web-dev-qa-db-ja.com

通常のデスクトップシステムでSpectreパッチとMeltdownパッチを使用せずにLinuxカーネルを実行するのはどのくらい危険ですか?

私たちが採用した場合はどうなりますか: https://make-linux-fast-again.com/

システムが開発と一般的なブラウジングに使用されていると想定します。

これらの脆弱性が(特にWebサイトによって)実際に悪用された事例はありますか?

4
rep_movsd

簡単に言うと、多くの緩和策を取り消すことになります。

SpectreやMeltdownなどの脆弱性が発生するたびに、誰がパッチを展開する必要があるかを確認するために実行されます。ブラウザーのベンダー(当然のことながらそうです)は、CPUのバグを修正することは彼らの責任ではないと主張しています。すべてのアプリケーションが自分で処理する必要があるわけではないため、OSレベルでパッチを適用することは理にかなっています。

その結果、これらの緩和策をすべて無効にすると、これらの攻撃に対して潜在的に脆弱になります。

これはどのように危険ですか?

希望するパラノイアのレベルに応じて、「まったくない」から「おそらくすでに私のCPUを追い抜いている」までの範囲。もっと真剣に答えるために、JavaScriptを使用してこれを悪用することは完全に可能です。これが実際に悪用されているかどうか、また実際に悪用された場合、成功したかどうかを判断するのは困難です。私は個人的には脅威リストのトップにはないと言っていますが、セキュリティ機能を意図的に無効にしたくありません。

したがって、答えは基本的に他のセキュリティ機能を無効にする場合と同じです:自己の責任において続行してください。

4
MechMK1