В конце мая 2018 года стало известно об обнаружении новых вариаций уязвимостей Meldown и Spectre. Проблемам присвоили идентификаторы вариант 3а (CVE-2018-3640) и вариант 4 (CVE-2018-3639). Дело в том, что согласно классификации специалистов, Spectre делится на вариант 1 (CVE-2017-5753) и вариант 2 (CVE-2017-5715), тогда как проблема Meltdown (CVE-2017-5754) являлась вариантом 3. Как нетрудно понять, новый вариант 3а является вариацией бага Meltdown, тогда как более опасный вариант 4, так же получивший имя Speculative Store Bypass, – это производная Spectre.
Так как новые варианты процессорных багов можно атаковать лишь имея локальный доступ к уязвимой системе, обе уязвимости были признаны умерено опасными, а не критическими.
Теперь многим производителям предстоит выпустить патчи для новых версий Meldown и Spectre, и разработчики Oracle сообщают, что уже подготовили обновления для своих продуктов. Уже готовы софтверные патчи для Oracle Linux и Oracle VM, равно как и микрокоды для уязвимых систем, предоставленные компанией Intel. Согласно официальному бюллетеню безопасности, Spectre вариант 4 представляет опасность для Oracle Linux версий 6 и 7, а также для Oracle VM 3.4.
Кроме того, инженеры Oracle пообещали продолжить выпуск обновленных прошивок и микрокодов, по мере того, как Intel будет их публиковать.
Напомню, что «заплатки» для проблемы Spectre вариант 4 также уже представила компания IBM, устранив проблему в своем софте, прошивках и клиентах Power Systems. Компания Microsoft, в свою очередь, пока обходится без патчей. Вместо них были применены защитные техники, которые должны обезопасить продукцию от эксплуатации новой версии Spectre. При этом в компании подчеркнули, что пока специалисты не обнаружили в коде софта и облачных сервисов Microsoft мест, уязвимых перед Spectre вариант 4.
