¿Existe una corrección de vulnerabilidad Meltdown ya disponible para macOS?

Si bien Apple aún no ha comentado sobre la falla, Alex Ionescu, experto en seguridad de Windows, señaló que había una solución en una nueva actualización 10.13.3 para macOS.

fuente: Cómo protegerse de la fusión y el espectro, los últimos defectos de seguridad del procesador

Fusión de un reactor

macOS parcheado el 6 de diciembre de 2017 en macOS 10.13.2
iOS parcheado el 2 de diciembre de 2017 en iOS 11.2

Apple parchó CVE-2017-5754 (Meltdown) en macOS High Sierra 10.13.2, Actualización de seguridad 2017-002 Sierra y Actualización de seguridad 2017-005 El Capitan. (Artículo de soporte HT208331 )

Espectro

A partir del 8 de enero, Apple ha lanzado actualizaciones para Safari en macOS e iOS para minimizar la efectividad de Spectre. (Artículo de soporte HT208394 ) Tenga en cuenta que Specter no puede "parchearse", solo que es más difícil de ejecutar.

Como se publicó en otra publicación similar relacionada con la seguridad , es política de Apple no comentar sobre vulnerabilidades de seguridad hasta que se corrijan, e incluso cuando lo hacen, a menudo son bastante vagos al respecto.

Acerca de las actualizaciones de seguridad de Apple

Para la protección de nuestros clientes, Apple no divulga, discute ni confirma problemas de seguridad hasta que se haya producido una investigación y haya parches o versiones disponibles. Las versiones recientes se enumeran en la página de actualizaciones de seguridad de Apple .

Entonces, el comentario en el artículo vinculado, debe verse con (poco) escepticismo:

Si bien Apple aún no ha comentado sobre la falla, Alex Ionescu, experto en seguridad de Windows, señaló que había una solución en una nueva actualización 10.13.3 para macOS.

Sin embargo, con un poco de trabajo de detective, podemos obtener una idea. Al observar los CVE asignados a esta vulnerabilidad en particular , ^* podemos obtener una lista de los problemas que Apple debe abordar cuando deciden emitir un parche de seguridad: hay tres CVE asignados a estos problemas:

• CVE-2017-5753 y CVE-2017-5715 están asignados a Spectre. Actualmente no hay parche disponible. Sin embargo, según Apple , la vulnerabilidad es "muy difícil de explotar", pero se puede hacer a través de Javascript. Como tal, emitirán una actualización para Safari en macOS e iOS en el futuro

  Apple lanzará una actualización para Safari en macOS e iOS en los próximos días para mitigar estas técnicas de explotación. Nuestras pruebas actuales indican que las próximas mitigaciones de Safari no tendrán un impacto medible en las pruebas del velocímetro y ARES-6 y un impacto de menos del 2.5% en el punto de referencia JetStream.

• CVE-2017-5754 se asigna a Meltdown. Esto ha sido parcheado con macOS High Sierra 10.13.2 SOLAMENTE . Sierra y El Capitán aún no tienen parches.

TL; DR

Meltdown ha sido parcheado en las actualizaciones más recientes de macOS High Sierra. Sierra y El Capitán están actualmente sin parchear

Specter no tiene parches, pero es muy difícil de ejecutar, aunque puede explotarse en Javascript. Asegúrese de actualizar sus navegadores (como Firefox, Chrome, etc.) cuando y donde corresponda, además de las actualizaciones proporcionadas por Apple.

---

^* Common Vulnerabilities and Exposures (CVE®) es una lista de identificadores comunes para vulnerabilidades de seguridad cibernética conocidas públicamente. El uso de "identificadores de CVE (ID de CVE)", que son asignados por las autoridades de numeración de CVE (CNA) de todo el mundo, garantiza la confianza entre las partes cuando se usa para discutir o compartir información sobre una vulnerabilidad de software única, proporciona una línea de base para la evaluación de herramientas, y permite el intercambio de datos para la automatización de la seguridad cibernética.

---