下面我们列出了受影响的 Google 产品列表及其对此攻击的应对状态。由于这是一种新的攻击类型,我们的补丁状态指的是我们为防范目前已知的缺陷和进攻方式所采取的措施。这些措施已经在很多产品中起到了显著效果(甚至某些产品中从一开始就不存在推测执行漏洞)。在某些情况下,用户和客户可能需要采取额外的操作步骤来确保他们使用的是安全的产品版本。这个列表和其中的产品状态可能会随着新的进展而变化。届时我们也会更新这个列表,并告知大家。
以下未明确列出的 所有Google 产品都不需要用户或客户进行操作。
Android:
拥有最新安全更新的设备已受保护。虽然这个漏洞可能造成基于 ARM 的 Android 设备信息泄露,但在我们的更新后未发现这个漏洞再次出现。
Project Zero 的研究人员发现了三种在不同条件下有效的攻击方法(即 “变种” )。所有这三种攻击方式都可以允许拥有普通用户权限的进程执行未经授权的内存数据读取,这些数据可能包含密码、密钥资料等敏感信息。
为了提高系统的运行性能,许多 CPU 可能会选择基于被认为可能成立的假设来推测性地提前执行指令。在推测执行期间,处理器也会验证这些假设:如果它们成立,则继续之前执行的操作;如果它们不成立,则回滚之前执行的操作,并根据实际情况转向正确的执行路径。这种运行机制可能存在分支解除时没有回滚 CPU 状态而产生副作用,并且导致信息泄露。
