Une charge de Zombies fait vaciller les CPU Intel depuis 2011 |
————— 16 Mai 2019 à 10h23 —— 17631 vues
Une charge de Zombies fait vaciller les CPU Intel depuis 2011 |
————— 16 Mai 2019 à 10h23 —— 17631 vues
Dans la suite de Meltdown et Spectre, voilà qu'une nouvelle série de failles vient entacher la réputation d'Intel : ZombieLoad. Ces dernières utilisent encore une fois l'exécution spéculative - le fait que le processeur commence les calculs correspondant à des morceaux de programme dont il n'est pas sûr de leur utilité, pour après soit conserver leurs effets (cas où la spéculation s'est avérée juste) ou nettoyer le tout (la spéculation ne s'est, in fine, pas vérifiée).
Comme son nom l'indique, cette faille utilise des opérations appelées Zombie Loads ou "chargements zombies" : lorsque des valeurs sont chargées depuis la RAM, mais finalement non utilisées par le programme pour cause de spéculation erronée (ce qui est un comportement normal du processeur), les données laissent des traces dans une mémoire tampon accessible par un autre processus tournant sur le même cœur logique, comprenez que seuls les CPU utilisant l'hyperthreading sont affectés.
Si vous ne trouvez cela pas alarmant, la vulnérabilité est exploitable sur des serveurs web et même des machines virtuelles - en fait, dès que vous avez un accès utilisateur d'exécution de code sur la machine cible - afin de faire fuiter toute sorte de données normalement détachées du contenu utilisateur comme des clefs RSA, des bases de données, vous avez compris le principe.
Cependant, tout n'est pas noir : seuls les CPU bleus seraient impactés, mais tout ceux depuis 2011 utilisant l'hyperthreading, et Intel a d'ores et déjà sorti - en mars, à vrai dire - un patch du microcode pour corriger la brèche. À l'heure actuelle, nous ne savons pas si des impacts sur les performances sont à déplorer, nous vous tiendrons informés à ce sujet. De plus, les chercheurs estiment qu'il est très peu probable que ce moyen ait été employé, étant donné la haute expertise nécessaire à sa découverte, comparée par exemple aux désormais célèbres Spectre et Meltdown, ou même aux ransomwares bien plus courants. Tout cela ne reste néanmoins guère rassurant, espérons qu'Ice Lake ait fait des progrès depuis d'un point de vue sécurité ! (Source : NotebookCheck)
Zombieload, ze film ! Starring Meltdown et Spectre !
Un poil avant ?Icy Dock donne encore une seconde vie à la baie de disquette | Un peu plus tard ...Et les 1ères mobales Biostar "Ryzen 3000 Desktop Ready" soooooonnt... |