Apakah ada perbaikan kerentanan Meltdown yang sudah tersedia untuk macOS?

Jawaban:

15

Kehancuran

macOS ditambal 6 Desember 2017 di macOS 10.13.2
iOS ditambal 2 Desember 2017 di iOS 11.2

Apple menambal CVE-2017-5754 (Meltdown) di macOS High Sierra 10.13.2, Pembaruan Keamanan 2017-002 Sierra, dan Pembaruan Keamanan 2017-005 El Capitan. (Artikel Dukungan HT208331 )

Momok

Pada 8 Januari, Apple telah merilis pembaruan untuk Safari di macOS dan iOS untuk meminimalkan efektivitas Specter. (Artikel Dukungan HT208394 ) Perhatikan bahwa Specter tidak dapat "ditambal", hanya saja lebih sulit untuk dieksekusi.

steve
sumber
4
Tidak akurat untuk menyarankan bahwa Apple akan "menambal Specter". Momok lebih merupakan metodologi daripada eksploitasi tunggal. Apple sedang mengembangkan tambalan untuk Safari yang akan membuat teknik ini lebih sulit untuk dieksekusi menggunakan JavaScript. Sebenarnya menghentikan semua serangan tipe Spectre memerlukan perubahan perangkat keras.
MJeffryes
3
Informasi ini salah: Apple telah merevisi catatan pembaruan keamanan mereka. Sierra dan El Capitan belum ditambal untuk Meltdown.
lunixbochs
2
Sudahkah Apple mengindikasikan jika mereka akan menambal macOS <10.13 atau iOS <11? Atau apakah para pengguna itu akan tetap rentan?
Thunderforge
Artikel dukungan HT208331 lakukan, selama sehari, termasuk Sierra dan ElCap. tetapi tidak lagi melakukannya. Jawaban ini salah.
Gilby
Adakah yang memperhatikan perlambatan kinerja setelah memutakhirkan ke 10.13.3? Beberapa aplikasi berkode fortran saya ditemukan dengan penurunan yang jelas: waktu berjalan hampir dua kali lipat.
sunt05
10

Seperti yang diposting di pos lain yang serupa, terkait keamanan , adalah kebijakan Apple untuk tidak mengomentari kerentanan keamanan sampai mereka ditambal, dan bahkan ketika mereka melakukannya, mereka sering tidak jelas tentang hal itu.

Tentang pembaruan keamanan Apple

Demi perlindungan pelanggan kami, Apple tidak mengungkapkan, mendiskusikan, atau mengonfirmasi masalah keamanan sampai investigasi telah terjadi dan tambalan atau rilis tersedia. Rilis terbaru terdaftar di halaman pembaruan keamanan Apple .

Jadi, komentar dalam artikel yang ditautkan, harus dilihat dengan (sedikit) skeptis:

Sementara Apple belum mengomentari cacat itu, Alex Ionescu, pakar keamanan Windows, mencatat perbaikan hadir dalam pembaruan 10.13.3 baru untuk macOS.

Namun, dengan sedikit pekerjaan detektif, kita bisa mendapatkan beberapa wawasan. Melihat CVE yang ditugaskan untuk kerentanan khusus ini , * kita bisa mendapatkan daftar masalah yang harus ditangani oleh Apple ketika mereka memutuskan untuk mengeluarkan tambalan keamanan: Ada tiga CVE yang ditugaskan untuk masalah ini:

  • CVE-2017-5753 dan CVE-2017-5715 ditugaskan ke Specter. Saat ini tidak ada tambalan yang tersedia. Namun, menurut Apple , kerentanannya "sangat sulit untuk dieksploitasi" tetapi dapat dilakukan melalui Javascript. Dengan demikian, mereka akan mengeluarkan pembaruan untuk Safari di macOS dan iOS di masa mendatang

    Apple akan merilis pembaruan untuk Safari di macOS dan iOS dalam beberapa hari mendatang untuk mengurangi teknik eksploit ini. Pengujian kami saat ini menunjukkan bahwa mitigasi Safari yang akan datang tidak akan memiliki dampak yang terukur pada tes Speedometer dan ARES-6 dan dampak kurang dari 2,5% pada tolok ukur JetStream.

  • CVE-2017-5754 ditugaskan ke Meltdown. Ini telah ditambal dengan macOS High Sierra 10.13.2 SAJA . Sierra dan El Capitan belum ditambal.

TL; DR

Meltdown telah ditambal dalam pembaruan terbaru untuk macOS High Sierra. Sierra dan El Capitan saat ini belum ditatch

Spectre tidak ditambal, tetapi sangat sulit dieksekusi meskipun dapat dieksploitasi dalam Javascript. Pastikan Anda memperbarui browser Anda (seperti Firefox, Chrome, dll.) Kapan dan di mana berlaku selain pembaruan yang disediakan dari Apple.


* Common Vulnerabilities and Exposures (CVE®) adalah daftar pengidentifikasi umum untuk kerentanan keamanan cyber yang diketahui secara publik. Penggunaan "Pengidentifikasi CVE (ID CVE)," yang ditugaskan oleh Otoritas Penomoran CVE (CNA) dari seluruh dunia, memastikan kepercayaan di antara para pihak ketika digunakan untuk membahas atau berbagi informasi tentang kerentanan perangkat lunak yang unik, memberikan dasar untuk evaluasi alat, dan memungkinkan pertukaran data untuk otomatisasi keamanan siber.


Allan
sumber
1
Sebagai jawaban steve menunjukkan, CVE-2017-5754 sekarang terdaftar telah ditambal di pembaruan macOS 10.13.2 - mungkin ini ditambahkan sejak Anda memposting. Dengan ini sebagai jawaban yang diterima mungkin ada baiknya memperbaruinya untuk mencerminkan perubahan.
David Z
@ DavidZ - Terima kasih untuk itu. Ketika saya mengetik jawabannya, pembaruan itu tidak diposting ke situs Apple
Allan
2
Informasi ini salah: Apple telah merevisi catatan pembaruan keamanan mereka. Sierra dan El Capitan belum ditambal untuk Meltdown.
lunixbochs
@lunixbochs - TY. Saya telah memperbarui informasi dalam jawaban saya sesuai.
Allan