Hace poco mas de un mes que se liberaron dos nuevas variantes de Meltdown y Spectre que fueron descubiertas por Microsoft y Google. Esta cuarta variante (CVE-2018-3639) apodada "Speculative Store Bypass", es similar a la variante anterior que toma ventaja de una ejecución especulativa en CPU's Modernas, para exponer información sensible del equipo a través del canal lateral.
Hasta ahora esta variante solo recibe la criticad de media en riesgo, ya que para poder realizar la explotación de la vulnerabilidad esta debe ser de manera local y no remota, lo que disminuyen las probabilidades de explotación.
De acuerdo a lo informado por el aviso de Seguridad de Oracle, este también estaría afecto a la cuarta variante de Meltdown y Spectre.
Los sistemas con microprocesadores que utilizan ejecución especulativa y ejecución especulativa de lecturas de memoria antes de conocer las direcciones de todas las escrituras anteriores pueden permitir la revelación no autorizada de información a un atacante con acceso de usuario local a través de un análisis de canal lateral, también conocido como especulativo Store Bypass (SSB). Variante 4.
Previamente Oracle ya había lanzando los parches para las variantes anteriores de Meltdown y Spectre para enero que paso.
Al trabajar con la industria, Oracle acaba de lanzar las actualizaciones de software requeridas para Oracle Linux y Oracle VM junto con el microcódigo recientemente lanzado por Intel para ciertas plataformas x86. Oracle continuará lanzando nuevas actualizaciones de microcódigo y parches de firmware a medida que la microcodificación de producción esté disponible desde Intel. Se puede leer en su blog
Hasta ahora la recomendación solo será planificar la instalación de estos parches en los equipos afectados.
