Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

Sicherheitsupdate: iOS 11.2.2 und High Sierra 10.13.2 Supplemental

Apple hat soeben ein iOS 11.2.2 veröffentlicht. In der Updatebeschreibung spricht Apple davon, iOS 11.2.2 enthalte ein wichtiges Sicherheitsupdate und werde daher allen Nutzern empfohlen. Gleichzeitig steht auch ein Update für macOS High Sierra zur Verfügung. Apple erhöht nicht die Versionsnummer, sondern bezeichnet es als "macOS 10.13.2 Ergänzendes Update". Auch hier führt die Beschreibung ein nicht näher erläutertes Sicherheitsupdate an. Das verlinkte Support-Dokument wurde allerdings noch nicht aktualisiert, weswegen zum aktuellen Zeitpunkt nicht klar ist, worum es sich dabei handelt.


Angesichts des Zeitpunktes lässt sich aber recht sicher erraten, warum Apple die Updates veröffentlichte. Kürzlich wurde bekannt, dass sich in aktuellen Prozessoren kritische Sicherheitslücken befinden - die Bezeichnungen lauten "Meltdown" und "Spectre". In der letzten Woche gab Apple eine Stellungnahme ab und erklärte, dass neben den in Macs verbauten Intel-Prozessoren auch die A-Chips in iPhone, iPad und Apple TV betroffen sind. Keine Lücken waren hingegen im System-Chip der Apple Watch auszumachen.

Eine der momentan heiß diskutierten Sicherheitslücken aktueller Prozessoren hatte Apple bereits mit den letzten Systemupdates "weitgehend" geschlossen, wie es von Apple heißt. iOS 11.2, macOS 10.13.2 High Sierra und tvOS 11.2 bringen die nötigen Anpassungen bereits mit. Um neben "Meltdown" auch "Spectre" anzugehen, kündigte Apple ein Safari-Update an. Anders als befürchtet sollen sich dabei aber keine wesentlichen Geschwindigkeitseinbußen ergeben. Laut Apple fielen CPU-Benchmarks gleich aus, lediglich die Werte von Browser-Benchmarks gingen um 2,5 Prozent zurück. Im Alltag wird sich dies nicht bemerkbar machen.

Aktualisierung
Kurz nach Freigabe des Updates hat Apple bestätigt, die angekündigte browserseitige Anpassung vorgenommen zu haben. Demnach aktualisieren die Updates Safari und bringen den erforderlichen Workaround mit, damit die Prozessorlücke nicht ausgenutzt werden kann.

Kommentare

pünktchen
pünktchen08.01.18 19:32
Und wieder nur 10.13.

Obwohl - Safari 11.0.2 ist neu.
0
macmuckel
macmuckel08.01.18 19:47
Die Sache mit "Meltdown" und "Spectre" ist schon krass. Neue Hardware kaufe ich mir erst wieder wenn neue Prozessoren die Bugs wirklich nicht mehr haben.
0
WollesMac
WollesMac08.01.18 19:52
Ja so ähnlich habe ich mir das auch gedacht - nur letztlich sicher sein kann man sich dann ja auch nur wieder in 15 Jahren...
0
tk69
tk6908.01.18 20:00
Was machen die, die die Public Beta installiert haben?
0
pünktchen
pünktchen08.01.18 20:01
Available for: OS X El Capitan 10.11.6 and macOS Sierra 10.12.6 Description: Safari 11.0.2 includes security improvements to mitigate the effects of Spectre (CVE-2017-5753 and CVE-2017-5715).
+5
macmuckel
macmuckel08.01.18 20:06
WollesMac

Wirklich sicher kann man ja nie sein, nur Geld für etwas ausgeben was bei Kauf sicher kaputt ist mag ich nun auch nicht.
0
WollesMac
WollesMac08.01.18 20:11
bin völlig bei Dir macmuckel
-1
nane
nane08.01.18 20:29
Woher kommt es eigentlich, dass die Updates teilweise „gefühlt“ ewig lange brauchen? Obwohl doch die Hardware inzwischen „superschnell“ (iMac 5k i7) geworden ist?

