在新聞披露出兩個邊信道攻擊（side-channel attack）之時，即Spectre和Meltdown，蘋果就聲明它已經(jīng)為iOS 11.2、macOS 10.13.2和tvOS 11.2發(fā)布了針對Meltdown的更新，對Spectre的修正將會稍后發(fā)布。現(xiàn)在，該公司發(fā)布了三個安全更新，致力于保護Safari和WebKit免受Spectre攻擊。這三個更新會作用于iOS、macOS以及Safari瀏覽器本身。

Chris Swan在為InfoQ提供的報告中提到，瀏覽器是Spectre漏洞的特殊攻擊目標(biāo)，因為它們可能會通過瀏覽器中運行的JavaScript進行攻擊。Chrome和Firefox已經(jīng)發(fā)布了類似的補丁。

與以往的情況一樣，除了說明能夠解決那些漏洞以外，蘋果公司并沒有提供太多的細(xì)節(jié)，但是在發(fā)布說明中，他們感謝了發(fā)現(xiàn)bug的研究人員，包括來自谷歌Zero項目的Jann Horn。但是在WebKit的官方博客上，F(xiàn)ilip Pizlo提供了各種問題的更多細(xì)節(jié)，并且確定還會有更多的修復(fù)。

WebKit對Spectre的回應(yīng)是兩層防護：　　
1.WebKit已經(jīng)禁用了SharedArrayBuffer并降低計時器的精度；　　
2.除了基于branch的安全檢查之外，WebKit正在轉(zhuǎn)換至使用branchless的安全檢查。

有些變更在1月8日的更新中已經(jīng)包含了，其他更多這樣的變更正在WebKit中繼續(xù)推進。

在1月9日的一個聲明中，蘋果這樣說到：

目前，還沒有獲悉影響消費者的攻擊。因為很多攻擊都需要將惡意的App加載到Mac或iOS設(shè)備上，所以我們推薦通過信任的源來下載軟件，比如App Store。

該公司還說明Apple Watch不會受到Meltdown和Spectre漏洞的影響。

在相關(guān)的更新中，iOS 11.2.2和macOS High Sierra 10.13.2都能在兼容的設(shè)備上免費獲取。iOS 11.2.2支持iPhone 5s及以上版本、iPad Air及后續(xù)版本和iPod touch第六代。要安裝的話，進入“設(shè)置” > “通用” >“軟件更新”。High Sierra用戶要使用Mac App Store更新。同樣解決Spectre風(fēng)險的Safari 11.0.2更新適用于運行OS X El Capitan 10.11.6和macOS Sierra 10.12系統(tǒng)的Mac設(shè)備。

微軟也為Windows用戶提供了更新，即KB4056892，不過有些用戶報告在基于AMD的PC上安裝更新后會有問題。微軟現(xiàn)在將該其歸因為AMD針對該漏洞所提供的文檔：

微軟已經(jīng)接收到來自用戶的報告，他們反映在安裝完最近的Windows操作系統(tǒng)安全更新后，有些AMD設(shè)備會無法啟動。調(diào)查之后，微軟確定有些AMD芯片組并不符合之前提交給微軟的文檔，這些文檔是提交給微軟用于開發(fā)操作系統(tǒng)更新以防護芯片組Spectre和Meltdown漏洞的。

微軟的支持站點提供了補丁，能夠讓機器重新恢復(fù)可啟動狀態(tài)。

查看英文原文：Apple Releases New Security Updates to Protect Safari against the Spectre Attack