“補(bǔ)丁讓CPU性能損耗30%”不靠譜 360提示快補(bǔ)漏洞

　　2018年1月4日，國(guó)外安全研究人員披露了名為"Meltdown"和"Spectre"兩組CPU特性漏洞，該漏洞波及到近20年的Intel, AMD,　Qualcomm廠家和其它ARM的處理器，可導(dǎo)致CPU運(yùn)作機(jī)制上的信息泄露，危害巨大且影響廣泛。

　　目前，各安全廠商、軟件提供商及相關(guān)平臺(tái)正積極應(yīng)對(duì)該系列漏洞。有傳言稱“補(bǔ)丁將導(dǎo)致CPU性能損耗30%”，這一說(shuō)法導(dǎo)致許多用戶對(duì)打補(bǔ)丁非常恐慌。針對(duì)該漏洞及“性能損耗”的說(shuō)法，360安全團(tuán)隊(duì)也第一時(shí)間進(jìn)行技術(shù)分析，并發(fā)布了預(yù)警通告及詳細(xì)解讀。

　　不必太恐慌！CPU漏洞無(wú)法遠(yuǎn)程控制電腦

　　現(xiàn)代處理器(CPU)的運(yùn)作機(jī)制中存在兩個(gè)用于加速執(zhí)行的特性，推測(cè)執(zhí)行(Speculative Execution)和間接分支預(yù)測(cè)(Indirect Branch Prediction)。這兩組CPU漏洞的利用依靠推測(cè)執(zhí)行特性，通過(guò)用戶層面應(yīng)用從CPU 內(nèi)存中讀取核心數(shù)據(jù)。

　　在實(shí)際攻擊場(chǎng)景中，攻擊者在一定條件下可以泄露出本地操作系統(tǒng)中的底層運(yùn)作信息，根據(jù)這些信息繞過(guò)內(nèi)核的隔離防護(hù)，還可以通過(guò)瀏覽器獲取用戶的相關(guān)隱私信息，該系列漏洞主要影響到全部智能終端，風(fēng)險(xiǎn)等級(jí)高，修復(fù)程序復(fù)雜，一經(jīng)披露立刻引發(fā)全球高度重視。

　　盡管此系列漏洞影響廣泛，但是實(shí)際上所造成的危害卻并不嚴(yán)重，目前沒(méi)有已知的利用該漏洞進(jìn)行攻擊的事例，黑客也無(wú)法利用漏洞遠(yuǎn)程控制電腦。360核心安全事業(yè)部總經(jīng)理、Vulcan團(tuán)隊(duì)負(fù)責(zé)人鄭文彬提醒廣大網(wǎng)民，只要保證良好的上網(wǎng)習(xí)慣，及時(shí)更新補(bǔ)丁，同時(shí)開(kāi)啟安全軟件，就能及時(shí)防御利用這些漏洞進(jìn)行的攻擊。

　　CPU打補(bǔ)丁會(huì)損耗30%性能？其實(shí)影響很小

　　目前，部分軟件及系統(tǒng)已更新補(bǔ)丁，但網(wǎng)傳“補(bǔ)丁將導(dǎo)致CPU性能損耗30%”的說(shuō)法，讓網(wǎng)民左右為難，感到擔(dān)憂。針對(duì)性能損耗的說(shuō)法，鄭文彬認(rèn)為，該說(shuō)法具有一定的片面性，只有在極端的、專門(mén)的系統(tǒng)測(cè)試中，才會(huì)出現(xiàn)30%的性能損耗這一結(jié)果，而在一般用戶使用情況下，尤其在用戶的電腦硬件較新的情況下(例如絕大部分在售的Mac電腦和筆記本)，這些補(bǔ)丁的性能損失對(duì)用戶來(lái)說(shuō)是幾乎可以忽略不計(jì)。

　　包括微軟、Intel在內(nèi)的廠商仍在進(jìn)一步研究該漏洞，未來(lái)將推出有針對(duì)性的補(bǔ)丁，降低補(bǔ)丁對(duì)CPU性能的損耗。面對(duì)此次全球范圍內(nèi)爆發(fā)的CPU漏洞，打補(bǔ)丁仍舊是防御漏洞最關(guān)鍵、最有效的方法。

　　360安全專家建議廣大網(wǎng)民，升級(jí)最新的操作系統(tǒng)和虛擬化軟件補(bǔ)丁、瀏覽器補(bǔ)丁，可阻止這些漏洞被利用，另外及時(shí)安裝360安全衛(wèi)士等安全防護(hù)軟件，能夠在在第一時(shí)間發(fā)現(xiàn)可能利用這些漏洞的攻擊程序，并進(jìn)行查殺及防護(hù)。對(duì)于該漏洞及后續(xù)影響，360安全團(tuán)隊(duì)還會(huì)繼續(xù)保持研究，并實(shí)時(shí)為用戶更新推送完整的解決方案。