Apple dijo en un comunicado el jueves que el agujero de seguridad de Meltdown fue “mitigado” en parches ya enviados en iOS 11.2, macOS 10.13.2 y tvOS 11.2. Más importante aún para aquellos preocupados por un posible impacto en la velocidad, Apple dijo que “las actualizaciones no dieron como resultado una reducción medible en el rendimiento de macOS e iOS”.
La compañÃa también dijo que se acerca una actualización de Safari que “mitigarÃa” el agujero de seguridad de Spectre.
Meltdown y Spectre son vulnerabilidades de seguridad importantes que afectan a Mac, PC con Windows, equipos Linux, iPhone, dispositivos Android y muchos otros dispositivos con procesadores. Apple dijo que Apple Watch no era vulnerable a Meltdown.
Declaración de Apple sobre Meltdown:
Meltdown es el nombre que se le da a una técnica de explotación conocida como CVE-2017-5754 o “carga de caché de datos fraudulentos”. La técnica Meltdown puede permitir que un proceso de usuario lea la memoria del kernel. Nuestro análisis sugiere que tiene el mayor potencial para ser explotado. Apple lanzó mitigaciones para Meltdown en iOS 11.2, macOS 10.13.2 y tvOS 11.2. watchOS no requirió mitigación. Nuestras pruebas con puntos de referencia públicos han demostrado que los cambios en las actualizaciones de diciembre de 2017 no produjeron una reducción medible en el rendimiento de macOS e iOS según lo medido por el punto de referencia GeekBench 4, o en puntos de referencia de navegación web comunes como Speedometer, JetStream y ARES- 6.
Declaración de Apple sobre Spectre
Spectre es un nombre que cubre dos técnicas de explotación diferentes conocidas como CVE-2017-5753 o “bypass de verificación de lÃmites” y CVE-2017-5715 o “inyección de destino de rama”. Estas técnicas potencialmente hacen que los elementos en la memoria del kernel estén disponibles para los procesos del usuario al aprovechar un retraso en el tiempo que puede tomar la CPU para verificar la validez de una llamada de acceso a la memoria.
El análisis de estas técnicas reveló que, si bien son extremadamente difÃciles de explotar, incluso mediante una aplicación que se ejecuta localmente en un dispositivo Mac o iOS, pueden explotarse potencialmente en JavaScript que se ejecuta en un navegador web. Apple lanzará una actualización para Safari en macOS e iOS en los próximos dÃas para mitigar estas técnicas de explotación. Nuestras pruebas actuales indican que las próximas mitigaciones de Safari no tendrán un impacto medible en las pruebas del velocÃmetro y ARES-6 y un impacto de menos del 2,5 % en el punto de referencia de JetStream. Continuamos desarrollando y probando mitigaciones adicionales dentro del sistema operativo para las técnicas de Spectre, y las lanzaremos en las próximas actualizaciones de iOS, macOS, tvOS y watchOS.
Tenga en cuenta que en ambos casos, Apple se refirió a sus actualizaciones como “mitigaciones” en lugar de “parches”. Esa elección de redacción probablemente esté relacionada con la complejidad de los problemas involucrados y las formas fundamentales en las que afectan la forma en que los sistemas operativos hacen su trabajo.
