Apple también ha confirmado que las dos vulnerabilidades afectan a todos los dispositivos Mac e iOS. La declaración completa de la compañía, disponible a través de un nuevo documento de soporte que cubre Meltdown y Spectre, se encuentra a continuación:
Los investigadores de seguridad han descubierto recientemente problemas de seguridad conocidos por dos nombres, Meltdown y Spectre. Estos problemas se aplican a todos los procesadores modernos y afectan a casi todos los dispositivos informáticos y sistemas operativos.
Todos los sistemas Mac y dispositivos iOS se ven afectados, pero en este momento no se conocen exploits que afecten a los clientes. Dado que la explotación de muchos de estos problemas requiere que se cargue una aplicación maliciosa en su dispositivo Mac o iOS, recomendamos descargar software sólo desde fuentes de confianza como el App Store.
Apple ya ha liberado algunas soluciones en iOS 11.2, macOS 10.13.2 y tvOS 11.2 para ayudar a defenderse contra Meltdown. El Apple Watch no está afectado por Meltdown. En los próximos días planeamos liberar mitigaciones en Safari para ayudar a defenderse contra Spectre. Seguimos desarrollando y probando más mitigaciones para estos problemas y las publicaremos en próximas actualizaciones de iOS, macOS, tvOS y watchOS.Apple
La declaración de Apple no deja claro si estas vulnerabilidades han sido abordadas en versiones anteriores de iOS y Mac, pero para los ordenadores de Apple, hubo actualizaciones de seguridad para versiones anteriores de macOS lanzadas junto con MacOS 10.13.2, por lo que es posible que las correcciones ya estén disponibles para macOS Sierra y OS X El Capitan.
Las noticias de las vulnerabilidades Spectre y Meltdown salieron a la luz por primera vez esta semana, pero Intel y los principales proveedores de sistemas operativos como Apple, Linux y Microsoft estaban al tanto del problema desde hace varios meses y han trabajado para preparar una solución antes de que los problemas de seguridad se hicieran públicos.
Spectre y Meltdown son vulnerabilidades graves que aprovechan el mecanismo de ejecución especulativa de una CPU. Como ambas vulnerabilidades usan fallos basados en hardware, los fabricantes de sistemas operativos están obligados a implementar soluciones de software. Estas soluciones de software pueden afectar el rendimiento del procesador, pero Intel ha insistido desde la publicación de estas vulnerabilidades en que los usuarios no verán ralentizaciones graves. Apple también dice que no se ha detectado ningún impacto medible en macOS e iOS.
Apple liberó soluciones de seguridad para Meltdown en iOS 11.2, macOS 10.13.2 y tvOS 11.2. watchOS no requirió ninguna solución de seguridad. Nuestras pruebas con test públicos han demostrado que los cambios en las actualizaciones de diciembre de 2017 no resultaron en una reducción medible en el rendimiento de macOS e iOS medido por el punto de referencia GeekBench 4, o en test comunes para la navegación web como Speedometer, JetStream y ARES-6.Apple
La vulnerabilidad Meltdown permite que un programa malicioso lea la memoria del kernel, accediendo a datos como contraseñas, correos electrónicos, documentos, fotos y más. La vulnerabilidad puede ser explotada para leer toda la memoria física de una máquina objetivo. La vulnerabilidad es particularmente problemática para los servicios basados en la nube.
Spectre, que abarca dos técnicas de acceso, rompe el aislamiento entre diferentes aplicaciones. Apple dice que aunque la vulnerabilidad Spectre es difícil de ejecutar, se puede hacer usando JavaScript en un navegador web. Apple planea publicar actualizaciones de Safari para MacOS e iOS para evitar los ataques basados en Spectre.
Al igual que con la vulnerabilidad Meltdown, Apple afirma que los próximos mitigaciones de Safari “no tendrán un impacto medible” en las pruebas de Speedometer y ARES-6, y un impacto de menos del 2,5% en el test de velocidad y rendimiento JetStream.
Apple dice que seguirá probando más soluciones de seguridad para Spectre y las lanzará en futuras versiones de iOS, macOS, tvOS y watchOS
