IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une vulnérabilité dans le flash SPI d'Intel pourrait permettre à un attaquant de corrompre le BIOS/UEFI
Des correctifs sont disponibles

Le , par Blondelle Mélina
1 commentaire

308PARTAGES

10  0 
Intel, l'entreprise américaine spécialisée dans la fabrication des microprocesseurs, cartes mères, mémoires flash et processeurs graphiques, a découvert une vulnérabilité dans la mémoire flash SPI (Serial Peripheral Interface). De nombreux systèmes implémentent le flash SPI redondant. Ce dernier fournit des processus de démarrage avec basculement et une robustesse accrue. C'est un composant obligatoire utilisé lors du processus de démarrage. La redondance facilite également la récupération. En cas de défaillance du système due à un BIOS corrompu ou à une défaillance du périphérique flash SPI, le système se remettra automatiquement avec l'aide du flash SPI redondant.


Cependant, Intel a découvert une faille sur le flash SPI dans la configuration de plusieurs séries de CPU. Ce qui constituait une porte dérobée pour des attaques malicieuses. Un attaquant exploitant cette vulnérabilité pourrait obtenir de plus grands privilèges sur un système compromis, ce qui lui permettrait potentiellement de détruire des données ou de prendre le contrôle d'ordinateurs à des fins malveillantes.

L'attaquant exploitant cette vulnérabilité pourrait avoir accès à des informations confidentielles, empêcher l'accès autorisé aux ressources informatiques ou interférer avec les opérations d'un système (déni de service). L'entreprise marque « important » le niveau d'alerte.

Selon Lenovo, « la configuration du périphérique de micrologiciel du système (flash SPI ) pourrait permettre à un attaquant de bloquer les mises à jour du BIOS/UEFI ou d'effacer ou même de corrompre de manière sélective des parties du firmware », rendant ainsi vulnérable le système d'exploitation.

Intel a toutefois corrigé cette vulnérabilité sur le flash SPI et nous donne une liste de plateformes affectées :


Intel a déployé des correctifs pour cette vulnérabilité (CVE-2017-5703) le 3 avril. Le bogue a reçu un score de gravité de 7,9 sur 10 sur l'échelle CVSS v3. Intel a déclaré avoir découvert le problème en interne. Dans son avis de sécurité, le fabricant de semi-conducteurs affirme également qu'à sa connaissance le problème n'était pas connu par quelqu'un de l'extérieur. L'entreprise recommande aussi aux utilisateurs de toujours vérifier auprès des sites de support du fabricant de leur système pour s'assurer qu'ils disposent des mises à jour de sécurité les plus récentes.

Source : Intel, lenovo

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

1 commentaire
Commenter Signaler un problème
chrtophe
Avatar de chrtophe
Responsable Systèmes https://www.developpez.com
Le 17/04/2018 à 19:42
Le secureboot, ça valait vachement le coup...
0  1