Supongamos lo siguiente:
-
macOS (pero no estoy seguro de que eso importe tanto)
-
estación de trabajo, en su mayoría obtiene nuevos ejecutables de la tienda de aplicaciones o repositorios de código abierto a través de macports homebrew
-
un poco de carga de scripts JS, Python y Ruby, de nuevo desde repos. (Por lo que entiendo, los repositorios de Python y JS NO están muy bien examinados, pero tampoco son muy buenos candidatos para hackers de bajo nivel de esta vulnerabilidad)
-
asumiendo que Javascript en línea no puede ser aprovechado para explotar esto.
-
CPU de 6 años, por lo tanto, asumiendo en el extremo superior de la pérdida de solución de KPTI del 30% y sin garantía del proveedor.
Entiendo totalmente que el hecho de poder pasar por alto el ASLR es una mala noticia. Y tal vez una escalada de privilegios si un programa deshonesto es capaz de escalar por sí mismo.
Pero ...
Si tengo cuidado al descargar programas de fuentes mayormente confiables
¿Puedo evitar tomar ese golpe del 30%, sin parches, a un riesgo no demasiado grande? Si tengo un malware malicioso en mi sistema, esa es la mayor parte de la seguridad, independientemente de esta vulnerabilidad en particular.
Las cosas se verían muy diferentes del punto de vista de un proveedor de servicios en la nube que, por definición, ejecuta todo tipo de programas desconocidos. O a alguien que ejecuta código arbitrario en máquinas virtuales y confía en su protección.
También me doy cuenta de que, una vez que el proveedor del SO parche esto, tendré que parchear Meltdown de todos modos para acceder a futuros parches de proveedores, por lo que el razonamiento basado únicamente en Meltdown es miope.
Lo que significa que sospecho que la respuesta será No, tendrás que parchear tarde o temprano .