Apple confirme que macOS et iOS sont touchés par les failles Spectre et Meltdown

Apple a publié un communiqué concernant les failles Meltdown et Spectre. Celui-ci confirme que l’ensemble des appareils fonctionnant sous macOS et iOS sont affectés par la faille, mais le constructeur rappelle également qu’aucun exploit susceptible de viser directement les clients n’a été découvert pour le moment.

Apple, tout comme Microsoft, rappelle à ses utilisateurs de ne télécharger des logiciels qu’à partir de sources fiables, telles que l’App store.

 

Le constructeur a déjà publié des correctifs destinés à iOS 11.2 et macOS 10.13.2, ainsi que pour tvOS 11.2 afin de corriger les vulnérabilités. Le constructeur a confirmé dans la journée de jeudi que l’Apple Watch n’était pas affectée par Meltdown.

« Dans les prochains jours, nous envisageons de publier des correctifs pour Safari afin de mieux nous défendre face aux attaques exploitant la faille Spectre. Nous continuerons à développer et tester des correctifs pour ces failles et nous les proposerons dans les futures mises à jour d’iOS, macOS, tvOS et watchOS » explique le constructeur dans son communiqué.

Les chercheurs à l’origine de la découverte avaient déjà expliqué que « pratiquement toutes les machines » depuis 1995 sont potentiellement affectées par le bug. Les chercheurs ont vérifié la présence de la faille sur des processeurs Intel datant de 2011 et ont publié leur propre preuve de concept afin de permettre aux utilisateurs de tester leurs propres machines.

« Un attaquant pourrait être capable de voler n’importe quelle donnée sur le système », explique Daniel Gruss, l’un des chercheurs en sécurité à l’origine de la découverte de Meltdown.


« Meltdown ne se contente pas de lire la mémoire du kernel, mais permet d’accéder à l’ensemble de la mémoire physique de la machine cible », explique ainsi l’article détaillant les résultats de recherche.


La vulnérabilité affecte les systèmes d’exploitation et appareils utilisant des processeurs Intel développés dans les dix dernières années, incluant les systèmes Windows, Mac et Linux.


Les failles Meltdown et Spectre profitent d’une fonctionnalité d’amélioration des performances présente sur de nombreux processeurs modernes. Connue sous le nom d’exécution spéculative, cette fonctionnalité permet d’améliorer la vitesse des processeurs en réalisant de manière préventive certaines instructions avant que celles-ci ne soient effectivement envoyées au processeur.

Pour améliorer les performances, le processeur va prévoir quelle branche de l’algorithme risque le plus d’être demandée par la suite et l’exécutera de façon purement spéculative. Si la prédiction se révèle faussée, les données sont écartées d’une manière qui devrait théoriquement être invisible pour la couche logicielle.

Selon Apple, les failles Meltdown et Spectre abusent de ce mécanisme d’exécution spéculative afin d’accéder à des espaces mémoire à haut niveau de privilège, notamment celui réservé au kernel, depuis un processus bas privilège telle une application malveillante sur l’appareil.

Linux se prépare de son côté à corriger le bug de Meltdown, mais le créateur de Linux, Linus Torvalds a partagé son mécontentement à l’égard de la situation via un mail publié sur la Linux Kernel Mailing List.

« Je pense que quelqu’un chez Intel devrait prendre le temps de se pencher sur les processeurs et admettre qu’ils ont de sérieux problèmes, au lieu de perdre leur temps à écrire des communiqués de presse inutiles qui nous affirment que tout fonctionne comme prévu » a-t-il écrit.

« … Et ce que je veux dire, c’est que ces patchs correctifs devraient être écrits en gardant à l’esprit que les processeurs ne sont pas tous pourris. Ou bien Intel est-il en train de nous dire « nous nous engageons à vous vendre de la merde pour toujours, sans jamais rien corriger ? Si c’est le cas, peut être devrions nous commencer à nous tourner vers les gens chargés d’ARM64. »

Un expert en sécurité a confié à Zdnet.com que le Google Project Zero a informé Intel de cette faille de sécurité en avril, mais ni Intel ni Google n’ont prévenu les concepteurs de systèmes d’exploitation avant plusieurs mois. Ce délai se répercute aujourd’hui, laissant Linux, Microsoft et Apple se débattre pour publier des patchs correctifs pour leurs OS.

Microsoft a également prévenu ses utilisateurs que les patchs pour Meltdown pourraient ne pas fonctionner si leur antivirus tiers n’a pas été corrigé afin de supporter la mise à jour de sécurité Windows de cette semaine.

Cet article est une traduction de  « Apple confirms iPhone, Mac affected by Meltdown-Spectre vulnerabilities » initialement publié sur ZDnet.com

ZDNet