近日芯片底层漏洞曝出之后，各大厂商都开始紧急自查，并快马加鞭发布补丁。苹果也发布声明，确认所有 Mac 和 iOS 设备都受到 Meltdown 和 Spectre 漏洞影响。目前，苹果已经发布 iOS 11.2、macOS 10.13.2 和 tvOS 11.2 版本更新，以修复漏洞。同时，Safari 的相关更新也会尽快发布，以解决 Spectre 漏洞带来的影响。苹果用户可尽快去官网下载更新。

这份声明没有清楚说明老版本的 iOS 和 Mac 中是否已经解决 Meltdown 和 Spectre 带来的问题。但是，由于macOS 10.13.2 新版本发布时，也发布了旧版 macOS 的安全更新，因此 Sierra 和 El Capitan 的修复方案也指日可待。 苹果表示，即将发布的 Safari 修复方案不会对 Speedometer 和 ARES-6 造成“可测量的影响”，且对 JetStream benchmark 的影响也不到2.5％。

尽管 Meltdown 和 Spectre 漏洞信息是本周才曝出的，但是英特尔、苹果、Linux 和微软等主要操作系统厂商在几个月前就已经知道这些问题了，并已提前为漏洞修复做了准备。这似乎有点细思恐极。

Spectre 和 Meltdown 漏洞都利用 CPU 的“推测执行”（speculative execution）机制实现。专家认为这些硬件层面的漏洞需要 CPU 厂商进行固件修复、操作系统修复，应用厂商也要做出响应，而修复方案可能会影响处理器性能。但英特尔坚称修复造成的减速并不严重。

但是与 微软等厂商相比，苹果的这份声明其实已经算晚的了。

以下为苹果声明的全文：

关于 ARM 和 Intel CPU 中的推测执行漏洞声明

安全研究人员最近发现了 Meltdown 和 Spectre 漏洞，会影响所有现代处理器，涵盖几乎所有的计算设备和操作系统。所有 Mac 系统和 iOS 设备都受到影响，但目前还没有已知的客户受攻击实例。由于实现漏洞利用需要在用户的 Mac 或 iOS 设备上加载恶意应用程序，因此建议用户仅从可信来源（如 App Store）下载软件。 苹果已经在 iOS 11.2、macOS 10.13.2 和 tvOS 11.2 上发布了修复措施，以应对 Meltdown。Apple Watch 不会受到 Meltdown 的影响。 随后，我们计划在 Safari 中发布修复方案，应对 Spectre 漏洞。 我们将继续开发和测试这两个漏洞的进一步应对方案，会与即将更新的 iOS、MacOS、tvOS 和 watchOS 一起发布。

背景

Meltdown 和 Spectre 漏洞利用方法都基于现代 CPU 性能中的“推测执行”方法。“推测执行”通过一次操作多个指令来提高速度。为了提高性能，CPU 可以预测分支中最有可能被采用的路径，并且在分支代码运行完成之前，会持续推测该路径的执行情况。如果预测出错，该“推测执行”将以一种软件不可见的方式回滚。

Meltdown 和 Spectre 漏洞利用了“推测执行”方法，以从特权较低的用户进程（例如设备上运行的恶意应用程序）访问特权内存（包括内核的特权内存）。

Meltdown 

Meltdown（CVE-2017-5754）漏洞也被称为“流氓数据缓存加载”。利用这个漏洞，攻击者可以使用用户进程读取内核内存。分析表明 Meltdown 在野利用的可能性较高。苹果已经在 iOS 11.2、macOS 10.13.2 和 tvOS 11.2 上发布了 Meltdown 的修复方案。WatchOS 未收影响不需要修复。苹果使用公共基准进行的测试，结果显示，2017 年 12 月的更新导致 macOS 和 iOS 的性能下降并未达到可测量的标准（以GeekBench 4基准测量）；基于常见的 Web 浏览基准测量，也并未对 Speedometer、JetStream 和 ARES- 6 造成可测量的影响。

Spectre

Spectre 包括两个漏洞：“bounds check绕过”（CVE-2017-5753）和“分支目标注入”（ CVE-2017-5715）。利用这些漏洞，并利用 CPU 检查内存访问调用的有效性时的时间延迟，可以通过用户进程获取内核内存中的信息，

分析表明，尽管漏洞很难被利用，但是通过 Mac 和 iOS 设备上运行的程序，还是有可能在网页浏览器中使用 JavaScript 实现攻击。

苹果将​​在未来几天发布针对 macOS 和 iOS 上 Safari 的修复更新。目前的测试表明，即将发布的 Safari 修复方案对 Speedometer 和 ARES-6 没有造成可测量的影响，对 JetStream benchmark 的影响不到 2.5％。我们将继续针对 Specter 影响的操作系统开发和测试进一步修复方案，会与即将更新的 iOS、MacOS、tvOS 和 watchOS 一起发布。

2018 年 1 月 4 日

*参考来源：MacRunmors、苹果官网声明，AngelaY 编译，转载请注明来自 FreeBuf.COM