Jak napisano w innym, podobnym poście związanym z bezpieczeństwem , zasadą firmy Apple jest nie komentowanie luk w zabezpieczeniach, dopóki nie zostaną one załatane, a nawet kiedy to zrobią, często są dość niejasne.
Informacje o aktualizacjach zabezpieczeń Apple
W celu ochrony naszych klientów Apple nie ujawnia, nie dyskutuje ani nie potwierdza problemów bezpieczeństwa, dopóki nie zostanie przeprowadzone dochodzenie i nie będą dostępne poprawki ani wydania. Najnowsze wersje są wymienione na
stronie aktualizacji zabezpieczeń Apple .
Tak więc komentarz w połączonym artykule należy rozpatrywać z (małym) sceptycyzmem:
Podczas gdy Apple jeszcze nie skomentował tej wady, Alex Ionescu, ekspert ds. Bezpieczeństwa systemu Windows, zauważył, że poprawka była obecna w nowej aktualizacji 10.13.3 macOS.
Jednak przy odrobinie pracy detektywistycznej możemy uzyskać wgląd. Patrząc na CVE przypisane do tej szczególnej luki , * możemy uzyskać listę problemów, które Apple powinien rozwiązać, gdy zdecydują się wydać łatkę bezpieczeństwa: Do tych problemów przypisano trzy CVE:
CVE-2017-5753 i CVE-2017-5715 są przypisane do Spectre. Obecnie nie jest dostępna łatka. Jednak według Apple luka ta jest „bardzo trudna do wykorzystania”, ale można ją wykonać za pomocą Javascript. W związku z tym w przyszłości wydadzą aktualizację dla Safari na macOS i iOS
W najbliższych dniach Apple wyda aktualizację dla Safari na macOS i iOS, aby złagodzić te techniki wykorzystania. Nasze bieżące testy wskazują, że nadchodzące ograniczenia Safari nie będą miały mierzalnego wpływu na testy prędkościomierza i ARES-6, a wpływ mniejszy niż 2,5% na test porównawczy JetStream.
CVE-2017-5754 jest przypisany do Meltdown. Zostało to załatane TYLKO w systemie macOS High Sierra 10.13.2 . Sierra i El Capitan nie są jeszcze załatane.
TL; DR
Meltdown został załatany w najnowszych aktualizacjach macOS High Sierra. Sierra i El Capitan są obecnie niezałatane
Spectre jest niepakowany, ale bardzo trudny do wykonania, choć można go wykorzystać w Javascript. Upewnij się, że aktualizujesz przeglądarki (takie jak Firefox, Chrome itp.), Kiedy i gdzie to możliwe, oprócz aktualizacji dostarczanych przez Apple.
* Typowe luki w zabezpieczeniach i narażenia (CVE®) to lista popularnych identyfikatorów powszechnie znanych luk w zabezpieczeniach cybernetycznych. Użycie „Identyfikatorów CVE (CVE ID)”, które są przypisywane przez organy numerujące CVE (CNA) z całego świata, zapewnia zaufanie stron podczas dyskusji lub udostępniania informacji o unikalnej podatności na oprogramowanie, stanowi podstawę oceny narzędzi, i umożliwia wymianę danych w celu automatyzacji bezpieczeństwa cybernetycznego.