[MAJ 26 / 01]Spectre et Meltdown : les patches « totalement pourris » d’Intel à l’origine de « redémarrages plus fréquents » (tri sélectif) !

>>> Mise à jour du 26 Janvier : Toujours dans l’expectative d’un signe d’Intel et d’un re-déploiement d’un patch sécuritaire colmatant les failles Spectre et Meltdown, en aparté, plusieurs fabricants tente de rassurer les utilisateurs malgré la confirmation que les récents firmwares de certaines versions de BIOS / UEFI sont, eux aussi, impactés par Spectre et Meltdown :

 

  • « Dell conseille à tous les clients de ne pas déployer la mise à jour du BIOS pour la vulnérabilité Spectre (variante 2) pour le moment. Nous avons supprimé les mises à jour du BIOS affectées de nos pages de support et travaillons avec Intel sur une nouvelle mise à jour du BIOS qui inclura un nouveau microcode d’Intel » ;
  • « Intel a changé d’orientation pour les clients qui ont déjà déployé ces mises à jour de type microcode : Si vous ne rencontrez pas de difficultés de stabilité du système, vous pouvez décider de rester au niveau BIOS / UEFI que vous avez installé actuellement. Pour les autres, Lenovo travaille actuellement avec Intel pour mettre à jour les mises à jour BIOS / UEFI afin de revenir à un niveau de microcode stable » ;
  • « HP est en train de supprimer les softpaqs – ndlr : un centre de gestion des patches et mises à jours sécuritaires, le « Windows Update » dédié aux terminaux HP – HP BIOS avec les correctifs du microcode Intel depuis hp.com. HP redéploiera les logiciels HP BIOS avec le microcode Intel précédent à partir du 25 janvier 2018. Une fois qu’Intel rééditera les mises à jour du microcode, HP publiera des Softpaq révisés ».

 

Les listings-produits de Lenovo fixeraient au 9 Février prochain (date uniquement affichée pour certains produits de la gamme « ThinkPad L », le reste étant notifié « TBD » pour « To Be Dertermined » – « A Déterminer ») le déploiement de tels patches sécuritaires même si rien n’est confirmée : il faudra attendre le feu vert du côté d’Intel… A suivre ! <<<

 

Source : Merci à Philomene123 pour l’info’ :-) !

 


 

Actualité du 24 Janvier 2018 :

 

Le 4 Janvier dernier<, l’année 2018 débutait sous les hospices les plus malveillants avec Spectre et Meltdown, une vulnérabilité hautement critique qui gangrenait la plupart des microprocesseurs d’Intel et AMD ainsi que les architectures sous ARM en exploitant ces derniers via une attaque par canal auxiliaire au niveau de la mémoire-cache (side-channel attack). Si entre-temps, bon nombre d’acteurs technologiques ont déployés leurs correctifs, à ce jour, les failles semblent loin – voire très loin ! – d’être comblées puisque certains ont rencontrés de multiples bugs (surtout du côté des professionnels) liés à ces mises à jour censées pourtant colmater sécuritairement les environnements intégrant les micro-puces incriminées…

Concernant Intel, celui-ci indiquait, le 17 Janvier dernier, avoir déployé les correctifs « pour 90 % des processeurs Intel introduits au cours des cinq dernières années » tout en indiquant que les gammes Ivy Bridge, Sandy Bridge, Skylake et Kaby Lake étaient touchées par cette faille ; problème : suite à un nombre de plus en plus massif de report de bugs liés à l’application des premiers patchs fournis en collaboration avec les fabricants tiers (Dell, HPE, HPI, Lenovo et Microsoft sont essentiellement cités) la Compagnie de Santa Clara fait marche arrière : « Nous recommandons que les équipementiers, les fournisseurs de services cloud, les fabricants de systèmes, les fournisseurs de logiciels et les utilisateurs finaux arrêtent le déploiement des versions actuelles, car ils risquent d’entraîner des redémarrages plus importants que prévu et d’autres comportements imprévisibles« .

 

Si Intel confirme avoir « identifié la cause originelle » du dysfonctionnement de ses patchs, d’autres comme >Linus Torvalds< exultent et pointent du doigt une mauvaise gestion de cette crise sécuritaire, voire un total manque de transparence sur certains aspects techniques de ces rustines qui ne rempliraient pas totalement leurs missions ou, du moins, activeraient partiellement certaines actions comme « l’ajout […] du MSR en écriture au sein du noyau aux points d’entrée / sortie » ou encore une libération partielle de l’instruction de spéculation « IBRS » (Indirect Branch Restricted Speculation – Registre données « EDX » – x86) : « tous ces bits de capacité matérielle sont juste achevés et mis aux ordures. Personne ne va les utiliser, puisque le coût est sacrément trop élevé. Du coup, vous finissez par y jeter un œil en disant « quel numéro de version du processeur – ndlr : « stepping level », texte original – cela est-il«  ». A cela, le créateur du noyau Linux ajoute l’argument juridique pour Intel, qui tenterait, par ces faits, d’éviter d’éventuelles représailles avec du multiples procès de la part d’entreprises ou d’utilisateurs (action en groupe) mécontents.

« Au cours du week-end, nous avons commencé à déployer une première version de la solution mise à jour à des partenaires de l’industrie pour les tests, et nous rendrons une version finale disponible une fois les tests terminés« , indique le fondeur qui se veut rassurant… A suivre !

Pour en savoir plus : le >centre de sécurité Intel<, avec le listings des puces vulnérables ainsi que l’évolution de la situation.

 

Source : Communiqué Intel – 22 Janvier 2018 – Spectre et Meltdown : problème identifié (seconde vague de patches).