Huit nouvelles failles de type Spectre dans les processeurs ?

Le par  |  5 commentaire(s)
bug-bounty

Pas des failles Spectre mais Spectre-NG pour Next Generation. Intel serait au courant. Une divulgation serait proche.

En début d'année, les trois variantes des vulnérabilités Meltdown (CVE-2017-5754) et Spectre (CVE-2017-5753 et CVE-2017-5715) ont fait grand bruit. Ces failles d'exécution spéculative appartiennent à une nouvelle classe de vulnérabilité affectant des microprocesseurs et peuvent conduire à une fuite d'informations.

Intel-8th-Gen-Core-7Selon la publication allemande c't appartenant au groupe Heise, des équipes de chercheurs en sécurité ont découvert l'existence de huit nouvelles failles de type Spectre. Estampillées Spectre-NG (pour Next Generation), elles touchent des processeurs Intel, mais des processeurs ARM seraient aussi vulnérables. Pour AMD, les recherches se poursuivent.

Intel aurait classé quatre des failles avec un risque élevé, et les autres avec une dangerosité jugée moyenne. Intel aurait prévu deux vagues de patchs, une première débutant en mai et une deuxième pour le mois d'août.

Pour le moment, Intel se contente de renvoyer vers ce communiqué : " Nous croyons fortement à la valeur d'une divulgation coordonnée et nous partagerons des détails supplémentaires sur tout problème potentiel au fur et à mesure que nous finalisons les mesures d'atténuation. "

Une faille Spectre-NG permettrait notamment à des attaquants de lancer un code exploit dans une machine virtuelle, et de cibler le système hôte qui pourrait par exemple être le serveur d'un hébergeur cloud. Les attaquants pourraient également s'en prendre à d'autres machines virtuelles de clients sur le même serveur. Une exploitation serait plus simple qu'avec Spectre.

Jusqu'au 31 décembre 2018, Intel a lancé un programme de bug bounty concernant des vulnérabilités et attaques par canal auxiliaire. Elles sont en rapport avec des failles dans l'implémentation de fonctionnalités au niveau matériel et exploitables via le logiciel… et font donc penser aux failles Meltdown et Spectre.

Microsoft a également lancé un programme de bug bounty autour des vulnérabilités de canal auxiliaire d'exécution spéculative, à l'instar de Spectre. Les récompenses peuvent atteindre 250 000 $.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2012399
Bon... Serait-on mieux de déconnecter tout PC d'internet ?
Le #2012408
mart666 a écrit :

Bon... Serait-on mieux de déconnecter tout PC d'internet ?


Non je crois pas
Faut être prudent c'est tout.
Le #2012413
mart666 a écrit :

Bon... Serait-on mieux de déconnecter tout PC d'internet ?


Ou arrêter la mode du "tout partagé".

Des ressources matériels dédiées, c'est quand même le minimum quand on veut de la qualité.
Le #2012436
Chitzitoune a écrit :

mart666 a écrit :

Bon... Serait-on mieux de déconnecter tout PC d'internet ?


Ou arrêter la mode du "tout partagé".

Des ressources matériels dédiées, c'est quand même le minimum quand on veut de la qualité.


Tu écris ça comme si l'un et l'autre sont mutuellement exclusifs

Je voudrais te citer ce post qui résume ce que je pense à ce sujet :

"It's nice to talk about "having a physical machine to do the thing you need to be done" but it is not cost effective and we've been moving towards virtualization since end of 90s. Without it most of the services as they are used by consumers every day wont be cost effective, ergo wont exist.

sources : https://www.techpowerup.com/forums/threads/new-vulnerabilities-incoming-spectre-ng.243880/post-3837427
Le #2012567
smartmeister a écrit :

Chitzitoune a écrit :

mart666 a écrit :

Bon... Serait-on mieux de déconnecter tout PC d'internet ?


Ou arrêter la mode du "tout partagé".

Des ressources matériels dédiées, c'est quand même le minimum quand on veut de la qualité.


Tu écris ça comme si l'un et l'autre sont mutuellement exclusifs

Je voudrais te citer ce post qui résume ce que je pense à ce sujet :

"It's nice to talk about "having a physical machine to do the thing you need to be done" but it is not cost effective and we've been moving towards virtualization since end of 90s. Without it most of the services as they are used by consumers every day wont be cost effective, ergo wont exist.

sources : https://www.techpowerup.com/forums/threads/new-vulnerabilities-incoming-spectre-ng.243880/post-3837427


C'est la mentalité d'économie de bouts de chandelles de beaucoup, qui conduisent à se genre de problemes:

On partage nos machines avec des autres, comme ça, on paye moins cher.... (et on a de la merde en qualité, mais RAF, le prix est plus bas !)
Suivre les commentaires
Poster un commentaire
Anonyme