Non conosco tutti i dettagli di Spectre e Meltdown, ma il modo in cui ho capito è che consentono di leggere dalla memoria, non di scriverlo. Inoltre, ho letto che almeno Spectre può uscire dalla macchina virtuale e quindi anche influenzare il sistema operativo host. Infine, il sito web di Whonix dice (riassunto e enfasi aggiunta):
Experimental spectre/meltdown defenses. Testers only! Possibly not worth it due to huge performance penalty and unclear security benefits. Despite: host microcode upgrade, host kernel upgrade, VM kernel upgrade, spectre-meltdown-checker on the host showing "not vulnerable", latest VirtualBox version, all spectre/meltdown related VirtualBox settings tuned for better security as documented below... VirtualBox is likely still vulnerable to spectre/meltdown. For reference see VirtualBox bug report / forum discussion. Users can only wait for VirtualBox developers to fix this.
Detto questo, cosa si può fare per mitigare l'impatto di Spectre e Meltdown sfruttati da un SO guest ed evitare che influenzino il sistema operativo dell'host?
Quello che penso è che se Spectre e Meltdown consentono al malware di leggere dati (memoria), suppongo che una VM senza una connessione di rete possa evitare il problema. Il SO guest infetto può leggere i dati dal sistema operativo host, ma non sarà in grado di inviarli ovunque. Tuttavia, se volessi che il mio SO guest fosse in grado di connettersi a Internet, allora ci sarebbero dei problemi e non saprei cosa fare.