Une quatrième variante des failles Spectre et Meltdown a vu le jour. Publiée en début de semaine par l’équipe Google Project Zero, cette dernière repose toujours sur le principe de l’exécution spéculative.
Il n’est pas encore clair si cette découverte s’inscrit au sein des nouvelles vulnérabilités « Spectre-NG » découvertes récemment. Cette variante référencée CVE-2018-3639 permet d’accéder à des informations sensibles via une attaque par canaux cachés. Microsoft a rapporté qu’aucun moyen n’avait été trouvé pour exploiter cette variante sur ces logiciels ou services cloud. De plus, la plupart des mitigations prises par les principaux navigateurs concernant les précédentes variantes de Spectre et Meltdown rendent l’exploitation de cette vulnérabilité très complexe.
Intel a d’ores et déjà corrigé cette vulnérabilité et a proposé à ses partenaires un microcode en version bêta, dont le correctif est désactivé par défaut afin de ne pas affecter les performances de ses processeurs.
Référence
https://www.securityweek.com/tech-firms-coordinate-disclosure-new-meltdown-spectre-flaws
https://bugs.chromium.org/p/project-zero/issues/detail?id=1528
https://newsroom.intel.com/editorials/addressing-new-research-for-side-channel-analysis/
https://portal.msrc.microsoft.com/en-US/security-guidance/advisory/ADV180012