Venerdì, 05 Gennaio 2018 00:00

Meltdown e Spectre: nota tecnica di Apple.

Martedi' 9 Gennaio 2018

Nuovo aggiornamento macOS High Sierra 10.13.2, per tutelare ancor di più gli utenti dalle falle Spectre e Meltdown scoperte nei giorni scorsi.

Apple ha rilasciato un aggiornamento supplementare per macOS High Sierra, in particolare per tutti i computer su cui attualmente è installato macOS 10.13.2. L’aggiornamento di sicurezza arriva come protezione ulteriore, per controbattere alla falla che ha colpito Safari, oltre che per tutelare gli utenti da Meltdown.

Insieme all’aggiornamento macOS, Apple ha rilasciato iOS 11.2.2 per iPhone e iPad, per migliorare la sicurezza.

 

Meltdown non colpisce i Mac con macOS 10.12 Sierra e OS X 10.11 El Capitan.

Apple ha risolto il problema della falla Meltdown non solo in macOS 10.13.2 High Sierra ma anche nei precedenti Sierra 10.12 ed El Capitan 10.11. Aggiornare i sistemi operativi con gli ultimi update di Cupertino e' dunque assolutamente consigliato. Molto probabilmente Apple non aggiornerà le vecchie versioni del sistema operativo e restano dunque tagliati fuori gli utenti che usano OS X 10.10 Yosemite e release precedenti.

 

Ricerche di Mozilla dimostrano che la falla dei processori può essere sfruttata anche via Internet per rubare dati da app e software. Aggiornare i sistemi operativi potrebbe quindi non bastare, occorre dunque scaricare e installare patch per i browser. Disponibile l’update per Mozilla Firefox, versione 57.0.3.

 

 

 

 

Apple spiega in una nota tecnica di avere già integrato specifiche contromisure per proteggersi dalle falle recentemente scoperte nell’architettura di numerosi processori. Contromisure già integrate in iOS 11.2, macOS 10.13.2 e tvOS 11.2. Altre ancora in arrivo con le prossime release dei software.

Anche Apple ha indicato dettagli sulle vulnerabilità Spectre e Meltdown che riguardano l’architettura di numerosi moderni processori. La Casa di Cupertino utilizza sia processori con architettura Intel, sia ARM per i suoi device.

Le vulnerabilità in questione riguardano tutti i moderni processori e quasi tutti i moderni computer e sistemi operativi. Tutti i Mac e i dispositivi iOS sono potenzialmente vulnerabili ma non sono al momento noti exploit che possano avere ripercussioni.

Poiché l’exploiting richiede lo sfruttamento di app malevole da caricare su Mac o dispositivi iOS, Apple raccomanda di scaricare software solo da fonti affidabili come l’App Store. Apple fa sapere ancora di avere integrato meccanismi che consentono di mitigare i potenziali problemi di Meltdown in iOS 11.2, macOS 10.13.2 e tvOS 11.2. L’Apple Watch a quanto pare non è interessato dalla vulnerabilità Meltdown.

Verrà rilasciato a breve un aggiornamento per Safari per ovviare alle minaccia di Spectre. 

Meltdown è il nome di una tecnica di exploitation classificata nel dizionario delle vulnerabilità come  “rogue data cache load”. La tecnica consente a un processo di aggirare l’isolamento fondamentale tra le applicazioni d’utente e il sistema operativo, consentendo a un programma di accedere alla memoria di altri programmi e del sistema operativo stesso.

Spectre è il nome che identifica due diverse tecniche di exploitation identificate come “bounds check bypass” e  “branch target injection”. Aggirano l’isolamento tra diverse applicazioni permettendo di accedere ai dati in memoria di altre applicazioni. Sebbene il potenziale attacco è di difficile realizzazione può teoricamente essere portato a termine anche sfruttando JavaScript da un browser web.

Apple rilascerà nei prossimi giorni versioni aggiornate di Safari per macOS e iOS per limitare i rischi di queste tecniche di exploit e fa sapere che continuerà a sviluppare e testare ulteriori tecniche di riduzione dei rischi contro Spectre, con aggiornamenti specifici negli update futuri di iOS, macOS, tvOS e watchOS.