Apple lança correção do Spectre para IOS, Safari e MaCOS

A Apple lançou o software iOS 11.2.2 segunda-feira para iPhones, iPads e modelos de iPod touch que corrigem as vulnerabilidades do Specter.

Uma atualização suplementar do MacOS High Sierra 10.13.2 também foi lançada para reforçar as defesas do Spectre no navegador Safari da Apple e no WebKit, o mecanismo do navegador da Web usado pelo Safari, Mail e App Store.

Esta é a segunda atualização da Apple desde a revelação na semana passada das vulnerabilidades maciças nos processadores, Meltdown e Spectre, impactando CPUs em todo o mundo . A Apple lançou anteriormente mitigações contra Meltdown com atualizações que incluíam iOS 11.2, macOS e tvOS 11.2.

As três atualizações de segunda-feira incluem MacOS High Sierra 10.13.2 suplementar , Safari 11.0.2 e iOS 11.2.2 . As atualizações “incluem melhorias de segurança” para mitigar os dois métodos conhecidos para explorar o Spectre identificado como variantes “bypass de verificação de limites” ( CVE-2017-5753 / Spectre / variante 1) e “injeção de alvo de ramo” ( CVE-2017-5715 / Spectre / variante 2).

A Apple disse que a atualização do Safari 11.0.2 está disponível para OS X El Capitan 10.11.6 e macOS Sierra 10.12.6. A atualização suplementar MacOS High Sierra 10.13.2 inclui atualizações de segurança para Safari e WebKit. O iOS 11.2.2 é para o iPhone 5s e posterior, o iPad Air e mais tarde, e a iPod touch da 6ª geração.

De acordo com especialistas, a variante de vulnerabilidade Spectre é um ataque muito mais difícil de realizar do que Meltdown porque ele quebra o isolamento entre diferentes aplicativos. Mas, ao mesmo tempo, também será mais difícil de corrigir.

Há também um maior senso de urgência com o Spectre. Um cenário de ataque Meltdown exige que um invasor já tenha um ponto de apoio no sistema visado. O Spectre abre certos tipos de cenários de ataques remotos, como ataques baseados em navegador, de acordo com pesquisadores.

CORREÇÃO GERAL

Na semana passada, a Mozilla, juntamente com a Microsoft e o Google, atualizaram o código em seus navegadores para aumentar o tempo necessário para executar certos comandos Java que poderiam explorar as falhas do Spectre, tornando exponencialmente mais difícil – mas não impossível – explorar.

“Um ataque JavaScript capaz de extrair o conteúdo da memória do navegador e pode resultar em puxar credenciais e chaves de sessão, o que ultrapassa muitas proteções de segurança”,

disse Jimmy Graham, diretor de gerenciamento de produtos da Qualys.

A Apple não está liberando detalhes técnicos adicionais dos patches, incluindo o que – se algum – os patches de penalidade podem ter no desempenho do dispositivo.

FONTE: THREATPOST

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *