Spectre NG : Intel reporte la publication du premier correctif jusqu'au 21 mai
Le fondeur a sollicité plus de temps avant la divulgation des failles

Le , par Coriolan

100PARTAGES

10  0 
Les déboires d’Intel avec la sécurité n’en finissent plus, et pour cause, le fondeur fait face une fois de plus à des défauts de sécurité dans ses puces similaires aux vulnérabilités Spectre. Pour rappel, la semaine dernière, des chercheurs ont révélé un total de huit nouvelles failles de sécurité dans les processeurs d’Intel, ces failles seraient causées par un problème de conception similaire à celui de Spectre, ce qui a poussé les chercheurs à les nommer Spectre Next Generation.

Si les détails sur ces failles sont toujours gardés au secret, Intel chercherait à retarder davantage la divulgation coordonnée de ces failles pour au moins 9 jours, après avoir manqué à rendre disponibles les premiers correctifs le 7 mai comme il a été prévu auparavant.


Il semblerait qu’Intel a rencontré des difficultés lors de la mise en place des correctifs, en conséquence, le fondeur cherche à retarder la divulgation des vulnérabilités pour au moins le 21 mai, voire au-delà de cette date s’il le faut. Le premier patch d’Intel devrait corriger quatre failles à risque moyen, alors que les autres failles à haut risque ne devraient pas être corrigées avant le mois d'août.

« Intel prépare désormais une diffusion coordonnée le 21 mai 2018. Les nouvelles mises à jour de microcode devront être rendues disponibles durant cette date, » a informé Jürgen Schmidt.

Selon Heise Security, le nombre de systèmes qui ont besoin de ces correctifs est tout simplement énorme. Et pour cause, ces failles dites Spectre NG affectent non seulement tous les processeurs Core-i, mais aussi leurs variantes de la famille Xeon et les processeurs Atom (y compris Pentium et Celeron) depuis 2013.

Si les premiers patchs de sécurité arrivent pendant ce mois de mai, ils ne seront pas suffisants pour endiguer complètement les bogues, a informé Schmidt.

Pour combler la faille Specre NG la plus dangereuse, les utilisateurs d’Intel devront patienter plus de temps. Cette faille qui affecte les processeurs Core-i et Xeon permettrait à un attaquant de lancer un code malveillant dans une machine virtuelle (VM) et attaquer le système hôte à partir de là. Alternativement, il pourrait attaquer les machines virtuelles d'autres clients fonctionnant sur le même serveur. Une faille fatale donc surtout pour les utilisateurs de systèmes cloud. Les correctifs d’Intel pour adresser cette faille n’arriveront pas avant le troisième trimestre.

Avec de tels délais, certains clients d’Intel, surtout les fournisseurs cloud, ne seront pas contents d’apprendre qu’ils devront attendre jusqu’à mi-août pour recevoir les correctifs de sécurité. En effet, ils devront continuer à fonctionner sans solutions entièrement sécurisées pendant au moins 3 mois, une éternité si l’on juge par la sensibilité des données qu’ils hébergent.

Pour les utilisateurs réguliers, on serait curieux de savoir si cette nouvelle batterie de correctifs va affecter la performance des processeurs, poussant certains utilisateurs à investir dans de nouvelles puces plus performantes. On serait curieux aussi de savoir si d’autres processeurs, notamment ceux d’AMD sont affectés par ces failles. Certains commentateurs ont informé qu’AMD et ARM suivent une approche bien plus conservatrice avec l’exécution spéculative, ce qui fait que même si une portion de ces bogues fonctionnent sûrement sur du matériel non Intel, ils n’auront pas la même sévérité. Pour le moment, AMD a informé dans un communiqué qu’elle suit de près cette affaire et que la firme est consciente de l’existence de ces failles liées à l’exécution spéculative.

En plus des correctifs microcode qui seront publiés par Intel, d’autres patchs au niveau des systèmes d’exploitation seront nécessaires et devront être implémentés par les vendeurs pour sécuriser l’architecture.

Source : Heise security

Et vous ?

Pensez-vous que les correctifs qui seront proposés par Intel vont affecter la performance des processeurs ?
Pensez-vous que ces failles affectent aussi les autres puces non-Intel ?
Que pensez-vous de la manière avec laquelle Intel gère cette crise ?

Voir aussi :

Des chercheurs révèlent de nouveaux défauts de fabrication dans les CPU, une nouvelle génération de vulnérabilités Spectre et Meltdown ?
AMD promet des correctifs pour les processeurs EPYC et Ryzen tout en minimisant l'impact des trouvailles de CTS Labs

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de benjani13
Membre extrêmement actif https://www.developpez.com
Le 13/05/2018 à 20:10
En tant que "Responsable de service informatique" j'espère que tu ne prends pas toutes les vulnérabilités autant à la légère...
1  0 
Avatar de cirle78
Membre régulier https://www.developpez.com
Le 13/05/2018 à 18:59
Cette faille est la fin du monde... ;-)

Une tempête dans un verre d'eau
0  2 
Avatar de Bestel74
Membre confirmé https://www.developpez.com
Le 13/05/2018 à 21:51
Justement, si : il est responsable du service, pas de sa sécurité
0  0 

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web