Project Zero รายงานถึงแนวทางการทดสอบประสิทธิภาพ AI ในกลุ่ม LLM ว่าสามารถนำมาใช้ทดสอบความปลอดภัยซอฟต์แวร์ได้ดีเพียงใด โดยวางเฟรมเวิร์คให้ LLM เข้าถึงเครื่องมือที่จำเป็นสำหรับการเจาะระบบจริงๆ ได้แก่
Tavis Ormandy จาก Project Zero ของกูเกิลรายงานถึงช่องโหว่ Reptar (CVE-2023-23583) ที่อาศัย bit ที่ไม่ได้ใช้งานของคำสั่ง MOVSB ที่ใช้ย้ายข้อมูลเข้าไปยัง register เมื่อรันคำสั่งที่ผิดพลาดแบบนี้อย่างจงใจจะทำให้ซีพียูหลุดไปสู่สถานะที่ไม่ได้กำหนดการทำงานไว้ ส่งผลให้เครื่องแครชไปได้ทั้งเครื่อง แม้จะรันโค้ดอยู่ใน virtual machine ที่ถูกจำกัดสิทธิ์ไว้ก็ตาม
บั๊กนี้เกิดจากฟีเจอร์ Fast Short Repeat Move (FSRM) ที่เป็นฟีเจอร์สำหรับย้ายสตริงด้วยความเร็วสูง ในซีพียูที่เปิดฟีเจอร์นี้ไว้และสั่งคำสั่ง MOVSB โดยใส่ค่า prefix ของ register ให้ผิดพลาดอย่างจงใจ ซีพียูจะหลุดเข้าไปอยู่ใน state ที่ผิดพลาดและ halt หยุดการทำงานไปเลย โดย FSRM นั้นเพิ่มเข้ามาตั้งแต่ซีพียู Ice Lake ขึ้นมา
Project Zero ของกูเกิลรายงานช่องโหว่ในชิปโมเด็ม Exynos ของซัมซุง จำนวนรวม 18 ช่องโหว่ ในจำนวนนี้มีช่องโหว่ระดับร้ายแรง 4 ช่องโหว่ ที่เปิดทางให้ทำ remote code execution จากอินเทอร์เน็ตมายังตัว baseband ของโทรศัพท์ โดยที่รู้เพียงเบอร์ของผู้ใช้ก็พอ ผู้ใช้ไม่ต้องแตะโทรศัพท์เลยก็โดนเจาะได้
ความรุนแรงของช่องโหว่ชุดนี้ทำให้ Project Zero ตัดสินใจไม่เปิดเผยรายละเอียดช่องโหว่ตามนโยบายปกติ เพื่อรอให้บริษัทที่ได้รับผลกระทบออกแพตช์กันก่อน ตอนนี้แพตช์ของอุปกรณ์กลุ่ม Pixel ออกแล้ว (ยกเว้น Pixel 6, 6 Pro, 6a ที่แพตช์ยังไม่มา) กูเกิลแนะนำให้ปิดการทำงานของ Wi-Fi calling และ VoLTE ไปก่อน ซึ่งจะปิดช่องโหว่ตรงนี้ได้
Project Zero ของกูเกิล รายงานช่องโหว่ความปลอดภัยในไดรเวอร์ Arm Mali GPU ที่ใช้กันแพร่หลายในวงการ Android จำนวนรวม 5 จุด โดยส่งข้อมูลนี้ให้บริษัท Arm ในช่วงเดือนมิถุนายน-กรกฎาคม 2022 และ Arm ออกแพตช์อุดช่องโหว่ให้เรียบร้อยแล้วในเดือนสิงหาคม 2022
อย่างไรก็ตาม แพตช์อันนี้กลับไม่ถูกแบรนด์ผู้ผลิตสมาร์ทโฟนนำไปอัพเดตในสินค้าของตัวเองที่ใช้จีพียู Mali (แม้กระทั่ง Pixel ของกูเกิลเองก็ด้วย) ทำให้ช่องโหว่นี้ยังถูกเรียกใช้งานได้อยู่เช่นเดิม ทาง Project Zero ลองตรวจสอบกับตลาดแฮ็กเกอร์ใต้ดินก็พบว่านำช่องโหว่นี้ไปใช้งานกันอย่างแพร่หลายเช่นกัน ทางโครงการจึงออกมากระตุ้นเตือนอีกรอบให้บรรดาผู้ผลิตสมาร์ทโฟนเร่งอัพเดตแพตช์จาก Arm ให้เรียบร้อย
