Supponi quanto segue:
-
macOS (ma non sono sicuro che importi così tanto)
-
workstation, per lo più ottiene nuovi eseguibili dall'app store o repository open source tramite macports homebrew
-
un bel po 'di caricamento di script JS, Python e Ruby, sempre da repository. (i repository Python e JS NON sono molto ben controllati ma non sono nemmeno dei buoni candidati per gli hack di basso livello da questo vuln per quanto ho capito)
-
supponendo che anche Javascript online non possa essere sfruttato per sfruttarlo.
-
CPU di 6 anni, supponendo che il limite superiore della perdita di soluzioni KPTI sia del 30% e nessuna garanzia del fornitore.
Capisco perfettamente che essere in grado di aggirare l'ASLR e cose simili sia una cattiva notizia. E forse un'escalation di privilegi se un programma canaglia è in grado di aumentare se stesso.
Ma ...
Se sto attento a scaricare programmi da fonti per lo più attendibili
Posso evitare di prendere quel colpo del 30%, non applicando patch, a un rischio non troppo elevato? Se sul mio sistema è in esecuzione un malware non autorizzato, è già stata eliminata gran parte della sicurezza, indipendentemente da questa vulnerabilità.
Le cose apparirebbero molto diverse dal POV di un provider di servizi cloud che per definizione esegue tutti i tipi di programmi sconosciuti. O a qualcuno che esegue codice arbitrario in VM e che si basa sulla loro protezione.
Mi rendo anche conto che, una volta che il fornitore del sistema operativo lo ha aggiornato, allora dovrò ricorrere a Meltdown per accedere alle future patch del fornitore, quindi il ragionamento sulla base del solo Meltdown è miope.
Il che significa che sospetto che la risposta sarà No, prima o poi dovrai applicare la patch .