Google : une faille spectre repérée dans tous les navigateurs Chromium

Le par Mathieu M.  |  15 commentaire(s)
Spectre

Google communique sur la découverte d'une faille de type Spectre qui concernerait tous les navigateurs sous base Chromium, dont Chrome.

Le Project Zero de Google a récemment présenté une faille Spectre exploitable qui concerne en théorie tous les navigateurs basés sur le moteur Chromium.

Si Spectre vous rappelle quelque chose, c'est sans doute parcequ'il s'agit d'un ensemble de vulnérabilités mises en évidence depuis 2018 et qui concernaient surtout les processeurs Intel et AMD, sans possibilité pour les fabricants de combler les failles à 100%, et pas sans rogner sur les performances des puces.

Spectre

Et bien Spectre n'a pas fini de faire parler puisque les chercheurs de Google ont trouvé une méthode assez simple qui permet à une simple page internet de tromper le système d'exploitation tout entier, afin d'aller lire le contenu de la mémoire du processeur et accéder ainsi à des données sensibles ou permettre l'élévation de privilèges pour une prise de contrôle à distance.

La faille exploitée concerne l'ensemble des navigateurs ayant recours à Chromium, dont Google Chrome, Opera, Microsoft Edge, Vivaldi, Yandex... Chacun peut vérifier s'il est vulnérable à la faille en se rendant sur la page dédiée au test de Google, il suffit ensuite de suivre la procédure indiquée.

Google rappelle ainsi que les correctifs apportés depuis 2018 par les fabricants et éditeurs pour colmater la faille Spectre ne sont que des rustines à la portée limitée et qu'il ne sera jamais réellement possible de mesurer l'ampleur de la faille ni d'en éviter l'utilisation par les hackers, à moins que les utilisateurs ne changent de matériel prenant en compte des sécurités spécifiques.

  • Partager ce contenu :
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.
Complément d'information

Vos commentaires Page 1 / 2

Trier par : date / pertinence
Devine offline Hors ligne Vétéran icone 1600 points
Le #2124994
Pour l'instant Google les alignes les problèmes:
- après le mode privacy qui n'en n'est pas un
- Failles dans chrome
- bataille avec M$ à celui qui a la plus gr...


Anonyme
Le #2125009
Sous Bromite(base Chromium) avec Adhell3 :

https://ibb.co/HtvXJTX
Jeanlucesi offline Hors ligne Vétéran icone 1684 points
Le #2125017
Finalement peut-être voulu tout ça.
Anonyme
Le #2125024
Jeanlucesi a écrit :

Finalement peut-être voulu tout ça.


Donc le Project Zero de Google trouve une faille de type Spectre(et va certainement aidé à bricoler une rustine) que Google aurait délibérément poussé dans son code ?

Sachant que Spectre et Meltdown touche tous le monde ?


Phil995511 offline Hors ligne Vétéran icone 2432 points
Le #2125074
ALGDGADLU a écrit :

Jeanlucesi a écrit :

Finalement peut-être voulu tout ça.


Donc le Project Zero de Google trouve une faille de type Spectre(et va certainement aidé à bricoler une rustine) que Google aurait délibérément poussé dans son code ?

Sachant que Spectre et Meltdown touche tous le monde ?




Non, les failles Spectre & Meltdown ne touchent plus tout le monde.

Ces failles ont étés patchées via le bios d'un certain nombre de cartes mères, ainsi que via les OS et softwares.

Seules les anciennes machines ne bénéficiant pas de bios corrigeant ces failles restent potentiellement sensibles à Meltdown & Spectre.

Dans mon cas par exemple, mes 2 machines dont les bios ont étés mises-à-jour via des correctifs spécifiques, ne sont pas touchées par cette nouvelle alerte. Par contre j'ai perdu +/- 10 % de performance sur ma station de travail et seulement quelques pour-cents sur mon portable dont le CPU est plus récent.

Les CPU's vendus neufs qui sont sortis des usines de fabrication +/- à partir du début 2020 devraient théoriquement intégrer le correctif nativement. Mais ces CPU's perdent quelques performances au passage.

Les CPU's bénéficiant d'une nouvelle architecture et ayant été mis sur le marché +/- à partir du 1er trimestre 2020 devraient eux êtres totalement exempt de problèmes.
Phil995511 offline Hors ligne Vétéran icone 2432 points
Le #2125075
Devine a écrit :

Pour l'instant Google les alignes les problèmes:
- après le mode privacy qui n'en n'est pas un
- Failles dans chrome
- bataille avec M$ à celui qui a la plus gr...




