Alors qu'Apple n'a pas encore commenté la faille, Alex Ionescu, expert en sécurité Windows expert en sécurité de Windows, a noté qu'un correctif était présent dans une nouvelle mise à jour 10.13.3 de MacOS.
source : Comment se protéger de Meltdown et Spectre, les dernières failles de sécurité des processeurs ?
MacOS corrigé le 6 décembre 2017 dans MacOS 10.13.2
iOS corrigé le 2 décembre 2017 dans iOS 11.2
Apple a corrigé CVE-2017-5754 (Meltdown) dans MacOS High Sierra 10.13.2, Security Update 2017-002 Sierra et Security Update 2017-005 El Capitan. (Article de support HT208331 )
Depuis le 8 janvier, Apple a publié des mises à jour pour Safari sur MacOS et iOS afin de minimiser l'efficacité de Spectre. (Article de soutien HT208394 ) Notez que Spectre ne peut pas être "patché", il est seulement plus difficile à exécuter.
Comme indiqué dans un autre poste similaire lié à la sécurité La politique d'Apple est de ne pas commenter les failles de sécurité avant qu'elles ne soient corrigées, et même lorsqu'elle le fait, elle reste souvent vague à ce sujet.
À propos des mises à jour de sécurité d'Apple
Pour la protection de nos clients, Apple ne divulgue pas, ne discute pas et ne confirme pas les problèmes de sécurité avant qu'une enquête ait été menée. confirmer les problèmes de sécurité avant qu'une enquête ait été menée et que des que des correctifs ou des versions soient disponibles. Les versions récentes sont répertoriées sur le site Mises à jour de sécurité d'Apple page.
Le commentaire de l'article en lien doit donc être considéré avec (un peu) de scepticisme :
Alors qu'Apple n'a pas encore fait de commentaire sur la faille, Alex Ionescu, Windows expert en sécurité de Windows, a noté qu'un correctif était présent dans une nouvelle mise à jour 10.13.3 de MacOS.
Cependant, avec un peu de travail de détective, nous pouvons avoir un aperçu. En regardant le CVE attribués à cette vulnérabilité particulière , * nous pouvons obtenir la liste des problèmes qui debe seront traitées par Apple quand ils décideront d'émettre un patch de sécurité : Il y a trois CVE attribués à ces problèmes :
CVE-2017-5753 et CVE-2017-5715 sont attribués à Spectre. Il n'y a actuellement aucun correctif disponible. Cependant, selon Apple La vulnérabilité est "très difficile à exploiter", mais peut être exploitée via Javascript. L'entreprise publiera donc une mise à jour pour Safari sur MacOS et iOS à l'avenir.
Apple publiera une mise à jour de Safari sur MacOS et iOS dans les prochains jours. jours pour atténuer ces techniques d'exploitation. Nos tests actuels indiquent que les mesures d'atténuation à venir pour Safari n'auront aucun sur les tests Speedometer et ARES-6 et un impact de moins de 2,5 % sur le test JetStreet. 2,5 % sur le test JetStream.
CVE-2017-5754 est attribué à Meltdown. Ce problème a été corrigé avec MacOS High Sierra 10.13.2. UNIQUEMENT . Sierra et El Capitan ne sont pas encore corrigés.
Meltdown a été corrigé dans les dernières mises à jour de MacOS High Sierra. Sierra et El Capitan ne sont pas encore corrigés.
Spectre n'est pas corrigé, mais très difficile à exécuter, bien qu'il puisse être exploité en Javascript. Veillez à mettre à jour vos navigateurs (comme Firefox, Chrome, etc.) le cas échéant, en plus des mises à jour fournies par Apple.
* Vulnérabilités et expositions courantes (CVE®) est une liste d'identifiants communs pour les vulnérabilités de cybersécurité connues publiquement. L'utilisation des identifiants CVE (CVE ID), qui sont attribués par les autorités de numérotation CVE (CNA) du monde entier, garantit la confiance entre les parties lorsqu'ils sont utilisés pour discuter ou partager des informations sur une vulnérabilité logicielle unique, fournit une base de référence pour l'évaluation des outils et permet l'échange de données pour l'automatisation de la cybersécurité.
LesApples est une communauté de Apple où vous pouvez résoudre vos problèmes et vos doutes. Vous pouvez consulter les questions des autres utilisateurs d'appareils Apple, poser vos propres questions ou résoudre celles des autres.
