ARM aussi victime d'une faille depuis le canal d'à côté |
————— 11 Juin 2020 à 08h49 —— 17206 vues
ARM aussi victime d'une faille depuis le canal d'à côté |
————— 11 Juin 2020 à 08h49 —— 17206 vues
Le problème des failles, c’est qu’à partir du moment où l’on commence un peu à les chercher sérieusement, généralement on les trouve ! Bon, chez certains (beaucoup) plus que chez d’autres, on ne vise personne, suivez notre lien. On ne présentera pas ARM, l’entreprise qui s’est fait un nom en distribuant son savoir et ses puces à tout va dans le monde entier, où elles animent une bonne majorité de nos gadgets — petits et grands — du quotidien.
Alors que les regards inquisiteurs sont généralement tournés ailleurs (on ne vise toujours personne, hein), récemment c’est l’architecture ARMv8-A (soit toutes les déclinaisons CPU Cortex-A) qui est passée sous le projecteur lorsqu’ARM a communiqué à propos d’une vulnérabilité la concernant, identifiée l’année dernière dans le cadre d’un travail de recherche du Google SageSide Project (dont l’objectif est précisément d’étudier des failles telles que celle-ci).
En cause ? L’exécution spéculative, bien entendu. Plus exactement, la Straight-line Speculation (SLS), dont le principe de « spéculation » pousse le CPU à traiter les instructions trouvées linéairement en mémoire en cas de changement dans le flux d’instructions, au lieu de changer le chemin du flux. Le hic, c’est que ce fonctionnement pourrait être exploité pour le vol de données depuis le CPU et c’est donc ce qui lui a valu l’attribution du CVE-2020-13844 (encore en cours de finalisation).
Heureusement, en dépit de la taille du parc potentiellement concerné (une multitude d’appareils mobiles, laptops et même des machines comme le Raspberry Pi 4), la faille serait très difficilement exploitable et aucune démonstration pratique n’en aurait encore été faite, mais le constructeur a préféré ne pas prendre de risque pour autant. Alerté bien avant la publication comme la coutume l’ordonne, ARM a déjà pu faire le travail nécessaire et a récemment commencé à distribuer des patchs correctifs pour les différents OS et firmwares, en notant que l’impact sur les performances du CPU serait négligeable, voire nul. Pour plus d’informations sur la faille, ARM a publié le PDF du whitepaper et vous trouverez ici la publication sur les patchs GCC/LLVM.
Un poil avant ?Model D, vous la trouviez trop grosse ? Glorious en a une plus petite pour vous... | Un peu plus tard ...Intel commercialise ses premières puces 2,5D : Lakefield |
 | |
 | |
 | |
 | |
 | |
 | |
 | |
 | |
 | |
 | |
 | |
 |