Existe-t-il un correctif de vulnérabilité Meltdown déjà disponible pour macOS?

Alors qu'Apple n'a pas encore commenté la faille, Alex Ionescu, expert en sécurité Windows, a noté qu'un correctif était présent dans une nouvelle mise à jour 10.13.3 de macOS.

source: Comment vous protéger contre la fusion et Spectre, les dernières failles de sécurité du processeur

Fusion

macOS corrigé le 6 décembre 2017 dans macOS 10.13.2
iOS corrigé le 2 décembre 2017 dans iOS 11.2

Apple a corrigé CVE-2017-5754 (Meltdown) dans macOS High Sierra 10.13.2, Security Update 2017-002 Sierra et Security Update 2017-005 El Capitan. (Article de support HT208331 )

Spectre

Depuis le 8 janvier, Apple a publié des mises à jour pour Safari sur macOS et iOS afin de minimiser l'efficacité de Spectre. (Article de support HT208394 ) Notez que Spectre ne peut pas être "corrigé", mais plus difficile à exécuter.

Comme indiqué dans un autre article similaire sur la sécurité , Apple a pour politique de ne pas commenter les vulnérabilités de sécurité jusqu'à ce qu'elles soient corrigées, et même lorsqu'elles le font, elles sont souvent assez vagues à ce sujet.

À propos des mises à jour de sécurité Apple

Pour la protection de nos clients, Apple ne divulgue, ne discute ni ne confirme les problèmes de sécurité tant qu'une enquête n'a pas eu lieu et que des correctifs ou des versions ne sont pas disponibles. Les versions récentes sont répertoriées sur la page des mises à jour de sécurité Apple .

Ainsi, le commentaire de l'article lié doit être considéré avec (peu) de scepticisme:

Alors qu'Apple n'a pas encore commenté la faille, Alex Ionescu, expert en sécurité Windows, a noté qu'un correctif était présent dans une nouvelle mise à jour 10.13.3 de macOS.

Cependant, avec un peu de travail de détective, nous pouvons obtenir un aperçu. En regardant le CVE attribués à cette vulnérabilité particulière , ^* nous pouvons obtenir la liste des problèmes qui devraient être résolus par Apple lorsqu'ils décident de publier un correctif de sécurité: Trois CVE sont affectés à ces problèmes:

• CVE-2017-5753 et CVE-2017-5715 sont affectés à Spectre. Il n'y a actuellement aucun correctif disponible. Cependant, selon Apple , la vulnérabilité est "très difficile à exploiter" mais peut se faire via Javascript. À ce titre, ils publieront une mise à jour pour Safari sur macOS et iOS à l'avenir

  Apple publiera une mise à jour pour Safari sur macOS et iOS dans les prochains jours pour atténuer ces techniques d'exploitation. Nos tests actuels indiquent que les prochaines atténuations de Safari n'auront aucun impact mesurable sur les tests du compteur de vitesse et ARES-6 et un impact de moins de 2,5% sur le benchmark JetStream.

• CVE-2017-5754 est affecté à Meltdown. Cela a été corrigé avec macOS High Sierra 10.13.2 UNIQUEMENT . Sierra et El Capitan ne sont pas encore corrigés.

TL; DR

Meltdown a été corrigé dans les dernières mises à jour de macOS High Sierra. Sierra et El Capitan sont actuellement sans patch

Spectre n'est pas corrigé, mais très difficile à exécuter bien qu'il puisse être exploité en Javascript. Assurez-vous de mettre à jour vos navigateurs (comme Firefox, Chrome, etc.) quand et où applicable, en plus des mises à jour fournies par Apple.

---

^* Common Vulnerabilities and Exposures (CVE®) est une liste d'identifiants communs pour les vulnérabilités de cybersécurité connues du public. L'utilisation des «identificateurs CVE (CVE ID)», qui sont attribués par les autorités de numérotation CVE (CNA) du monde entier, garantit la confiance entre les parties lorsqu'elles sont utilisées pour discuter ou partager des informations sur une vulnérabilité logicielle unique, fournit une base de référence pour l'évaluation des outils, et permet l'échange de données pour l'automatisation de la cybersécurité.

---