Failles Meltdown et Spectre
(Side-Channel Analysis Method) - annoncées début
janvier 2018
/!\ Failles utilisables par un programme s'exécutant sur la machine, ou par une page web.
Spectre impacte des microprocesseurs Intel,
AMD, et ARM,
et permettrait d'accéder à de la "mémoire" d'autres programmes.
Meltdown impacte les microprocesseurs Intel
fabriqués depuis 1995, et permettrait d'accéder à de la mémoire noyau.
Infos (fr)
CERTFR-2018-ALE-001 - Multiples vulnérabilités de fuite
d’informations dans des processeurs
Infos (angl)
- CVE-2017-5715 (variant 2) - Spectre -
branch target injection, correctifs : patch au niveau du s.e., et modification de firmware.
- CVE-2017-5753 (variant 1) - Spectre -
bounds check bypass, correctif : patch au niveau du s.e.
- CVE-2017-5754 (variant 3) - Meltdown -
rogue data cache load, correctif : patch au niveau du s.e.
Infos techniques
spectreattack.com, meltdownattack.com (infos et liens vers
les pages web des s.e., etc)
Blog Google (Project Zero,
reading-privileged-memory-with-side)
Blog Malwarebytes
Patchs au niveau des navigateurs web
Mozilla Firefox
Distributions GNU/Linux : RHEL, SUSE,
Ubuntu, etc.
Microsoft, impact
sur les perfs, Windows
security updates - pb avec certains anti-virus - clé de registry associée
VMware
Pb : impact sur les perf quand des ressources de la mémoire du kernel sont en jeu
Article
ZDNet concernant l'impact sur Windows
Vic
Page modifiée le 17 janvier 2018
Page d'accueil du site