Apple a publié sa première déclaration publique concernant le défaut de conception présent dans presque tous les ordinateurs et appareils mobiles.
Le commentaire se présente sous la forme d'un document de support donnant des détails sur les appareils concernés, les vulnérabilités, ce qu'ils ont fait jusqu'à présent et comment vous protéger.
Apple a précisé que tous les appareils iOS et macOS sont concernés (y compris Apple TV). Apple Watch n'est pas affectée par Meltdown.
Bien qu'il s'agisse d'un nombre important d'appareils vulnérables, Apple affirme que les utilisateurs ne devraient pas s'inquiéter. Actuellement, il n’existe aucun exploit connu et il est très difficile de tirer parti de.
Ils disent que les problèmes ne peuvent être exploités que lorsqu'une application malveillante est installée sur votre machine. Pour vous protéger, Apple dit de ne télécharger que des applications et des logiciels à partir de sources fiables (comme l'App Store).
Ils ont également confirmé les correctifs récents publiés sur iOS 11.2, macOS 10.13.2 et tvOS 11.2. Ces correctifs visaient à corriger la vulnérabilité de Meltdown et une nouvelle mise à jour pour Safari sera disponible dans les prochains jours pour corriger Spectre.
Nous continuons à développer et à tester de nouvelles atténuations de ces problèmes et nous les publierons dans les prochaines mises à jour d'iOS, macOS, tvOS et watchOS.
Apple a également tenté de dissiper les craintes de résultats de performance attendus après le patch. Ils disent qu'ils ont effectué des tests après le patch et n'ont vu aucune performance néfaste.
Entre les deux vulnérabilités, Apple affirme que Meltdown «a le plus de potentiel à exploiter», tandis que Spectre est «extrêmement difficile» à exploiter.
Spectre
L'analyse de ces techniques a révélé que même si elles sont extrêmement difficiles à exploiter, même par une application s'exécutant localement sur un appareil Mac ou iOS, elles peuvent être potentiellement exploitées en JavaScript exécuté dans un navigateur Web. Apple publiera une mise à jour pour Safari sur macOS et iOS dans les prochains jours pour atténuer ces techniques d'exploitation.
Si vous souhaitez en savoir plus sur les exploits ou la réponse d'Apple, vous pouvez lire le document de support complet sur le site Web d'Apple.