CPU 晶元漏洞第二季的預告片來了：Skyfall和Solace

2018年年初，Meltdown和Spectre兩大安全漏洞在IT界引發了一場地震。現在據稱又爆出兩個漏洞，為確保安全而實施的禁令撤銷後會有詳細信息出來。

Skyfall 的 logo

Solace 的 logo

令人好奇的是，這兩個新漏洞的名字取自詹姆斯·邦德影片：Skyfall（《007大破天幕殺機》）和Solace（《007大破量子危機》）。

據消息靈通人士稱，這些漏洞也是晶元存在的物理問題，因而很難完全有把握地徹底消除。據說Meltdown和Spectre這兩個漏洞利用了現代CPU中的一項功能：推測性執行。目前還沒有可信賴的證據，不過下列信息業已發布：

繼最近發布Meltdown和Specter漏洞：CVE-2017-5175、CVE-2017-5753和CVE-2017-5754後，坊間在廣泛猜測能否完全消除描述的所有問題。

Skyfall和Solace是基於Meltdown和Spectre暴露的弱點實施的兩種推測性攻擊。

細節仍然很少，但Skyfall和Solace這兩個漏洞都利用了與Meltdown和Specter同樣的攻擊途徑：推測性執行。據安全漏洞信息網站skyfallattack.com聲稱，如此看來，微軟、蘋果和谷歌等操作系統開發商以及AMD、英特爾和ARM等晶元製造商再次需要通力合作，消除這些問題。

新的漏洞會有多嚴重仍需拭目以待，但是鑽同樣功能的空子可能會導致安全受到嚴重影響――就Spectre攻擊而言，可以用JavaScript來鑽瀏覽器的漏洞，網上有簡單的示例代碼：

所以眼下有人推測可以鑽流行系統的空子，但不懷好意的人還無法利用Skyfall和Solace的漏洞搞什麼名堂。與往常一樣，瀏覽和下載來源不明的文件時要格外小心。

報道真實性仍存在問題

目前唯一的來源是託管在英國主機託管服務商Mythic Beasts上的一個臨時搭建的.com網站。該公司在其博客上討論了Meltdown和Specter，這讓人們更相信他們確實深入了解安全問題。

專家們聲稱，有可能在擁有推測性執行功能的晶元中發現Spectre這類旁路攻擊；還有人懷疑，安全研究人員只是在結果公布之前掩蓋蹤跡。

如果你想知道為何沒有人撰文介紹另外兩個「被禁」的CPU漏洞：Skyfall和Solace，那是由於這

99%是個騙局。（雲頭條註：而不是100%）

在線刊物The Register在Twitter上聲稱，它確信Skyfall和Solace兩個漏洞是場騙局，因為其在幾家晶元製造商的聯繫人都沒有聽說過這一漏洞。

是否存在以上兩個安全漏洞只能用時間來證明了

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！