本周二，微软和AMD共同发布了针对“Spectre”（幽灵）漏洞的微代码和安全更新程序。

漏洞情况

“Spectre”（幽灵）和“Meltdown”（熔断）漏洞对处理器（CPU）行业的影响可谓是空前的，Intel、AMD、ARM等处理器供应商以及Windows、Linux等操作系统均受到深浅不一地影响。攻击者可以利用“Spectre”和“Meltdown”攻击绕过内存隔离机制并访问目标设备敏感数据。其中“Meltdown”攻击还可能允许攻击者读取目标设备的全部物理内存，并窃取凭据和个人隐私信息等内容。

Meltdown可以利用预测执行（speculative execution，即一个用于执行未明指令流的区域）来打破用户应用程序和操作系统之间最基本的隔离，如此一来，就允许任何应用程序访问其他程序和操作系统的内存，从而读取敏感私密的信息。该漏洞“熔断”了由硬件来实现的安全边界，允许低权限用户级别的应用程序“越界”访问系统级的内存，从而造成数据泄露。

Spectre则是破坏了不同应用程序之间的隔离，允许用户模式（user-mode）应用程序从运行在同一系统上的其他进程中提取信息。此外，它也可以被用来通过代码从自己的进程中提取信息，例如，恶意JavaScript可以用来从浏览器的内存中为其他网站提取登录cookie。

此外，Meltdown攻击还触发了CVE-2017-5754漏洞，而Specter攻击则触发了CVE-2017-5753（变种1）和CVE-2017-5715（变种2）漏洞。据专家介绍，只有Meltdown和Specter V1可以通过软件来解决，而Spectre V2则需要更新受影响处理器的微代码才能解决。

更新发布情况

据悉，Intel已经完成了对过去五年处理器产品中的Specter V1漏洞的修复工作，而针对Specter V2漏洞，Intel处理器将在未来进行硬件层面的重新设计来实现免疫，首批产品是下一代Xeon Cascade Lake和下半年即将发布的第八代酷睿新系列。

而AMD方面也于本周二发布了针对Specter V2攻击的补丁程序，其中包括微代码和操作系统更新。AMD公司在其发布的最新通报中指出，

今天，我们正式为微软Windows用户提供了关于Specter V2的补丁程序。这些缓解措施要求AMD CPU用户既要升级来自OEM和主板厂商的微代码更新，也需要将Windows升级至最新版本。对于Linux 用户，AMD推荐的Specter V2缓解措施已经提供给我们的Linux合作伙伴，并已于今年早些时候发布。

微软最初在1月份发布了针对基于AMD系统的Spectre安全补丁，但由于不稳定问题，微软被迫暂停了补丁发放。

AMD专家在其发布的公告中表示，

虽然我们认为在AMD处理器上利用Spectre V2相当有难度，但是，为了进一步降低安全风险，我们仍然选择积极地与合作伙伴合作，为AMD处理器提供微代码和操作系统更新的组合。

AMD用户可以通过下载制造商提供的BIOS更新来安装微代码，而Windows 10更新程序也已经在微软四月份的“周二补丁日”正式释放。微软本周二发布的Windows 10更新中包括针对AMD设备的Spectre V2缓解措施。另外，AMD称，针对Windows Server 2016的修补程序则正在进行最后的测试，预计很快就会正式向使用者推送。