Esiste già una correzione della vulnerabilità di Meltdown per macOS?

Mentre Apple non ha ancora commentato il difetto, Alex Ionescu, esperto di sicurezza di Windows, ha notato che era presente una correzione in un nuovo aggiornamento 10.13.3 a macOS.

fonte: Come proteggersi da fusione e spettro, i più recenti difetti di sicurezza del processore

Meltdown

macOS patchato il 6 dicembre 2017 in macOS 10.13.2
iOS patchato il 2 dicembre 2017 in iOS 11.2

Apple ha patchato CVE-2017-5754 (fusione) in macOS High Sierra 10.13.2, aggiornamento della sicurezza 2017-002 Sierra e aggiornamento della sicurezza 2017-005 El Capitan. (Articolo di supporto HT208331 )

Spettro

A partire dall'8 gennaio, Apple ha rilasciato aggiornamenti per Safari su macOS e iOS per ridurre al minimo l'efficacia di Spectre. (Articolo di supporto HT208394 ) Notare che lo spettro non può essere "patchato", solo più difficile da eseguire.

Come pubblicato in un altro post simile sulla sicurezza , è politica di Apple non commentare le vulnerabilità della sicurezza fino a quando non vengono patchate, e anche quando lo fanno, sono spesso piuttosto vaghe al riguardo.

Informazioni sugli aggiornamenti di sicurezza di Apple

Per la protezione dei nostri clienti, Apple non rivela, discute o conferma problemi di sicurezza fino a quando non si è verificata un'indagine e non sono disponibili patch o versioni. Le versioni recenti sono elencate nella pagina degli aggiornamenti di sicurezza di Apple .

Quindi, il commento nell'articolo collegato, dovrebbe essere visto con (poco) scetticismo:

Mentre Apple non ha ancora commentato il difetto, Alex Ionescu, esperto di sicurezza di Windows, ha notato che era presente una correzione in un nuovo aggiornamento 10.13.3 a macOS.

Tuttavia, con un po 'di lavoro investigativo, possiamo ottenere alcune informazioni. Osservando i CVE assegnati a questa particolare vulnerabilità , ^* possiamo ottenere un elenco dei problemi che dovrebbero essere risolti da Apple quando decidono di emettere una patch di sicurezza: Esistono tre CVE assegnati a questi problemi:

• CVE-2017-5753 e CVE-2017-5715 sono assegnati a Spectre. Al momento non è disponibile alcuna patch. Tuttavia, secondo Apple , la vulnerabilità è "molto difficile da sfruttare", ma può essere eseguita tramite Javascript. Pertanto, in futuro pubblicheranno un aggiornamento per Safari su macOS e iOS

  Nei prossimi giorni Apple rilascerà un aggiornamento per Safari su macOS e iOS per mitigare queste tecniche di exploit. I nostri attuali test indicano che le imminenti mitigazioni di Safari non avranno alcun impatto misurabile sui test del tachimetro e ARES-6 e un impatto inferiore al 2,5% sul benchmark JetStream.

• CVE-2017-5754 è assegnato a Meltdown. Questo è stato corretto SOLO con macOS High Sierra 10.13.2 . Sierra ed El Capitan non sono ancora rattoppati.

TL; DR

Meltdown è stato aggiornato negli aggiornamenti più recenti di macOS High Sierra. Sierra ed El Capitan sono attualmente senza patch

Lo spettro è senza patch, ma molto difficile da eseguire sebbene possa essere sfruttato in Javascript. Assicurati di aggiornare i tuoi browser (come Firefox, Chrome, ecc.) Quando e dove applicabile oltre agli aggiornamenti forniti da Apple.

---

^* Common Vulnerabilities and Exposures (CVE®) è un elenco di identificatori comuni per le vulnerabilità di sicurezza informatica note pubblicamente. L'uso di "identificatori CVE (ID CVE)", che sono assegnati dalle autorità di numerazione CVE (CNA) di tutto il mondo, garantisce la fiducia tra le parti quando viene utilizzato per discutere o condividere informazioni su una vulnerabilità software unica, fornisce una base per la valutazione degli strumenti, e consente lo scambio di dati per l'automazione della sicurezza informatica.

---