去年全球多個行業都被名為幽靈和熔斷的高危安全漏洞困擾，然而到現在為止幽靈和熔斷漏洞還沒有被修復。沒修復的同時安全研究人員還在英特爾處理器中發現SPOILER新漏洞，這個漏洞與此前的幽靈熔斷漏洞不同。值得注意的是幽靈和熔斷漏洞除影響英特爾系列處理器外， ARM和AMD處理器也同樣會受到這類漏洞影響。但這次被發現的新漏洞經驗證后并不會影響ARM和AMD處理器， 也就是只有英特爾系列處理器才存在問題。

還是推測執行存在的問題：

現代處理器為提高效率都會使用推測執行自動預測和執行命令，但設計層面的漏洞則會讓推測執行暴露隱患。SPOILER與去年被曝光的幽靈系列漏洞類似都是推測執行，不同的是這兩類漏洞在工作方式上是完全不同的。因為幽靈和熔斷漏洞都是現代處理器設計層面出現的缺陷，而SPOILER漏洞則純粹是英特爾自身存在的弱點。SPOILER發生的根本原因是英特爾專有的內存子系統實現的地址推測存在弱點，這也是只影響英特爾的原因。

現有幽靈熔斷緩解措施無法緩解SPOILER漏洞：

幽靈和熔斷漏洞是處理器設計層面的問題因此無法通過軟件解決，目前廠商提供的解決方案也只能進行緩解。緩解漏洞的措施會影響到處理器性能去年還引發不少爭議，不過這類緩解措施也無法緩解SPOILER安全漏洞。研究人員表示這個漏洞涉及新穎的微架構泄露，通過干擾存儲緩沖區后采用推測執行不需要任何特殊的權限。

2

英特爾將繼續通過補丁進行緩解：

去年年底英特爾已確認這枚漏洞并向研究人員表示將發布補丁進行修復，但英特爾強調「應該能緩解」漏洞。至少到現在為止英特爾還未發布公開聲明因此不確定該漏洞是否可以確定修復，否則也只能打補丁逐漸緩解。研究人員在接受采訪時則是表示英特爾的答復非常狡猾，因為涉及內存子系統不能輕易通過微代碼進行修復。顯然如果通過微代碼修復的話對處理器性能又會造成影響，到時候用戶和云數據中心廠商估計又是哀嚎一片。

利用上相對來說也不是很容易：

據研究人員表示這枚漏洞想要利用的話需要先進行本地操作，也就是無法直接通過遠程的方式直接進行觸發。但攻擊者可以通過惡意網頁的JavaScript 腳本或者預先向用戶植入惡意軟件，然后再利用SPOILER安全漏洞。成功利用此漏洞可以從內存中竊取機密信息造成用戶信息泄露，例如寄存在內存中的密碼或者其他敏感信息。