Spectre- ja Meltdown-haavoittuvuuksista julki neljäs variantti

24.05.2018 12:00 | Muropaketin toimitus

Meltdown Spectre

Spectre- ja Meltdown-haavoittuvuuksista on paljastunut neljäs variantti. Googlen ja Microsoftin tutkijoiden löytämä uusi haavoittuvuus on suurelta osin tukittu jo aiemmin julkaistuissa ohjelmistopäivityksissä, mutta myös mikrokoodipäivityksiä suorittimiin on tulossa.

Uusi variantti perustuu jälleen spekulatiiviseen suoritukseen ja sen kautta tietojen hankkimiseen. Uutta varianttia voisi teoriassa hyväksikäyttää selaimen runtime-ympäristön avulla, mutta ainakin suosituimmista selaimista Chromesta, Firefoxista ja Edgestä tämä mahdollisuus on hyvin pitkälti tukittu jo Spectren ensimmäiseen versioon julkaistussa päivityksessä.

Intel kertoo artikkelissaan toimittaneensa beta-version mikrokoodipäivityksestä neljänteen varianttiin OEM-laitevalmistajille. Valmistajien odotetaan julkaisevan omat päivityksensä seuraavien viikkojen kuluessa. Intelin testien mukaan päivitykset heikentävät suorituskykyä kahdesta kahdeksaan prosenttia. Päivitys on oletuksena pois päältä. Intel jättää asiakkaan harkintaan sen päälle kytkemisen BIOSista.

AMD suosittelee tarkistamaan päivitykset käyttöjärjestelmän toimittajalta, Windowsiin ja Linuxiin on tulossa päivityksiä. Microsoft on julkaissut ohjeistuksen koskien haavoittuvuutta. Haavoittuvuus koskee myös ARM- ja Power-suorittimia.