Om sårbarheter til spekulativ utførelse i ARM-baserte og Intel CPU-er

• Apple har lansert sikkerhetsoppdateringer for macOS Sierra og El Capitan med tiltak for Meltdown.

• Apple har lansert sikkerhetsoppdateringer for iOS, macOS High Sierra og Safari på Sierra og El Capitan, for å hjelpe til med å beskytte mot Spectre.

• Apple Watch er ikke påvirket av verken Meltdown eller Spectre.

Sikkerhetsforskere har nylig avdekket sikkerhetsproblemer kjent under to navn: Meltdown og Spectre. Disse problemene gjelder for alle moderne prosessorer og påvirker nesten alle datamaskiner og operativsystemer. Alle Mac-systemer og iOS-enheter er påvirket, men det finnes ingen kjente sårbarheter som påvirker kunder på tidspunktet for denne meldingen. Siden det kreves at en skadelig app er lastet inn på Mac-maskinen eller iOS-enheten for å utnytte mange av disse problemene, anbefaler vi kun nedlasting av programvare fra pålitelige kilder som App Store.

Apple har allerede lansert tiltak i iOS 11.2, macOS 10.13.2 og tvOS 11.2 for å hjelpe til med å beskytte mot Meltdown. Sikkerhetsoppdateringer for macOS Sierra og OS X El Capitan inkluderer også tiltak for Meltdown. For å hjelpe til med å beskytte mot Spectre har Apple lansert tiltak i iOS 11.2.2, tilleggsoppdateringen macOS High Sierra 10.13.2, og Safari 11.0.2 for macOS Sierra og OS X El Capitan. Apple Watch er ikke påvirket av verken Meltdown eller Spectre.

Vi fortsetter å utvikle og teste ytterligere tiltak mot disse truslene.

Bakgrunn

Meltdown- og Spectre-problemene utnytter en moderne CPU-ytelsesfunksjon kalt spekulativ utførelse. Spekulativ utførelse forbedrer hastighet ved å operere på flere instruksjoner samtidig – muligens i en annen rekkefølge enn da de kom inn i CPU-en. For å forbedre ytelsen forutser CPU-en hvilken sti i en gren som mest sannsynlig blir brukt, og den vil spekulativt fortsette utførelsen i den stien, selv før grenen er fullført. Hvis denne forutsigelsen er feil, rulles denne spekulative utførelsen tilbake på en måte som er tenkt å være usynlig for programvaren.

Utnyttelsesteknikkene Meltdown og Spectre misbruker spekulativ utførelse for å få tilgang til privilegert minne – inkludert det som hører til kjernen – fra en mindre privilegert brukerprosess som for eksempel en skadelig app som kjører på en enhet.

Meltdown

Meltdown er navnet som er gitt til en utnyttelsesteknikk kjent som CVE-2017-5754 eller «rogue data cache load». Meltdown-teknikken kan få en brukerprosess til å lese kjerneminne. Analysen vår anser at denne har størst potensiale for å bli utnyttet. Apple lanserte tiltak for Meltdown i iOS 11.2, macOS 10.13.2 og tvOS 11.2, og også i sikkerhetsoppdatering 2018-001 for macOS Sierra og sikkerhetsoppdatering 2018-001 for OS X El Capitan. watchOS krevde ingen tiltak.

Testingen vår med offentlige referanseindekser har vist at endringene i oppdateringene fra desember 2017 ikke førte til noen målbar reduksjon i ytelsen til macOS og iOS med måling i GeekBench 4, eller med måling i vanlige nettbaserte tjenester som Speedometer, JetStream eller ARES-6.

Spectre

Spectre er et navn som dekker flere ulike utnyttelsesteknikker, inkludert − på tidspunktet for denne meldingen − CVE-2017-5753 eller «bounds check bypass», CVE-2017-5715 eller «branch target injection» og CVE-2018-3639 eller «speculative bounds bypass».Disse teknikkene kan potensielt gjøre objekter i kjerneminne tilgjengelig for brukerprosesser ved å utnytte en forsinkelse i tiden det tar en CPU å kontrollere gyldigheten til et memory access call (tilgangskall til minne).

Analyser av disse teknikkene viste at selv om de er ekstremt vanskelig å utnytte, selv av en app som kjører lokalt på en Mac eller iOS-enhet, kan de potensielt bli utnyttet i JavaScript som kjører i en nettleser. Den 8. januar lanserte Apple oppdateringer for Safari på macOS og iOS som et tiltak mot slike tidsbaserte teknikker. Testing som ble foretatt da Safari-tiltakene ble lansert, indikerte at tiltakene ikke hadde noen målbar effekt på Speedometer- og ARES-6-testene, og en effekt på mindre enn 2,5 % på JetStream-testen. Vi fortsetter å utvikle og teste ytterligere tiltak i operativsystemene for Spectre-teknikkene. watchOS er ikke påvirket av Spectre.