尽管苹果尚未对此漏洞发表评论,但Windows安全专家Alex Ionescu指出,在macOS的新10.13.3更新中已修复此问题。
尽管苹果尚未对此漏洞发表评论,但Windows安全专家Alex Ionescu指出,在macOS的新10.13.3更新中已修复此问题。
Answers:
macOS于2017年12月6日在macOS 10.13.2中
修复了iOS iOS于2017年12月2日在iOS 11.2中进行了修补
Apple在macOS High Sierra 10.13.2,安全更新2017-002 Sierra和安全更新2017-005 El Capitan中修补了CVE-2017-5754(Meltdown)。(支持文章HT208331)
自1月8日起,Apple在macOS和iOS上发布了Safari的更新,以最大程度地降低Spectre的有效性。(支持文章HT208394)请注意,Spectre不能被“修补”,只是执行起来更加困难。
正如在另一篇类似的与安全性相关的文章中所述,Apple的政策是在漏洞被修补之前不对安全漏洞发表评论,即使漏洞被修补,他们通常对此也仍然含糊不清。
关于Apple安全更新
为了保护我们的客户,在进行调查并提供补丁或版本之前,Apple不会披露,讨论或确认安全问题。最新版本在Apple安全更新页面上列出 。
因此,应该以(一点)怀疑的态度看待链接文章中的评论:
尽管苹果尚未对此漏洞发表评论,但Windows安全专家Alex Ionescu指出,在macOS的新10.13.3更新中已修复此问题。
但是,通过一些侦探工作,我们可以获得一些见识。查看分配给该特定漏洞的CVE,*我们可以列出Apple在决定发布安全补丁时应解决的问题:这些问题分配了三个CVE:
CVE-2017-5753和CVE-2017-5715已分配给Spectre。 目前没有可用的补丁程序。 但是,据Apple称,该漏洞“非常难以利用”,但可以通过Javascript来完成。因此,他们将来会在macOS和iOS上发布Safari的更新
苹果将在未来几天发布针对macOS和iOS的Safari的更新,以缓解这些攻击技术。我们目前的测试表明,即将到来的Safari缓解措施不会对Speedometer和ARES-6测试产生可衡量的影响,对JetStream基准的影响也不会超过2.5%。
CVE-2017-5754已分配给Meltdown。 仅使用macOS High Sierra 10.13.2进行了修补。Sierra和El Capitan尚未修补。
Meltdown已在macOS High Sierra的最新更新中进行了修补。Sierra和El Capitan目前未打补丁
Spectre未修补,但很难执行,尽管可以在Javascript中利用它。除了Apple提供的更新之外,请确保在适用的时间和地点更新浏览器(例如Firefox,Chrome等)。