Meltdown et Spectre : tous les systèmes Mac et les appareils iOS sont concernés, mais aucune attaque connue

Apple est enfin sortie de l’ombre concernant les failles Meltdown et Spectre. Ces problèmes s’appliquent à tous les processeurs modernes et affectent presque tous les périphériques informatiques et systèmes d’exploitation. Tous les systèmes Mac et les appareils iOS sont concernés, mais aucune attaque n’est connue.

Mac

Dans la mesure où l’exploitation de la plupart de ces problèmes nécessite le chargement d’une application malveillante sur votre Mac ou votre appareil iOS, Apple vous recommande de télécharger vos logiciels uniquement à partir de sources fiables.  Apple a déjà apporté des correctifs dans iOS 11.2, macOS 10.13.2 et tvOS 11.2 pour aider à se défendre contre Meltdown. L’Apple Watch, quant à elle, n’est pas affectée. Apple envisage aussi d’apporter des correctifs dans Safari d’ici les prochains jours.

Qu’est-ce que Meltdown?

Meltdown est un nom donné à une technique d’exploitation connue sous le nom de CVE-2017-5754 ou « chargement de cache de données frauduleuses ». La technique Meltdown peut permettre à un processus utilisateur de lire la mémoire du noyau. Notre analyse suggère qu’elle a le plus de potentiel à exploiter. Les tests avec des tests de performance (benchmarks) publics ont montré que les changements apportés aux mises à jour de décembre 2017 n’ont entraîné aucune réduction mesurable des performances de macOS et iOS telles que mesurées par le test de performance GeekBench 4 ou des benchmarks de navigation Web courants tels que Speedometer, JetStream et ARES- 6.

Qu’est-ce que Spectre

Spectre est un nom couvrant deux techniques d’exploitation différentes connues sous le nom de CVE-2017-5753 ou « bounds check bypass », et CVE-2017-5715 ou « injection de cible de branche ». Ces techniques rendent les éléments de la mémoire du noyau potentiellement disponibles pour les processus utilisateur en profitant d’un délai dans le temps que le processeur peut demander pour vérifier la validité d’un appel d’accès à la mémoire.

La firme de Cupertino continue de développer et de tester des correctifs. Ceux-ci seront intégrés dans de futures mises à jour.