Dans le cas qui nous intéresse, se sont Intel et AMD qui sont responsables de ces failles, le navigateur de Google n'en est que victime, comme bien d'autres.

Et puis des bugs y en a partout dans tous les softs...
Anonyme
Le #2125076
Phil995511 a écrit :

ALGDGADLU a écrit :

Jeanlucesi a écrit :

Finalement peut-être voulu tout ça.


Donc le Project Zero de Google trouve une faille de type Spectre(et va certainement aidé à bricoler une rustine) que Google aurait délibérément poussé dans son code ?

Sachant que Spectre et Meltdown touche tous le monde ?




Non, les failles Spectre & Meltdown ne touchent plus tout le monde.

Ces failles ont étés patchées via le bios d'un certain nombre de cartes mères, ainsi que via les OS et softwares.

Seules les anciennes machines ne bénéficiant pas de bios corrigeant ces failles restent potentiellement sensibles à Meltdown & Spectre.

Dans mon cas par exemple, mes 2 machines dont les bios ont étés mises-à-jour via des correctifs spécifiques, ne sont pas touchées par cette nouvelle alerte. Par contre j'ai perdu +/- 10 % de performance sur ma station de travail et seulement quelques pour-cents sur mon portable dont le CPU est plus récent.

Les CPU's vendus neufs qui sont sortis des usines de fabrication +/- à partir du début 2020 devraient théoriquement intégrer le correctif nativement. Mais ces CPU's perdent quelques performances au passage.

Les CPU's bénéficiant d'une nouvelle architecture et ayant été mis sur le marché +/- à partir du 1er trimestre 2020 devraient eux êtres totalement exempt de problèmes.


"sans possibilité pour les fabricants de combler les failles à 100%, et pas sans rogner sur les performances des puces."

Sisi je te confirme que même à ce jour hormis des rustines, c'est toujours exploitable par des petits malins même si plus compliqué.

"Et bien Spectre n'a pas fini de faire parler puisque les chercheurs de Google ont trouvé une méthode assez simple qui permet à une simple page internet de tromper le système d'exploitation tout entier, afin d'aller lire le contenu de la mémoire du processeur et accéder ainsi à des données sensibles ou permettre l'élévation de privilèges pour une prise de contrôle à distance."

Ça veut bien dire ce que ça veut dire.


Les CPU's bénéficiant d'une nouvelle architecture et ayant été mis sur le marché
+/- à partir du 1er trimestre 2020 devraient eux êtres totalement exempt de
problèmes.



Pas la majorité en somme je vais pas réinvestir tout de suite personnellement.
Phil995511 offline Hors ligne Vétéran icone 2432 points
Le #2125083
ALGDGADLU a écrit :

Phil995511 a écrit :

ALGDGADLU a écrit :

Jeanlucesi a écrit :

Finalement peut-être voulu tout ça.


Donc le Project Zero de Google trouve une faille de type Spectre(et va certainement aidé à bricoler une rustine) que Google aurait délibérément poussé dans son code ?

Sachant que Spectre et Meltdown touche tous le monde ?




Non, les failles Spectre & Meltdown ne touchent plus tout le monde.

Ces failles ont étés patchées via le bios d'un certain nombre de cartes mères, ainsi que via les OS et softwares.

Seules les anciennes machines ne bénéficiant pas de bios corrigeant ces failles restent potentiellement sensibles à Meltdown & Spectre.

Dans mon cas par exemple, mes 2 machines dont les bios ont étés mises-à-jour via des correctifs spécifiques, ne sont pas touchées par cette nouvelle alerte. Par contre j'ai perdu +/- 10 % de performance sur ma station de travail et seulement quelques pour-cents sur mon portable dont le CPU est plus récent.

Les CPU's vendus neufs qui sont sortis des usines de fabrication +/- à partir du début 2020 devraient théoriquement intégrer le correctif nativement. Mais ces CPU's perdent quelques performances au passage.

Les CPU's bénéficiant d'une nouvelle architecture et ayant été mis sur le marché +/- à partir du 1er trimestre 2020 devraient eux êtres totalement exempt de problèmes.


"sans possibilité pour les fabricants de combler les failles à 100%, et pas sans rogner sur les performances des puces."

Sisi je te confirme que même à ce jour hormis des rustines, c'est toujours exploitable par des petits malins même si plus compliqué.

