Como foi falado na descrição, mitigação são as barreiras que o sistema operacional coloca no sistema de modo a tentar evitar que falhas de segurança do processador sejam exploradas por terceiros através de programas, javascripts e sites desenvolvidos especificamente para esse tipo de ataque. Essas falhas existem e algumas podem ser corrigidas por meio de atualização de firmware, outras através de recall mesmo mas a maioria é via mitigação. Por isso que foi desenvolvido o Secure Boot e o famigerado TPM, que são mecanismos que tentam aumentar a segurança dos dispositivos para a descoberta de novas falhas de segurança e cujo recall é caro e trabalhoso.

Para saber se o seu sistema está mitigando (por padrão sim), abra o Terminal e digite:

grep Mitigation . /sys/devices/system/cpu/vulnerabilities/*

Se aparecer algo assim:

• /sys/devices/system/cpu/vulnerabilities/itlb_multihit:KVM: Mitigation: VMX unsupported
• /sys/devices/system/cpu/vulnerabilities/l1tf:Mitigation: PTE Inversion
• /sys/devices/system/cpu/vulnerabilities/meltdown:Mitigation: PTI
• /sys/devices/system/cpu/vulnerabilities/spectre_v1:Mitigation: usercopy/swapgs barriers and __user pointer sanitization
• /sys/devices/system/cpu/vulnerabilities/spectre_v2:Mitigation: Retpolines; STIBP: disabled; RSB filling; PBRSB-eIBRS: Not affected; BHI: Not affected

seu sistema está mitigando as vulnerabilidades do seu processador e algumas ainda podem aparecer vulneráveis ou parcialmente mitigadas. Um sistema sem mitigação não vai aparecer "Mitigation" com o comando dado.

Os itens mitigados vão depender do modelo do processador: os mais novos tem menos (ou deveriam) vulnerabilidades pois as gerações anteriores já deram as condições de evitar que isso passasse pras novas gerações mas sabemos como é tecnologia... Só pra se ter uma ideia das vulnerabilidades, abaixo estão algumas delas e como são exploradas.

Meltdown - Acesso à memória do kernel
Permite que processos leiam áreas protegidas da memória do kernel.

Spectre (v1, v2) - Execução especulativa e cache
Induz a CPU a seguir caminhos especulativos e expor dados via cache.

MDS, TAA, RIDL - Buffers internos da CPU
Vazamento de dados entre processos por meio de buffers internos como store/fill buffers.

L1TF - Cache L1 da CPU (virtualização)
Permite que VMs acessem dados de outras VMs ou do host.

ITLB, STIBP, IBPB Branch prediction
Permitem que instruções especulativas causem vazamento de dados.

Spec Store Bypass - Execução de store/load
Permite que a CPU leia dados antes da validação, ignorando proteções.

Retbleed Predição de retorno de função
Explora instruções 'ret' para vazamento semelhante ao Spectre.

MMIO Stale Data - Acesso a dispositivos via MMIO
Pode permitir leitura de dados sensíveis de dispositivos.

Como podemos ver, é sair de minisaia sem calcinha em dia de vento forte...