Selon Intel, la première faille TSX Asynchronous Abort (TAA) est « similaire » à une autre brèche dévoilée en mai dernier : Microarchitectural Data Sampling (MDS), liée à l'exécution spéculative des processeurs Intel. Les deux brèches touchent ainsi les mêmes mémoires tampons : Store buffers, Fill buffers et Load ports.
Là encore, un utilisateur authentifié avec un accès local pourrait récupérer des informations via une attaque par canal auxiliaire. TAA dispose d'un numéro CVE différent de MDS – CVE-2019-11135 – car « elle utilise un nouveau mécanisme pour exploiter » cette vulnérabilité. De plus amples détails techniques sont disponibles par ici.
Le fondeur dévoile également d'autres failles, comme la CVE-2018-12207, alias Intel Processor Machine Check Error, pouvant faire planter une machine avec le code d'erreur 0150H. Elle ne concerne visiblement que la virtualisation.
Enfin, deux failles concernent l'IGP i915 : CVE-2019-0154 et CVE-2019-0155. La première peut provoquer un déni de service, tandis que la seconde permettrait à un attaquant avec un accès local de « récupérer des données sensibles ou éventuellement élever ses privilèges ».
Les brèches et correctifs ont été signalés en amont, ce qui explique qu'une vague de mise à jour se déverse ces dernières heures. Windows, Ubuntu et Red Hat ont d'ores et déjà commencé le déploiement.
Commentaires (28)
#1
Le lien windows en fin d’article concerne windows 7, pour windows 10 ici : https://support.microsoft.com/fr-fr/help/4524570
#2
Est ce qu’on a des infos sur des développements de nouvelles familles de processeurs qui ne seraient pas sensibles à ce type d’attaques, aussi bien chez Intel que chez AMD, etc
#3
Et aussi un bug,https://www.intel.com/content/dam/support/us/en/documents/processors/mitigations…
Pas d’impact sécurité, mais le contournement réduit les performances, cfhttps://www.phoronix.com/scan.php?page=article&item=intel-jcc-microcode&…
#4
Difficile de blâmer Intel, par définition une faille est un truc inévitable.
Mais moi qui comptait acheter du Intel en fin d’année, je me pose des questions. Acheter un gros CPU très cher pour ensuite voir ses performances fondre comme neige au soleil au fur et à mesure des correctifs, non merci.
#5
Oui enfin depuis 3 ans, il faut acheter du AMD. Surtout que depuis 2 ans les dernières versions ne sont plus touchés par Spectre contrairement à Intel qui n’a pas revu son architecture.
#6
#7
Un 3700X devrait faire l’affaire pour jouer…les perfs sont bonnes, en moyenne 10% en dessous des 9700K / 9900K d’Intel.
Je vais passer à la caisse début décembre (j’attends le Cyber Monday, au cas où, on sait jamais " />).
Mais pour être franc, la raison pour laquelle on trouve moins de faille chez AMD, c’est peut-être juste que les hackers se concentrent sur les processeurs les plus courants (donc de l’Intel encore pour l’instant).
#8
#9
#10
#11
#12
Windows 10 sur du Intel. Combo. " />
#13
Si tu veux faire un serveur de virtualisation, prends un Ryzen. Plus de cores, c’est très intéressant pour ça :)
#14
#15
#16
Si tu as connaissance d’une technique infaillible pour ne jamais avoir de failles, je pense que Intel sera très content de recevoir ton CV…
#17
#18
#19
#20
#21
#22
#23
#24
#25
#26
#27
#28
Vi vi, j’avais compris, mais à moitié oublié entretemps, pardon :-)