AMD promet des correctifs pour les processeurs EPYC et Ryzen
Tout en minimisant l'impact des trouvailles de CTS Labs
Le 2018-03-21 18:35:26, par Patrick Ruiz, Chroniqueur Actualités
Advanced Micro Devices – AMD – a publié le premier rapport des investigations à propos de la correspondance que la firme de sécurité israélienne CTS Labs lui a adressé le 12 mars. Le fabricant de microprocesseurs confirme les trouvailles et apporte des précisions pour minimiser l’impact des failles dévoilées. Des correctifs sont néanmoins en développement et devraient être disponibles dans les semaines à venir au travers de mises à jour du système d’entrées/sorties de base (BIOS).
Voilà qui devrait rassurer les possesseurs d’ordinateurs animés par un microprocesseur du fabricant de semi-conducteurs américain. D’après le rapport de CTS Labs paru le 13 mars – la firme de sécurité a été fortement critiquée pour non-respect du délai de 90 jours accordés aux entreprises affectées par des vulnérabilités –, les premiers correctifs ne doivent pas être disponibles avant plusieurs mois. L’entreprise a dressé un tableau à la Meltdown et Spectre avec quatre familles de vulnérabilités pour un total de 13 failles – les variantes de chaque famille étant prises en compte.
AMD précise que le hardware de ses puces n’est pas concerné par ces vulnérabilités. « Les failles de sécurité identifiées par les chercheurs de la firme indépendante ne sont pas liées à la microarchitecture Zen ou aux exploits publiés par le projet Google Zero le 3 janvier », écrit l’entreprise. AMD limite les brèches au firmware qui pilote l’AMD Secure Processor – un environnement d’exécutions sécurisées au sein des puces du fabricant de semi-conducteurs américain – et les jeux de puces Promontory utilisés au sein des stations de travail Ryzen et Ryzen Pro.
Sur la piste de Trail of bits
La seule firme de sécurité qui s’est positionnée jusqu’ici est Trail of bits. Les chercheurs de CTS Labs se sont appuyés sur cette dernière début mars pour évaluer leurs trouvailles avant de contacter AMD. Dan Guido – CEO de CTS Labs – a confirmé les trouvailles de CTS Labs il y a une semaine. Dans une note de clarification parue le 15 mars le chercheur déclare : « il n’existe pas de risque immédiat d’exploitation de ces vulnérabilités pour la plupart des utilisateurs. Même si l’on publiait tous les détails techniques de ces failles aujourd’hui, leur exploitation nécessiterait des efforts de développement considérables. »
Et pour cause, les failles rapportées – Master Key, Ryzenfall, Fallout et Chimera – nécessitent que l’attaquant puisse agir en tant qu’administrateur d’un système. Les utilisateurs qui mettent constamment leurs systèmes d’exploitation à jour contre des failles liées à une escalade des privilèges devraient donc pouvoir dormir sur leurs deux oreilles. Cela permettrait de s’assurer que les barrières de protection intégrées aux différents OS (Windows Credential Guard dans la dernière mouture du système d’exploitation de Microsoft par exemple) jouent effectivement leur rôle.
AMD a déclaré que les mises à jour n'affecteront pas les performances des puces, un problème qui a miné les correctifs d'Intel pour les failles Spectre et Meltdown.
Sources
AMD
Trail of bits
Votre opinion
Voir aussi
Voilà qui devrait rassurer les possesseurs d’ordinateurs animés par un microprocesseur du fabricant de semi-conducteurs américain. D’après le rapport de CTS Labs paru le 13 mars – la firme de sécurité a été fortement critiquée pour non-respect du délai de 90 jours accordés aux entreprises affectées par des vulnérabilités –, les premiers correctifs ne doivent pas être disponibles avant plusieurs mois. L’entreprise a dressé un tableau à la Meltdown et Spectre avec quatre familles de vulnérabilités pour un total de 13 failles – les variantes de chaque famille étant prises en compte.
AMD précise que le hardware de ses puces n’est pas concerné par ces vulnérabilités. « Les failles de sécurité identifiées par les chercheurs de la firme indépendante ne sont pas liées à la microarchitecture Zen ou aux exploits publiés par le projet Google Zero le 3 janvier », écrit l’entreprise. AMD limite les brèches au firmware qui pilote l’AMD Secure Processor – un environnement d’exécutions sécurisées au sein des puces du fabricant de semi-conducteurs américain – et les jeux de puces Promontory utilisés au sein des stations de travail Ryzen et Ryzen Pro.
Sur la piste de Trail of bits
La seule firme de sécurité qui s’est positionnée jusqu’ici est Trail of bits. Les chercheurs de CTS Labs se sont appuyés sur cette dernière début mars pour évaluer leurs trouvailles avant de contacter AMD. Dan Guido – CEO de CTS Labs – a confirmé les trouvailles de CTS Labs il y a une semaine. Dans une note de clarification parue le 15 mars le chercheur déclare : « il n’existe pas de risque immédiat d’exploitation de ces vulnérabilités pour la plupart des utilisateurs. Même si l’on publiait tous les détails techniques de ces failles aujourd’hui, leur exploitation nécessiterait des efforts de développement considérables. »
Et pour cause, les failles rapportées – Master Key, Ryzenfall, Fallout et Chimera – nécessitent que l’attaquant puisse agir en tant qu’administrateur d’un système. Les utilisateurs qui mettent constamment leurs systèmes d’exploitation à jour contre des failles liées à une escalade des privilèges devraient donc pouvoir dormir sur leurs deux oreilles. Cela permettrait de s’assurer que les barrières de protection intégrées aux différents OS (Windows Credential Guard dans la dernière mouture du système d’exploitation de Microsoft par exemple) jouent effectivement leur rôle.
AMD a déclaré que les mises à jour n'affecteront pas les performances des puces, un problème qui a miné les correctifs d'Intel pour les failles Spectre et Meltdown.
Sources
AMD
Trail of bits
Votre opinion
Voir aussi
ABCIWEB
Expert éminent sénior
Cela ressemble donc, comme beaucoup le pressentaient, à un pétard mouillé comme dit ginjfo :
En toute logique une entreprise à plutôt intérêt à ménager ses clients, ce qui peut expliquer ce petit délai. En même temps la réalité finirait bien par se savoir, et Dan Guido n'avait pas intérêt à trop attendre pour clarifier les choses s'il ne voulait pas perdre sa crédibilité...
Dan Guido a indiqué précédemment avoir facturé CTS Labs pour le travail d’étude demandé sur les vulnérabilités. L’histoire dira si et quand il est effectivement payé. Mais il ne ménage un client dont la stratégie de communication n’a pas manqué de faire grincer des dents. En fait, il donne même plutôt l’impression de chercher à en prendre ses distances, en relativisant sensiblement la portée de ses trouvailles.
le 22/03/2018 à 1:31