我想知道如果我使用运行 Ubuntu 的计算机仅进行浏览,同时使用未打补丁的 PC 上的访客帐户登录我浏览的任何网站 - 是否有可能窃取在浏览器中输入的任何密码?
例如,有害网站是否会窃取我的 PC 管理员密码甚至 WiFi 密码?
答案1
幽灵和崩溃是两个不同的安全问题,它们都使用侧通道攻击其本身无法远程利用因此,如果您使用自己的计算机(或其他人的计算机)且只有一个用户登录,则任何人都无法读取任何内容,即使它未打补丁。
在运行 Ubuntu 的已打补丁的计算机上(只需运行apt dist-upgrade),即使 2 个用户登录到计算机,另一个用户也无法读取您的密码(即使您使用它们),Intel 微码和 Linux KPTI 也将充分保护您,相反Windows 需要固件(BIOS/UEFI/...)更新来缓解 Spectre,因为 Microsoft 已经处理了 Meltdown,并且 Spectre 需要 Intel µcode。
是的,对于所有安全专家来说,有可能其他漏洞利用将会控制,并且会理论上能够读取未打补丁的计算机上的内存,但我们不要混淆OP,因为在撰写本文时还没有已知的漏洞存在。