Le problème des failles, c’est qu’à partir du moment où l’on commence un peu à les chercher sérieusement, généralement on les trouve ! Bon, chez certains (beaucoup) plus que chez d’autres, on ne vise personne, suivez notre lien. On ne présentera pas ARM, l’entreprise qui s’est fait un nom en distribuant son savoir et ses puces à tout va dans le monde entier, où elles animent une bonne majorité de nos gadgets — petits et grands — du quotidien.

Alors que les regards inquisiteurs sont généralement tournés ailleurs (on ne vise toujours personne, hein), récemment c’est l’architecture ARMv8-A (soit toutes les déclinaisons CPU Cortex-A) qui est passée sous le projecteur lorsqu’ARM a communiqué à propos d’une vulnérabilité la concernant, identifiée l’année dernière dans le cadre d’un travail de recherche du Google SageSide Project (dont l’objectif est précisément d’étudier des failles telles que celle-ci).

 

arm plateforme armv8 a

 

En cause ? L’exécution spéculative, bien entendu. Plus exactement, la Straight-line Speculation (SLS), dont le principe de « spéculation » pousse le CPU  à traiter les instructions trouvées linéairement en mémoire en cas de changement dans le flux d’instructions, au lieu de changer le chemin du flux. Le hic, c’est que ce fonctionnement pourrait être exploité pour le vol de données depuis le CPU et c’est donc ce qui lui a valu l’attribution du CVE-2020-13844 (encore en cours de finalisation).

Heureusement, en dépit de la taille du parc potentiellement concerné (une multitude d’appareils mobiles, laptops et même des machines comme le Raspberry Pi 4), la faille serait très difficilement exploitable et aucune démonstration pratique n’en aurait encore été faite, mais le constructeur a préféré ne pas prendre de risque pour autant. Alerté bien avant la publication comme la coutume l’ordonne, ARM a déjà pu faire le travail nécessaire et a récemment commencé à distribuer des patchs correctifs pour les différents OS et firmwares, en notant que l’impact sur les performances du CPU serait négligeable, voire nul. Pour plus d’informations sur la faille, ARM a publié le PDF du whitepaper et vous trouverez ici la publication sur les patchs GCC/LLVM.

 L’exécution spéculative montre une nouvelle faiblesse, cette fois-ci dans l'architecture ARMv8-A d'ARM. C'est grave docteur ? 

Sur le comptoir, au même sujet

 
 
 
 
 

afficher plus de prixAffichez donc moi tout, nom de nom

Plus d'infos avec le comptoir de l'info

Voir plus de news
Les 2 Ragots
   
Les ragots sont actuellement
ouverts à tous, c'est open bar !