Spectre : les correctifs « stables » pour les microarchitectures Broadwell et Haswell sont disponibles
Une semaine après les cas Kaby et Coffee Lake

Le , par Patrick Ruiz, Chroniqueur Actualités
Le sablier du temps continue de se vider et a tendance à faire oublier les vulnérabilités Meltdown et Spectre. Fondeurs, fabricants d’équipements d’origine et éditeurs de systèmes d’exploitation continuent pourtant de faire tourner les méninges pour protéger les consommateurs d’éventuelles attaques qui exploiteraient ces failles. Particulièrement touché par ces dernières, Intel fait des mises à jour à ce sujet de façon quasi hebdomadaire désormais. Tour d’horizon des dernières avancées du côté du fondeur basé à Santa Clara aux États-Unis…

Intel a fort à faire depuis le début de cette année. L’image de la firme a été sérieusement écornée par la publication des détails des failles Meltdown et Spectre par les chercheurs du projet Google Zero. L’entreprise a pourtant été prévenue au moins trois mois à l’avance, mais n’a pu publier des correctifs qu’en date du 3 janvier (après les révélations). Le déploiement de ces derniers a rapidement tourné au fiasco à cause des plaintes des possesseurs d’ordinateurs pointant des redémarrages intempestifs causés par l’application des patchs ; on était alors rendus au 11 janvier dernier. Intel a, deux semaines plus tard, dû recommander l’arrêt de l’opération.

Au centre de la tourmente, les microarchitectures Broadwell et Haswell (pour environnements clients et serveurs) initialement considérées par le fondeur comme étant les seules concernées par les trouvailles des chercheurs de Google. La firme de Santa Clara a récemment mis son guide de révisions de microcodes à jour ; après une phase de bêta auprès des fabricants d’équipements d’origine et partenaires d’Intel, les correctifs « stables » contre la variante numéro 2 de la vulnérabilité Spectre sont disponibles pour ces microarchitectures. De façon brossée, on parle des processeurs Intel Xeon et des Intel Core i ; seuls les patchs des serveurs EX (Broadwell et Haswell) restent en bêta pour le moment.


L’annonce fait suite au passage en production – le 9 janvier dernier – de correctifs pour la plateforme SkyLake. Le déploiement des correctifs sur les architectures concernées devrait donc reprendre. La liste des plateformes pour lesquelles les utilisateurs sont susceptibles de recevoir des mises à jour de microcodes est à allonger. Dans un billet paru la semaine dernière, la firme a publié des correctifs pour ses processeurs de 7e (Kaby Lake) et 8e (Coffee Lake) génération, ainsi que pour les récents Core X.

Fondeurs, fabricants d’équipements d’origine et éditeurs de systèmes d’exploitation ont jusqu’ici apporté des solutions logicielles à la variante numéro 2 de la vulnérabilité Spectre. Quand Microsoft propose des mises à jour du microcode des processeurs affectés, Google propose une technique qui permet d’effectuer des appels indirects sans spéculation ; des solutions qui introduisent des baisses de performances. L’issue à ce problème réside dans le matériel avec l’intégration des protections requises directement aux processeurs. Intel a promis de livrer de telles puces au plus tard à la fin de cette année.

Source

Guide de révision des microcodes Intel

Votre opinion

Quelle politique de mise à jour avez-vous mise en place sur les parcs d’ordinateurs dont vous êtes responsable ?

Voir aussi

Meltdown et Spectre : un outil PowerShell est disponible, il permet de faire l'état des lieux des protections sous Windows


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de - https://www.developpez.com
le 01/03/2018 à 11:22
les supercalculateurs sont épargnés.
restons heureux, le kit de dev à un coût plus élevé que prévu.
Avatar de Patrick Ruiz Patrick Ruiz - Chroniqueur Actualités https://www.developpez.com
le 05/04/2018 à 7:21
Meltdown et Spectre : Intel abandonne le développement des mises à jour de microcodes pour certains processeurs
Une décision qui ne surprend pas

Intel a publié une nouvelle version de sa feuille de route de mise à jour de microcodes depuis peu. Le fondeur annonce l’abandon du développement des mises à jour de microcodes pour certains processeurs ; la publication des correctifs pour le reste de sa flotte se poursuit néanmoins.

