Om sårbarheter til spekulativ utførelse i ARM-baserte og Intel CPU-er
Apple har lansert sikkerhetsoppdateringer for macOS Sierra og El Capitan med tiltak for Meltdown.
Apple har lansert sikkerhetsoppdateringer for iOS, macOS High Sierra og Safari på Sierra og El Capitan, for å hjelpe til med å beskytte mot Spectre.
Apple Watch er ikke påvirket av verken Meltdown eller Spectre.
Sikkerhetsforskere har nylig avdekket sikkerhetsproblemer kjent under to navn: Meltdown og Spectre. Disse problemene gjelder for alle moderne prosessorer og påvirker nesten alle datamaskiner og operativsystemer. Alle Mac-systemer og iOS-enheter er påvirket, men det finnes ingen kjente sårbarheter som påvirker kunder på tidspunktet for denne meldingen. Siden det kreves at en skadelig app er lastet inn på Mac-maskinen eller iOS-enheten for å utnytte mange av disse problemene, anbefaler vi kun nedlasting av programvare fra pålitelige kilder som App Store.
Apple har allerede lansert tiltak i iOS 11.2, macOS 10.13.2 og tvOS 11.2 for å hjelpe til med å beskytte mot Meltdown. Sikkerhetsoppdateringer for macOS Sierra og OS X El Capitan inkluderer også tiltak for Meltdown. For å hjelpe til med å beskytte mot Spectre har Apple lansert tiltak i iOS 11.2.2, tilleggsoppdateringen macOS High Sierra 10.13.2, og Safari 11.0.2 for macOS Sierra og OS X El Capitan. Apple Watch er ikke påvirket av verken Meltdown eller Spectre.
Vi fortsetter å utvikle og teste ytterligere tiltak mot disse truslene.
Bakgrunn
Meltdown- og Spectre-problemene utnytter en moderne CPU-ytelsesfunksjon kalt spekulativ utførelse. Spekulativ utførelse forbedrer hastighet ved å operere på flere instruksjoner samtidig – muligens i en annen rekkefølge enn da de kom inn i CPU-en. For å forbedre ytelsen forutser CPU-en hvilken sti i en gren som mest sannsynlig blir brukt, og den vil spekulativt fortsette utførelsen i den stien, selv før grenen er fullført. Hvis denne forutsigelsen er feil, rulles denne spekulative utførelsen tilbake på en måte som er tenkt å være usynlig for programvaren.
Utnyttelsesteknikkene Meltdown og Spectre misbruker spekulativ utførelse for å få tilgang til privilegert minne – inkludert det som hører til kjernen – fra en mindre privilegert brukerprosess som for eksempel en skadelig app som kjører på en enhet.
Meltdown
Meltdown er navnet som er gitt til en utnyttelsesteknikk kjent som CVE-2017-5754 eller «rogue data cache load». Meltdown-teknikken kan få en brukerprosess til å lese kjerneminne. Analysen vår anser at denne har størst potensiale for å bli utnyttet. Apple lanserte tiltak for Meltdown i iOS 11.2, macOS 10.13.2 og tvOS 11.2, og også i sikkerhetsoppdatering 2018-001 for macOS Sierra og sikkerhetsoppdatering 2018-001 for OS X El Capitan. watchOS krevde ingen tiltak.
Testingen vår med offentlige referanseindekser har vist at endringene i oppdateringene fra desember 2017 ikke førte til noen målbar reduksjon i ytelsen til macOS og iOS med måling i GeekBench 4, eller med måling i vanlige nettbaserte tjenester som Speedometer, JetStream eller ARES-6.
Spectre
Spectre er et navn som dekker flere ulike utnyttelsesteknikker, inkludert − på tidspunktet for denne meldingen − CVE-2017-5753 eller «bounds check bypass», CVE-2017-5715 eller «branch target injection» og CVE-2018-3639 eller «speculative bounds bypass».Disse teknikkene kan potensielt gjøre objekter i kjerneminne tilgjengelig for brukerprosesser ved å utnytte en forsinkelse i tiden det tar en CPU å kontrollere gyldigheten til et memory access call (tilgangskall til minne).
Analyser av disse teknikkene viste at selv om de er ekstremt vanskelig å utnytte, selv av en app som kjører lokalt på en Mac eller iOS-enhet, kan de potensielt bli utnyttet i JavaScript som kjører i en nettleser. Den 8. januar lanserte Apple oppdateringer for Safari på macOS og iOS som et tiltak mot slike tidsbaserte teknikker. Testing som ble foretatt da Safari-tiltakene ble lansert, indikerte at tiltakene ikke hadde noen målbar effekt på Speedometer- og ARES-6-testene, og en effekt på mindre enn 2,5 % på JetStream-testen. Vi fortsetter å utvikle og teste ytterligere tiltak i operativsystemene for Spectre-teknikkene. watchOS er ikke påvirket av Spectre.
Informasjon om produkter som ikke er laget av Apple, samt uavhengige nettsteder som ikke kontrolleres eller testes av Apple, er gitt uten anbefaling eller godkjenning. Apple påtar seg ikke noe ansvar for utvalget av, bruken av eller ytelsen til nettsteder og produkter fra tredjeparter. Apple garanterer ikke for nøyaktigheten eller påliteligheten til tredjeparters nettsteder. Kontakt leverandøren for mer informasjon.