Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library |
Разработчик обновил свои продукты, приняв меры к ограничению вероятности атак Spectre по обоим сценариям.
В понедельник Apple выпустила обновление IOS 11.2.2 для устройств iPhone, iPad и iPod, защищающее от эксплойта уязвимости Spectre. Кроме того, вышло дополнительное обновление macOS High Sierra 10.13.2, которое снижает вероятность атаки Spectre через браузер Safari и движок WebKit, используемый Safari, Apple Mail и App Store.
Это уже второе обновление от Apple с тех пор, как на прошлой неделе началось публичное обсуждение Meltdown и Spectre — уязвимостей в микропроцессорах ведущих производителей. Несколько ранее Apple сделала попытку защитить пользователей от Meltdown, выпустив обновления iOS 11.2, macOS 10.13.2 в изначальном варианте и tvOS 11.2.
Три обновления, выпущенных в понедельник, — это дополнительный патч в составе macOS High Sierra 10.13.2, выпуски Safari 11.0.2 и iOS 11.2.2. Новые исправления призваны затруднить проведение атаки Spectre с помощью обоих известных методов: обхода проверки границ (bounds check bypass, CVE-2017-5753/Spectre/variant 1) и манипуляции целевым кэшем адресов ветвлений (branch target injection, CVE-2017-5715/Spectre/variant 2).
По заявлению Apple, обновление Safari 11.0.2 доступно для OS X El Capitan 10.11.6 и macOS Sierra 10.12.6, тогда как вспомогательное обновление macOS High Sierra 10.13.2 включает исправления для систем безопасности Safari и WebKit. Обновление iOS 11.2.2 предназначено для моделей iPhone, начиная с 5s, iPad Air и более поздних версий, а также iPod touch 6-го поколения.
Согласно экспертам, воспользоваться уязвимостью Spectre значительно сложнее, чем Meltdown, поскольку первая нарушает изоляцию памяти разных приложений. Однако по той же причине Spectre сложнее нейтрализовать.
И все же, несмотря на сложности, поиск защиты от Spectre не терпит отлагательств: если сценарий атаки Meltdown требует плацдарма в атакуемой системе, то Spectre дает возможность атаковать удаленно — например, через браузер.
На прошлой неделе Mozilla, Microsoft и Google обновили коды своих браузеров, растянув во времени выполнение определенных команд Java, с помощью которых может эксплуатироваться Spectre. Это повысило сложность атаки на несколько порядков, но не исключило ее возможность до конца.
«Атака с помощью JavaScript позволяет получить содержимое памяти браузера и может повлечь кражу учетных данных и ключей сеанса связи в обход множества средств защиты», — так прокомментировал ситуацию Джимми Грэм (Jimmy Graham), директор по управлению продукцией в Qualys, в предыдущем интервью Threatpost.
Apple пока не сообщает дополнительных технических подробностей об исправлениях и о степени их потенциального влияния на производительность устройств.
19:45 |
||
17:45 |
||
14:45 |
||
12:45 |
||
11:45 |
||
09:45 |
||
09:45 |
||
19:45 |
||
18:45 |
||
16:45 |
||
15:45 |
||
14:45 |
||
13:45 |
||
10:45 |
||
10:45 |
||
09:45 |
||
19:45 |
||
19:45 |
Home | | | Short News | | | Long News | | | Long Reads | | | Support | | | Library | | | Blogs | | | Links |