在发现震惊技术界的漏洞五个月之后，安全研究专家Paul Kocher分享了他对幽灵漏洞的想法，谈到了困扰大家的漏洞发现过程，以及缓解漏洞危害的措施。

Kocher是一名独立安全研究顾问，2017年他发现了Spectre（幽灵）漏洞（另一位发现者是谷歌互联网安全项目Project Zero的Jan Horn，他发现了熔断漏洞Meltdon）。在RSA Conference 2018大会有关于幽灵漏洞的一个小时议程，Kocher分享了他对缓解漏洞危害的想法，讨论了漏洞发现过程以及未来芯片研发面临的困难。

就像熔断漏洞对英特尔芯片造成影响，幽灵漏洞涉及到投机性执行的滥用，投机性执行本来是为了加速处理器性能而设计的。Kocher说，问题的症结在于，投机性执行在现代芯片的设计中是根深蒂固的，几乎是不可能消除的。“如果你按照教科书上说的设计芯片，目标是获得最好的性能，那你构建的一定是不安全的处理器。”

Kocher说：“这一情况导致要消除幽灵漏洞的影响是极具挑战的，不管是短期缓解方案还是长期根治方案都很难。”

如何消除漏洞危害

Kocher说：“要消除幽灵漏洞问题非常麻烦”。对于一些潜在问题，目前已经应用的修复补丁不是长期解决方案。

像微软公司这种软件供应商可以在源代码中修复幽灵漏洞，应用到所有可能经过的条件分支，不过这样可能会带来运行问题；Kocher称之为“推测障碍”。但是，如果那些障碍放到了源代码中每个可能的地方，可能会影响程序的健壮性，对性能造成破坏。但如果不加上这些代码片段补丁，攻击者仍然可能利用幽灵漏洞攻击。

Kocher说：“真是做也不是，不做也不是，左右为难。”

最终，供应商们必须小心地挑选在哪些地方应用补丁。他说，除了操作系统，其他类型的软件（例如：数据库和web服务器）应用幽灵补丁更难，因为那些软件需要从不可信的数据源接收数据。

另一方面，硬件供应商可以应用微代码更新修改处理器中的分支预测器，不过Kocher说那些修改会带来芯片的稳定性问题。

Kocher把这些修复称之为“相当令人不满意的解决方案”，因为微代码更新只针对操作系统可行，对那些被感染的系统不可用。这种方案还会带来性能冲击。虽然英特尔的微代码更新有重大问题，Kocher说他还是更愿意先更新了让问题得到一定缓解，而不是完全不处理，他批评ARM控股公司缺乏对幽灵漏洞的处理响应。

下一步的路线图

幽灵算是程序bug吗？Kocher说他与好几个人交流过这个问题。一方面，所有涉及投机执行的元素都会按他们设计的方式工作。不过，不管投机性执行运行正常与否，这个问题本身是存在的。他说：“大家都希望混乱状态更快过去，但是并没有很多人思考这些元素凑在一起的真正后果。”

Kocher说，长期来看补救措施就更复杂化了，芯片制造商不会放弃投机性执行，因为这（投机性执行）对芯片性能非常重要。不过，他对于短期缓解漏洞问题提出了一些建议，只要一有补丁就定期更新升级。

Kocher还推荐改善企业基础设施中的流程分离状况，要“特别注意超线程技术Hyper-Threading”，因为他预计不久的将来会爆发更多边信道攻击。

另外，Kocher认为，坏消息是芯片制造商们需要彻底修改他们的产品路线图，从根本上改变他们设计处理器的思路。长期来看，所有芯片都需要在考虑安全的前提下重新设计和构造，否则，芯片追求更快的速度和性能会导致更多类似幽灵的漏洞出现。

漏洞发现和责任披露

为什么幽灵漏洞没有更早发现呢？这是Kocher经常问的另一个问题。他介绍说多个方面因素促成这这个情况。一个主要因素是路径障碍，英特尔以及其它芯片制造商没有考虑到像幽灵这种边信道攻击，这个超出了传统漏洞攻击的范围。

至于漏洞披露过程，研究机构和供应商们被迫早早面对公众，媒体猜测漏洞已经变得很严重不容忽视了。

协调漏洞披露的过程“绝对是一团糟的过程”。许多组织和个人都被卷进来，原本不需要参与的很多人都被牵涉进来，导致熔断漏洞（Meltdown）的信息也进入了媒体。

供应商处理问题的流程也有问题。他说：“每个人都是善意的”，但是过程中有很多需要第三方注意的问题，也需要第三方参与，不管政府是否需要参与进来，流程已经复杂化和延长了。

最终，许多人都知道这个漏洞泄露给媒体会发生什么。Kocher说：“我用差分功耗分析发现了这个问题，我不知道如何处理和管理这样的漏洞。”

Kocher说：“如果披露过程没做好，就会有想攻击的人过早地利用漏洞。我们行业需要找到更好的方式来披露这种规模的漏洞，因为更多与幽灵同级别的漏洞将来还会出现。”