MacOS için zaten bir Meltdown güvenlik açığı düzeltmesi var mı?

Apple henüz kusur hakkında yorum yapmasa da, Windows güvenlik uzmanı Alex Ionescu, macOS için yeni bir 10.13.3 güncellemesinde bir düzeltme bulunduğunu belirtti.

kaynak: En Son İşlemci Güvenlik Kusurları, Meltdown ve Spectre'den Nasıl Korunur

Erime

macOS, 6 Aralık 2017'yi macOS 10.13.2'de
yamalı. iOS 2 Aralık 2017'de iOS 11.2'de yamalı.

Apple, macOS High Sierra 10.13.2, Güvenlik Güncellemesi 2017-002 Sierra ve Güvenlik Güncellemesi 2017-005 El Capitan'da CVE-2017-5754'ü (Erime) yamalı. (Destek Makalesi HT208331 )

hayalet

8 Ocak'tan itibaren Apple, Spectre'nin etkinliğini en aza indirmek için macOS ve iOS'ta Safari için güncellemeler yayınladı. (Destek Makalesi HT208394 ) Spectre'nin " yamalanamayacağını ", ancak yürütülmesinin daha zor olduğunu unutmayın.

Benzer, güvenlikle ilgili başka bir gönderide yayınlandığı gibi , Apple'ın güvenlik açıkları üzerinde yamalanana kadar yorum yapmamaları ve bunu yaptıklarında bile genellikle bu konuda oldukça belirsizdir.

Apple güvenlik güncellemeleri hakkında

Müşterilerimizin korunması için Apple, bir araştırma gerçekleşinceye ve yamalar veya sürümler bulunana kadar güvenlik sorunlarını açıklamaz, tartışmaz veya onaylamaz. Son sürümler Apple güvenlik güncellemeleri sayfasında listelenmiştir .

Dolayısıyla, bağlantılı makaledeki yorum (az) şüphecilikle incelenmelidir:

Apple henüz kusur hakkında yorum yapmasa da, Windows güvenlik uzmanı Alex Ionescu, macOS için yeni bir 10.13.3 güncellemesinde bir düzeltme bulunduğunu belirtti.

Ancak, küçük bir dedektiflik çalışmasıyla, biraz içgörü kazanabiliriz. Bu güvenlik açığına atanan CVE'lere baktığımızda , ^* bir güvenlik düzeltme eki vermeye karar verdiklerinde Apple tarafından çözülmesi gereken sorunların listesini alabiliriz : Bu sorunlara atanan üç CVE vardır:

• CVE-2017-5753 ve CVE-2017-5715, Spectre'ye atanır. Şu anda kullanılabilir yama yok. Ancak Apple'a göre bu güvenlik açığından "yararlanmak çok zordur", ancak Javascript ile yapılabilir. Bu nedenle, gelecekte macOS ve iOS'ta Safari için bir güncelleme yayınlayacaklar

  Apple, önümüzdeki günlerde bu istismar tekniklerini azaltmak için macOS ve iOS'ta Safari için bir güncelleme yayınlayacak. Mevcut testlerimiz, yaklaşmakta olan Safari azaltmalarının Hız Ölçer ve ARES-6 testleri üzerinde ölçülebilir bir etkisi olmayacak ve JetStream karşılaştırması üzerinde% 2,5'ten daha az bir etkiye sahip olmayacağını göstermektedir.

• Meltown'a CVE-2017-5754 atandı. Bu SADECE macOS High Sierra 10.13.2 ile düzeltilmiştir . Sierra ve El Capitan henüz yamalı değil.

TL; DR

Meltdown, macOS High Sierra'nın en son güncellemelerinde yamalı. Sierra ve El Capitan şu anda kopuk

Spectre eşleşmedi, ancak Javascript'te kullanılabilir olsa da yürütülmesi çok zor. Apple tarafından sağlanan güncellemelere ek olarak, tarayıcılarınızı (Firefox, Chrome vb. Gibi) ne zaman ve mümkün olduğunda güncellediğinizden emin olun.

---

^* Ortak Güvenlik Açıkları ve Etkilenmeler (CVE®), genel olarak bilinen siber güvenlik açıkları için ortak tanımlayıcıların bir listesidir. Dünyanın dört bir yanından CVE Numaralandırma Otoriteleri (CNA'lar) tarafından atanan "CVE Tanımlayıcıları (CVE Kimlikleri)" nin kullanılması, benzersiz bir yazılım güvenlik açığı hakkında bilgi tartışmak veya paylaşmak için kullanıldığında taraflar arasında güven sağlar, araç değerlendirmesi için bir temel oluşturur, ve siber güvenlik otomasyonu için veri alışverişini sağlar.

---