Como se publicó en otra publicación similar relacionada con la seguridad , es política de Apple no comentar sobre las vulnerabilidades de seguridad hasta que están parcheados, e incluso cuando lo hacen, a menudo son bastante vagos al respecto.
Acerca de las actualizaciones de seguridad de Apple
Para la protección de nuestros clientes, Apple no revela, discute ni
confirmar los problemas de seguridad hasta que haya ocurrido una investigación y
Hay parches o lanzamientos disponibles. Los últimos lanzamientos están listados en la
página de actualizaciones de seguridad de Apple .
Por lo tanto, el comentario en el artículo vinculado debe verse con (poco) escepticismo:
Aunque Apple aún no ha comentado sobre la falla, Alex Ionescu, Windows
experto en seguridad, señaló que una solución estaba presente en una nueva actualización 10.13.3 para
macOS.
Sin embargo, con un poco de trabajo de detectives, podemos obtener cierta información. Si observamos las CVE asignadas a esta vulnerabilidad en particular , * podemos obtener una lista de los problemas que debería ser abordado por Apple cuando deciden emitir un parche de seguridad:
Hay tres CVE asignados a estos problemas:
-
CVE-2017-5753 y CVE-2017-5715 están asignados a Specter. Actualmente no hay ningún parche disponible. Sin embargo, según Apple , la vulnerabilidad es "muy Difícil de explotar ", pero se puede hacer a través de Javascript. Como tales, emitirán una actualización para Safari en macOS e iOS en el futuro
Apple lanzará una actualización para Safari en macOS e iOS en las próximas versiones
Días para mitigar estas técnicas de exploit. Nuestras pruebas actuales
Indica que las próximas mitigaciones de Safari no tendrán medida.
impacto en las pruebas del velocímetro y ARES-6 y un impacto de menos de
2.5% en el índice de referencia de JetStream.
-
CVE-2017-5754 está asignado a Meltdown. Esto se ha parchado con macOS High Sierra 10.13.2 SOLAMENTE . Sierra y El Capitán aún no están parcheados.
TL; DR
Meltdown se ha actualizado en las actualizaciones más recientes de macOS High Sierra. Sierra y El Capitán están actualmente sin parche
Specter no tiene parches, pero es muy difícil de ejecutar, aunque puede ser explotado en Javascript. Asegúrese de actualizar sus navegadores (como Firefox, Chrome, etc.) cuando y donde corresponda, además de las actualizaciones proporcionadas por Apple.
* Vulnerabilidades y exposiciones comunes (CVE®) es una lista de identificadores comunes para la seguridad cibernética conocida vulnerabilidades El uso de los "Identificadores de CVE (ID de CVE)", que son asignados por las Autoridades de Numeración de CVE (CNA) de todo el mundo, garantiza la confianza entre las partes cuando se utilizan para discutir o compartir información sobre una vulnerabilidad de software única, proporciona una línea de base para la evaluación de herramientas. y permite el intercambio de datos para la automatización de la seguridad cibernética.