Intel a publié un avis de sécurité concernant la vulnérabilité de Spoiler découverte par des chercheurs le mois dernier. Les chercheurs ont déclaré que, comme Meltdown, Spoiler ne concerne que les processeurs Intel, et non les processeurs AMD ou Arm.
CPU Intel, "Spoiler"
Spoiler est une autre faille de sécurité affectant les processeurs Intel de base que les attaquants peuvent utiliser pour voler des informations sensibles. Contrairement à Spectre et Meltdown, Spoiler affecte une zone différente de la CPU, appelée mémoire tampon d’ordre de la mémoire, utilisée pour gérer les opérations de la mémoire et liée au système de mémoire cache de la CPU. De ce fait, les attaques de Spoiler peuvent également améliorer Rowhammer basé sur la mémoire et d’autres attaques basées sur le cache.
Même si nous avons vu un long flot d’attaques Spectre qu’Intel a dû réparer et que d’ autres sont attendues , Spoiler n’est pas une autre attaque d’exécution spéculative. En tant que tel, aucune des techniques d’atténuation actuelles d’Intel pour Specter n’affecte Spoiler. La vulnérabilité de Spoiler est à l'origine du problème lié au sous-système de mémoire propriétaire d'Intel. C'est pourquoi Spoiler n'affecte que les processeurs d'Intel et non les processeurs AMD ou Arm.
Plus d'un mois après que les chercheurs eurent dévoilé l'attaque de Spoiler pour la première fois, Intel lui a attribué son propre CVE ( CVE-2019-0162 ) et publié un avertissement indiquant que l'attaque présente un risque faible (3,8 points sur 10), car l'attaque nécessiterait être authentifié et nécessite un accès local au matériel.
Atténuation matérielle requise
Les chercheurs ont noté que Spoiler ne pouvait pas être atténué par des logiciels et que les nouveaux processeurs Intel nécessiteraient des modifications matérielles pour empêcher les pirates d’exploiter cette vulnérabilité. Cependant, ils ont également déclaré que cette atténuation matérielle serait susceptible de nuire aux performances des processeurs d'Intel.
Bien que la plupart des processeurs soient affectés par la plupart des défaillances de Spectre, Spoiler, Meltdown, Foreshadow et d’autres défaillances de type processeur uniquement d’Intel montrent que la société est plus disposée à supprimer la priorité de la sécurité pour devancer la concurrence en termes de performances.
En ce qui concerne les mesures d’atténuation Spoiler, Intel semble actuellement confier aux développeurs de logiciels la charge qu’elle encourage à utiliser des pratiques de développement de logiciels protégées par des canaux latéraux.
Cela signifierait qu'Intel serait libéré pour réparer son sous-système de mémoire et que les modifications logicielles que les développeurs devront apporter à leurs logiciels pour protéger leurs applications de Spoiler ralentiraient ces applications non seulement sur le matériel Intel, mais également sur le matériel AMD et Arm. .
Source :tomshardware
Commenter cet article