Các lỗ hổng Meltdown / Spectre nằm trên thiết kế / kiến trúc chipset CPU và không mua phần cứng mới trong tương lai, các bản vá là một ảo ảnh tốt đẹp về bảo mật trong thời gian dài . Các phương pháp khai thác lỗ hổng mới có thể xuất hiện theo thời gian có thể vượt qua các bản vá hiện tại.
Nói tóm lại, các bản vá / vi mã phần mềm hiện tại giảm thiểu các vấn đề đối với các phương pháp khai thác đã biết của họ khai thác Spectre / Meltdown, nhưng không giải quyết được các vấn đề thiết kế CPU tiềm ẩn cho phép chúng ở vị trí đầu tiên. CPU bị ảnh hưởng (một vài thế hệ) đã không ngừng bị tổn thương trong thời gian dài (và hầu hết có lẽ sẽ không bao giờ).
Tuy nhiên, như @Gilles tuyên bố chính xác, có cảnh báo đó không có nghĩa là các phương thức khai thác đã biết hiện tại của Spectre / Meltdown sẽ hoạt động; chúng sẽ không hoạt động nếu các bản vá được cài đặt.
Trong trường hợp được đề cập trong câu hỏi, kernel chỉ kiểm tra các mô hình CPU được biết là bị ảnh hưởng bởi Spectre / Meltdown (tất cả các CPU x86 bây giờ nếu chúng ta chỉ nói về x86), và do đó cpu-insecure
vẫn được liệt kê trong phần lỗi / dòng trong /proc/cpuinfo
.
Đi kiểm tra của bạn /proc/cpuinfo
. Nó sẽ chứa cpu_insecure nếu kernel của bạn có bản vá KPTI
Tôi đã thấy rằng bản vá KPTI có đoạn mã này:
/* Assume for now that ALL x86 CPUs are insecure */
setup_force_cpu_bug(X86_BUG_CPU_INSECURE);
Và sau khi cập nhật kernel, bạn nhận được:
bugs : cpu_insecure
Tái bút Đã có một loạt các bản cập nhật cho một phương pháp mới để khai thác các "lỗi" của Spectre / Meltdown. Nó có lẽ sẽ không phải là lần cuối cùng.