Có một lỗ hổng Meltdown đã có sẵn cho macOS không?

Câu trả lời:

15

Meltdown

macOS được vá ngày 6 tháng 12 năm 2017 trong macOS 10.13.2
iOS được vá vào ngày 2 tháng 12 năm 2017 trong iOS 11.2

Apple đã vá CVE-2017-5754 (Meltdown) trong macOS High Sierra 10.13.2, Cập nhật bảo mật 2017-002 Sierra và Cập nhật bảo mật 2017-005 El Capitan. (Điều hỗ trợ HT208331 )

Bóng ma

Kể từ ngày 8 tháng 1, Apple đã phát hành bản cập nhật cho Safari trên macOS và iOS để giảm thiểu hiệu quả của Spectre. (Điều hỗ trợ HT208394 ) Lưu ý rằng Spectre không thể được "vá", chỉ khó thực hiện hơn.

steve
nguồn
4
Thật không chính xác khi đề xuất rằng Apple sẽ "vá Spectre". Spectre là một phương pháp hơn là khai thác đơn lẻ. Apple đang phát triển một bản vá cho Safari, điều này sẽ khiến kỹ thuật này khó thực thi hơn khi sử dụng JavaScript. Trên thực tế, việc dừng tất cả các cuộc tấn công kiểu Spectre đòi hỏi phải thay đổi phần cứng.
MJeffryes
3
Thông tin này không chính xác: Apple đã sửa đổi ghi chú cập nhật bảo mật của họ. Sierra và El Capitan chưa được vá cho Meltdown.
lunixbochs
2
Apple có cho biết họ sẽ vá macOS <10.13 hay iOS <11 không? Hay những người dùng đó sẽ vẫn dễ bị tổn thương?
Thunderforge
Bài viết hỗ trợ HT208331 đã làm trong một ngày, bao gồm Sierra và ElCap. nhưng nó không còn làm như vậy nữa Câu trả lời này là sai.
Gilby
Có ai nhận thấy sự chậm lại trong hiệu suất sau khi nâng cấp lên 10.13.3 không? Một số ứng dụng được mã hóa fortran của tôi được tìm thấy với sự chậm chạp rõ ràng: thời gian chạy gần gấp đôi.
sunt05
10

Như được đăng trong một bài đăng khác, liên quan đến bảo mật tương tự , chính sách của Apple là không bình luận về các lỗ hổng bảo mật cho đến khi chúng được vá và ngay cả khi chúng xảy ra, chúng thường khá mơ hồ về điều đó.

Giới thiệu về cập nhật bảo mật của Apple

Để bảo vệ khách hàng của chúng tôi, Apple không tiết lộ, thảo luận hoặc xác nhận các vấn đề bảo mật cho đến khi một cuộc điều tra đã xảy ra và các bản vá hoặc bản phát hành có sẵn. Các bản phát hành gần đây được liệt kê trên trang cập nhật bảo mật của Apple .

Vì vậy, bình luận trong bài viết được liên kết, nên được xem với (ít) sự hoài nghi:

Trong khi Apple vẫn chưa bình luận về lỗ hổng, Alex Ionescu, chuyên gia bảo mật Windows, lưu ý rằng một bản sửa lỗi đã có trong bản cập nhật 10.13.3 mới cho macOS.

Tuy nhiên, với một chút công việc thám tử, chúng ta có thể có được một số hiểu biết. Nhìn vào các CVE được gán cho lỗ hổng đặc biệt này , * chúng ta có thể nhận được danh sách các vấn đề cần được Apple giải quyết khi họ quyết định đưa ra một bản vá bảo mật: Có ba CVE được gán cho các vấn đề này:

  • CVE-2017-5753 và CVE-2017-5715 được gán cho Spectre. Hiện tại không có bản vá có sẵn. Tuy nhiên, theo Apple , lỗ hổng này "rất khó khai thác" nhưng có thể được thực hiện thông qua Javascript. Do đó, họ sẽ phát hành bản cập nhật cho Safari trên macOS và iOS trong tương lai

    Apple sẽ phát hành bản cập nhật cho Safari trên macOS và iOS trong những ngày tới để giảm thiểu các kỹ thuật khai thác này. Thử nghiệm hiện tại của chúng tôi chỉ ra rằng các giảm thiểu Safari sắp tới sẽ không có tác động có thể đo lường được đối với các thử nghiệm của Speedometer và ARES-6 và tác động dưới 2,5% đối với điểm chuẩn JetStream.

  • CVE-2017-5754 được gán cho Meltdown. Điều này đã được vá với macOS High Sierra 10.13.2 CHỈ . Sierra và El Capitan chưa được vá.

TL; DR

Meltdown đã được vá trong các bản cập nhật gần đây nhất cho macOS High Sierra. Sierra và El Capitan hiện chưa được đánh giá

Spectre chưa được vá, nhưng rất khó thực hiện mặc dù nó có thể được khai thác trong Javascript. Đảm bảo bạn cập nhật trình duyệt của mình (như Firefox, Chrome, v.v.) khi nào và ở đâu áp dụng cùng với các bản cập nhật được cung cấp từ Apple.

* Các lỗ hổng và phơi nhiễm phổ biến (CVE®) là danh sách các mã định danh phổ biến cho các lỗ hổng bảo mật mạng được biết đến công khai. Việc sử dụng "Số nhận dạng CVE (ID CVE)", được chỉ định bởi Cơ quan đánh số CVE (CNA) từ khắp nơi trên thế giới, đảm bảo sự tin cậy giữa các bên khi được sử dụng để thảo luận hoặc chia sẻ thông tin về lỗ hổng phần mềm duy nhất, cung cấp đường cơ sở để đánh giá công cụ, và cho phép trao đổi dữ liệu cho tự động hóa an ninh mạng.

Allan
nguồn
1
Như câu trả lời của steve chỉ ra, CVE-2017-5754 hiện được liệt kê là đã được vá trong bản cập nhật macOS 10.13.2 - có lẽ điều này đã được thêm vào kể từ khi bạn đăng. Với câu trả lời được chấp nhận này, có thể tốt để cập nhật nó để phản ánh sự thay đổi.
David Z
@DavidZ - Cảm ơn vì điều đó. Khi tôi gõ câu trả lời, những cập nhật đó không được đăng lên trang web của Apple
Allan
2
Thông tin này không chính xác: Apple đã sửa đổi ghi chú cập nhật bảo mật của họ. Sierra và El Capitan chưa được vá cho Meltdown.
lunixbochs
@lunixbochs - TY. Tôi đã cập nhật thông tin trong câu trả lời của tôi cho phù hợp.
Allan
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.