На момент написания этой статьи вам потребуется самое последнее обновление микрокода ЦП для защиты от вариантов 3a и 4, и не для всех ЦП Intel эти меры уже выпущены. Вот пакет микрокода Intel для систем Linux за июль 2018 года .
Иногда требуется некоторое время, пока последние микрокоды не будут упакованы для Linux. Вот сайт Github, на котором утверждается, что доступны различные версии микрокода , извлеченные случайными людьми в Интернете из новых систем с самой последней прошивкой от -до -даты, :используйте на свой страх и риск.
Обновления микрокода могут предоставляться микропрограммой системы (= обновления BIOS/UEFI )и/или операционной системой. Обновления микрокода не сохраняются в ЦП :, их необходимо перезагружать каждый раз при перезагрузке системы. Вот почему встраивание обновлений микрокода в системную прошивку кажется «наилучшим» вариантом :. Это гарантирует, что обновление всегда будет загружаться до того, как будет выполнен какой-либо не -код прошивки.
В современном дистрибутиве Linux с аппаратным обеспечением Intel вы можете загрузить пакет микрокода, затем использовать iucode-toolс параметрами -S -l, чтобы убедиться, что пакет включает обновленный микрокод, соответствующий вашему ЦП, а затем с параметрами -S -Kдля записи обновленного микрокода в соответствующее место под /lib/firmware/intel-ucode. Затем просто обновите файл initramfs/initrdи перезагрузитесь.
Проблема со Spectre заключается в том, что настоящее исправление требует изменений на уровне принципов проектирования ЦП . Выпущенные на данный момент исправления для микрокода и ОС представляют собой средства устранения , т.е.они не обязательно устраняют основную проблему, но делают невозможным (или, по крайней мере, чрезвычайно неэффективным )использование.
Любые «фреймворки», которые заявляют, что «легко исправляют Spectre», кажутся мне вероятным змеиным маслом.