Apple bestätigt: macOS 10.13.2, iOS 11.2 und tvOS 11.2 gegen Prozessor-Schwachstellen abgesichert

05. Jan 2018 13:30 Uhr - Redaktion

Gestern wurde bekannt, dass das aktuelle Betriebssystem macOS High Sierra bereits gegen die kritischen Sicherheitslücken in Intel-Prozessoren abgesichert ist. Dies wurde nun von Apple bestätigt: Die Schwachstelle Meltdown lässt sich unter macOS 10.13.2 nicht ausnutzen, gleiches gilt für iOS 11.2 und tvOS 11.2. Das tvOS ist davon nicht betroffen.

Der in macOS, iOS und tvOS implementierte Bug-Fix für Meltdown hat laut Apple keine negativen Auswirkungen auf die Performance. In einem Support-Dokument schreibt der Hersteller:

"Our testing with public benchmarks has shown that the changes in the December 2017 updates resulted in no measurable reduction in the performance of macOS and iOS as measured by the GeekBench 4 benchmark, or in common Web browsing benchmarks such as Speedometer, JetStream, and ARES-6."

 
macOS High Sierra
 
macOS High Sierra: CPU-Sicherheitslücke bereits im Dezember geschlossen.
Bild: Apple.

 

Gegen die zweite Sicherheitslücke, Spectre, will Apple in den nächsten Tagen mit einem Update für den Web-Browser Safari Schutzmaßnahmen implementieren. Dabei ist anzumerken, dass Spectre nicht ohne Meltdown ausgenutzt werden kann. Der Bug-Fix für Spectre wird nach Angaben der Kalifornier die Leistung nur minimal beeinträchtigen:

"Our current testing indicates that the upcoming Safari mitigations will have no measurable impact on the Speedometer and ARES-6 tests and an impact of less than 2.5% on the JetStream benchmark."

Ob die älteren Betriebssysteme OS X El Capitan und macOS Sierra ebenfalls gegen Meltdown und Spectre abgesichert werden oder bereits sind, ist derzeit nicht bekannt - Apple macht dazu bislang keine Angaben.

Nachtrag (17:30 Uhr): Die Meltdown-Lücke (CVE-2017-5754) wurde auch in OS X El Capitan und macOS Sierra geschlossen und zwar im Rahmen der im Dezember veröffentlichten Sicherheitsupdates. Dies geht aus einem von Apple aktualisierten Support-Dokument hervor.

2. Nachtrag (06. Januar): Kommando zurück bei Apple: Aus dem erwähnten Support-Dokument wurde beim gestern hinzugefügten Eintrag zur Meltdown-Lücke der Passus "macOS Sierra 10.12.6, OS X El Capitan 10.11.6" wieder entfernt. Somit ist die Meltdown-Lücke unter OS X El Capitan und macOS Sierra doch noch offen. Dies dürfte sich mit den nächsten Sicherheitsupdates ändern.

Kommentare

https://support.apple.com/en-gb/HT208331

Available for: macOS High Sierra 10.13.1, macOS Sierra 10.12.6, OS X El Capitan 10.11.6

Impact: An application may be able to read kernel memory

Description: Systems with microprocessors utilizing speculative execution and indirect branch prediction may allow unauthorized disclosure of information to an attacker with local user access via a side-channel analysis of the data cache.

CVE-2017-5754: Jann Horn of Google Project Zero, Werner Haas and Thomas Prescher of Cyberus Technology GmbH, and Daniel Gruss, Moritz Lipp, Stefan Mangard and Michael Schwarz from Graz University of Technology

Diesmal gut mitgedacht und diese Lücke schon Wochen vor dem medialen Hype geschlossen. Schön, dass es praktisch keine negativen Auswirkungen auf die Performance gibt.

- Ein zufriedener Mac-User.

Seid ihr mit euerm Nachtrag nicht etwas zu voreilig? Der Patch ist zwar auch für Sierra und El Capitan verfügbar, bei der Meltdown-Lücke (CVE-2017-5754) steht aber ganz klar in der Beschreibung:

Available for: macOS High Sierra 10.13.1

Apple hat das Support-Dokument zwischenzeitlich geändert und den Passus "macOS Sierra 10.12.6, OS X El Capitan 10.11.6" wieder entfernt. Wir haben unseren Artikel entsprechend aktualisiert.

Mit freundlichen Grüßen

Redaktion MacGadget

... nicht die Redaktion MacGadget. "macOS Sierra 10.12.6, OS X El Capitan 10.11.6" stand 1 Tag drin. Wenn die Dokumente bei Apple so zufällig sind, bin ich mir nicht mehr sicher, ob die Lücke überhaupt geschlossen ist, geschweige denn, abschliessend :(