Специалисты Microsoft и Google совместными усилиями обнаружили новую уязвимость в процессорах, похожую на Meltdown и Spectre. Угрозу обозначили как Speculative Store Bypass (variant 4). Аналогично Spectre, эксплойт также использует спекулятивное выполнение команд, которое предоставляют современные CPU.
Компания Intel уже заявила, что исправляющие заплатки для браузеров Safari, Edge и Chrome, выпущенные в начале этого года, защищают и от новой уязвимости. Однако, потребуется ещё и обновление микрокода процессоров, что в свою очередь может снова повлиять на производительность систем. Intel уже выпустила бета-версию исправления для OEM-производителей. Для всех остальных патч будет доступен в ближайшие недели. Представители компании обещают, что большинство пользователей не заметит снижения производительности.
«Применив патч, мы наблюдаем снижение общей производительности примерно на 2-8%, основываясь на показателях бенчмарков SYSmark 2014 SE и SPEC», — поясняет Лесли Калбертсон (Leslie Culbertson), руководитель службы безопасности Intel.
В итоге, как и в случае со Spectre, обычным пользователям и особенно системным администраторам придётся выбирать между безопасностью или производительностью. Но специалисты отмечают, что новая уязвимость менее опасная, чем предыдущие.
Как оказалось, Microsoft обнаружила уязвимость Speculative Store Bypass ещё в ноябре прошлого года и сообщила о ней своим партнёрам. Теперь компания работает с Intel и AMD для определения её влияния на производительность систем. Софтверный гигант уже принял соответствующие меры защиты в своих продуктах. Intel в свою очередь заявляет, что её будущие процессоры, которые выйдут во второй половине 2018 года, получат встроенные аппаратные средства защиты от Spectre и других подобных уязвимостей.