มีการแก้ไขช่องโหว่ Meltdown สำหรับ MacOS แล้วหรือไม่

ในขณะที่ Apple ยังไม่ได้แสดงความคิดเห็นเกี่ยวกับข้อบกพร่อง Alex Ionescu ผู้เชี่ยวชาญด้านความปลอดภัยของ Windows ระบุว่าการแก้ไขมีอยู่ในการอัพเดท 10.13.3 ใหม่สำหรับ macOS

แหล่งที่มา: วิธีการป้องกันตนเองจากการล่มสลายและ Spectre ข้อบกพร่องด้านความปลอดภัยของโปรเซสเซอร์ล่าสุด

ล่มสลาย

macOS patched 6 ธันวาคม 2560 ใน macOS 10.13.2
iOS patched 2 ธันวาคม 2560 ใน iOS 11.2

Apple ได้รับการแก้ไข CVE-2017-5754 (Meltdown) ใน macOS High Sierra 10.13.2, อัปเดตความปลอดภัย 2017-002 Sierra, และอัปเดตความปลอดภัย 2017-005 El Capitan (บทความสนับสนุนHT208331 )

สาง

ตั้งแต่วันที่ 8 มกราคม Apple ได้เปิดตัวอัปเดตสำหรับ Safari บน macOS และ iOS เพื่อลดประสิทธิภาพของ Specter (บทความสนับสนุนHT208394 ) โปรดทราบว่า Spectre ไม่สามารถ "ทำการปะแก้" ซึ่งทำได้ยากกว่าเท่านั้น

โพสต์ในอีกโพสต์ความปลอดภัยที่คล้ายกันโพสต์เป็นนโยบายของ Apple ที่จะไม่แสดงความคิดเห็นเกี่ยวกับช่องโหว่ความปลอดภัยจนกว่าพวกเขาจะได้รับการแก้ไขและแม้ว่าพวกเขาจะทำพวกเขาก็มักจะคลุมเครือเกี่ยวกับมัน

เกี่ยวกับการอัปเดตความปลอดภัยของ Apple

เพื่อการคุ้มครองลูกค้าของเรา Apple จะไม่เปิดเผยอภิปรายหรือยืนยันปัญหาด้านความปลอดภัยจนกว่าจะมีการสอบสวนเกิดขึ้นและมีการแก้ไขหรือวางจำหน่าย รุ่นล่าสุดแสดงอยู่ใน หน้าอัปเดตความปลอดภัยของ Apple

ดังนั้นความคิดเห็นในบทความที่เชื่อมโยงควรดูด้วยความสงสัย (น้อย):

ในขณะที่ Apple ยังไม่ได้แสดงความคิดเห็นเกี่ยวกับข้อบกพร่อง Alex Ionescu ผู้เชี่ยวชาญด้านความปลอดภัยของ Windows ระบุว่าการแก้ไขมีอยู่ในการอัพเดท 10.13.3 ใหม่สำหรับ macOS

อย่างไรก็ตามด้วยงานนักสืบเล็ก ๆ น้อย ๆ เราสามารถรับข้อมูลเชิงลึกบางอย่าง กำลังมองหาที่CVEs มอบหมายให้ช่องโหว่นี้โดยเฉพาะอย่างยิ่ง , ^*เราจะได้รับรายชื่อของปัญหาที่ควรได้รับการแก้ไขโดยแอปเปิ้ลเมื่อพวกเขาตัดสินใจที่จะออกแพทช์การรักษาความปลอดภัย: มีได้รับมอบหมายให้ปัญหาเหล่านี้ CVE สามคือ:

• CVE-2017-5753 และ CVE-2017-5715 ได้รับมอบหมายให้ Spectre ไม่มีแพทช์ที่ใช้ได้ในขณะนี้ อย่างไรก็ตามตามที่Appleระบุว่าช่องโหว่นี้ "หาประโยชน์ได้ยากมาก" แต่สามารถทำได้ผ่าน Javascript ดังนั้นพวกเขาจะออกการอัปเดตสำหรับ Safari บน macOS และ iOS ในอนาคต

  Apple จะปล่อยการอัปเดตสำหรับ Safari บน macOS และ iOS ในอีกไม่กี่วันข้างหน้าเพื่อลดความรุนแรงของเทคนิคการใช้ประโยชน์เหล่านี้ การทดสอบในปัจจุบันของเราระบุว่าการบรรเทาของ Safari ที่กำลังจะเกิดขึ้นนั้นจะไม่มีผลกระทบใด ๆ ต่อการทดสอบ Speedometer และ ARES-6 และผลกระทบน้อยกว่า 2.5% สำหรับมาตรฐาน JetStream

• CVE-2017-5754 ถูกกำหนดให้กับ Meltdown นี้ได้รับการปะกับ MacOS High Sierra 10.13.2 เท่านั้น Sierra และ El Capitan ยังไม่ได้รับการแก้ไข

TL; DR

Meltdown ได้รับการติดตั้งในการอัพเดทล่าสุดสำหรับ macOS High Sierra เซียร์ราและเอลแคปปินไม่ได้เปรียบ

อสุรกายไม่ได้อัปโหลด แต่ยากมากที่จะดำเนินการแม้ว่าจะถูกนำไปใช้ประโยชน์ใน Javascript ตรวจสอบให้แน่ใจว่าคุณอัปเดตเบราว์เซอร์ของคุณ (เช่น Firefox, Chrome และอื่น ๆ ) เมื่อใดและที่ไหนที่เกี่ยวข้องนอกเหนือจากการอัปเดตที่ได้รับจาก Apple

---

^* ช่องโหว่และความเสี่ยงทั่วไป (CVE®) เป็นรายการของตัวระบุทั่วไปสำหรับช่องโหว่ความปลอดภัยในโลกไซเบอร์ที่รู้จักกันทั่วไป การใช้ "CVE Identifiers (CVE IDs)" ซึ่งได้รับมอบหมายจาก CVE Numbering Authorities (CNAs) จากทั่วโลกจะสร้างความมั่นใจในหมู่ผู้ใช้เมื่อพูดคุยหรือแบ่งปันข้อมูลเกี่ยวกับช่องโหว่ของซอฟต์แวร์ที่ไม่ซ้ำกันเป็นพื้นฐานสำหรับการประเมินเครื่องมือ และเปิดใช้งานการแลกเปลี่ยนข้อมูลสำหรับระบบรักษาความปลอดภัยอัตโนมัติทางไซเบอร์

---