Intel heeft gereageerd op de presentatie van een nieuw sidechannel op zijn cpu's, genaamd BranchScope, waarlangs informatie vanuit de user space kan worden afgeluisterd. Deze lijkt op de tweede variant van Spectre, maar richt zich op een ander deel van de branch predictor.
Wetenschappers van vier verschillende universiteiten claimen in hun onderzoek dat hun afluistermethode andere oplossingen vereist dan wat beschikbaar is voor aanvallen die zich richten op een andere component van de branch predictor, namelijk de branch target buffer. Op dat onderdeel richt zich ook de tweede variant van Spectre. Volgens de onderzoekers zijn zowel software- als hardwareoplossingen nodig, waardoor 'onderzoekers en systeemontwikkelaars BranchScope in acht moeten nemen bij het ontwerpen van toekomstige systemen'. Intel laat echter aan The Register weten dat het met de onderzoekers heeft samengewerkt en dat het verwacht dat bestaande software-tegenmaatregelen effectief zullen zijn om ook tegen deze methode te beschermen. Het noemt bijvoorbeeld 'cryptografie die bestand is tegen sidechannels'.
Bovendien zou de methode van de onderzoekers 'lijken op eerdere sidechannel-exploits', aldus Intel. De onderzoekers schrijven dat ze hun methode met succes hebben uitgevoerd op processors van de Sandy Bridge-, Haswell- en Skylake-generatie. Zo zou deze vanuit de user space uit te voeren zijn met een foutpercentage van minder dan één procent en zou hij in bepaalde gevallen te gebruiken zijn om gevoelige informatie te achterhalen, zoals bits van een privésleutel. Daarnaast zou BranchScope ingezet kunnen worden om een beschermingsmaatregel als aslr te omzeilen. Dit zou ook mogelijk zijn als een applicatie in een beveiligde SGX-enclave draait.
De onderzoekers leggen uit dat moderne processors gebruikmaken van branch prediction units om elk onderdeel van een processor te gebruiken en onnodig wachten te voorkomen. Processen op dezelfde fysieke kern delen een dergelijke bpu. Die bestaat uit twee onderdelen, namelijk de eerdergenoemde branch target buffer en de directional predictor. BranchScope richt zich dus niet op de btb, maar op de predictor. Daarmee zou de aanval de eerste in zijn soort zijn en het mogelijk maken om een bpu aan te vallen, ook als de btb is beschermd.
Door botsingen tussen instructietakken, oftewel branches, van het proces van het slachtoffer en dat van de aanvaller te creëren, is het mogelijk om informatie van het slachtoffer te verkrijgen. Dit sidechannel is gebaseerd op hetzelfde principe als Spectre, maar de onderzoekers zien het als een aanvullende mogelijkheid om 'geavanceerdere en flexibelere aanvallen uit te voeren'.
Intel reageerde tegenover The Register ook op een andere aanval die op Black Hat Asia werd gepresenteerd door twee onderzoekers van de Technische Universiteit van Graz, die ook hebben meegewerkt aan Meltdown en Spectre. Zij claimden dat het mogelijk is om vanuit de user space malware in een beschermde SGX-enclave te draaien om zo een andere enclave op dezelfde hardware aan te vallen met een cacheaanval. Zo zouden ze in staat zijn om een 4096bit-rsa-privésleutel te achterhalen. Deze aanval zou volgens de onderzoekers in te zetten zijn om de privésleutel van bitcoinwallets in SGX-enclaves te bemachtigen. Intel reageert door te stellen dat deze methode al bekend was en dat opnieuw het gebruik van veilige cryptografie hiertegen kan beschermen.