https://www.heise.de/security/meldu...ken-Spectre-NG-Updates-rollen-an-4051900.html
Patches zu den ersten 2 Lücken kommen , jedoch nur zu 2 Lücken mit " mittleren Gefahrenpotenzial "
Spectre V4 (Speculative Store Bypass, CVE-2018-3639) wurde von Google Project Zero und von Microsoft gemeldet. Es handelt sich um eine Seitenkanalattacke (Side-Channel Attack), die ähnlich wie die schon bekannten Spectre-Lücken funktioniert – auch bei Prozessoren anderer Hersteller.
- gleicht spectre V1
Laut Intel sind wesentliche Schutzmaßnahmen gegen Spectre V4 bereits umgesetzt: Die Browser-Hersteller haben schon als Schutz gegen Spectre V1 und V2
bestimmte Timer-Funktionen für JavaScript-Code verändert, sodass sich Angriffe schwieriger umsetzen lassen. Dieser Schutz wirkt auch gegen Spectre V4. Zudem kommen mit Browser-Updates
Funktionen wie "Site Isolation", die Spectre-Attacken weiter erschweren.
mit anderen Worten - Intel brauchte gar nichts tun ...
Intel bringt aber auch neue CPU Microcode Updates, die wie bisher sowohl per BIOS-Update oder auch vom Betriebssystem eingespielt werden können. Die neuen Microcode-Updates sind in Beta-Versionen verfügbar und
sollen im Laufe der nächsten Monate erscheinen
Spectre V3a (Rogue System Register Read, CVE-2018-3640)
wurde von ARM gemeldet. Laut Intel soll sich diese Lücke bei Intel-Prozessoren nur schwer für Angriffe nutzen lassen.
heißt dann wohl Intel brauchte wieder nichts zu tun ..
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
-Spectre V4
On May 21st, a new subclass of speculative execution side channel vulnerabilities known as
Speculative Store Bypass (SSB) has been announced and assigned CVE-2018-3639.
An attacker who has successfully exploited this vulnerability may be able to read privileged data across trust boundaries. Vulnerable code patterns
in the operating system (OS) or in applications could allow an attacker to exploit this vulnerability. In the case of Just-in-Time (JIT) compilers, such as JavaScript JIT employed by modern web browsers, it may be possible for an attacker to supply
JavaScript that produces native code that could give rise to an instance of CVE-2018-3639. However, Microsoft Edge, Internet Explorer, and other major browsers have taken steps to increase the difficulty of successfully creating a side channel.