Bonjour les amis

Systems with microprocessors utilizing speculative execution and Intel software guard extensions (Intel SGX) may allow unauthorized disclosure of information residing in the L1 data cache from an enclave to an attacker with local user access via a side-channel analysis.

Je continue de suivre cette vulnérabilité :

https://www.intel.com/content/www/us/en/security-center/advisory/intel-sa-00161.html

Des universitaires et des chercheurs du secteur privé ont révélé aujourd'hui des détails sur trois nouvelles vulnérabilités affectant les processeurs Intel.

Les trois sont des attaques de classe Spectre qui tirent parti d'une fonctionnalité de conception de processeur appelée exécution spéculative, une fonctionnalité présente dans tous les processeurs modernes, qui améliore les performances en calculant les opérations à l'avance et en éliminant les données inutiles.

Ces failles ciblent les données traitées lors de l'exécution spéculative stockée dans le cache L1 d'un processeur - la mémoire la plus rapide d'un ordinateur et la plus proche du processeur, également partagée par les cœurs de processeur.

Vulnérabilités appelées L1TF ou Foreshadow

Les trois questions sont appelées L1 Terminal Fault (ou L1TF) par l'industrie des technologies générales, mais elles ont été initialement nommées "Foreshadow" et "Foreshadow-NG" par les chercheurs qui les ont découvertes.

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~

Patchs disponibles. Aucun impact sur la performance

Selon Intel, l’application des mises à jour du microcode Intel et des correctifs du système d’exploitation pour CVE-2018-3615, CVE-2018-3620 et CVE-2018-3646 devrait atténuer complètement les attaques L1TF / Foreshadow.

Intel a également déclaré que contrairement au cas de Spectre, où les mises à jour des processeurs Intel avaient fortement perturbé les performances des processeurs Intel, "aucun impact significatif sur les performances n’a été observé suite aux mesures d’atténuation [L1TF] appliquées".

Intel a publié un article de blog sur L1TF / Foreshadow, une page FAQ et une page de conseils de sécurité . La liste des processeurs concernés est disponible sur l' avis de sécurité officiel d'Intel.

Microsoft , Oracle et Red Hat ont également publié des articles sur les failles L1TF / Foreshadow, ainsi que des informations sur les correctifs. Les correctifs sont également arrivés dans le noyau Linux et via le correctif Microsoft August 2018 mardi . Les trois principaux fournisseurs d’informatique en nuage, à savoir Amazon Web Services , Google Cloud et Microsoft Azure, ont également publié des pages d’orientation sur la sécurité.

L'équipe à l'origine de la recherche a également créé un site Web dédié expliquant l'impact des vulnérabilités L1TF / Foreshadow.