Apple a publié des mises à jour de sécurité pour traiter les vulnérabilités Spectre et Meltdown

Apple a publié de nouvelles mises à jour pour iOS, macOS et Safari afin d'atténuer les effets des vulnérabilités exploitées par l'attaque Spectre.

Apple a informé ses clients que iOS 11.2.2 et la mise à jour macOS High Sierra 10.13.2 incluent des améliorations de sécurité pour Safari et WebKit. Les améliorations de Safari sont également incluses dans la version 11.0.2 du navigateur Web d'Apple. 

Apple a signalé que les mesures d'atténuation de Safari n'auront aucun impact mesurable sur les performances. Toutefois, un impact de moins de 2,5% est prévu selon le benchmark JetStream.

Ces mises à jour concernent les vulnérabilités liées à Spectre, en particulier CVE-2017-5753 et CVE-2017-5715. Des mesures d'atténuation pour l'attaque Meltdown ont été déjà déployées par Apple, avant que les failles ne soient divulguées, avec la sortie de iOS 11.2, macOS 10.13.2 et tvOS 11.2. Apple Watch n'est vulnérable à aucune de ces attaques.

L'analyse d'Apple a montré que les vulnérabilités relatives à Spectre sont difficiles à exploiter, même par une application locale fonctionnant sous iOS ou macOS. Cependant, l'entreprise a averti que l'exploitation à distance via JavaScript dans le navigateur est possible. 

Apple estime que la technique Meltdown, qui repose sur une vulnérabilité répertoriée sous le nom de CVE-2017-5754, présente le plus grand potentiel d'exploitation.

Quant au moteur WebKit, utilisé par Safari, Mail et l'App Store, ses développeurs ont expliqué que pour lancer une attaque basée sur Spectre ou Meltdown, l'attaquant doit être capable d'exécuter du code sur le processeur de la victime. Or, WebKit comme tout moteur JavaScript, afin de rendre des sites Web modernes, doit permettre l'exécution de code JavaScript non fiable sur le processeur de l'utilisateur. Ce qui facilite l'attaque via Webkit.

Il est donc recommandé d'appliquer les dernières mises à jour publiées afin d'éviter ces attaques.