针对 Intel CPU 中的预测执行漏洞的其他缓解措施

• Apple 在 macOS Mojave 10.14.5 中发布了安全性更新，以防御 Intel CPU 中的预测执行漏洞。

• 这些安全性更新所解决的问题不会影响 Apple iOS 设备或 Apple Watch。

Apple 此前发布了安全性更新以抵御名为 Spectre（幽灵）的一系列预测执行漏洞，这些漏洞会影响配有基于 ARM 的 CPU 和 Intel CPU 的设备。Intel 还披露了被称为微架构数据采样 (MDS) 的其他 Spectre 漏洞，这些漏洞存在于配备 Intel CPU 的台式电脑和笔记本电脑（包括所有现代 Mac 电脑）中。

macOS Mojave 10.14.5 包含针对 Safari 浏览器的安全性更新，以及启用完全缓解措施的选项，具体信息如下所述。

安全性更新 2019-003 High Sierra 和安全性更新 2019-003 Sierra 包含启用完全缓解措施的选项。

关于 macOS Mojave 中的安全性修复

macOS Mojave 10.14.5 针对 Safari 浏览器修复了上述问题，且未产生显著性能影响¹。这一更新可防止通过 JavaScript 或由于客户在 Safari 浏览器中浏览恶意网站而导致这些漏洞遭到攻击。

客户还可以在 macOS 中将安全性设置更新为仅从 App Store 下载 App，以此来保护自己的 Mac。这项设置有助于防止安装可能会利用这些漏洞的 App。App Store 中的所有 App 均由 Apple 签名，以确保它们没有被篡改或修改。了解如何在 Mac 上查看和更改 App 安全性设置。

虽然在撰写这篇文章时，尚无会影响客户的已知攻击，但是电脑面临更高风险或在自己的 Mac 上运行不可信软件的客户可以选择启用完全缓解措施，以防止有害 App 利用这些漏洞。完全缓解措施要求使用“终端”App 来启用额外的 CPU 指令并停用超线程处理技术。这项功能适用于安装了最新安全性更新的 macOS Mojave、High Sierra 和 Sierra，并且性能降低幅度可能会达到 40%²，其中高度多线程的计算密集型任务受到的影响最大。了解如何启用完全缓解措施。

不受支持的 Mac 机型

以下 Mac 机型可能会收到 macOS Mojave、High Sierra 或 Sierra 中的安全性更新，但是由于缺少 Intel 的微代码更新而无法支持修复和缓解措施。

• MacBook（13 英寸，2009 年末）

• MacBook（13 英寸，2010 年中）

• MacBook Air（13 英寸，2010 年末）

• MacBook Air（11 英寸，2010 年末）

• MacBook Pro（17 英寸，2010 年中）

• MacBook Pro（15 英寸，2010 年中）

• MacBook Pro（13 英寸，2010 年中）

• iMac（21.5 英寸，2009 年末）

• iMac（27 英寸，2009 年末）

• iMac（21.5 英寸，2010 年中）

• iMac（27 英寸，2010 年中）

• Mac mini（2010 年中）

• Mac Pro（2010 年中）

• Mac Pro（2012 年中）

¹ Safari 浏览器性能：Apple 于 2019 年 5 月进行的测试表明，根据常见的网页浏览基准测试（如 Speedometer、JetStream 和 MotionMark），这些更新不会导致 Safari 浏览器出现显著性能下降。

² macOS 性能：Apple 于 2019 年 5 月进行的测试表明，在包含多线程工作负载和公共基准的测试中，性能下降达 40%。性能测试是使用特定的 Mac 电脑进行的。实际结果会因机型、配置、使用情况及其他因素而异。