Есть ли исправление уязвимости Meltdown для macOS?

16

Хотя Apple еще не прокомментировала этот недостаток, Алекс Ионеску, эксперт по безопасности Windows, отметил, что в новом обновлении 10.13.3 для macOS было исправлено.

Источник: Как защитить себя от обвала и призрака, последние недостатки безопасности процессора

rraallvv
источник

Ответы:

15

расплавление

macOS исправлена ​​6 декабря 2017 года в macOS 10.13.2
iOS исправлена ​​2 декабря 2017 года в iOS 11.2

Apple исправила CVE-2017-5754 (Расплавление) в macOS High Sierra 10.13.2, Обновление безопасности 2017-002 Sierra и Обновление безопасности 2017-005 El Capitan. (Статья поддержки HT208331 )

привидение

По состоянию на 8 января Apple выпустила обновления для Safari для macOS и iOS, чтобы минимизировать эффективность Spectre. (Статья поддержки HT208394 ) Обратите внимание, что Spectre не может быть «исправлен», только сложнее в исполнении.

Стив
источник
4
Неточно предполагать, что Apple собирается «заплатить Призрак». Призрак - это больше методология, чем одиночный эксплойт. Apple , разрабатывает патч для Safari , который сделает этот метод сложнее выполнить с помощью JavaScript. Фактическая остановка всех атак типа Spectre требует изменений оборудования.
MJeffryes
3
Эта информация неверна: Apple пересмотрела свои заметки об обновлении безопасности. Сьерра и Эль-Капитан еще не исправлены для Meltdown.
lunixbochs
2
Apple указала, будут ли они исправлять macOS <10.13 или iOS <11? Или эти пользователи останутся уязвимыми?
Громовая
Статья поддержки HT208331 в течение дня включала в себя Sierra и ElCap. но это больше не так. Этот ответ неверен.
Гилби
кто-нибудь заметил снижение производительности после обновления до 10.13.3? Некоторые из моих приложений, написанных на фортране, обнаруживаются с явным замедлением: время выполнения почти удваивается.
sunt05
10

Как написано в другом аналогичном посте , посвященном безопасности, политика Apple заключается в том, чтобы не комментировать уязвимости безопасности до тех пор, пока они не будут исправлены, и даже когда они это делают, они часто весьма расплывчаты по этому поводу.

Об обновлениях безопасности Apple

В целях защиты наших клиентов Apple не раскрывает, не обсуждает и не подтверждает проблемы безопасности, пока не будет проведено расследование и не появятся исправления или выпуски. Последние выпуски перечислены на странице обновлений безопасности Apple .

Итак, комментарий в связанной статье следует рассматривать с (небольшим) скептицизмом:

Хотя Apple еще не прокомментировала этот недостаток, Алекс Ионеску, эксперт по безопасности Windows, отметил, что в новом обновлении 10.13.3 для macOS было исправлено.

Тем не менее, с небольшой работой детектива, мы можем получить некоторое понимание. Рассматривая CVE, назначенные для этой конкретной уязвимости , * мы можем получить список проблем, которые Apple должна решить, когда они решат выпустить исправление безопасности: на эти проблемы назначены три CVE:

  • CVE-2017-5753 и CVE-2017-5715 присваиваются Спектру. Там в настоящее время нет патча. Однако, по словам Apple , уязвимость «очень трудно эксплуатировать», но ее можно устранить с помощью Javascript. Таким образом, в будущем они выпустят обновление для Safari на macOS и iOS.

    В ближайшие дни Apple выпустит обновление для Safari для MacOS и iOS, чтобы смягчить эти методы эксплойтов. Наши текущие испытания показывают, что предстоящие меры по смягчению последствий Safari не окажут ощутимого влияния на тесты спидометра и ARES-6 и окажут влияние менее чем на 2,5% на эталонный тест JetStream.

  • CVE-2017-5754 назначен на Meltdown. Это исправлено ТОЛЬКО для macOS High Sierra 10.13.2 . Сьерра и Эль Капитан еще не исправлены.

TL; DR

Расплавление было исправлено в последних обновлениях macOS High Sierra. Сьерра и Эль Капитан в настоящее время не исправлены

Spectre не исправлен, но его очень сложно выполнить, хотя его можно использовать в Javascript. Убедитесь, что вы обновляете свои браузеры (например, Firefox, Chrome и т. Д.), Когда и где это применимо, в дополнение к обновлениям, предоставляемым Apple.


* Общие уязвимости и уязвимости (CVE®) - это список общих идентификаторов общеизвестных уязвимостей кибербезопасности. Использование «Идентификаторов CVE (CVE IDs)», которые назначаются органами нумерации CVE (CNA) со всего мира, обеспечивает доверие сторон при использовании для обсуждения или обмена информацией об уникальной уязвимости программного обеспечения, обеспечивает основу для оценки инструмента, и обеспечивает обмен данными для автоматизации кибербезопасности.


Аллан
источник
1
Как указывает ответ Стива, CVE-2017-5754 теперь указан как исправленный в обновлении macOS 10.13.2 - возможно, он был добавлен с момента публикации. Принимая это как принятый ответ, было бы хорошо обновить его, чтобы отразить изменение.
Дэвид З
@DavidZ - Спасибо за это. Когда я набрал ответ, эти обновления не были опубликованы на сайте Apple
Аллан
2
Эта информация неверна: Apple пересмотрела свои заметки об обновлении безопасности. Сьерра и Эль-Капитан еще не исправлены для Meltdown.
lunixbochs
@lunixbochs - TY. Я обновил информацию в своем ответе соответственно.
Аллан