Alors qu'Apple n'a pas encore commenté la faille, Alex Ionescu, expert en sécurité Windows, a noté qu'un correctif était présent dans une nouvelle mise à jour 10.13.3 de macOS.
source: Comment vous protéger contre la fusion et Spectre, les dernières failles de sécurité du processeur
la source
Comme indiqué dans un autre article similaire sur la sécurité , Apple a pour politique de ne pas commenter les vulnérabilités de sécurité jusqu'à ce qu'elles soient corrigées, et même lorsqu'elles le font, elles sont souvent assez vagues à ce sujet.
Ainsi, le commentaire de l'article lié doit être considéré avec (peu) de scepticisme:
Cependant, avec un peu de travail de détective, nous pouvons obtenir un aperçu. En regardant le CVE attribués à cette vulnérabilité particulière , * nous pouvons obtenir la liste des problèmes qui devraient être résolus par Apple lorsqu'ils décident de publier un correctif de sécurité: Trois CVE sont affectés à ces problèmes:
CVE-2017-5753 et CVE-2017-5715 sont affectés à Spectre. Il n'y a actuellement aucun correctif disponible. Cependant, selon Apple , la vulnérabilité est "très difficile à exploiter" mais peut se faire via Javascript. À ce titre, ils publieront une mise à jour pour Safari sur macOS et iOS à l'avenir
CVE-2017-5754 est affecté à Meltdown. Cela a été corrigé avec macOS High Sierra 10.13.2 UNIQUEMENT . Sierra et El Capitan ne sont pas encore corrigés.
TL; DR
Meltdown a été corrigé dans les dernières mises à jour de macOS High Sierra. Sierra et El Capitan sont actuellement sans patch
Spectre n'est pas corrigé, mais très difficile à exécuter bien qu'il puisse être exploité en Javascript. Assurez-vous de mettre à jour vos navigateurs (comme Firefox, Chrome, etc.) quand et où applicable, en plus des mises à jour fournies par Apple.
* Common Vulnerabilities and Exposures (CVE®) est une liste d'identifiants communs pour les vulnérabilités de cybersécurité connues du public. L'utilisation des «identificateurs CVE (CVE ID)», qui sont attribués par les autorités de numérotation CVE (CNA) du monde entier, garantit la confiance entre les parties lorsqu'elles sont utilisées pour discuter ou partager des informations sur une vulnérabilité logicielle unique, fournit une base de référence pour l'évaluation des outils, et permet l'échange de données pour l'automatisation de la cybersécurité.
la source