处理器漏洞 Meltdown 和 Spectre

Google Project Zero 和奥地利格拉茨技术大学等机构的研究人员正式披露了三个处理器高危漏洞，分别编号为 CVE-2017-5753（Variant 1）、CVE-2017-5715（Variant 2）和 CVE-2017-5754（Variant 3），前两个漏洞被称为 Spectre，后一个漏洞被称为 Meltdown，Spectre Variant 1 影响 AMD，英特尔和 ARM 处理器，而所有三个漏洞都影响英特尔处理器，研究人员已经开发出了概念验证的漏洞利用。AMD 和 ARM 已经发表声明称漏洞可以通过软件修正，对性能影响不大。而英特尔处理器的软件修正则被认为存在显著的性能影响。Meltdown 破坏了用户应用程序和操作系统直接的最基本隔离，允许一个程序访问内存，获取其它应用程序和操作系统的秘密(如图)；Spectre 破坏了不同应用程序之间的隔离，允许攻击者诱骗没有错误的程序泄漏秘密。