当前的CPU存在设计缺陷。幽灵暴露了它们，但像Prehadow和现在的ZombieLoad这样的攻击利用了类似的弱点。这些“投机性执行”漏洞，只有购买内置保护的新CPU，才能真正修复。

补丁程序通常会降低现有CPU的速度

业界一直在争先恐后地修补像Spectre和Prehadow这样的“侧通道攻击”，这些攻击欺骗CPU泄露它不应该泄露的信息。对当前CPU的保护已经通过微码更新、操作系统级别的修复以及对Web浏览器等应用程序的补丁来实现。

幽灵修复已经降低了使用旧CPU的电脑的速度，尽管微软即将再次加快它们的速度。修补这些错误通常会降低现有CPU的性能。

现在，ZombieLoad提出了一个新的威胁：要完全锁定和保护系统免受这种攻击，你必须禁用英特尔的超线程。这就是为什么谷歌刚刚在英特尔Chromebook上禁用了超线程功能。像往常一样，CPU微码更新、浏览器更新和操作系统补丁都在路上，试图堵住这个漏洞。一旦这些补丁就位，大多数人应该不需要禁用超线程。

新的英特尔CPU不会受到ZombieLoad的攻击

但ZombieLoad对配备新英特尔CPU的系统并不构成危险。正如英特尔所说，ZombieLoad“从精选的第8代和第9代英特尔®酷睿™处理器，以及第二代英特尔®至强®可扩展处理器家族开始，在硬件中得到解决。”配备这些现代CPU的系统不容易受到这种新的攻击。

ZombieLoad只影响英特尔系统，但Spectre也影响AMD和一些ARM CPU。这是一个全行业的问题。

CPU存在设计缺陷，导致攻击

正如业界在Spectre抬起它丑陋的头时意识到的那样，现代CPU在设计上存在一些缺陷：

换句话说，现代CPU中的性能优化正在被滥用。在CPU上运行的代码-甚至可能只是在Web浏览器中运行的JavaScript代码-可以利用这些缺陷读取正常沙箱之外的内存。在最坏的情况下，一个浏览器选项卡中的网页可能会从另一个浏览器选项卡中读取您的网上银行密码。

或者，在云服务器上，一台虚拟机可以窥探同一系统上其他虚拟机中的数据。这不应该是可能的。

相关：Meltdown和Spectre缺陷将如何影响我的PC？

软件补丁只是创可贴

不足为奇的是，为了防止这种旁路攻击，补丁使CPU的运行速度变慢了一点。业界正试图向性能优化层添加额外的检查。

禁用超线程的建议是一个非常典型的例子：通过禁用使CPU运行更快的功能，您可以使其更安全。恶意软件不再能够利用该性能功能-但它不会再提高您的PC速度。

多亏了许多聪明人的大量工作，现代系统在没有太大减速的情况下，已经得到了合理的保护，不会受到像Spectre这样的攻击。但像这样的补丁只是创可贴：这些安全缺陷需要在CPU硬件级别进行修复。

硬件级别的修复将提供更多保护，而不会降低CPU速度。组织不必担心他们是否拥有微码(固件)更新、操作系统补丁和软件版本的正确组合来确保系统安全。

正如一组安全研究人员在一篇研究论文中所说，这些“不仅仅是bug，实际上是优化的基础”。CPU的设计将不得不改变。

英特尔和AMD正在将修复程序构建到新的CPU中

硬件级别的修复不仅仅是理论上的。CPU制造商正在努力进行架构更改，以在CPU硬件级别解决此问题。或者，正如英特尔在2018年所说，英特尔凭借第8代CPU“提升了硅片级别的安全性”：

英特尔此前宣布，其第9代CPU包括针对前兆和熔毁V3的额外保护。这些CPU不会受到最近披露的僵尸加载攻击的影响，所以这些保护措施肯定是有帮助的。

AMD也在努力进行改革，尽管没有人想透露太多细节。2018年，AMD首席执行官丽莎·苏(Lisa Su)表示：“从长远来看，我们已经在未来的处理器内核中包括了一些变化，从我们的Zen 2设计开始，以进一步解决潜在的类似Spectre的漏洞。”

对于希望在没有任何补丁程序的情况下获得最快性能的人-或者只是希望完全确保其服务器得到尽可能保护的组织-最好的解决方案将是购买具有这些基于硬件的修复程序的新CPU。硬件级别的改进也有望在其他未来的攻击被发现之前阻止它们。

计划外报废

虽然媒体有时会谈论“计划淘汰”--一家公司的计划，即硬件将会过时，因此你必须更换它--但这是计划外的淘汰。没有人想到，出于安全原因，需要更换这么多CPU。

天不会塌下来的。每个人都让攻击者更难利用像ZombieLoad这样的漏洞。你不必马上跑出去买一个新的CPU。但是，要想在不影响性能的情况下完全修复，将需要新的硬件。