1月4日，國外安全研究者披露的Meltdown消融/崩垮（CVE-2017-5754）及Spectre幽靈（CVE-2017-5753 & CVE-2017-5715）兩組CPU漏洞引發(fā)了全球安全恐慌。這場由英特爾CPU漏洞衍生出的安全問題，波及了全球所有桌面系統(tǒng)、電腦、智能手機及云計算服務(wù)器。

對此，360安全中心緊急展開了漏洞響應(yīng)，并發(fā)布了預(yù)警通告及詳細解讀。360核心安全事業(yè)部總經(jīng)理、Vulcan團隊負責(zé)人鄭文彬提醒廣大網(wǎng)民，無需過分恐慌，只要保證良好的上網(wǎng)習(xí)慣，為操作系統(tǒng)、虛擬化軟件、瀏覽器等及時更新補丁，同時，安裝及開啟安全軟件，就能在第一時間防御利用這些漏洞的攻擊程序。

 

全球網(wǎng)民無一幸免！漏洞本身卻并不可怕

現(xiàn)代處理器（CPU）的運作機制中存在兩個用于加速執(zhí)行的特性，推測執(zhí)行（Speculative Execution）和間接分支預(yù)測（Indirect Branch Prediction)。這兩組CPU漏洞的利用依靠推測執(zhí)行特性，通過用戶層面應(yīng)用從CPU 內(nèi)存中讀取核心數(shù)據(jù)。推測執(zhí)行技術(shù)從1995年開始應(yīng)用，所以近20年的Intel, AMD,　Qualcomm廠家和其它ARM的處理器幾乎都受到影響；

l   Meltdown的具體影響范圍：

Intel CPU用戶：幾乎所有（1995年之后的所有的CPU型號，除了2013年之前的Intel 安騰和Atom外）

AMD CPU用戶：根據(jù)AMD公司的聲明，目前AMD CPU不受Meltdown漏洞影響

ARM CPU用戶：根據(jù)ARM公司的聲明，包括Cortex-A75在內(nèi)的少數(shù)ARM核心CPU受影響

l   Spectre的具體影響范圍：

Intel CPU用戶：幾乎所有

AMD CPU用戶：幾乎所有

ARM CPU用戶：根據(jù)ARM公司的聲明，包括Cortex-A8， Cortex-A9等在內(nèi)的約十種ARM核心CPU受影響，其他類型的ARM CPU不受影響

雖然影響范圍極廣，但漏洞本身的危害卻并不十分嚴重，前也沒有任何已知的利用這些漏洞進行攻擊的案例被發(fā)現(xiàn)。攻擊者雖可利用該漏洞竊取隱私，但無法控制電腦、提升權(quán)限或者突破虛擬化系統(tǒng)的隔離。此外，該漏洞不能被遠程利用，更無法像“永恒之藍”漏洞一樣，在用戶沒有任何交互操作時就實現(xiàn)攻擊。

鄭文彬表示，漏洞利用的前提需要攻擊者已經(jīng)在用戶系統(tǒng)及云計算客戶系統(tǒng)上運行惡意程序，這一點完全可以通過良好上網(wǎng)習(xí)慣及安全軟件的防御避免，更能夠杜絕CPU漏洞與其他漏洞相結(jié)合實施的進一步危害。

徹底修復(fù)難度高！解決CPU漏洞需要廠商聯(lián)動

“這兩組漏洞影響力之所以這么大，一方面是因為受影響范圍廣泛，另一方面則是因為修復(fù)難度大?！编嵨谋虮硎?，漏洞波及面特別廣，幾乎所有的主流智能終端，電腦、筆記本、Pad、手機、IOT設(shè)備的CPU都受到影響。

除了影響全球網(wǎng)民，CPU漏洞的影響力也來自于其漏洞修復(fù)的高難度。盡管是CPU硬件的漏洞， 但是僅通過CPU廠商進行安全更新（例如升級CPU微碼）是無法解決這一問題，修復(fù)這些漏洞需要操作系統(tǒng)廠商、虛擬化廠商、軟硬件分銷商、瀏覽器廠商、CPU廠商一起協(xié)作并進行復(fù)雜且極其深入的修改，才能徹底解決問題，對于這些影響如此廣泛的漏洞來說要完美做到修復(fù)更是困難。

目前，各大廠商對該漏洞事件反應(yīng)及時，相關(guān)平臺、軟件提供商都在積極應(yīng)對該漏洞，部分廠商已經(jīng)提供了解決方案。Intel建議關(guān)注后續(xù)的芯片組更新、主板BIOS更新；針對Meltdown漏洞，Linux已經(jīng)發(fā)布了KAISER；macOS從10.13.2予以了修復(fù)；谷歌稱已經(jīng)修復(fù)；Win10 Insider去年底修復(fù)；Win10秋季創(chuàng)意者更新今晨發(fā)布了KB4056892，將強制自動安裝；亞馬遜隨后也公布了指導(dǎo)方案；對于難度更高的Spectre漏洞，各廠商目前也仍在攻堅中。

補丁致性能損耗不可盡信！打補丁仍是防護首要一步

目前，雖然部分軟件及系統(tǒng)已有補丁，但由于網(wǎng)上流傳著“補丁將導(dǎo)致CPU性能損耗30%”的說法，不少網(wǎng)民深表擔憂。

對此，鄭文彬表示，這種說法比較片面，30%的性能損失是在比較極端的專門測試情況下出現(xiàn)的，通常的用戶使用情況下，尤其在用戶的電腦硬件較新的情況下（例如絕大部分在售的Mac電腦和筆記本），這些補丁的性能損失對用戶來說是幾乎可以忽略不計

此外，目前的補丁還只是第一步的動作，接下來包括微軟、Intel在內(nèi)的廠商還會進一步推出針對性的補丁，進一步降低補丁對性能的損耗。同時，對于廣大使用32位X86操作系統(tǒng)的用戶，目前的補丁對性能的損失幾乎可以忽略不計。

因此，打補丁仍是防護CPU漏洞攻擊最重要一步。目前，網(wǎng)民可以通過以下安全策略進行防護：

• 升級最新的操作系統(tǒng)和虛擬化軟件補?。耗壳拔④?、Linux、MacOSX、XEN等都推出了對應(yīng)的系統(tǒng)補丁，升級后可以阻止這些漏洞被利用；

• 升級最新的瀏覽器補丁：目前微軟IE、Edge和Firefox都推出了瀏覽器補丁，升級后可以阻止這些漏洞被利用；

• 等待或要求你的云服務(wù)商及時更新虛擬化系統(tǒng)補??；

• 安裝安全軟件：360安全衛(wèi)士會在第一時間發(fā)現(xiàn)可能的利用這些漏洞的攻擊程序并進行殺除及防護。此外，360安全團隊還會對該漏洞保持研究，并實時為網(wǎng)民更新推送完整的解決方案。

雷峰網(wǎng)原創(chuàng)文章，未經(jīng)授權(quán)禁止轉(zhuǎn)載。詳情見轉(zhuǎn)載須知。