BT

如何利用碎片时间提升技术认知与能力? 点击获取答案

苹果发布新的安全更新,保护Safari免受Spectre攻击

| 作者 Charles Humble 关注 798 他的粉丝 ,译者 张卫滨 关注 13 他的粉丝 发布于 2018年1月17日. 估计阅读时间: 4 分钟 | Google、Facebook、Pinterest、阿里、腾讯 等顶尖技术团队的上百个可供参考的架构实例!

看新闻很累?看技术新闻更累?试试下载InfoQ手机客户端,每天上下班路上听新闻,有趣还有料!

在新闻披露出两个边信道攻击(side-channel attack)之时,即Spectre和Meltdown,苹果就声明它已经为iOS 11.2、macOS 10.13.2和tvOS 11.2发布了针对Meltdown的更新,对Spectre的修正将会稍后发布。现在,该公司发布了三个安全更新,致力于保护Safari和WebKit免受Spectre攻击。这三个更新会作用于iOS、macOS以及Safari浏览器本身。

Chris Swan在为InfoQ提供的报告中提到,浏览器是Spectre漏洞的特殊攻击目标,因为它们可能会通过浏览器中运行的JavaScript进行攻击。ChromeFirefox已经发布了类似的补丁。

与以往的情况一样,除了说明能够解决那些漏洞以外,苹果公司并没有提供太多的细节,但是在发布说明中,他们感谢了发现bug的研究人员,包括来自谷歌Zero项目的Jann Horn。但是在WebKit的官方博客上,Filip Pizlo提供了各种问题的更多细节,并且确定还会有更多的修复。

WebKit对Spectre的回应是两层防护:
1.WebKit已经禁用了SharedArrayBuffer并降低计时器的精度;
2.除了基于branch的安全检查之外,WebKit正在转换至使用branchless的安全检查。

有些变更在1月8日的更新中已经包含了,其他更多这样的变更正在WebKit中继续推进。

在1月9日的一个声明中,苹果这样说到:

目前,还没有获悉影响消费者的攻击。因为很多攻击都需要将恶意的App加载到Mac或iOS设备上,所以我们推荐通过信任的源来下载软件,比如App Store。

该公司还说明Apple Watch不会受到Meltdown和Spectre漏洞的影响。

在相关的更新中,iOS 11.2.2和macOS High Sierra 10.13.2都能在兼容的设备上免费获取。iOS 11.2.2支持iPhone 5s及以上版本、iPad Air及后续版本和iPod touch第六代。要安装的话,进入“设置” > “通用” >“软件更新”。High Sierra用户要使用Mac App Store更新。同样解决Spectre风险的Safari 11.0.2更新适用于运行OS X El Capitan 10.11.6和macOS Sierra 10.12系统的Mac设备。

微软也为Windows用户提供了更新,即KB4056892,不过有些用户报告在基于AMD的PC上安装更新后会有问题。微软现在将该其归因为AMD针对该漏洞所提供的文档

微软已经接收到来自用户的报告,他们反映在安装完最近的Windows操作系统安全更新后,有些AMD设备会无法启动。调查之后,微软确定有些AMD芯片组并不符合之前提交给微软的文档,这些文档是提交给微软用于开发操作系统更新以防护芯片组Spectre和Meltdown漏洞的。

微软的支持站点提供了补丁,能够让机器重新恢复可启动状态。

查看英文原文Apple Releases New Security Updates to Protect Safari against the Spectre Attack

评价本文

专业度
风格

您好,朋友!

您需要 注册一个InfoQ账号 或者 才能进行评论。在您完成注册后还需要进行一些设置。

获得来自InfoQ的更多体验。

告诉我们您的想法

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我
社区评论

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

允许的HTML标签: a,b,br,blockquote,i,li,pre,u,ul,p

当有人回复此评论时请E-mail通知我

讨论

登陆InfoQ,与你最关心的话题互动。


找回密码....

Follow

关注你最喜爱的话题和作者

快速浏览网站内你所感兴趣话题的精选内容。

Like

内容自由定制

选择想要阅读的主题和喜爱的作者定制自己的新闻源。

Notifications

获取更新

设置通知机制以获取内容更新对您而言是否重要

BT