Intel, des failles (bis)

Je me répète, non ? La plaie Spectre & Meltdown n'est pas encore fermée (et l'hémorragie n'est même pas encore arrêtée) que voilà poindre de nouvelles variantes, De l'avis d'Intel, quatre des huit vulnérabilités mises au jour sont plus critiques que la vulnérabilité Spectre initiale. Gloups.

Voici, par ordre d'apparition

Nouvelles variantes

Variante 3a

CVE-2018-3540. Impact sur des hyperviseurs.

Variante 4

Les principaux intéressés travaillent d'arrache-pied pour atténuer les impacts de la faille, mais comme les variantes précédentes, cela peut affecter les performances[1][2] des processeurs. Elle reçoit le doux nom de Speculative Store Bypass.

Toutefois, les correctifs de versions précédentes ont l'air d'atténuer[3] la portée de cette variante.

Variantes 1.1 et 1.2

Des chercheurs[4] ont trouvé de nouvelles variantes de Spectre ; ils ont été récompensé dans le cadre d'un Bug Bounty d'Intel.

NetSpectre

Passée relativement inaperçue[5], cette variante a été découverte en mars 2018[6], et corrigée selon le protocole informel de la divulgation responsable, ou responsible disclosure, en juillet 2018 par Intel[7].

Sources

Pour les variantes 3a et 4

  • Communication officielle de Microsoft (ADV180012)
  • Page Google Zero (Issue 1528)
  • Communication ARM, avec un intéressant tableau de vulnérabilité selon les familles de processeurs
  • Communication Intel
  • Communication AMD
  • Communication RedHat
  • Communication VMWare
  • Communication Xen (advisory 263)
  • CVE-2018-3639
Autres sources web

Pour les variantes 1.1 et 1.2

Voir aussi

Références