En début d'année, les trois variantes des vulnérabilités Meltdown (CVE-2017-5754) et Spectre (CVE-2017-5753 et CVE-2017-5715) ont fait grand bruit. Ces failles d'exécution spéculative appartiennent à une nouvelle classe de vulnérabilité affectant des microprocesseurs et peuvent conduire à une fuite d'informations.

Intel-8th-Gen-Core-7 Selon la publication allemande c't appartenant au groupe Heise, des équipes de chercheurs en sécurité ont découvert l'existence de huit nouvelles failles de type Spectre. Estampillées Spectre-NG (pour Next Generation), elles touchent des processeurs Intel, mais des processeurs ARM seraient aussi vulnérables. Pour AMD, les recherches se poursuivent.

Intel aurait classé quatre des failles avec un risque élevé, et les autres avec une dangerosité jugée moyenne. Intel aurait prévu deux vagues de patchs, une première débutant en mai et une deuxième pour le mois d'août.

Pour le moment, Intel se contente de renvoyer vers ce communiqué : " Nous croyons fortement à la valeur d'une divulgation coordonnée et nous partagerons des détails supplémentaires sur tout problème potentiel au fur et à mesure que nous finalisons les mesures d'atténuation. "

Une faille Spectre-NG permettrait notamment à des attaquants de lancer un code exploit dans une machine virtuelle, et de cibler le système hôte qui pourrait par exemple être le serveur d'un hébergeur cloud. Les attaquants pourraient également s'en prendre à d'autres machines virtuelles de clients sur le même serveur. Une exploitation serait plus simple qu'avec Spectre.

Jusqu'au 31 décembre 2018, Intel a lancé un programme de bug bounty concernant des vulnérabilités et attaques par canal auxiliaire. Elles sont en rapport avec des failles dans l'implémentation de fonctionnalités au niveau matériel et exploitables via le logiciel… et font donc penser aux failles Meltdown et Spectre.

Microsoft a également lancé un programme de bug bounty autour des vulnérabilités de canal auxiliaire d'exécution spéculative, à l'instar de Spectre. Les récompenses peuvent atteindre 250 000 $.