Spectre et Meltdown : une 4e variante des vulnérabilités a été corrigée

Spectre et Meltdown : une 4e variante des vulnérabilités a été corrigée

Une quatrième variante des failles Spectre et Meltdown a vu le jour. Publiée en début de semaine par l’équipe Google Project Zero, cette dernière repose toujours sur le principe de l’exécution spéculative.
Il n’est pas encore clair si cette découverte s’inscrit au sein des nouvelles vulnérabilités « Spectre-NG » découvertes récemment. Cette variante référencée CVE-2018-3639 permet d’accéder à des informations sensibles via une attaque par canaux cachés. Microsoft a rapporté qu’aucun moyen n’avait été trouvé pour exploiter cette variante sur ces logiciels ou services cloud. De plus, la plupart des mitigations prises par les principaux navigateurs concernant les précédentes variantes de Spectre et Meltdown rendent l’exploitation de cette vulnérabilité très complexe.

Intel a d’ores et déjà corrigé cette vulnérabilité et a proposé à ses partenaires un microcode en version bêta, dont le correctif est désactivé par défaut afin de ne pas affecter les performances de ses processeurs.


Référence

https://www.securityweek.com/tech-firms-coordinate-disclosure-new-meltdown-spectre-flaws
https://bugs.chromium.org/p/project-zero/issues/detail?id=1528
https://newsroom.intel.com/editorials/addressing-new-research-for-side-channel-analysis/
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012


Jean-Christophe Pellat

Cert-XMCO