Existe uma correção de vulnerabilidade do Meltdown já disponível para o macOS?

Enquanto a Apple ainda não comentou a falha, Alex Ionescu, especialista em segurança do Windows, observou que uma correção estava presente em uma nova atualização 10.13.3 do macOS.

source: Como se proteger do colapso e do espectro, as últimas falhas de segurança do processador

Fusão

atualização do macOS em 6 de dezembro de 2017 no macOS 10.13.2
iOS atualização de 2 de dezembro de 2017 no iOS 11.2

A Apple corrigiu o CVE-2017-5754 (Meltdown) no macOS High Sierra 10.13.2, Atualização de segurança 2017-002 Sierra e Atualização de segurança 2017-005 El Capitan. (Artigo de suporte HT208331 )

Espectro

Desde 8 de janeiro, a Apple lançou atualizações para o Safari no macOS e iOS para minimizar a eficácia do Spectre. (Artigo de suporte HT208394 ) Observe que o Spectre não pode ser "corrigido", apenas mais difícil de executar.

Conforme publicado em outra publicação semelhante relacionada à segurança , é política da Apple não comentar sobre vulnerabilidades de segurança até que elas sejam corrigidas e, mesmo quando o fazem, geralmente são bastante vagas.

Sobre as atualizações de segurança da Apple

Para a proteção de nossos clientes, a Apple não divulga, discute ou confirma problemas de segurança até que uma investigação ocorra e que patches ou releases estejam disponíveis. As versões recentes estão listadas na página de atualizações de segurança da Apple .

Portanto, o comentário no artigo vinculado deve ser visto com (pouco) ceticismo:

Enquanto a Apple ainda não comentou a falha, Alex Ionescu, especialista em segurança do Windows, observou que uma correção estava presente em uma nova atualização 10.13.3 do macOS.

No entanto, com um pouco de trabalho de detetive, podemos obter algumas idéias. Observando os CVEs atribuídos a essa vulnerabilidade específica , ^* podemos obter uma lista dos problemas que devem ser resolvidos pela Apple quando eles decidem emitir um patch de segurança: Existem três CVEs atribuídos a esses problemas:

• CVE-2017-5753 e CVE-2017-5715 são atribuídos ao Spectre. No momento, não há patch disponível. No entanto, de acordo com a Apple , a vulnerabilidade é "muito difícil de explorar", mas pode ser feita via Javascript. Como tal, eles lançarão uma atualização para o Safari no macOS e iOS no futuro

  A Apple lançará uma atualização para o Safari no macOS e iOS nos próximos dias para mitigar essas técnicas de exploração. Nossos testes atuais indicam que as próximas mitigações do Safari não terão impacto mensurável nos testes Speedometer e ARES-6 e um impacto inferior a 2,5% no benchmark JetStream.

• CVE-2017-5754 é atribuído ao Colapso. Isto foi corrigido com o MacOS High Sierra 10.13.2 ONLY . Sierra e El Capitan ainda não foram corrigidos.

TL; DR

O colapso foi corrigido nas atualizações mais recentes do macOS High Sierra. Sierra e El Capitan estão atualmente sem remendo

O Spectre não possui patches, mas é muito difícil de executar, embora possa ser explorado em Javascript. Atualize seus navegadores (como Firefox, Chrome etc.) quando e onde aplicável, além das atualizações fornecidas pela Apple.

---

^* Vulnerabilidades e exposições comuns (CVE®) é uma lista de identificadores comuns de vulnerabilidades de segurança cibernética conhecidas publicamente. O uso dos "CVE Identifiers (CVE IDs)", atribuídos pelas CVE Numbering Authority (CNAs) de todo o mundo, garante a confiança entre as partes quando usadas para discutir ou compartilhar informações sobre uma vulnerabilidade de software exclusiva, fornece uma linha de base para avaliação de ferramentas, e permite a troca de dados para automação de segurança cibernética.

---