En substance, plusieurs familles sont concernées par l’annonce d’Intel : Bloomfield, Clarksfield, Gulftown, Harpertown Xeon, C0/E0, Jasper Forest, Penryn, SoFIA 3GR, Wolfdale et Yorkfield, des modèles sortis entre 2007 et 2011, n’auront pas droit au bout de code salvateur. Le fondeur poursuit néanmoins avec la publication des correctifs pour es autres processeurs et annonce que des versions stables des patchs pour les gammes Arrandale, Clarkdale (Xeon), Nehalem, Westmere et Lynnfield sont disponibles.


Un abandon surprenant ?

Non, eu égard aux spécificités techniques sur lesquelles l’apocalypse numérique « Meltdown et Spectre » repose. Tout le problème avec les processeurs modernes est qu’ils traitent les données en un temps beaucoup plus court que celui requis pour accéder à une information en mémoire vive. Cet état de choses a débouché sur la mise sur pied de mécanismes d’optimisation au sein du hardware : mise en place de caches, exploitation d’unités d’exécution en parallèle, prédiction. La manœuvre est destinée à éviter que le µP ne se tourne les pouces dans l’attente de données que la mémoire vive doit lui servir.

Le souci avec ces optimisations est qu’elles laissent des traces dans les caches en cas de mauvaise prédiction ou en cas d’erreurs générées par les instructions qui exploitent les unités d’exécution parallèle. Un attaquant qui a connaissance de cette situation sait donc comment exfiltrer des informations sensibles d’un système. Illustration avec le cas Meltdown qui permet d’extirper des informations de la zone mémoire réservée au noyau du système d’exploitation.


Bien entendu, il s’agit d’explications destinées à appréhender la situation dans sa généralité ; chaque processeur dispose de singularités dont il faut tenir compte. Le fondeur le confirme dans la feuille de route de mise à jour de microcodes en évoquant le fait que certaines spécificités d’architecture viennent limiter la possibilité de développer un correctif. Toutefois, certaines microarchitectures se retrouvent associées à la mention « arrêt » au sein de la feuille de route en raison du caractère propriétaire des technologies mises en œuvre, ce qui, d’après Intel, annule la nécessité de mettre un patch à disposition des utilisateurs.

Dur pour le fondeur qui, en plus de gérer des complexités techniques de ce calibre, doit faire avec des recours collectifs. Le géant du semi-conducteur a entamé l’année 2018 avec trois cas sur le dos. Il y a néanmoins une bonne nouvelle puisqu’Intel vient de lancer une nouvelle famille de microprocesseurs Core i9 pour ordinateurs portables. Ces µP devraient intégrer des protections matérielles contre Meltdown et Spectre si l’on en croit une annonce d’Intel – parue mi-mars – qui précise que les processeurs Intel de 8e génération seront munis de « partitions » qui les protègent contre la variante 2 de Spectre, ainsi que de Meltdown.

Sources

Feuille de route de révision des microcodes (PDF)

hackndo

Et vous ?

Que pensez-vous de cette décision d’Intel ? Surprenante ou pas ?

Envisagez-vous de passer aux laptops avec Core i9 ?

Voir aussi

Vulnérabilités Meltdown et Spectre : Intel devrait livrer ses premiers processeurs dotés de protections intégrées plus tard cette année
Avatar de AndMax AndMax - Membre confirmé https://www.developpez.com
le 05/04/2018 à 13:34
Toutefois, certaines microarchitectures se retrouvent associées à la mention « arrêt » au sein de la feuille de route en raison du caractère propriétaire des technologies mises en œuvre, ce qui, d’après Intel, annule la nécessité de mettre un patch à disposition des utilisateurs.
Donc "technologie propriétaire = obsolescence programmée et pas de support" ?

