自英特尔等厂商的芯片被曝光存在高危漏洞，安全狗第一时间关注了事件进展并出具了多份分析报告。根据最新的研究分析，我们总结出了一些关于如何应对此次漏洞若干建议，作为对此前若干报告的补充（详细内容可以从我们的微信公众号“安全狗”进入历史消息查阅）。

这篇报告主要关注Intel CPU Meltdown和Spectre在不同场景下的攻击以及缓解措施，包括VMM和浏览器等场景——这些内容对AMD/ARM的攻防也有重要的借鉴价值。这些漏洞虽然影响广泛，但利用复杂，限制也很大，希望这份报告能够缓解用户一些不必要的恐慌情绪；而考虑到任何防御措施都需要付出一定的成本，我们将结合具体的情况根据不同的场景向用户提供适当的措施和建议，请用户根据自身情况选择合适的应对方式。

Meltdown和Spectre具体有三个变种：

·变种1 (V1) Spectre: 绕过边界检查 (CVE-2017-5753)

·变种2 (V2) Spectre: 分支预测注入 (CVE-2017-5715)

·变种3 (V3) Meltdown: 乱序执行的CPU缓存污染 (CVE-2017-5754)

由于攻击的影响涉及了大量的云平台和操作系统，我们就不单独罗列具体版本，而是针对最典型的场景来描述如何防御这些攻击。

对虚拟机管理器 VMM 的攻击（A1）

攻击者在 VMM 管理的一个 VM 里 面，该攻击者完全的控制这个 VM，比如拥有这个VM kernel级别的权限，可以直接与VMM进行交互。

攻击者通过利用这些漏洞，可以获取VMM的敏感数据，或者获取同一物理主机下的其他VM内的数据。

对操作系统内核和其他用户数据的攻击（A2）

攻击者是用户空间的一个应用程序，拥有任意的代码执行能力。攻击者通过利用这些漏洞，可以获取内核内的敏感数据，包括内核缓冲区的文件或者网络数据，以及同一操作系统下的其他进程的数据。

浏览器对操作系统内核的攻击（A2w）

攻击者只能通过网站页面影响浏览器发起攻击，可以通过javascript，或者web assembly等机制。

我们针对各个厂商发布的内核更新补丁进行了前后对比POC验证测试，以及实体机与虚拟机之间对比POC验证测试。

1、实体机Centos7 内核更新前后对比

经过对比，变种1 (V1) Spectre: 绕过边界检查 (CVE-2017-5753)并未得到修复。

2、虚拟机Centos7 内核更新前后对比

对比结果表明，不存在虚拟机影响POC验证效果。Centos7内核版本3.10.0-693.11.6只修复了CVE-2017-5754、CVE-2017-5715，并没有修复CVE-2017-5753

3、Debian内核更新前后对比

如官方所述，只修复了CVE-2017-5754。

这是Debian官网的漏洞修复记录

通过上面对两家Linux厂商的内核更新对比，可以发现针对Spectre修复存在较大的难度，漏洞曝光已经将近一周，但各大厂商针对变种1却迟迟修复不了，并且在内核更新完毕之后仍存在轻微卡顿现象。

4、Windows平台漏洞补丁修复情况

针对上面的攻击场景，我们对现有的防护手段进行了一些总结。其中在云平台上面，升级CPU微码需要VMM的协助，用户在自己的VM里面无法完成，除非VMM特别开放了这个功能。

任何防护措施都不是无成本的，防护方可以根据自己的场景来选择必要的防护措施。

1、公有云VMM的运营者

公有云VMM的运营者应该保障VMM不受恶意攻击，即A1层面的防护是必须要做到的，特别是V2攻击。使用Xen的厂商也要关注V3攻击的防御。

2、云上租户

租户可以根据自己的需求进行防护。如果云上租户在同一个VM内部没有数据敏感级别区隔，而且对性能要求较高，那么可以继续使用原始内核。（主要是目前更新补丁后可能会造成CPU性能明显下降，如果不能接受该方案则只能加强自身的防护：①升级云主机上的浏览器到最新版本，②不要使用云主机上的浏览器访问不明站点。）

如果云上租户在同一个VM内部有多级数据敏感区隔，而且可执行代码不固定，并能接受额外的性能损耗，那么推荐使用打了安全补丁的内核。

3、普通PC用户

对普通PC用户而言，最大的威胁来自于浏览器访问恶意网址以及感染上恶意代码。这些防护与传统PC安全没有太大的区别，及时升级即可。