计算机处理器有一个巨大的设计缺陷，每个人都在争相修复它。只有两个安全漏洞中的一个可以修补，而这些补丁将使使用英特尔芯片的PC（和Mac）速度减慢。

更新：本文的早期版本指出此缺陷是英特尔芯片特有的，但这并不是全部。事实上，这里有两个主要的漏洞，现在被称为“熔毁”和“幽灵”。熔毁在很大程度上是由英特尔处理器造成的，并影响到过去几十年的所有CPU型号。我们在下面的文章中添加了关于这两个bug的更多信息，以及它们之间的区别。

什么是熔毁与幽灵(meltdown and spectre)？

幽灵是市场上每一台CPU都存在的“基本设计缺陷”，包括AMD、ARM以及英特尔的CPU。目前还没有软件修复，而且可能需要对CPU进行全面的硬件重新设计，不过谢天谢地，这是相当困难的开发，根据安全研究人员。可以防止特定的幽灵攻击，开发人员正在进行这项工作，但最好的解决方案是对未来所有芯片进行CPU硬件重新设计。

熔毁基本上使幽灵更糟，使核心的潜在缺陷更容易利用。这本质上是一个额外的缺陷，影响所有英特尔处理器在过去几十年。它也影响到一些高端armcortex-A处理器，但并不影响AMD芯片。如今，操作系统的崩溃正在得到修补。

但是这些缺陷是如何工作的呢？

相关：什么是Linux内核，它做什么？

计算机上运行的程序具有不同级别的安全权限。例如，操作系统内核Windows内核或Linux内核具有最高级别的权限，因为它运行show。桌面程序的权限较少，内核限制了它们的功能。内核使用处理器的硬件特性来帮助执行这些限制，因为使用硬件比使用软件更快。

这里的问题是“投机执行”。出于性能原因，现代cpu会自动运行它们认为可能需要运行的指令，如果不需要，它们可以简单地倒带并将系统返回到以前的状态。但是，Intel和某些ARM处理器中的一个缺陷允许进程运行它们通常无法运行的操作，因为该操作是在处理器费心检查是否应有权限运行它之前执行的。这就是崩溃的错误。

熔毁和幽灵的核心问题都在CPU的缓存中。应用程序可以尝试读取内存，如果它读取缓存中的某些内容，操作将更快完成。如果它尝试读取不在缓存中的内容，则完成速度会减慢。应用程序可以看到某个操作是快速完成还是缓慢完成，并且在推测性执行过程中，其他所有操作都被清除和擦除，执行该操作所花费的时间不能被隐藏。然后，它可以利用这些信息来构建计算机内存中任何东西的地图，一次一位。缓存加快了速度，但这些攻击利用了这种优化，并将其转化为安全缺陷。

相关报道：微软Azure到底是什么？

因此，在最坏的情况下，运行在web浏览器中的JavaScript代码可以有效地读取它不应该访问的内存，例如保存在其他应用程序中的私有信息。像microsoftazure或amazonwebservices这样的云服务提供商，在同一硬件上的不同虚拟机上托管多个不同公司的软件，风险尤其大。理论上，一个人的软件可以监视另一家公司虚拟机中的东西。这是应用程序之间分离的崩溃。熔毁补丁意味着这次攻击不会那么容易成功。不幸的是，将这些额外的检查放在适当的位置意味着在受影响的硬件上某些操作会比较慢。

开发人员正在开发使幽灵攻击更难执行的软件补丁。例如，谷歌Chrome的新站点隔离功能有助于防范这种情况，而Mozilla已经对Firefox进行了一些快速更改。微软也做了一些改变，以帮助保护边缘和Internet Explorer在Windows更新，现在可用。

如果你对熔毁和幽灵的深层次细节感兴趣，请阅读谷歌零计划团队的技术解释，他们去年发现了这些漏洞。有关更多信息，请访问熔毁攻击.com网站。

我的电脑会慢多少？

更新：1月9日，微软发布了一些补丁性能信息。微软称，2016年时代的PC上，Windows 10的Skylake、Kablake或更新的英特尔处理器显示“单位数慢”是大多数用户不应该注意的。2015年时代的Windows 10 PC（带有Haswell或较旧CPU）可能会出现更大的慢化，微软“预计一些用户会注意到系统性能的下降”。

windows7和windows8的用户就没那么幸运了。微软表示，他们“预计大多数用户在使用哈斯韦尔（Haswell）或更旧CPU的2015年时代PC上使用windows7或windows8时，会注意到系统性能的下降”。不仅Windows7和Windows8使用的旧CPU不能高效运行修补程序，而且“Windows7和Windows8有更多的用户内核转换，因为传统的设计决策，例如所有字体呈现都发生在内核中”，这也会减慢速度。

