Apple: anche Mac e iOS colpiti da Meltdown e Spectre

I primi giorni del 2018 la Rete ha tremato a causa di Meltdown e Spectre, due nuovi cybernemici che colpiscono tutti i processori moderni e sono in grado di attaccare quasi tutti i dispositivi elettronici e i sistemi operativi.
MeltdownAnche “tutti i sistemi Mac e i dispositivi iOS sono stati colpiti”, si legge in una nota del gigante statunitense dello scorso 4 gennaio, “ma al momento non ci sono exploit noti che abbiano un impatto sui consumatori”.
Pertanto, dato che Meltdown e Spectre possono attaccare i nostri dispositive tramite un’app maligna, Apple suggerisce a tutti gli utenti di scaricare software soltanto da fonti attendibili come l’Apple Store.
Nel frattempo, Apple ha già rilasciato delle “mitigazioni” dei bug in iOS 11.2, macOS 10.13.2, and tvOS 11.2 per aiutare il software a difendersi da Meltdown, da cui l’Apple Watch non è stato colpito.
Nei prossimi giorni, inoltre, l’azienda rilascerà ulteriori mitigazioni in Safari per proteggere i propri dispositivi da Spectre.

Non da ultimo, l’azienda ha annunciato che sta continuando a sviluppare e testare ulteriormente delle mitigazioni contro questi bug, che rilascerà nei prossimi aggiornamenti di iOS, macOS, tvOS, and watchOS.

Sostanzialmente, Meltdown e Spectre si basano su una caratteristica dei moderni CPU denominata “esecuzione speculativa”, tramite cui riescono ad avere accesso alla memoria privilegiata dei dispositivi –compreso il kernel.
Nello specifico Meltdown –nome dato a una tecnica di exploit nota come CVE-2017-5754 o “rogue data cache load”- può consentire di arrivare a leggere il kernel.

Spectre, invece, si riferisce a due diverse tecniche di exploit note come CVE-2017-5753 o “bounds check bypass,” e CVE-2017-5715 or “branch target injection”.

Tuttavia, secondo le analisi dei ricercatori di Apple, queste due tecniche sono estremamente difficili da utilizzare, persino da un app in funzione su un Mac o un dispositivo iOS, mentre possono essere sfruttate attraverso lo JavaScript in funzione in un browser, donde i “lavori in corso” su Safari.

Per leggere i prossimi aggiornamenti di Apple cliccare qui.

L.S.