Microsoft выпустила разработанное Google исправление для уязвимости Spectre v2

Компания Microsoft выпустила кумулятивное обновление KB4482887, содержащее новое исправление для уязвимости Spectre v2.

Новое исправление основывается на разработанной инженерами Google технологии защиты кода Retpoline. Код, написанный с использованием защиты Retpoline, является неуязвимым к Spectre v2 (CVE-2017-5715) – уязвимости в современных процессорах, позволяющей обходить изоляцию между приложениями и похищать данные из запущенных локально процессов.

Google уже развернула Retpoline на своих Linux-серверах, а также предоставила соответствующие патчи разработчикам ядра Linux в прошлом году. В течение 2018 года Retpoline также развернули разработчики дистрибутивов Linux, в частности Red Hat, SUSE, Ubuntu и Oracle Linux 6 и 7.

Microsoft начала работу над интеграцией Retpoline с ядром Windows в прошлом году. Изначально планировалось реализовать технологию в версии Windows 10 (19H1), которая должна выйти этой весной. Тем не менее, новое исправление для Spectre v2 доступно уже сейчас. Стоит также отметить, что в связи со сложностями в реализации Retpoline воспользоваться ее преимуществами смогут только пользователи Windows 10 (версия 1809) и более поздних релизов.

«В течение нескольких месяцев Retpoline поэтапно станет доступной через облачную конфигурацию», - сообщил менеджер по разработке ядра Windows Мехмет Ийигун (Mehmet Iyigun).