烽巢網(wǎng)22日新聞，微軟和谷歌聯(lián)合披露了一種新的CPU安全漏洞，與今年早些時候披露的崩潰和幽靈的缺陷類似。被標記為投機性的存儲繞過(變種4)，最新的漏洞是對幽靈的類似利用，利用了現(xiàn)代cpu使用的投機性執(zhí)行。今年早些時候，Safari、Edge和Chrome等瀏覽器都出現(xiàn)了故障，英特爾表示，“這些緩解措施也適用于版本4，可供消費者使用。”

然而，與崩潰(更類似于幽靈)不同的是，這個新的漏洞還將包括對可能影響性能的cpu的固件更新。英特爾已經(jīng)向OEMs提供了beta版的微代碼更新，并希望在未來幾周內(nèi)得到更廣泛的應用。固件更新會將投機商店的旁路保護設(shè)置為默認的，確保大多數(shù)人不會看到負面的性能影響。

英特爾的安全主管Leslie Culbertson解釋說:“如果啟用了，我們已經(jīng)觀察到大約2- 8%的性能影響，這是基于SYSmark 2014 SE和客戶端1和服務器2測試系統(tǒng)等基準的總體評分。”

因此，最終用戶(尤其是系統(tǒng)管理員)必須在安全性或最佳性能之間進行選擇。這個選擇，就像之前的幽靈版本一樣，將會歸結(jié)到單個系統(tǒng)和服務器上，而且這個新變體的風險似乎比今年早些時候發(fā)現(xiàn)的CPU缺陷要小。

微軟開始提供高達25萬美元的漏洞，這些漏洞與3月份的崩潰和幽靈CPU缺陷類似，該公司表示，他們在11月發(fā)現(xiàn)了這個新漏洞。微軟的一名發(fā)言人說:“微軟此前發(fā)現(xiàn)了這一變種，并于2017年11月向業(yè)界合作伙伴披露，作為協(xié)調(diào)漏洞披露(CVD)的一部分。”微軟目前正與英特爾和AMD合作，以確定性能對系統(tǒng)的影響。

微軟發(fā)言人表示:“我們將繼續(xù)與受影響的芯片制造商合作，并已發(fā)布了防御性的深度緩解措施，以解決我們產(chǎn)品和服務中存在的推測性執(zhí)行漏洞。”“我們不知道這個漏洞類會影響Windows或我們的云服務基礎(chǔ)設(shè)施。”我們承諾，只要客戶有時間，我們就會向他們提供進一步的緩解，而我們的低風險問題的標準政策是通過我們周二的更新時間表來提供補救。

英特爾已經(jīng)在為未來準備自己的CPU變化。英特爾正在重新設(shè)計其處理器，以防止類似幽靈或這種新變種的攻擊，公司的下一代Xeon處理器(Cascade Lake)將包括新的內(nèi)置硬件保護，以及2018年下半年交付的第8代英特爾核心處理器。