Mientras que Apple aún tiene que comentar sobre la falla, Alex Ionescu, Windows el experto en seguridad, señaló una revisión se presente en una nueva 10.13.3 actualización macOS.
fuente: Cómo Protegerse De la Crisis y Spectre, el Procesador más Reciente de las Fallas de Seguridad
Respuestas
¿Demasiados anuncios?
Crisis
macOS parcheado 6 de diciembre de 2017, en macOS 10.13.2
iOS parcheado 2 de diciembre de 2017, en iOS 11.2
Apple parcheado CVE-2017-5754 (Colapso) en macOS Alta Sierra 10.13.2, Actualización de Seguridad 2017-002 Sierra, y de la Actualización de Seguridad 2017-005 El Capitan. (Artículo de soporte de HT208331)
Spectre
Como de 8 de enero, Apple ha lanzado actualizaciones de Safari en mac os y iOS para minimizar la eficacia de Spectre. (Artículo de soporte de HT208394) Nota que el Espectro no puede ser "revisado", sólo que es más difícil de ejecutar.
Douglas
Puntos
10417
Según lo publicado en otro similar relacionado con la seguridad post, es la Manzana de la política de no comentar sobre las vulnerabilidades de seguridad hasta que sean enmendadas, e incluso cuando lo hacen, a menudo son bastante vagas acerca de él.
Acerca de las actualizaciones de seguridad de Apple
Para la protección de nuestros clientes, Apple no divulgar, debatir, o confirmar los problemas de seguridad hasta que la investigación se ha producido y los parches o versiones están disponibles. Lanzamientos recientes aparecen en la Apple actualizaciones de seguridad de la página.
Así, el comentario en el artículo vinculado, deben ser vistos con (poco) escepticismo:
Mientras que Apple aún tiene que comentar sobre la falla, Alex Ionescu, Windows el experto en seguridad, señaló una revisión se presente en una nueva 10.13.3 actualización macOS.
Sin embargo, con un poco de trabajo de detective, podemos ganar un poco de perspectiva. Buscando en la Ecv asignado a esta particular vulnerabilidad,* podemos obtener la lista de los temas que deben ser abordados por Apple cuando se decida a emitir un parche de seguridad: Hay tres CVE asignado a estas cuestiones:
-
CVE-2017-5753 y CVE-2017-5715 se asignan a Spectre. Actualmente no hay parche disponible. Sin embargo, de acuerdo a Apple, la vulnerabilidad es "muy difícil de explotar", pero se puede hacer a través de Javascript. Como tal, se emitirá una actualización para Safari en mac os y iOS en el futuro
Apple va a lanzar una actualización para Safari en mac os y iOS en los próximos días para mitigar estos explotar técnicas. Nuestra prueba actual indica que el próximo Safari mitigaciones tendrá ningún medibles impacto en el Velocímetro y ARES-6 pruebas y un impacto de menos de 2.5% en el JetStream de referencia.
CVE-2017-5754 es asignado a un Colapso. Este ha sido parcheado con macOS Alta Sierra 10.13.2 SÓLO. Sierra y El Capitán aún no están parcheados.
TL;DR
Crisis ha sido parcheado en las actualizaciones más recientes para macOS Sierra Alta. Sierra y El Capitán están actualmente sin parches
Spectre es sin parches, pero muy difícil de ejecutar, aunque puede ser explotado en Javascript. Asegúrese de actualizar sus navegadores (Firefox, Chrome, etc.) cuando y donde sea aplicable, además de la actualización de Apple.
*Vulnerabilidades y Exposiciones comunes
(CVE®) es una lista de identificadores comunes para públicamente conocido cyber vulnerabilidades de seguridad. El uso de "CVE Identificadores (CVE IDs)," que son asignados por CVE Numeración de las Autoridades competentes (Anc) de todo el mundo, asegura la confianza entre las partes cuando se utiliza para discutir o compartir información acerca de un único software, vulnerabilidad, proporciona una base para la herramienta de evaluación, y permite el intercambio de datos para la seguridad cibernética de la automatización.
