Gibt es bereits einen Fix für die Meltdown-Schwachstelle für macOS?

Während Apple den Fehler noch nicht kommentiert hat, stellte Alex Ionescu, Windows-Sicherheitsexperte, fest, dass ein Fix in einem neuen 10.13.3-Update für macOS enthalten war.

Quelle: So schützen Sie sich vor Meltdown und Spectre, den neuesten Prozessor-Sicherheitslücken

Antworten (2)

Kernschmelze

macOS gepatcht am 6. Dezember 2017 in macOS 10.13.2
iOS gepatcht am 2. Dezember 2017 in iOS 11.2

Apple hat CVE-2017-5754 (Meltdown) in macOS High Sierra 10.13.2, Sicherheitsupdate 2017-002 Sierra und Sicherheitsupdate 2017-005 El Capitan gepatcht. (Support-Artikel HT208331 )

Gespenst

Ab dem 8. Januar hat Apple Updates für Safari auf macOS und iOS veröffentlicht, um die Effektivität von Spectre zu minimieren. (Support-Artikel HT208394 ) Beachten Sie, dass Spectre nicht "gepatcht" werden kann, sondern nur schwieriger auszuführen ist.

Es ist ungenau anzunehmen, dass Apple Spectre „patchen“ wird. Spectre ist eher eine Methode als ein einzelner Exploit. Apple entwickelt einen Patch für Safari, der die Ausführung dieser Technik mit JavaScript erschweren wird. Das tatsächliche Stoppen aller Spectre-Angriffe erfordert Hardwareänderungen.
Diese Information ist falsch: Apple hat seine Hinweise zu Sicherheitsupdates überarbeitet. Sierra und El Capitan sind noch nicht für Meltdown gepatcht.
Hat Apple angegeben, ob sie macOS < 10.13 oder iOS < 11 patchen werden? Oder bleiben diese Benutzer angreifbar?
Der Support-Artikel HT208331 enthielt einen Tag lang Sierra und ElCap. aber das tut es nicht mehr. Diese Antwort ist falsch.
hat jemand die Leistungsverlangsamung nach dem Upgrade auf 10.13.3 bemerkt? Einige meiner forran-codierten Anwendungen werden mit offensichtlicher Verlangsamung gefunden: Die Laufzeit wird fast verdoppelt.

Wie in einem anderen, ähnlichen sicherheitsbezogenen Beitrag veröffentlicht, ist es Apples Richtlinie, Sicherheitslücken nicht zu kommentieren, bis sie gepatcht sind, und selbst wenn sie es tun, sind sie oft ziemlich vage darüber.

Über Apple-Sicherheitsupdates

Zum Schutz unserer Kunden offenbart, diskutiert oder bestätigt Apple keine Sicherheitsprobleme, bis eine Untersuchung durchgeführt wurde und Patches oder Versionen verfügbar sind. Aktuelle Versionen sind auf der Apple-Seite für Sicherheitsupdates aufgeführt .

Der Kommentar im verlinkten Artikel ist also mit (wenig) Skepsis zu betrachten:

Während Apple den Fehler noch nicht kommentiert hat, stellte Alex Ionescu, Windows-Sicherheitsexperte, fest, dass ein Fix in einem neuen 10.13.3-Update für macOS enthalten war.

Mit ein wenig Detektivarbeit können wir jedoch einen Einblick gewinnen. Wenn wir uns die CVEs ansehen, die dieser bestimmten Schwachstelle * zugewiesen wurden, können wir eine Liste der Probleme erhalten, die von Apple behoben werden sollten , wenn sie sich entscheiden, einen Sicherheitspatch herauszugeben: Diesen Problemen sind drei CVEs zugewiesen:

  • CVE-2017-5753 und CVE-2017-5715 sind Spectre zugeordnet. Derzeit ist kein Patch verfügbar. Laut Apple ist die Schwachstelle jedoch „sehr schwierig auszunutzen“, kann aber über Javascript ausgenutzt werden. Daher werden sie in Zukunft ein Update für Safari auf macOS und iOS herausgeben

    Apple wird in den kommenden Tagen ein Update für Safari auf macOS und iOS veröffentlichen, um diese Exploit-Techniken abzuschwächen. Unsere aktuellen Tests zeigen, dass die bevorstehenden Safari-Minderungen keine messbaren Auswirkungen auf die Tachometer- und ARES-6-Tests und eine Auswirkung von weniger als 2,5 % auf den JetStream-Benchmark haben werden.

  • CVE-2017-5754 wird Meltdown zugewiesen. Dies wurde NUR mit macOS High Sierra 10.13.2 gepatcht . Sierra und El Capitan sind noch nicht gepatcht.

TL;DR

Meltdown wurde in den neuesten Updates für macOS High Sierra gepatcht. Sierra und El Capitan sind derzeit ungepatcht

Spectre ist ungepatcht, aber sehr schwierig auszuführen, obwohl es in Javascript ausgenutzt werden kann. Stellen Sie sicher, dass Sie Ihre Browser (wie Firefox, Chrome usw.) gegebenenfalls zusätzlich zu den von Apple bereitgestellten Updates aktualisieren.

* Common Vulnerabilities and Exposures (CVE®) ist eine Liste allgemeiner Kennungen für öffentlich bekannte Cyber-Sicherheitslücken. Die Verwendung von „CVE Identifiers (CVE IDs)“, die von CVE Numbering Authorities (CNAs) aus der ganzen Welt zugewiesen werden, stellt das Vertrauen zwischen den Parteien sicher, wenn sie verwendet werden, um Informationen über eine einzigartige Software-Schwachstelle zu diskutieren oder auszutauschen, bietet eine Grundlage für die Tool-Evaluierung, und ermöglicht den Datenaustausch für die Automatisierung der Cybersicherheit.

Wie Steves Antwort hervorhebt, wird CVE-2017-5754 jetzt als im macOS 10.13.2-Update gepatcht aufgeführt - vermutlich wurde dies hinzugefügt, seit Sie gepostet haben. Da dies die akzeptierte Antwort ist, könnte es gut sein, sie zu aktualisieren, um die Änderung widerzuspiegeln.
@ DavidZ - Danke dafür. Als ich die Antwort eintippte, wurden diese Updates nicht auf der Apple-Website veröffentlicht
Diese Information ist falsch: Apple hat seine Hinweise zu Sicherheitsupdates überarbeitet. Sierra und El Capitan sind noch nicht für Meltdown gepatcht.
@lunixbochs - TY. Ich habe die Informationen in meiner Antwort entsprechend aktualisiert.
Gibt es bereits einen Fix für die Meltdown-Schwachstelle für macOS?
AntwortenHierDatenschutz-Bestimmungen1y, 0v