Während Apple den Fehler noch nicht kommentiert hat, stellte Alex Ionescu, Windows-Sicherheitsexperte, fest, dass ein Fix in einem neuen 10.13.3-Update für macOS enthalten war.
Quelle: So schützen Sie sich vor Meltdown und Spectre, den neuesten Prozessor-Sicherheitslücken
macOS gepatcht am 6. Dezember 2017 in macOS 10.13.2
iOS gepatcht am 2. Dezember 2017 in iOS 11.2
Apple hat CVE-2017-5754 (Meltdown) in macOS High Sierra 10.13.2, Sicherheitsupdate 2017-002 Sierra und Sicherheitsupdate 2017-005 El Capitan gepatcht. (Support-Artikel HT208331 )
Ab dem 8. Januar hat Apple Updates für Safari auf macOS und iOS veröffentlicht, um die Effektivität von Spectre zu minimieren. (Support-Artikel HT208394 ) Beachten Sie, dass Spectre nicht "gepatcht" werden kann, sondern nur schwieriger auszuführen ist.
Wie in einem anderen, ähnlichen sicherheitsbezogenen Beitrag veröffentlicht, ist es Apples Richtlinie, Sicherheitslücken nicht zu kommentieren, bis sie gepatcht sind, und selbst wenn sie es tun, sind sie oft ziemlich vage darüber.
Über Apple-Sicherheitsupdates
Zum Schutz unserer Kunden offenbart, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung durchgeführt wurde und Patches oder Versionen verfügbar sind. Aktuelle Versionen sind auf der Apple-Seite für Sicherheitsupdates aufgeführt .
Der Kommentar im verlinkten Artikel ist also mit (wenig) Skepsis zu betrachten:
Während Apple den Fehler noch nicht kommentiert hat, stellte Alex Ionescu, Windows-Sicherheitsexperte, fest, dass ein Fix in einem neuen 10.13.3-Update für macOS enthalten war.
Mit ein wenig Detektivarbeit können wir jedoch einen Einblick gewinnen. Wenn wir uns die CVEs ansehen, die dieser bestimmten Schwachstelle * zugewiesen wurden, können wir eine Liste der Probleme erhalten, die von Apple behoben werden sollten , wenn sie sich entscheiden, einen Sicherheitspatch herauszugeben: Diesen Problemen sind drei CVEs zugewiesen:
CVE-2017-5753 und CVE-2017-5715 sind Spectre zugeordnet. Derzeit ist kein Patch verfügbar. Laut Apple ist die Schwachstelle jedoch „sehr schwierig auszunutzen“, kann aber über Javascript ausgenutzt werden. Daher werden sie in Zukunft ein Update für Safari auf macOS und iOS herausgeben
Apple wird in den kommenden Tagen ein Update für Safari auf macOS und iOS veröffentlichen, um diese Exploit-Techniken abzuschwächen. Unsere aktuellen Tests zeigen, dass die bevorstehenden Safari-Minderungen keine messbaren Auswirkungen auf die Tachometer- und ARES-6-Tests und eine Auswirkung von weniger als 2,5 % auf den JetStream-Benchmark haben werden.
CVE-2017-5754 wird Meltdown zugewiesen. Dies wurde NUR mit macOS High Sierra 10.13.2 gepatcht . Sierra und El Capitan sind noch nicht gepatcht.
Meltdown wurde in den neuesten Updates für macOS High Sierra gepatcht. Sierra und El Capitan sind derzeit ungepatcht
Spectre ist ungepatcht, aber sehr schwierig auszuführen, obwohl es in Javascript ausgenutzt werden kann. Stellen Sie sicher, dass Sie Ihre Browser (wie Firefox, Chrome usw.) gegebenenfalls zusätzlich zu den von Apple bereitgestellten Updates aktualisieren.
MJeffryes
lunixbochs
Donnerschmiede
Gilby
sunt05