Sous les noms de Meltdown (CVE-2017-5754) et Spectre (CVE-2017-5753 et CVE-2017-5715), trois vulnérabilités dans les processeurs pouvant conduire à des fuites d'informations sensibles ont été révélées par des chercheurs en sécurité.
La variante 2 de Spectre (CVE-2017-5715) est relative à une faille matérielle de la prédiction de branchement. Elle touche les processeurs avec la fonctionnalité d'exécution spéculative. Des processus malveillants peuvent accéder à des données d'autres programmes de la mémoire virtuelle.
L'exploitation de Spectre est compliquée… tout comme la correction. Avec les mises à jour firmware, il a été rapporté des problèmes de redémarrages avec des processeurs Intel. Le fondeur écrit avoir identifié la cause première des soucis avec les plateformes Broadwell et Haswell. Une solution est en cours de test avant finalisation.
Cela étant, Intel recommande " aux fabricants (OEM), fournisseurs de services cloud, fabricants de systèmes, éditeurs de logiciels et utilisateurs finaux d'arrêter le déploiement des versions actuelles des correctifs, car elles peuvent introduire des redémarrages plus fréquents que prévu et d'autres comportements imprévisibles du système. "
Cette recommandation s'adresse en particulier à des architectures détaillées ici et dans ce document PDF (au-delà de seulement Broadwell et Haswell), et donc en relation avec la correction de la variante 2 de Spectre. Rappelons que c'est cette correction qui est également la plus susceptible d'avoir un impact sur les performances.
Meltdown et Spectre continuent de faire des misères. Ce week-end, Linus Torvalds - le père du noyau Linux - a été très critique envers les correctifs d'Intel.
