如果我理解正确的话,这个漏洞允许读取另一个进程的虚拟地址空间。要利用这一点,对手需要在个人电脑上拥有合法账户,而个人家用电脑通常不会有这种情况,或者电脑上一定有一些恶意软件,这无论如何都是坏事。对吧?
答案1
不。这确实像人们说的一样危险。
Meltdown 和 Spectre可以通过以下方式触发任何任意代码执行。这可以做到使用 JavaScript,仅作为示例。
虽然大多数用户不需要也担心这一点,对于共享服务器、虚拟机提供商(AWS、DigitalOcean 等)以及系统执行任意代码的地方来说,这是一个大问题。
如果你问这个问题是因为补丁会对性能造成影响,那么最好还是接受影响。最多在这种情况下,性能影响可以忽略不计,这比让你的系统受到损害要好得多。