第二波类似Spectre的CPU安全漏洞将暂时不会被修复

上周发现的一系列类似幽灵的漏洞在至少在未来12天内不会修补。

德国媒体Heise上周透露了八个类似Spectre的漏洞的新闻，现在报道称英特尔希望对这个漏洞的披露至少延期至5月21日。

“英特尔现在正计划在2018年5月21日协调发布。New microcode

更新将于今天发布”，JürgenSchmidt 5月7日报道。

上周，Heise指出，计划协调发布的一位参与者将包括一份Google Project Zero披露，据The Register可以看出，该披露尚未对外发出。

Heise补充说，这个bug影响了自2010年以来使用New microcode的任何Core-i（及其至强衍生品）处理器; 以及自2013年以来基于Atom的处理器（包括Pentium和Celeron）。

新数据泄露Spectre CPU设计缺陷令人惊骇，难倒Intel

Schmidt报道说，如果披露和补丁都在5月份一同发布，他们将无法完成英特尔对这些漏洞的修复。为了保护VM主机免受来自客户端的攻击，还需要进一步补丁（暂定于第三季度发布）。

除了来自英特尔的微代码修补程序外，操作系统级修补程序也是必要的。

自从原来的熔断和幽灵漏洞在1月份得到证实以来，很明显，一段时间以来投机性执行一直对研究人员有利。

我们在2018年1月注意到，研究人员Anders Fogh在2017年7月撰写了关于滥用投机执行的文章，并且在幽灵/熔断故事在1月份爆发后不久，德国研究团体CISPA的研究人员Giorgi Maisuradze和Christian Rossow 发表了对投机执行的根据2017年的工作分开对崩溃/幽灵研究广泛分析。

今年4月，英特尔表示，一些老旧架构中的一些Specter缺陷是无法解决的。

Vulture South要求英特尔对Heise报告发表评论，并收到一则无回复的消息，称非常非常认真地与需要帮助解决问题的任何人合作。“我们深信协调披露的价值，并会在我们确定缓解措施时就任何潜在问题分享更多细节，”该公司表示。“作为最佳实践，我们继续鼓励每个人把系统升级到最新状态。”