Výzkumníci společností Google a Microsoft objevili čtvrtou variantu zranitelností Meltdown-Spectre, které ohrožují moderní procesory. Chyby v návrhu se opět vyskytují v podstatě ve všech současných rozšířených architekturách, tj, x86, ARM a Power. A stejně jako jejich předchůdci mohou získat na neošetřených systémech přístup k citlivým informacím.
Počátkem letošního roku byly zveřejněny informace o zranitelnostech Spectre (varianty 1 a 2) a Meltdown (varianta 3), které se vyskytují na úrovni hardwarového návrhu procesorů. Problémům čelí většina současné i minulé produkce centrálních výpočetníc h jednotek. Týkají se platforem x86, ARM a Power. Na řešení spolupracovali výrobci softwaru s producenty procesorů. První skupina zjevně přispěla podstatně větším dílem.
Čtvrtou variantu zranitelností procesorů, která je označována termínem Speculative Store Bypass (CVE-2018-3639), mohou potenciálně zneužít skriptovací soubory, které běží souběžně s programem. Může jít například o JavaScript na webových stránkách. Dokáží přenést citlivé informace z jedné části aplikace do jiné. K přístupu do paměti jader procesoru by teoreticky nemělo dojít. Zranitelnost souuvisí se spekulativním výkonem operací, tentokrát na úrovni load/store pipeline procesoru.
Podle informací společnosti Intel by možnost zneužití varianty 4 měly významně ztížit opravy provedené na ošetření zranitelnosti ve variantě 1. Aktuálně firma nemá informace o tom, že by exploity pro variantu 4 byly v oběhu. Teoretické ohrožení se podle výzkumníků firmy Microsoft týká také virtualizovaných serverů. V jejich případě může dojít ke vzájemnému napadení virtuálními stroji nebo k útoku na hypervisor.
Čtvrtá varianty zranitelností v návrhu procesorů vyžaduje, aby byl kód spuštěn lokálně na cílovém počítači, přímo nebo prostřednictvím skriptu. Nepotřebuje k tomu vyšší uživatelská práva.