Durée de support d'un CPU Intel inférieure à 7 ans ?
Avatar de Gogo52120 Gogo52120 - Membre du Club https://www.developpez.com
le 05/04/2018 à 14:06
C'est déjà beaucoup 7 ans sur des applications critique !
monsieur tout le monde s'en fiche de spectre et meltdown en général c'est lui la plus grosse fail de sécurité.
Avatar de AndMax AndMax - Membre confirmé https://www.developpez.com
le 05/04/2018 à 14:31
Citation Envoyé par Gogo52120 Voir le message
C'est déjà beaucoup 7 ans sur des applications critique !
Oui tout à fait d'accord, mais c'est si peu si on examine la quantité énorme de ressources qu'il faut pour en fabriquer un.
Avatar de Gogo52120 Gogo52120 - Membre du Club https://www.developpez.com
le 05/04/2018 à 15:06
Ah je n'ai pas dit qu'il fallais tout jettez mais passer les machines qui ont 7 ans en machine de secours ou secondaire.

Un de mes client a un HP ml350 gen6 double xeon, 12 go de ram, on le garde en serveur de backup
Avatar de - https://www.developpez.com
le 09/04/2018 à 16:06
Cela suffit à dispenser d'un correctif Windows ou Linux donc...
Avatar de Gogo52120 Gogo52120 - Membre du Club https://www.developpez.com
le 09/04/2018 à 16:41
En général, les pc qui ont plus de 7 ans ont déjà d'autre faille de sécurité que spectre donc bon (os, Intel ME ou équivalent amd, pilote ...)
Si ont tient vraiment à la sécurité, on ne garde pas des vieux postes ou vieux serveur, ou on ne met pas de données sensible dans tout les cas pour plusieurs raisons.
Si le poste à 7 ans il n'est plus très fiable (usure matériel, accumulation de bug), consomme souvent beaucoup : gestion de l'alimentation par des vieux OS pas top, alimentation usé, processeur et mémoire gourmande et plus sollicité par les application qui évolue etc ...
Avatar de - https://www.developpez.com
le 09/04/2018 à 16:55
Si le poste à 7 ans il n'est plus très fiable (usure matériel, accumulation de bug), consomme souvent beaucoup : gestion de l'alimentation par des vieux OS pas top, alimentation usé, processeur et mémoire gourmande et plus sollicité par les application qui évolue etc ...
Je ne dis pas le contraire, c'est même pour cela que j'ai pas changé de console de jeux quitte à jouer à du oldies.

Beaucoup ici pense qu'un Linux sur une vieille unité est suffisant pour lui donner une nouvelle jeunesse. Upgrade de Windows d'une version à l'autre peut elle être faite sur deux ou trois génération selon le prix du matériel " à l'origine " (avec upgrade hw dans certains cas).

C'est sur que se prémunir d'une telle faille est bénéfique, alors à deux " niveaux " est encore mieux.

Au final, les " Appelistes " changeront pas forcement avant les autres( correction au B.I.O.S. ou à l'O.S. ? ). Sauf dans le cas de voitures électriques qui sur le long terme est peut-être plus rentable même vis-à-vis des batteries qui sont rachetés à la tonne pour être "recyclé".

C'est sur que 45 watt pour du jeux sur PC est bien et que 25 watt sur le terminal bureau est mieux...

Grande économie d'énergie mais pas d'obsolescence programmé...

Sinon, c'est :
mémoire lente et applications temps réel nécessitant des échantillonnages plus précis de grand volumes d'informations à caractéristique temps réels plus ou moins synchrone et asynchrone.
Il te reste plus qu'a passer au quantique...
Avatar de Gogo52120 Gogo52120 - Membre du Club https://www.developpez.com
le 10/04/2018 à 16:25
on pense entreprise (puisqu'on est sur developper.com)

J'ai une entreprise qui n'a que du Windows.
Je veux passer tout mes pc en linux pour avoir le bon micro-code. Il faut payer quelqu'un pour passer tout les postes sous linux (ou autre) plus le prix des licences, avoir toutes ses applications qui tourne sous le nouvelles OS ou payer des licences ou du dev. pour l'adapter, reformer tout mes utilisateurs avec perte de performance le temps de ce réhabituer au nouveau os.

Niveau coût, le mieux est de passer sur du matériel neuf, revendre sont parc (sans les hdd que l'on détruis, sécurité oblige)
Contacter le responsable de la rubrique Accueil