> > > > Intel подтверждает новые уязвимости Spectre 1.1 и 1.2

Intel подтверждает новые уязвимости Spectre 1.1 и 1.2

Опубликовано:

intelКак и ожидалось, Intel придется в ближайшие годы сражаться с новыми уязвимостями, связанными с атаками по сторонним каналам. Теперь опубликованы подробности уязвимостей Spectre 1.1 и Spectre 1.2, и в рамках новой программы вознаграждений Spectre и Meltdown, двум исследователям, которые их обнаружены, выплачена сумма $100 тысяч.

Spectre 1.1 и 1.2, как можно догадаться по названию, являются дальнейшим развитием уязвимости Spectre Variant 1 CVE-2017-5753. Они были обнаружены Владимиром Кирьянским и Карлом Волдспургером (Carl Waldspurger), опубликовавшим соответствующий документ. Intel уже провела анализ и подтвердила существование уязвимостей. Команда Security Incident Response Team подтвердила выплату вознаграждения $100.000.

Если верить Intel, уязвимостям Spectre 1.1 (CVE-2017-5753) и Spectre 1.2 (CVE-2018-3693) подвержены не только процессоры компании, но также CPU AMD и на дизайне ARM. Впрочем, это не удивляет, поскольку уязвимости связаны с дизайном современных процессоров, поэтому они проявляются на всех современных архитектурах CPU.

"Most modern operating systems are impacted. Intel recommends checking with your Operating System Vendor(s) for updates or patches."

Для обоих уязвимостей Intel указывает уровень опасности "Высокий". Intel сообщила о том, что уже работает над патчами с разработчиками операционных систем и своими партнерами. Но пока неизвестно, когда они появятся, и какое влияние на производительность они окажут.

"Along with other companies whose platforms are potentially impacted by these new methods, including AMD and ARM, Intel has worked with operating system vendors, equipment manufacturers, and other ecosystem partners to develop software updates or developer guidance that can help protect systems from these methods. End users and systems administrators should check with their operating system vendors and apply any available updates as soon as practical."

Spectre 1.1 и 1.2 дополняют список оригинальных уязвимостей Spectre и Meltdown, причем не все "баги" пока удалось устранить. Что касается и свежих уязвимостей Spectre-NG и Lazy FP State Restore.

С процессорами Cascade Lake и/или Ice Lake Intel планировала закрыть уязвимости Meltdown и Spectre на уровне кремния. Но, похоже, Intel придется какое-то время бороться с уязвимостями, поскольку в дата-центрах циклы перехода на новые CPU весьма длительные, поэтому уязвимости, связанные с атаками по сторонним каналам, пока придется закрывать другими способами.