La semaine dernière, il a été révélé publiquement l'existence de trois vulnérabilités de fuite d'informations dans des processeurs sous les noms de Meltdown (affectant des processeurs Intel) et Spectre (processeurs Intel, AMD et ARM). Apple avait alors confirmé que ses ordinateurs Mac, appareils iOS et tvOS étaient affectés.
Par le biais des mises à jour macOS 10.13.2, iOS 11.2 et tvOS 11.2 disponibles début décembre, Apple avait déjà diffusé des correctifs contre la faille dite Meltdown (CVE-2017-5754). Désormais, d'autres mises à jour visent à offrir une protection contre des attaques exploitant Spectre.
Spectre recouvre deux vulnérabilités CVE-2017-5753 et CVE-2017-5715. Une exploitation peut se faire via JavaScript (et ainsi potentiellement à distance avec du code caché dans une page Web) et permettre à des processus malveillants d'accéder à des données d'autres programmes de la mémoire virtuelle.
Trois nouvelles mises à jour d'Apple sont une mise à jour supplémentaire pour macOS 10.13.2, iOS 11.2.2 et le navigateur Safari 11.0.2. Dans ses avis de sécurité, Apple annonce des améliorations de sécurité pour Safari et le moteur de rendu WebKit afin d'atténuer les effets de Spectre.
Au sujet des attaques pour Spectre, Apple écrit que " l'analyse des techniques a révélé que si elles sont extrêmement difficiles à exploiter, même par une application exécutée localement sur un ordinateur Mac ou appareil iOS, elles peuvent être exploitées via JavaScript dans un navigateur Web. "
