Czy jest już dostępna poprawka podatności Meltdown na macOS?

Odpowiedzi:

15

Rozpad

macOS załatany 6 grudnia 2017 r. w macOS 10.13.2
iOS załatany 2 grudnia 2017 r. w iOS 11.2

Apple załatał CVE-2017-5754 (Meltdown) w macOS High Sierra 10.13.2, aktualizacji zabezpieczeń 2017-002 Sierra i aktualizacji zabezpieczeń 2017-005 El Capitan. (Artykuł pomocniczy HT208331 )

Widmo

Od 8 stycznia Apple wydało aktualizacje dla Safari na macOS i iOS, aby zminimalizować skuteczność Spectre. (Artykuł wsparcia HT208394 ) Należy zauważyć, że Spectre nie może być „załatane”, a jedynie trudniejsze do wykonania.

Steve
źródło
4
Niedopuszczalne jest sugerowanie, że Apple zamierza „załatać Spectre”. Spectre to bardziej metodologia niż pojedynczy exploit. Apple opracowuje poprawkę dla Safari które uczynią tę technikę trudniejsze do wykonania przy użyciu JavaScript. Właściwie powstrzymanie wszystkich ataków typu Spectre wymaga zmian sprzętowych.
MJeffryes,
3
Te informacje są niepoprawne: Apple poprawiło uwagi dotyczące aktualizacji zabezpieczeń. Sierra i El Capitan nie są jeszcze załatani Meltdown.
lunixbochs
2
Czy Apple wskazało, czy załatają macOS <10.13 lub iOS <11? A może ci użytkownicy pozostaną bezbronni?
Thunderforge
Artykuł pomocniczy HT208331 obejmował przez jeden dzień Sierra i ElCap. ale już tego nie robi. Ta odpowiedź jest zła.
Gilby,
czy ktoś zauważył spowolnienie wydajności po aktualizacji do 10.13.3? Kilka moich aplikacji kodowanych fortranem znaleziono z wyraźnym spowolnieniem: czas działania jest prawie dwukrotnie dłuższy.
sunt05
10

Jak napisano w innym, podobnym poście związanym z bezpieczeństwem , zasadą firmy Apple jest nie komentowanie luk w zabezpieczeniach, dopóki nie zostaną one załatane, a nawet kiedy to zrobią, często są dość niejasne.

Informacje o aktualizacjach zabezpieczeń Apple

W celu ochrony naszych klientów Apple nie ujawnia, nie dyskutuje ani nie potwierdza problemów bezpieczeństwa, dopóki nie zostanie przeprowadzone dochodzenie i nie będą dostępne poprawki ani wydania. Najnowsze wersje są wymienione na stronie aktualizacji zabezpieczeń Apple .

Tak więc komentarz w połączonym artykule należy rozpatrywać z (małym) sceptycyzmem:

Podczas gdy Apple jeszcze nie skomentował tej wady, Alex Ionescu, ekspert ds. Bezpieczeństwa systemu Windows, zauważył, że poprawka była obecna w nowej aktualizacji 10.13.3 macOS.

Jednak przy odrobinie pracy detektywistycznej możemy uzyskać wgląd. Patrząc na CVE przypisane do tej szczególnej luki , * możemy uzyskać listę problemów, które Apple powinien rozwiązać, gdy zdecydują się wydać łatkę bezpieczeństwa: Do tych problemów przypisano trzy CVE:

  • CVE-2017-5753 i CVE-2017-5715 są przypisane do Spectre. Obecnie nie jest dostępna łatka. Jednak według Apple luka ta jest „bardzo trudna do wykorzystania”, ale można ją wykonać za pomocą Javascript. W związku z tym w przyszłości wydadzą aktualizację dla Safari na macOS i iOS

    W najbliższych dniach Apple wyda aktualizację dla Safari na macOS i iOS, aby złagodzić te techniki wykorzystania. Nasze bieżące testy wskazują, że nadchodzące ograniczenia Safari nie będą miały mierzalnego wpływu na testy prędkościomierza i ARES-6, a wpływ mniejszy niż 2,5% na test porównawczy JetStream.

  • CVE-2017-5754 jest przypisany do Meltdown. Zostało to załatane TYLKO w systemie macOS High Sierra 10.13.2 . Sierra i El Capitan nie są jeszcze załatane.

TL; DR

Meltdown został załatany w najnowszych aktualizacjach macOS High Sierra. Sierra i El Capitan są obecnie niezałatane

Spectre jest niepakowany, ale bardzo trudny do wykonania, choć można go wykorzystać w Javascript. Upewnij się, że aktualizujesz przeglądarki (takie jak Firefox, Chrome itp.), Kiedy i gdzie to możliwe, oprócz aktualizacji dostarczanych przez Apple.

* Typowe luki w zabezpieczeniach i narażenia (CVE®) to lista popularnych identyfikatorów powszechnie znanych luk w zabezpieczeniach cybernetycznych. Użycie „Identyfikatorów CVE (CVE ID)”, które są przypisywane przez organy numerujące CVE (CNA) z całego świata, zapewnia zaufanie stron podczas dyskusji lub udostępniania informacji o unikalnej podatności na oprogramowanie, stanowi podstawę oceny narzędzi, i umożliwia wymianę danych w celu automatyzacji bezpieczeństwa cybernetycznego.

Allan
źródło
1
Jak wskazuje odpowiedź Steve'a, CVE-2017-5754 jest teraz wymieniony jako poprawiony w aktualizacji systemu macOS 10.13.2 - prawdopodobnie został dodany od czasu opublikowania. Ponieważ jest to akceptowana odpowiedź, warto ją zaktualizować, aby odzwierciedlić zmianę.
David Z
@DavidZ - Dzięki za to. Kiedy wpisałem odpowiedź, te aktualizacje nie zostały opublikowane na stronie Apple
Allan
2
Te informacje są niepoprawne: Apple poprawiło uwagi dotyczące aktualizacji zabezpieczeń. Sierra i El Capitan nie są jeszcze załatani Meltdown.
lunixbochs
@lunixbochs - TY. Zaktualizowałem odpowiednio informacje w mojej odpowiedzi.
Allan