苹果确认所有产品受 Meltdown 和 Spectre 攻击影响并推出补丁
翻译:360代码卫士团队
苹果已发布安全更新以缓解影响部署在苹果设备如智能手机、平板电脑和台式电脑中的 Spectre 漏洞的影响。
这些补丁缓解两个 Spectre 漏洞(CVE-2017-5753 和 CVE-2017-5715)。苹果发布的 macOS High Sierra 10.13.2、iOS 11.2.2 和 Safari 11.0.2 版本中均包含 Spectre 的缓解措施。
苹果在2017年12月发布 iOS 11.2、macOS 10.13.2和tvOS 11.2修复了 Meltdown 缺陷 (CVE-2017-5753)。
Meltdown 和 Spectre 漏洞影响几乎所有的现代处理器。Meltdown 仅影响 Intel CPU,而Spectre 影响 Intel、AMD 和 ARM 处理器。这两个漏洞均可导致攻击者从设备处理器存储中检索数据,不仅能从内核的安全区域检索数据,而且还能从运行在个人电脑上的其它 app 中检索数据。
一名谷歌安全研究员基于自己的研究工作以及学术界发表的研究论文发现了这些 CPU 缺陷,谷歌公司在上周予以公布。不久,苹果发布新闻稿表示已秘密修复 Meltdown 缺陷并承诺在本周发布缓解 Spectre 漏洞的安全补丁。
用户不应忽视今天发布的更新,因为Spectre 还可遭远程攻击(通过隐藏在网页中的 JavaScript 代码发动的远程攻击)。
微软上周为这两个漏洞发布了更新KB4056892,但用户投诉称更新导致装有 AMD 处理器的一些电脑上的 Windows 系统崩溃。用户报告称安装更新后启动时,操作系统会在 Windows 图表显示时冻结。一些用户声称会退回到之前的状态,而成功安装更新后的用户警告称需要快速禁用自动更新功能以阻止更新重复安装。除此之外,用户还抱怨称存在其它问题如无法安装补丁、安装后浏览器开始崩溃等。微软表示公司已意识到这些问题并且正在开展调查。
Linux、Mozilla、思科等其它硬件和软件供应商均已发布更新或缓解建议。
关联阅读
获悉CPU 漏洞情报后,Intel CEO 选择抛售价值2400万美元的股票
噩梦成真:Mozilla 证实存在利用 CPU 漏洞的web 执行向量
Intel 称所有CPU厂商均受漏洞影响 补丁对电脑性能的影响并没有传说中的严重
Meltdown 和 Spectre 漏洞的相关安全公告、补丁和更新清单
本文由360代码卫士编译,不代表360观点,转载请注明 “转自360代码卫士www.codesafe.cn”。
原文链接:
https://www.bleepingcomputer.com/news/apple/apple-releases-security-updates-for-spectre-cpu-flaw/