Project Zero ทีมวิจัยความปลอดภัยไซเบอร์ของกูเกิลรายงานถึงการใช้ช่องโหว่ 0-days หรือช่องโหว่ที่มีการโจมตีก่อนมีแพตช์แก้ไขเพิ่มขึ้นอย่างมาก โดยรายงานจำนวนมากมาจากผู้ผลิตเองที่ยอมรับว่ามีการโจมตีด้วยช่องโหว่ที่ยังไม่ได้แพตช์
ปริมาณช่องโหว่ 0-days ที่มีรายงานเพิ่มขึ้น ส่วนมากมาจากทั้งแอปเปิลและแอนดรอยด์ของกูเกิลเองที่เริ่มแจ้งในรายงานแพตช์ต่างๆ ว่ามีการโจมตีก่อนหน้าหรือไม่ ส่วนไมโครซอฟท์, Chrome, และ Adobe นั้นแจ้งในรายงานมาก่อนหน้านี้นานแล้ว แม้การรายงานจะดีขึ้นในช่วงหลังผู้ผลิตจำนวนมากก็ไม่ได้ระบุในรายงานแก้ไขช่องโหว่ว่าเป็นช่องโหว่ที่ถูกโจมตีมาก่อนหรือไม่ทำให้ติดตามสถานการณ์โดยรวมได้ยาก
หลังจาก Project Zero รายงานถึงการโจมตีของมัลแวร์ Pegasus ในขั้นแรกคือการส่งไฟล์ PDF เพื่อให้ iOS พยายามเรนเดอร์ภาพ แล้วอาศัยกระบวนการถอดรหัสภาพกลายเป็นตัวรันโค้ด วันนี้ Project Zero ก็ออกรายงานตอนที่สองว่าโค้ดที่รันอยู่ในตัวถอดรหัสภาพนั้นเจาะโทรศัพท์มือถือได้อย่างไร
Project Zero โครงการค้นหาช่องโหว่ความปลอดภัยของซอฟต์แวร์ต่างๆ โดยทีมของกูเกิล เผยสถิติช่องโหว่ที่ค้นพบในปี 2019-2021 จำนวนรวม 346 รายการ
ทีม Project Zero ได้แยกช่องโหว่ตามบริษัทต้นสังกัดของซอฟต์แวร์นั้นๆ และเปรียบเทียบระยะเวลาเฉลี่ยที่บริษัทหรือองค์กรแก้ไขช่องโหว่ที่รายงาน
มัลแวร์ Pegasus ของ NSO Group มีความซับซ้อนสูง และสามารถทะลุระบบป้องกันของบริษัทต่างๆ ได้อย่างมีประสิทธิภาพจนบริษัทไอทีจำนวนมากรวมถึงแอปเปิลฟ้อง วันนี้ทาง Project Zero ของกูเกิลก็ออกมาวิเคราะห์ความเก่งกาจของกระบวนการเจาะเข้าไปวางมัลแวร์ในโทรศัพท์
Project Zero พบว่ากระบวนการแฮกโทรศัพท์แบบไม่ต้องคลิกใดๆ (zero click) ของ NSO Group อาศัยการส่งไฟล์ภาพนามสกุลไฟล์เป็น GIF ที่ iMessage จะพยายามแสดงภาพทันที แต่เนื้อไฟล์ภายในที่จริงแล้วเป็น PDF ที่ตัว iMessage จะรู้เมื่ออ่านเนื้อไฟล์ และพยายามเรนเดอร์ภาพอยู่ดีด้วย CoreGraphics PDF
Tavis Ormandy จาก Project Zero ของกูเกิลรายงานถึงช่องโหว่ CVE-2021-43527 ในไลบรารี NSS (Network Security Services) สำหรับการเข้ารหัสและตรวจสอบลายเซ็นดิจิทัล ที่ใช้งานในซอฟต์แวร์จำนวนมากโดยเฉพาะ Firefox และ Thunderbird โดยพบช่องโหว่ที่เปิดทางให้แฮกเกอร์สามารถสร้างใบรับรองที่มุ่งร้ายจนรันโค้ดในเครื่องของเหยื่อได้เพียงแค่เปิดอ่านใบรับรอง
