Existe uma correção de vulnerabilidade do Meltdown já disponível para o macOS?

Respostas:

15

Fusão

atualização do macOS em 6 de dezembro de 2017 no macOS 10.13.2
iOS atualização de 2 de dezembro de 2017 no iOS 11.2

A Apple corrigiu o CVE-2017-5754 (Meltdown) no macOS High Sierra 10.13.2, Atualização de segurança 2017-002 Sierra e Atualização de segurança 2017-005 El Capitan. (Artigo de suporte HT208331 )

Espectro

Desde 8 de janeiro, a Apple lançou atualizações para o Safari no macOS e iOS para minimizar a eficácia do Spectre. (Artigo de suporte HT208394 ) Observe que o Spectre não pode ser "corrigido", apenas mais difícil de executar.

Steve
fonte
4
É impreciso sugerir que a Apple vai "corrigir o Spectre". O espectro é mais uma metodologia do que uma única exploração. A Apple está desenvolvendo um patch para o Safari, o que dificultará a execução dessa técnica usando JavaScript. Na verdade, parar todos os ataques do tipo Spectre requer alterações de hardware.
precisa saber é o seguinte
3
Esta informação está incorreta: A Apple revisou suas notas de atualização de segurança. Sierra e El Capitan ainda não estão corrigidos para o Meltdown.
lunixbochs
2
A Apple indicou se corrigirá o macOS <10.13 ou iOS <11? Ou esses usuários permanecerão vulneráveis?
Thunderforge
O artigo de suporte HT208331 incluiu, por um dia, Sierra e ElCap. mas isso não acontece mais. Esta resposta está errada.
quer
alguém notou a desaceleração no desempenho após a atualização para 10.13.3? Vários aplicativos codificados em fortran são encontrados com lentidão óbvia: o tempo de execução é quase o dobro.
sunt05
10

Conforme publicado em outra publicação semelhante relacionada à segurança , é política da Apple não comentar sobre vulnerabilidades de segurança até que elas sejam corrigidas e, mesmo quando o fazem, geralmente são bastante vagas.

Sobre as atualizações de segurança da Apple

Para a proteção de nossos clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma investigação ocorra e que patches ou releases estejam disponíveis. As versões recentes estão listadas na página de atualizações de segurança da Apple .

Portanto, o comentário no artigo vinculado deve ser visto com (pouco) ceticismo:

Enquanto a Apple ainda não comentou a falha, Alex Ionescu, especialista em segurança do Windows, observou que uma correção estava presente em uma nova atualização 10.13.3 do macOS.

No entanto, com um pouco de trabalho de detetive, podemos obter algumas idéias. Observando os CVEs atribuídos a essa vulnerabilidade específica , * podemos obter uma lista dos problemas que devem ser resolvidos pela Apple quando eles decidem emitir um patch de segurança: Existem três CVEs atribuídos a esses problemas:

  • CVE-2017-5753 e CVE-2017-5715 são atribuídos ao Spectre. No momento, não há patch disponível. No entanto, de acordo com a Apple , a vulnerabilidade é "muito difícil de explorar", mas pode ser feita via Javascript. Como tal, eles lançarão uma atualização para o Safari no macOS e iOS no futuro

    A Apple lançará uma atualização para o Safari no macOS e iOS nos próximos dias para mitigar essas técnicas de exploração. Nossos testes atuais indicam que as próximas mitigações do Safari não terão impacto mensurável nos testes Speedometer e ARES-6 e um impacto inferior a 2,5% no benchmark JetStream.

  • CVE-2017-5754 é atribuído ao Colapso. Isto foi corrigido com o MacOS High Sierra 10.13.2 ONLY . Sierra e El Capitan ainda não foram corrigidos.

TL; DR

O colapso foi corrigido nas atualizações mais recentes do macOS High Sierra. Sierra e El Capitan estão atualmente sem remendo

O Spectre não possui patches, mas é muito difícil de executar, embora possa ser explorado em Javascript. Atualize seus navegadores (como Firefox, Chrome etc.) quando e onde aplicável, além das atualizações fornecidas pela Apple.


* Vulnerabilidades e exposições comuns (CVE®) é uma lista de identificadores comuns de vulnerabilidades de segurança cibernética conhecidas publicamente. O uso dos "CVE Identifiers (CVE IDs)", atribuídos pelas CVE Numbering Authority (CNAs) de todo o mundo, garante a confiança entre as partes quando usadas para discutir ou compartilhar informações sobre uma vulnerabilidade de software exclusiva, fornece uma linha de base para avaliação de ferramentas, e permite a troca de dados para automação de segurança cibernética.


Allan
fonte
11
Como a resposta de steve aponta, o CVE-2017-5754 agora está listado como corrigido na atualização do macOS 10.13.2 - presumivelmente isso foi adicionado desde que você postou. Sendo essa a resposta aceita, pode ser bom atualizá-la para refletir a alteração.
David Z
@ Davidid - Obrigado por isso. Quando eu digitei a resposta, essas atualizações não foram publicadas no site da Apple
Allan
2
Esta informação está incorreta: A Apple revisou suas notas de atualização de segurança. Sierra e El Capitan ainda não estão corrigidos para o Meltdown.
lunixbochs
@lunixbochs - TY. Atualizei as informações na minha resposta de acordo.
Allan