Dans la suite de Meltdown et Spectre, voilà qu'une nouvelle série de failles vient entacher la réputation d'Intel : ZombieLoad. Ces dernières utilisent encore une fois l'exécution spéculative - le fait que le processeur commence les calculs correspondant à des morceaux de programme dont il n'est pas sûr de leur utilité, pour après soit conserver leurs effets (cas où la spéculation s'est avérée juste) ou nettoyer le tout (la spéculation ne s'est, in fine, pas vérifiée).

 

Comme son nom l'indique, cette faille utilise des opérations appelées Zombie Loads ou "chargements zombies" : lorsque des valeurs sont chargées depuis la RAM, mais finalement non utilisées par le programme pour cause de spéculation erronée (ce qui est un comportement normal du processeur), les données laissent des traces dans une mémoire tampon accessible par un autre processus tournant sur le même cœur logique, comprenez que seuls les CPU utilisant l'hyperthreading sont affectés.

 

Si vous ne trouvez cela pas alarmant, la vulnérabilité est exploitable sur des serveurs web et même des machines virtuelles - en fait, dès que vous avez un accès utilisateur d'exécution de code sur la machine cible - afin de faire fuiter toute sorte de données normalement détachées du contenu utilisateur comme des clefs RSA, des bases de données, vous avez compris le principe.

 

Cependant, tout n'est pas noir : seuls les CPU bleus seraient impactés, mais tout ceux depuis 2011 utilisant l'hyperthreading, et Intel a d'ores et déjà sorti - en mars, à vrai dire - un patch du microcode pour corriger la brèche. À l'heure actuelle, nous ne savons pas si des impacts sur les performances sont à déplorer, nous vous tiendrons informés à ce sujet. De plus, les chercheurs estiment qu'il est très peu probable que ce moyen ait été employé, étant donné la haute expertise nécessaire à sa découverte, comparée par exemple aux désormais célèbres Spectre et Meltdown, ou même aux ransomwares bien plus courants. Tout cela ne reste néanmoins guère rassurant, espérons qu'Ice Lake ait fait des progrès depuis d'un point de vue sécurité !

(Source : NotebookCheck)

 

Zombieload, le film ! [cliquer pour agrandir]

Zombieload, ze film ! Starring Meltdown et Spectre !

 

 Une faille de plus dans les CPU Intel, toujours à base d'exécution spéculative : ZombieLoad. 

Sur le comptoir, au même sujet

 
 
 
 
 

afficher plus de prixAffichez donc moi tout, nom de nom

Plus d'infos avec le comptoir de l'info

Voir plus de news
Les 23 Ragots
   
Les ragots sont actuellement
ouverts à tous, c'est open bar !