ช่องโหว่นี้เกิดจาก struct ที่ชื่อว่า VFYContext ที่เป็นโครงสร้างข้อมูลสำหรับการตรวจสอบใบรับรอง แต่กลับประกาศขนาดของลายเซ็นดิจิทัลไว้จำกัด ทำให้แฮกเกอร์สามารถสร้างใบรับรองที่มีลายเซ็นขนาดใหญ่มากจนล้นหน่วยความจำที่จองไว้ กลายเป็นการโจมตี heap overflow
Project Zero โครงการหาช่องโหว่ความปลอดภัยของกูเกิล ประกาศนโยบายการเผยแพร่ข้อมูลช่องโหว่ของปี 2021 ที่เปลี่ยนจากของเดิม โดย Project Zero ใจดีกว่าเดิม เพิ่มเวลาให้อีก 30 วันก่อนเผยแพร่ข้อมูลช่องโหว่ต่อสาธารณะ
ที่ผ่านมา นโยบายของ Project Zero คือให้เวลาผู้พัฒนาซอฟต์แวร์พัฒนาแพตช์ภายใน 90 วัน (ถ้าช่องโหว่ถูกใช้โจมตีแล้ว จะให้เวลา 7 วันแทน) ก่อนเปิดเผยข้อมูลช่องโหว่ต่อสาธารณะ เพื่อบีบให้ผู้พัฒนาซอฟต์แวร์ต้องรีบออกแพตช์ภายในระยะเวลาที่กำหนด มิฉะนั้น แฮ็กเกอร์จะได้ข้อมูลช่องโหว่ไปใช้โจมตี
นโยบายใหม่ของ Project Zero จะขยับเลขเป็น 90+30 และ 7+30 ด้วยเหตุผลว่าเพิ่มเวลาอีก 30 วัน เพื่อให้ผู้ใช้ทยอยติดตั้งแพตช์เป็นจำนวนมากๆ ก่อนเปิดเผยข้อมูลแพตช์
Project Zero รายงานถึงช่องโหว่ของฟีเจอร์ GitHub Action ที่มีฟีเจอร์ Workflow เปิดให้ runner รับคำสั่งเพิ่มเติมจากเอาท์พุตของโปรแกรมใดๆ ใน Action เปิดทางให้แฮกเกอร์ใส่เอาท์พุตมุ่งร้ายได้
แม้ว่า Workflow จะรับคำสั่งได้จำกัด แต่มีสองคำสั่งได้แก่ add-path และ set-env ที่สามารถแก้ไขค่าตัวแปร environment ได้ ทำให้คนร้ายแก้ไขค่าตัวแปรเพื่อโจมตีสคริปต์ใน Action ได้
Project Zero ของกูเกิลเปิดเผยรายละเอียดช่องโหว่ CVE-2020-17087 ที่เปิดทางให้แฮกเกอร์ให้สามารถระดับสิทธิ์ของตัวเองหรือเจาะทะลุ sandbox ในระบบ โดยรายงานของ Project Zero เปิดเผยทั้งรายละเอียดและตัวอย่างโค้ดทดสอบช่องโหว่ ซึ่งโดยปกติแล้วการเปิดเผยรายละเอียดเช่นนี้จะเปิดเผยหลังผู้ผลิตปล่อยแพตช์แก้ไขช่องโหว่ออกมาแล้วระยะหนึ่ง
กรณีนี้กูเกิลระบุว่าตรวจพบการโจมตีอย่างเจาะจง โดยไม่เปิดเผยว่าเป็นการโจมตีหน่วยงานใด แต่บอกเพียงว่าไม่เกี่ยวข้องกับการเลือกตั้งสหรัฐฯ
Avast ระบุว่าได้รับแจ้งจากนักวิจัยและ Google Project Zero เรื่องการค้นพบช่องโหว่ระดับร้ายแรงในตัวรันจาวาสคริปต์ (JavaScript interpreter) บนอีมูเลเตอร์ในซอฟต์แวร์แอนตีไวรัสบนวินโดวส์ ที่เปิดช่องให้คนร้ายสามารถรันโค้ดทางไกลและเข้าถึงสิทธิระดับแอดมินได้
Travis Ormandy จาก Project Zero วิจารณ์การออกแบบของ Avast ว่ารันตัวอีมูเลเตอร์ในสิทธิ์ระดับสูง โดยไม่มีการป้องกันด้วย sandbox แบบเดียวกับในเบราว์เซอร์ และมาตรการลดความเสี่ยงอื่นก็ทำได้แย่
