Het blijkt nu dat het gaat om niet een, maar drie kwetsbaarheden. De eerste twee varianten maken gebruik van bounds check bypass en branch target injection en worden collectief aangeduid onder de naam ‘Spectre’
De exploits misbruiken een eigenschap van moderne processors genaamd speculatieve execution, waarbij de cpu gokt op welke instructies er binnenkort moeten worden uitgevoerd om onbenutte wachttijd te voorkomen. Met de exploit kan een aanvaller afhankelijk van de cpu delen van het kernelgeheugen uitlezen. De onderzoekers kregen de exploit ook werkend op cpu’s van andere chipontwerpers als AMD en ARM Holdings. Hoewel het probleem deels op softwareniveau kan worden gepatcht, zou een volledige fix niet mogelijk zijn zonder ingrijpen op hardwareniveau.
De derde bug draagt de naam ‘Meltdown.’ Hierbij gaat het om een fout die ervoor zorgt dat, theoretisch gezien, elk willekeurig proces data zou kunnen uitlezen uit het aan de kernel toegewezen werkgeheugen. Middels de exploit kunnen zo bijvoorbeeld wachtwoorden of andere gevoelige informatie worden buitgemaakt; de fout kan bovendien makkelijker worden uitgebuit dan bij ‘Spectre’. De beveiligingsonderzoekers schrijven dat in ieder geval Intel-processors kunnen worden getroffen door deze fout. Een oplossing kan in principe eenvoudig worden uitgerold via een patch voor het OS; de fix voor deze bug heeft echter de eerder beschreven, mogelijk grote performance-impact.
Intel heeft gisteravond op de commotie gereageerd door middel van een officiële persboodschap. Het bedrijf bevestigt dat de fout in zijn processors zit, al meldt het bedrijf nogmaals dat data alleen gelezen kan worden. Aanpassen of verwijderen zou niet mogelijk zijn. Ook beweert Intel in het persbericht dat niet alleen de eigen cpu’s worden getroffen door de ontdekte exploits:
Hoewel Intel deze ‘andere processorfabrikanten’ niet expliciet benoemt, wordt uit de rest van het bericht duidelijk dat het gaat om AMD en ARM Holdings. Intel zegt bijvoorbeeld samen te werken met deze bedrijven, alsook verschillende besturingssysteemontwikkelaars, om het probleem aan te pakken.
In het persbericht maakt Intel geen onderscheid tussen ‘Spectre’ en ‘Meltdown’ en hierin lijkt de kritiek te schuilen van de analist Ryan Shrout, die op zijn Twitterpagina linkt naar de reactie van AMD. Intels concurrent maakt wel een onderscheid tussen de drie gevonden problemen; uit de tabel wordt duidelijk dat AMD-processors inderdaad ook getroffen kunnen worden door ‘Spectre’, maar volgens de fabrikant niet vatbaar zijn voor ‘Meltdown’ door verschillen in de architectuur. Daardoor is een mogelijk vertragende patch voor dit probleem bij deze cpu’s niet nodig.
Intel ontkent op zijn beurt dat de update om de problemen op zijn cpu’s op te lossen voor veel gebruikers merkbaar prestatieverlies geeft. Intel zegt dat impact afhankelijk is van de workload en dat de 'gewone gebruiker' hier geen hinder van zou moeten ondervinden.