Meltdown 和 Spectre 漏洞几乎影响到每一台计算机。以下是您需要了解的信息。

我们直截了当地告诉你：关于 Meltdown 和 Spectre 这两个新的计算机漏洞，有好消息也有坏消息。坏消息是这些漏洞非常严重、复杂，对整个行业都有广泛影响；好消息是，作为一名典型的智能手机和计算机用户，你唯一需要做的就是确保设备上运行的软件是最新的。

这些漏洞让安全专家感到担忧，因为它们的根源在于驱动设备的处理器的设计。与某些与特定操作系统（如旧版 Windows）相关的安全问题不同，这些漏洞并非如此。它还影响亚马逊和谷歌等大公司运行的服务器，这些服务器需要处理器才能运行。

“CPU 中存在根本性漏洞可能是你能想象到的最可怕的事情之一，因为它会让许多系统变得如此脆弱，”Shape Security 首席技术官、谷歌前产品经理 Shuman Ghosemajumder 表示，他专注于点击欺诈。“从某种程度上来说，我们之前从未遇到过类似的事情，这几乎令人惊讶——但这些特定的漏洞实际上在 CPU 中存在了很多年。”

那么它们是什么？

要了解这些安全漏洞的根源，了解芯片使用的推测执行过程会有所帮助。推测执行通常是一件好事——它可以帮助处理器高效运行。简单来说，处理器在计算时会猜测接下来会发生什么，并提前做一些工作以取得进展，很有可能它是正确的，而且这些工作会派上用场。可以把它想象成在空闲时间做一些你非常确定以后需要做的事情，比如准备老板每周三要求的报告。

Ghosemajumder 表示：“推测执行的想法本身并没有什么错误或不安全之处，关键在于实施方式。”

Spectre 和 Meltdown 都利用推测执行来做一些不该做的事情，并且都会影响英特尔、AMD 和 ARM 等公司的芯片；Spectre 被认为是更广泛的威胁。总的来说，这其实是三个漏洞，因为“Spectre”一词涵盖了两种不同类型的攻击。

那么黑客如何利用它们呢？

计算机安全公司 SentinelOne 的首席执行官托默·温加滕 (Tomer Weingarten) 解释说，Spectre 涉及一个程序（如网络浏览器）受到攻击，然后被用来查看另一个程序（如 Microsoft Word）的情况。Meltdown 是一种漏洞，攻击者可以利用该漏洞访问他们本不应该访问的计算机内存的一部分。温加滕说，攻击者实际上可能更容易利用 Spectre。

他说：“这可能是我们这段时间见过的最严重的漏洞。”

那我该怎么办？

您能做的最重要的事情就是保持手机或电脑上的软件更新，并采取标准的、常识性的安全措施，例如警惕通过电子邮件发起的网络钓鱼攻击。

各大公司已推出软件更新来防御这些漏洞。苹果在这篇文章中解释了其为 iOS 设备和 Mac 发布的软件如何抵御 Meltdown 和 Spectre；谷歌在此总结了其服务的状态，包括 Android 和 Chrome 浏览器（将于 1 月 23 日进行重要更新）；这家搜索巨头还解释了他们为保护 Google Cloud 所采取的措施。微软在此列出了 Windows 客户应该采取的措施——他们在保护一些使用较旧 AMD 处理器的机器时遇到了问题。

Ghosemajumder 表示：“每个人都在迅速采取行动，尽可能有效地修复这个问题。”对于 Chrome，一个值得考虑启用的高级功能是“站点隔离”功能。

尽管有人担心这些更新会不同程度地降低处理器速度，但最终安装补丁对你来说才是最好的选择。正如 Ghosemajumder 警告的那样，全球最容易受到攻击的机器是那些“落后”的机器，因为人们无法或不会更新软件，因此这些漏洞可能会被用来攻击全球的这些设备。

他说：“Spectre 和 Meltdown 漏洞将成为所有攻击者的标准工具包的一部分。”