ZombieLoad patří k bezpečnostním slabinám z příbuzenstva Meltdown, který však útočníkovi umožňuje získat citlivá data včetně hesel, šifrovacích klíčů a tokenů mnohem snazším postupem. Objevila ho skupina výzkumníků z německých, rakouských a belgických institucí, která držela informace pod pokličkou do okamžiku, kdy byly připravené základní záplaty pro Windows, macOS, Android a Amazon AWS. Tyto aktualizace by se vám - pokud příslušné systémy používáte - měly automaticky nainstalovat. Patch na Chrome je v přípravě.

Zatím není jasné, do jaké míry jednotlivé aktualizace ZombieLoad řeší, nejspíš je zatím míra zabezpečení různá. Apple uvádí, že na některých systémech může dojít až ke 40% snížení výkonu, což by korespondovalo s informací uvedenou autory popisu této slabiny: Jediným řešením má totiž být deaktivace funkce Hyper Threading, což u systémů s HT-aktivním procesorem může přinést citelný propad výkonu.

V případě Windows Microsoft o konkrétním výkonnostním propadu nehovoří. Součástí záplaty by měla být aktualizace mikrokódu, jejíž distribuci společnost zajistí prostřednictvím Windows Update. Zatím nebylo zveřejněno, že by Microsoft v rámci záplaty plánoval postiženým procesorům deaktivovat HT, takže je možné, že volí nějakou střední cestu mezi zabezpečením a výkonem.

Slabinou ZombieLoad jsou podle zveřejněných informací postiženy procesory Sandy Bridge, Ivy Bridge, Haswell, Broadwell, Skylake, Kaby Lake a desktopová verze Coffee Lake. Mobilní Coffee Lake, Whiskey Lake a serverový Cascade Lake jsou imunní.

Kompletní patnáctistránková studie je k dispozici ke stažení zde.

Aktualizace: AMD vydala následující vyjádření: „V AMD vyvíjíme produkty a služby s ohledem na bezpečnost. Na základě naší analýzy i diskuze s výzkumníky jsme přesvědčeni, že naše produkty nejsou náchylné na Fallout, RIDL a ZombieLoad z důvodu hardwarových ochranných kontrol naší architektury. Tyto bezpečnostní díry se nám nepodařilo demonstrovat na produktech AMD a nejsme si vědomi, že by se to podařilo někomu jinému.“