2017年12月底，整个科技界都在讨论新一代处理器存在着潜在灾难性缺陷。2018年1月3日，被命名为“熔断（Meltdown）”（CVE-2017-5754）和“幽灵（Spectre）”（CVE-2017-5753和CVE-2017-5717）的漏洞终于被公开披露。这两个漏洞存在于所有现代处理器芯片之中，允许攻击者找到存储于内存中的密码或敏感文件、窃取其敏感数据。自1995年以来，这些漏洞即存在于依赖硬件的个人电脑、移动设备和云基础设施之中。 

　　“幽灵”的名字来源于其预测执行的能力，即令计算机系统执行一项本不需要的任务。即使程序已采用最万无一失的安全措施，“幽灵”也能允许攻击者欺骗程序、泄露其机密信息。由于该漏洞可以融化通常由硬件强制执行的安全边界，因而被称为“熔断”。它能够破坏用户应用程序和操作系统之间的隔离状态，允许程序不当地访问内存、获取其机密信息。 

　　这两个漏洞对英特尔和ARM处理器造成了影响。1月3日，美国AMD半导体公司发布声明称，他们的产品和用户“几乎没有风险”。而发现“幽灵”的研究人员说，他们证实“幽灵”至少存在于某些AMD芯片中。 

　　大多数用户可通过及时定期地为操作系统安装安全补丁来应对这两个漏洞。1月8日，苹果发布了一系列新安全补丁，以解决iOS和MacOS操作系统的漏洞。此前，云计算巨头谷歌、亚马逊和微软纷纷采取措施，以保护用户免受攻击、减少性能损失，减轻对客户的影响。 

　　目前，由于日志文件中没有任何痕迹，暂不清楚这些漏洞是否已被黑客利用过，也暂无法估测两个漏洞具体造成了多大影响。 

   编译自 

　　https://www.cyberscoop.com/meltdown-spectre-chip-flaws-intel-google-project-zero/