O Google Project Zero e vários outros pesquisadores descobriram e tornaram públicos os detalhes de duas falhas de hardware que afetam a segurança da maioria dos desktops e dispositivos móveis. Chamadas Meltdown e Spectre, as vulnerabilidades usam a "speculative execution" da CPU para tornar a memória virtual disponível para processos sem propósito, levando a uma possível leitura de dados por processos indevidos. Esta é uma questão de hardware básico, que afeta muitos modelos de CPU da Intel, AMD e ARM. A falha foi relatada pelo Google aos fabricantes dos processadores em junho de 2017.
O Meltdown permite que um processo acesse parte da memória kernel do sistema operacional, deixando dados sensíveis expostos. O Spectre permite que um processo acesse o espaço de memória de outro processo, permitindo que dados vulneráveis sejam lidos. O Meltdown provavelmente afeta processadores Intel desde 1995. Pesquisadores executaram testes em diversos processadores Intel lançados desde 2011. Alguns processadores ARM estão vulneráveis a uma variável desta falha, que deixa o controle de alguns registros da CPU disponível para outros processos. Processadores AMD não parecem ter sido afetados pelo Meltdown. O Spectre afeta todos os maiores fabricantes de CPU - AMD, ARM e Intel. Para informações mais detalhadas sobre essas vulnerabilidades e o que é preciso para explorá-las, recomendamos ler este post do Google Project Zero, as pesquisas sobre o Meltdown (PDF) e o Spectre (PDF).
Essas vulnerabilidades são consideradas críticas. A maioria dos sistemas operacionais em uso são afetados, incluindo Linux, MacOS e Windows. O Android também é atingido, bem como o iOS e o tvOS da Apple (o watchOS não). A real solução, como mencionado pelo CERT, é substituir a CPU do sistema por uma que não apresenta a vulnerabilidade. Como isso não é viável, uma solução via software está sendo entregue, ou está a caminho. O problema é que estas soluções parecem ter um impacto na performance, alguns especulam que de até 30%. A Intel declarou que pioras na performance "dependem da carga de trabalho" e que "para o usuário médio não deve ser significante e será resolvida com o tempo".
A Intel também mencionou que enviou correções de software e firmware para fabricantes de sistemas operacionais. A AMD publicou um boletim de segurança explicando as vulnerabilidades, quais afetam os sistemas com seus processadores, correções a serem feitas pelos fabricantes de sistemas operacionais, e que a performance terá um pequeno impacto. A ARM publicou um boletim apresentando quais são seus processadores afetados e instruções para lidar com a questão.
A Microsoft disse que disponibilizará a solução pelo seu mecanismo de atualização. O Linux disponibilizou patches para seu kernel (32-bit) enquanto o trabalha em um para 64-bit/ARM. Em uma declaração, a Apple disse que liberou soluções para o Meltdown em seu iOS 11.2, macOS 10.13.2 e tvOS 11.2 e que:
Nossos testes com benchmarks públicos mostrou que mudanças nos updates de dezembro de 2017 mostraram que não há redução mensurável de performance no macOS e no iOS, conforme foi medido pelo benchmark do GeekBench 4, ou em benchmarks de navegação na web, como o Speedometer, JetStream e ARES-6.
Sobre o Spectre, a Apple declara que:
Uma análise dessas técnicas revelou que, apesar de serem extremamente difíceis de explorar, mesmo por um aplicativo rodando localmente em um dispositivo Mac ou iOS, elas podem ser exploradas por JavaScript rodando em um browser. A Apple vai liberar uma atualização para o Safari no macOS e no iOS para mitigar essas técnicas de exploração. Nossos testes indicam que essas atualizações para o Safari não terão impacto mensurável nos testes do Speedometer e ARES-6, e um impacto de menos de 2,5% no benchmark do JetStream. Continuaremos a desenvolver e testar outras soluções no sistema operacional para as técnicas do Spectre e as lançaremos nos próximos updates do iOS, macOS, tvOS e watchOS
Com relação à nuvem. A Amazon declarou que a maioria das instâncias rodando em seus sistemas estão protegidas e algumas serão resolvidas em breve. A maioria dos clientes da Azure estão protegidos, declarou a Microsoft, e alguns receberam um aviso de que suas instâncias seriam reiniciadas dia 10 de janeiro. O Google disse que atualizaram seus sistemas de nuvem e que apenas clientes que usam suas próprias imagens terão que atualizá-las. A Xen lançou alguns patches para seu hypervisor. No nível dos aplicativos, o google aconselha usuários a usarem o isolamento de sites no Chrome, uma função também disponível para o Firefox. A Microsoft disponibilizou um patch (KB4056890) que ajuda a solucionar a vulnerabilidade no Edge e no IE 11. O Boletim de Segurança Android de Janeiro de 2018 dá detalhes de como o Google pretende lidar com a questão em seu sistema mobile. Eles dizem que os parceiros foram informados em dezembro de 2017 e que o Android Open Source Project receberá um patch logo.
O Google mencionou que não está ciente de qualquer exploit sendo usado atualmente, mas um código não verificado que o faz está disponível.