Здравствуйте, Pzz, Вы писали:

W>>В результате speculative execution область памяти ядра загружается в кэш. Оттуда его можно достать с помощью техники, аналогичной Spectre.

Pzz>Первое понятно. А можно выделенное чуть подробнее?

Почитай тут, "Theoretical explanation".
Если совсем кратко:
1) при чтении по определенному адресу, путем измерения времени доступа, можно определить, были ли данные считаны из кэша или из самой памяти;
2) во время speculative execution читаем из нужного адреса в регистр и тут же читаем из незакэшированной области по смещению, зависящему от значения регистра;
3) определяем по п. 1), какая область закэшировалась, вычисляем, что было в регистре.