微软计划在未来执行自己的基准测试并发布更多细节，但我们还不知道Meltdown的修补程序究竟会对日常PC使用产生多大影响。在英特尔工作的Linux内核开发人员Dave Hansen最初写道，Linux内核中所做的更改将影响一切。据他说，大多数工作负荷都出现了个位数的下降，通常下降5%左右。不过，最坏的情况是网络测试的速度降低了30%，因此任务之间的速度会有所不同。不过，这些都是Linux的数字，因此它们不一定适用于Windows。修复程序会降低系统调用的速度，因此包含大量系统调用的任务（例如编译软件和运行虚拟机）可能会最慢。但是每个软件都会用到一些系统调用。

更新：截至1月5日，TechSpot和Guru3D已经为Windows执行了一些基准测试。这两个网站都得出结论，桌面用户没有太多的担心。一些PC游戏看到补丁的速度有2%的小减速，这在错误的范围内，而其他的则表现得一样。3D渲染、生产力软件、文件压缩工具和加密实用程序似乎不受影响。然而，文件读写基准确实显示出明显的差异。在Techspot的基准测试中，快速读取大量小文件的速度下降了23%，Guru3D发现了类似的内容。另一方面，Tom的硬件发现，消费者应用程序存储测试的性能平均下降了3.21%，并认为显示速度显著下降的“综合基准”并不代表实际使用情况。

采用英特尔Haswell处理器或更新处理器的计算机具有PCID（进程上下文标识符）功能，这将有助于修补程序的良好运行。使用老式英特尔CPU的计算机速度可能会有较大的下降。上述基准测试是在具有PCID的现代Intel cpu上执行的，因此不清楚较旧的Intel cpu的性能如何。

英特尔表示，对于普通电脑用户来说，经济放缓“不应该太严重”，到目前为止，这看起来是真的，但某些业务确实出现了放缓。对于云计算，Google、Amazon和Microsoft基本上都说了同样的话：对于大多数工作负载，他们在推出补丁后并没有看到有意义的性能影响。微软确实表示，“一小部分[MicrosoftAzure]客户可能会遇到一些网络性能影响。”这些说法确实为一些工作负载留下了明显放缓的空间。Epic Games指责熔毁补丁导致其游戏Fortnite出现服务器问题，并发布了一张图表，显示安装补丁后，其云服务器的CPU使用量大幅增加。

但有一点很清楚：你的电脑绝对不会因为这个补丁而变得更快。如果你有一个英特尔的CPU，它只能变得更慢，即使是一个很小的数额。

我需要做什么？

相关：如何检查您的电脑或**是否受到保护，以防熔毁和幽灵

修复熔毁问题的一些更新已经可用。微软已于2018年1月3日通过Windows update发布了对受支持版本Windows的紧急更新，但尚未发布到所有PC上。解决了熔毁问题并添加了一些针对幽灵的保护措施的Windows更新名为KB4056892。

苹果已经用2017年12月6日发布的macOS 10.13.2修补了这个问题。12月中旬发布的Chrome OS 63电子书已经受到保护。Linux内核也提供了补丁程序。

此外，检查您的电脑是否有BIOS/UEFI更新可用。虽然Windows update修复了崩溃问题，但需要通过UEFI或BIOS更新从Intel发送的CPU微代码更新，以完全启用对其中一个幽灵攻击的保护。您还应该像浏览器一样更新web浏览器，因为浏览器也添加了一些对Spectre的保护。

更新：1月22日，英特尔宣布用户应停止部署初始UEFI固件更新，原因是“重启次数高于预期以及其他不可预测的系统行为”。英特尔说，你应该等待一个最终的UEFI固件补丁，这是正确的测试，不会造成系统问题。截至2月20日，英特尔已经发布了稳定的微码更新Skylake、Kaby Lake和Coffee Lake，这是第6代、第7代和第8代英特尔核心平台。PC**商应该很快开始推出新的UEFI固件更新。

虽然性能下降听起来很糟糕，但我们强烈建议安装这些修补程序。操作系统开发人员不会进行如此大规模的更改，除非这是一个非常严重的错误，造成严重后果。

有问题的软件补丁将修复熔毁缺陷，一些软件补丁可以帮助缓解幽灵的缺陷。但幽灵可能会继续影响所有现代CPU至少在某种形式上，直到新的硬件被释放来修复它。目前尚不清楚**商将如何处理这一问题，但与此同时，你所能做的就是继续使用你的电脑，并在幽灵更难利用这一事实上感到安慰，而且云计算比台式电脑的最终用户更为关注。

图片来源：英特尔，弗拉德格林/Shutterstock.com网站.