苹果确认Meltdown和Spectre漏洞影响所有Mac和iOS设备
苹果确认Meltdown和Spectre漏洞影响所有Mac和iOS设备
近日芯片底层漏洞曝出之后,各大厂商都开始紧急自查,并快马加鞭发布补丁。苹果也发布声明,确认所有 Mac 和 iOS 设备都受到 Meltdown 和 Spectre 漏洞影响。目前,苹果已经发布 iOS 11.2、macOS 10.13.2 和 tvOS 11.2 版本更新,以修复漏洞。同时,Safari 的相关更新也会尽快发布,以解决 Spectre 漏洞带来的影响。苹果用户可尽快去官网下载更新。
这份声明没有清楚说明老版本的 iOS 和 Mac 中是否已经解决 Meltdown 和 Spectre 带来的问题。但是,由于macOS 10.13.2 新版本发布时,也发布了旧版 macOS 的安全更新,因此 Sierra 和 El Capitan 的修复方案也指日可待。 苹果表示,即将发布的 Safari 修复方案不会对 Speedometer 和 ARES-6 造成“可测量的影响”,且对 JetStream benchmark 的影响也不到2.5%。
尽管 Meltdown 和 Spectre 漏洞信息是本周才曝出的,但是英特尔、苹果、Linux 和微软等主要操作系统厂商在几个月前就已经知道这些问题了,并已提前为漏洞修复做了准备。这似乎有点细思恐极。
Spectre 和 Meltdown 漏洞都利用 CPU 的“推测执行”(speculative execution)机制实现。专家认为这些硬件层面的漏洞需要 CPU 厂商进行固件修复、操作系统修复,应用厂商也要做出响应,而修复方案可能会影响处理器性能。但英特尔坚称修复造成的减速并不严重。
但是与 微软等厂商相比,苹果的这份声明其实已经算晚的了。
以下为苹果声明的全文:
关于 ARM 和 Intel CPU 中的推测执行漏洞声明
安全研究人员最近发现了 Meltdown 和 Spectre 漏洞,会影响所有现代处理器,涵盖几乎所有的计算设备和操作系统。所有 Mac 系统和 iOS 设备都受到影响,但目前还没有已知的客户受攻击实例。由于实现漏洞利用需要在用户的 Mac 或 iOS 设备上加载恶意应用程序,因此建议用户仅从可信来源(如 App Store)下载软件。 苹果已经在 iOS 11.2、macOS 10.13.2 和 tvOS 11.2 上发布了修复措施,以应对 Meltdown。Apple Watch 不会受到 Meltdown 的影响。 随后,我们计划在 Safari 中发布修复方案,应对 Spectre 漏洞。 我们将继续开发和测试这两个漏洞的进一步应对方案,会与即将更新的 iOS、MacOS、tvOS 和 watchOS 一起发布。
背景
Meltdown 和 Spectre 漏洞利用方法都基于现代 CPU 性能中的“推测执行”方法。“推测执行”通过一次操作多个指令来提高速度。为了提高性能,CPU 可以预测分支中最有可能被采用的路径,并且在分支代码运行完成之前,会持续推测该路径的执行情况。如果预测出错,该“推测执行”将以一种软件不可见的方式回滚。
Meltdown 和 Spectre 漏洞利用了“推测执行”方法,以从特权较低的用户进程(例如设备上运行的恶意应用程序)访问特权内存(包括内核的特权内存)。
Meltdown
Meltdown(CVE-2017-5754)漏洞也被称为“流氓数据缓存加载”。利用这个漏洞,攻击者可以使用用户进程读取内核内存。分析表明 Meltdown 在野利用的可能性较高。苹果已经在 iOS 11.2、macOS 10.13.2 和 tvOS 11.2 上发布了 Meltdown 的修复方案。WatchOS 未收影响不需要修复。苹果使用公共基准进行的测试,结果显示,2017 年 12 月的更新导致 macOS 和 iOS 的性能下降并未达到可测量的标准(以GeekBench 4基准测量);基于常见的 Web 浏览基准测量,也并未对 Speedometer、JetStream 和 ARES- 6 造成可测量的影响。
Spectre
Spectre 包括两个漏洞:“bounds check绕过”(CVE-2017-5753)和“分支目标注入”( CVE-2017-5715)。利用这些漏洞,并利用 CPU 检查内存访问调用的有效性时的时间延迟,可以通过用户进程获取内核内存中的信息,
分析表明,尽管漏洞很难被利用,但是通过 Mac 和 iOS 设备上运行的程序,还是有可能在网页浏览器中使用 JavaScript 实现攻击。
苹果将在未来几天发布针对 macOS 和 iOS 上 Safari 的修复更新。目前的测试表明,即将发布的 Safari 修复方案对 Speedometer 和 ARES-6 没有造成可测量的影响,对 JetStream benchmark 的影响不到 2.5%。我们将继续针对 Specter 影响的操作系统开发和测试进一步修复方案,会与即将更新的 iOS、MacOS、tvOS 和 watchOS 一起发布。
2018 年 1 月 4 日