¿Hay una corrección de vulnerabilidad de Meltdown ya disponible para macOS?

Fusión de un reactor

macOS parcheado el 6 de diciembre de 2017 en macOS 10.13.2
iOS parcheado el 2 de diciembre de 2017 en iOS 11.2

Apple parchó CVE-2017-5754 (Meltdown) en macOS High Sierra 10.13.2, Security Update 2017-002 Sierra y Security Update 2017-005 El Capitan. (Artículo de soporte HT208331 )

Espectro

A partir del 8 de enero, Apple lanzó actualizaciones para Safari en macOS e iOS para minimizar la efectividad de Spectre. (Artículo de soporte HT208394 ) Tenga en cuenta que Spectre no se puede "parchear", solo que es más difícil de ejecutar.

Como se publicó en otra publicación similar relacionada con la seguridad , la política de Apple es no comentar sobre las vulnerabilidades de seguridad hasta que se corrijan, e incluso cuando lo hacen, a menudo son bastante vagos al respecto.

Acerca de las actualizaciones de seguridad de Apple

Para la protección de nuestros clientes, Apple no divulga, analiza ni confirma problemas de seguridad hasta que se haya llevado a cabo una investigación y haya parches o versiones disponibles. Los lanzamientos recientes se enumeran en la página de actualizaciones de seguridad de Apple .

Por lo tanto, el comentario en el artículo vinculado debe verse con (poco) escepticismo:

Si bien Apple aún no ha comentado sobre la falla, Alex Ionescu, experto en seguridad de Windows, notó que había una solución en una nueva actualización 10.13.3 para macOS.

Sin embargo, con un poco de trabajo detectivesco, podemos obtener una idea. Mirando los CVE asignados a esta vulnerabilidad en particular , ^* podemos obtener una lista de los problemas que Apple debe abordar cuando deciden emitir un parche de seguridad: Hay tres CVE asignados a estos problemas:

• CVE-2017-5753 y CVE-2017-5715 están asignados a Spectre. Actualmente no hay ningún parche disponible. Sin embargo, según Apple , la vulnerabilidad es "muy difícil de explotar", pero se puede hacer a través de Javascript. Como tal, publicarán una actualización para Safari en macOS e iOS en el futuro.

  Apple lanzará una actualización para Safari en macOS e iOS en los próximos días para mitigar estas técnicas de explotación. Nuestras pruebas actuales indican que las próximas mitigaciones de Safari no tendrán un impacto medible en las pruebas del velocímetro y ARES-6 y un impacto de menos del 2,5 % en el punto de referencia de JetStream.

• CVE-2017-5754 está asignado a Meltdown. Esto ha sido parcheado con macOS High Sierra 10.13.2 SOLAMENTE . Sierra y El Capitán aún no están parcheados.

TL;DR

Meltdown se ha parcheado en las actualizaciones más recientes de macOS High Sierra. Sierra y El Capitán están actualmente sin parchear

Spectre no tiene parches, pero es muy difícil de ejecutar, aunque puede explotarse en Javascript. Asegúrese de actualizar sus navegadores (como Firefox, Chrome, etc.) cuando y donde corresponda, además de las actualizaciones proporcionadas por Apple.

---

^* Vulnerabilidades y exposiciones comunes (CVE®) es una lista de identificadores comunes para vulnerabilidades de seguridad cibernética conocidas públicamente. El uso de "identificadores de CVE (ID de CVE)", que son asignados por las autoridades de numeración de CVE (CNA) de todo el mundo, garantiza la confianza entre las partes cuando se utiliza para discutir o compartir información sobre una vulnerabilidad de software única, proporciona una línea de base para la evaluación de herramientas, y permite el intercambio de datos para la automatización de la seguridad cibernética.

---