當前的CPU存在設計缺陷。幽靈暴露了他們，但像預示和現在殭屍負載攻擊利用類似的弱點。這些“投機性執行”缺陷只有透過購買一個內建保護的新CPU才能真正修復。

補丁程式通常會減慢現有CPU的速度

業界一直在瘋狂地修補“側通道攻擊”，如幽靈和預兆，欺騙CPU透露資訊，它不應該。保護當前的CPU已透過微碼更新，作業系統級修復，並修補程式，如網路瀏覽器。

幽靈脩復已經減緩了電腦與舊的CPU，雖然微軟即將加快他們回來。修補這些錯誤通常會降低現有CPU的效能。

現在，ZombieLoad帶來了一個新的威脅：要完全鎖定並保護系統免受攻擊，必須禁用英特爾的超執行緒。這就是為什麼谷歌剛剛在英特爾Chromebooks上禁用了超讀功能。和往常一樣，CPU微碼更新、瀏覽器更新和作業系統補丁都在試圖堵住漏洞。一旦這些補丁安裝到位，大多數人不需要禁用超執行緒。

新的英特爾CPU不易受到殭屍負載的攻擊

但是殭屍負載對於採用新英特爾CPU的系統來說並不是一個危險。正如英特爾所言，“殭屍負載”是在硬體上解決的，從第8代和第9代英特爾核心開始™ 處理器，以及第二代Intel®Xeon®可擴充套件處理器系列。“具有這些現代CPU的系統不易受到這種新攻擊。

殭屍負載隻影響英特爾系統，但幽靈也影響AMD和一些ARM CPU。這是一個全行業的問題。

CPU存在設計缺陷，導致攻擊

當幽靈抬起醜陋的頭時，業界意識到，現代CPU存在一些設計缺陷：

The problem here is with “speculative execution”. For performance reas***, modern CPUs automatically run instructi*** they think they might need to run and, if they don’t, they can simply rewind and return the system to its previous state…

The core problem with both Meltdown and Spectre lies within the CPU’s cache. An application can attempt to read memory and, if it reads something in the cache, the operation will complete faster. If it tries to read something not in the cache, it will complete slower. The application can see whether or not something completes fast or slow and, while everything else during speculative execution is cleaned up and erased, the time it took to perform the operation can’t be hidden. It can then use this information to build a map of anything in the computer’s memory, one bit at a time. The caching speeds things up, but these attacks take advantage of that optimization and turns it into a security flaw.

換句話說，現代cpu中的效能最佳化正在被濫用。執行在CPU上的程式碼，甚至可能只是執行在web瀏覽器中的JavaScript程式碼，都可以利用這些缺陷讀取正常沙盒之外的記憶體。在最壞的情況下，一個瀏覽器選項卡中的網頁可以從另一個瀏覽器選項卡讀取您的網上銀行密碼。

或者，在雲伺服器上，一個虛擬機器可以窺探同一系統上其他虛擬機器中的資料。這是不可能的。

相關：熔燬和幽靈的缺陷將如何影響我的電腦？

軟體補丁只是繃帶

毫不奇怪，為了防止這種側通道攻擊，補丁程式使CPU的效能慢了一點。業界正試圖為效能最佳化層新增額外的檢查。

禁用超執行緒的建議是一個非常典型的例子：透過禁用一個可以讓CPU執行更快的特性，你就可以讓它更安全。惡意軟體不能再利用這一效能特性，但它將不會加快你的電腦了。

多虧了許多聰明人的大量工作，現代系統已經得到了合理的保護，不受幽靈之類的攻擊，而且速度也不會太慢。但是像這樣的補丁只是繃帶：這些安全缺陷需要在CPU硬體級別修復。

硬體級別的修復將在不降低CPU速度的情況下提供更多的保護。組織不必擔心他們是否有微碼（韌體）更新、作業系統補丁和軟體版本的正確組合來保證系統的安全。

正如一組安全研究人員在一篇研究論文中所說的，這些“不僅僅是錯誤，實際上是最佳化的基礎”。CPU設計必須改變。

英特爾和amd正在對新的CPU進行修復

硬體級別的修復不僅僅是理論上的。CPU**商正在努力進行架構上的改變，以在CPU硬體級別解決這個問題。或者，正如英特爾在2018年所言，英特爾正在用第8代CPU“提升矽級安全性”：

We have redesigned parts of the processor to introduce new levels of protection through partitioning that will protect against both [Spectre] Variants 2 and 3. Think of this partitioning as additional “protective walls” between applicati*** and user privilege levels to create an obstacle for bad actors.

英特爾此前宣佈，其第9代CPU包括額外的保護，以防止預示和熔燬V3。這些CPU不受最近曝光的殭屍負載攻擊的影響，因此這些保護措施一定會有所幫助。

AMD也在努力改變，儘管沒有人願意透露很多細節。2018年，AMD執行長Lisa Su表示：“從長遠來看，我們已經將未來處理器核心的變化包括在內，從我們的Zen 2設計開始，以進一步解決潛在的幽靈式漏洞。”

對於那些希望在沒有任何補丁程式的情況下獲得最快效能的人，或者只是一個希望完全確保其伺服器得到儘可能多的保護的組織來說，最好的解決方案是購買一個帶有這些基於硬體的修復程式的新CPU。硬體級別的改進也有望在被發現之前防止未來的其他攻擊。

計劃外淘汰

雖然媒體有時會談論“計劃內淘汰”——一家公司的計劃是硬體將過時，因此你必須更換它，但這是計劃外淘汰。沒人料到，出於安全考慮，這麼多CPU必須更換。

天沒有塌下來。每個人都讓攻擊者更難利用殭屍負載之類的漏洞。你不必馬上跑出去買一個新的CPU。但是一個不影響效能的完整修復需要新的硬體。