Af Nicolai Devantier, 22/05/18
Spectre bliver ved med at spøge i kulissen, og nu har sikkerhedsfolk fra it-giganterne Google og Microsoft fundet endnu to varianter.
Der har floreret rygter om sårbarhederne siden starten af måneden, men nu har eksempelvis AMD, ARN, Intel, Microsoft og Red Hat også udsendt sikkerhedsadvarsler om de to ny medlemmer i klassen.
Spectre og Meltdown-sårbarhederne blev opdaget i starten af året, hvor sikkerhedsforskere viste, at der er en designfejl i moderne processorer, som har betydelige konsekvenser for systemernes sikkerhed.
Der findes allerede tre kendte varianter: Spectre v1, Spectre v2 og Meltdown. De to nye er foreløbig blevet kategoriseret som Variant 3a (CVE-2018-3640) og Variant 4 (CVE-2018-3639).
De to varianter kan potentielt give en angriber adgang til følsomme oplysninger på sårbare systemer.
Anbefaling:
Følg med i producenternes rettelser og opdateringer. Afprøv opdateringer i et testmiljø, før de implementeres. Overvåg ydelsen på kritiske applikationer og services.
Links:
- Side-Channel Vulnerability Variants 3a and 4, sikkerhedsbeskrivelse fra USCERT.
- The latest security information on Intel products, information fra Intel.
- Google and Microsoft Reveal New Spectre Attack, artikel fra Bleepingcomputer.
- Speculative Store Buffer Bypass in 3 minutes, video fra Red Hat, der forklarer, hvordan sårbarheden har betydning for moderne CPUer.
- Derfor vil processor-sårbarhederne Spectre og Meltdown plage os i månedsvis, klumme af Henrik Larsen fra DKCERT.
- Speculative execution, variant 4: speculative store bypass, Google-blog.