Компания Apple опубликовала официальное заявление о влиянии недавно обнаруженных уязвимостей Meltdown и Spectre на выпускаемые вендором устройства. 

Производитель напрямую заявил, что «все системы Mac и устройства iOS подвержены этим двум уязвимостям». Ниже приведено краткое изложение сообшения Apple касательно Meltdown и Spectre, которые влияют на подавляющее большинство процессоров, выпущенных за последние два десятилетия.

Meltdown

Apple заявляет, что средства для закрытия уязвимости Meltdown, которая в настоящее время актуальна только для устройств, использующих процессоры Intel, были без особого шума интегрированы в iOS 11.2, macOS 10.13.2 и tvOS 11.2. При этом смарт-часы Apple Watch не пострадают от вышеуказанной уязвимости, говорится в сообщении компании.

Отдел по связям с общественностью Intel изо всех сил старается развеять слухи о том, что заплата, закрывающая уязвимость Meltdown, вызывают падение производительности процессоров. По словам инженеров Apple, тестовые утилиты GeekBench 4, Speedometer, JetЅtream и ARES-6 не показали какого-либо заметного снижения производительности macOS и iOS.

Spectre

На днях Apple выпустила обновления macOS High Sierra 10.13.2 , iOS 11.2.2 и Safari 11.0.2, закрывающие уязвимость Spectre. Эти заплаты актуальны для процессоров в «яблочных» смартфонах, планшетах и настольных компьютерах.

Вендор поспешил выпустить заплату именно для уязвимости Spectre на Safari, поскольку ее можно эксплуатировать посредством кода JavaScript, просто путем доступа к веб-сайту или при просмотре вредоносного рекламного банера. В то же время, исходя из имеющейся сейчас информации, брешь Meltdown нельзя эксплуатировать с помощью JavaScript. 

Что такое Meltdown и Spectre

Инженеры Google, которые обнаружили Meltdown и Spectre, описали эти уязвимости следующим образом. Meltdown нарушает самую базовую изоляцию между пользовательскими приложениями и операционной системой. Эта атака позволяет программе получать доступ к памяти, а также к конфиденциальным данным других приложений и операционной системы.

В Google заявляют, что название Meltdown («Переплавка») для описания атаки выбрано по той причине, что «данная ошибка плавит защитные границы, которые обычно обеспечиваются аппаратным обеспечением».

Spectre нарушает изоляцию между различными приложениями. Это позволяет злоумышленнику обходить защиту качественно выполненных программ, и получать доступ к их данным в памяти. «Spectre сложнее использовать, чем Meltdown, но также сложнее исправить, поэтому Spectre будет преследовать нас довольно долгое время», – говорят в Google. Для надежного закрытия этой уязвимости в Windows требуются дополнительные обновления прошивки материнской платы и процессора. Spectre затрагивает процессоры Intel, AMD и ARM.