Google et Microsoft révèlent deux nouvelles failles dans les CPU

Google et Microsoft révèlent deux nouvelles failles dans les CPU

Par Sébastien Gavois

Le 22 Mai 2018 à 10h49
Sciences et espace
1 min 8

Google et Microsoft révèlent deux nouvelles failles dans les CPU

Encore et toujours des suites pour les failles Meltdown et Spectre, dont les chercheurs continuent de trouver des variantes.

Les nouvelles venues sont nommées 3a et 4 (CVE-2018-3640 et CVE-2018-3639). Leurs détails ont été communiqués à l'US-CERT par Google et Microsoft. Exploitées, elles permettraient à un pirate d'obtenir des informations sensibles.

Une partie des correctifs déjà en place, notamment dans les navigateurs, atténue le risque. Il faudra par contre en repasser par de nouveaux firmwares.

Dans un communiqué, Intel explique avoir déjà envoyé son microcode en version bêta à tous les constructeurs concernés pour des tests. Dans cette mouture, il devient possible de couper l'exécution spéculative, entraînant une chute de performances de l'ordre de 2 à 8 %.

Cependant, Intel précise bien que cette coupure est désactivée par défaut. Le fondeur transfère sur l'utilisateur le choix épineux : performances maximales ou sécurité ? Dans une note technique, Microsoft indique de son côté travailler également avec AMD et ARM, eux aussi concernés.

Commentaires (8)


crocodudule
Le 22/05/2018 à 11h01

On peut estimer que le correctif aux niveaux des navigateurs est suffisant ou pas du tout ?



C’est surtout ça qui va me convaincre ou non, car perdre des perfs ne fait jamais plaisir.


madko
Le 22/05/2018 à 11h31

“Une partie des correctifs déjà en place, notamment dans les navigateurs,

atténue le risque. Il faudra par contre en repasser par de nouveaux

firmwares.”



et plus loin ça parle de microcode.


Gilbert_Gosseyn Abonné
Le 22/05/2018 à 11h38







madko a écrit :



“Une partie des correctifs déjà en place, notamment dans les navigateurs,

atténue le risque. Il faudra par contre en repasser par de nouveaux

firmwares.”



et plus loin ça parle de microcode.





Normal, les UEFI intègrent bien souvent des corrections de microcode chargés à la volée au boot.



tazvld Abonné
Le 22/05/2018 à 11h57

Non et oui, ou pas.

En faite, le problème est plus fondamental, un programme peut aller regarder sans autorisation ce que fait le voisin, un gros voyeur dans la vie privé des software. Il peut par exemple aller voir du coté du navigateur, et prendre tes identifiants, ton numéro de carte bleu… potentiellement, il peut aller directement titiller l’OS et aller choper le nécessaire pour prendre les droits admins voir même attaquer directement l’antivirus.



Le navigateur est une porte d’entrée potentielle pour ce genre de programme, mais plein d’autres possibilités existent. J’ai cru comprendre que l’on peut passer par un PDF et même une font de caractère.





Pour résumer très grossièrement les attaques : Normalement, chaque programme vie sa vie dans sa propre boite, et ne peut pas vraiment aller voir en dehors de celle-ci, du monde extérieur, il ne peut l’interroger qu’au travers de ce que l’OS veut bien lui dire. Tout ça, c’est cloisonné matériellement grâce au fonctionnement du processeur. Or, les processeurs essaient, pour être plus rapide, de prédire les prochaines instructions et les préparer à l’exécution. Cependant, les prédictions ne sont pas fait dans un espace super bien cloisonné, certain programmes peuvent alors voir des bouts de prédictions qui ne leur concernent pas. C’est comme si tu réussissais à récupérer de temps en temps le courrier de tes voisins. Ils est ainsi possible de récupérer des informations critiques.


WereWindle
Le 22/05/2018 à 13h39

ce talent de vulgarisation ! <img data-src=" />


Arkeen Abonné
Le 22/05/2018 à 16h45

Merci pour l’explication <img data-src=" />


Bejarid
Le 22/05/2018 à 16h48







tazvld a écrit :



Le navigateur est une porte d’entrée potentielle pour ce genre de programme, mais plein d’autres possibilités existent. J’ai cru comprendre que l’on peut passer par un PDF et même une font de caractère.





Faut quand même exécuter un script à un moment où un autre. Les navigateurs sont pratiques car du JS ou du WebAsm, y en a tout le temps qui tourne qu’on le veuille où non (couper JS c’est casser 99% du web moderne, c’est désespérant… et ça montre bien les limites du HTML5/CSS3). Un PDF, il n’est pas sensé embarqué de script (tout comme un .doc n’est pas sensé avoir de macro).



Pour la police de caractère, c’est encore un autre problème : elle ne peut exécuter de script, mais elle peut exploiter une faille pour faire du buffer-overflow et copier du code ailleurs en mémoire, qui pourra ensuite se faire lancer par divers moyen. Pour ensuite utiliser encore d’autres failles pour remonter à sa cible…



De manière générale, Meltdown/Spectre c’est des failles d’escalades de privilèges dopées aux hormones (car matérielle), mais c’est en aucun cas une porte d’entrée (ce qui rend ton exemple de courrier du voisin un peu trop simple). En soit c’est vraiment dangereux que dans le monde du virtualisé mutualisé (si t’as bien ton coeur dédié H24, il n’y pas de problème).



madko
Le 23/05/2018 à 12h17







Bejarid a écrit :



&nbsp; En soit c’est vraiment dangereux que dans le monde du virtualisé mutualisé (si t’as bien ton coeur dédié H24, il n’y pas de problème).





C’est pourquoi toute l’industrie de l’informatique panique ? C’est juste un vecteur de plus pour un exploit, donc ça concerne tout le monde. Et comme c’est matériel, c’est encore plus difficile à patcher. D’où la panique. Surtout qu’il faut l’ensemble mise à jour Bios/Firmware/OS complet pour que ça soit vraiment efficace. Donc non vaut mieux pas minimiser.



Fermer