Advanced Micro Devices – AMD – a publié le premier rapport des investigations à propos de la correspondance que la firme de sécurité israélienne CTS Labs lui a adressé le 12 mars. Le fabricant de microprocesseurs confirme les trouvailles et apporte des précisions pour minimiser l’impact des failles dévoilées. Des correctifs sont néanmoins en développement et devraient être disponibles dans les semaines à venir au travers de mises à jour du système d’entrées/sorties de base (BIOS).
Voilà qui devrait rassurer les possesseurs d’ordinateurs animés par un microprocesseur du fabricant de semi-conducteurs américain. D’après le rapport de CTS Labs paru le 13 mars – la firme de sécurité a été fortement critiquée pour non-respect du délai de 90 jours accordés aux entreprises affectées par des vulnérabilités –, les premiers correctifs ne doivent pas être disponibles avant plusieurs mois. L’entreprise a dressé un tableau à la Meltdown et Spectre avec quatre familles de vulnérabilités pour un total de 13 failles – les variantes de chaque famille étant prises en compte.
AMD précise que le hardware de ses puces n’est pas concerné par ces vulnérabilités. « Les failles de sécurité identifiées par les chercheurs de la firme indépendante ne sont pas liées à la microarchitecture Zen ou aux exploits publiés par le projet Google Zero le 3 janvier », écrit l’entreprise. AMD limite les brèches au firmware qui pilote l’AMD Secure Processor – un environnement d’exécutions sécurisées au sein des puces du fabricant de semi-conducteurs américain – et les jeux de puces Promontory utilisés au sein des stations de travail Ryzen et Ryzen Pro.
Sur la piste de Trail of bits
La seule firme de sécurité qui s’est positionnée jusqu’ici est Trail of bits. Les chercheurs de CTS Labs se sont appuyés sur cette dernière début mars pour évaluer leurs trouvailles avant de contacter AMD. Dan Guido – CEO de CTS Labs – a confirmé les trouvailles de CTS Labs il y a une semaine. Dans une note de clarification parue le 15 mars le chercheur déclare : « il n’existe pas de risque immédiat d’exploitation de ces vulnérabilités pour la plupart des utilisateurs. Même si l’on publiait tous les détails techniques de ces failles aujourd’hui, leur exploitation nécessiterait des efforts de développement considérables. »
Et pour cause, les failles rapportées – Master Key, Ryzenfall, Fallout et Chimera – nécessitent que l’attaquant puisse agir en tant qu’administrateur d’un système. Les utilisateurs qui mettent constamment leurs systèmes d’exploitation à jour contre des failles liées à une escalade des privilèges devraient donc pouvoir dormir sur leurs deux oreilles. Cela permettrait de s’assurer que les barrières de protection intégrées aux différents OS (Windows Credential Guard dans la dernière mouture du système d’exploitation de Microsoft par exemple) jouent effectivement leur rôle.
AMD a déclaré que les mises à jour n'affecteront pas les performances des puces, un problème qui a miné les correctifs d'Intel pour les failles Spectre et Meltdown.
Sources
AMD
Trail of bits
Votre opinion
Que pensez-vous de la note de clarification de Trail of bits ? Pourquoi avoir différé sa publication ?
Voir aussi
AMD PSP : le module cryptographique est affecté par une vulnérabilité, un dépassement de pile qui mène à son contrôle total
AMD promet des correctifs pour les processeurs EPYC et Ryzen
Tout en minimisant l'impact des trouvailles de CTS Labs
AMD promet des correctifs pour les processeurs EPYC et Ryzen
Tout en minimisant l'impact des trouvailles de CTS Labs
Le , par Patrick Ruiz
Une erreur dans cette actualité ? Signalez-nous-la !