Intel, des failles (bis)

Contenu

Je me répète, non ? La plaie Spectre & Meltdown n’est pas encore fermée (et l’hémorragie n’est même pas encore arrêtée) que voilà poindre de nouvelles variantes, De l’avis d’Intel, quatre des huit vulnérabilités mises au jour sont plus critiques que la vulnérabilité Spectre initiale. Gloups.

Voici, par ordre d’apparition

Nouvelles variantes

Variante 3a

CVE-2018-3540. Impact sur des hyperviseurs.

Variante 4

Les principaux intéressés travaillent d’arrache-pied pour atténuer les impacts de la faille, mais comme les variantes précédentes, cela peut affecter les performances¹² des processeurs. Elle reçoit le doux nom de Speculative Store Bypass.

Toutefois, les correctifs de versions précédentes ont l’air d’atténuer³ la portée de cette variante.

Variantes 1.1 et 1.2

Des chercheurs⁴ ont trouvé de nouvelles variantes de Spectre ; ils ont été récompensé dans le cadre d’un Bug Bounty d’Intel.

NetSpectre

Passée relativement inaperçue⁵, cette variante a été découverte en mars 2018⁶, et corrigée selon le protocole informel de la divulgation responsable, ou responsible disclosure, en juillet 2018 par Intel⁷.

Sources

Pour les variantes 3a et 4

Communication officielle de Microsoft (ADV180012)
Page Google Zero (Issue 1528)
Communication ARM, avec un intéressant tableau de vulnérabilité selon les familles de processeurs
Communication Intel
Communication AMD
Communication RedHat
Communication VMWare
Communication Xen (advisory 263)
CVE-2018-3639

Autres sources web

http://www.guru3d.com/news-story/eight-new-spectre-variant-vulnerabilities-for-intel-discovered-four-of-them-critical.html
https://www.developpez.com/actu/205147/Spectre-Meltdown-de-nouvelles-failles-dans-les-processeurs-elles-permettent-de-lire-les-registres-internes-la-memoire-kernel-et-celle-de-l-hote/
https://www.heise.de/ct/artikel/Super-GAU-fuer-Intel-Weitere-Spectre-Luecken-im-Anflug-4039134.html
https://www.cnet.com/news/intel-microsoft-reveal-new-variant-on-spectre-meltdown-chip-security-flaws/
https://www.us-cert.gov/ncas/alerts/TA18-141A
https://www.techrepublic.com/article/spectre-isnt-dead-here-are-2-new-variants-it-should-patch-against/

Pour les variantes 1.1 et 1.2

https://www.developpez.com/actu/214640/Encore-deux-nouvelles-vulnerabilites-de-classe-Spectre-decouvertes-elles-affectent-des-processeurs-Intel-ARM-et-probablement-AMD/

Voir aussi

Intel, des failles

Références

↑ (en) « Google and Microsoft disclose new CPU flaw, and the fix can slow machines down » sur The Verge, 21/05/2018

↑ « Spectre variante 4 : le patch d’Intel laissera des traces » sur ZDNet.fr, 25/05/2018

↑ (en) « Intel promises fix for new 'Variant 4' Meltdown, Spectre vulnerability » sur Apple Insider, 21/05/2018

↑ (en) , « Speculative Buffer Overflows: Attacks and Defenses » sur MIT, 10/07/2018

↑ (fr) « NetSpectre : une attaque désormais exploitable à distance » sur nextinpact.com (consulté le 21/08/2018)

↑ (en) Schwarz et al., « NetSpectre: Read Arbitrary Memory over Network », 27/07/2018 (consulté le 07/03/2019)

↑ (en) « Analyzing potential bounds check bypass vulnerabilities (white paper) » sur intel.com, 01/07/2018

Date	Auteur	Catégories
17/12/2018	janiko	Actualités

Intel, des failles (bis)

Nouvelles variantes

Variante 3a

Variante 4

Variantes 1.1 et 1.2

NetSpectre

Sources

Pour les variantes 3a et 4

Autres sources web

Pour les variantes 1.1 et 1.2

Voir aussi

Références

J’aime ça :

Catégories

Blog

Archives

Toutes les pages

Méta

Nouvelles variantes

Variante 3a

Variante 4

Variantes 1.1 et 1.2

NetSpectre

Sources

Pour les variantes 3a et 4

Autres sources web

Pour les variantes 1.1 et 1.2

Voir aussi

Références

Partager :

J’aime ça :

Catégories

Blog

Archives

Toutes les pages

Méta

Recherche sur le site

Étiquettes