Есть ли исправление уязвимости Meltdown для macOS?

Хотя Apple еще не прокомментировала этот недостаток, Алекс Ионеску, эксперт по безопасности Windows, отметил, что в новом обновлении 10.13.3 для macOS было исправлено.

Источник: Как защитить себя от обвала и призрака, последние недостатки безопасности процессора

расплавление

macOS исправлена ​​6 декабря 2017 года в macOS 10.13.2
iOS исправлена ​​2 декабря 2017 года в iOS 11.2

Apple исправила CVE-2017-5754 (Расплавление) в macOS High Sierra 10.13.2, Обновление безопасности 2017-002 Sierra и Обновление безопасности 2017-005 El Capitan. (Статья поддержки HT208331 )

привидение

По состоянию на 8 января Apple выпустила обновления для Safari для macOS и iOS, чтобы минимизировать эффективность Spectre. (Статья поддержки HT208394 ) Обратите внимание, что Spectre не может быть «исправлен», только сложнее в исполнении.

Как написано в другом аналогичном посте , посвященном безопасности, политика Apple заключается в том, чтобы не комментировать уязвимости безопасности до тех пор, пока они не будут исправлены, и даже когда они это делают, они часто весьма расплывчаты по этому поводу.

Об обновлениях безопасности Apple

В целях защиты наших клиентов Apple не раскрывает, не обсуждает и не подтверждает проблемы безопасности, пока не будет проведено расследование и не появятся исправления или выпуски. Последние выпуски перечислены на странице обновлений безопасности Apple .

Итак, комментарий в связанной статье следует рассматривать с (небольшим) скептицизмом:

Хотя Apple еще не прокомментировала этот недостаток, Алекс Ионеску, эксперт по безопасности Windows, отметил, что в новом обновлении 10.13.3 для macOS было исправлено.

Тем не менее, с небольшой работой детектива, мы можем получить некоторое понимание. Рассматривая CVE, назначенные для этой конкретной уязвимости , ^* мы можем получить список проблем, которые Apple должна решить, когда они решат выпустить исправление безопасности: на эти проблемы назначены три CVE:

• CVE-2017-5753 и CVE-2017-5715 присваиваются Спектру. Там в настоящее время нет патча. Однако, по словам Apple , уязвимость «очень трудно эксплуатировать», но ее можно устранить с помощью Javascript. Таким образом, в будущем они выпустят обновление для Safari на macOS и iOS.

  В ближайшие дни Apple выпустит обновление для Safari для MacOS и iOS, чтобы смягчить эти методы эксплойтов. Наши текущие испытания показывают, что предстоящие меры по смягчению последствий Safari не окажут ощутимого влияния на тесты спидометра и ARES-6 и окажут влияние менее чем на 2,5% на эталонный тест JetStream.

• CVE-2017-5754 назначен на Meltdown. Это исправлено ТОЛЬКО для macOS High Sierra 10.13.2 . Сьерра и Эль Капитан еще не исправлены.

TL; DR

Расплавление было исправлено в последних обновлениях macOS High Sierra. Сьерра и Эль Капитан в настоящее время не исправлены

Spectre не исправлен, но его очень сложно выполнить, хотя его можно использовать в Javascript. Убедитесь, что вы обновляете свои браузеры (например, Firefox, Chrome и т. Д.), Когда и где это применимо, в дополнение к обновлениям, предоставляемым Apple.

---

^* Общие уязвимости и уязвимости (CVE®) - это список общих идентификаторов общеизвестных уязвимостей кибербезопасности. Использование «Идентификаторов CVE (CVE IDs)», которые назначаются органами нумерации CVE (CNA) со всего мира, обеспечивает доверие сторон при использовании для обсуждения или обмена информацией об уникальной уязвимости программного обеспечения, обеспечивает основу для оценки инструмента, и обеспечивает обмен данными для автоматизации кибербезопасности.

---