Wird da jetzt wirklich sooooooo viel umgestellt? Wer weiss dazu mehr?
Das Leben ist ein langer Traum, an dessen Ende kein Wecker klingelt.
+1
q1w2e308.01.18 20:39
Benchmarks mit Geekbench 4
iPad Pro (9.7)
CPU:
vorher: 3012/5104
nachher: 3087/5197

Compute:
vorher: 16473
nachher: 17636

iPhone SE
CPU:
vorher: 2544/4429
nachher: 2510/4453

Compute:
vorher: 10849
nachher: 10935
+7
Jaronimo08.01.18 20:44
Und wie lang Accu?
Vorher:
Nachher:
Morgen wird es den besten Tag aller Zeiten geben
-8
aMacUser
aMacUser08.01.18 20:49
MTN
Auch hier führt die Beschreibung ein nicht näher erläutertes Sicherheitsupdate an. Das verlinkte Support-Dokument wurde allerdings noch nicht aktualisiert, weswegen zum aktuellen Zeitpunkt nicht klar ist, worum es sich dabei handelt.
Es würde euch helfen, wenn ihr den frei Verfügbaren Sicherheitsnewsletter von Apple abonnieren würdet. (Auch wenn Apple dieses eine Mal nochmal extra gesagt hat, worum es geht.
Apple Product Security
macOS High Sierra 10.13.2 Supplemental Update is now available
and addresses the following:

Available for: macOS High Sierra 10.13.2
Description: macOS High Sierra 10.13.2 Supplemental Update includes
security improvements to Safari and WebKit to mitigate the effects of
Spectre (CVE-2017-5753 and CVE-2017-5715).
Apple Product Security
Safari 11.0.2 is now available and and addresses the following:

Available for: OS X El Capitan 10.11.6 and macOS Sierra 10.12.6
Description: Safari 11.0.2 includes security improvements to mitigate
the effects of Spectre (CVE- 2017-5753 and CVE-2017-5715).
Apple Product Security
iOS 11.2.2 is now available and and addresses the following:

Available for: iPhone 5s and later, iPad Air and later, and iPod
touch 6th generation
Description: iOS 11.2.2 includes security improvements to Safari and
WebKit to mitigate the effects of Spectre (CVE-2017-5753 and
CVE-2017-5715).

Was ich besonders interessant finde, ist der Teil in jedem der drei Mails:
Apple Product Security
We would like to acknowledge Jann Horn of Google Project Zero; and
Paul Kocher in collaboration with Daniel Genkin of University of
Pennsylvania and University of Maryland, Daniel Gruss of Graz
University of Technology, Werner Haas of Cyberus Technology,
Mike Hamburg of Rambus (Cryptography Research Division),
Moritz Lipp of Graz University of Technology, Stefan Mangard of
Graz University of Technology, Thomas Prescher of Cyberus Technology,
Michael Schwarz of Graz University of Technology, and Yuval Yarom of
University of Adelaide and Data61 for their assistance.
+6
bitstorm
bitstorm08.01.18 21:09
macmuckel
Die Sache mit "Meltdown" und "Spectre" ist schon krass. Neue Hardware kaufe ich mir erst wieder wenn neue Prozessoren die Bugs wirklich nicht mehr haben.
In 2-3 Jahren?
+2
Dante Anita08.01.18 21:14
aMacUser

Ja, die TU Graz hat hier große Arbeit geleistet, gut von Apple dass sie das erwähnen.
+8
pcbastler08.01.18 21:36
bitstorm
macmuckel
Die Sache mit "Meltdown" und "Spectre" ist schon krass. Neue Hardware kaufe ich mir erst wieder wenn neue Prozessoren die Bugs wirklich nicht mehr haben.
In 2-3 Jahren?
Das ist dann aber sehr optimistisch gedacht... ich denke eher, dass die nächste Prozessorgeneration schon vollständig entwickelt und getestet ist, die übernächste schon in einer Entwicklungsphase, in der entsprechende Änderungen nicht mehr einfließen können. Also ich glaube wir müssen noch 5-6 Jahre mit dem Bug leben.
+2
aMacUser
aMacUser08.01.18 22:43
MTN
Kurz nach Freigabe des Updates hat Apple bestätigt, die angekündigte browserseitige Anpassung vorgenommen zu haben. Demnach aktualisieren die Updates Safari und bringen den erforderlichen Workaround mit, damit die Prozessorlücke nicht ausgenutzt werden kann.
Noch als Ergänzung dazu: Im Sicherheitsnewletter wird lediglich von "abmildern" gesprochen, nicht von einem gänzlichen Schließen, was ja bei Spectre auch gar nicht möglich ist
+4
Weia
Weia08.01.18 22:49
tk69
Was machen die, die die Public Beta installiert haben?
Die lassen es sich eine Lehre sein, dass Betas nunmal nicht für Produktivsysteme gedacht sind, schon gar nicht für solche mit sensiblen Daten drauf.
“I don’t care” is such an easy lie. (The Warning, “Satisfied”)
+9
larsvonhier08.01.18 23:14
Die lassen es sich eine Lehre sein, dass Betas nunmal nicht für Produktivsysteme gedacht sind, schon gar nicht für solche mit sensiblen Daten drauf.
...und freuen sich, dass sie Safari 11.0.3 schon mit an Bord haben.
...und freuen sich, dass sie die sensiblen Daten mit dem 10.13.3 beta schon gegen Spectre einigermassen abgesichert haben, vor den regulären Nutzern.
-2
Weia
Weia08.01.18 23:20
larsvonhier
...und freuen sich, dass sie Safari 11.0.3 schon mit an Bord haben.
...und freuen sich, dass sie die sensiblen Daten mit dem 10.13.3 beta schon gegen Spectre einigermassen abgesichert haben, vor den regulären Nutzern.
Nö, wie die Frage von tk69 zeigt, freuen sie sich eben ganz offensichtlich nicht.

