May 22, 2018

Intel подарил нам еще одну уязвимость. Продолжение истории со Spectre и Meltdown. Но уже не так серьезно. Security Advisory от NetApp — security.netapp.com/advisory/ntap-20180521-0001/

Speculative Execution Side Channel Vulnerabilities in NetApp Products | NetApp Product Security

Modern processors utilizing speculative execution and reads are susceptible to vulnerabilities which can allow local unprivileged attackers to gather sensitive data via side channel analysis. These vulnerabilities are referred to as Speculative Store Bypass (Variant 4) and Rogue System Register Read (Variant 3a).


Forwarded from Информация опасносте:

Помните про Spectre и Meltdown? Наверняка многие помнят, возможно, о самой главной новости инфосека этого года. Так вот, а история-то не закончилась! Microsoft и Google совместно сообщили о новой обнаруженной уязвимости под названием Speculative Store Bypass, эксплуатирующей спекуляционные исполнения в современных процессорах. Обновления в Safari, Edge, Chrome, минимизирующие риски Meltdown, вроде как работают и для SSB, но против SSB еще отдельно будет выпущено обновление микрокода процессора, которое приводит к снижению производительности процессора на 2-8%. В обновлении защита от SSB будет выключена по умолчанию, так что админам придется делать выбор между безопасностью и производительностью.

www.us-cert.gov/ncas/alerts/TA18-141A

www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00115.html

bugs.chromium.org/p/project-zero/issues/detail?id=1528

Side-Channel Vulnerability Variants 3a and 4 | US-CERT

Common CPU hardware implementations are vulnerable to the side-channel attacks known as Spectre and Meltdown. Meltdown is a bug that "melts" the security boundaries normally enforced by the hardware, affecting desktops, laptops, and cloud computers. Spectre is a flaw that an attacker can exploit to force a CPU to reveal its data.Variant 3a is a vulnerability that may allow an