いいえ、影響を受ける製品が多すぎるため、1つ以上の抜け穴があることを、あなたは思いますか?
今日、インテルは、脆弱性のバリエーション4に関するサイドチャネル分析(Side-Channel Attace)、関連する詳細および防衛情報に関する最新の研究を詳細に説明する記事を公式に発表しました。
できるゴースト/ 4ヒューズGoogleのProject Zeroのチーム(GPZ)することにより、この脆弱性、共同で発表しましたマイクロソフトセキュリティレスポンスセンター(MSRC)、そして広く使われている最も近代的な予測可能な実行プロセッサ・アーキテクチャの使用などの他のバリエーションを、変異体、および特定の種類のデータをサイドチャネルを通じて公開する。
研究者は、言語ベースのランタイム環境(主にJSなどのWebブラウザ)でバリアント4を実証しましたが、成功した攻撃の例は特定されていません。
今年の1月以降、ほとんどの主要なブラウザベンダーは、管理ランタイムで脆弱性バリアント1にパッチを当てました。これらの防御は、亜種4にも当てはまります。
ただし、防御対策がより包括的であり、異機種4が他の方法で悪用されるのを防ぐために、インテルとパートナーは、BIOSマイクロコードとソフトウェア更新を含む追加の防御を提供します。
現在、インテルは、OEMおよびシステムベンダーに、バリアント4のベータコードのアップデートを提供しました。これは、今後数週間でさまざまなBIOSおよびソフトウェアアップデートに統合される予定です。
この守備措置が次のように設定されることは注目に値する。 デフォルトオフ 、ユーザーが有効にするかどうかを選択させてください。Intelは、ほとんどの業界ソフトウェアベンダーがデフォルトのシャットダウンオプションを使用すると予想しています。
このパッチを有効にすると、SYSmark 2014 SE、サーバーSPEC整数レートなどのクライアントのベンチマークに基づいて、約2〜8%のパフォーマンス上の不利益が発生します。
さらに、 この新しいアップデートには、ARMが1月に公開した変種3a(悪質なシステムレジストリで読み取られた)のマイクロコードも含まれており、パフォーマンスには影響しません。
