В минувшую пятницу компания Oracle объявила о выпуске обновлений, призванных предотвратить атаки Spectre по сценариям 3a и 4 на Linux и VM. В состав новых пакетов включен микрокод для тех процессоров Intel, которые уже получили соответствующую защиту.

О возможности Spectre 3a и 4 — новых вариантов атак по стороннему каналу на механизм спекулятивного выполнения инструкций в современных микропроцессорах — стало известно месяц назад. Соответствующим уязвимостям были присвоены идентификаторы CVE-2018-3640 и CVE-2018-3639; степень их опасности оценена как умеренная, так как эксплойт требует наличия локального доступа к системе.

Согласно бюллетеню Oracle, уязвимость Spectre 4 затрагивает ее дистрибутив Linux версий 6 и 7, а также Oracle VM версии 3.4. Вендор пообещал, что продолжит обновлять прошивки и будет раздавать доработанный микрокод Intel на другие платформы по мере его готовности. Насколько известно, очередной выпуск по итогам работы Intel на этом направлении следует ожидать в августе.

Первоначальные бреши Spectre и Meltdown (CVE-2017-5753, CVE-2017-5715 и CVE-2017-5754) были пропатчены в продуктах Oracle в январе — на тот момент заплатки вышли составе очередного квартального набора обновлений.

Напомним, Microsoft тоже ввела поддержку защиты процессоров Intel от Spectre 3a и 4; соответствующие обновления для Windows были выпущены в плановом порядке в рамках июньского «вторника патчей». Во избежание падения производительности эта защитная функция по умолчанию отключена. По данным Intel, активация этой опции может вызвать снижение производительности от двух до восьми процентов.

Категории: Главное, Уязвимости