Microsoft và Google cùng nhau công bố lỗ hổng bảo mật mới trên CPU tương tự như Meltdown và Spectre đã được phát hiện hồi đầu năm. Có tên Speculative Store Bypass (biến thể 4), lỗ hổng mới nhất này cũng giống với Spectre và khai thác kỹ thuật thực hành suy đoán (speculative execution) mà các CPU thời nay thường sử dụng.
Những trình duyệt như Safari, Edge hay Chrome đều đã được vá cho lỗ hổng Meltdown hồi đầu năm và Intel nói rằng “chúng có thể áp dụng với biến thế 4”.
Nhưng không như Meltdown (và giống Spectre hơn), lỗ hổng mới này cũng sẽ có bản cập nhật firmware cho CPU và có thể ảnh hưởng tới tốc độ máy. Intel hiện đã đưa ra cập nhật vi mã cho Speculative STore Bypass dưới dạng beta tới các OEM, hy vọng sẽ tung ra rộng rãi trong vài tuần tới.
Cập nhật firmware sẽ đặt chế độ bảo vệ trước Speculative Store Bypass mặc định tắt, đảm bảo rằng hầu hết mọi người sẽ không nhận ra các ảnh hưởng tiêu cực trên tốc độ máy. “Nếu bật lên sẽ thấy ảnh hưởng trên tốc độ máy khoảng 2-8% dựa trên điểm benchmark như của SYSmark 2014 SE hay SPEC Integer Rate trên hệ thống”, Leslie Culbertson, trưởng bộ phận bảo mật của Intel cho hay.
Người dùng (đặc biệt là người quản trị hệ thống) sẽ phải chọn giữa khả năng bảo mật hay tốc độ tối ưu của hệ thống. Cũng như với các biến thể của Spectre trước đây, lựa chọn tùy thuộc vào từng máy người dùng và máy chủ.
Microsoft treo giải $250.000 cho các lỗi tương tự Meltdown và Spectre hồi tháng 3 và nói rằng đã phát hiện ra lỗi mới này vào tháng 11. “Trước đó Microsoft đã phát hiện ra biến thể này và báo với các đối tác khác trong tháng 11/2017 trong CVD (Coordinated Vulnerability Disclosure)”, người đại diện Microsoft nói. Microsoft hiện đang làm việc với Intel và AMD xác định ảnh hưởng của lỗi lên máy.
“Chúng tôi không thấy có bất kì bản nào của lỗ hổng này trên Windows hay các dịch vụ đám mây. Chúng tôi cam kết đưa ra biện pháp cho khách hàng ngày khi có thể, chính sách tiêu chuẩn cho các vấn đề rủi ro thấp là đưa ra bản khắc phục qua cập nhật Update Tuesday”.
Intel cũng chuẩn bị đưa ra các thay đổi cho CPU của họ bằng cách thiết kế lại vi xử lý, chống lại các lỗ hổng như Spectre hay biến thể 4 mới này. Vi xử lý Xeon thế hệ mới (Cascade Lake) sẽ có khả năng bảo vệ tích hợp trong phần cứng cùng với vi xử lý Intel Core thế hệ 8 sẽ ra mắt trong nửa sau năm 2018.
Xem thêm: