Intel patche la faille Zombieload... pour la 3e fois

Nathan Le Gohlisse
Spécialiste Hardware
29 janvier 2020 à 12h00
7
Processeur

Intel déploiera bientôt une nouvelle rustine sur ses processeurs. Après les failles Spectre et Meltdown, découvertes il y a deux ans, la firme faisait face plus récemment à une autre vulnérabilité mise au jour sur ses puces : Zombieload. Cette dernière va profiter de son troisième patch consécutif.

Avec Zombieload, Intel se confronte aux défaillances des fonctionnalités prédictives de ses processeurs. La faille, identifiée l'année dernière aux côtés de deux autres vulnérabilités (RIDL et Fallout), profitera « dans les prochaines semaines », promet Intel, d'un nouveau correctif : le troisième en un an. Ce dernier suit en effet deux autres patchs déployés en mai et novembre dernier.

Combler deux failles restées béantes au grand dam des chercheurs en sécurité

Intel indique dans son communiqué que cette nouvelle mise à jour de sécurité vise à combler deux MDS (microarchitectural data sampling) supplémentaires. Des vulnérabilités non solutionnées par les précédents correctifs. Intel explique toutefois ne pas avoir connaissance de pirates les ayant déjà exploitées. La première des deux, L1DES, ne concerne par ailleurs pas les processeurs Intel récents et ne peut être utilisée à des fins malveillantes en passant par un navigateur web. De quoi limiter le champ d'action des utilisateurs les moins bien intentionnés.

La politique d'Intel, qui consiste à patcher les faiblesses de ses processeurs au coup par coup, irrite toutefois les chercheurs en sécurité, pointe Engadget. « Nous avons passé des mois à tenter de convaincre Intel que des attaques portant sur l'éviction de L1D étaient possibles et qu'il fallait y remédier », estime notamment le groupe de chercheurs à l'origine de l'identification de ces failles sur les processeurs Intel.


La stratégie « ponctuelle » d'Intel pointée du doigt

Dans un long document présentant les enjeux des failles découvertes, les chercheurs ont récemment ajouté plusieurs remarques. Certaines tirent à boulets rouges sur Intel et sa politique de correction « ponctuelle », au coup par coup, des vulnérabilités identifiées l'année dernière.

« Nous réaffirmons que les vulnérabilités de la classe RIDL ne sont pas faciles à corriger ou à atténuer, et que les stratégies actuelles d'atténuation "ponctuelle" pour résoudre ces problèmes sont discutables », lit-on notamment.

Intel, pour sa part, se défend de minimiser l'importance de ces failles et assure avoir d'ores et déjà réduit en grande partie les risques d'attaques. « Depuis mai 2019, en commençant par le Microarchitectural Data Sampling (MDS), puis en novembre avec le TAA, nous avons, avec nos partenaires logiciels, mis en place des mesures d'atténuation qui ont réduit de manière cumulative et substantielle la surface d'attaque globale pour ce type de problèmes », a notamment estimé un porte-parole du groupe contacté par Engadget.


Rappelons qu'en dépit des nombreuses failles découvertes sur ses processeurs et de la concurrence croissante d'AMD (dont les puces ne sont quant à elles pas concernées par ces vulnérabilités), Intel signait un dernier trimestre 2019 record.
 
Source : Engadget
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
7
7
Voir tous les messages sur le forum

Actualités du moment

Souris Logitech MX Master 2S à seulement 59,99€ au lieu de 109€ pendant les soldes Amazon
AMD lancera son architecture RDNA 2 cette année... avec de nouveaux GPUs Navi en prime
Coronavirus : des chercheurs alimentent en continu une carte qui suit la propagation du virus
La chambre des représentants américaine veut repousser les prochains pas sur la Lune à 2028
5G : l'Union européenne livre ses recommandations, sans exclure Huawei mais en maintenant la pression
Ampoules connectées AWOX Striimlight wifi color à -25% pendant les soldes Darty
Pokémon HOME : l'application (payante) pour gérer sa collection de Pokémon entre différents jeux
Scroll, un nouveau service pour un Internet sans pubs, tout en rémunérant les sites
Genesis, filiale de luxe de Hyundai, confirme son SUV électrique, le GV80, pour 2021
Seat : une version hybride rechargeable s'invite sur sa nouvelle Leon
Haut de page