Om sårbarheter til spekulativ utførelse i ARM-baserte og Intel CPU-er

Oppdateringer:

  • Apple har lansert sikkerhetsoppdateringer for macOS Sierra og El Capitan med tiltak for Meltdown.
  • Apple har lansert sikkerhetsoppdateringer for iOS, macOS High Sierra og Safari på Sierra og El Capitan, for å hjelpe til med å beskytte mot Spectre.
  • Apple Watch er ikke påvirket av verken Meltdown eller Spectre.

Sikkerhetsforskere har nylig avdekket sikkerhetsproblemer kjent under to navn: Meltdown og Spectre. Disse problemene gjelder for alle moderne prosessorer og påvirker nesten alle datamaskiner og operativsystemer. Alle Mac-systemer og iOS-enheter er påvirket, men det finnes for øyeblikket ingen kjente sårbarheter som påvirker kunder. Siden det kreves at en skadelig app er lastet inn på Mac-maskinen eller iOS-enheten for å utnytte mange av disse problemene, anbefaler vi kun nedlasting av programvare fra pålitelige kilder som App Store. 

Apple har allerede lansert tiltak i iOS 11.2, macOS 10.13.2 og tvOS 11.2 for å hjelpe til med å beskytte mot Meltdown. Sikkerhetsoppdateringer for macOS Sierra og OS X El Capitan inkluderer også tiltak for Meltdown. For å hjelpe til med å beskytte mot Spectre har Apple lansert tiltak i iOS 11.2.2, tilleggsoppdateringen macOS High Sierra 10.13.2, og Safari 11.0.2 for macOS Sierra og OS X El Capitan. Apple Watch er ikke påvirket av verken Meltdown eller Spectre.

Vi fortsetter å utvikle og teste ytterligere tiltak for disse problemene, og vi vil lansere dem i kommende oppdateringer av iOS, macOS og tvOS.

Bakgrunn

Meltdown- og Spectre-problemene utnytter en moderne CPU-ytelsesfunksjon kalt spekulativ utførelse. Spekulativ utførelse forbedrer hastighet ved å operere på flere instruksjoner samtidig – muligens i en annen rekkefølge enn da de kom inn i CPU-en. For å forbedre ytelsen forutser CPU-en hvilken sti i en gren som mest sannsynlig blir brukt, og den vil spekulativt fortsette utførelsen i den stien, selv før grenen er fullført. Hvis denne forutsigelsen er feil, rulles denne spekulative utførelsen tilbake på en måte som er tenkt å være usynlig for programvaren.

Utnyttelsesteknikkene Meltdown og Spectre misbruker spekulativ utførelse for å få tilgang til privilegert minne – inkludert det som hører til kjernen – fra en mindre privilegert brukerprosess som for eksempel en skadelig app som kjører på en enhet.

Meltdown

Meltdown er navnet som er gitt til en utnyttelsesteknikk kjent som CVE-2017-5754 eller «rogue data cache load». Meltdown-teknikken kan få en brukerprosess til å lese kjerneminne. Analysen vår anser at denne har størst potensiale for å bli utnyttet. Apple lanserte tiltak for Meltdown i iOS 11.2, macOS 10.13.2 og tvOS 11.2, og også i sikkerhetsoppdatering 2018-001 for macOS Sierra og sikkerhetsoppdatering 2018-001 for OS X El Capitan. watchOS krevde ingen tiltak.

Testingen vår med offentlige referanseindekser har vist at endringene i oppdateringene fra desember 2017 ikke førte til noen målbar reduksjon i ytelsen til macOS og iOS med måling i GeekBench 4, eller med måling i vanlige nettbaserte tjenester som Speedometer, JetStream eller ARES-6.

Spectre

Spectre er et navn som dekker to forskjellige utnyttelsesteknikker kjent som CVE-2017-5753 («bounds check bypass») og CVE-2017-5715 («branch target injection»). Disse teknikkene kan potensielt gjøre objekter i kjerneminne tilgjengelig til brukerprosesser ved å utnytte en forsinkelse i tiden det tar en CPU å kontrollere gyldigheten til et memory access call (tilgangskall til minne).

Analyser av disse teknikkene viste at selv om de er ekstremt vanskelig å utnytte, selv av en app som kjører lokalt på en Mac eller iOS-enhet, kan de potensielt bli utnyttet i JavaScript som kjører i en nettleser. Den 8. januar lanserte Apple oppdateringer for Safari på macOS og iOS som et tiltak mot disse utnyttelsesteknikkene. Den gjeldende testingen vår viser at tiltakene for Safari ikke har noen målbar effekt på Speedometer- og ARES-6-testene, og en effekt på mindre enn 2,5 % på JetStream-testen. Vi fortsetter å utvikle og teste ytterligere tiltak i operativsystemet for Spectre-teknikkene, og vi vil lansere dem i kommende oppdateringer av iOS, macOS og tvOS. watchOS er ikke påvirket av Spectre.

 

Informasjon om produkter som ikke produseres av Apple, eller om uavhengige nettsteder som ikke styres eller testes av Apple, gis uten anbefalinger eller bifall. Apple påtar seg ikke noe ansvar med hensyn til utvalg, ytelse eller bruk av tredjeparts nettsteder eller produkter. Apple har ingen forestillinger angående nøyaktigheten eller påliteligheten til tredjeparts nettsteder. Det finnes en iboende risiko ved bruk av Internett. Ta kontakt med leverandøren for å få mer informasjon. Andre firma- og produktnavn kan være varemerker for de respektive innehaverne.

Publiseringsdato:Tue Jan 30 19:46:32 GMT 2018