Existe-t-il un correctif de vulnérabilité Meltdown déjà disponible pour macOS?

Réponses:

15

Fusion

macOS corrigé le 6 décembre 2017 dans macOS 10.13.2
iOS corrigé le 2 décembre 2017 dans iOS 11.2

Apple a corrigé CVE-2017-5754 (Meltdown) dans macOS High Sierra 10.13.2, Security Update 2017-002 Sierra et Security Update 2017-005 El Capitan. (Article de support HT208331 )

Spectre

Depuis le 8 janvier, Apple a publié des mises à jour pour Safari sur macOS et iOS afin de minimiser l'efficacité de Spectre. (Article de support HT208394 ) Notez que Spectre ne peut pas être "corrigé", mais plus difficile à exécuter.

Steve
la source
4
Il est inexact de suggérer qu'Apple va "patcher Spectre". Spectre est plus une méthodologie qu'un simple exploit. Apple développe un correctif pour Safari qui rendra cette technique plus difficile à exécuter à l'aide de JavaScript. En réalité, l'arrêt de toutes les attaques de type Spectre nécessite des modifications matérielles.
MJeffryes
3
Ces informations sont incorrectes: Apple a révisé ses notes de mise à jour de sécurité. Sierra et El Capitan ne sont pas encore corrigés pour Meltdown.
lunixbochs
2
Apple a-t-il indiqué s'il appliquerait des correctifs à macOS <10.13 ou iOS <11? Ou ces utilisateurs vont-ils rester vulnérables?
Thunderforge
L'article de support HT208331 a, pendant une journée, inclus Sierra et ElCap. mais il ne le fait plus. Cette réponse est fausse.
Gilby
Quelqu'un a-t-il remarqué le ralentissement des performances après la mise à niveau vers 10.13.3? Plusieurs de mes applications codées fortran se retrouvent avec un ralentissement évident: le temps d'exécution est presque doublé.
sunt05
10

Comme indiqué dans un autre article similaire sur la sécurité , Apple a pour politique de ne pas commenter les vulnérabilités de sécurité jusqu'à ce qu'elles soient corrigées, et même lorsqu'elles le font, elles sont souvent assez vagues à ce sujet.

À propos des mises à jour de sécurité Apple

Pour la protection de nos clients, Apple ne divulgue, ne discute ni ne confirme les problèmes de sécurité tant qu'une enquête n'a pas eu lieu et que des correctifs ou des versions ne sont pas disponibles. Les versions récentes sont répertoriées sur la page des mises à jour de sécurité Apple .

Ainsi, le commentaire de l'article lié doit être considéré avec (peu) de scepticisme:

Alors qu'Apple n'a pas encore commenté la faille, Alex Ionescu, expert en sécurité Windows, a noté qu'un correctif était présent dans une nouvelle mise à jour 10.13.3 de macOS.

Cependant, avec un peu de travail de détective, nous pouvons obtenir un aperçu. En regardant le CVE attribués à cette vulnérabilité particulière , * nous pouvons obtenir la liste des problèmes qui devraient être résolus par Apple lorsqu'ils décident de publier un correctif de sécurité: Trois CVE sont affectés à ces problèmes:

  • CVE-2017-5753 et CVE-2017-5715 sont affectés à Spectre. Il n'y a actuellement aucun correctif disponible. Cependant, selon Apple , la vulnérabilité est "très difficile à exploiter" mais peut se faire via Javascript. À ce titre, ils publieront une mise à jour pour Safari sur macOS et iOS à l'avenir

    Apple publiera une mise à jour pour Safari sur macOS et iOS dans les prochains jours pour atténuer ces techniques d'exploitation. Nos tests actuels indiquent que les prochaines atténuations de Safari n'auront aucun impact mesurable sur les tests du compteur de vitesse et ARES-6 et un impact de moins de 2,5% sur le benchmark JetStream.

  • CVE-2017-5754 est affecté à Meltdown. Cela a été corrigé avec macOS High Sierra 10.13.2 UNIQUEMENT . Sierra et El Capitan ne sont pas encore corrigés.

TL; DR

Meltdown a été corrigé dans les dernières mises à jour de macOS High Sierra. Sierra et El Capitan sont actuellement sans patch

Spectre n'est pas corrigé, mais très difficile à exécuter bien qu'il puisse être exploité en Javascript. Assurez-vous de mettre à jour vos navigateurs (comme Firefox, Chrome, etc.) quand et où applicable, en plus des mises à jour fournies par Apple.


* Common Vulnerabilities and Exposures (CVE®) est une liste d'identifiants communs pour les vulnérabilités de cybersécurité connues du public. L'utilisation des «identificateurs CVE (CVE ID)», qui sont attribués par les autorités de numérotation CVE (CNA) du monde entier, garantit la confiance entre les parties lorsqu'elles sont utilisées pour discuter ou partager des informations sur une vulnérabilité logicielle unique, fournit une base de référence pour l'évaluation des outils, et permet l'échange de données pour l'automatisation de la cybersécurité.


Allan
la source
1
Comme l'indique la réponse de steve, CVE-2017-5754 est désormais répertorié comme ayant été corrigé dans la mise à jour macOS 10.13.2 - cela a probablement été ajouté depuis votre publication. Cette réponse étant acceptée, il pourrait être utile de la mettre à jour pour refléter le changement.
David Z
@DavidZ - Merci pour cela. Lorsque j'ai tapé la réponse, ces mises à jour n'ont pas été publiées sur le site d'Apple
Allan
2
Ces informations sont incorrectes: Apple a révisé ses notes de mise à jour de sécurité. Sierra et El Capitan ne sont pas encore corrigés pour Meltdown.
lunixbochs
@lunixbochs - TY. J'ai mis à jour les informations dans ma réponse en conséquence.
Allan