вот опять! Специалисты Microsoft и Google обнаружили в процессорах Intel новую уязвимость, которая похожа на Spectre и Meltdown. Уязвимость, получившая обозначение Speculative Store Bypass (variant 4), по своей природе аналогична Spectre и связана со спекулятивным выполнением команд в современных CPU.
В Intel отметили, что браузеры Safari, Edge и Chrome, получившие заплатки от Meltdown в начале 2018 года, защищены от уязвимости. Но для полного устранения уязвимости по аналогии со Spectre потребуется обновить микрокод чипов, и это может замедлить некоторые системы.
Intel уже предоставила OEM-производителям бета-версию обновления кода с защитой от Speculative Store Bypass и планирует в ближайшие недели начать глобальное распространение патча на системы, подверженные новому типу атак.
Представитель Intel Лесли Калбертсон заверил, что падение будет несущественным и неощутимым для большинства пользователей.
«С установленной заплаткой на тестовых потребительском и серверном ПК мы наблюдали общее снижение производительности в районе от 2 до 8% в таких бенчмарках, как SYSmark 2014 SE и SPEC», – отметил Лесли Калбертсон.
Таким образом, принимая решение об установке патча конечным пользователям (и особенно системным администраторам) снова придется делать выбор между безопасностью и оптимальным уровнем производительности. Как и с предыдущими вариациями Spectre, под удар попадают определенные настольные и серверные процессоры (точного списка пока нет), но новая уязвимость кажется менее опасной, чем предыдущие (или просто все уже привыкли).
В Microsoft заявили, что нашли уязвимость еще в ноябре 2017 года и сразу передали информацию партнерам в рамках инициативы Coordinated Vulnerability Disclosure. Сейчас софтверный гигант вместе с AMD и Intel пытаются оценить влияние изменений производительности на свои системы.
Напомним, что ранее Microsoft запустила новую программу выплаты денежных вознаграждений с максимальным размером выплаты в $250 тыс. за обнаружение уязвимостей, похожих на Meltdown и Spectre. Компания Intel в свою очередь ранее заявила о том, все новые процессоры, которые будут выходить с этого года, будут защищены от любых вариантов атак типа Spectre (включая эту новую) на аппаратном уровне. Приятно видеть, что определенные уроки производители извлеки из ошибок прошлого.
