2018 démarre sur des chapeaux de roue avec la panoplie de publications relatives aux vulnérabilités baptisées Meltdown et Spectre. Après les déclarations hâtives de certains fondeurs, il est désormais établi que tous sont concernés par ces développements.
En substance, Google a publié une PoC de Meltdown pour une plateforme Intel. D’après des publications de recherche mises à disposition par la firme de Mountain View cependant, il est possible de faire pareil sur les architectures ARM et AMD moyennant quelques réglages. Dans le cas de Spectre par contre, des preuves de concept ont été mises sur pied pour les trois architectures. De plus, d’après ce qui ressort de la documentation relative à cette dernière, il suffit à un attaquant de disposer d’un navigateur pour lancer une attaque au travers de JavaScript.
Luke Wagner, un ingénieur de Mozilla le confirme via un billet de blog. « Plusieurs articles récemment publiés ont amené des vulnérabilités (Meltdown et Spectre) qui affectent les processeurs modernes à la lumière du jour. D’après des tests menés en interne, il est possible d’utiliser des techniques similaires sur du contenu Web pour accéder à des informations sensibles », a-t-il déclaré.
Un rapport du Microsoft Vulnerability Research vient éclairer le propos de Wagner. D’après ce dernier, l’exploitation desdites failles ouvre la voie à une violation plus aisée de la protection Same-Origin Policy dont les navigateurs sont équipés. En d’autres termes un script JavaScript malicieux chargé sur une page sait extirper des cookies d’authentification ou autres mots de passe d’une autre plus facilement. Pire, les données privées du navigateur lui-même sont à la merci du code malicieux, d’après ce que rapporte l’équipe sécurité de la firme de Redmond.
Microsoft a, par le biais de Windows Update, déployé la mise à jour KB4056890 pour les utilisateurs du navigateur Edge au sein de la Fall Creators Update en date du 3 janvier. Pour ce qui est de Mozilla, une version mise à jour de Firefox Quantum (la 57.0.4) est désormais disponible. Navigateurs différents, mais mesures communes adoptées dans les méandres par les deux entreprises. C’est désormais connu, les vulnérabilités dont il est question reposent sur la capacité du logiciel malveillant à abuser de la temporisation du cache des données des processeurs. Elles reposent sur l’aptitude à effectuer des mesures précises du temps. Pour ces raisons, Firefox et Edge seront sevrés du tampon de données binaires SharedArrayBuffer. Parallèlement la méthode JavaScript performance.now() voit sa résolution passer de 5 à 20 microsecondes. D’après les firmes, il s’agit de solutions de contournement temporaires. Elles poursuivent les investigations qui déboucheront sur des solutions additionnelles en temps opportun.
Quant à Google Chrome, la version 63 intègre le mécanisme de protection Strict Site Isolation. D’après la firme, son activation permet d’assigner à chaque site Web un espace d’adressage distinct. Google recommande d’en faire usage jusqu’à ce que Chrome 64, attendu le 23 janvier, sorte. Il est prévu que l’entreprise s’aligne avec les mesures actuellement adoptées par ses concurrents dans le cadre de cette release.
Sources
Microsoft
Mozilla
Google
Votre opinion
Quels stratagèmes additionnels proposez-vous pour se prémunir de la vulnérabilité Spectre ?
Vulnérabilités Meltdown et Spectre : état des lieux des navigateurs
Chrome, Mozilla et Edge face au vecteur d'exploitation JavaScript
Vulnérabilités Meltdown et Spectre : état des lieux des navigateurs
Chrome, Mozilla et Edge face au vecteur d'exploitation JavaScript
Le , par Patrick Ruiz
Une erreur dans cette actualité ? Signalez-nous-la !