当前的CPU存在设计缺陷。幽灵暴露了他们，但像预示和现在僵尸负载攻击利用类似的弱点。这些“投机性执行”缺陷只有通过购买一个内置保护的新CPU才能真正修复。

补丁程序通常会减慢现有CPU的速度

业界一直在疯狂地修补“侧通道攻击”，如幽灵和预兆，欺骗CPU透露信息，它不应该。保护当前的CPU已通过微码更新，操作系统级修复，并修补程序，如网络浏览器。

幽灵修复已经减缓了电脑与旧的CPU，虽然微软即将加快他们回来。修补这些错误通常会降低现有CPU的性能。

现在，ZombieLoad带来了一个新的威胁：要完全锁定并保护系统免受攻击，必须禁用英特尔的超线程。这就是为什么谷歌刚刚在英特尔Chromebooks上禁用了超读功能。和往常一样，CPU微码更新、浏览器更新和操作系统补丁都在试图堵住漏洞。一旦这些补丁安装到位，大多数人不需要禁用超线程。

新的英特尔CPU不易受到僵尸负载的攻击

但是僵尸负载对于采用新英特尔CPU的系统来说并不是一个危险。正如英特尔所言，“僵尸负载”是在硬件上解决的，从第8代和第9代英特尔核心开始™ 处理器，以及第二代Intel®Xeon®可扩展处理器系列。“具有这些现代CPU的系统不易受到这种新攻击。

僵尸负载只影响英特尔系统，但幽灵也影响AMD和一些ARM CPU。这是一个全行业的问题。

CPU存在设计缺陷，导致攻击

当幽灵抬起丑陋的头时，业界意识到，现代CPU存在一些设计缺陷：

The problem here is with “speculative execution”. For performance reas***, modern CPUs automatically run instructi*** they think they might need to run and, if they don’t, they can simply rewind and return the system to its previous state…

The core problem with both Meltdown and Spectre lies within the CPU’s cache. An application can attempt to read memory and, if it reads something in the cache, the operation will complete faster. If it tries to read something not in the cache, it will complete slower. The application can see whether or not something completes fast or slow and, while everything else during speculative execution is cleaned up and erased, the time it took to perform the operation can’t be hidden. It can then use this information to build a map of anything in the computer’s memory, one bit at a time. The caching speeds things up, but these attacks take advantage of that optimization and turns it into a security flaw.

换句话说，现代cpu中的性能优化正在被滥用。运行在CPU上的代码，甚至可能只是运行在web浏览器中的JavaScript代码，都可以利用这些缺陷读取正常沙盒之外的内存。在最坏的情况下，一个浏览器选项卡中的网页可以从另一个浏览器选项卡读取您的网上银行密码。

或者，在云服务器上，一个虚拟机可以窥探同一系统上其他虚拟机中的数据。这是不可能的。

相关：熔毁和幽灵的缺陷将如何影响我的电脑？

软件补丁只是绷带

毫不奇怪，为了防止这种侧通道攻击，补丁程序使CPU的性能慢了一点。业界正试图为性能优化层添加额外的检查。

禁用超线程的建议是一个非常典型的例子：通过禁用一个可以让CPU运行更快的特性，你就可以让它更安全。恶意软件不能再利用这一性能特性，但它将不会加快你的电脑了。

多亏了许多聪明人的大量工作，现代系统已经得到了合理的保护，不受幽灵之类的攻击，而且速度也不会太慢。但是像这样的补丁只是绷带：这些安全缺陷需要在CPU硬件级别修复。

硬件级别的修复将在不降低CPU速度的情况下提供更多的保护。组织不必担心他们是否有微码（固件）更新、操作系统补丁和软件版本的正确组合来保证系统的安全。

正如一组安全研究人员在一篇研究论文中所说的，这些“不仅仅是错误，实际上是优化的基础”。CPU设计必须改变。

英特尔和amd正在对新的CPU进行修复

硬件级别的修复不仅仅是理论上的。CPU**商正在努力进行架构上的改变，以在CPU硬件级别解决这个问题。或者，正如英特尔在2018年所言，英特尔正在用第8代CPU“提升硅级安全性”：

We have redesigned parts of the processor to introduce new levels of protection through partitioning that will protect against both [Spectre] Variants 2 and 3. Think of this partitioning as additional “protective walls” between applicati*** and user privilege levels to create an obstacle for bad actors.

英特尔此前宣布，其第9代CPU包括额外的保护，以防止预示和熔毁V3。这些CPU不受最近曝光的僵尸负载攻击的影响，因此这些保护措施一定会有所帮助。

AMD也在努力改变，尽管没有人愿意透露很多细节。2018年，AMD首席执行官Lisa Su表示：“从长远来看，我们已经将未来处理器核心的变化包括在内，从我们的Zen 2设计开始，以进一步解决潜在的幽灵式漏洞。”

对于那些希望在没有任何补丁程序的情况下获得最快性能的人，或者只是一个希望完全确保其服务器得到尽可能多的保护的组织来说，最好的解决方案是购买一个带有这些基于硬件的修复程序的新CPU。硬件级别的改进也有望在被发现之前防止未来的其他攻击。

计划外淘汰

虽然媒体有时会谈论“计划内淘汰”——一家公司的计划是硬件将过时，因此你必须更换它，但这是计划外淘汰。没人料到，出于安全考虑，这么多CPU必须更换。

天没有塌下来。每个人都让攻击者更难利用僵尸负载之类的漏洞。你不必马上跑出去买一个新的CPU。但是一个不影响性能的完整修复需要新的硬件。