Spectre NG : Intel reporte la publication du premier correctif jusqu'au 21 mai
Le fondeur a sollicité plus de temps avant la divulgation des failles
Le 2018-05-12 21:05:33, par Coriolan, Expert éminent sénior
Les déboires d’Intel avec la sécurité n’en finissent plus, et pour cause, le fondeur fait face une fois de plus à des défauts de sécurité dans ses puces similaires aux vulnérabilités Spectre. Pour rappel, la semaine dernière, des chercheurs ont révélé un total de huit nouvelles failles de sécurité dans les processeurs d’Intel, ces failles seraient causées par un problème de conception similaire à celui de Spectre, ce qui a poussé les chercheurs à les nommer Spectre Next Generation.
Si les détails sur ces failles sont toujours gardés au secret, Intel chercherait à retarder davantage la divulgation coordonnée de ces failles pour au moins 9 jours, après avoir manqué à rendre disponibles les premiers correctifs le 7 mai comme il a été prévu auparavant.
Il semblerait qu’Intel a rencontré des difficultés lors de la mise en place des correctifs, en conséquence, le fondeur cherche à retarder la divulgation des vulnérabilités pour au moins le 21 mai, voire au-delà de cette date s’il le faut. Le premier patch d’Intel devrait corriger quatre failles à risque moyen, alors que les autres failles à haut risque ne devraient pas être corrigées avant le mois d'août.
« Intel prépare désormais une diffusion coordonnée le 21 mai 2018. Les nouvelles mises à jour de microcode devront être rendues disponibles durant cette date, » a informé Jürgen Schmidt.
Selon Heise Security, le nombre de systèmes qui ont besoin de ces correctifs est tout simplement énorme. Et pour cause, ces failles dites Spectre NG affectent non seulement tous les processeurs Core-i, mais aussi leurs variantes de la famille Xeon et les processeurs Atom (y compris Pentium et Celeron) depuis 2013.
Si les premiers patchs de sécurité arrivent pendant ce mois de mai, ils ne seront pas suffisants pour endiguer complètement les bogues, a informé Schmidt.
Pour combler la faille Specre NG la plus dangereuse, les utilisateurs d’Intel devront patienter plus de temps. Cette faille qui affecte les processeurs Core-i et Xeon permettrait à un attaquant de lancer un code malveillant dans une machine virtuelle (VM) et attaquer le système hôte à partir de là. Alternativement, il pourrait attaquer les machines virtuelles d'autres clients fonctionnant sur le même serveur. Une faille fatale donc surtout pour les utilisateurs de systèmes cloud. Les correctifs d’Intel pour adresser cette faille n’arriveront pas avant le troisième trimestre.
Avec de tels délais, certains clients d’Intel, surtout les fournisseurs cloud, ne seront pas contents d’apprendre qu’ils devront attendre jusqu’à mi-août pour recevoir les correctifs de sécurité. En effet, ils devront continuer à fonctionner sans solutions entièrement sécurisées pendant au moins 3 mois, une éternité si l’on juge par la sensibilité des données qu’ils hébergent.
Pour les utilisateurs réguliers, on serait curieux de savoir si cette nouvelle batterie de correctifs va affecter la performance des processeurs, poussant certains utilisateurs à investir dans de nouvelles puces plus performantes. On serait curieux aussi de savoir si d’autres processeurs, notamment ceux d’AMD sont affectés par ces failles. Certains commentateurs ont informé qu’AMD et ARM suivent une approche bien plus conservatrice avec l’exécution spéculative, ce qui fait que même si une portion de ces bogues fonctionnent sûrement sur du matériel non Intel, ils n’auront pas la même sévérité. Pour le moment, AMD a informé dans un communiqué qu’elle suit de près cette affaire et que la firme est consciente de l’existence de ces failles liées à l’exécution spéculative.
En plus des correctifs microcode qui seront publiés par Intel, d’autres patchs au niveau des systèmes d’exploitation seront nécessaires et devront être implémentés par les vendeurs pour sécuriser l’architecture.