ทำให้ล่าสุด Avast ระบุว่าสั่งระงับการใช้งานอีมูเลเตอร์ดังกล่าวให้กับผู้ใช้งานทั่วโลกแล้ว โดยยืนยันการใช้งานของผู้ใช้งานทุกอย่างจะยังเหมือนเดิม
Jann Horn นักวิจัยจาก Project Zero ของกูเกิลเขียนรายงานวิเคราะห์ช่องโหว่ของโทรศัพท์ Samsung Galaxy A50 และรุ่นย่อย A50FN ที่มีโค้ดเสริมความปลอดภัยเพิ่มเติม แต่กลับสร้างช่องโหว่ใหม่ในตัวเอง พร้อมกับวิจารณ์ผู้ผลิตโทรศัพท์โดยรวมว่าชอบแก้ไขเคอร์เนลเพิ่มเติมจนเป็นแหล่งช่องโหว่ของแอนดรอยด์
ในกรณีของซัมซุง โทรศัพท์ Galaxy A50 มีโมดูลย่อยชื่อ PROCA (Process Authenticator) ที่พยายามติดตามโปรเซสในระบบ แต่โค้ดกลับมาบั๊กเปิดทางให้โค้ดมุ่งร้ายยกระดับสิทธิ์การรันโค้ด
นอกจากการสร้างช่องโหว่ใหม่แล้ว Horn ยังยกตัวอย่างช่องโหว่ CVE-2018-17972 ที่เป็นช่องโหว่ลินุกซ์ และแก้ไขไปแล้วตั้งแต่ปลายปี 2018 แต่เคอร์เนลของซัมซุงที่แพตช์ออก 1 พฤศจิกายน 2019 ก็ยังไม่ได้แพตช์ช่องโหว่นี้
Project Zero โครงการรายงานช่องโหว่สาธารณะของกูเกิลเปลี่ยนนโยบายการเปิดเผยช่องโหว่หลังรายงาน 90 จากเดิมหากซอฟต์แวร์ออกแพตช์เร็วกว่า 90 วันก็จะเปิดเผยช่องโหว่หลังจากออกแพตช์ มาเป็นการเปิดเผยหลังรายงาน 90 วันเสมอ แม้ผู้ผลิตจะออกแพตช์เร็วกว่ากำหนด
นโยบายใหม่ยังเปลี่ยนรายละเอียดเพิ่มเติม อีก 3 ประเด็น ได้แก่
Tavis Ormandy นักวิจัยจาก Project Zero รายงานช่องโหว่ของ LastPass เปิดทางให้แฮกเกอร์สามารถดึงรหัสผ่านล่าสุดที่ใช้ล็อกอินในเบราว์เซอร์แท็บเดียวกันออกมาได้ แม้จะเป็นคนละเว็บกัน
ผู้ใช้จะมีความเสี่ยงต่อเมื่อใช้ส่วนขยาย LastPass สำหรับ Chrome โดยตอนนี้เป็นส่วนขยายที่มีคนใช้งานอยู่ถึง 10 ล้านคน
ทาง LastPass แก้ไขในเวอร์ชั่น 4.33.0 เรียบร้อย โดยใช้เวลาสองสัปดาห์หลัง Project Zero แจ้งไป จึงเปิดเผยข้อมูลออกมา
ที่มา - Project Zero
แอปเปิลออกแถลงการณ์ชี้แจง หลังนักวิจัยของกูเกิลใน Project Zero เผยแพร่รายงานการโจมตี iOS ก่อนมีแพตช์ออกมาเมื่อเดือนกุมภาพันธ์ โดยบอกว่าช่องโหว่ในรายงานฉบับนี้มีผลกระทบที่จำกัด ไม่ได้มีผลเป็นวงกว้างอย่างที่รายงานพยายามทำให้ผู้ใช้ iOS กลัว เว็บไซต์ที่มีการฝังมัลแวร์ผ่านช่องโหว่ก็มีเพียงไม่ถึง 10 เว็บไซต์ และมีเนื้อหาเฉพาะเจาะจงมาก
Project Zero รายงานย้อนหลังถึงการพบการโจมตี iOS ก่อนที่จะมีแพตช์ หรือช่องโหว่ 0-day ย้อนหลัง 5 รายการ นับแต่ปี 2016 ในสมัย iOS 10 มาจนถึง iOS 12 เมื่อต้นปีที่ผ่านมา
