¿Hay alguna solución de vulnerabilidad de Meltdown disponible para macOS?

16
  

Aunque Apple aún no ha comentado sobre la falla, Alex Ionescu, Windows   experto en seguridad, señaló que una solución estaba presente en una nueva actualización 10.13.3 para   macOS.

fuente: Cómo protegerse de la fusión y el espectro, lo último Fallas de seguridad del procesador

    
pregunta rraallvv 04.01.2018 - 23:07

2 respuestas

15

Meltdown

macOS parcheado el 6 de diciembre de 2017 en macOS 10.13.2
iOS parcheado el 2 de diciembre de 2017 en iOS 11.2

Apple parchó CVE-2017-5754 (Meltdown) en macOS High Sierra 10.13.2, Security Update 2017-002 Sierra, y Security Update 2017-005 El Capitan. (Artículo de soporte HT208331 )

Espectro

A partir del 8 de enero, Apple ha lanzado actualizaciones para Safari en macOS e iOS para minimizar la efectividad de Spectre. (Artículo de soporte HT208394 ) Tenga en cuenta que Specter no puede ser "parchado", solo es más difícil de ejecutar.

    
respondido por el steve 05.01.2018 - 01:33
10

Como se publicó en otra publicación similar relacionada con la seguridad , es política de Apple no comentar sobre las vulnerabilidades de seguridad hasta que están parcheados, e incluso cuando lo hacen, a menudo son bastante vagos al respecto.

  

Acerca de las actualizaciones de seguridad de Apple

     

Para la protección de nuestros clientes, Apple no revela, discute ni   confirmar los problemas de seguridad hasta que haya ocurrido una investigación y   Hay parches o lanzamientos disponibles. Los últimos lanzamientos están listados en la    página de actualizaciones de seguridad de Apple .

Por lo tanto, el comentario en el artículo vinculado debe verse con (poco) escepticismo:

  

Aunque Apple aún no ha comentado sobre la falla, Alex Ionescu, Windows   experto en seguridad, señaló que una solución estaba presente en una nueva actualización 10.13.3 para   macOS.

Sin embargo, con un poco de trabajo de detectives, podemos obtener cierta información. Si observamos las CVE asignadas a esta vulnerabilidad en particular , * podemos obtener una lista de los problemas que debería ser abordado por Apple cuando deciden emitir un parche de seguridad: Hay tres CVE asignados a estos problemas:

  • CVE-2017-5753 y CVE-2017-5715 están asignados a Specter. Actualmente no hay ningún parche disponible. Sin embargo, según Apple , la vulnerabilidad es "muy Difícil de explotar ", pero se puede hacer a través de Javascript. Como tales, emitirán una actualización para Safari en macOS e iOS en el futuro

      

    Apple lanzará una actualización para Safari en macOS e iOS en las próximas versiones   Días para mitigar estas técnicas de exploit. Nuestras pruebas actuales   Indica que las próximas mitigaciones de Safari no tendrán medida.   impacto en las pruebas del velocímetro y ARES-6 y un impacto de menos de   2.5% en el índice de referencia de JetStream.

  • CVE-2017-5754 está asignado a Meltdown. Esto se ha parchado con macOS High Sierra 10.13.2 SOLAMENTE . Sierra y El Capitán aún no están parcheados.

TL; DR

Meltdown se ha actualizado en las actualizaciones más recientes de macOS High Sierra. Sierra y El Capitán están actualmente sin parche

Specter no tiene parches, pero es muy difícil de ejecutar, aunque puede ser explotado en Javascript. Asegúrese de actualizar sus navegadores (como Firefox, Chrome, etc.) cuando y donde corresponda, además de las actualizaciones proporcionadas por Apple.

* Vulnerabilidades y exposiciones comunes (CVE®) es una lista de identificadores comunes para la seguridad cibernética conocida vulnerabilidades El uso de los "Identificadores de CVE (ID de CVE)", que son asignados por las Autoridades de Numeración de CVE (CNA) de todo el mundo, garantiza la confianza entre las partes cuando se utilizan para discutir o compartir información sobre una vulnerabilidad de software única, proporciona una línea de base para la evaluación de herramientas y permite el intercambio de datos para la automatización de la seguridad cibernética.
respondido por el Allan 04.01.2018 - 23:40

Lea otras preguntas en las etiquetas