Une quatrième variante des failles Spectre et Meltdown a vu le jour. Publiée en début de semaine par l’équipe Google Project Zero, cette dernière repose toujours sur le principe de l’exécution spéculative.
Il n’est pas encore clair si cette découverte s’inscrit au sein des nouvelles vulnérabilités « Spectre-NG » découvertes récemment. Cette variante référencée CVE-2018-3639 permet d’accéder à des informations sensibles via une attaque par canaux cachés. Microsoft a rapporté qu’aucun moyen n’avait été trouvé pour exploiter cette variante sur ces logiciels ou services cloud. De plus, la plupart des mitigations prises par les principaux navigateurs concernant les précédentes variantes de Spectre et Meltdown rendent l’exploitation de cette vulnérabilité très complexe.
Intel a d’ores et déjà corrigé cette vulnérabilité et a proposé à ses partenaires un microcode en version bêta, dont le correctif est désactivé par défaut afin de ne pas affecter les performances de ses processeurs.
Référence
https://www.securityweek.com/tech-firms-coordinate-disclosure-new-meltdown-spectre-flaws
https://bugs.chromium.org/p/project-zero/issues/detail?id=1528
https://newsroom.intel.com/editorials/addressing-new-research-for-side-channel-analysis/
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012
Découvrir d'autres articles
-
Cyber Threat IntelligenceRetour sur les opérations hacktivistes ciblant la France en marge du conflit israélo-palestinien
Lire l'article -
Actualités et veille en cybersécuritéExploitation d’une vulnérabilité dans WinRAR lors de campagnes de phishing
Lire l'article -
Actualités et veille en cybersécurité10 erreurs de configuration réseau à ne pas commettre selon la NSA et le CISA
Lire l'article