过去 20 年的电脑都可能变慢 30%，这到底是怎么一回事？

不久前，苹果才因 iPhone 「降速门」身陷囹圄，这两天，英特尔又惹上了大麻烦。

近日，Google 安全团队 Project Zero 公布了多个高危漏洞，称这些漏洞几乎影响到了市面上所有的微处理器，由于漏洞与硬件相关，因此不同的操作系统都要从内核层面对该漏洞进行修复，最高可能会使处理器的性能降低 30%。

（图片来源： Reuters ）

惊天漏洞是怎么一回事？

为了确保计算机的安全，在操作系统中，不同的程序有着不同的安全权限。其中，内核是最基本的程序，为系统提供一些必要的基础功能。因此，在 Linux、Windows 等操作系统中，内核会常驻系统内存，并拥有最高级别的权限。

（图片来源： Ars Technica ）

最近曝光的多个漏洞，就跟内核息息相关。这些漏洞最早可以追溯到 1995 年。 Project Zero 的研究员 Jann Horn 称 ：

恶意程序可以通过这些漏洞来访问本应无法访问系统内存，从而窃取存储在系统中的敏感信息。测试表明，通过该漏洞可以让虚拟主机访问物理主机的内存，甚至还能访问其他虚拟主机的内存。

这些高危漏洞被归为两类，分别命名为「Meltdown」（熔毁）和「Spectre」（幽灵）。Meltdown 能够打破应用程序与操作系统之间的基本隔阂，让恶意程序能够访问系统内存；而 Spectre 则可以通过欺骗其他应用程序来访问系统内存的任意位置。Spectre 相比 Meltdown 更复杂、更难运用，但也更不好被解决。

（图片来源： Meltdown Attack ）

这些漏洞会产生什么影响？

目前，Meltdown 只在英特尔处理器中得到验证，而 Spectre 由于涉及微处理器的一项常用技术，因此波及范围更广。 Project Zero 的测试结果表明 ，无论是 AMD、ARM 还是英特尔的处理器都难以幸免，围绕这些处理器打造的操作系统和硬件设备也会受到影响。

换言之，近二十年来，常见的电脑、云服务器、智能手机都有可能被利用，无论是 Windows 还是 macOS 又或者是 Linux 系统。

（图片来源： IT Pro ）

红帽操作系统平台副总裁 Denise Dumas 表示 ：

简而言之，这些漏洞可能会使恶意行为者从任何计算机，移动设备或云部署中窃取敏感信息。

要解决这些漏洞，目前的办法是操作系统厂商更新安全补丁，将内核常驻的系统内存与普通进程完全分开，但这将导致处理器的性能降低 5% 到 30%。

Linux 内核开发人员 Dave Hansen 称 ，Linux 内核中进行的修补将会影响所有的操作系统工作，大部分软件运行将会出现「一位数下滑」（10% 以下），典型的性能下降幅度为 5%； 英国媒体 The Register 则认为 ，目前的修复方式会让处理器性能降低 5% 到 30%。

厂商们是怎么回应的？

漏洞曝光之后，各大处理器厂商都已先后作出回应。

AMD 表示 ，由于其处理器架构与英特尔有所不同，因此受到这些漏洞的影响几乎为零。

不过，英特尔的说法和 AMD 则有所出入。 英特尔认为 ，根据迄今的分析，许多类型的计算设备（有来自许多不同供应商的处理器和操作系统）都会容易受到类似攻击。 但这些攻击没有可能损坏、修改或删除数据，也不会对一般用户的计算机性能造成显著影响。

同时，英特尔还表示，已经与AMD、ARM、苹果、微软等技术公司密切合作，以制定用于全行业的方法，迅速、有建设性地解决这一问题。

（图片来源： Fortune ）

ARM 则发表声明称 ，确实有部分 Cortex-A 处理器受到影响，Cortex-A 广泛用于手机 SoC 平台，高通、三星、联发科都采用了相关的技术。ARM 的公关总监称，ARM 一直在与英特尔和 AMD 合作，以寻求解决办法。

普通消费者们该怎么办？

目前，并没有黑客利用该漏洞进行攻击的案例出现，而不少厂商都已这些漏洞提出了解决方案：

• Linux 发布了 KAISER 补丁
• 苹果则是在 macOS 10.3.2 中修复了该漏洞
• Google 号称最新版本的 Android 系统不受影响
• 微软 Windows 10 也紧急发布了更新补丁 KB4056892，将强制安装
• 亚马逊 AWS 也发布了解决问题的指导方法

因此，只要将你的电脑或手机更新到最新系统，就可以规避这一漏洞。虽然对计算机性能多少都会受到一些影响，但由于个人计算机的负载并不高，因此也不需要太过担心因为打了补丁，就导致电脑「吃不了鸡」。

（图片来源： The Verge ）

实际上，对于大量采用英特尔处理器、Linux 系统作为服务器的云计算厂商来说，Meltdown 和 Spectre 对性能的拖累才是让人头疼的问题——不打补丁的话，数据安全得不到保障；而打了补丁之后，对性能的拖累又会对云计算业务造成不小的影响。

在更好的解决方案出来之前，云计算厂商们似乎也是毫无办法。

题图来源： Huff Post