После первой волны уязвимостей Spectre и Meltdown в середине января, на прошлой неделе стало известно о второй волне. Но пока что информации об уязвимостях Spectre NG (Spectre Next Generation) было очень мало, поскольку Intel планирует опубликовать информацию вместе с исследователями, которые их обнаружили. И на сегодня как раз была запланирована публикация подробных сведений. Первые патчи тоже были запланированы на сегодня.
Но, как теперь стало известно, Intel перенесла выпуск первых патчей и публикацию информации на две недели, то есть на 21 мая. Скорее всего, компания просто не успела подготовить патчи, Intel запросила возможность отложить публикацию информации об уязвимостях, исследователи пошли навстречу. Подобное поведение разительно отличается от CTS Labs и недавно выявленных уязвимостей в процессорах AMD. В лучшую сторону, конечно.
Первые обновления микрокода должны выйти 21 мая. Тогда же будут опубликованы технические подробности уязвимостей и продемонстрированы эксплойты - по крайней мере, для двух уязвимостей Spectre NG. Впрочем, и это не точно. Intel запросила перенос публикации до 10 июля.
Уязвимостям Spectre NG подвержены все процессоры Core, начиная с поколения Nehalem. То есть все процессоры Pentium, Celeron и Atom после 2013 года являются уязвимыми, число затрагиваемых систем исчисляется миллионами, обновления микрокода необходимо предоставить для десятков процессоров. Причем обновления необходимо сначала отправить OEM-партнерам, которые проведут собственные тесты. А потом уже все зависит от пользователя - ему придется самостоятельно устанавливать обновления. Как обычно, Intel будет выпускать патчи и обновления в зависимости от значимости тех или иных процессоров. Поэтому в первую волну вряд ли выйдут обновления для всех процессоров. На данный момент датой последних патчей называют 14 августа.
Из восьми уязвимостей Spectre NG первые патчи закрывают только четыре. Скорее всего, именно они были признаны наиболее опасными. Но уязвимости типа Spectre можно закрыть только сочетанием патчей на уровне операционной системы и обновлений микрокода. Поэтому также планируются обновления для Windows, Linux, macOS и других операционных систем. Также уязвимости Spectre NG будут полностью закрыты в будущих процессорах. Когда это случится - неизвестно. Возможно, вместе с процессорами Cascade Lake и исправлением уязвимостей Spectre первой волны.
До публикации подробностей об уязвимостях Spectre NG, которая назначена на 21 мая, вопросов остается больше, чем ответов. Но, похоже, Intel работает над решением проблемы.