Silencieux jusqu'à présent, Apple s'exprime sur le cas des failles Meltdown et Spectre. La confirmation que tous les ordinateurs Mac et appareils iOS sont affectés. Ce n'est pas une surprise dans la mesure où la vulnérabilité va au-delà du cas Apple avec les processeurs Intel et ARM.
Dans sa communication, Apple précise avoir déjà mis en place des mesures d'atténuation pour Meltdown via macOS 10.13.2, iOS 11.2, ainsi que tvOS 11.2. Des mises à jour qui ont été diffusées début décembre. Rappelons que Meltdown est spécifique aux puces Intel.
Pour le cas de Spectre, qui touche les processeurs Intel, AMD et ARM, Apple prévoit des patchs pour Safari sur macOS et iOS dans les prochains jours. Comme déjà évoqué, une exploitation pour Spectre peut se faire via JavaScript et permettre à des processus malveillants d'accéder à des données d'autres programmes de la mémoire virtuelle.
Apple souligne que les mesures d'atténuation implémentées n'ont pas d'impact mesurable sur divers benchmarks. La seule exception est un impact de moins de 2,5 % pour Safari (avec la contre-mesure pour des exploits Spectre) sur le benchmark JavaScript maison JetStream.
Pour Android, Google a également mis en place des protections dans la dernière mise à jour de sécurité mensuelle, ce qui n'avait pas non plus été éventé avant la publication des détails sur les vulnérabilités.
En particulier, " des mesures d'atténuation réduisant l'accès aux timers de haute précision limitent les attaques pour toutes les variantes connues sur ARM ", écrit Google.
Justifiant que l'exploitation de plusieurs des problèmes nécessite le chargement d'une application malveillante sur macOS ou iOS, Apple recommande de ne télécharger des applications que depuis des sources de confiance. Au hasard... Mac App Store et App Store.