日前，360网络安全响应中心发布了Meltdown与Spectre两组CPU特性漏洞的安全公告。公告指出：这两组漏洞会造成CPU运作机制上的用户信息泄露，近20年的Intel, AMD,　Qualcomm厂家和其它ARM的处理器均有影响。鉴于漏洞风险等级严重，360浏览器迅速升级防护功能，成为首款能够防御该系列CPU漏洞的国产浏览器。。

恶意网页攻击CPU漏洞可窃取用户信息

按照公告描述，此次爆出的两组CPU漏洞会造成CPU运作机制上的信息泄露，低权级的攻击者可以通过漏洞来远程泄露（浏览器形式）用户信息或本地泄露更高权级的内存信息。

在实际攻击场景中，攻击者可以通过这两组漏洞窃取本地操作系统底层运作信息，密钥信息等。这些信息泄露后，本地计算机的内核和虚拟超级管理器的隔离防护便形同虚设。攻击者还可以通过浏览器获取用户的帐号、密码、内容、邮箱、 cookie等隐私信息，用户使用云服务时登记的隐私信息也有可能因这两组漏洞泄露。

如临大敌！主流浏览器紧急上线防御工事

此次CPU漏洞波及范围不可谓不广。漏洞爆出后，包括Linux, Windows, OSX等在内的操作系统平台都参与了修复，国外的Firefox, Chrome, Edge等浏览器也发布了相关的安全公告和缓解方案，360浏览器也第一时间推出升级版本，成为国内首款支持防御CPU漏洞的浏览器产品。

要封堵这项漏洞，基本的思路还是针对访问内存、预测执行功能动手。360浏览器新版通过限制相关API和机制，防止黑客利用这系列CPU漏洞进行攻击，从而大幅度增加了黑客利用CPU漏洞的难度，并且对用户使用基本不会产生负面影响，黑客也无法攻击CPU漏洞窃取用户隐私数据。

为了全面抵御CPU漏洞带来的安全危机，网络安全专家提醒：

1、升级最新的操作系统和虚拟化软件补丁：目前微软、Linux、MacOSX、XEN等都推出了对应的系统补丁，升级后可以阻止这些漏洞被利用；

2、升级最新的浏览器补丁，使用最新版360浏览器防御漏洞；

3、等待或要求云服务商及时更新虚拟化系统补丁；

4、安装360安全卫士、360手机卫士等专业安全软件，第一时间发现可能的利用这些漏洞的攻击程序并进行查杀及防护。