О новой уязвимости в общих чертах на сайте Intel рассказала исполнительный вице-президент и глава отдела безопасности компании Лесли Калбертсон. По ее словам, уязвимость обнаружили совместно специалисты двух команд — Google Project Zero и Microsoft Security Response Center. На сайте Intel в бюллетене безопасности уязвимость именуется Speculative Store Bypass (SSB), или Variant 4. Так же, как и январские прорехи, новая использует нюансы спекулятивного исполнения команд и доступа к данным в кэше процессоров, которые могут получить сторонние приложения.

В отчетах Google Project Zero уязвимость описали еще в феврале нынешнего года. Калбертсон заявила, что ей не известны случаи реального использования Variant 4. Кроме того, она отметила, что наиболее прямолинейный способ запуска вредного кода — через браузеры, и этот путь перекрыт зимними обновлениями Safari, Edge и Chrome.

Однако для полноценной защиты Intel готовит патчи для процессоров. Сейчас бета-версию распространили среди партнеров компании. Отмечается, что после применения патча производительность системы снижается на 2-8% в зависимости от конфигурации.

Калбертсон добавляет, что работа по выявлению багов будет проложена: «Разумеется, мы уверены в том, что способны ограничить воздействие будущих угроз для продуктов Intel».

Уязвимость также кратко упомянута на сайте другого производителя процессоров — AMD. Там нет информации о том, насколько «заплатка» замедляет процессоры этой компании.

На сайте US CERT опубликована подборка ссылок на сайты производителей компьютерных компонентов и ИТ-компаний, которые затронуты или могут быть затронуты этой уязвимостью.

О глобальной уязвимости в современных процессорах общественность оповестили в начале января. Эксплуатирующий систему спекулятивного исполнения команд дефект, который окрестили «чипакалипсисом», затрагивает практически все процессоры Intel, а также системы на базе AMD и ARM.