Az Intel és a Microsoft illetékesei bejelentettek egy új Spectre variánst, amely szintén a spekulatív végrehajtást támadja, ahogy a korábbi Meltdown és Spectre bugok is tették. A régebbi bugok ellen már készültek patchek, amelyeknek eleinte elég sok mellékhatásuk volt, de mára már kezd rendeződni a helyzet, igaz, a régi konfigurációk kimaradhatnak a frissítésekből.

Nemrégiben kiderült, hogy Spectre-NG névvel újabb bughullámra számíthatunk, néhány órája pedig fény derült arra is, miről van szó és mit tesz ellene az Intel. A Spectre Variant 4 névre keresztelt bug közepes besorolást kapott, azaz közepesen veszélyes biztonsági résről van szó, amelynek hatásait az eddig kiadott patchek már mérsékelni tudják. Ennek ellenére újabb frissítések is készülnek hozzá, méghozzá mikrokód és szoftver alapon egyaránt, ám ezek alkalmazása választható lesz: a „védelmet” igény szerint aktiválhatják a gyártók. Erre az Intel szerint azért van szükség, mert a belsős mérések szerint 2-8%-os teljesítménycsökkenést okoz a veszélyt mérséklő patch aktiválása, így a javítás alap esetben ki lesz kapcsolva.

A CVE-2018-3639 jelölésű, Speculative Store Bybass névre keresztelt sérülékenységen keresztül a támadók hozzáférhetnek a memóriában tárolt kényes adatokhoz. A kutatók a sérülékenységet egy nyelv-alapú futtatókörnyezeten keresztül sikeresen kiaknázták, ám arról nem érkezett beszámoló, hogy hasonló támadásra sor került-e az elmúlt időszakban a hackerek részéről is – a rendelkezésre álló adatok alapján a Spectre Variant 4 miatt eddig nem keletkeztek károk. A sérülékenységet egyébként főként a webböngészők felől lehet támadni olyan futtatókörnyezeteken keresztül, mint amilyen például a JavaScript.

A frissítések a Spectre Variant 4 mellett az ARM által januárban felfedezettVariant 3a (Rogue System Register Read) ellen is megoldást kínálnak, hiszen mindkét résre tartalmaznak foltot. A Variant 3a ellen készített javítás a tesztek szerint teljesítménycsökkenést sem okoz, legyen szó szerverről, vagy akár kliensről. A javításokat már megkapták az OEM rendszerépítők és rendszerszoftver-fejlesztők, igaz, még csak béta változatban, így a végleges BIOS-ok és szoftverfrissítések is heteken belül megérkezhetnek.Az Intel platformjaihoz tehát már készülnek a frissítések, és az AMD beszámolója szerint már egy AMD specifikus Microsoft frissítés tesztelése is megkezdődött. Az ARM szerint SoC egységeinek többségét nem érinti az új Spectre variáns, a Cortex-A57-es, A72-es, A73-as és A75-ös modellekkel szerelt rendszerek veszélyeztetettek, de frissítés is készült hozzájuk. Az ARM azt is kiemelte, hogy az újonnan felfedezett metódus kiaknázásához helyileg futó malware-re van szükség, vagyis felhasználói szinten is lehet ellene védekezni: nem kattintunk gyanús linkekre, nem töltünk le gyanús fájlokat, az operációs rendszert és a különböző szoftvereket pedig rendszeresen frissítjük.