Esiste già una correzione per la vulnerabilità di Meltdown per macOS?

16

While Apple has yet to comment on the flaw, Alex Ionescu, Windows security expert, noted a fix was present in a new 10.13.3 update to macOS.

fonte: Come proteggersi da Meltdown e Spectre, l'ultimo Difetti di sicurezza del processore

    
posta rraallvv 04.01.2018 - 23:07
fonte

2 risposte

15

Meltdown

macOS patchato il 6 dicembre 2017 in macOS 10.13.2
iOS patchato il 2 dicembre 2017 in iOS 11.2

CVE-2017-5754 con patch Apple (fusione) in macOS High Sierra 10.13.2, aggiornamento di sicurezza 2017-002 Sierra e aggiornamento di sicurezza 2017-005 El Capitan. (Supporta l'articolo HT208331 )

Spectre

A partire dall'8 gennaio, Apple ha rilasciato aggiornamenti per Safari su macOS e iOS per ridurre al minimo l'efficacia di Spectre. (Supporta l'articolo HT208394 ) Nota che Spectre non può essere "patchato", solo più difficile da eseguire.

    
risposta data 05.01.2018 - 01:33
fonte
10

Come pubblicato in un altro post simile sulla sicurezza , è politica di Apple non commentare le vulnerabilità della sicurezza finché non sono rattoppati, e anche quando lo fanno, sono spesso abbastanza vaghi su di esso.

About Apple security updates

For our customers' protection, Apple doesn't disclose, discuss, or confirm security issues until an investigation has occurred and patches or releases are available. Recent releases are listed on the Apple security updates page.

Quindi, il commento nell'articolo collegato, dovrebbe essere visto con (piccolo) scetticismo:

While Apple has yet to comment on the flaw, Alex Ionescu, Windows security expert, noted a fix was present in a new 10.13.3 update to macOS.

Tuttavia, con un po 'di lavoro investigativo, possiamo ottenere alcune informazioni. Guardando i CVE assegnati a questa particolare vulnerabilità , * possiamo ottenere l'elenco dei problemi che dovrebbe essere indirizzata da Apple quando decidono di emettere una patch di sicurezza: Ci sono tre CVE assegnati a questi problemi:

  • CVE-2017-5753 e CVE-2017-5715 sono assegnati a Spectre. Al momento non è disponibile alcuna patch. Tuttavia, secondo Apple , la vulnerabilità è "molto difficile da sfruttare ", ma può essere fatto tramite Javascript. In tal modo, pubblicheranno un aggiornamento per Safari su macOS e iOS in futuro

    Apple will release an update for Safari on macOS and iOS in the coming days to mitigate these exploit techniques. Our current testing indicates that the upcoming Safari mitigations will have no measurable impact on the Speedometer and ARES-6 tests and an impact of less than 2.5% on the JetStream benchmark.

  • CVE-2017-5754 è assegnato a Meltdown. Questo è stato corretto con macOS High Sierra 10.13.2 SOLO . Sierra e El Capitan non sono ancora stati riparati.

TL; DR

Meltdown è stato aggiornato con gli ultimi aggiornamenti di macOS High Sierra. Sierra e El Capitan sono attualmente senza patch

Lo spettro è unpatched, ma molto difficile da eseguire sebbene possa essere sfruttato in Javascript. Assicurati di aggiornare i tuoi browser (come Firefox, Chrome, ecc.) Quando e dove applicabile oltre agli aggiornamenti forniti da Apple.

* Common Vulnerabilities and Exposures (CVE®) è un elenco di identificatori comuni per la sicurezza informatica di dominio pubblico vulnerabilità. L'uso di "identificatori CVE (ID CVE)", che sono assegnati dalle autorità di numerazione CVE di tutto il mondo, garantisce la fiducia tra le parti quando viene utilizzato per discutere o condividere informazioni su una vulnerabilità software unica, fornisce una base per la valutazione degli strumenti, e consente lo scambio di dati per l'automazione della sicurezza informatica.
risposta data 04.01.2018 - 23:40
fonte

Leggi altre domande sui tag