VMs schützen bei den Lücken leider nicht die Bugs sind leider in der CPU und somit noch über dem OS / Host.
Ich stelle mir aber die Ausnutzung der Lücke trotzdem kompliziert bzw aufwendig vor... es gibt bestimmt konkrete Fälle und / oder Ziele, aber ob nun jeder betrofffen ist!? Ich hoffe nicht, auch wenn die Vergangenheit (siehe NSA) leider das Gegenteil zeigt.