Betas zu nutzen auf einem Produktivsystem ohne die nötige Detailkenntnis ist eine Bombe, die früher oder später zündet.
“I don’t care” is such an easy lie. (The Warning, “Satisfied”)
+8
larsvonhier08.01.18 23:53
Nö, wie die Frage von tk69 zeigt, freuen sie sich eben ganz offensichtlich nicht.
Betas zu nutzen auf einem Produktivsystem ohne die nötige Detailkenntnis ist eine Bombe, die früher oder später zündet.
Wenn man den dt. Zeigefinger wegnimmt, zeigt es nur eines: Dass tk69 nicht die nötige Detailkenntnis zu haben scheint (daher ja auch dessen berechtigte Frage). Andere freuen sich in diesmal eben dank der entspr. Infos, eine Beta zu nutzen. Vielleicht gibt es ja Mac-Schaffende, die mehr als einen "Produktivrechner" haben oder im Schadensfall schnell wechseln oder wiederherstellen können?
-2
sierkb09.01.18 01:54
Wired (08.01.2018): Triple Meltdown: How So Many Researchers Found a 20-Year-Old Chip Flaw At the Same Time

Wired (06.01.2018): Meltdown and Spectre Fixes Arrive—But Don't Solve Everything

inside-it.ch (08.01.2018): Könnte CPU-Gate noch schlimmer werden?
Heute scheinen Microsoft-Patches AMD-PCs zu zerstören. Und Bruce Schneier prophezeit: Morgen wird's noch viel schlimmer.

Bruce Schneier on Security (05.01.2018): Spectre and Meltdown Attacks Against Microprocessors

Random ASCII (07.01.2018): Finding a CPU Design Bug in the Xbox 360
+3
sierkb09.01.18 03:02
WebKit Blog (08.01.2018): What Spectre and Meltdown Mean For WebKit
+5
Dirk!09.01.18 09:08
sierkb
WebKit Blog (08.01.2018): What Spectre and Meltdown Mean For WebKit

Der Link ist wirklich sehr interessant. Insbesondere die beschriebenen Gegenmaßnahmen. Als ob es mit Pointern bei der Programmierung nicht bereits genug Ärger gäbe, müssen solche sicherheitskritischen Programme wie der JavaScript-Interpreter/Just-In-Time-Compiler jetzt so geschrieben werden, dass die Pointer bis zur Verwendung absichtlich auf ungültige Adressen zeigen. Ein Wunder, wenn das in Zukunft nicht weiter Probleme und vermehrte Fehler verursacht!
+3
LoCal
LoCal09.01.18 09:26
macmuckel
Die Sache mit "Meltdown" und "Spectre" ist schon krass. Neue Hardware kaufe ich mir erst wieder wenn neue Prozessoren die Bugs wirklich nicht mehr haben.

Den gleichen Gedanken habe ich auch, die Frage ist nur … wann wird das sein? Eigentlich dürften die CPUs ja zumindest in der EU garnicht mehr verkauft werden, da sie ja einen offensichtlichen Mangel aufweisen.

Die oben geposteten Geekbench-Werte haben, wenn ich mich nicht sehr täusche, jedenfalls kaum Aussagekraft, da die betroffenen Teile da kaum in Spiel kommen.

Darum ist die Frage, ob aktuelle CPUs, z.B. Coffee Lake-CPUs, eine neue Revision bekommen, in der der Bug dann behoben ist.

