Project Zero พบช่องโหว่ที่ดัดแปลงจากแนวทาง Spectre อีกรูปแบบหนึ่ง กลายเป็นรูปแบบที่สี่ ตอนนี้ทั้งอินเทลและเอเอ็มดีแก้ปัญหาด้วยการอัพเดต microcode เพื่อเพิ่มคำสั่ง (instruction) ใหม่ให้กับซีพียู และการอัพเดตแพตช์ของระบบปฎิบัติการต้องคอมไพล์ใหม่เพื่อใช้คำสั่งนี้ ช่องโหว่นี้เกิดขึ้นเนื่องจากพฤติกรรมของคำสั่ง LOAD ที่พยายามคาดเดาว่าค่าในหน่วยความจำถูกแก้ไขด้วยคำสั่ง STORE ไปหรือไม่ หากคาดว่าไม่ถูกแก้ไขก็จะโหลดจากแคช L1 ทำให้ได้ความเร็วสูง ทาง Project Zero สามารถเขียนตัวอย่างอ่านค่าที่ไม่ได้รับอนุญาตได้สำเร็จ ทั้งอินเทลและเอเอ็มดีเพิ่มคำสั่ง Speculative Store Bypass Disable (SSBD) ลงในซีพียู เพื่อให้ระบบปฎิบัติการหรือซอฟต์แวร์ที่กำลังเข้าไปรันโค้ดที่ไม่น่าไว้ใจ สามารถปิดการทำงานระบบคาดเดาของซีพียู ทำให้โค้ดไม่สามารถเจาะเข้าอ่านค่าที่ไม่อนุญาตได้ แต่จะกระทบประสิทธิภาพของระบบ ตอนนี้ไมโครซอฟต์ออกมาประกาศแล้วว่าจะออกอัพเดตเพื่อรองรับคำสั่ง SSBD ในวินโดวส์และ Azure อย่างไรก็ดีผู้ดูแลระบบควรเตรียมทดสอบประสิทธิภาพเครื่องที่จะลดลงหลังจากเปิดใช้งานคำสั่งนี้ ตัวช่องโหว่ Spectre เป็นช่องโหว่ที่กระทบกับเครื่องที่มีซอฟต์แวร์รันอยู่บนเครื่องแล้ว ความร้ายแรงตามแนวทางการประเมิน CVSSv3 อยู่ที่ 4.3 คะแนน ระดับปานกลาง ที่มา - Intel, Microsoft, AMD Topics: SpectreSecurityIntelAMDCPUProject Zero