请即刻修复meltdown漏洞，同时无需为meltdown和spectre感到过度恐慌

近日曝出的针对PC和移动端设备（智能手机和平板电脑）的两大硬件安全漏洞Meltdown和Spectre将危及全球数十亿设备，似乎让世界又一次因为安全漏洞而陷入恐慌之中。

Meltdown和Spectre是什么样的安全漏洞？

与往常所熟知的操作系统层面的漏洞不一样，这次的漏洞是硬件层面的，源自CPU内存漏洞问题，Meltdown主要针对PC端，而Spectre主要针对移动端设备。

根源

当处于工作状态时，电脑需要流转海量的数据来响应各种事件如鼠标点击、按键、执行各种命令等，而负责处理数据协调工作的即是操作系统的核心部分，内核（kernel）。内核将数据在芯片上的各种内存单元之间不断移动，并确保你要的数据存储在最快的内存单元中以保证电脑处于最佳性能状态。这个地方就是CPU缓存，也即是此次所发现的漏洞所攻击的地方。

Meltdown

Meltdown漏洞是Intel芯片专有的，它通过攻破用户程序和操作系统之间的隔离防护，让普通程序访问到内存上的核心信息，以此来获取用户机密信息。

Spectre

Spectre通过利用处理器的预测执行(speculative execution)特性，提前准备了一组命令结果放在处理器的高速缓存中（CPU缓存）来骗取CPU执行不该执行的操作，获取不该获取的机密信息。

这两个漏洞这次为什么会产生如此大规模的影响？

由于几乎所有现代CPU均使用了推测执行(speculativeexecution)特性，包括Intel、AMD、ARM等，加之Intel的Meltdown漏洞，所以，从PC到智能手机或平板电脑都无一幸免。且影响范围将涉及过去20年所制造的所有设备。

黑客是如何利用这两个漏洞攻击我们的电脑或手机的？

黑客首先需要能将恶意代码植入我们的设备中，以利用Meltdown或者Spectre漏洞进行攻击。要做到这点，可通过好几种方式，甚至通过在浏览器中运行JavaScript代码就可以访问到内存信息。而这些内容可能包含密钥、密码和其它有用的信息。

这两个漏洞会对我们的电脑或手机产生什么威胁？

1）漏洞攻击相对复杂

Meltdown和Spectre漏洞主要被用来获取CPU内存中的数据，但都只能获得片断式的数据，而这些数据片断需要被拼凑在一起后才可能会是想要获取的密码或其它关键信息。

而这也意味着，利用Meltdown或Spectre漏洞的攻击者仅限于那些准备策划和执行较复杂攻击的黑客，而非每天常见的网络黑客。

2）无法删除、篡改或破坏数据

根据Intel在一份对Meltdown和Spectre作出回应的声明中指出，

“这些漏洞不具有破坏、修改或删除数据的潜力”

同时，该声明还指出

“lntel相信其产品是世界上最安全的产品，通过与合作商的合作，目前的解决方案对顾客能提供最好的安全保障”。

如何做好防护措施？

1）更新最新版浏览器

由于仍然可能存在一些未知性，目前保护Windows PC会有些复杂。微软、Google和Mozilla都已针对其浏览器发布了一些补丁做为第一道防护措施。用户目前可下载或更新最新版Firefox和IE（Windows 10）。Google的Chrome浏览器将在稍晚些时候发布修复版。但苹果公司目前还没有明确计划如何修复Safari浏览器 。

2）建议在浏览器端禁止广告和一些不受信任的浏览器脚本

3）Windows系统修复补丁

如果你使用的是Windows的PC或笔记本电脑，目前最需要做的就是确保你已更新最新的Windows 10修复补丁（微软已经发布了紧急安全修复补丁，用户可以通过WindowsUpdate来安装补丁），同时更新BIOS修复补丁（ 可能来自Dell、HP、Lenovo或其它厂商）。

请按照以下步骤做一个快速的修复处理：

· 更新最新版Firefox 57，IE和Chrome 64（1月23号）

· 查检Window Update，并确保已为Window 10安装了KB4056892

Windows 7 和8的修复补丁会在几天后发布

· 检查你的PC的OEM的网站以获得最新信息的固件更新

· 对于苹果的macOS，10.13.2版本已经包含补丁，旧版本的操作系统需要进行更新

目前以上这些修复只针对Meltdown漏洞，Spectre还是未知数，其漏洞修复远复杂于Meltdown漏洞。甚至可能需要重新设计处理器和做一些硬件改进。所以，我们有可能要活在Spectre漏洞攻击的威胁下好长一段时间，基于数年之久。

如果安装修复包， 我的电脑的性能是否会受到影响？

修复Meltdown漏洞的补丁涉及到让处理器不断地访问内存信息，这将导致处理器工作得更繁忙，从而有可能使得其性能降低最高达30%之多。但只有那些更多依赖内核的程序会受到比较大的影响，例如执行数据库操作任务的程序。

所以，其实对于绝大多数用户来说，这部分的性能丢失，实际上并不会对你造成很大的影响。

我们需要过度担心Meltdown和Spectre吗？

信息安全专家Lesley发围博安定民心：

“我再说一遍，是的，它们是很坏，但请不要对Meltdown和Spectre感到慌张，或散播恐慌情绪。我们甚至都还没搞清楚它到底会产生多大的影响。我可以告诉你，我们还会遇到世界末日级的漏洞。别搞得大家人心惶惶的。“

目前， 也尚未有任何有关因这两个漏洞而导致的被攻击或信息泄漏问题。