Dopo macOS High Sierra 10.13.3, Apple ha rilasciato due update correttivi per macOS Sierra e OX S El Capitan. Entrambi gli aggiornamenti correggono le falle Meltdown e Spectre.
I nuovi aggiornamenti 2018-001 di macOS Sierra e OS X El Capitan includono una serie di miglioramenti per la sicurezza del kernel e vanno a correggere le falle Meltdown e Spectre.
Tra le altre cose, questo aggiornamento risolve una vulnerabilità che consentiva ad un malintenzionato di ottenere l’accesso non autorizzato alle informazioni presenti sul computer. Altri miglioramenti attenuano i rischi legati alla memoria con restrizioni di lettura, ai privilegi del kernel e ai danneggiamenti della memoria.
Le falle Meltdown e Spectre sono state scoperte alcune settimane fa e sono legate ai processori Intel e AMD utilizzati su Mac e PC.
Questi bug possono causare rallentamenti delle prestazioni fino al 30%, oltre a problemi di sicurezza che possono includere accesso alle password e ai dati sensibili memorizzati nelle app e nella cache dei file. I dettagli di questo bug saranno resi noti soltanto dopo che i vari produttori dei sistemi operativi avranno apportato gli aggiornamenti necessari. Il problema, infatti, riguarda una serie di chip Intel x86 realizzati negli ultimi 10 anni e che coinvolgono computer Windows, Linux e Mac.
Apple ha già pubblicato un documento ufficiale in cui spiega che, per sfruttare il bug dei processori ARM e Intel, è necessario che un’app malware venga installata e lanciata sul dispositivo, per questo viene consigliato agli utenti di installare software solo da fonti attendibili come App Store e Mac App Store. Per i dispositivi iOS, quindi, il rischio seppur minimo è legato maggiormente agli iPhone jailbroken che possono accedere ad app non presenti sullo store ufficiale:
Tutti i sistemi Mac e i dispositivi iOS sono interessati da questo bug, ma al momento non ci sono exploit noti che influenzano i nostri clienti. Poichè per sfruttare molti di questi problemi è necessario che un’app dannosa venga caricata sul dispositivo Mac o iOS, consigliamo di scaricare software solo da fonti attendibili come App Store
Le correzioni apportate su iOS e Mac OS per Meltdown non provocano alcuna riduzione delle prestazioni o della velocità di navigazione web. Meltdown ha un potenziale maggiore per essere sfruttato da malintenzionati, mentre Spectre è estremamente difficile da sfruttare. Tuttavia, abbiamo scoperto che Spectre può essere sfruttato tramite JavaScript in esecuzione su un browser web. Pertanto, pubblicheremo un aggiornamento di Safari su iOS e macOS nei prossimi giorni.