Уязвимость процессоров Intel, ARM и AMD связана с особенностями функционирования модуля прогнозирования ветвлений. Эксплуатация уязвимости позволяет нарушителю получить доступ к защищенной памяти из программы, не обладающей соответствующими привилегиями, путём использования механизма прогнозирования косвенных переходов
Возможны следующие меры по устранению уязвимости:
-
вариант 1: на аппаратном уровне;
-
вариант 2: на системном уровне;
-
вариант 3: на прикладном уровне.
Первый вариант предполагает замену процессора, однако данный вариант трудно реализуем на практике.
Наиболее актуален второй вариант, предполагающий установку обновления, выпущенного разработчиками системного программного обеспечения.
Третий вариант применим к браузерам и возможен лишь для противодействия векторам атак, связанных с использованием JavaScript.
Подробные рекомендации по устранению представлены на сайтах разработчиков программного обеспечения:
http://nvidia.custhelp.com/app/answers/detail/a_id/4609
http://nvidia.custhelp.com/app/answers/detail/a_id/4611
http://nvidia.custhelp.com/app/answers/detail/a_id/4613
http://nvidia.custhelp.com/app/answers/detail/a_id/4614
http://xenbits.xen.org/xsa/advisory-254.html
https://access.redhat.com/security/vulnerabilities/speculativeexecution
https://aws.amazon.com/de/security/security-bulletins/AWS-2018-013/
https://blog.mozilla.org/security/2018/01/03/mitigations-landing-new-class-timing-attack/
https://webkit.org/blog/8048/what-spectre-and-meltdown-mean-for-webkit/
https://developer.arm.com/support/security-update
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180002
https://security.netapp.com/advisory/ntap-20180104-0001/
https://security-center.intel.com/advisory.aspx?intelid=INTEL-SA-00088&languageid=en-fr
https://support.citrix.com/article/CTX231399
https://support.f5.com/csp/article/K91229003
https://support.lenovo.com/us/en/solutions/LEN-18282
https://www.suse.com/c/suse-addresses-meltdown-spectre-vulnerabilities/
https://www.synology.com/support/security/Synology_SA_18_01
https://www.vmware.com/us/security/advisories/VMSA-2018-0002.html
https://support.apple.com/en-us/HT208394
https://support.apple.com/en-us/HT208397
https://support.apple.com/en-us/HT208401
https://support.apple.com/en-us/HT208403
https://source.android.com/security/bulletin/2018-01-01
http://www.huawei.com/en/psirt/security-notices/huawei-sn-20180104-01-intel-en
Для ОС ОН «Стрелец»:
Обновление программного обеспечения libvirt до версии 3.0.0-4+deb9u5
Для Linux:
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.14.25
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.15.8
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.4.168
https://kernel.org/pub/linux/kernel/v4.x/ChangeLog-4.9.87
| Балл | 3.8 — средняя опасность |