Исследователи продолжают находить новые уязвимости в процессорах Intel. Сама Intel классифицировала четыре уязвимости как среднюю угрозу, но оставшиеся четыре представляют собой высокий уровень угрозы. Издание c't, которое и выбрало термин Spectre NG, говорит о более высокой потенциальной угрозе по сравнению с Spectre 1 и Spectre 2, но Intel уже работает над мерами противодействия.
Если верить изданию c't, которое и опубликовало информацию, восемь уязвимостей базируются на тех же ошибках дизайна, что и Spectre 1 и 2, а также Meltdown. Собственно, по этой причине было выбрано название Spectre NG (Spectre Next Generation) - по крайней мере, на данный момент. Семь уязвимостей из восьми считаются такими же опасными, что и их предшественники. Напомним, что информация о "дырах" была опубликована в начале января, она привлекла внимание многих пользователей, но уровень опасности удалось существенно снизить благодаря вышедшим обновлениям микрокода и операционной системы. Пусть даже иногда за счет вычислительной производительности.
Сложно сказать, снизят ли новые обновления безопасности производительность. Если верить источнику, работа над обновлениями уже идет. Intel представит первую волну обновлений в мае, вторая запланирована на август. Чиповый гигант сотрудничает над обновлениями с производителями операционных систем. Причем Microsoft должна сыграть более важную роль, чем в случае тех же Spectre и Meltdown. Чтобы закрыть уязвимости как можно быстрее, обновления будут распространяться через Windows Update. Поэтому пользователям не придется ждать, когда производитель материнской платы представит обновление BIOS.
Пока не совсем понятно, какая из восьми уязвимостей будет закрыта первой. c't указывает, что сначала будут исправлены две проблемы, но не совсем понятно, относятся ли они к самым опасным или нет. Причем проблем новые уязвимости могут доставить больше, чем Spectre 1 и 2. Злоумышленник сможет намного проще атаковать другие виртуальные машины, работающие на том же компьютере или даже host-систему по сравнению с Spectre 1 и 2. Если для использования предыдущих уязвимостей требовался высокий уровень компетенции, атаки Spectre NG намного проще в исполнении.
Риску подвергаются, прежде всего, поставщики облачных сервисов и любые серверы, на которых одновременно работают несколько виртуальных машин. Домашние или корпоративные ПК вряд ли будут в фокусе подобных атак, но защититься от уязвимостей все равно стоит как можно быстрее.
Судя по имеющейся информации, уязвимостям Spectre NG подвержены те же процессоры Intel, что и Spectre 1 и 2, а также Meltdown, то есть сразу несколько покорений. Также есть информация, что в неназванных процессорах ARM тоже могут быть уязвимости. Что касается AMD, то здесь исследования продолжаются. Но поскольку проблемы связаны с архитектурой, то процессоры Ryzen тоже могут быть подвержены уязвимостям, по крайней мере, частично. Пока комментариев от Intel, AMD или ARM не поступало.
Обновление
Intel прокомментировала информацию о новых уязвимостях Spectre NG, хотя и косвенно:
„Protecting our customers’ data and ensuring the security of our products are critical priorities for us. We routinely work closely with customers, partners, other chipmakers and researchers to understand and mitigate any issues that are identified, and part of this process involves reserving blocks of CVE numbers. We believe strongly in the value of coordinated disclosure and will share additional details on any potential issues as we finalize mitigations. As a best practice, we continue to encourage everyone to keep their systems up-to-date."
Из цитаты можно сделать вывод, что Intel работает над решением. Впрочем, это источник c't как раз и упоминал. Пока не понятно, когда можно ждать первых обновлений. Также неизвестно, подвержены ли уязвимостям процессоры AMD. Пока что информации по этому поводу от компании нет.