We have discovered that CPU data cache timing can be abused to efficiently leak information out of mis-speculated execution, leading to (at worst) arbitrary virtual memory read vulnerabilities across local security boundaries in various contexts.

Variants of this issue are known to affect many modern processors, including certain processors by Intel, AMD and ARM. For a few Intel and AMD CPU models, we have exploits that work against real software. We reported this issue to Intel, AMD and ARM on 2017-06-01

Детали подвезли
https://googleprojectzero.blogspot.com/2018/01/reading-privileged-memory-with-side.html

ключевое отличие между Meltdown и Spectre:
Meltdown breaks the mechanism that keeps applications from accessing arbitrary system memory. Consequently, applications can access system memory. Spectre tricks other applications into accessing arbitrary locations in their memory. Both attacks use side channels to obtain the information from the accessed memory location.

Как минимум, Google уже официально доложилась о патчах. В декабре 2017 года фикс Meltdown и Spectre уехал партнерам, а Nexus и Pixel получат апдейт с фиксом в январе. Также в январе выйдет Chrome 64, который также будет содержать фикс (это покрывает и ChromeOS). И Android, и Chrome будут в будущем получать улушения фиксов.
https://support.google.com/faqs/answer/7622138

апдейт для WIndows 10 https://support.microsoft.com/en-us/help/4056892/windows-10-update-kb4056892

https://azure.microsoft.com/en-us/blog/securing-azure-customers-from-cpu-vulnerability/

The majority of Azure customers should not see a noticeable performance impact with this update. We’ve worked to optimize the CPU and disk I/O path and are not seeing noticeable performance impact after the fix has been applied.

вот как это работает — перехват пароля, используя Meltdown
https://twitter.com/misc0110/status/948706387491786752/photo/1

Хороший FAQ на русском про Meltdown/Spectre https://tjournal.ru/64579-faq-po-chipokalipsisu-chto-izvestno-o-masshtabnoy-uyazvimosti-processorov

Обратите внимание на чувака справа. У него в руках -глушилка дронов

бум! https://twitter.com/mlqxyz/status/948887352226799617/photo/1

Так, парочка советов по поводу Meltdown/Spectre.

Рекламные движки на сайтах часто используют JavaScript, и уже есть proof of concept для Spectre на базе JS, позволяющий из браузера получать данные. Если пользуетесь браузером Chrome, то лучше включить Site Isolation (http://www.chromium.org/Home/chromium-security/site-isolation), или же установить adblocker, если вы до этого момента это не сделали. https://www.chromium.org/Home/chromium-security/ssca

в Firefox разработчики пока что сделали все за вас https://blog.mozilla.org/security/

про Сафари пока непонятно, но апдейт 10.13.2 вроде как включает в себя фикс Meltdown, а вот про Spectre непонятно. Список фиксов безопасности в 10.13.2 включает в себя уязвимости, обнаруженные экспертами Google Project Zero, но CVE номера уязвимостей не совпадают, поэтому точно сказать сложно (хотя они и относятся к ядру и говорят о доступе к защищенной памяти). https://support.apple.com/en-us/HT208331
Ждем официального ответа Apple

отвлечемся немного от истории с процессорами, а то она даже меня уже утомила. если вы еще не опасаетесь, что ваши данные фигурируют в различных государственных базах, то зря. Например, вот в Индии, похоже, утекла база данных ВСЕХ граждан страны — 1,2 млрд (МИЛЛИАРДА) человек. В базе можно найти имя, адрес, почтовый индекс, фото, номер телефона, адрес, и, похоже, скан сетчатки глаза и отпечатки пальцев. Госорганы пока опровергают, но вообще выглядит все плохо (для граждан Индии).
https://www.buzzfeed.com/pranavdixit/indias-national-id-database-with-private-information-of?utm_term=.kwXBB8aq2#.xcn99JnVk

После апдейтов Azure, которые должны были исправить проблему Meltdown, некоторые пользователи сообщают о проблемах с виртуальными машинами https://www.theregister.co.uk/2018/01/04/azure_vms_down_following_meltdown_patch/

Комикс на тему чипокалипсиса

Ссылки от читателя:
https://www.youtube.com/watch?v=6bCdFmehMSY&feature=youtu.be
https://www.youtube.com/watch?v=yPZmiRi_c-o

эпичный проброс данных между виртуалками AWS

Intel тут уже сегодня пишет, что у них существенный прогресс по патчам для Meltdown и Spectre (хотя вчера для Spectre вроде как не было патчей вообще). Глядишь, такими темпами, может, и обойдется, и удастся избежать апокалипсиса, если все, кто надо, апдейты поставят
https://newsroom.intel.com/news-releases/intel-issues-updates-protect-systems-security-exploits/