headless曰く、

5月21日、多くのモダンCPUに影響する投機的実行のサイドチャネル脆弱性（Spectre/Meltdown）の新バリアント2件が公表された（US-CERT TA-18-141A、Intelの発表、AMDの発表、ARMの発表、Project Zero — Issue 1528）。

CVE-2018-3639（Variant 4）はメモリー読み取りの投機的実行により、メモリー上の古いデータが読み取り可能になるというもので、Speculative Store Bypass（SSB）とも呼ばれる。

CVE-2018-3640（Variant 3a）はシステムレジスタ読み取りの投機的実行により、権限のないシステムパラメーター読み取りが可能になるというもので、Rogue System Register Read（RSRE）とも呼ばれる。こちらはMeltdown脆弱性（Variant 3: CVE-2017-5754）のサブバリアント扱いとなっている。AMD製のCPUはMeltdown脆弱性の影響を受けないが、Variant 3aについても影響を受けるものは確認されていないとのことだ。

脆弱性の深刻度は2件とも「Medium」となっているが、MicrosoftによればVariant 4はJavaScriptコードを使用したWebブラウザー上での攻撃も可能だという。ただし、メジャーなWebブラウザーでは既に攻撃を困難にする修正が行われているそうだ。これに対し、Variant 3aでは攻撃者がローカルでログオンして攻撃用プログラムを実行する必要がある。この攻撃の緩和策はマイクロコード/ファームウェアの更新に限られるとのことだ。