Portsmash : nouvelle faille side-channel chez Intel, qui pense que d'autres CPU seraient touchésCrédits : matejmo/iStock

Après le douloureux épisode Meltdown et Spectre (et leurs différentes variantes), c'est au tour de la faille Portsmash (CVE-2018-5407) de faire parler d'elle.

Identifiée par des chercheurs des universités de Tampere (Finlande) et de Havane (Cuba), elle permet de récupérer des données d'autres applications exécutées sur le même cœur CPU lorsque le multithread (SMT) est activé. C'est une attaque locale puisque l'application malveillante doit être exécutée sur la machine (et sur le même cœur physique).

Un prototype a été mis en ligne sur GitHub pour récupérer la clé privée d'OpenSSL 1.1.0h (ou version inférieure) sur des processeurs Skylake ou Kaby Lake. Les chercheurs pensent que cette attaque devrait également fonctionner sur d'autres processeurs, notamment AMD.

Interrogé par Wccftech, Intel affirme que « ce problème ne dépend pas d'une exécution spéculative et n'est donc pas lié à Spectre ou à Meltdown ». « Nous pensons que les plateformes Intel ne sont pas les seules touchées » ajoute le fondeur. À The Register, AMD a indiqué étudier cette faille.

« Les logiciels ou les bibliothèques peuvent être protégés contre de tels problèmes en mettant en place des pratiques de développement side-channel sûres » affirme Intel. OpenSSL peut par exemple être mis à jour en version 1.1.0i ou 1.1.1.

Une solution est de désactiver l'hyperthreading dans le BIOS/UEFI des machines, avec une perte de performances à la clé bien évidemment.

Vous n'avez pas encore de notification

Page d'accueil
Options d'affichage
Abonné
Actualités
Abonné
Des thèmes sont disponibles :
Thème de baseThème de baseThème sombreThème sombreThème yinyang clairThème yinyang clairThème yinyang sombreThème yinyang sombreThème orange mécanique clairThème orange mécanique clairThème orange mécanique sombreThème orange mécanique sombreThème rose clairThème rose clairThème rose sombreThème rose sombre

Vous n'êtes pas encore INpactien ?

Inscrivez-vous !