"Spectre Next Generation" : nouvelle débandade sécuritaire avec 8 nouvelles failles (le spectre de... spectre) !

Avant ou après ou de manière enjouée, le passage d'une tempête du genre laisse toujours des traces... Une bien dure leçon pour les fabricants de puces ou de cœur (architecture) de puces qui essuient à nouveau les affres du malware Spectre qui revient avec les mêmes promesses lugubres mais façon "nouvelle génération".

 

 

La teneur de l'information est livrée publiquement le 3 Mai dernier par Heise via "c't" et si, pour l'heure, sagesse oblige (sans doute, d'ailleurs, ont-ils publié après les 90 jours préconisés usuellement, gageons-le...), le détail n'est pas connu, le site indique que sur ces 8 failles, 4 sont classifiées en "risque élevé", les 4 autres étant estimées de manière "modérée".

"L'une des failles [...] simplifie les attaques à travers les limites du système à tel point que nous estimons que le potentiel de menace est significativement plus élevé qu'avec Spectre. Plus précisément, un attaquant pourrait lancer un code d'exploitation dans une machine virtuelle (VM) et attaquer le système hôte à partir de là [...]. Alternativement, il pourrait attaquer les machines virtuelles d'autres clients fonctionnant sur le même serveur. Les mots de passe et les clés secrètes de transmission de données sécurisées sont des cibles très recherchées sur les systèmes de cloud computing et sont extrêmement menacées par cette lacune. Les extensions SGP (Software Guard Extensions) d'Intel, conçues pour protéger les données sensibles sur les serveurs cloud, ne sont pas non plus protégées contre les virus. [...] La mise en œuvre dans le monde réel nécessitait tellement de connaissances préalables qu'il était extrêmement difficile. Cependant, la vulnérabilité Specter-NG mentionnée ci-dessus peut être exploitée assez facilement [...] Les fournisseurs de services cloud tels que Amazon ou Cloudflare et, bien sûr, leurs clients sont particulièrement touchés", détaille tout de même le groupe Allemand.

 

Le site sécuritaire annoncerait, côté Intel, un déploiement pour les correctifs (dont chaque vulnérabilité aura bien un CVE d'assigné mais, là aussi sagesse oblige, non disponible pour l'heure) courant de ce mois de Mai pour la première fournée et courant Août prochain, pour la seconde fournée (les vulnérabilités "moindres" imaginons-le).

En aparté et plus récemment, toujours selon Heise qui est revenu compléter certains de ses propos, le 7 Mai dernier, Intel devait déclencher le déploiement de ces correctifs mais pour des raisons liés au microcode, l'ensemble a été repoussé au 21 Mai prochain voire au 10 Juillet prochain pour mieux préparer le dispositif (et ainsi demander au groupe sécuritaire de ne pas divulguer, avant l'heure, les détails de ces failles, surtout). Spectre-NG (Next Generation) concernerait apparemment les puces Pentium, Celeron et Atom, iCore et Xeon depuis 2013. La mise à jour sera déployé et les fabricants la livreront, à leur tour (Microsoft, Apple, Linux...) pour finaliser la rustine.

"Nous croyons fermement en la valeur de la divulgation coordonnée et nous partagerons des détails supplémentaires sur les problèmes potentiels à mesure que nous finaliserons les mesures d'atténuation", affirme sereinement et brièvement Intel, dans son communiqué du 3 Mai 2018... A suivre !

 

Source : Heise.de - 3 Mai 2018 - Spectre Next Generation.