"Et bien Spectre n'a pas fini de faire parler puisque les chercheurs de Google ont trouvé une méthode assez simple qui permet à une simple page internet de tromper le système d'exploitation tout entier, afin d'aller lire le contenu de la mémoire du processeur et accéder ainsi à des données sensibles ou permettre l'élévation de privilèges pour une prise de contrôle à distance."

Ça veut bien dire ce que ça veut dire.


Je te répète que mes machines ne sont pas touchées... car elles ont étés patchées, maintenant si tu veux continuer à prétendre le contraire, libre à toi.

Quand a l’affirmation "sans possibilité pour les fabricants de combler les failles à 100%", elle est fausse et vraie à la fois. Ces failles dépendent de 2 types de vulnérabilités la première étant matérielle et la seconde software. Si tu ne corrige que le côté software, tu restes vulnérable. Et comme il est quasiment impossible pour les fabricants de sortir des patches pour tous bios de tous les couples cartes mères/ cpu qui sont encore utilisés de nos jours, alors oui un grand nombre de machines n'ayant pas reçu de mise à jour spécifique du bios resteront vulnérables durant tout le reste de leur existence.

Après des bugs il y en a à la pelle dans le monde de l'informatique et ce n'est pas parce que l'on en corrige certains qu'il n'y en a pas d'autres qui se cachent dans un coin, ça c'est certain... Note également que personne ne possède la science infuse et que les journalistes qui rédigent des articles ne font en général que rapporter ce qu'il sont eux même lu ailleurs, ce à juste titre ou pas...
Anonyme
Le #2125085
"Je te répète que mes machines ne sont pas touchées... car elles ont étés patchées, maintenant si tu veux continuer à prétendre le contraire, libre à toi."

Non pas libre à moi, je ne prétend rien du tout on est dans le factuel là.

Je n'invente rien pour le coup, mon bios aussi est à jour avec des patch pour "atténuer" le problème et j'ai aussi, hélas, des baisses de performances je te rassure.

Maintenant Google comme les fabricants de hardware ne peuvent pas combler la faille à 100% avec les architectures actuelles(antérieur comme ta CM ou la mienne) mais seulement faire des rustines, ce n'est pourtant pas compliqué à comprendre.

Après tu t'éloignes du sujet initial.
Phil995511 offline Hors ligne Vétéran icone 2432 points
Le #2125091
ALGDGADLU a écrit :

"Je te répète que mes machines ne sont pas touchées... car elles ont étés patchées, maintenant si tu veux continuer à prétendre le contraire, libre à toi."

Non pas libre à moi je n'invente rien pour le coup, mon bios aussi est à jour avec des patch pour "atténuer" le problème je te rassure.

Maintenant Google comme les fabricants de hardware ne peuvent pas combler la faille à 100% avec les architectures actuelles mais seulement faire des rustines, ce n'est pourtant pas compliqué à comprendre.

Après tu t'éloignes du sujet initial.


Tu as fais le test, il me semble et à voir le résultat que tu as publié tu n'est pas touché...

Un des problème de ces failles est qu'il y a eu plusieurs variantes et que du coup c'est plus compliqué à corriger, mais si les ingénieurs qui ont travaillé là-dessus ont correctement fait leur job ils devraient théoriquement nous avoir mis à l'abris.

Pour te donner un exemple concret de résolution software versus via matériel / bios :

Si une machine sait par exemple additionner mais se trompe en multipliant, et qu’elle utilise un soft qui la fait additionner et multiplier, les additions seront correctes mais pas les multiplications, ce qui va poser problème...

Si on publie un correctif matériel ou via le bios permettant à la machine en question d'additionner et de multiplier en ne commettant plus d'erreurs, tout ira bien.

Si on ne publie qu'un correctif software, il consisterai par exemple en un tel cas à ne plus soumettre de multiplications à cette machine et de lui soumettre ce type d'opérations selon un autre angle de résolution. Genre au lieu de lui dire calcul 3x6 on lui dira alors calcule 6+6+6... Ca prendra plus de temps donc plus de puissance de calcul, mais bon ça fonctionnera ainsi tant que tu ne la fera pas à nouveau multiplier... car en un tel cas elle se remettra à se tromper. Et c'est justement là où il y a un problème aujourd'hui avec le navigateur Chromium et ses dérivés.

Bien à toi.
icone Suivre les commentaires
Poster un commentaire