В начале года разработчики активно работали над патчами ОС и прошивками, направленными на защиту от уязвимостей Meltdown и Spectre, Intel решала проблемы с первой реализацией, но горизонт оказался не безоблачным. Появились новые имена: Skyfall и Solace.
До сих пор не известно конкретных атак, использующих два варианта уязвимостей Spectre и Meltdown (CVE-2017-5175, CVE-2017-5753 и CVE-2017-5754). Впрочем, здесь нет никаких гарантий. Даже если известных эксплойтов нет, злоумышленники могли многие годы использовать данные уязвимости, не афишируя. Кроме того, опубликованы доказательства возможности взлома.
Skyfall и Solace - еще две уязвимости, тоже связанные с внеочередным выполнением кода. Современные процессоры можно считать уязвимыми из-за их дизайна. На данный момент дополнительная информация об уязвимостях Skyfall и Solace все еще находится под NDA (соглашение о неразглашении). Что позволит всем затронутым компаниям выпустить патчи. Как только патчи будут выпущены, NDA обычно снимается. По крайней мере, так произошло в случае Spectre и Meltdown, хотя первая информация утекла раньше предполагаемого срока объявления.
Вся информация об уязвимостях Skyfall и Solace появится на сайте www.skyfallattack.com как только будет дана отмашка на публикацию. На данный момент на сайте опубликован следующий текст:
„Following the recent release of the Meltdown and Spectre vulnerabilities, CVE-2017-5175, CVE-2017-5753 and CVE-2017-5754, there has been considerable speculation as to whether all the issues described can be fully mitigated.
Skyfall and Solace are two speculative attacks based on the work highlighted by Meltdown and Spectre.
Full details are still under embargo and will be published soon when chip manufacturers and Operating System vendors have prepared patches."
Срок окончания эмбарго на новые уязвимости пока тоже не объявлен. На данный момент уязвимости нельзя считать подтвержденными.