Gibt es bereits eine Meltdown-Sicherheitslücke für MacOS?

Antworten:

15

Kernschmelze

macOS gepatcht 6. Dezember 2017 in macOS 10.13.2
iOS gepatcht 2. Dezember 2017 in iOS 11.2

Apple hat CVE-2017-5754 (Meltdown) in macOS High Sierra 10.13.2, Sicherheitsupdate 2017-002 Sierra und Sicherheitsupdate 2017-005 El Capitan gepatcht. (Support-Artikel HT208331 )

Gespenst

Ab dem 8. Januar hat Apple Updates für Safari unter MacOS und iOS veröffentlicht, um die Effektivität von Spectre zu minimieren. (Support-Artikel HT208394 ) Beachten Sie, dass Spectre nicht "gepatcht" werden kann, sondern nur schwieriger auszuführen ist.

Steve
quelle
4
Es ist ungenau vorzuschlagen, dass Apple Spectre "patchen" wird. Spectre ist eher eine Methode als ein einzelner Exploit. Apple einen Patch für Safari zu entwickeln , die diese Technik machen wird härter mit JavaScript auszuführen. Um alle Angriffe vom Typ Spectre zu stoppen, müssen Änderungen an der Hardware vorgenommen werden.
MJeffryes
3
Diese Informationen sind falsch: Apple hat die Hinweise zu Sicherheitsupdates überarbeitet. Sierra und El Capitan sind noch nicht für Meltdown gepatcht.
Lunixbochs
2
Hat Apple angegeben, ob sie macOS <10.13 oder iOS <11 patchen werden? Oder werden diese Benutzer anfällig bleiben?
Thunderforge
Der Support-Artikel HT208331 enthielt für einen Tag Sierra und ElCap. das tut es aber nicht mehr. Diese Antwort ist falsch.
Gilby
Hat jemand die nachlassende Leistung nach dem Upgrade auf 10.13.3 bemerkt? Einige meiner fortran-codierten Anwendungen weisen eine offensichtliche Verlangsamung auf: Die Laufzeit verdoppelt sich fast.
Sonntag,
10

Wie in einem anderen, ähnlichen sicherheitsbezogenen Beitrag beschrieben , kommentiert Apple Sicherheitslücken erst, wenn sie gepatcht wurden, und selbst wenn sie dies tun, sind sie häufig recht vage.

Informationen zu Apple Sicherheitsupdates

Zum Schutz unserer Kunden werden von Apple keine Sicherheitsprobleme offengelegt, diskutiert oder bestätigt, bis eine Untersuchung durchgeführt wurde und Patches oder Releases verfügbar sind. Aktuelle Versionen werden auf der Seite mit den Apple-Sicherheitsupdates aufgeführt .

Daher sollte der Kommentar im verlinkten Artikel mit (wenig) Skepsis betrachtet werden:

Während Apple den Fehler noch nicht kommentiert hat, bemerkte Alex Ionescu, Windows-Sicherheitsexperte, dass in einem neuen 10.13.3-Update für macOS eine Korrektur vorhanden war.

Mit ein wenig Detektivarbeit können wir jedoch einen Einblick gewinnen. Wenn wir uns die CVEs ansehen, die dieser besonderen Sicherheitsanfälligkeit zugeordnet sind , * können wir eine Liste der Probleme anzeigen , die von Apple behoben werden sollten , wenn ein Sicherheitspatch veröffentlicht wird: Diesen Problemen sind drei CVEs zugeordnet:

  • CVE-2017-5753 und CVE-2017-5715 sind Spectre zugeordnet. Derzeit ist kein Patch verfügbar. Laut Apple ist die Sicherheitsanfälligkeit "sehr schwer auszunutzen", kann aber über Javascript erfolgen. Als solches werden sie in Zukunft ein Update für Safari unter MacOS und iOS herausgeben

    Apple wird in den kommenden Tagen ein Update für Safari unter MacOS und iOS veröffentlichen, um diese Exploit-Techniken zu mildern. Unsere aktuellen Tests haben ergeben, dass die bevorstehenden Safari-Reduzierungen keine messbaren Auswirkungen auf die Tachometer- und ARES-6-Tests haben werden und eine Auswirkung von weniger als 2,5% auf den JetStream-Benchmark.

  • CVE-2017-5754 ist Meltdown zugeordnet. Dies wurde NUR mit macOS High Sierra 10.13.2 gepatcht . Sierra und El Capitan sind noch nicht gepatcht.

TL; DR

Meltdown wurde in den letzten Updates für macOS High Sierra gepatcht. Sierra und El Capitan sind derzeit nicht gepatcht

Spectre ist nicht gepatcht, aber sehr schwierig auszuführen, obwohl es in Javascript ausgenutzt werden kann. Stellen Sie sicher, dass Sie Ihre Browser (wie Firefox, Chrome usw.) gegebenenfalls zusätzlich zu den von Apple bereitgestellten Updates aktualisieren.

* Common Vulnerabilities and Exposures (CVE®) ist eine Liste allgemeiner Kennungen für öffentlich bekannte Sicherheitslücken im Internet. Die Verwendung von "CVE-Kennungen (CVE IDs)", die von CVE-Nummerierungsbehörden (CVE Numbering Authorities, CNAs) auf der ganzen Welt vergeben werden, stellt das Vertrauen zwischen den Parteien sicher, wenn Informationen über eine eindeutige Softwareanfälligkeit diskutiert oder ausgetauscht werden. und ermöglicht den Datenaustausch für die Automatisierung der Cybersicherheit.

Allan
quelle
1
Wie die Antwort von steve zeigt, ist CVE-2017-5754 nun als gepatcht im macOS 10.13.2-Update aufgeführt - vermutlich wurde dies hinzugefügt, seit Sie gepostet haben. Wenn dies die akzeptierte Antwort ist, kann es hilfreich sein, sie zu aktualisieren, um die Änderung widerzuspiegeln.
David Z
@ DavidZ - Danke dafür. Als ich die Antwort abtippte, wurden diese Updates nicht auf Apples Website gepostet
Allan
2
Diese Informationen sind falsch: Apple hat die Hinweise zu Sicherheitsupdates überarbeitet. Sierra und El Capitan sind noch nicht für Meltdown gepatcht.
Lunixbochs
@ Lunixbochs - TY. Ich habe die Informationen in meiner Antwort entsprechend aktualisiert.
Allan