Source : Heise security
Et vous ?
Voir aussi :
Si les détails sur ces failles sont toujours gardés au secret, Intel chercherait à retarder davantage la divulgation coordonnée de ces failles pour au moins 9 jours, après avoir manqué à rendre disponibles les premiers correctifs le 7 mai comme il a été prévu auparavant.
Il semblerait qu’Intel a rencontré des difficultés lors de la mise en place des correctifs, en conséquence, le fondeur cherche à retarder la divulgation des vulnérabilités pour au moins le 21 mai, voire au-delà de cette date s’il le faut. Le premier patch d’Intel devrait corriger quatre failles à risque moyen, alors que les autres failles à haut risque ne devraient pas être corrigées avant le mois d'août.
« Intel prépare désormais une diffusion coordonnée le 21 mai 2018. Les nouvelles mises à jour de microcode devront être rendues disponibles durant cette date, » a informé Jürgen Schmidt.
Selon Heise Security, le nombre de systèmes qui ont besoin de ces correctifs est tout simplement énorme. Et pour cause, ces failles dites Spectre NG affectent non seulement tous les processeurs Core-i, mais aussi leurs variantes de la famille Xeon et les processeurs Atom (y compris Pentium et Celeron) depuis 2013.
Si les premiers patchs de sécurité arrivent pendant ce mois de mai, ils ne seront pas suffisants pour endiguer complètement les bogues, a informé Schmidt.
Pour combler la faille Specre NG la plus dangereuse, les utilisateurs d’Intel devront patienter plus de temps. Cette faille qui affecte les processeurs Core-i et Xeon permettrait à un attaquant de lancer un code malveillant dans une machine virtuelle (VM) et attaquer le système hôte à partir de là. Alternativement, il pourrait attaquer les machines virtuelles d'autres clients fonctionnant sur le même serveur. Une faille fatale donc surtout pour les utilisateurs de systèmes cloud. Les correctifs d’Intel pour adresser cette faille n’arriveront pas avant le troisième trimestre.
Avec de tels délais, certains clients d’Intel, surtout les fournisseurs cloud, ne seront pas contents d’apprendre qu’ils devront attendre jusqu’à mi-août pour recevoir les correctifs de sécurité. En effet, ils devront continuer à fonctionner sans solutions entièrement sécurisées pendant au moins 3 mois, une éternité si l’on juge par la sensibilité des données qu’ils hébergent.
Pour les utilisateurs réguliers, on serait curieux de savoir si cette nouvelle batterie de correctifs va affecter la performance des processeurs, poussant certains utilisateurs à investir dans de nouvelles puces plus performantes. On serait curieux aussi de savoir si d’autres processeurs, notamment ceux d’AMD sont affectés par ces failles. Certains commentateurs ont informé qu’AMD et ARM suivent une approche bien plus conservatrice avec l’exécution spéculative, ce qui fait que même si une portion de ces bogues fonctionnent sûrement sur du matériel non Intel, ils n’auront pas la même sévérité. Pour le moment, AMD a informé dans un communiqué qu’elle suit de près cette affaire et que la firme est consciente de l’existence de ces failles liées à l’exécution spéculative.
En plus des correctifs microcode qui seront publiés par Intel, d’autres patchs au niveau des systèmes d’exploitation seront nécessaires et devront être implémentés par les vendeurs pour sécuriser l’architecture.
Source : Heise security
Et vous ?
Voir aussi :
-
benjani13Membre extrêmement actifEn tant que "Responsable de service informatique" j'espère que tu ne prends pas toutes les vulnérabilités autant à la légère...le 13/05/2018 à 20:10
-
Bestel74Membre confirméJustement, si : il est responsable du service, pas de sa sécuritéle 13/05/2018 à 21:51
-
cirle78Membre régulierCette faille est la fin du monde... ;-)
Une tempête dans un verre d'eaule 13/05/2018 à 18:59