No, il codice interpretato o JIT è anche vulnerabile
Secondo fonti multiple, l'attacco può essere sfruttato tramite JavaScript nei browser. Un estratto dai blog di Windows su Microsoft:
Today, Google Project Zero published details of a class of vulnerabilities which can be exploited by speculative execution side-channel attacks. These techniques can be used via JavaScript code running in the browser, which may allow attackers to gain access to memory in the attacker’s process.
Da Chromium Security:
This research has implications for products and services that execute externally supplied code, including Chrome and other browsers with support for JavaScript and WebAssembly.
E dal blog sulla sicurezza di Mozilla:
Our internal experiments confirm that it is possible to use similar techniques from Web content to read private information between different origins. The full extent of this class of attack is still under investigation and we are working with security researchers and other browser vendors to fully understand the threat and fixes.
In questi giorni, JavaScript è abbastanza avanzato con l'avvento di cose come Node.js e WebAssembly e può essere considerato un livello inferiore rispetto agli anni precedenti.
I tre fornitori di browser citati hanno preso delle precauzioni contro la vulnerabilità: