¿Existe una corrección de vulnerabilidad Meltdown ya disponible para macOS?
16
Si bien Apple aún no ha comentado sobre la falla, Alex Ionescu, experto en seguridad de Windows, señaló que había una solución en una nueva actualización 10.13.3 para macOS.
macOS parcheado el 6 de diciembre de 2017 en macOS 10.13.2 iOS parcheado el 2 de diciembre de 2017 en iOS 11.2
Apple parchó CVE-2017-5754 (Meltdown) en macOS High Sierra 10.13.2, Actualización de seguridad 2017-002 Sierra y Actualización de seguridad 2017-005 El Capitan. (Artículo de soporte HT208331 )
Espectro
A partir del 8 de enero, Apple ha lanzado actualizaciones para Safari en macOS e iOS para minimizar la efectividad de Spectre. (Artículo de soporte HT208394 ) Tenga en cuenta que Specter no puede "parchearse", solo que es más difícil de ejecutar.
No es correcto sugerir que Apple va a "parchear a Spectre". Specter es más una metodología que una sola vulnerabilidad. Apple está desarrollando un parche para Safari que hará que esta técnica sea más difícil de ejecutar usando JavaScript. En realidad, detener todos los ataques de tipo Spectre requiere cambios de hardware.
MJeffryes
3
Esta información es incorrecta: Apple ha revisado sus notas de actualización de seguridad. Sierra y El Capitán aún no están parcheados para Meltdown.
lunixbochs
2
¿Apple ha indicado si parchearán macOS <10.13 o iOS <11? ¿O esos usuarios seguirán siendo vulnerables?
Thunderforge
El artículo de soporte HT208331 incluyó, por un día, Sierra y ElCap. pero ya no lo hace. Esta respuesta es incorrecta.
Gilby
¿Alguien ha notado la desaceleración en el rendimiento después de actualizar a 10.13.3? Varias de mis aplicaciones con código fortran se encuentran con una desaceleración obvia: el tiempo de ejecución casi se duplica.
sunt05
10
Como se publicó en otra publicación similar relacionada con la seguridad , es política de Apple no comentar sobre vulnerabilidades de seguridad hasta que se corrijan, e incluso cuando lo hacen, a menudo son bastante vagos al respecto.
Acerca de las actualizaciones de seguridad de Apple
Para la protección de nuestros clientes, Apple no divulga, discute ni confirma problemas de seguridad hasta que se haya producido una investigación y haya parches o versiones disponibles. Las versiones recientes se enumeran en la
página de actualizaciones de seguridad de Apple .
Entonces, el comentario en el artículo vinculado, debe verse con (poco) escepticismo:
Si bien Apple aún no ha comentado sobre la falla, Alex Ionescu, experto en seguridad de Windows, señaló que había una solución en una nueva actualización 10.13.3 para macOS.
Sin embargo, con un poco de trabajo de detective, podemos obtener una idea. Al observar los CVE asignados a esta vulnerabilidad en particular , * podemos obtener una lista de los problemas que Apple debe abordar cuando deciden emitir un parche de seguridad: hay tres CVE asignados a estos problemas:
CVE-2017-5753 y CVE-2017-5715 están asignados a Spectre. Actualmente no hay parche disponible. Sin embargo, según Apple , la vulnerabilidad es "muy difícil de explotar", pero se puede hacer a través de Javascript. Como tal, emitirán una actualización para Safari en macOS e iOS en el futuro
Apple lanzará una actualización para Safari en macOS e iOS en los próximos días para mitigar estas técnicas de explotación. Nuestras pruebas actuales indican que las próximas mitigaciones de Safari no tendrán un impacto medible en las pruebas del velocímetro y ARES-6 y un impacto de menos del 2.5% en el punto de referencia JetStream.
CVE-2017-5754 se asigna a Meltdown. Esto ha sido parcheado con macOS High Sierra 10.13.2 SOLAMENTE . Sierra y El Capitán aún no tienen parches.
TL; DR
Meltdown ha sido parcheado en las actualizaciones más recientes de macOS High Sierra. Sierra y El Capitán están actualmente sin parchear
Specter no tiene parches, pero es muy difícil de ejecutar, aunque puede explotarse en Javascript. Asegúrese de actualizar sus navegadores (como Firefox, Chrome, etc.) cuando y donde corresponda, además de las actualizaciones proporcionadas por Apple.
* Common Vulnerabilities and Exposures (CVE®) es una lista de identificadores comunes para vulnerabilidades de seguridad cibernética conocidas públicamente. El uso de "identificadores de CVE (ID de CVE)", que son asignados por las autoridades de numeración de CVE (CNA) de todo el mundo, garantiza la confianza entre las partes cuando se usa para discutir o compartir información sobre una vulnerabilidad de software única, proporciona una línea de base para la evaluación de herramientas, y permite el intercambio de datos para la automatización de la seguridad cibernética.
Como señala la respuesta de steve, CVE-2017-5754 ahora aparece como parcheado en la actualización macOS 10.13.2, presumiblemente esto se agregó desde que publicó. Siendo esta la respuesta aceptada, podría ser bueno actualizarla para reflejar el cambio.
David Z
@DavidZ - Gracias por eso. Cuando escribí la respuesta, esas actualizaciones no se publicaron en el sitio de Apple
Allan
2
Esta información es incorrecta: Apple ha revisado sus notas de actualización de seguridad. Sierra y El Capitán aún no están parcheados para Meltdown.
lunixbochs
@lunixbochs - TY. He actualizado la información en mi respuesta en consecuencia.
Como se publicó en otra publicación similar relacionada con la seguridad , es política de Apple no comentar sobre vulnerabilidades de seguridad hasta que se corrijan, e incluso cuando lo hacen, a menudo son bastante vagos al respecto.
Entonces, el comentario en el artículo vinculado, debe verse con (poco) escepticismo:
Sin embargo, con un poco de trabajo de detective, podemos obtener una idea. Al observar los CVE asignados a esta vulnerabilidad en particular , * podemos obtener una lista de los problemas que Apple debe abordar cuando deciden emitir un parche de seguridad: hay tres CVE asignados a estos problemas:
CVE-2017-5753 y CVE-2017-5715 están asignados a Spectre. Actualmente no hay parche disponible. Sin embargo, según Apple , la vulnerabilidad es "muy difícil de explotar", pero se puede hacer a través de Javascript. Como tal, emitirán una actualización para Safari en macOS e iOS en el futuro
CVE-2017-5754 se asigna a Meltdown. Esto ha sido parcheado con macOS High Sierra 10.13.2 SOLAMENTE . Sierra y El Capitán aún no tienen parches.
TL; DR
Meltdown ha sido parcheado en las actualizaciones más recientes de macOS High Sierra. Sierra y El Capitán están actualmente sin parchear
Specter no tiene parches, pero es muy difícil de ejecutar, aunque puede explotarse en Javascript. Asegúrese de actualizar sus navegadores (como Firefox, Chrome, etc.) cuando y donde corresponda, además de las actualizaciones proporcionadas por Apple.
* Common Vulnerabilities and Exposures (CVE®) es una lista de identificadores comunes para vulnerabilidades de seguridad cibernética conocidas públicamente. El uso de "identificadores de CVE (ID de CVE)", que son asignados por las autoridades de numeración de CVE (CNA) de todo el mundo, garantiza la confianza entre las partes cuando se usa para discutir o compartir información sobre una vulnerabilidad de software única, proporciona una línea de base para la evaluación de herramientas, y permite el intercambio de datos para la automatización de la seguridad cibernética.
fuente