烽巢網(wǎng)22日新聞，微軟和谷歌聯(lián)合披露了一種新的CPU安全漏洞，與今年早些時(shí)候披露的崩潰和幽靈的缺陷類似。被標(biāo)記為投機(jī)性的存儲(chǔ)繞過(變種4)，最新的漏洞是對(duì)幽靈的類似利用，利用了現(xiàn)代cpu使用的投機(jī)性執(zhí)行。今年早些時(shí)候，Safari、Edge和Chrome等瀏覽器都出現(xiàn)了故障，英特爾表示，“這些緩解措施也適用于版本4，可供消費(fèi)者使用?！?/p>

然而，與崩潰(更類似于幽靈)不同的是，這個(gè)新的漏洞還將包括對(duì)可能影響性能的cpu的固件更新。英特爾已經(jīng)向OEMs提供了beta版的微代碼更新，并希望在未來(lái)幾周內(nèi)得到更廣泛的應(yīng)用。固件更新會(huì)將投機(jī)商店的旁路保護(hù)設(shè)置為默認(rèn)的，確保大多數(shù)人不會(huì)看到負(fù)面的性能影響。

英特爾的安全主管Leslie Culbertson解釋說:“如果啟用了，我們已經(jīng)觀察到大約2- 8%的性能影響，這是基于SYSmark 2014 SE和客戶端1和服務(wù)器2測(cè)試系統(tǒng)等基準(zhǔn)的總體評(píng)分?！?/p>

因此，最終用戶(尤其是系統(tǒng)管理員)必須在安全性或最佳性能之間進(jìn)行選擇。這個(gè)選擇，就像之前的幽靈版本一樣，將會(huì)歸結(jié)到單個(gè)系統(tǒng)和服務(wù)器上，而且這個(gè)新變體的風(fēng)險(xiǎn)似乎比今年早些時(shí)候發(fā)現(xiàn)的CPU缺陷要小。

微軟開始提供高達(dá)25萬(wàn)美元的漏洞，這些漏洞與3月份的崩潰和幽靈CPU缺陷類似，該公司表示，他們?cè)?1月發(fā)現(xiàn)了這個(gè)新漏洞。微軟的一名發(fā)言人說:“微軟此前發(fā)現(xiàn)了這一變種，并于2017年11月向業(yè)界合作伙伴披露，作為協(xié)調(diào)漏洞披露(CVD)的一部分?！?a target="_blank" href="http://www.comcomcom.net/archives/tag/%e5%be%ae%e8%bd%af" title="View all posts in 微軟">微軟目前正與英特爾和AMD合作，以確定性能對(duì)系統(tǒng)的影響。

微軟發(fā)言人表示:“我們將繼續(xù)與受影響的芯片制造商合作，并已發(fā)布了防御性的深度緩解措施，以解決我們產(chǎn)品和服務(wù)中存在的推測(cè)性執(zhí)行漏洞?！薄拔覀儾恢肋@個(gè)漏洞類會(huì)影響Windows或我們的云服務(wù)基礎(chǔ)設(shè)施?！蔽覀兂兄Z，只要客戶有時(shí)間，我們就會(huì)向他們提供進(jìn)一步的緩解，而我們的低風(fēng)險(xiǎn)問題的標(biāo)準(zhǔn)政策是通過我們周二的更新時(shí)間表來(lái)提供補(bǔ)救。

英特爾已經(jīng)在為未來(lái)準(zhǔn)備自己的CPU變化。英特爾正在重新設(shè)計(jì)其處理器，以防止類似幽靈或這種新變種的攻擊，公司的下一代Xeon處理器(Cascade Lake)將包括新的內(nèi)置硬件保護(hù)，以及2018年下半年交付的第8代英特爾核心處理器。