Apple xác nhận rằng nó đã giải quyết lỗ hổng “Meltdown” gần đây trong iOS 11 được phát hành trước đó.2, macOS 10.13.2và tvOS 11.2 các bản cập nhật, với các bản sửa lỗi bổ sung sẽ đến với Safari trong tương lai gần để bảo vệ khỏi lỗ hổng “Spectre”.
Apple cũng đã xác nhận rằng hai lỗ hổng ảnh hưởng đến tất cả các thiết bị Mac và iOS. Tuyên bố đầy đủ của công ty, có sẵn thông qua một tài liệu hỗ trợ mới về Meltdown và Spectre, dưới đây:
“Các nhà nghiên cứu bảo mật gần đây đã phát hiện ra các vấn đề bảo mật được biết đến với hai cái tên, Meltdown và Spectre. Những vấn đề này áp dụng cho tất cả các bộ vi xử lý hiện đại và ảnh hưởng đến gần như tất cả các thiết bị máy tính và hệ điều hành.
Tất cả các hệ thống Mac và thiết bị iOS đều bị ảnh hưởng, nhưng không có hành vi khai thác nào ảnh hưởng đến khách hàng tại thời điểm này. Vì việc khai thác nhiều vấn đề này yêu cầu phải tải ứng dụng độc hại trên máy Mac hoặc thiết bị iOS của bạn, chúng tôi khuyên bạn chỉ nên tải xuống phần mềm từ các nguồn đáng tin cậy như App Store.
Apple đã phát hành các biện pháp giảm nhẹ trong iOS 11.2, macOS 10.13.2và tvOS 11.2 để giúp bảo vệ chống lại Meltdown. Apple Watch không bị ảnh hưởng bởi Meltdown. Trong những ngày tới, chúng tôi dự định phát hành các biện pháp giảm nhẹ trong Safari để giúp bảo vệ chống lại Spectre. Chúng tôi tiếp tục phát triển và thử nghiệm các biện pháp giảm nhẹ hơn nữa cho những vấn đề này và sẽ phát hành chúng trong các bản cập nhật sắp tới của iOS, macOS, tvOS và watchOS. “
AppleTuyên bố của không nói rõ liệu các lỗ hổng này đã được giải quyết trong các phiên bản cũ hơn của iOS và Mac hay chưa, nhưng đối với Mac, đã có các bản cập nhật bảo mật cho các phiên bản macOS cũ hơn được phát hành cùng với macOS 10.13.2, vì vậy có thể có các bản sửa lỗi cho Sierra và El Capitan.
Tin tức về các lỗ hổng Spectre và Meltdown lần đầu tiên được đưa ra ánh sáng trong tuần này, nhưng Intel và các nhà cung cấp hệ điều hành lớn như Apple, Linux và Microsoft đã biết về vấn đề này trong vài tháng và làm việc để chuẩn bị sửa chữa trước khi các lỗi bảo mật được chia sẻ công khai.
Spectre và Meltdown là những lỗ hổng nghiêm trọng lợi dụng cơ chế thực thi đầu cơ của CPU. Vì chúng sử dụng các lỗi dựa trên phần cứng, các nhà sản xuất hệ điều hành được yêu cầu thực hiện các giải pháp thay thế phần mềm. Những cách giải quyết phần mềm này có thể ảnh hưởng đến hiệu suất của bộ xử lý, nhưng Intel đã khẳng định hầu hết người dùng sẽ không thấy sự chậm lại nghiêm trọng. Apple cũng nói rằng không có tác động có thể đo lường được đã được phát hiện trong macOS và iOS.
“Apple đã phát hành các biện pháp giảm nhẹ cho Meltdown trong iOS 11.2, macOS 10.13.2và tvOS 11.2. watchOS không yêu cầu giảm nhẹ. Thử nghiệm của chúng tôi với các điểm chuẩn công khai đã cho thấy rằng những thay đổi trong bản cập nhật tháng 12 năm 2017 dẫn đến hiệu suất của macOS và iOS không thể đo lường được như được đo bằng GeekBench 4 điểm chuẩn, hoặc trong các điểm chuẩn duyệt Web phổ biến như Đồng hồ tốc độ, JetStream và ARES-6. “
Lỗ hổng Meltdown cho phép một chương trình độc hại đọc bộ nhớ hạt nhân, truy cập dữ liệu như mật khẩu, email, tài liệu, ảnh và hơn thế nữa. Meltdown có thể được khai thác để đọc toàn bộ bộ nhớ vật lý của máy mục tiêu. Lỗ hổng bảo mật đặc biệt có vấn đề đối với các dịch vụ dựa trên đám mây.
Spectre, bao gồm hai kỹ thuật khai thác, phá vỡ sự cô lập giữa các ứng dụng khác nhau. Apple nói rằng mặc dù lỗ hổng Spectre rất khó khai thác, nhưng nó có thể được thực hiện bằng cách sử dụng JavaScript trong trình duyệt web. Apple có kế hoạch phát hành bản cập nhật Safari cho macOS và iOS để ngăn chặn việc khai thác dựa trên Spectre.
Đối với lỗ hổng Meltdown, Apple cho biết các biện pháp giảm nhẹ sắp tới của Safari sẽ “không có tác động nào có thể đo lường được” đối với Đồng hồ tốc độ và ARES-6 kiểm tra và tác động của ít hơn 2.5% trên điểm chuẩn JetStream.
Apple cho biết họ sẽ tiếp tục thử nghiệm các biện pháp giảm nhẹ khác cho Spectre và sẽ phát hành chúng trong các phiên bản iOS, macOS, tvOS và watchOS trong tương lai.
Cập nhật: Apple đã cập nhật tài liệu hỗ trợ Meltdown và Spectre để làm rõ rằng Apple Watch không bị ảnh hưởng bởi một trong hai lỗ hổng. Trước đây, Apple chỉ xác nhận rằng Apple Watch không bị ảnh hưởng bởi Meltdown.
Cập nhật 2: Apple đã xác nhận rằng các bản sửa lỗi cũng đã được phát hành cho macOS Sierra và OS X El Capitan trong một tài liệu hỗ trợ bảo mật cập nhật.
Cập nhật 3: Tài liệu hỗ trợ xác nhận các bản sửa lỗi cho Sierra và El Capitan đã được cập nhật lại để xóa các tham chiếu đến hai hệ điều hành này, vì vậy vẫn chưa rõ liệu các bản sửa lỗi Meltdown đã được phát hành cho hai hệ điều hành cũ hơn này hay chưa.
Nguồn: macrumors
