Intel heeft onderzoeker Vladimir Kiriansky van het Massachusetts Institute of Technology 100.000 dollar betaald voor het vinden en melden van een nieuwe Spectre-variant. Spectre 1.1, zoals de variant wordt genoemd (pdf), kan voor "speculatieve buffer overflows" zorgen en zou zowel lokaal als op afstand zijn uit te voeren.
Ook is het mogelijk om via de aanval eerdere verdedigingsmaatregelen tegen de originele Spectre-aanval te omzeilen. Net als de eerste Spectre-aanval wordt ook Spectre 1.1 mogelijk gemaakt door het ontwerp van moderne processors. Naar aanleiding van de ontdekking zijn zowel Intel (pdf) als ARM met whitepapers gekomen. Volgens ARM zijn de meeste ARM-processors niet kwetsbaar voor de nieuwste aanval. In totaal worden vijf ARM-processors als kwetsbaar aangemerkt.
Microsoft zegt dat het niet bekend is met gevallen van de nieuwe kwetsbaarheid in de eigen software, maar geeft aan deze klasse van kwetsbaarheden te zullen blijven onderzoeken en zal met industriepartners samenwerken om eventuele oplossingen te ontwikkelen. Oracle stelt in een verklaring over de nieuwe aanval dat experts verwachten dat er in de nabije toekomst nog meer varianten zullen worden aangekondigd. SPARC-procesors van Oracle zouden in ieder geval niet kwetsbaar voor Spectre 1.1 zijn.
Vanwege Spectre en Meltdown besloot Intel begin dit jaar het beloningsprogramma voor onderzoekers uit te breiden met een nieuw programma voor "sidechannelaanvallen". Bij dergelijke aanvallen wordt informatie verkregen via de fysieke implementatie van een computersysteem, geheugen of processor, in plaats van dat er een kwetsbaarheid in een algoritme wordt gebruikt. Voor dergelijke kwetsbaarheden looft Intel beloningen tot 250.000 dollar uit. Dit speciale programma loopt tot 31 december van dit jaar.
Deze posting is gelocked. Reageren is niet meer mogelijk.