關於英特爾處理器漏洞的6問6答

02-10

近日英特爾處理器的漏洞安全被曝出後，英特爾安全團隊終於站出來公布了官方消息以正視聽——漏洞確實不止一個，昨天在網上瘋傳的那個叫Meltdown（熔斷），還有另一個更加隱蔽更加難以利用，也更難修補的叫Spectre（幽魂）。這則消息弄的人心惶惶，特意從各個網站搜索了關於漏洞的問答，方便大家了解。

1、我的系統是不是受這兩個漏洞影響？有沒有修復補丁？

A：幾乎可以肯定，所有PC系統和智能手機都受到漏洞影響。目前針對Meltdown：Linux、Windows和macOS都已經採取了補丁措施，對應最新OS版本的補丁都已經到位；但對於Spectre：暫時還沒有明確的解決辦法和防護措施。

2、哪些廠商的硬體存在這兩個漏洞？

A：Meltdown漏洞——除IA-64架構的安騰以及部分老Atom處理器，Intel自1995年起發布的CPU幾乎全受影響（x86），暫不能確定AMD和ARM處理器是否受到波及；

Spectre漏洞——因為該漏洞基於指令預測執行，Intel、AMD、ARM處理器無一倖免。

3、這倆漏洞有啥區別？

A：Meltdown漏洞直接打破核心內存的保護機制，允許惡意代碼直接訪問這塊敏感內存；Spectre漏洞則通過篡改其他應用程序的內存，欺騙它們去訪問核心內存的地址。它們的目的都是獲取核心內存里儲存的敏感內容，只是實現的手段稍有差別。

4、打Meltdown補丁性能直接倒退一代是真的？

A：雖然發現該問題的其中一組安全團隊研究員稱他無法給出確切結論，但Intel的官方聲明裡確認會產生性能損失，幅度暫時不能確定，不過在較老的CPU上，性能倒退會更加明顯。視工作負載的種類不同，這個幅度可能能忽略不計，也可能會嚴重到直接減半。

5、我裝了殺毒軟體，能不能免受這兩個漏洞的困擾？

A：殺毒軟體抵禦這兩個底層硬體級漏洞的威脅只存在理論可能，實際環境中基本上沒有作用，除非藉助這兩個漏洞進行攻擊的惡意代碼都已經辨明，殺軟可以通過特徵代碼來進行查殺，否則也是乾瞪眼。

6、那現在這兩個漏洞是否已經產生了實際損失？

A：目前未知。安全團隊也沒收到任何與此漏洞關聯的攻擊報告，他們的研究全部基於本地代碼模擬，不是真實世界生產環境。

所以整體上看，這是一場波及21世紀以來所有計算設備的超級大災難，但因為它的發現和應對都在可控制的環境內發生，所以尚無社會的攻擊損失報告出現，可以視其為安全人員的一次勝利。對一般用戶而言，只要緊跟操作系統開發商的安全更新補丁，就能避免自己遭受與這兩個漏洞相關聯的攻擊。