四月补丁增强了 AMD CPU 抵御幽灵漏洞的能力

四月的第二个星期二，微软通过自家 Windows Update 更新通道，为 AMD CPU 带来了增强的 Spectre（幽灵）漏洞防御能力。这一轮的系统级修补，主要针对幽灵 2 号变种（CVE-2017-5715），其至少影响到了部分运行 Windows 10 操作系统的 AMD 处理器，本次更新揭示了对间接分支预测壁垒（IBPB）的接管控制。

根据 AMD 最新的安全白皮书，运用 IBPB 是该公司针对幽灵 2 号变种的推荐措施：

  尽管此前其 CPU 支持其它控制分值预测器行为的方法（一个指向间接分支限制预测的特殊比特位 / 简称 IBRS）、以及作为对处理器上兄弟线程的响应（一个指向单线程间接分值预测器的比特位 / 简称 STIBP），但 AMD 并不建议将这些方法作为针对幽灵漏洞的“性能缓解措施”。

  当然，光是下载系统操作系统更新，还不足以保护受影响的系统。AMD 表示，产品用户请检查 OEM 或主板制造商网站来获得更新，以减缓漏洞带来的影响。

  我们可以借助这种方式来完成对 Ryzen 平台的完整修补，快速的基准测试表示，其对各方面性能的影响都微乎其微 —— 比如作为日常使用参考的 Javacsript 性能影响只在 3% 左右。

  需要指出的是，本月的“星期二补丁”并不意味着微软带来了更多的英特尔微代码更新，后者可能与过去几周保持着一样的情况。使用 Skylake 等老旧 CPU 的用户，仍需等待 OEM 或主板厂商发布固件更新。