Onderzoekers van Microsoft en Googles Project Zero hebben informatie naar buiten gebracht over een nieuw lek, een zogenoemde vierde variant op de Meltdown- en Spectre-kwetsbaarheid die vooral bij het gebruik van bepaalde browsers beveiligingsissues teweeg kan brengen.

Microsoft en Google spreken van een nieuwe onderklasse van kwetbaarheden, genaamd speculative store bypass. Deze kwetsbaarheid is net als de eerdere lekken gebaseerd op speculative execution. Volgens Intel is deze vierde variant gedemonstreerd in een 'language-based runtime environment'. Een voorbeeld daarvan is Javascript. In een webbrowser wordt voortdurend Javascript-code uitgevoerd.

Intel zegt dat de al uitgebrachte patches voor de eerdere varianten ook werken voor de nieuwe vierde variant, maar desondanks heeft het bedrijf ook al microcode en software-updates uitgebracht die specifiek voor de vierde variant zijn bedoeld. Bepaalde oplossingen voor kwetsbaarheden zijn standaard uitgeschakeld, zodat gebruikers ze handmatig moeten inschakelen. Intel zegt te verwachten dat moederbordfabrikanten in de komende weken patches in de vorm van bios-updates beschikbaar stellen. Deze kunnen een negatieve impact van 2 tot 8 procent hebben op de prestaties. Ook AMD en ARM komen met patches.

De Spectre- en Meltdown-kwetsbaarheden kwamen in januari aan het licht en maken het uitlezen van kernelgeheugen mogelijk. Meltdown treft vrijwel uitsluitend Intel-processors, terwijl Spectre ook gevolgen heeft voor onder meer ARM en AMD. Meltdown laat het uitlezen van kernelgeheugen toe, terwijl dat bij Spectre geldt voor processen onderling.