Andererseits kann es auch sein, dass der Folgen für den Anwender gar nicht so massiv sind, denn es sind ja nicht die komplette Teile CPU betroffen.
Die Benchmarkwerte weiter oben
Auf der Server-Seite sieht das etwas anders aus, da kämpfen manche mit massiven Problemen
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
0
Marcel_75@work
Marcel_75@work09.01.18 09:59
sierkb

Danke für die Links, sehr interessant.
+1
pünktchen
pünktchen09.01.18 10:09
LoCal
Eigentlich dürften die CPUs ja zumindest in der EU garnicht mehr verkauft werden, da sie ja einen offensichtlichen Mangel aufweisen.

Wieso? Ein Sachmangel ist das nicht, weil es die Regel und nicht die Ausnahme ist. Wenn man das so streng auslegen würde dürften nur noch perfekte Produkte verkauft werden und die sind doch eher selten.
LoCal
Darum ist die Frage, ob aktuelle CPUs, z.B. Coffee Lake-CPUs, eine neue Revision bekommen, in der der Bug dann behoben ist.

Das ist wohl auszuschliessen, da muss Intel erst mal die ganze Architektur umbauen und das dauert seine Zeit.
LoCal
Auf der Server-Seite sieht das etwas anders aus, da kämpfen manche mit massiven Problemen

Da wird wohl AMD eine Zeitlang deutlich mehr Serverprozessoren verkaufen.
+2
UWS09.01.18 10:30
pünktchen
Ein Sachmangel ist das nicht, weil es die Regel und nicht die Ausnahme ist.
Das ist mal 'ne interessante Logik
There is no cloud…it’s just someone else’s computer.
+1
LoCal
LoCal09.01.18 10:35
pünktchen
LoCal
Eigentlich dürften die CPUs ja zumindest in der EU garnicht mehr verkauft werden, da sie ja einen offensichtlichen Mangel aufweisen.

Wieso? Ein Sachmangel ist das nicht, weil es die Regel und nicht die Ausnahme ist. Wenn man das so streng auslegen würde dürften nur noch perfekte Produkte verkauft werden und die sind doch eher selten.

Was ist das bitte für eine Argumentation? "Weil es die Regel ist" … darf auch Volkswagen dieses Argument nutzen?
Intel (und fast alle anderen Prozessorhersteller) liefern wissentlich Produkte mit Fehlern bzw. Sicherheitslücken aus.
Ebenso ist es falsch von intel, dass sie die Fehlerbehebung auf die OS-Hersteller abschieben.
pünktchen
LoCal
Darum ist die Frage, ob aktuelle CPUs, z.B. Coffee Lake-CPUs, eine neue Revision bekommen, in der der Bug dann behoben ist.

Das ist wohl auszuschliessen, da muss Intel erst mal die ganze Architektur umbauen und das dauert seine Zeit.

Das wird sich zeigen, denn der Fehler ist schon länger bekannt und es würde mich nicht wundern, wenn es dafür schon eine Lösung in den Schubläden gibt … nur wurde diese z.B. Zugunsten besserer Benchmark-Ergebnisse zurückgehalten.
In diesem Zusammenhang ist auch das hier interessant:
pünktchen
LoCal
Auf der Server-Seite sieht das etwas anders aus, da kämpfen manche mit massiven Problemen

Da wird wohl AMD eine Zeitlang deutlich mehr Serverprozessoren verkaufen.

Da wäre ich mir nicht so sicher, denn zum ist AMD auch zum Teil betroffen und gerade im Serverbereich sitzt intel trotz allem fest im Sattel.
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
0
LoCal
LoCal09.01.18 10:39
UWS
pünktchen
Ein Sachmangel ist das nicht, weil es die Regel und nicht die Ausnahme ist.
Das ist mal 'ne interessante Logik


Ich hätte vielleicht nicht Sachmangel, sondern einfach nur Mangel schreiben sollen
§ 434 Sachmangel
(1) Die Sache ist frei von Sachmängeln, wenn sie bei Gefahrübergang die vereinbarte Beschaffenheit hat. Soweit die Beschaffenheit nicht vereinbart ist, ist die Sache frei von Sachmängeln,
1.
wenn sie sich für die nach dem Vertrag vorausgesetzte Verwendung eignet, sonst
2.
wenn sie sich für die gewöhnliche Verwendung eignet und eine Beschaffenheit aufweist, die bei Sachen der gleichen Art üblich ist und die der Käufer nach der Art der Sache erwarten kann.
Zu der Beschaffenheit nach Satz 2 Nr. 2 gehören auch Eigenschaften, die der Käufer nach den öffentlichen Äußerungen des Verkäufers, des Herstellers (§ 4 Abs. 1 und 2 des Produkthaftungsgesetzes) oder seines Gehilfen insbesondere in der Werbung oder bei der Kennzeichnung über bestimmte Eigenschaften der Sache erwarten kann, es sei denn, dass der Verkäufer die Äußerung nicht kannte und auch nicht kennen musste, dass sie im Zeitpunkt des Vertragsschlusses in gleichwertiger Weise berichtigt war oder dass sie die Kaufentscheidung nicht beeinflussen konnte.
(2) Ein Sachmangel ist auch dann gegeben, wenn die vereinbarte Montage durch den Verkäufer oder dessen Erfüllungsgehilfen unsachgemäß durchgeführt worden ist. Ein Sachmangel liegt bei einer zur Montage bestimmten Sache ferner vor, wenn die Montageanleitung mangelhaft ist, es sei denn, die Sache ist fehlerfrei montiert worden.
(3) Einem Sachmangel steht es gleich, wenn der Verkäufer eine andere Sache oder eine zu geringe Menge liefert.

