Apple рассказала о заплатках для iOS, macOS и Safari в связи со Spectre и Meltdown

[Ippolitovich]

Затронувшая всю индустрию уязвимость современных процессоров, связанная со спекулятивным исполнением команд и названная именами Meltdown и Spectre, ожидаемо не обошла и Apple. Вслед за другими крупными компаниями купертинцы опубликовали особую страницу с информацией о своих действиях по обеспечению безопасности продуктов и платформ.

 

Прежде всего, яблочная компания признала, что затронуты в той или иной степени все компьютеры с macOS и аппараты на базе iOS. Впрочем, она также добавила, что пока не зарегистрированы зловреды, которые бы использовали эти методы атак на пользователей Apple. Также был дан совет скачивать программное обеспечение только из доверенных источников вроде App Store, потому что потенциальная атака требует наличия в системе приложения (впрочем, компания подтверждает, что возможны и атаки при помощи JavaScript при посещении вредоносных веб-ресурсов).

 

Apple подтвердила, что заплатки, призванные бороться с Meltdown, ею уже выпущены в декабрьских обновлениях iOS 11.2, macOS 10.13.2 и tvOS 11.2. Другими словами, уязвимость распространяется не только на процессоры Intel, но и на однокристальные системы самой Apple с архитектурой ARM (несмотря на то, что далеко не все ядра Cortex-A уязвимы). Часы Apple Watch не нуждаются в защите против Meltdown.

 

Внутренние тесты компании показали, что эти изменения не привели ко сколько-нибудь заметному снижению производительности macOS и iOS — по крайней мере, в тестовом пакете GeekBench 4, а также в популярных веб-бенчмарках вроде Speedometer, JetStream и ARES-6.

 

Кстати, компания обещает в ближайшие дни представить специальные обновления для браузера Safari, которые помогут в борьбе против Spectre. В данном случае внутренние проверки Apple показывали, что в тестах Speedometer и ARES-6 производительность Safari не снижается, а в JetStream падает лишь на 2,5 %. Так что в специфических задачах проседание производительности может быть и более существенным.

 

Apple обещает продолжать разработку и тестирование более совершенных и эффективных методов борьбы с уязвимостями и планирует выпустить их в будущих обновлениях платформ iOS, macOS, tvOS и watchOS. То есть часы Apple Watch подвержены потенциальным атакам методами Spectre, как и остальное оборудование купертинской компании.

 

[Ippolitovich]

Недавно выяснилось, что новые серьезные проблемы безопасности, названные Meltdown и Spectre, могут позволить хакерам украсть данные с компьютеров и мобильных устройств. При этом, как свидетельствуют недавние открытия, компьютеры с процессорами Intel являются наиболее восприимчивыми к такой атаке. Несколько компаний, включая Apple, Google и Microsoft, уже предпринимают шаги для исправления проблемы с помощью обновлений программного обеспечения, которые вскоре должны быть развернуты (если они еще не вышли). Но поскольку уязвимость имеется на аппаратном уровне, то выпускаемые обновления заставят компьютеры выполнять задачи немного медленнее, чем обычно.

 

 

К сожалению, то же самое можно сказать и о мобильных устройствах. Google уже сообщил, что устройства, которые имеют самые последние обновления безопасности, защищены от данной уязвимости. Но как насчет iOS-устройств?

ARM выпустил обновление по этому вопросу, которое включает в себя список чипов ARM, на которые могут повлиять эти проблемы. Каким образом это затрагивает iOS-устройства?

Apple разрабатывает собственные чипы A-серии для iPhone, iPad и iPod Touch, однако все они построены на архитектуре ARM. Это означает, что некоторые iOS-устройства имеют чипы, которые восприимчивы к недавно обнаруженным проблемам безопасности.

Пока список включает только старые устройства. 9to5Mac составил список потенциально уязвимых устройств:

iPhone 4
iPhone 4S
iPhone 5
iPhone 5C
iPad (1 поколение)
iPad 2
iPad (3 поколение)
Apple TV (2 поколение)
Apple TV (3 поколение)
iPod Touch (4 поколение)
iPod Touch (5 поколение)
 

 

Возможно, новые устройства iOS также пострадали, учитывая секретность, связанную с этими проблемами. Тем не менее, Apple, скорее всего, выпустит обновления для iOS, чтобы устранить проблемы в ближайшем будущем.

ARM сообщает, что риск хищения хакерами данных с мобильных устройств низкий, если пользователи не будут устанавливать приложения из неизвестных источников: «Важно отметить, что этот метод [атаки] зависит от вредоносного ПО, выполняемого локально, а это означает, что пользователям крайне необходимо практиковать правильную гигиену безопасности, постоянно обновляя свое программное обеспечение и избегая подозрительных ссылок или загрузок».

Apple сегодня признал, что устройства Mac и iOS имеют проблемы уязвимости, коснувшиеся ПК на процессорах Intel. Что примечательно, Apple Watch не подвержен риску.

iOS значительно лучше защищен от вредоносного ПО, чем Android, однако предосторожность в данное неспокойное время никому не помешает.