Les variantes de Spectre affectant les CPU Intel se suivent et se ressemblent tout de même beaucoup. Motivée par le programme de chasse aux failles instauré par Intel et faisant miroiter une récompense de 100 000$  - ou même jusqu'à 250 000$ chez Microsoft -  la saison est encore largement ouverte ! Après la variante 4 de Spectre découverte en mai, puis la faille de juin baptisée LazyFP, voici qu'une nouvelle variante a été découverte au sein des processeurs Intel. Comme assez souvent, celle-ci fait bon usage des faiblesses de l’exécution spéculative révélée publiquement en début d'année.

 

Par ce nouvel intermédiaire, un programme malicieux installé au préalable (sous-entendant donc un accès admin) sur la machine ciblée saura altérer par un tour de magie noire codé le bon fonctionnement de l’exécution spéculative afin de rediriger les flux de données en dehors des espaces mémoire protégés, les rendant ainsi inévitablement visibles au malware initiateur. Évidemment, pour ne rien changer, toutes sortes d'informations pourraient ainsi être collectées, autant des clés des chiffrements que des mots passes, ou tout autre  type de données sensibles, sinon ce n'est pas drôle !

 

Cette nouvelle variante de l’infâme Spectre - qui décidément fait beaucoup d'ombre à Intel - a été enregistrée par le fondeur sous l'intitulé CVE-2018-3693 et introduit dans la version juillet 2018 du "white paper" d'Intel sur l'analyse des failles de l’exécution spéculative. CVE-2018-3693 sera par ailleurs accompagné de 12 autres nouveaux CVE qui seront publiés d'ici quelques jours. En parallèle, Intel pourrait aussi annoncer la mise en place de correctifs trimestriels du microcode de ses CPU, ce afin de rassurer davantage sa clientèle professionnelle déjà pas forcément très emballée par tout ce ramdam et bien plus concernée par l'impact de ces failles que l'est le quidam moyen.

Finalement, la découverte du jour a été réalisée par Vladimir Kiriansky et Carl Waldspurger, tous deux chercheurs en sécurité, désormais éligibles à la récompense de 100 000$ offerte par Intel. Ça en fait des binouzes !

 

(Beaucoup) Plus de détails sur leur taf, ici.
 
ghostbusters spectre intel

 Et en v 'là une autre, parce que ce n'était déjà pas assez. Encore et toujours, c'est la faute à l’exécution spéculative, chez Intel ! 

Sur le comptoir, au même sujet

 
 
 
 
 

afficher plus de prixAffichez donc moi tout, nom de nom

Plus d'infos avec le comptoir de l'info

Voir plus de news
Les 4 Ragots
   
Les ragots sont actuellement
ouverts à tous, c'est open bar !