Nach den ganzen in den vergangenen Tagen aufgekommenen Meldungen zu der Prozessor-Schwachstelle, die zu einem großen Sicherheitsproblem werden könnte, hat sich nun auch Apple erstmals öffentlich geäußert. Cupertino bestätigt dabei, dass sämtliche Macs, iPhones, iPads und Apple TVs von den als "Meltdown" und "Spectre" bekanntgewordenen Problemen betroffen sind. Erste Gegenmaßnahmen gegen "Meltdown" wurden bereits in den Updates auf iOS 11.2, macOS 10.13.2 und tvOS 11.2 ergriffen. Weitere Maßnahmen gegen "Spectre" sollen in Kürze folgen.
Apple betont dabei, dass die beiden Sicherheitslücken momentan noch theoretischer Natur sind und bislang keine tatsächlich erfolgreichen Angriffe über diese Lücken bekannt seien. In einem Statement, welches man in Form eines (momentan nur in Englisch verfügbaren) Support-Dokument veröffentlicht hat, schreibt Apple:
Security researchers have recently uncovered security issues known by two names, Meltdown and Spectre. These issues apply to all modern processors and affect nearly all computing devices and operating systems.
All Mac systems and iOS devices are affected, but there are no known exploits impacting customers at this time. Since exploiting many of these issues requires a malicious app to be loaded on your Mac or iOS device, we recommend downloading software only from trusted sources such as the App Store.
Apple has already released mitigations in iOS 11.2, macOS 10.13.2, and tvOS 11.2 to help defend against Meltdown. Apple Watch is not affected by Meltdown. In the coming days we plan to release mitigations in Safari to help defend against Spectre. We continue to develop and test further mitigations for these issues and will release them in upcoming updates of iOS, macOS, tvOS, and watchOS.
Während die aktuellsten Apple-Updates bereits erste Gegenmaßnahmen eingeleitet haben ist unklar, wie es um ältere Betriebssystemversionen steht. Gemeinsam mit macOS 10.13.2 hatte Apple auch Security Updates für macOS Sierra und macOS El Capitan veröffentlicht, so dass hier möglicherweise ebenfalls bereits eingegriffen wurde. Für iOS stehen solche Updates allerdings definitiv aus. Es gilt also noch einmal die Wichtigkeit zu betonen, auf die neuesten OS-Versionen zu aktualisieren und auch sämtliche erschienenen Sicherheitsupdates zu installieren. Zudem besteht natürlich der allgemeine Hinweis, merkwürdige Links, Webseiten und Downloads zu meiden.
Alles was man über "Meltdown" und "Spectre" in Sachen Apple wissen muss, kann dem angesprochenen Support-Dokument entnommen werden. Hier äußert sich Apple auch zu den erwarteten Performance-Einbußen durch Softwareupdates zur Behebung der Sicherheitslücke. Demnach seien keine messbaren Rückgänge in den gängigen Performancetests festgestellt worden.
Apple released mitigations for Meltdown in iOS 11.2, macOS 10.13.2, and tvOS 11.2. watchOS did not require mitigation. Our testing with public benchmarks has shown that the changes in the December 2017 updates resulted in no measurable reduction in the performance of macOS and iOS as measured by the GeekBench 4 benchmark, or in common Web browsing benchmarks such as Speedometer, JetStream, and ARES-6.
Auch der offenbar am heftigsten betroffene Prozessor-Hersteller Intel hat sich inzwischen noch einmal zu dem entdeckten Problem geäußert. Demnach sind Softwareupdates für die eigenen Chips auf dem Weg, die diese vollständig gegenüber "Meltdown" und "Spectre" immunisieren werden. Dabei habe man sich zunächst vor allem auf Chips konzentriert, die in den vergangenen fünf Jahren auf den Markt gekommen sind. Bis Ende kommender Woche sollen 90% dieser Prozessoren gepatcht sein.