Чи є вже доступне виправлення вразливості Meltdown для macOS?

Поки Apple ще не коментує цей недолік, Алекс Іонеску, експерт із питань безпеки Windows, зауважив, що виправлення було присутнє в новому оновлення 10.13.3 для macOS.

Джерело: Як убезпечити себе від зриву та привидів, останні недоліки безпеки процесора

Зрив

macOS виправлено 6 грудня 2017 року в macOS 10.13.2
iOS виправлено 2 грудня 2017 року в iOS 11.2

Apple виправлено CVE-2017-5754 (Meltdown) у macOS High Sierra 10.13.2, оновлення безпеки 2017-002 Sierra та оновлення безпеки 2017-005 El Capitan. (Стаття підтримки HT208331 )

Привид

Станом на 8 січня Apple випустила оновлення для Safari на macOS та iOS, щоб мінімізувати ефективність Spectre. (Підтримка статті HT208394 ) Зауважте, що Spectre не можна "зафіксувати", а лише важче виконати.

Як розміщено в іншому подібному пості , пов’язаному з безпекою , політика Apple не коментувати вразливості безпеки, поки вони не будуть виправлені, і навіть коли вони це роблять, вони часто з цим розпливаються.

Про оновлення безпеки Apple

З метою захисту наших клієнтів Apple не розголошує, не обговорює і не підтверджує проблеми безпеки, поки не відбудеться розслідування і не з’являться патчі або випуски. Останні випуски перелічені на сторінці оновлень безпеки Apple .

Отже, коментар у зв’язаній статті слід розглядати з (трохи) скептицизмом:

Поки Apple ще не коментує цей недолік, Алекс Іонеску, експерт із питань безпеки Windows, зауважив, що виправлення було присутнє в новому оновлення 10.13.3 для macOS.

Однак, маючи трохи детективної роботи, ми можемо отримати деяке розуміння. Дивлячись на CVE, призначені саме для цієї вразливості , ^* ми можемо отримати перелік проблем, які повинні вирішити Apple, коли вони вирішать виправити патч безпеки: До цих питань призначено три CVE:

• CVE-2017-5753 та CVE-2017-5715 призначені Spectre. На даний момент патч недоступний. Однак, на думку Apple , вразливість "дуже важко експлуатувати", але це може бути здійснено через Javascript. Таким чином, в майбутньому вони видадуть оновлення для Safari на macOS та iOS

  У найближчі дні Apple випустить оновлення для Safari на macOS та iOS, щоб пом'якшити ці методи експлуатації. Наше поточне тестування свідчить про те, що майбутні пом'якшення Safari не матимуть вимірюваного впливу на тести Speedometer та ARES-6, а вплив менше 2,5% на показник JetStream.

• CVE-2017-5754 призначений Meltdown. Це було виправлено з MacOS High Sierra 10.13.2 ТІЛЬКИ . Сьєрра та Ель-Капітан ще не зафіксовані.

TL; DR

Meltdown виправлено в останніх оновленнях macOS High Sierra. Сьєрра та Ель-Капітан на даний момент не мають рівних

Привид неперевершений, але його дуже важко виконати, хоча його можна використовувати в Javascript. Переконайтеся, що ви оновлюєте свої веб-переглядачі (наприклад, Firefox, Chrome тощо), коли та де це можливо, на додаток до оновлень, що надаються від Apple.

---

^* Загальні вразливості та експозиції (CVE®) - це список загальних ідентифікаторів для загальновідомих уразливостей кібербезпеки. Використання "Ідентифікаторів CVE (Ідентифікаторів CVE)", які присвоюються органами нумерації CVE з усього світу, забезпечує впевненість сторін при використанні для обговорення або обміну інформацією про унікальну вразливість програмного забезпечення, забезпечує базову лінію для оцінки інструментів, і дозволяє обмін даними для автоматизації кібербезпеки.

---