GoogleのProject ZeroとMicrosoftは本日、1月に明らかになったSpectre and Meltdownのセキュリティー欠陥で、最新の亜種を公開しました。インテルはこれを「バリアント4」と呼んでおり、最初の発見と同じセキュリティ脆弱性のいくつかを公表しています。

インテルとマイクロソフトは、「中程度のリスク」と分類されるセキュリティ脆弱性を発表

CNETの報告によると、インテルは、この新しい亜種を「中危険度」の脆弱性として分類している。これは、悪用される可能性のある箇所が、最初のパッチセットによって修正されたためです。

バリアント4は、その前身のスペクターと同様に、CPUの機能を利用し、ハッカーが機密情報にアクセスできるようにするものです。同社はブログ記事で次のように記載している。

他のGPZバリアントと同様に、バリアント4は、最新のプロセッサアーキテクチャに共通する機能を使用して、サイドチャネルを通じ、特定の種類のデータを潜在的に公開します。研究者は、言語ベースのランタイム環境でバリアント4を実演しました。 JavaScriptのようなランタイムを使いWebブラウザなどで使用される可能性があります。

インテルは、メーカーにマイクロコードのアップデートを提供しており、今後数週間にわたって公開を予定しているといいます。

ベータ版のバリアント 4のマイクロコードアップデートは、OEMシステムメーカーとシステムソフトウェアベンダーにすでに提供されており、今後数週間で本番BIOSおよびソフトウェアアップデートでリリースされる予定です。

パフォーマンスについて、パッチがパフォーマンスに影響を及ぼすとはないようで、ほとんどのOEMがパフォーマンスを同じに保つために緩和策を無効にしていると考えられます。ただし、有効にした場合、「約2〜8％、パフォーマンスへの影響」が確認されています。

最初のSpecterとMeltdownの欠陥は、Appleが「すべてのMacとiOSデバイス」がこの欠陥の影響を受けていると1月に報告したものです。

インテルの最新のSpectre＆Meltdownバグに関する詳細は、インテルのWebサイトを参照してください。