du 21 août 2018
Date

Choisir une autre édition

Foreshadow : nouvelles failles sur des CPU Intel, avec un arrière-goût de Spectre/Meltdown

Les mauvaises nouvelles n'en finissent plus de tomber pour le fondeur. Dernière brèche d'une longue série débutée en janvier : voici L1 Terminal Fault (L1TF). Il s'agit d'« attaques par canal auxiliaire d’exécution spéculative ».

Trois variantes sont identifiées sous les références CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646. Cette famille de failles est grave puisqu'elle « pourrait permettre à un code malveillant exécuté sur un thread d’accéder à des données du cache L1 de l’autre thread, au sein d’un même cœur », décortique OVH. Intel y va également de son billet de blog technique.

Les brèches restent complexes à exploiter et aucun indice ne laisse penser qu'elles l'aient déjà été. Pour atténuer les risques, il faut installer les dernières mises à jour d'Intel, mais aussi des éditeurs de systèmes d'exploitation.

L'hébergeur roubaisien précise que « dans le cas particulier de la variante 3646 de Foreshadow, un délai pourrait être nécessaire aux éditeurs pour proposer un correctif. En attendant ce dernier, une manière de se prémunir de cette dernière est de désactiver l’Hyper-Threading »… une action avec de lourdes conséquences sur les performances.

chargement Chargement des commentaires...