Google i Microsoft otkrivaju novu varijantu Spectre

Google i Microsoft otkrivaju novu varijantu Spectre 1

Istraživači Googlea i Microsofta otkrili su novu varijantu Spectre and Meltdown.

Novootkrivena mana, koja se zove Variant 4ili Speculative Store Bypass utječe na procesore iz Intela, ARM-a i AMD-a, što znači da su stotine milijuna uređaja potencijalno pogođeni, iako u divljini nisu primijećeni nikakvi eksploati.

Intel je rekao da se, poput Spectra, varijanta oslanja na spekulativno izvršavanje, svojstvo zajedničko većini modernih arhitektura procesora, kako bi potencijalno izložilo određene vrste podataka putem bočnog kanala. Američki CERT-ov savjet rekao je da ranjivost može omogućiti napadaču pristup i čitanje starije CPU memorije bilo u CPU skupu ili drugim memorijskim mjestima.

"Napadač koji je uspješno iskoristio ovu ranjivost možda će moći pročitati povlaštene podatke preko granica povjerenja", piše u Sigurnosnom savjetu Microsoftovog sigurnosnog centra.

Hakeri bi mogli iskoristiti bugu pokretanjem JavaScripta u web preglednicima, proizvodeći nativni kod koji bi mogao stvoriti instancu Variant 4 (CVE-2018-3639). Microsoft je rekao da je ojačao svoje preglednike Edge i Internet Explorer kako bi povećao poteškoće u uspješnom stvaranju takvog bočnog kanala. Slični koraci poduzeti su i za ostale preglednike.

Dok je Intel rekao neku varijantu 4 iskorištavanja su ublažena prethodnim zakrpama, a isporučila je i ažuriranje mikro koda kako bi se nova varijanta u beta obliku obratila OEM-ovima i dobavljačima softvera, očekujući da će ona biti puštena u proizvodnju BIOS-a i ažuriranja softvera tijekom narednih tjedana.

Međutim, zakrpa će se isključiti prema zadanim postavkama, a Intel upozorava na 2% do 8% uspješnost za one koji to omogućuju.

"Očekujemo da će većina softverskih partnera u industriji također upotrijebiti zadanu opciju", rekla je Leslie Culbertson, izvršna potpredsjednica tvrtke Intel i generalni direktor osiguranja i sigurnosti proizvoda.

ARM je u svom postu na blogu napomenuo da "ova metoda ovisi o zlonamjernom softveru koji se izvodi lokalno, što znači da je korisno da korisnici primjenjuju dobru sigurnosnu higijenu tako što će ažurirati svoj softver i izbjegavati sumnjive veze ili preuzimanja".

Prema blogovima koje su objavili Googleovi Project Zero i the, nedostatak čipova može. Ranjivost utječe na procesore iz Intela, AMD-a i ARM-a.