А в вашем языке программирования уже побороли Spectre?

В Java вроде нужно обновить jdk, оракл говорили, что fixed.

Плохо только что в ubuntu 16.04 до сих пор не завезли gcc 7.3.0 с этим флагом :(

В ubuntu 16.04 завезли gcc 5.4.0 с этим флагом.

Вот бы в скобочках после названия компилятора указать версии.

Одного гцц мало. Теперь надо весь мир перебрать.

Такой большой процессор, и всего две закладки.

В Haskell была дискуссия в рассылке, все порешили, что в хаскелловом софте Spectre нереально эксплуатировать из-за инопланетной модели выполнения кода.

В Haskell была дискуссия в рассылке, все порешили, что в хаскелловом софте Spectre нереально эксплуатировать из-за отсутствия хаскеллософта как такового.

Я вот почитываю статьи про эти «ваши» уязвимости и пока так особо и не понял как можно украсть нужную инфу, но судя по некоторым описаниям, этот косяк просто может навредить обычной нормальной проге, «засрав» её пространство рандомной инфой из недр кеша процессора. Тут мне кажется опасность и вероятность вреда гораздо больше.

Вообще возникла мысль, что процеделатели объявили это некой уязвимость специально, чтобы затмить глаза людей от правды, что это мега баг приводящий к дестабилизации системы с запущенными в ней программами в принципе.

Иначе просто всем процеделателям прийдётся выпустить новый проц без бага и заменить бесплатно пользователям например во всех серверах крупных концернов с которыми наверняка подписаны мега контракты. Например как было с багом при делении с плавающей точкой в пентиумах.

Спасибо.

Я реально забыл что мейнтейнеры дистрибутивов накладывают свои патчи и портируют всякие секьюрити фичи. :)

https://blogs.msdn.microsoft.com/vcblog/2018/01/15/spectre-mitigations-in-msvc/

https://www.phoronix.com/scan.php?page=news_item&px=LLVM-Retpoline-Added

https://www.phoronix.com/scan.php?page=news_item&px=GCC-7.3-Released

Кстати сейчас решил проверить, и что-то пока у меня ничего не получилось:

clang60 hello.c -mretpoline
clang-6.0: error: unknown argument: '-mretpoline'
сlang60 -v
clang version 6.0.0 (tags/RELEASE_600/rc1)
Target: x86_64-portbld-freebsd11.1
Thread model: posix
InstalledDir: /usr/local/llvm60/bin

На Windows всё скомпилировалось

gcc version 7.3.0 (Rev1, Built by MSYS2 project)

На Linux Mint(Ubuntu 16.04)

gcc hello.c -mindirect-branch=thunk
gcc: error: unrecognized command line option ‘-mindirect-branch=thunk’
gcc -v
gcc version 5.4.1 20160904 (Ubuntu 5.4.1-2ubuntu1~16.04) 

gcc-7 hello.c -mindirect-branch=thunk
gcc-7: error: unrecognized command line option ‘-mindirect-branch=thunk’; did you mean ‘-findirect-inlining’?
gcc-7 -v
gcc version 7.2.0 (Ubuntu 7.2.0-1ubuntu1~16.04)

Так что в gcc 7.3 работает. В остальных может заработает...

В ubuntu 16.04 завезли gcc 5.4.0 с этим флагом.

А в Debian вчера gcc 5.5.0-8 с ними:

gcc-5 (5.5.0-8) unstable; urgency=medium

  [ Steve Beattie ]

  * Add retpoline support for x86 via adding -mindirect-branch=,
    -mindirect-branch-register, and -mfunction-return= support
    ...

  * Add retpoline support for ppc64 via adding
    ...

 — Matthias Klose <doko@debian.org>  Wed, 31 Jan 2018 11:50:31 +0100

В Mono вот какой pull request увидел:

https://github.com/mono/mono/pull/6740/files

Если про компилятор или интерпретатор $COMPILERNAME языка $LANGNAME говорят, что он поборол Spectre, то от какого вида атаки и на кого это защищает?

Какая разница, если тот, кто желает использовать Spectre, будет пользоваться теми средствами, которые это позволяют?

А в вашем языке программирования уже побороли Spectre? (комментарий)