Gibt es bereits eine Meltdown-Sicherheitslücke für MacOS?

Während Apple den Fehler noch nicht kommentiert hat, bemerkte Alex Ionescu, Windows-Sicherheitsexperte, dass in einem neuen 10.13.3-Update für macOS eine Korrektur vorhanden war.

Quelle: So schützen Sie sich vor Meltdown und Spectre, den neuesten Sicherheitslücken des Prozessors

Kernschmelze

macOS gepatcht 6. Dezember 2017 in macOS 10.13.2
iOS gepatcht 2. Dezember 2017 in iOS 11.2

Apple hat CVE-2017-5754 (Meltdown) in macOS High Sierra 10.13.2, Sicherheitsupdate 2017-002 Sierra und Sicherheitsupdate 2017-005 El Capitan gepatcht. (Support-Artikel HT208331 )

Gespenst

Ab dem 8. Januar hat Apple Updates für Safari unter MacOS und iOS veröffentlicht, um die Effektivität von Spectre zu minimieren. (Support-Artikel HT208394 ) Beachten Sie, dass Spectre nicht "gepatcht" werden kann, sondern nur schwieriger auszuführen ist.

Wie in einem anderen, ähnlichen sicherheitsbezogenen Beitrag beschrieben , kommentiert Apple Sicherheitslücken erst, wenn sie gepatcht wurden, und selbst wenn sie dies tun, sind sie häufig recht vage.

Informationen zu Apple Sicherheitsupdates

Zum Schutz unserer Kunden werden von Apple keine Sicherheitsprobleme offengelegt, diskutiert oder bestätigt, bis eine Untersuchung durchgeführt wurde und Patches oder Releases verfügbar sind. Aktuelle Versionen werden auf der Seite mit den Apple-Sicherheitsupdates aufgeführt .

Daher sollte der Kommentar im verlinkten Artikel mit (wenig) Skepsis betrachtet werden:

Während Apple den Fehler noch nicht kommentiert hat, bemerkte Alex Ionescu, Windows-Sicherheitsexperte, dass in einem neuen 10.13.3-Update für macOS eine Korrektur vorhanden war.

Mit ein wenig Detektivarbeit können wir jedoch einen Einblick gewinnen. Wenn wir uns die CVEs ansehen, die dieser besonderen Sicherheitsanfälligkeit zugeordnet sind , ^{* können} wir eine Liste der Probleme anzeigen , die von Apple behoben werden sollten , wenn ein Sicherheitspatch veröffentlicht wird: Diesen Problemen sind drei CVEs zugeordnet:

• CVE-2017-5753 und CVE-2017-5715 sind Spectre zugeordnet. Derzeit ist kein Patch verfügbar. Laut Apple ist die Sicherheitsanfälligkeit "sehr schwer auszunutzen", kann aber über Javascript erfolgen. Als solches werden sie in Zukunft ein Update für Safari unter MacOS und iOS herausgeben

  Apple wird in den kommenden Tagen ein Update für Safari unter MacOS und iOS veröffentlichen, um diese Exploit-Techniken zu mildern. Unsere aktuellen Tests haben ergeben, dass die bevorstehenden Safari-Reduzierungen keine messbaren Auswirkungen auf die Tachometer- und ARES-6-Tests haben werden und eine Auswirkung von weniger als 2,5% auf den JetStream-Benchmark.

• CVE-2017-5754 ist Meltdown zugeordnet. Dies wurde NUR mit macOS High Sierra 10.13.2 gepatcht . Sierra und El Capitan sind noch nicht gepatcht.

TL; DR

Meltdown wurde in den letzten Updates für macOS High Sierra gepatcht. Sierra und El Capitan sind derzeit nicht gepatcht

Spectre ist nicht gepatcht, aber sehr schwierig auszuführen, obwohl es in Javascript ausgenutzt werden kann. Stellen Sie sicher, dass Sie Ihre Browser (wie Firefox, Chrome usw.) gegebenenfalls zusätzlich zu den von Apple bereitgestellten Updates aktualisieren.

---

^* Common Vulnerabilities and Exposures (CVE®) ist eine Liste allgemeiner Kennungen für öffentlich bekannte Sicherheitslücken im Internet. Die Verwendung von "CVE-Kennungen (CVE IDs)", die von CVE-Nummerierungsbehörden (CVE Numbering Authorities, CNAs) auf der ganzen Welt vergeben werden, stellt das Vertrauen zwischen den Parteien sicher, wenn Informationen über eine eindeutige Softwareanfälligkeit diskutiert oder ausgetauscht werden. und ermöglicht den Datenaustausch für die Automatisierung der Cybersicherheit.

---