MeltdownとSpectreが同時に開示されたのはなぜですか？

Question

Meltdown と Spectre の両方の脆弱性が2018年1月3日に公開されました（当初予定されていた1月9日の6日前）。

彼らの公表以来、2つの脆弱性とその違いとの間にはいくつかの混乱がありました。 2つのバグは類似していると報告されていますが、これらは 2つの個別の脆弱性 緩和のさまざまな要件。

業界全体の2つの重大な脆弱性を同時に明らかにするのは奇妙に思われます。このような脆弱性は通常ペアで明らかにされますか？混乱を防ぐために、脆弱性を個別に公開するほうが理にかなっていますか？

メルトダウンとスペクターが同時に開示されたのはなぜですか？それらを2つの異なる問題として扱いませんか？

Hector · Accepted Answer

*更新：この記事はすべてをカバーしているようです。

攻撃論文は同じ作者の多くを共有しており、類似しているがこれまで知られていなかった攻撃ベクトルを使用しています。

両方のエクスプロイトは、同じ（または少なくとも相互に関連した）研究組織から発生しました。両方とも最初は同じ日付（2017-02-01）で報告されました- CVE-2017-5754 、 CVE-2017-575 、 CVE-2017- 5715

したがって、同等の深刻さの両方を表示すると仮定すると、禁輸/開示期間がそれぞれ同じであったことは理にかなっています。両方が同じ日に報告されたので、あなたは両方が同時に一般にリリースされることを期待するでしょう。

一方、著者の観点からは、以前にリリースされたものであり、明らかにマスコミの大多数の注目を集めていただろう。両方の当事者が同等に認識されるためのより公正なアプローチのようです。