Ich denke er bezieht sich auf den Teil, den ich fett-markiert habe.

Aber:
Die Sache ist frei von Sachmängeln, wenn sie bei Gefahrübergang die vereinbarte Beschaffenheit hat.
Ist der Punkt, der hier zu treffen dürfte. Denn ich denke schon, dass man argumentieren kann, dass wenn man eine CPU kauft, man annimmt, dass sie frei von bekannten Sicherheitslücken ist. intel war intern diese Lücke aber schon etwas länger bekannt.
Ich hab zwar keine Lösung, doch ich bewundere dein Problem
0
UWS09.01.18 11:21
Mich erstaunte nur die Logik des Spruchs von Sachmangel, Regel und Ausnahme. Die – so vereinfacht – wohl kaum einer juristischen Prüfung standhalten dürfte.

So oder so werden sich mit dem Gesamtthema dann Juristen ausgiebig befassen müssen (und das in den USA auch ganz sicher machen). Und da weiß man ja, drei Juristen – vier Meinungen.
There is no cloud…it’s just someone else’s computer.
0
pünktchen
pünktchen09.01.18 11:26
LoCal
Was ist das bitte für eine Argumentation? "Weil es die Regel ist" … darf auch Volkswagen dieses Argument nutzen?

Volkswagen hat seine Kunden absichtlich betrogen, Intel nicht. Das ist ein nicht ganz unwesentlicher Unterschied. Vorwerfen könnte man Ihnen allenfalls den Fehler nicht sofort bekannt gegeben zu haben. Aber mit der Bekanntgabe zu warten bis ein Patch bereit ist entspricht der gängigen und allgemein anerkannten Vorgehensweise bei Sicherheitslücken.

Würdest du denn zB bei Apple genauso argumentieren? Die verkaufen dauernd Software voller ihnen bekannter Sicherheitslücken an deren Beseitigung sie noch arbeiten. Oder gelten für Software andere Regeln als für Hardware? Was ist mit Hardware welche auch Software enthält, wie eben moderne CPUs?
LoCal
Das wird sich zeigen, denn der Fehler ist schon länger bekannt und es würde mich nicht wundern, wenn es dafür schon eine Lösung in den Schubläden gibt … nur wurde diese z.B. Zugunsten besserer Benchmark-Ergebnisse zurückgehalten.

Der Designfehler ist seit maximal einem halben Jahr bekannt - was meinst du denn wie schnell man Prozessoren entwickelt?
LoCal
Da wäre ich mir nicht so sicher, denn zum ist AMD auch zum Teil betroffen und gerade im Serverbereich sitzt intel trotz allem fest im Sattel.

Aber eben nicht vom Meltdown-Bug und um den ging es in deinem Link. Und wenn die Serverleistung um die Hälfte einbricht wird alternative Hardware plötzlich sehr viel interessanter.
LoCal
Die Sache ist frei von Sachmängeln, wenn sie bei Gefahrübergang die vereinbarte Beschaffenheit hat.
Ist der Punkt, der hier zu treffen dürfte. Denn ich denke schon, dass man argumentieren kann, dass wenn man eine CPU kauft, man annimmt, dass sie frei von bekannten Sicherheitslücken ist. intel war intern diese Lücke aber schon etwas länger bekannt.

Das kannst meines Erachtens eben eher nicht. Du kannst davon ausgehen dass die CPU gewisse Befehle ausführt, dabei in etwa eine gewisse Geschwindigkeit an den Tag legt und unter den angegebenen Rahmenbedingungen funktioniert. Das ist die vereinbarte Beschaffenheit. Du kannst aber nicht davon ausgehen dass es sich um einen unangreifbaren Hochsicherheitschip handelt.
+1
Weitere News-Kommentare anzeigen

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.