8 nouvelles vulnérabilités de spectre (Spectre-NG) trouvées dans les processeurs Intel

Une équipe de chercheurs en sécurité aurait découvert un total de huit nouvelles vulnérabilités « Spectre » dans les processeurs Intel, affectant également au moins un petit nombre de processeurs ARM et pouvant également affecter l’architecture des processeurs AMD.

Surnommé Specter-Next Generation , ou Spectre-NG , les détails partiels des vulnérabilités ont d’abord été divulgués aux journalistes du magazine informatique allemand Heise, qui prétend qu’Intel a classé quatre des nouvelles vulnérabilités comme « à haut risque » et quatre comme « moyen ». "

Les nouvelles failles du processeur proviennent du même problème de conception qui a causé la faille Spectre d’origine , mais le rapport prétend que l’une des failles nouvellement découvertes permet aux attaquants d’accéder à une machine virtuelle (VM) pour cibler facilement le système hôte. menaçant que la vulnérabilité d’origine Specter.

"Alternativement, il pourrait attaquer les machines virtuelles d’autres clients fonctionnant sur le même serveur.Les mots de passe et les clés secrètes pour la transmission sécurisée de données sont des cibles très recherchées sur les systèmes cloud et sont extrêmement menacées par cette lacune", indique le rapport .

"Cependant, la vulnérabilité Spectre-NG mentionnée ci-dessus peut être exploitée assez facilement pour les attaques à travers les frontières du système, élevant le potentiel de menace à un nouveau niveau.Les fournisseurs de services cloud tels qu’Amazon ou Cloudflare et, bien sûr, leurs clients sont particulièrement touchés.

Si vous n’êtes pas au courant, la vulnérabilité Specter , signalée plus tôt cette année, repose sur une attaque par canal latéral du moteur d’exécution spéculatif des processeurs, permettant à un programme malveillant de lire des informations sensibles, comme des mots de passe, des clés de chiffrement ou des informations sensibles. y compris celle du noyau.

Bien que le site allemand n’ait pas divulgué le nom des chercheurs en sécurité (ou de l’équipe / entreprise) qui ont signalé ces failles à Intel, il a révélé l’une des faiblesses découvertes par un chercheur en sécurité du projet Zero de Google.

Le site a également affirmé que le chercheur de Google a signalé la faille aux fabricants de puces il y a presque 88 jours, ce qui indique que le chercheur pourrait révéler les détails d’au moins un défaut le 7 mai, date à laquelle la fenêtre de divulgation sera fermée. qui est le jour avant le correctif Windows mardi.

La divulgation responsable des vulnérabilités de Specter NG aux vendeurs est certainement une bonne pratique, mais il semble que les chercheurs, qui ont découvert la nouvelle série de failles de Specter, évitent que leurs noms sortent tôt - peut-être pour éviter une critique médiatique similaire à celle CTS Labs après avoir divulgué des détails partiels de défauts AMD avec un site Web dédié, de beaux graphiques et des vidéos.

Réponse d’Intel aux failles du Spectre-NG

Ça ne fait rien. Interrogé par Intel sur les nouvelles découvertes, le géant de la puce fournit la déclaration suivante, qui ne confirme ni ne nie l’existence des vulnérabilités Specter-NG :

« Protéger les données de nos clients et assurer la sécurité de nos produits sont pour nous des priorités essentielles.Nous travaillons régulièrement en étroite collaboration avec nos clients, partenaires, autres fabricants de puces et chercheurs pour comprendre et atténuer les problèmes identifiés, et une partie de ce processus consiste à réserver blocs de numéros CVE. "

"Nous croyons fermement en la valeur d’une divulgation coordonnée et nous partagerons des détails supplémentaires sur les problèmes potentiels au fur et à mesure que nous finaliserons les mesures d’atténuation, et nous continuons d’encourager tout le monde à maintenir leurs systèmes à jour."

Entre-temps, interrogé par Heise au sujet des numéros de Common Vulnerabilities and Exposures (CVE) réservés aux nouvelles vulnérabilités de Spectre-NG, le journaliste a refusé de partager les détails et a commenté :

"Les CVE ne sont pour le moment que des numéros nus sans valeur ajoutée, mais leur publication aurait pu représenter un risque supplémentaire pour nos sources que nous voulions éviter, c’est pourquoi nous avons décidé de ne pas le faire pour le moment. bien sûr."

Brace pour de nouveaux correctifs de sécurité

Les vulnérabilités de Specter-NG affecteraient les processeurs Intel, et il semblerait également qu’au moins certains processeurs ARM soient vulnérables aux problèmes, mais l’impact sur les processeurs AMD n’a pas encore été confirmé.

Selon le site allemand, Intel a déjà reconnu les nouvelles vulnérabilités de Specter-NG et prévoit de publier des correctifs de sécurité dans les postes de travail, un en mai et le second étant actuellement prévu pour août.

Microsoft prévoit également de résoudre les problèmes en publiant un correctif de sécurité avec des mises à jour Windows dans les mois à venir.
Cependant, il est actuellement inconnu si l’application de nouveaux correctifs affecterait une fois de plus les performances des périphériques vulnérables, tout comme ce qui est arrivé avec les vulnérabilités d’origine Specter et Meltdown plus tôt cette année.

Dans la même rubrique

| 1 | 2 | 3 | 4 | 5 | 6 | 7 | 8 | 9 | ... | 22 |

Actu en image