写点什么

苹果发布新的安全更新,保护 Safari 免受 Spectre 攻击

2018 年 1 月 16 日

看新闻很累?看技术新闻更累?试试下载 InfoQ 手机客户端,每天上下班路上听新闻,有趣还有料!

在新闻披露出两个边信道攻击(side-channel attack)之时,即 Spectre 和 Meltdown ,苹果就声明它已经为 iOS 11.2、macOS 10.13.2 和 tvOS 11.2 发布了针对 Meltdown 的更新,对 Spectre 的修正将会稍后发布。现在,该公司发布了三个安全更新,致力于保护 Safari 和 WebKit 免受 Spectre 攻击。这三个更新会作用于 iOS、macOS 以及 Safari 浏览器本身。

Chris Swan 在为 InfoQ 提供的报告中提到,浏览器是Spectre 漏洞的特殊攻击目标,因为它们可能会通过浏览器中运行的JavaScript 进行攻击。 Chrome Firefox 已经发布了类似的补丁。

与以往的情况一样,除了说明能够解决那些漏洞以外,苹果公司并没有提供太多的细节,但是在发布说明中,他们感谢了发现bug 的研究人员,包括来自谷歌Zero 项目的Jann Horn。但是在 WebKit 的官方博客上,Filip Pizlo 提供了各种问题的更多细节,并且确定还会有更多的修复。

WebKit 对 Spectre 的回应是两层防护:
1.WebKit 已经禁用了 SharedArrayBuffer 并降低计时器的精度;
2. 除了基于 branch 的安全检查之外,WebKit 正在转换至使用 branchless 的安全检查。

有些变更在 1 月 8 日的更新中已经包含了,其他更多这样的变更正在 WebKit 中继续推进。

在 1 月 9 日的一个声明中,苹果这样说到:

目前,还没有获悉影响消费者的攻击。因为很多攻击都需要将恶意的 App 加载到 Mac 或 iOS 设备上,所以我们推荐通过信任的源来下载软件,比如 App Store。

该公司还说明 Apple Watch 不会受到 Meltdown 和 Spectre 漏洞的影响。

在相关的更新中,iOS 11.2.2 和 macOS High Sierra 10.13.2 都能在兼容的设备上免费获取。iOS 11.2.2 支持 iPhone 5s 及以上版本、iPad Air 及后续版本和 iPod touch 第六代。要安装的话,进入“设置” > “通用” >“软件更新”。High Sierra 用户要使用 Mac App Store 更新。同样解决 Spectre 风险的 Safari 11.0.2 更新适用于运行 OS X El Capitan 10.11.6 和 macOS Sierra 10.12 系统的 Mac 设备。

微软也为 Windows 用户提供了更新,即 KB4056892,不过有些用户报告在基于AMD 的PC 上安装更新后会有问题。微软现在将该其归因为 AMD 针对该漏洞所提供的文档

微软已经接收到来自用户的报告,他们反映在安装完最近的 Windows 操作系统安全更新后,有些 AMD 设备会无法启动。调查之后,微软确定有些 AMD 芯片组并不符合之前提交给微软的文档,这些文档是提交给微软用于开发操作系统更新以防护芯片组 Spectre 和 Meltdown 漏洞的。

微软的支持站点提供了补丁,能够让机器重新恢复可启动状态。

查看英文原文 Apple Releases New Security Updates to Protect Safari against the Spectre Attack

2018 年 1 月 16 日 18:00917

评论

发布
暂无评论
发现更多内容

架构实战营-模块一作业

俞立夫

架构实战营

聪明人的训练(四)

Changing Lin

4月日更

配置中的动态代码

顿晓

配置化开发 Function 4月日更 动态函数

go每日一库 [cmd]

happlyfox

golang 4月日更

强化学习—DQN:不讲前世,就论今生

打工人!

深度学习 强化学习 深度强化学习 图解源码分析 DQN

Linux awk命令

一个大红包

4月日更

Redis 数据倾斜和集群内通信开销

escray

redis 极客时间 学习笔记 3月日更 Redis 核心技术与实战

架构实战营 - 模块一作业

凯迪

架构实战营

当你的内心归于平静,美好便会悄然而至

小天同学

自我思考 个人感悟 个人总结 4月日更

u盘偷猎系统源代码

赫鲁小夫

4月日更

架构实战营第一模块课程总结

Veek

架构实战营

第一课作业

杰语

像智能手机一样造车,可能吗?

脑极体

架构师训练营大作业一

潘涛

架构师训练营 4 期

Git命令大全,Git基本了解

Chalk

git 学习 4月日更

广告投放预算低?千人成本低才是真的省!

󠀛Ferry

七日更 4月日更

sql执行顺序优化

大数据技术指南

sql 4月日更

模块一,学习总结

俞立夫

架构实战营

零基础学Tableau系列 | 04—标靶图、甘特图、瀑布图

不温卜火

数据可视化 数据清洗 4月日更

算法训练营 - 学习笔记 - 第一周

心在飞

模块一作业

Presley

Java 多线程

anuyyy

Java 多线程 Runnable 4月日更

容器的生命周期状态变化

耳东

容器 4月日更

架构师训练营大作业二

潘涛

架构师训练营 4 期

华仔训练营第一次作业

方堃

8x Flow 业务建模法(二):再看什么是业务逻辑

胡皓

领域驱动设计 DDD 业务建模 8xFlow 业务逻辑

架构实战营-模块1-作业

莫问

架构实战营

[架构实战营][0期]模块1作业

张民

架构实战营

Redis数据结构zset详解:范围查找

程序员架构进阶

redis 源码分析 Zset 28天写作 4月日更

【架构实战营】第一模块作业

hiqian

【架构实战营】第一模块总结

hiqian

架构实战营

苹果发布新的安全更新,保护Safari免受Spectre攻击-InfoQ