在 2018 年 1 月研究人員發現 Spectre、Meltdown 漏洞的之後,由美國伍斯特理工學院和德國呂貝克大學的研究人員在近日再次宣布發現了依賴 CPU 預測加載,而導致記憶體地址頁面映射引起的 Spoiler 漏洞。此次漏洞雖然依舊與 CPU 預測加載相關,但是用於 Spectre、Meltdown 的漏洞更新並不能堵塞這次的漏洞。
研究人員解釋說通過 CPU 預測技術能分辨出 CPU 隨機加載記憶體頁面地址的邏輯並從中獲取其信息。這個漏洞在用戶空間執行,並不需要特殊權限。同時這個漏洞不僅可以在物理機內執行,同時也可以在虛擬機環境和沙盒環境中執行,甚至是在如瀏覽器常用的 JavaScript 這樣的運行環境中。
而在測試受影響的範圍時,研究人員發現 Spoiler 漏洞只在 Intel 處理器中有效,在同樣指令集的 AMD 處理器和和不同指令集的 ARM 處理器中並不適用。同時這個漏洞從第一代 Core 處理器就存在至今,而且是硬件問題,在不同的操作系統中都存在。
研究人員亦表示作為硬件漏洞,可能不會有任何軟件修復更新,同時也如同一年前的 Spectre、Meltdown 漏洞一樣會影響 CPU 效能。而根據 phoronix 報導,Intel 回應了此問題,說他們已經收到了研究人員的通知,保護用戶的信息安全是他們的工作,非常感謝安全社區研究他們的產品。但是到目前為止無論是 Intel 還是研究人員都沒有提供軟件或硬件的安全更新。