ตัวอย่างการวิเคราะห์ช่องโหว่ล่าสุดเมื่อต้นปีที่ผ่านมา แสดงให้เห็นว่ามีฟีเจอร์ในเคอร์เนลที่ยังอิมพลีเมนต์ไม่เสร็จ แต่โค้ดถูกรวมไปกับ iOS แล้ว และเข้าถึงจากตัว sandbox ของแอปพลิเคชั่นได้ การอิมพลีเมนต์ครึ่งๆ กลางๆ กลายเป็นช่องทางให้โค้ดมุ่งร้ายเจาะออกจาก sandbox ได้ในที่สุด
Project Zero ของกูเกิลออกบทความคำถามพบบ่อย (FAQ) ระบุถึงเหตุผลที่ต้องเปิดเผยช่องโหว่ภายใน 90 วันหลังจากรายงาน แม้ผู้ผลิตจะไม่สามารถแก้ไขได้ทันเวลาก็ตาม โดยระบุว่าด้วยนโยบายปัจจุบัน ผู้ผลิตสามารถแก้ไขได้ก่อนที่ Project Zero จะเปิดเผยช่องโหว่คิดเป็น 95.8% หรือตลอดช่วงเวลาตั้งแต่ปี 2015 เป็นต้นมา มีช่องโหว่ถูกเปิดเผยโดยยังไม่ได้แก้ไขเพียง 66 รายการเท่านั้นจากที่มีการรายงาน 1,585 รายการ
นโยบายของ Project Zero ตอนนี้กำหนดว่าจะเปิดเผยช่องโหว่ภายใน 90 วัน เว้นแต่ผู้ผลิตสัญญาว่าจะออกแพตช์ได้ทันเวลา เช่น มีแพตช์แล้วแต่รอรอบการออกแพตช์ถัดไป ก็จะยืดเวลาให้อีกไม่เกิน 14 วันเพื่อรอแพตช์ก่อน โดยหากคิดเฉพาะช่วงเวลาที่มีนโยบายยืดเวลา 14 วันนี้ อัตราการแพตช์ทันเวลาจะเพิ่มเป็น 97.5%
ในทางวิศวกรรมซอฟต์แวร์ การที่โค้ดมีความซับซ้อนมากขึ้นเรื่อยๆ ก็มีโอกาสที่จะพบบั๊กต่างๆ รวมถึงช่องโหว่ความปลอดภัยมากขึ้นเป็นเงาตามตัว ทำให้เรามักไม่พบช่องโหว่ในโปรแกรมง่ายๆ นัก แต่ล่าสุด Travis Ormandy จาก Project Zero ก็ระบุว่าเขาพบช่องโหว่รันโค้ดบนโปรแกรม Notepad บนวินโดวส์
Notepad ของวินโดวส์เป็นโปรแกรมง่ายๆ ที่ใช้แก้ไขไฟล์เท็กซ์อย่างเดียว แต่เป็นโปรแกรมที่ติดมากับวินโดวส์เสมอแม้แต่ Windows Core
Travis บอกเพียงว่าช่องโหว่นี้เป็นช่องโหว่ memory corruption ซึ่งเป็นคำกว้างๆ ของบั๊กเมื่อโปรแกรมเมอร์ ใช้หน่วยความจำที่ไม่ได้กำหนดค่าล่วงหน้า หรือใช้หน่วยความจำเกินที่จองไว้ ตอนนี้เขาแจ้งช่องโหว่ไปยังไมโครซอฟท์แล้ว ไมโครซอฟท์มีเวลา 90 วันเช่นเดียวกับช่องโหว่อื่นของ Project Zero
Project Zero ของกูเกิลแชร์การรวบรวมข้อมูลช่องโหว่ที่มีการโจมตีก่อนแก้ไข (zero-day exploit/0day) นับจากปี 2014 หรือย้อนหลังไป 5 ปีที่ผ่านมา ระบุทั้งหมายเลข CVE, ผู้ผลิต, ชื่อสินค้า, ประเภทช่องโหว่, กลุ่มผู้โจมตี, วันที่พบการโจมตี, และวันที่ออกแพตช์แก้ไข
การรวบรวมนี้ทำให้เข้าใจการโจมตีได้ดีขึ้น เช่น โดยเฉลี่ยจะพบการโจมตีโดยไม่มีแพตช์ทุก 17 วันต่อช่องโหว่ (ในความจริงห่างกว่านี้มาก เพราะการโจมตีหลายครั้งใช้หลายช่องโหว่รวมกันเป็นชุด), ระยะเวลาที่มีรายงานไปจนถึงผู้ผลิตออกแพตช์เฉลี่ย 15 วัน, และ 68% ของช่องโหว่เป็นปัญหา memory-corruption
