Esiste già una correzione della vulnerabilità di Meltdown per macOS?


Risposte:


15

Meltdown

macOS patchato il 6 dicembre 2017 in macOS 10.13.2
iOS patchato il 2 dicembre 2017 in iOS 11.2

Apple ha patchato CVE-2017-5754 (fusione) in macOS High Sierra 10.13.2, aggiornamento della sicurezza 2017-002 Sierra e aggiornamento della sicurezza 2017-005 El Capitan. (Articolo di supporto HT208331 )

Spettro

A partire dall'8 gennaio, Apple ha rilasciato aggiornamenti per Safari su macOS e iOS per ridurre al minimo l'efficacia di Spectre. (Articolo di supporto HT208394 ) Notare che lo spettro non può essere "patchato", solo più difficile da eseguire.


4
Non è corretto suggerire che Apple sta per "patch Spectre". Lo spettro è più una metodologia che un singolo exploit. Apple sta sviluppando una patch per Safari che renderà più difficile eseguire questa tecnica utilizzando JavaScript. L'arresto effettivo di tutti gli attacchi di tipo Spettro richiede modifiche hardware.
MJeffryes,

3
Questa informazione non è corretta: Apple ha rivisto le note di aggiornamento sulla sicurezza. Sierra ed El Capitan non sono ancora rattoppati per Meltdown.
lunixbochs

2
Apple ha indicato se patch MacOS <10.13 o iOS <11? O quegli utenti rimarranno vulnerabili?
Thunderforge,

L'articolo di supporto HT208331 includeva, per un giorno, Sierra ed ElCap. ma non lo fa più. Questa risposta è sbagliata
Gilby,

qualcuno ha notato il rallentamento delle prestazioni dopo l'aggiornamento a 10.13.3? Molte delle mie applicazioni in codice fortran si trovano con evidente rallentamento: il tempo di esecuzione è quasi raddoppiato.
sunt05,

10

Come pubblicato in un altro post simile sulla sicurezza , è politica di Apple non commentare le vulnerabilità della sicurezza fino a quando non vengono patchate, e anche quando lo fanno, sono spesso piuttosto vaghe al riguardo.

Informazioni sugli aggiornamenti di sicurezza di Apple

Per la protezione dei nostri clienti, Apple non rivela, discute o conferma problemi di sicurezza fino a quando non si è verificata un'indagine e non sono disponibili patch o versioni. Le versioni recenti sono elencate nella pagina degli aggiornamenti di sicurezza di Apple .

Quindi, il commento nell'articolo collegato, dovrebbe essere visto con (poco) scetticismo:

Mentre Apple non ha ancora commentato il difetto, Alex Ionescu, esperto di sicurezza di Windows, ha notato che era presente una correzione in un nuovo aggiornamento 10.13.3 a macOS.

Tuttavia, con un po 'di lavoro investigativo, possiamo ottenere alcune informazioni. Osservando i CVE assegnati a questa particolare vulnerabilità , * possiamo ottenere un elenco dei problemi che dovrebbero essere risolti da Apple quando decidono di emettere una patch di sicurezza: Esistono tre CVE assegnati a questi problemi:

  • CVE-2017-5753 e CVE-2017-5715 sono assegnati a Spectre. Al momento non è disponibile alcuna patch. Tuttavia, secondo Apple , la vulnerabilità è "molto difficile da sfruttare", ma può essere eseguita tramite Javascript. Pertanto, in futuro pubblicheranno un aggiornamento per Safari su macOS e iOS

    Nei prossimi giorni Apple rilascerà un aggiornamento per Safari su macOS e iOS per mitigare queste tecniche di exploit. I nostri attuali test indicano che le imminenti mitigazioni di Safari non avranno alcun impatto misurabile sui test del tachimetro e ARES-6 e un impatto inferiore al 2,5% sul benchmark JetStream.

  • CVE-2017-5754 è assegnato a Meltdown. Questo è stato corretto SOLO con macOS High Sierra 10.13.2 . Sierra ed El Capitan non sono ancora rattoppati.

TL; DR

Meltdown è stato aggiornato negli aggiornamenti più recenti di macOS High Sierra. Sierra ed El Capitan sono attualmente senza patch

Lo spettro è senza patch, ma molto difficile da eseguire sebbene possa essere sfruttato in Javascript. Assicurati di aggiornare i tuoi browser (come Firefox, Chrome, ecc.) Quando e dove applicabile oltre agli aggiornamenti forniti da Apple.


* Common Vulnerabilities and Exposures (CVE®) è un elenco di identificatori comuni per le vulnerabilità di sicurezza informatica note pubblicamente. L'uso di "identificatori CVE (ID CVE)", che sono assegnati dalle autorità di numerazione CVE (CNA) di tutto il mondo, garantisce la fiducia tra le parti quando viene utilizzato per discutere o condividere informazioni su una vulnerabilità software unica, fornisce una base per la valutazione degli strumenti, e consente lo scambio di dati per l'automazione della sicurezza informatica.



1
Come sottolinea la risposta di Steve, CVE-2017-5754 è ora elencato come patchato nell'aggiornamento macOS 10.13.2 - presumibilmente questo è stato aggiunto da quando hai pubblicato. Dato che questa è la risposta accettata, potrebbe essere utile aggiornarla per riflettere il cambiamento.
David Z,

@DavidZ - Grazie per quello. Quando ho scritto la risposta, quegli aggiornamenti non sono stati pubblicati sul sito di Apple
Allan il

2
Questa informazione non è corretta: Apple ha rivisto le note di aggiornamento sulla sicurezza. Sierra ed El Capitan non sono ancora rattoppati per Meltdown.
lunixbochs

@lunixbochs - TY. Ho aggiornato le informazioni nella mia risposta di conseguenza.
Allan,
Utilizzando il nostro sito, riconosci di aver letto e compreso le nostre Informativa sui cookie e Informativa sulla privacy.
Licensed under cc by-sa 3.0 with attribution required.