針對 Intel CPU 中的推測執行安全漏洞所採取的其他因應措施
Apple 已在 macOS Mojave 10.14.5 中發佈安全性更新,以防止 Intel CPU 中的推測執行安全漏洞。
這些安全性更新所解決的問題並不會影響 Apple iOS 裝置或 Apple Watch。
Apple 先前已發佈安全性更新來防禦 Spectre 漏洞(一系列的推測執行安全漏洞,會影響配備 ARM 架構和 Intel CPU 的裝置)。Intel 已揭露名為「微結構資料取樣」(MDS)的其他 Spectre 漏洞,會影響配備 Intel CPU 的桌上型電腦和筆記型電腦,包括所有最新的 Mac 電腦。
macOS Mojave 10.14.5 包含適用於 Safari 的安全性更新,以及可啟用完整因應措施的選項,如下所述。
安全性更新 2019-003 High Sierra 和安全性更新 2019-003 Sierra 包含可啟用完整因應措施的選項。
關於 macOS Mojave 中的安全性修正
macOS Mojave 10.14.5 為 Safari 修正了這個問題,且未測出對效能有任何影響1。此更新可防止透過 JavaScript 或因為在 Safari 中瀏覽惡意網站而導致這些漏洞受到攻擊。
客戶也可以更新 macOS 中的安全性設定,僅限從 App Store 下載 App,藉以保護 Mac。此設定有助於防止安裝可能攻擊這些漏洞的 App。來自 App Store 的所有 App 都經過 Apple 簽署,可確保其未遭竄改或變造。瞭解如何檢視及更改 Mac 上的 App 安全性設定。
雖然在撰寫本文時,還沒有會影響客戶的已知攻擊,但是如果客戶的電腦具有高風險,或是在其 Mac 上執行未受信任的軟體,則可選擇啟用完整因應措施,以防止有害的 App 攻擊這些漏洞。完整因應措施需要使用「終端機」App 來啟用額外的 CPU 指示,並停用超執行緒處理技術。此功能適用於具有最新安全性更新的 macOS Mojave、High Sierra 和 Sierra,可能會使效能降低達 40%2,對於大量使用多執行緒的運算密集工作影響最大。瞭解如何啟用完整因應措施。
不受支援的 Mac 機型
下列 Mac 機型可以在 macOS Mojave、High Sierra 或 Sierra 中接收安全性更新,但無法支援修正和因應措施,因為其欠缺 Intel 提供的微碼更新。
MacBook(13 英寸,2009 年末)
MacBook(13 英寸,2010 年中)
MacBook Air(13 英寸,2010 年末)
MacBook Air(11 英寸,2010 年末)
MacBook Pro(17 英寸,2010 年中)
MacBook Pro(15 英寸,2010 年中)
MacBook Pro(13 英寸,2010 年中)
iMac(21.5 英寸,2009 年末)
iMac(27 英寸,2009 年末)
iMac(21.5 英寸,2010 年中)
iMac(27 英寸,2010 年中)
Mac mini(2010 年中)
Mac Pro(2010 年中)
Mac Pro(2012 年中)
1 Safari 效能:Apple 在 2019 年 5 月進行的測試顯示,使用 Speedometer、JetStream 和 MotionMark 等常見的網頁瀏覽效能基準進行測試時,並未測得這些更新會使 Safari 效能降低的情況。
2 macOS 效能:Apple 在 2019 年 5 月進行的測試顯示,進行包括多執行緒工作負載和公開基準的測試時,效能降低達 40%。效能測試是使用特定 Mac 電腦來進行。實際結果會因機型、配置、用法和其他因素而不同。
對於非 Apple 製造之產品相關資訊,或是非 Apple 控制或測試之獨立網站,不得解釋 Apple 為其推薦或背書。Apple 對於第三方網站或產品的選擇、效能或使用,概不負責。Apple 對於第三方網站的準確性或可靠性不做任何保證。如需其他資訊,請聯絡廠商。