ช่องโหว่เคอร์เนล MacOS/iOS หรือ XNU (XNU is Not Unix) ตรวจพบโดย Project Zero ของกูเกิลช่วงปลายปีที่ผ่านมาจำนวน 8 รายการ (มี 1 รายการ แอปเปิลแพตช์ไปก่อนรายงาน) ถูกเปิดเผยออกมาในช่วงนี้ ปรากฎว่ามีหนึ่งช่องโหว่ที่แอปเปิลแพตช์ไม่ทันจนกระทั่งเลยกำหนด 90 ว้นจึงเปิดเผยช่องโหว่และตัวอย่างการโจมตีสู่สาธารณะ
รายการช่องโหว่แสดงให้เห็นว่า Project Zero ทดสอบระบบการป้องกันหน่วยความจำของเคอร์เนล โดยเฉพาะการจัดการความจำเสมือน (virtual memory) โดยเคอร์เนลควรสามารถป้องกันหน่วยความจำส่วนที่อ่านข้อมูลขึ้นมาแล้วได้
Tavis Ormandy จาก Project Zero รายงานถึงช่องโหว่ของโปร Ghostscript (คำสั่ง gs) สำหรับประมวลผลไฟล์ PostScript (.ps), PDF, EPS, และ XPS โดยตัว Ghostscript มีฟีเจอร์ sandbox สำหรับจำกัดการทำงาน (ออปชั่น SAFER) แต่กลับมีช่องโหว่กลายรายการทำให้ไฟล์ที่สร้างขึ้นมาเฉพาะสามารถใส่สคริปต์มุ่งร้ายเข้าไปได้
ความเสี่ยงในระดับเซิร์ฟเวอร์ที่อาจจะรับไฟล์ และต้องประมวลผลโดย Ghostscript เช่นการสร้างภาพ thumbnail ทำให้แฮกเกอร์สามารถสั่งรันสคริปต์บนเครื่องได้
คำแนะนำเบื้องต้นสำหรับเซิร์ฟเวอร์คือการเพิ่มเงื่อนไขในไฟล์ policy.xml ของ ImageMagick เพื่อยกเลิกการประมวลผลไฟล์เหล่านี้ไปเสีย แบบเดียวกับช่องโหว่ ImageMagick เมื่อปี 2016 โดยเติมนโยบาย
Parisa Tabriz หัวหน้าโครงการ Project Zero ของกูเกิลขึ้นพูดเปิดงาน BlackHat USA 2018 และเปิดงานด้วยการย้ำกว่าบล็อคเชนไม่ได้ทำให้ปัญหาความปลอดภัยหมด
เธอพูดถึงปัญหาความปลอดภัยว่าหลายครั้งเป็นปัญหาวัฒนธรรมองค์กร และการที่ Project Zero กำหนดเส้นตาย 90 วัน เหมือนกันทั้งช่องโหว่ภายในและภายนอกกูเกิล ทำให้องค์กรต่างๆ ต้องปรับตัวรวมถึงกูเกิลเองด้วย ผลรวมคือความสำเร็จของ Project Zero ที่ทำให้การสร้างช่องโหว่ 0-day ในช่วงหลังมีต้นทุนสูงขึ้นเรื่อยๆ
Project Zero พบช่องโหว่ที่ดัดแปลงจากแนวทาง Spectre อีกรูปแบบหนึ่ง กลายเป็นรูปแบบที่สี่ ตอนนี้ทั้งอินเทลและเอเอ็มดีแก้ปัญหาด้วยการอัพเดต microcode เพื่อเพิ่มคำสั่ง (instruction) ใหม่ให้กับซีพียู และการอัพเดตแพตช์ของระบบปฎิบัติการต้องคอมไพล์ใหม่เพื่อใช้คำสั่งนี้
ช่องโหว่นี้เกิดขึ้นเนื่องจากพฤติกรรมของคำสั่ง LOAD ที่พยายามคาดเดาว่าค่าในหน่วยความจำถูกแก้ไขด้วยคำสั่ง STORE ไปหรือไม่ หากคาดว่าไม่ถูกแก้ไขก็จะโหลดจากแคช L1 ทำให้ได้ความเร็วสูง ทาง Project Zero สามารถเขียนตัวอย่างอ่านค่าที่ไม่ได้รับอนุญาตได้สำเร็จ