Et un patch sur l'architecture POWER, effacant parfois le L1 pour des raisons de sécurité

Vous pensiez que seuls Intel et, dans une moindre mesure, AMD avaient à se coltiner le colmatage des brèches de la lignée Meltdown et Spectre ? Que nenni mes chers : IBM, qui manufacture encore des processeurs pour serveurs, est également touché, et se voit forcé d’appliquer un flush L1 du fait de données pouvant fuiter lors de switchs de contexte entre différents processus aux privilèges différents.

Comme d’habitude, la vulnérabilité est répertoriée dans la base CVE portant le doux sobriquet de CVE-2020-4788. La cause du bousin ? Une spéculation sur des données partiellement validées, le classique cas d’application des attaques utilisant un canal auxiliaire. De ce fait, des utilisateurs peuvent ainsi récupérer des informations contenues dans le cache L1 en faisant spéculer le kernel sur des données contrôlées par le processus attaquant (fonctionnant, lui, en mode utilisateur). Pour pallier ce problème, une seule solution est efficace : flusher le L1 entre les morceaux de code concerné (sous Linux, tout du moins). Pour plus d’information à ce sujet, vous pouvez consulter la liste de mails d’Open Source Software Security.

Clairement, 2020 ne sera pas non plus marqué par le sceau de la sécurité informatique, quelle que soit la firme. Les architectures POWER9 n’étant pas toutes jeunes, ces dernières n’échappent pas à la règle : de quoi y voir la nécessiter d’un rafraîchissement majeur ? Affaire à suivre... (Source : Phoronix)