我应该等到幽灵和熔毁在硬件上修复吗？

Question

我有一个笔记本电脑，需要更换，因为年龄。

我将使用这台笔记本电脑，包括Office应用程序，开发，运行VM和网页浏览。我将使用Qubes/Xen、KVM或Virtualbox进行分离。注意:笔记本电脑不会在裸金属上运行Windows (可能以VM的形式运行)，它将运行Linux或Xen/Qubes。

我应该等到“幽灵”和“熔毁”在硬件中被修复吗?还是现在的处理器可以通过软件更新(用于浏览器和可视化)和微码更新来修复？

此外，请随时推测(没有双关有意)，当笔记本电脑处理器，与幽灵和熔毁修复，预计将发布。

*CVEs。

Answer 1

我个人认为，如果你需要更换的话，买下新的笔记本电脑。我看到多个供应商在各自的层上提供保护。提供BIOS / UEFI层的原始设备制造商。微软/其他操作系统层(https://support.microsoft.com/en-in/help/4073757/protect-your-windows-devices-against-spectre-meltdown)甚至谷歌Chrome等浏览器也开始提供保护机制。(https://threatpost.com/google-patches-34-browser-bugs-in-chrome-67-adds-spectre-fixes/132370/)

总之，虽然该漏洞本身无法在软件/驱动程序/固件级别上得到完全补救(虽然理论上英特尔可以在固件中解决这个问题，但我们都必须承受最新~30%>带来的性能冲击)。组合补丁会使攻击变得困难，除非您是非常强大和坚定的攻击者的目标。

真正的修复是在硬件级别，而英特尔并没有给出任何更新何时计划这样做。虽然我发现

然而，有一种可能性，那就是它根本不会是Skylake-X，而是级联湖-X。级联湖是对Skylake-SP/X平台的一个增量修订:它增加了一些额外的AVX512指令，它应该包括对扩展频谱和熔毁攻击的硬件修复，并且应该支持更快的内存。

https://arstechnica.com/gadgets/2018/06/intel-is-launching-a-28-core-enthusiast-chip-but-probably-not-at-5ghz/

享受新的笔记本电脑吧。:)

Answer 2

你应该修补操作系统和虚拟机监控程序。

修补程序应在可用时立即部署。

如果您使用os补丁，这意味着操作系统将减轻攻击矢量。

它不会修复它，因为根据您的特权，您仍然可以使用该漏洞。

对于减少的特权用户，您将使它更难实现同样的结果。

bios /固件更新将是可以修复的，因为它们将阻止/删除atack矢量和易受攻击的指令。

对于崩溃，已经有了POC，它显示了如何获得凭据和提升特权，使用os修补程序，这将是100%固定的。