Après la quasi-totalité de l'industrie, Apple sort finalement de son silence en communiquant sur les failles Spectre et Meltdown qui concernent le constructeur au premier chef : la Pomme exploite aussi bien des processeurs Intel que des puces basées sur l'architecture ARM (lire : Meltdown et Spectre : tout savoir sur les failles historiques des processeurs).
Dans une note technique, Apple reconnait que tous les appareils Mac comme iOS sont touchés par ces vulnérabilités. Cependant, il n'y a eu à sa connaissance aucune exploitation de ces deux failles chez ses utilisateurs. « L'exploitation de ces vulnérabilités nécessite un malware qui doit être téléchargé sur le Mac ou l'appareil iOS. Nous recommandons de télécharger des logiciels depuis des sources fiables, comme l'App Store».
Des correctifs pour Meltdown et Spectre
Des garde-fous contre Meltdown ont été mis en place dans macOS 10.13.2, iOS 11.2 et tvOS 11.2. L'Apple Watch n'est pas concernée par Meltdown. Dans les prochains jours, Safari va recevoir un correctif contre Spectre. Pas un mot en revanche sur des systèmes plus anciens. Mise à jour — Apple a indiqué qu'OS X El Capitan et macOS Sierra étaient immunisés. Pour les anciennes versions d'iOS, pas d'annonce pour le moment.
D'après les recherches d'Apple, Meltdown est la faille la plus susceptible d'être exploitée. Le correctif appliqué à iOS, macOS et tvOS semble indiquer que les performances des appareils ne sont pas dégradées, selon des mesures réalisées en décembre avec Geekbench 4, ou durant la navigation web (avec Speedometer, JetStream et ARES-6).
Spectre est plus complexe et « extrêmement difficile à exploiter ». La vulnérabilité peut cependant servir au sein de JavaScript fonctionnant dans un navigateur web. C'est pourquoi Safari va recevoir sous peu un correctif, que ce soit sur macOS et iOS. Selon des benchmarks, les performances du navigateur ne seront pas impactées par cette mise à jour, si ce n'est de 2,5% avec JetStream.
Apple continue de développer et de tester des correctifs, qui seront intégrées dans de futures mises à jour d'iOS, de macOS, de tvOS et de watchOS.
